Серия «DNS-атак» в 2017 году

Крупнейшая эксплуатация уязвимости в системе блокировок Роскомнадзора

15 мая 2017 года злоумышленник завладел доменом, находящимся в реестре запрещённых сайтов. С помощью уязвимости в системе блокировок Роскомнадзора он заблокировал адреса некоторых «Ревизоров» (автоматизированная система «Ревизор» отслеживает работоспособность блокировок у провайдеров). Работа системы проверки блокировок была парализована. История была предана огласке. В течение месяца этой уязвимостью воспользовались ещё несколько раз. Пик активности пришёлся на период с 4 по 9 июня 2017 года. В блокировку попадали сайты Первого канала, Одноклассников, Вконтакте, Ростелекома, РЖД, холдинга РБК, Microsoft Office 365, АС «Ревизор», COMODO, badoo.com, booking.com, facebook.com, mail.ru, nic.ru, ntv.ru, pikabu.ru, reg.ru, nag.ru, sipnet.ru, skbkontur.ru, vasexperts.ru, сервис «3D Secure», корневые сервера DNS и многие другие сайты и сервисы. По сообщениям, использование данной уязвимости привело (но это не точно) к сбою работы банкоматов и платежей Сбербанка, Райффайзенбанка, Юникредитбанка, Открытия, Промсвязьбанка, ВТБ 24, Альфа-банка. Cбой парализовал на вечер работу многих магазинов. К середине июня 2017 года атаки прекратились сами собой. С лёгкой руки руководителя Роскомнадзора Александра Александровича Жарова инцидент получил название «DNS-атака».

Статистика сайта «Каждый сбой» за 04 июня 2017
По статистике сайта «Обзор сбоев» 4 июня 2017 года с 13:00 до 22:00 часть пользователей не могла попасть на «Яндекс», «ВКонтакте», «Википедию», «Одноклассники» и другие сайты.
Карта блокировки сайта «Медузы» 13 июня 2017
Оценочная карта блокировки сайта «Медузы» 13 июня 2017 года по данным, собранным «Неугомонным Филом» с помощью RIPE Atlas.
Что за уязвимость такая

До конца 2017 года нормативно-правовые акты по методам и способам ограничения доступа отсутствовали. Несмотря на это Роскомнадзор автоматически проверял исполнение блокировки провайдерами и штрафовал за нарушения. РКН вынуждал провайдеров блокировать сайт, даже если этот сайт поменял IP-адрес в DNS на новый, а в «выгрузке» всё ещё содержался старый IP-адрес. «Выгрузка» — часть реестра запрещённых сайтов, которая выдаётся интернет-провайдерам для ограничения доступа к сайтам. Такая блокировка возможна следующими способами — или фильтрацией всей ширины канала провайдера, или отслеживанием изменения IP-адресов и фильтрацией, направленной только к этим адресам части трафика. Фильтровать всю ширину канала могут себе позволить только небольшие провайдеры, которые купили фильтр, рассчитанный на ёмкость большую, чем канал провайдера (меньше просто не делают). Средние, крупные и магистральные провайдеры не способны покрыть фильтрами всю свою ёмкость. Они стараются самостоятельно отслеживать изменения IP-адресов и направляют на фильтры только трафик, идущий на эти IP-адреса. Роскомнадзор лукавит, заверяя, что проблема решается просто.

Поскольку никаких нормативных документов о способах блокировки не было, а существовали только туманные «Рекомендации», провайдеры осуществляли блокировку на своё усмотрение и подстраивались под АС «Ревизор». Частой была ситуация, когда провайдер реализовывал только два типа блокировки — по URL при незащищенном соединении, и по IP-адресу во всех остальных случаях. Это позволяло любому лицу, получившему доступ к управлению доменом из списка запрещённых сайтов, заблокировать любой желаемый ресурс.

На 24 июня 2018 года следует обладать специальными знаниями, что искать, чтобы найти нормативы по способам блокировок. Я обладаю таковыми:

  • Рекомендации от 23 июля 2013 года. Действовали до 07 июля 2016 года.
  • Рекомендации от 07 июля 2016 года. Действовали до 23 июня 2017 года.
  • Рекомендации от 23 июня 2017 года. Действовали до 15 марта 2018 года.
  • Приказ Роскомнадзора от 12 декабря 2017 года. Подписан в Минюсте 15 марта 2018 года, вступил в силу после публикации. На момент написания статьи (24 июня 2018 года) является действующим нормативом. Однако не все нормы реализованы Роскомнадзором.

Получить контроль над доменом из реестра запрещённых сайтов просто и дешево. Роскомнадзор не следит за актуальностью «выгрузки». В ней находятся доменные имена, которые освободились и доступны для новой регистрации любым лицом. По состоянию на 24 июня 2018 года в «выгрузке» находится как минимум 228 таких доменов. Также такую атаку может устроить и владелец домена, обоснованно находящегося в реестре запрещённых сайтов.

