Цензура или нет? В Украине заработала система блокировки интернет-ресурсов — мы разобрались, что это такое

Что такое DNS-сервер и почему его используют для блокировки?

DNS-сервер — это нечто вроде списка контактов в интернете. Это сервер, на котором размещены базы данных публичных IP-адресов и имен доменов, связанных с ними. Каждый раз, когда вы подключаетесь к интернету, ваш провайдер (независимо от того, каким интернетом вы пользуетесь — домашним или мобильным) назначает вам определенный DNS-сервер.

Если вы хотите зайти на условный Youtube, вашему компьютеру или смартфону нужно знать IP-адрес сервера видеохостинга. В этом и заключается роль DNS-сервера — он «подсказывает» этот IP-адрес, к нему «подключается» ваш девайс, и открывает заветный Youtube.

Так же и с блокировкой — система не будет давать возможности определенным DNS-серверам (а именно тем, которые используют украинские провайдеры), превращать доменные имена определенных сайтов в соответствующие им IP-адреса. Так доступ к этим сайтам для пользователей из Украины будет закрыт. При этом работа самих сайтов остается неизменной.

Таким типом блокировки иногда пользуются определенные компании, не желающие, чтобы их работники пользовались соцсетями в рабочее время. DNS-сервер, используемый компанией, настраивается таким образом, чтобы он не разрешал условным facebook.com и twitter.com преобразовываться в IP-адреса. Поэтому подключиться к ним используя корпоративный вай-фай невозможно.

Новая система — как она будет работать?

Распоряжение о работе системы появилось 30 января. В нем НЦУ требует от украинских интернет-провайдеров в течение 30 дней (т.е. до 2 марта) зарегистрироваться в системе фильтрации фишинговых доменов, разрабатываемой НКЦК. В НКЦК нам рассказали, что к системе уже подключилось более 300 провайдеров, причем среди первых были крупнейшие из них — Киевстар, Vodafone, lifecell, Укртелеком и т. д.

В регламенте системы указано, что она будет работать исключительно в банковской и финансовой сферах, а ее цель — противодействие мошенничеству. Ведь во время полномасштабной войны платежное мошенничество не только не исчезло, а наоборот — в 2022 году наблюдается существенное увеличение его проявлений, пишет Шабан.

«Самым распространенным видом стала фейковая социальная помощь от государственных или международных организаций пострадавшим от войны украинцам. В 2022 году НБУ обнаружил около 4500 фишинговых ресурсов, для сравнения — в 2021 году эта цифра была на порядок меньше», — отмечает он.

Система будет работать автоматически, а список стоп-листов, то есть сайтов, доступ к которым будет заблокирован, будет обновляться каждые 15 минут. В НКЦК нам объяснили, что условий и факторов, на которые будет реагировать система, может быть много, в частности:

• ошибочное доменное имя, похожее на официальное имя банков/финансовых учреждений и которое может быть использовано злоумышленниками;
• сайты с фейковыми сертификатами;
• сайты с подозрительным контентом, который дублирует информацию из официального первоисточника. К примеру, правительственные сайты с новостями о выплате помощи.

За перечень фишинговых доменов, которые будут попадать в стоп-листы, отвечает специальная команда аналитиков, а для хранения и распространения списка фишинговых доменов используется платформа MISP, которая на практике оказалась достаточно удобной для анализа и отслеживания фишинговых кампаний.

Пользователь, пытающийся зайти на «запрещенный» ресурс, автоматически перенаправляется на лендинговую страницу, на которой будет указано, когда и за что был заблокирован сайт. Если владелец заблокированного сайта увидит, что его ресурс включили в стоп-лист, он может написать письмо на электронный адрес, указанный на этой странице. Тогда заявка придет к аналитикам, которые в режиме онлайн отработают, повторно проверят сайт и оперативно удалят его из стоп-листа, если ресурс попал туда ошибочно.

В регламенте отдельно указано, что система не будет применяться для блокирования доступа к сайтам, которые используются для распространения вредоносного программного обеспечения, пропаганды или дезинформации. «В списках будут исключительно финансовые фишинговые сайты, ведь НБУ отвечает только за защиту интересов граждан в финансовом секторе и усиление кибербезопасности финансового сектора в целом», — рассказали нам в пресс-службе НКЦК.

Так в чем же риски?

