УДК 004.7

ПРОБЛЕМЫ РЕАЛИЗАЦИИ МЕХАНИЗМА ОГРАНИЧЕНИЯ ДОСТУПА К ЗАПРЕЩЕННОЙ ЗАКОНОМ ИНФОРМАЦИИ В СЕТИ ИНТЕРНЕТ

№15,

Технические науки

Молоков Вячеслав Витальевич (Кандидат технических наук)

Ключевые слова: ИНТЕРНЕТ; ПРОТИВОПРАВНАЯ ИНФОРМАЦИЯ; БЛОКИРОВКА КОНТЕНТА; ФИЛЬТРАЦИЯ ТРАФИКА; INTERNET; ILLEGAL INFORMATION; LOCKING THE CONTENT; TRAFFIC FILTRATION.

Аннотация: К необходимости ограничения доступа к противоправной информации в сети Интернет в той или иной степени обращается каждое государство. Накоплен определенный опыт и успешная практика реализации методов блокировки незаконного контента. Вместе с тем стремление запрещать доступ к открытой по умолчанию информации порождает реакцию пользователей на преодоление средств ограничения к ней.

В статье рассматриваются проблемы реализации существующих методов блокирования противоправной информации в сети Интернет и подходы к их эффективному решению.

Со времени зарождения Всемирной паутины объемы открытой информации, хранящейся на просторах Интернета, превысили возможные ожидания. От стремления безгранично распространять информацию максимально доступно, общество и государство пришли к решению о необходимости ограничения доступа к ней со стороны пользователей. Безусловно, такое решение относится только к противоправной информации, угрожающей своим распространением гражданам государства и наиболее подверженному негативному влиянию молодому поколению. Механизмы ограничения доступа к информации в сети Интернет в разных странах различны, по-разному используются средства блокировки. Для одних пользователей это является нечувствительным, у других вызывает возмущение и стремление к их обходу. Рассмотрим проблему ограничения доступа к противоправному контенту сети Интернет в Российской Федерации и возможные варианты эффективного функционирования средств блокировки информации.

Обратимся к опыту крупнейших мировых стран, осуществляющих ограничение доступа своих граждан к информационным ресурсам Всемирной паутины. Анализируя многочисленные публикации в сети Интернет, можно констатировать, что наиболее серьезной цензуре подвергаются сайты в Северной Корее, Мьянме, Китае, Иране, Венесуэле [1]. По состоянию на сентябрь 2018 года около 10000 доменных имен блокируются в материковом Китае в рамках политики цензуры в Интернете, которая запрещает пользователям получать доступ к запрещенным в стране сайтам [2]. Наиболее демократичными в свободе доступа к информации являются страны Эстония, Исландия и Канада.

Что именно блокируют в сети Интернет? Подходы к этому вопросу примерно одинаковы, зависят от государственной политики и направлены на сохранение политического режима как, например, в Северной Корее и Китае, а также против информации, которая угрожает безопасности государства, общественному порядку или является нежелательной для конкретной аудитории.

В Российской Федерации прямо ограничивают распространение информации, которая относится к категории запрещенной. К такой категории причислена информация, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иная информация, за распространение которой предусмотрена уголовная или административная ответственность (ч. 6 ст. 10 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). При этом в российском законодательстве до середины 2017 года отсутствовало четкое определение запрещенной информации. Единственным нормативным актом, где подробно перечислена информация, распространение которой запрещено, являлся Федеральный закон от 29 декабря 2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». В мае 2017 года был издан Приказ Роскомнадзора № 84, МВД России № 292, Роспотребнадзора № 351, ФНС России ММВ-7-2/461@ который утвердил критерии оценки материалов и (или) информации, необходимые для принятия решений о включении доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет», а также сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие запрещенную информацию, распространение которой в Российской Федерации запрещено. В статье не будем рассматривать правовые основы ограничения доступа к запрещенной законом информации, остановимся на используемых методах и средствах блокировки, а также проблемах их реализации.

Для осуществления функций блокировки контента в сети Интернет используют следующие методы:

— блокировка по IP-адресу;
— блокировка сайта по единому указателю ресурса (URL);
— блокировка с использованием системы доменных имен (DNS);
— блокировка с применением систем глубокого анализа трафика (DPI);
— блокировка в рамках конкретных платформ (особенно поисковых систем).

Рассмотрим перечисленные методы подробнее.