Почему этого не происходило до 2017 года

Происходило. В 2012 году провайдер NetByNet заблокировал домен zhurnal.lib.ru. Владелец сайта Максим Мошков добавил в DNS IP-адреса Министерства юстиции, и это привело к ограничению доступа пользователей и к сайту министерства. Известны также и некоторые другие случаи. Однако до 2016 года Роскомнадзор не делал систематических проверок исполнения законодательства в области ограничения доступа. Изредка частные выездные проверки делали Прокуратура и ФСБ. Провайдеры осуществляли блокировки по своему разумению. Поэтому курьёзные случаи были единичными. В 2016 году, согласно законодательству, появился прибор «Ревизор», который провайдеры обязаны устанавливать у себя в сети, чтобы он проверял, как они блокируют сайты. К началу 2017 года он был установлен у большей части провайдеров. Алгоритм работы «Ревизора» не публичен (на 24 июня 2018 года не существует открытой хотя бы операторам связи методики его работы). Полученый реверс-инжинирингом алгоритм не согласован ни с существовавшими в 2017 году рекомендациями Роскомнадзора, ни с существующими с марта 2018 года нормативами по способам блокировки. 19 января 2017 года «Ревизор» стал сам выявлять актуальные IP-адреса сайтов и проверять их доступность. Несмотря на отсутствие нормативов и методик, начали выписываться протоколы и штрафы по протоколам. Весной 2017 года вступили поправки к законодательству, согласно которым штраф за невыполнение блокировок стал составлять от 50 до 100 тысяч рублей за каждый протокол. Это мотивировало провайдеров «делать как Ревизор» и создало уязвимость в системе блокировок.

Может ли повториться такая атака

Такой же вид атаки возможен, но он не будет столь эффектным. 23 июня 2017 года Роскомнадзор уточнил требования к блокировкам в своих рекомендациях. Методами устного и письменного воздействия на провайдеров добился от большинства из них «аккуратной» блокировки, когда по IP-адресу блокируются только те ресурсы, для которых такой тип блокировки стоит в «выгрузке». Также многие провайдеры сделали для себя «белый список» чувствительных ресурсов, IP-адреса которых они никогда не направляют на фильтр. Но до сих пор (по состоянию на 24 июня 2018 года) некоторые провайдеры блокируют всё по IP-адресу, и проблемы небольших ресурсов никого не интересуют. Например, 02 августа 2017 года сайт forumsrc.space стал указывать на IP-адрес (78.155.212.63) сайта motobratan.ru. Где-то на транзите у какого-то провайдера был фильтр со сбоем, полстраны видело сайт с «артефактами». Шума не было за малозначительностью.

Однако возможно придумать и другие виды «DNS-атак». Одна из них была успешно осуществлена 14 марта 2018 года, когда на несколько часов «легла» значительная часть магистрального провайдера Транстелеком. А в начале мая 2018 года энтузиасты написали «послание» на графиках этого сайта с использованием данной уязвимости.

Хронология событий

19 января 2017

Прибор «Ревизор» изменил свой алгоритм работы. Он без предупреждения стал проверять запрещенные сайты по тем IP-адресам, что содержатся в «выгрузке», вдобавок к актуальным IP-адресам. Провайдеры обязаны устанавливать «Ревизора» у себя в сети, чтобы он проверял, как они осуществляют блокировки.

25 марта 2017

До 25 марта 2017 года за неисполнение блокировки провайдеру выносили предупреждение или выписывали штраф 30 тысяч рублей по части 1 статьи 14.1 Кодекса об Административных Правонарушениях Российской Федерации (КоАП). С 25 марта 2017 вступил в силу Федеральный закон № 18-ФЗ от 22 февраля 2017, который ввел в КоАП отдельную статью 13.34, повышающую штраф до 50-100 тысяч рублей для юридических лиц, 10-30 тысяч рублей для индивидуальных предпринимателей и 3-5 тысяч рублей для должностных лиц. При этом, зачастую наказывают дважды: и должностное, и юридическое лицо. Согласно статистики Роскомнадзора на сентябрь 2017 года в результате проверок провайдеров в суды поступило 5585 протоколов об административных правонарушениях.

И если раньше дела о неисполнении блокировок рассматривал арбитражный суд, то по новой статье подсудность сменилась, и дела об этих нарушениях слушаются теперь в мировом суде.

апрель 2017

В сети «всплывает» информация о совещании в Министерстве Связи РФ с участием представителей Роскомнадзора. На совещании признаётся наличие проблемы с несогласованностью Рекомендаций Роскомнадзора и алгоритмов работы «Ревизора». В частности, идёт речь о самостоятельном определении IP-адресов АС «Ревизор». По результатам совещания Роскомнадзор должен был уточнить свои Рекомендации (архив для ознакомления приведён выше).