«Блокировка произвольного количества интернет-ресурсов, а не только фишинговых сайтов, может происходить как на этапе формирования перечня членами команды CSIPT-NBU (в результате технических ошибок, либо на коррупционной основе, либо путем давления на членов команды со стороны государственных органов, либо путем шантажа), так и через внешнее влияние на платформу MISP, где размещен этот перечень (например, путем взлома и преступного доступа к платформе)», — объясняет исполнительный директор ИнАУ Владимир Куковский в комментариях для NV.

Он добавляет, что у общественности нет понимания, как формировалась команда специалистов, вовлеченная в выбор ресурсов, которые должны быть заблокированы на территории Украины. Так же ничего не известно и о статусе платформы MISP — насколько она защищена от изломов, как она контролируется и управляется.

«Существует реальная опасность преступного изменения перечня фишинговых сайтов путем добавления туда произвольного количества интернет-ресурсов», — рассказывает Куковский. А потому, по его мнению, утверждение о том, что система не будет использоваться для блокирования других ресурсов кроме фишинговых, «является декларативной и не обеспеченной реальным содержанием».

В своем публичном заявлении Интернет Ассоциация Украины называет систему «троянским конем». Там объясняют это тем, что в будущем система «может быть использована незаконным способом врагом, недобросовестными конкурентами или чиновниками для блокирования законных отечественных ресурсов». Проще говоря, в ИнАУ боятся того, что под прикрытием борьбы с фишинговыми сайтами представители власти смогут блокировать и другие сайты.

Издание dev.ua привело комментарий белого хакера Никиты Кныша, написавшего пошаговую инструкцию, согласно которой злоумышленники могут заблокировать работу фактически любого сайта в Украине. По его словам, это не очень сложно — злоумышленникам нужно знать только публичные DNS сайта. Далее нужно зарегистрировать фишинговый домен и получить такие же DNS или IP-адрес от Cloudflare, подать заявление о фишинге — и вуаля, сайт заблокирован.

Такой способ блокирования сайта руководитель управления обеспечения деятельности НКЦК профильной службы Аппарата СНБО Украины Сергей Прокопенко назвал «манипуляцией и обманом». По его словам, именно по такой схеме работает Роскомнадзор, который блокирует не только DNS-серверы, но и IP-адреса одновременно. Он объясняет, что сайт-копия не может иметь идентичные одновременно DNS-сервер и IP-адрес, а потому заблокировать работу «оригинального» сайта с помощью антифишинговой системы невозможно.

Непонятная система блокировки сайтов — не единственная проблема, которую среди прочего указывают в ИнАУ. Так, п. 9 в регламенте предусматривает, что техническая информация, включающая дату и время, а также IP-адрес пользователя, будет храниться и передаваться соответствующим государственным органам.

Прокопенко подтвердил, что аналитики получат техническую информацию о попадающем на лендинговую страницу пользователе — то есть о том, кто пытался перейти по фишинговой ссылке. Однако никакой личной информации там нет, поскольку «эта информация нам действительно не нужна». По его словам, собирается «стандартизированный набор данных» — referrer, user agent и IP-адрес пользователя, который поможет отследить фишинговую кампанию. В будущем есть даже план отказаться от IP-адреса пользователя, поскольку практика показала, что эта информация также не является важной.

«Нам нужно понимать, откуда осуществлен переход, то есть какой сайт направил пользователя на этот сайт [например, реклама через Facebook или Instagram — прим. ред]. А user-agent позволяет нам понимать, с какого устройства происходил этот переход. Это позволяет видеть, какие именно кампании направлены на какие устройства», — объясняет Прокопенко.

Он объясняет это на простом примере. Молодое поколение более позитивно относится к НАТО, поэтому злоумышленники часто таргетируют фишинговую рекламу с «помощью от НАТО» на пользователей с более новыми устройствами; пенсионеры больше доверяют условной ООН, а потому злоумышленники пытаются таргетировать рекламу с «помощью» от ООН на более старые модели смартфонов. В то же время, контент на этих страницах будет почти идентичным, однако целевая аудитория для рекламы — разная. Так собранная информация помогает отслеживать и противодействовать кампании.

Что нам еще рассказали в НКЦК?

Чтобы разобраться, как работает система, мы встретились с руководителем управления обеспечения деятельности НКЦК профильной службы Аппарата СНБО Украины Сергеем Прокопенко.