Блокировка по IP-адресу предусматривает ограничение продвижения сетевых пакетов, содержащих в заголовке указанный адрес в сети Интернет, либо в дополнение еще порт (например, порт 80 используется для передачи данных между веб-сервером по протоколу http). Такой метод, например, используется в брандмауэрах (сетевых фильтрах) для обеспечения безопасности компьютерных сетей. С точки зрения реализации метод является наиболее простым и настраивается соответствующими правилами (firewall) блокировки.

Блокировка сайта по его единому указателю ресурса предусматривает фильтрацию web-трафика, определение признаков указанного в базе данных URL и соответственно ограничение соединения. Подобные правила используются в настройках прокси-сервера.

Блокировка по DNS близка по своей сути к фильтрации информации по IP-адресу, либо URL. В ее основе находится механизм подмены резольвинга (получения IP-адреса узла по имени) в случае, когда запрашиваемый ресурс является запрещенным. Пользователю передается либо IP-адрес страницы «заглушки», либо вообще сообщается, что такого имени в базе DNS не существует.

Фильтрация контента с помощью DPI систем является наиболее сложным и затратным, но при этом эффективным механизмом. Фильтрация происходит на основе заданных, либо обучаемых сигнатур на различных уровнях сетевой модели.

Блокировка контента на той или иной платформе, например, Google, YouTube, Yandex и т.п., отфильтровывает и блокирует к выдаче лишь ссылки на его размещение, а не само содержимое ресурса, что усложняет доступ к нему. Такой вид ограничения к противоправной информации действует во всех крупных поисковых системах. Кроме этого существует так называемое «право на забвение» (возможность удалять из поисковой выдачи «неточную, заведомо ложную и более неактуальную» информацию о человеке по его запросу) которым пользуются многие абоненты сети Интернет. Также следует отметить, что мировые гиганты типа Google, Facebook, ВКонтакте, Яндекс и т.п. разрабатывают собственные системы распознавания и анализа контента, в том числе на графических изображениях.

Регулятором процесса блокировки противоправной информации в сети Интернет на территории Российской Федерации выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор ведет Единый реестр запрещенных сайтов и указателей страниц в сети Интернет (далее Реестр), которые подлежат блокировки в соответствии с законодательством или по решению суда. Попросту реестр представляет собой автоматизированную базу данных, содержащую информацию, однозначно идентифицирующую определенный ресурс в сети Интернет, а также сведения на основании чего доступ к нему заблокирован. Проверить находится сайт, IP-адрес или указатель страницы в Реестре можно на сайте Роскомнадзора по адресу http://eais.rkn.gov.ru. Во исполнение обязанности, установленной в части 6 статьи 46 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи», операторы связи обязаны осуществлять ограничение и возобновление доступа к информации, распространяемой посредством сети «Интернет» в порядке, установленном Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Таким образом, интернет-провайдеры, реализующие услугу доступа своих абонентов к сети Интернет, обязаны ежесуточно читать данные Реестра и на основании условий совпадения передаваемого трафика с содержимым Реестра ограничивать доступ абонентов к запрещенному контенту. Операторам связи рекомендуется использовать системы фильтрации трафика протестированные Роскомнадзором. На странице https://rkn.gov.ru/communication/p922 находятся положительные заключения по рекомендуемым средствам и требования к ним.

К настоящему времени процедуру и алгоритм работы Роскомнадзора по поддержанию Реестра и организации взаимодействия с операторами связи можно считать отработанными. В начале реализации закона об ограничении доступа к противоправной информации доходило до абсурда – снятия с делегирования целых доменов, блокирования интернет-порталов, крупных сетей и т.п. Несмотря на это имеются ряд трудностей в осуществлении механизма блокировки и связаны они со следующими проблемами:

— реализация методов блокировки на стороне оператора связи;
— блокирование работы интернет-сервисов;
— обход средств блокировки пользователями.

В соответствии с законом «О связи» операторы связи обязаны за свой счет организовать работу средств фильтрации трафика. Таким образом, определяющим для выбора механизма блокировки, являются финансовые возможности и ресурсное обеспечение. В связи с этим провайдеры, использующие метод блокировки по IP-адресу, сталкиваются с проблемой резольвинга URL и организации динамического листа блокировки. В современных условиях такой подход неэффективен и сложен в поддержке. Кроме того, обойти такую блокировку можно с помощью, например, анонимного прокси-сервера или VPN-сервиса. В случае упрощенной блокировки только по IP-адресу, указанному в Реестре, меняется хостинг ресурса, и он снова становится доступным. Подмена возвращаемого IP-адреса при запросе к DNS-серверу на стороне провайдера является простым решением, но также обходится обычным изменением адреса DNS-сервера в сетевых настройках клиента. Использование операторами связи систем глубокого анализа трафика является «дорогим удовольствием», так как подобные программы стоят очень дорого и требуют большие вычислительные мощности. Метод фильтрации только http-трафика с использованием облегченных систем DPI уже не работает с протоколом https (шифрованный протокол передачи гипертекста).

