Сайты обкладываются «зеркалами», подставляют под блокировку интернет-ресурсы власти, фильтруют сам надзор
Руслан Левиев, 27-летний инженер компании Newcaster, стал сетевой звездой благодаря своим успехам в борьбе с цензурой в интернете. Волонтер «Фонда борьбы с коррупцией», он в ответ на блокировку блога Алексея Навального организовал систему зеркал ЖЖ оппозиционера. Но еще большее признание в Рунете ему принесла идея показывать Роскомнадзору котиков при каждой попытке зайти на запрещенный блог. […]
— Вы сейчас являетесь сотрудником «Фонда борьбы с коррупцией» Навального?
— Нет, я тогда являлся сотрудником, то есть я не устраивался в штат, а так работал над разными проектами. Я делал сайт «Доброй Машины Пропаганды», нас атаковали DDoS’oм, и в момент отражения атаки я познакомился с Владиславом Здольниковым, который сейчас работает инженером вместе со мной в компании Newcaster и помогает Навальному по IT-части. С тех пор дружим. После окончания «Доброй машины пропаганды» я уже отошел от Фонда.
— А сейчас вы, значит, работаете как волонтер?
— Обычно, когда я вижу какую-то акцию, я вызываюсь помочь. Вообще, моя история борьбы с блокировками началась, когда обсуждался закон (имеется в виду закон, вступивший в силу в ноябре 2012 года, который ввел Реестр запрещенных сайтов — прим. И.Б.). Я начал вести блог о борьбе с коррупцией на HabraHabr, стал от имени Фонда ходить на совещания в Роскомнадзоре, познакомился с Максимом Ксензовым (заместителем руководителя Роскомнадзора — прим. И.Б.) и пытался объяснить, насколько плох этот закон. Я даже пригласил Ксензова на HabraHabr, познакомил его с аудиторией, и он отвечал на вопросы пользователей.
— То есть получается, что Роскомнадзор консультировался по блокировкам сайтов с представителями фонда Навального?
— На совещания я как частное лицо не мог прийти, поэтому я просто спросил у Алексея: ты не против, если я от фонда аккредитуюсь и пойду, потому что я представляю другую точку зрения. Тогда еще не было таких столкновений Роскомнадзора и Навального, потому что не было еще и блокировок. Я пытался с ними дискутировать, и по многим моментам они соглашались. Допустим, что совершенно неправильно блокировать по IP-адресу. Потом закон был принят, никаких изменений не было внесено. Ну, а когда заблокировали блог Алексея (в марте 2014 года — прим. И.Б.), я и Влад уже не были настроены что-то согласовывать с ними, потому что бесполезно. К тому же я понял, что руководство Роскомнадзора очень подвержено, скажем так, психологическим аффектам: видят, что я работаю с Навальным — и давай меня называть иностранным агентом и пятой колонной.
— А кто так делает?
— Максим Ксензов. В общем, закон вступил в силу, и начались нарушения, когда в Реестр (Реестр запрещенных сайтов, который ведет Роскомнадзор — http://eais.rkn.gov.ru) вносили сайты игр, страницы «Википедии». Это были абсурдные блокировки, поэтому я никаких действий не организовывал. Но когда начались блокировки блога Алексея Навального, подача была со стороны Влада: давай организуем зеркало его блога, они же по политическим мотивам его заблокировали. И вот мы начали организовывать зеркала блога и активно призывать пользователей бороться с блокировками.
Мы говорили, что нельзя вносить неуникальные IP-адреса в Реестр — они не послушались, тогда мы выявили возможность использовать это противоречие как возможность для контратаки. Начали с ресурса Lifenews. Одно из наших зеркал внесли в Реестр, и по закону его начал блокировать «Ростелеком» и другие провайдеры, которые тоже блокируют по IP-адресу, а не по URL (уникальный указатель ресурсов — прим. И.Б). Мы сделали следующим образом — в домене изменили наш IP-адрес на IP-адрес Lifenews.
— Правильно я поняла, что Вы переехали на тот же IP-адрес, на котором существует Lifenews?
— Если быть совсем точным, мы не то что бы переехали, мы сделали перенаправление. Мы не указывали конкретно IP, но он просто подставлялся автоматически. А Роскомнадзор, поскольку не послушался наших предупреждений, требовал от провайдеров, если запрещенный ресурс меняет IP-адрес, блокировать новый адрес. «Ростелеком» сначала блокировал наш IP-адрес, потом видит, что у нас изменился IP-адрес, но он же не знает, что это IP-адрес Lifenews и начинает блокировать Lifenews. B итоге, Lifenews отключился у многих пользователей в России. Где-то спустя сутки они поняли, что это наша работа, и в результате Роскомнадзор не понимал, как выйти из этой ситуации.