На стене — огромный экран, на котором видно, как ежесекундно люди пытаются зайти на один из тысячи фишинговых сайтов, но перенаправляются на безопасную лендинговую страницу. За час разговора набирается около 15 тыс. «переходов». Буквально онлайн можно увидеть, какие фишинговые сайты начинают рекламироваться, на какой площадке. Обычно это пост в Facebook , который спамом рассылается в различные группы — от «Помощь переселенцам» до «Synthwave/Retrowave Ukraine». Также активно используются Instagram, где посты ставят на рекламу, и Telegram.

Прокопенко еще раз подчеркнул, что ни один другой сайт кроме фишинговых не будет попадать в стоп-листы. Сейчас каждый присоединившийся к системе провайдер видит, какие ресурсы есть в стоп-листе. Более того, уже в течение двух недель их планируют сделать публичными, чтобы каждый мог зайти и посмотреть на весь список заблокированных сайтов.

«Почему не делали этого раньше? Мы иногда знаем о доменах, которые зарегистрировали преступники, но еще не запустили рекламу. То есть, они уже есть в системе, однако еще не знают об этом. Мы не публиковали их список, чтобы они тратили деньги на неэффективную рекламу. Но если есть запрос общества, вообще никаких ограничений. Список будет публичным, все его увидят. Вы же понимаете, никто — ни НКЦК СНБО, ни Госспецсвязи, ни Нацбанк — не заинтересованы в скандалах, что это коррупция или цензура — это все будет прозрачно и публично», — рассказал Прокопенко.

Комментируя заявления о «троянском коне» в ключе того, что систему сломают россияне и получат возможность блокировать украинцам доступ в интернет, выход очень прост — провайдеры отключаются от системы, и все ресурсы снова доступны. «Mitigation очень прост, и он снижает угрозы и возможные негативные последствия [от взлома системы], поэтому это даже не нужно учитывать», — объясняет Прокопенко.

Для поиска фишинговых сайтов команда НКЦК использует сервис DomainTools, автоматически собирающий информацию по доменам со всего мира. К примеру, вам интересны все домены, которые используют слово privat. Сервис их показывает, после чего аналитик прогоняет их через всевозможные «белые списки» сайтов типа Google или Facebook, а затем проверяет их самостоятельно вручную. Здесь все просто — аналитик отмечает, какие из сайтов являются фишинговыми, а система их добавляет в стоп-лист.

Кроме того, каждый пользователь может самостоятельно послать жалобу в НКЦК или в киберполицию на какой-либо из ресурсов. Его проверят и, если выявят нарушения, добавят в стоп-лист.

Можно также обратиться в банк, но эта процедура будет значительно длиннее, ведь в этом случае банк сначала уведомляет Нацбанк как участника этой системы, а уже после этого информация о фишинговом ресурсе доходит до НКЦК.

Большинство фишинговых сайтов новые и не живут слишком долго, ведь их регистрируют под конкретную задачу — собрать деньги с доверчивых людей. «Поэтому заблокировать Google или информационные сайты почти невозможно, потому что это старые домены и они даже не попадут в этот список», — говорит Прокопенко.

Что интересно, очень многие фишинговые сайты и их реклама содержат орфографические ошибки. В НКЦК это объясняют тем, что множество подобных кампаний создаются россиянами.

Представители нескольких украинских банков рассказали, что после внедрения системы количество успешных фишинговых мошенничеств упало примерно на 40−50%, а количество обращений от обманутых граждан — на 30−40%. В одном из крупных банков отметили, что система «сэкономила» их клиентам 7 млн гривен. А на самом деле это десятки или даже сотни миллионов гривен ежемесячно, которые украинцы не потеряют благодаря работе системы, отмечают в НКЦК. Более подробная информация будет раскрыта впоследствии.

В то же время, после запуска системы, когда злоумышленники поняли, что работать в Украине им становится все труднее, они начали таргетировать рекламу на украинцев в Польше. Этому способствуют и алгоритмы соцсетей, которые не будут показывать полякам посты на украинском языке, и возможность тонкой настройки рекламы. «По этой причине мы сейчас планируем расширять сотрудничество со странами с крупнейшей украинской диаспорой», — отмечает Прокопенко.

Блокировать посты в соцсетях или мессенджерах команда, очевидно, не может. Однако уже в скором времени планируются переговоры с представителями Meta и Google, чтобы они забирали стоп-лист себе и блокировали возможность рекламы находящихся в нем ресурсов.