Следующая проблема заключается в неспособности сложившегося механизма блокировки противоправной информации справиться с функциями запрета работы интернет-сервисов. Недавняя история с блокированием интернет-мессенджера Telegram показала несостоятельность действий Роскомнадзора и средств фильтрации трафика. Что происходило? Роскомнадзор, действуя в соответствии с описанным ранее методом запрета, обладая правом на ведение Реестра, начал помещать в него IP-адреса серверов использующихся для управления трафиком мессенджера Telegram. Операторы связи, обладая имеющимися формальными средствами фильтрации трафика, напрямую закрывали доступ пакетам данных на указанные IP-адреса. Однако используя при этом преимущественно web-фильтры, работающие с протоколом http. В связи с ответными действиями администраторов Telegram, адреса сервером динамически изменялись, что приводило к эффекту снежного кома. Роскомнадзор вынужден был помещать в Реестр все новые и новые IP-адреса. Всем известно, что в результате частично была парализована работа мессенджера Viber, подсети Amazon и других интернет-ресурсов, которые пользовались пиринговыми сетями. Подобное случилось бы, если возник вопрос о блокировки трафика сети Torrent или Tor. Данные факты приводят к следующим выводам:

1. Существующий механизм блокировки информации в сети Интернет несовершенен и требует пересмотра.
2. Системы фильтрации трафика не способны блокировать интернет-сервисы и приложения, использующие различные сетевые протоколы.

Исходя из обозначенных проблем, следуют другие следствия, пользователи активно используют средства обхода блокировки сайтов. Перечислим, какие средства анонимизации применяются для этих целей:

— анонимные прокси-сервера;
— VPN-сервисы;
— децентрализованные сети типа Tor.

Почему такое становится возможным? Ответ кроется в алгоритме работы средств анонимизации. Во-первых, это скрытие реального маршрута к узлу назначения, так как весь трафик идет через сторонние сервера. Во-вторых, камуфлирование URL-адреса в запросе к серверу. В-третьих, невозможность фильтров анализировать шифрованный трафик и инкапсулированные пакеты. В результате многочисленные пользователи сети Интернет знают и активно пользуются средствами анонимизации. Роскомнадзор конечно проводит мероприятия по изобличению и помещению в Реестр адресов анонимных прокси-серверов и VPN-сервисов, но их многообразие не позволяет эффективно этому противодействовать. Об ограничении функционирования децентрализованных сетей и говорить не приходится.

Давайте рассмотрим возможные пути решения выявленных проблем. Сложившийся механизм блокировки по IP-адресу или URL требует пересмотра, так же правильнее, если сам регулятор будет определять методы и средства, которые будут использовать интернет-провайдеры для его реализации. Оправданным решением является, например, внедрение средств глубокого анализа трафика. По своей сути, используя фильтры практически на всех уровнях модели OSI, они способны выделять трафик любого приложения, анализировать контент и ограничивать прохождение пакетов по сигнатурам. Это дает возможность гибко настраивать фильтры и решать задачи оперативного ограничения к скомпрометировавшим себя ресурсам и сервисам. Системы DPI по своим возможностям могут блокировать работу и анонимных децентрализованных сетей (например, Tor, Torrent, I2P и т.п.).

Поисковым системам следует активней сотрудничать с Роскомнадзором и исключать из выдачи ответов ссылки на запрещенные сайты, тем самым осуществлять мягкое ограничение пользователей к противоправной информации.

Список литературы

  1. ТОП-10 стран, ограничивших доступ к глобальной сети // Pikabu : информационный сайт. – URL: https://pikabu.ru/story/top10_stran_ogranichivshikh_dostup_k_globalnoy_seti_4793502 (дата обращения 10.09.2018).
  2. Websites blocked in mainland China // Википедия : свободная энциклопедия. – URL: https://en.wikipedia.org/wiki/Websites_blocked_in_mainland_China (дата обращения 10.09.2018).