— Когда это было?
— Это март, если не ошибаюсь. И они не знали, как им быть в этой ситуации, потому что механизм со стороны провайдеров уже существует, его никак не изменить. Поэтому, как только запрещенный ресурс обновляет IP-адрес, все «Ростелекомы» и прочие обновляют у себя адрес и блокируют его. А Роскомнадзор никак не может выделить и сказать: так, вот для этого ресурса не обновляйте IP-адрес. В итоге, они удалили наше зеркало блога из списка запрещенных сайтов, сняли блокировку. Потом заблокировали другое наше зеркало, мы сделали еще одну интересную вещь — перенаправление на страницу, где провайдеры получают список запрещенных ресурсов. При этом сеть устроена так, что «Ростелеком» является провайдером для многих мелких провайдеров, в результате все эти мелкие провайдеры, которые сотрудничают с Ростелекомом, не смогли зайти на страницу со списком запретных реестров, и получается, что запретный реестр заблокировал сам себя.
— Кто такие идеи придумывает?
— Влад, поскольку он является сисадмином и занимался организацией сетей, то есть он фактически тот человек, которого провайдеры нанимали для того, чтобы сделать механизм блокировки для списка запрещенных сайтов. Он знает все тонкости.
— А как Роскомнадзор вышел из ситуации с Lifenews?
— Поначалу они просто разблокировали наши зеркала, потом мы еще «Ридус» заблокировали.
— А почему «Ридус» попал?
— Мы каждый раз смотрим, кого еще заблокировать? Ну я думал-думал: «Первый канал» бесполезно блокировать, потому что у них очень крупный сайт и очень много IP-адресов. Ну давай «Ридус». В итоге пришли к тому, что эту ситуацию никак не мог разрешить, и Роскомнадзор запретил провайдерам обновлять IP-адреса запрещенных ресурсов.
— То есть?
— Ну, если теперь ресурс из списка запрещенных сайтов сменит свой IP-адрес, то провайдер не должен его у себя обновлять, он должен блокировать тот IP-адрес, который был изначально. Получается, что запрещенному ресурсу достаточно сменить IP-адрес — и все. То есть мы вынудили Роскомнадзор отступить.Вот что мы еще сделали. Мы не знали, что они делают с сайтом — сканируют как-то или вырезают контактные данные пользователей. Поэтому мы с Владом придумали наш поддомен зеркал fuckrkn.me, где любой поддомен ведет на зеркало блогов, то есть какой бы адрес не набрали бла-бла-бла.fuckrkn.me, он приведет на зеркало блога Навального. Но мы напрямую об этом не заявляли, вывесили просто список провоцирующих доменов: putinfuckrkn.me, pehtin.fuckrkn.me и ждали, когда заблокируют. Смысл был в том, что поскольку любой поддомен выводит на главное зеркало, он фактически являлся уникальным для каждого посетителя. Нам оставалось дождаться, пока какое-нибудь из этих зеркал попадет в реестр, и посмотреть логи по этому поддомену — с каких IP-адресов заходили.
— А как вы узнали, что это Роскомнадзор, а не кто-нибудь другой?
— Мы дождались, пока несколько таких зеркал попали в Реестр, и увидели, что переход на них был осуществлен через «Большую красную кнопку», которая динамически генерирует уникальный адрес зеркала для пользователя.
— Эта, что находится по адресу на navalny.us.
— Да. Генерился динамический адрес зеркала на fuckrkn.me и Роскомнадзор принялся за эту кнопку как раз, потому что мы ее пиарили, а не зеркала. Роскомнадзор заходил на эту большую кнопку, шел на уникальный для себя адрес зеркала, но не знал, что этот адрес уникален, актуален только для них. Для других пользователей генерировался другой адрес. А мы просто видели, что эти зеркала попали в Реестр, и в логах для этих зеркал были только эти IP-адреса, больше в них ничего не записано.
— То есть Вы расставили ловушки?
— Да, и заманили в них Роскомнадзор. Максимально провоцирующий домен сделали, тем самым выявили схему, кто занимается со стороны Роскомнадзора выявлением этих сайтов, что на них смотрят, какой порядок их действий и опубликовали эту схему
— Вы сделали еще одну вещь — стали показывать котиков Роскомнадзору при попытке зайти на блог Навального, внесенный в Реестр. Как вы это делаете?