Весь апрель профильные чаты операторов связи в Telegram обсуждают это письмо. Делаются неудачные попытки создания «комьюнити»-версии Рекомендаций. Ходят слухи, что к концу апреля заместитель руководителя инфраструктурных проектов Минсвязи Вартан Хачатуров создал свою версию Рекомендаций с конструктивными поправками и отправил её в Роскомнадзор. Дальнейшая судьба этого документа неизвестна.

15 мая 2017

Телеграм-канал «IT уголовные дела СОРМ россиюшка» публикует информацию о том, что владелец домена, оказавшегося в реестре запрещённых сайтов, прописал в DNS IP ресурсов Роскомнадзора, к которым обращается система «Ревизор» для передачи данных о фактической блокировке, чем и заблокировал доступ «Ревизоров» к Роскомнадзору. Приводится цитата из рассылки Роскомнадзора операторам связи:

Агент АС Ревизор не выходит на связь с сервером, так же не доступен веб-портал
Просим довести до сведения ваших сетевых администраторов.
В связи, с тем, что ресурс ncsmedia.ru (запись реестра ЕАИС 217213) стал резолвится с адресами ревизора (и не только) агенты АС Ревизор не могут соединиться с сервером.
Прошу добавить адреса центра управления АС Ревизор в белый список:
213.59.243.131-135 (n01.rfc-revizor.ru, n02.rfc-revizor.ru и т.д.), 46.61.230.185 (portal.rfc-revizor.ru)

31 мая 2017

В своём блоге на facebook IT-специалист Daniel Ginsburg сообщает, что домен 1sx528.com, находящийся в «выгрузке», начал отдавать IP-адреса всех 13 корневых серверов DNS: «По слухам, у кое-каких операторов DNS таки отсох».

1 июня 2017

Снова телеграм-канал «IT уголовные дела СОРМ россиюшка» публикует информацию о том, что владелец одного из заблокированных доменов указал для него IP-адрес сайта vk.com, и Вконтакте стал частично недоступен у провайдеров. Как и в прошлый раз, прикладывалось письмо из рассылки Роскомнадзора:

В соответствии с распоряжением заместителя руководителя Роскомнадзора О.А. Иванова от 01.06.2017 № 33817/77 запрет блокировки следующих сетевых адресов: 95.213.11.180, 87.240.165.82 и 5.255.255.88, отсутствующих в Перечне записей, содержащих информацию о доменных именах, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет» и (или) информационные ресурсы, содержащие информацию, доступ к которой должен быть ограничен операторами связи в порядке, установленным Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Выгрузка), предоставляемым операторам связи.

3 июня 2017

На крупнейшей в стране точке обмена трафиком MSK-IX происходит что-то нехорошее. До 7 июня 2017 года от MSK-IX никаких комментариев не поступает. Инцидент не изучен, но с большой долей вероятности он связан с «DNS-атакой».

Потеря 7% трафика на MSK-IX 3 июня 2017
График трафика MSK-IX. Потеря 7% трафика на MSK-IX 3 июня 2017 года. Скриншот Leonid Evdokimov.

4 июня 2017

Ночью под ударом оказались IP-адреса мессенджера Telegram (тогда ещё не заблокированного в России). Владелец домена dymoff.space, заблокированного Роскомнадзором, добавил IP-адреса многих ресурсов, в том числе некоторые IP-адреса Telegram. Также на домене dymoff.space висели IP таких ресурсов, как 1tv.ru, pikabu.ru, ok.ru, rbc.ru, vk.com и многих других.

Телеграм-канал «IT уголовные дела СОРМ россиюшка» публикует большой список доменов, которые находятся в «выгрузке», но при этом их оплата давно просрочена и они доступны для свободной регистрации любым лицом. Телеграм-канал «Сайберсекьюрити и Ко.» подхватывает тему и хвастается 18 зарегистрированными доменами, с помощью которых он может управлять блокировками.

Во второй половине дня ситуация стала накаляться. Блокировка популярных ресурсов стала заметна. Но к 22 часам по Москве всё стало приходить в норму.

5 июня 2017

Роскомнадзор делает крупную зачистку выгрузки от доменов. Телеграм-канал «IT уголовные дела СОРМ россиюшка» заявляет, что удалены только домены, которые были опубликованы на канале днем ранее. Причем, удаление было некорректным, потому что ведущий канала Владислав Здольников сделал список не совсем корректно. На графике виден момент «зачистки» доменов в «выгрузке». Такой «хайп дривен» способ работы Роскомнадзора мы ещё неоднократно увидим в мае 2018.

