Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×

«Надійно заблокувати щось в інтернеті неможливо». Як в Україні блокуються російські ресурси й чому це зачіпає легальні сайти

Блокування російських інтернет-ресурсів в Україні не є чимось новим. До таких дій вдавалися ще майже шість років тому, коли заборонили доступ до соцмережі «ВКонтакте». Однак що тоді, що сьогодні до цього процесу є технічні питання: блокування IP чи автономної системи може призвести до того, що «впадуть» не лише пропагандистські ресурси, а й ті, які до політики країни-агресора не мають жодного стосунку.

Разом з експертами DOU розповідає, які документи регулюють блокування ворожих ресурсів сьогодні та які опції доступні телеком-операторам у технічній площині.

На яких підставах в Україні блокують російські інтернет-ресурси

В Україні є два типи блокування інтернет-ресурсів, пояснює головний юрист громадської організації «Лабораторія цифрової безпеки» Максим Дворовий. Перший — за законом «Про санкції», який ухвалили ще у 2014-му, та відповідними указами президента. Наприклад, у 2017 році ці документи дозволили заблокувати сервіси чотирьох російських компаній: «ВКонтакте», «Одноклассники», «Яндекс» та «Mail.ru».

З того часу така санкція, як «заборона інтернет-провайдерам надання послуг з доступу користувачів мережі інтернет до ресурсів/сервісів», та її похідні були застосовані ще у семи указах щодо понад 600 інтернет-ресурсів різноманітного спрямування: від сайтів органів окупаційної влади у Криму до російських онлайн-магазинів літератури, від донецьких та луганських квазімедіа до сторінок платіжних систем у соціальних мережах Facebook та Twitter, йдеться в аналітичному звіті «Лабораторії цифрової безпеки».

Другий тип блокування — новіший, бо запрацював після запровадження воєнного стану на території України у 2022-му. Йдеться про блокування в межах виконання розпоряджень НЦУ (Національного центру оперативно-технічного управління електронними комунікаційними мережами України), який функціонує при Держспецзв’язку. Його повноваження визначає постанова Кабінету міністрів України № 812 «Деякі питання оперативно-технічного управління телекомунікаційними мережами в умовах надзвичайних ситуацій, надзвичайного та воєнного стану».

Загалом НЦУ має забезпечувати контроль та відновлення функціонування телекомунікаційних мереж у випадку їх пошкодження. Однак, крім цього, центр видає розпорядження щодо оперативно-технічного управління телекомунікаційними мережами, які провайдери мають обов’язково виконувати.

У Держспецзв’язку кажуть, що для блокування необхідні рішення Ради національної безпеки та оборони України, які й визначають перелік ресурсів. Ці рішення набувають законної сили після указу президента.

Після повномасштабного вторгнення перелік російських ресурсів, що підлягали блокуванню, суттєво доповнили, пояснили DOU у відомстві. Йдеться, зокрема, про автономні системи, що росія використовує для кібератак на українські інформаційні ресурси та поширення неправдивої пропагандистської інформації про перебіг розв’язаної війни, для дискредитації органів влади тощо.

Пропозиції щодо застосування, скасування та внесення змін до санкцій розглядає Рада національної безпеки та оборони України, а виносять їх на розгляд Верховна Рада, президент, Кабмін, Нацбанк, СБУ.

Так, 27 лютого 2022 року НЦУ видав розпорядження щодо блокування автономних систем (AS) (їхній перелік можна знайти на сайті). У такий спосіб провайдерів зобов’язали заблокувати понад 48 мільйонів IP-адрес у російському сегменті інтернету, що суттєво обмежувало б доступ до російських вебсайтів. Але, як зазначають у «Лабораторії цифрової безпеки», як виконали це розпорядження, невідомо. Провайдери мали відзвітувати, втім такі звіти не є публічними.

«Предмет змісту розпоряджень НЦУ не деталізується нормативними актами. Відповідно НЦУ може вимагати від постачальників електронних комунікаційних послуг обмежувати доступ до окремих інтернет-ресурсів», — пояснюють експерти «Лабораторії цифрової безпеки».

Як телеком-оператори можуть блокувати інтернет-ресурси

Законодавство України наразі не визначає, як саме провайдери мають блокувати сайти, що дає їм, по суті, свободу дій, каже Максим Дворовий.

«Тому, наприклад, провайдери можуть заблокувати сайт за IP-адресою, за якою розміщені інші сайти, на яких немає протиправного контенту. Уникнути цього можна, але не у надто захопливий з погляду дотримання прав людини спосіб моніторингу та фільтрації усього трафіку через DPI-обладнання. Від застосування такого методу мінусів значно більше, аніж плюсів», — зауважує юрист.

Максим Тульєв, член правління Інтернет-асоціації України, називає три механізми блокування.