— Еще на этапе, когда не существовало Реестра, все IT-сообщества обсуждали будущий механизм на HabraHabr. И пользователи выявили, что слабым местом будет то, что не так сложно составить список IP-адресов государственных сетей, сетей ФСКН, сетей Роскомнадзора и просто у себя на сайте их заблокировать.
— А как вычислить их сети?
— Есть публично доступные реестры, список IP-адресов. Например, реестр РИПН (RIPN Регистрация IP адресов, автономных систем (AS) обратных доменов РосНИИРОС — прим.И.Б.). В нем есть данные, что список этих сетей принадлежит такой-то организации. Его несложно добыть, остается только поддерживать его актуальность.С самого начала Реестра мы знали, что можем заблокировать все государственные органы. Когда наша деятельность дошла до организации зеркал блога Навального, мы поняли, если мы заблокируем зеркало для Роскомнадзора, то получится, что мы выполнили условия блокировки и нас можно исключать из Реестра. Тут Влад предложил вместо простой блокировки показать им какую-то смешную картинку и поставил котиков, и не только — еще розовых пони. Мы не ожидали, что на котиков пойдет такой мощный отклик.
— Да, изящно было сделано.
— Мы думали, что будут комментарии Роскомнадзора, что мы мошенники. А в результате вышла статья в «Ведомостях», со слов Роскомнадзора, что их сотрудники при заходе на блог Навального видят котиков, что было довольно забавно.
— Но ведь они недолго видят котиков? Как они выходят из этой ситуации?
— Они просто заходят потом с других IP-адресов, которые на тот момент не были в публичном «дампе» сетей госорганов, то есть списке IP-подсетей. Этот список размещён на сервисе Github и поддерживается сообществом в актуальном состоянии: https://github.com/AntiZapret/antizapretВ итоге мы выделили IP-адреса этой схемы и тоже начали их блокировать. Теперь когда нас блокируют, мы постоянно выявляем новые IP-адреса, которыми они пользуются. И Роскомнадзору из-за этого приходится пользоваться VPN, и мы сразу же все эти VPN и их cотрудников вносим в публичный дамп.
— Насколько можно понять, созданием зеркал для блога Навального занимаются волонтеры. Как это работает?
— Когда мы сделали этот домен, у которого любой поддомен идет на зеркало, мы не знали, как поступит Роскомнадзор. Сам механизм провайдеров не приспособлен для того, чтобы блокировать запрещенный ресурс по маске, то есть он не может блокировать все поддомены определенного домена, а может только конкретный адрес. А вдруг Роскомнадзор придумает такой механизм, что все-таки у него получится все наши динамические адреса одним махом заблокировать. Поскольку у нас ресурсы не безграничные, постоянно нужно покупать новые сервера, оплачивать защиту против DDoS-атак, то мы разместили инструкцию, как сделать зеркало блога Навального: делайте зеркало и присылайте нам, мы с удовольствием пустим его в ротацию. В итоге мы набрали довольно много волонтерских зеркал — порядка 60 волонтеров, некоторые из которых предоставили по 10 —15 зеркал. В общем, получилось где-то порядка 150 — 200 волонтерских зеркал. И когда они начинают массово нас блокировать, мы в ротацию на этой кнопке navalny.us запускаем процентов десять этих зеркал. А когда борьба Роскомнадзора затихает, мы волонтерские зеркала отключаем и запускаем только свой fackrkn.me Они так и не придумали механизм, как заблокировать полностью все поддомены одного ресурса.
— А почему они не могут вносить их в Реестр?
— Получается, им нужно перебрать всю возможную комбинацию адресов поддоменов — весь алфавит, все цифры.
— А насколько все это законно?
— Здесь в принципе странно говорить о законности, потому что они вносят нас в Реестр на основании постановления прокуратуры, в котором говорится о блокировке самого блога Навального, но в котором нет ни слова о наших зеркалах.
— А какова была реакция на вашу деятельность?
— Сам Роскомнадзор и его представители просто называли нас мошенниками, провокаторами и все в таком роде. Отдельные лица, которые поддерживают власть, угрожают, иногда через Tвиттер. Я сейчас эти имена даже и не вспомню. Но были и подставы.
— Что за подставы?