7 июня 2017

Роскомнадзор наконец-то заметил проблему. В своём заявлении надзорный орган рассказал, что для устранения проблемы направил провайдерам «Рекомендации», которые и так были известны провайдерам, и которые не согласованы с алгоритмом работы «Ревизора». Также Роскомнадзор ввёл градацию ресурсов по цвету кожи значимости, рекомендовав провайдерам «проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса». Было предложено и системное решение проблемы:

Системное решение проблемы заключается в нормативном закреплении за Роскомнадзором права определять способ осуществления блокировки оператором связи.
Очень оперативно Федеральный закон от 29 июля 2017 г. № 276-ФЗ наделил Роскомнадзор соответствующими полномочиями. 15 марта 2018 года был подписан в Министерстве юстиции РФ Приказ Роскомнадзора о методах и способах ограничения доступа. Этот норматив мало отличается от «Рекомендаций». На момент 24 июня 2018 года не все нормы собственного приказа реализованы Роскомнадзором. Согласование норматива и алгоритма работы «Ревизора» не осуществлено. Проблема «DNS-атак» не решена.

В 15:53 по Москве техническая служба точки обмена трафиком MSK-IX делает рассылку по участникам:

Техническая служба MSK-IX зафиксировала за последнюю неделю несколько случаев обращения по вопросам нарушения взаимодействия некоторых участников точки обмена. Причинами этого являются как правило появление нелигитимных more specific маршрутов в инфраструктуре этих участников, возможно порожденных инфраструктурой данных участников. Эта ситуация потенциально приводит к отсутствию связности участников друг с другом или отсутствию доступа к ряду Интернет-ресурсов.

В связи с этим мы рекомендуем участникам проверить маршрутную информацию своих сетей и убедиться, что специфики из адресного пространства точки обмена трафиком (пиринговой сети MSK-IX 195.208.208.0/21) на вашей сети отсутствуют.
Технические представители сети MSK-IX
График трафика на MSK-IX от 3 июня 2017 года начинает играть новыми красками

8 июня 2017

9 июня 2017

Стараюсь тут про русские новости не писать, но судя по всему это важно: уже час как отключилась и не очень работает довольно большая часть инфраструктуры Сбербанка. Не работают банкоматы, заблокированна работа большинства платежных терминалов Сбера и ВТБ. Вокруг легкий хаос, особенно у тех кто как я, ходит без кеша в кармане.

Есть у меня нездоровое подозрение, что это продолжение истории с блокировками и кто-то просто внес в списки какие-то служебные IP-адреса Сбербанка. Надеюсь что это не так, но если так - это будет ОЧЕНЬ смешно и печально одновременно. Очень правильно мне подсказывает Филл Кулин: в происходящей сейчас вакханалии сложно отличить техническую проблему от нацеленной атаки.
Телеграм-канал Григория Бакунова addmeto

На фоне этого своё веское мнение по ситуации с блокировками высказал технический директор Mail.ru Group Владимир Габрелян: Техдир Mail.ru Group: Эксплуатация уязвимости в системе блокировок сайтов приведет к росту цен на связь — Roem.ru, 9 июня 2017, 17:47 MSK

Банки впоследствии отрицали влияние уязвимости в системе блокировок на сбои. Однако телеграм-канал «Сайберсекьюрити и Ко.» во время сбоя опубликовал список IP-адресов, подвергавшихся атаке. В нём присутствуют служебные IP-адреса банковских сервисов. Некоторые эксперты утверждают, что адреса устаревшие и это было совпадением, а ведущий канала «Сайберсекьюрити и Ко.» Александр Литреев пытался поднять себе рейтинг, выдавая желаемое за действительное.

С другой стороны, сбой банковской системы для Роскомнадзора сильно чувствительнее, чем даже Вконтакта. Это та самая критическая инфраструктура, о которой они так любят говорить. Поскольку никаких реальных объяснений происходившему, кроме лаконичного отрицания в стиле отписки, от банков не поступило, это были или последствия «DNS-атаки», или нет.

10 июня 2017

15 июня 2017

СМИ сообщили, что Роскомнадзор обвинил Владислава Здольникова, ведущего телеграм-канала «IT уголовные дела СОРМ россиюшка», и Александра Литреева, ведущего телеграм-канала «Сайберсекьюрити и Ко.»:

Отвечаю ответственно и уверенно: Роскомнадзор прекрасно осознает не только как работает система блокировок, но и как ее нужно совершенствовать и развивать.
В целом, масштабы проблемы представляются сильно преувеличенными. До сего дня угрозы для устойчивости Рунета в целом и его критически важных ресурсов не возникало.

21 июня 2017

27 июня 2017

Роскомнадзор всё-таки уточнил требования к блокировкам в своих рекомендациях, указав, что по IP-адресу могут блокироваться только те ресурсы, для которых такой тип блокировки стоит в «выгрузке».