  • Перший і найбільш поширений — унеможливлення перетворення імені сайту на його цифрову адресу.
  • Другий — це блокування доступу до певних мережевих цифрових (IP) адрес (ці механізми існували й до 24 лютого).
  • Третій механізм — блокування доступу до певної автономної системи.

За словами експерта, останній був імплементований на вимогу військового регулятора телекому вперше у світі — 27 лютого. Йдеться про блокування всього трафіку, який проходить через визначеного провайдера або дата-центр. Наразі в списку такого блокування понад 600 автономних систем, що призводить до значних проблем із банальною роботою в інтернеті без VPN.

«І другий, і третій підходи мають значний вплив на ресурси, що не повинні блокуватися. На одній цифровій адресі може існувати 500–1000 різних сайтів, і блокування адреси заблокує їх всі, а не тільки ресурс пропаганди. Блокування автономної системи може й порушувати роботу мережі більш глобально. Наприклад, зараз маємо проблеми з доступом до казахського, узбецького, киргизького та інших сегментів інтернету, що під’єднані до світового інтернету через російські мережі, автономні системи яких заблоковано. Уникнути цього не можна жодним чином, адже це вимушена супутня шкода від цензури», — пояснює Тульєв.

Слова Тульєва про своєрідний «рикошет» від блокування підтверджують і приватні компанії. Наприклад, у березні минулого року Національний IP-оператор України WNET сповістив користувачів, що систематично блокує інтернет-ресурси відповідно до розпоряджень НЦУ.

«Під блокування, зокрема, підпадають й автономні системи (AS), IP-адреси через які йдуть маршрути до сайтів. Сайти можуть і не підпадати під блокування, але вони не працюватимуть через заблоковані AS доти, доки маршрутизацію не змінять адміністратори цих сайтів через інші AS», — пояснювали проблеми з доступом до інтернет-ресурсів у компанії.

Однак, як повідомили DOU у Держспецзв’язку, питання визначення правових і технічних механізмів блокування шкідливих вебресурсів опрацьовує низка структур. Цим займаються комітет з питань цифрової трансформації Верховної Ради, Мінцифри, адміністрація Держспецзв’язку, НКЕК, РНБО, Національний банк України, Національна поліція, СБУ.

«Наразі завершується підготовка до впровадження пілотного проєкту технічного механізму блокування фішингових вебресурсів, що проводить НБУ», — додали у Держспецзв’язку, втім без уточнення деталей.

Як влада контролює виконання розпоряджень про блокування

У законі «Про санкції» механізму, який дозволяв би контролювати виконання його положень телеком-операторами, немає.

«Були спроби запровадити кримінальну відповідальність за невиконання санкцій, однак цю законодавчу ініціативу поки що не ухвалили. Що й на краще, зважаючи на те, що саме блокування сайтів за законом „Про санкції“ має сумнівну юридичну природу», — каже DOU Максим Дворовий.

У випадку з розпорядженням НЦУ за невиконання вимог провайдера можуть прибрати з Реєстру постачальників електронних комунікаційних мереж та послуг. Тобто він припинить свою діяльність. Процедура така: НЦУ звертається до НКЕК (Національної комісії, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку), тобто регулятора. Останній за погодження Кабміну має ухвалити рішення про видалення з реєстру, при цьому враховуючи потребу забезпечити споживачів доступом до мережі.

Однак Максим Тульєв зазначає, що технічного механізму контролю виконання згаданих вимог наразі не існує. Єдиний покараний відкликом ліцензії оператор, за його словами, був «НетАссіст».

«І покараний він був за те, що не прозвітував про виконання впровадження цензури у воєнний час, хоча сам механізм компанія впровадила. Тобто все тримається, як завжди, на залякуванні операторів», — зазначає Тульєв.

Він пояснює: наразі вимоги щодо блокування надсилають провайдерам у вигляді PDF-документів, які зазвичай містять скани розпоряджень НЦУ.

Однією з проблем в такому разі є банальна помилка при прочитанні, якої можна припуститися. Адже незрозуміло, на папері вказана велика «І» чи маленька англійська «л», «нуль» чи «О» тощо.

Сама ж розсилка відбувається за контактними адресами постачальників послуг електронної комунікації з реєстру НКЕК, однак, за словами Тульєва, «не всім і не завжди». Виходить, частина телеком-операторів можуть отримати документ з вимогою заблокувати той чи інший ресурс, а інші — ні, й чому так, зауважує експерт, невідомо.

Крім того, є питання і до тексту самих розпоряджень. Влітку регулятор зосереджувався на фішингових доменах, тобто буквально вказував у розпорядженнях «блокувати фішингові домени».