— Однажды я получил список зеркал, который выглядел по адресам довольно странно. Я на них зашел, смотрю в принципе по главному адресу открывается зеркало Навального, но если перейти уже на конкретный пост, то зеркала настроены неправильно, потому что уже открывалось не зеркало, а сам блог. Я владельцу тогда отписал, что вы неправильно настроили зеркала, исправьте, тогда, может, мы их добавим в ротацию. Он ничего не ответил. Проходит примерно неделя — две, и мне на email приходит письмо от корреспондента Cnews, который сообщает мне, что Роскомнадзор разослал сообщения, что сторонники Навального используют для зеркал блога Навального адреса, которые ранее попадали в реестр за распространение наркотиков и детской порнографии. И в этом же письме был список зеркал. Тут я понял, что это действительно была подстава с этими странными адресами зеркал.
— То есть, если бы Вы использовали эти адреса, то потом можно было бы сказать, что вы продавали наркотики?
— Они думали, что мы включим эти зеркала и можно будет обвинить нас.
— А сотрудники Центра «Э» на Вас не выходили?
— С Центром «Э» у нас первые столкновения произошли не из-за блокировок. Прошлой осенью Илья Яшин позвал меня помогать в предвыборной кампании, я стоял на кубах на Ленинском проспекте и раздавал газеты. Влад в то время был волонтером фонда Навального.И вот с того момента я начал замечать, что во время наших встреч с Владом за нами следит «наружка».
— Открыто?
— Зачастую прямо нагло. Мы решили, что это «эшники»: однажды мы встретились в торговом центре и обсуждали, как будем организовывать трансляции с митингов. А за соседним столом сидел мужчина, ничего не заказывал часа полтора, ни с кем не созванивался, никого не ждал, просто смотрел в одну точку полтора часа, повернув в нашу сторону что-то типа телефона. Мы нарочно стали громко говорить, и он тут же через несколько минут ушел. Проходит несколько дней, Яшин едет в Ярославль и публикует в Твиттере фотку с комментариями, что «эшники» сидят за соседним столиком, а на фотке тот же самый человек, который сидел напротив нас в торговом центре. После окончания работы с Яшиным, вроде бы «наружка» пропала. Что мы замечаем периодически — это прослушку. Допустим, когда я работал с Яшиным, вот что происходило. К моему счету в «Альфа-банке» привязан номер моего сотового телефона, и все операции нужно подтверждать эсэмской. Система безопасности «Альфа-банка» устроена так, что как только они обнаруживают признак компрометации сим-карты, а в это входит и ее клонирование, они блокируют возможность подтверждения платежа и сообщают в «Альфа-Клике» (система управления персональными счетами «Альфа-банка», — прим. И.Б.), что обнаружен признак смены сим-карты, операция заблокирована. Это началось одновременно со слежкой, я сходил в банк, счет разблокировали. Проходит всего день и меня снова блокируют, и так было четыре раза. Прослушку легко организовать с помощью клонирования сим-карты, а когда клонируется сим-карта, получается, что в сети одновременно находится два телефона с одним номером, но разными сим-картами, банк это обнаруживает и блокирует.
— А какие еще методы против вас использовались?
— Как-то я обнаружил пост в ЖЖ, что мы вымогаем деньги: вот есть такой Руслан Левиев, он вымогает деньги, помещая сообщения на антивирусных форумах о том, что появился какой-то вирус, который блокирует компьютеры, и требует деньги на борьбу с цензурой. Причем указан наш кошелек для пожертвований. И опубликован скриншот: типа пожертвуйте на борьбу с цензурой сто рублей. Я выяснил, что таких сообщений на форумах было пять или шесть и все написаны примерно в одно время. Я опубликовал пост, что нас пытаются подставить. В каком-то СМИ, кажется, в «Известиях», появилось сообщение, что на нас подана жалоба в Генпрокуратуру, что мы вымогаем деньги. Но мне из Генпрокуратуры не писали и не звонили.
— Какую атаку Вы оцениваете как самую эффективную?
— Если говорить о технической сложности, то самое сложное — это DDoS, потому что надо организовать атаку, организовать ботнет, надо ее технически совершенствовать, поскольку мы постепенно банили ботнет. Когда была DDoS-атака на нас, мы обнаружили, что подавляющее большинство зомбированных компьютеров, которые нас атакуют, — российские, что довольно-таки странно. Обычно это Китай или США. Вот это технически сложно. А с точки зрения результативности — это попытка подставить нас с вымогательством, потому что по этому поводу можно возбудить уголовное дело. Но пока мы на свободе.
Ирина Бороган