«Нібито корисна річ, хоч і не має жодного стосунку до російської пропаганди. Втім є „але“: фішинговий домен живе кілька годин, після чого „помирає“. Коли він потрапляє до розпорядження, а потім до провайдерів, це вже не має жодного сенсу. Але вимога блокувати є, і всі ті самі побічні збитки з порушенням роботи мережі та інших сайтів поруч ми отримаємо, а от користі — жодної», — пояснює Тульєв.

Далі, восени 2022 року, НЦУ й НКЕК стали змінювати формулювання «блокування фішингових доменів» на «блокування шкідливих доменів».

«Якщо з фішингом все однозначно, то що таке „шкідливий домен“? Чому саме „шкідливий“, як цей термін визначений у законодавстві та хто може виміряти його „шкідливість“? І розпорядження стали трохи іншими, зокрема, там з’явилися інтернет-магазини. І, звісно, казино. Тому що це найбільш ласий шматок для усіх здирників», — каже Тульєв.

Чи потрібно блокувати російські ресурси в умовах війни

У «Лабораторії цифрової безпеки» кажуть: під час воєнного стану права людини можуть більше обмежувати, ніж у мирний час. Втім, це не звільняє від аналізу пропорційності впливу накладених обмежень на права користувачів на доступ до інформації.

А член правління Інтернет-асоціації Максим Тульєв має більш критичну точку зору. Такі дії з боку держави він називає «цензурою».

«Цензура в українському інтернеті хоч і використовує російську агресію як головний драйвер свого становлення, але насправді більшість заблокованих доменів не має до росії жодного стосунку. Там є і онлайн-казино, і давно мертві фішингові сайти тощо», — каже Тульєв.

За його словами, надійно заблокувати щось в інтернеті взагалі неможливо, а от звузити коло поширення інформації тими, хто не замислюється, як обійти цензуру, можна. Також, на його думку, блокування інтернет-ресурсів може завадити вести онлайн-бізнес.

Експерти «Лабораторії цифрової безпеки» наголошують, що перед тим, як ухвалювати рішення про блокування ресурсів та мереж, варто зважати на операційні можливості провайдера послуг швидко виконати вимоги. Крім цього, враховувати інтереси громадян в доступі до інтернету, який через це може бути обмежений, адже пошук нових постачальників комунікацій в умовах війни суттєво ускладнений.

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось6
До обраногоВ обраному1
LinkedIn

Схожі статті




27 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.
Тому, наприклад, провайдери можуть заблокувати сайт за IP-адресою, за якою розміщені інші сайти, на яких немає протиправного контенту. Уникнути цього можна, але не у надто захопливий з погляду дотримання прав людини спосіб моніторингу та фільтрації усього трафіку через DPI-обладнання.

Що таке «DPI-обладнання»? З того, що каже Гугл, це щось про мишу, але здається малось наувазі щось інше. І чи можливо взагалі технічно заглядати у трафік, який за допомогою TLS передається?

І то всьо буде працювати за умови, що трафік передається за допомогою TLS?

Имхо, проще обрубить связи с внешним миром и сидеть только внутри уанета. Иначе все это неэффективно или эффективно только для бабушек. Проблема с доступом к абсолютно любому ресурсу решается в два клика установкой vpn-плагина.
Зато, отличная тема для распила бюджета, создания пары ведомств с кормушкой для родственников.

Думаю эффективным было бы блокирование по домену используя SNI. Это будет работать и с https и можно контролировать. ECH еще мало популярен. С DNS тяжелей потому что люди будут использовать 1.1.1.1 или 8.8.8.8.
Скорее всего SNI и так уже используется для аналитики какой нибудь.

Україна під час війни не є демократичною державою. Бо майже всі інструменти демократії не працюють, а права обмежені на рівні з диктатурою. Тому однією забороною більше, однією меньше, Україна під час військового стану не стане демократичною.

Під час війни обмежуються свободи в багатьох сферах і це не просто нормально, це єдиний можливий спосіб вигравати довгу війну.
Частина суспільства не розбирається в тому, як раціонально споживати контент, як помічати маніпуляції, брехню і т.п. Частина з цієї частини прочитає російські помийки і повірить ним. Потім частина з цієї частини з тої частини передасть русні інформацію про розташування військових або яку підстанцію ще недостатньо жахнули.
Якщо ці ресурси одразу заблоковані, то ця частина суспільства, про яку я кажу, не буде ставити ніякі ВПН, це не ідейні колаборанти, це люди, які потенційно ними можуть стати, якщо потраплять під російський вплив.
Тобто, так — обмеження це очевидно недобре, але під час війни шкода від дозволу читати російські сайти максимально переважає шкоду від уходу від демократії.
Після закінчення війни в залежності від того як вона закінчиться треба буде всі ці питання обмежень наново обговорювати. Але не раніше.

Дуже небезпечне та манипулятивне використання терміну «легальний» по відношенню до сайтів. Легальний означає «Визнаний, дозволений законом; який має законну силу; узаконений.». В Україні слава Богу не потрібно узаконювати сайт, на відміну, наприклад, від особистої зброї. Тому сайт може бути заборонений, но не нелегальний. І я б не хотів жити в такий Україні, де для створення сайту потрібно отримувати дозвіл. Це вже буде Північна Корея.

Забавно то что начало блокировок было при Порошенко. А когда выбрали Зеленского, думалось что блокировки вернут назад.
Но судя по тому что Зеленский только усилил эти порочные традиции — инициатива исходт откуда-то извне.

Ініціатива йде від москалів, що нападали на Україну в 2014.

По такой логике можно еще себе глаза выколоть, что б не видеть клятых москалив.
Блокировака веб-рессурсов, как и монополизация СМИ — шаг в сторону автократии, не демократии.

За такою логікою можно довго битися головою об стіну, але продовжувати бачити «внєшнєє управлєніє», «соросят» та інших масонів.
А заборона упц мп — шлях до побудови теократії?

Та ви що... «план Маршала», Blackrock... це ж все задля нашого благоустрою. Де тут зовнiшне управлiння... все ж наша славетна козацька рада вирiшуe. А як що нам щось не подобаеться — то майдан.

Взагалі, блокування сайтів — це дуже велике зло в довгій перспективі. І такого, по нормальному, не мало б бути в інтернеті взагалі.

Але є одне «але». Від 2014 до блокування ВК пройшло чимало часу. Але свідомо від нього тоді відмовились дуже мало людей, хоч і мали б. А відмовлятись стали лише після «блокування».

І тут дилема, що більше зло: блокування чи те, що люди пасивно споживають російський контент.

Достатньо самого простого блокування через DNS і цього достатньо, щоб 90% людей не стали шукати варіантів обходу.

Тому ... надійно заблокувати неможливо ... але й, майже завжди, цього і не треба.

Я из вк ушел когда он скатился в унылую какашку, блокировки никак не повлияли. То же самое и с фб сейчас.

Я думав що всі сайти з .ru заблочили, але недавно такий попався незаблокований. А взагалі дуже багато технічної інфи попало під блок. Не завжди зручно на англомовних сайтах знаходити цю інфу а деякої специфічної взагалі немає.

Всі RU сайти ніхто не блочив і ніколи не буде блочити. Це працює трохі інакше. RU-домен з дуже високою вирогідністю регається у RU-реєстратора (бо там банально найнижчі ціни), а після цього дефолтні NS російські, і от саме вони повністю або частково заблочені. Якщо адмін рашко-домена не тупить, він міняє NS на будь-які інші — і все, рендомно (або повністю) не працюючий сайт знову працює.

А мені здалося що по ру айпі блокують. Якщо сайт в росії хоститься, то він не працює.

Можливо, але впевнений шо шалена кількість рос сайтів живе в Європах, бо то дешево і няшно. А от NS часто залишаються дефолтні.

«Під блокування, зокрема, підпадають й автономні системи (AS), IP-адреси через які йдуть маршрути до сайтів. Сайти можуть і не підпадати під блокування, але вони не працюватимуть через заблоковані AS доти, доки маршрутизацію не змінять адміністратори цих сайтів через інші AS»

Тут, до речі, сенс блокування в запобіганню вхідних атак на українські ресурси з російських адрес. Тому, рішення РНБО про повне блокування цілих AS — тупізм, в принципі, притаманний більшості рішень цієї влади.
Достатньо було зобов’язати не всіх провайдерів, а тільки провайдерів із зовнішніми каналами блокувати не весь трафік на ці AS, а тільки вхідний і тільки ініційований зі сторони «заблокованих» AS.

«Якщо з фішингом все однозначно, то що таке „шкідливий домен“? Чому саме „шкідливий“, як цей термін визначений у законодавстві та хто може виміряти його „шкідливість“? І розпорядження стали трохи іншими, зокрема, там з’явилися інтернет-магазини. І, звісно, казино. Тому що це найбільш ласий шматок для усіх здирників»

Такі питання не часі! Не розкачуйте лодку! Дайте їм ще 100 днів!

Однією з проблем в такому разі є банальна помилка при прочитанні, якої можна припуститися. Адже незрозуміло, на папері вказана велика «І» чи маленька англійська «л», «нуль» чи «О» тощо.

Це яким розумником треба бути, щоб, замість copy-paste, вводити адреси сайтів для блокування вручну, зчитуючи їх очами? :-D

щоб, замість copy-paste

А единый реестр, пусть и в виде CSV-файла — это уже недостижимое техническое чудо? ;-)

Мсьє — знавець документообігу? :)

Не знаю, як кому.... Як на мене, «стаття» взагалі ні про що. Ніякого корисного навантаження не несе, імхо

«А поговорити?»

Підписатись на коментарі