NV Преміум

Цензура чи ні? В Україні запрацювала система блокування інтернет-ресурсів — ми розібралися, що це таке

IT-індустрія

9 березня 2023, 08:03

До другого березня українcькі інтернет-провайдери мали встановити систему, яка кожні 15 хвилин автоматично завантажує на сервер провайдера т.зв. стоп-лист — список сайтів, доступ до яких буде заборонено. В РНБО називають систему порятунком від інтернет-шахраїв, проте існують побоювання, що це може стати першим кроком до онлайн-цензури.

Так, в Інтернет Асоціації України (ІнАУ) назвали нову систему «троянським конем».

Панікою вже скористалася і російська пропаганда, яка активно поширює повідомлення про страшну цензуру, «утопію Оруела» та СБУ, яке слідкує за кожним кроком українців в інтернеті.

Систему запустив Національний координаційний центр кібербезпеки (НКЦК) при Раді національної безпеки і оборони України (РНБО) спільно з Національним банком України (НБУ).

У заяві останніх стверджується, що проєкт використовуватиметься виключно для протидії шахрайствам у фінансовому секторі. Стверджується, що система буде використовуватись виключно для блокування фішингових сайтів, за допомогою яких зловмисники отримують доступ до банківських рахунків громадян.

«У 2022 році НБУ виявив близько 4500 фішингових ресурсів, для порівняння — в 2021 році ця цифра була на порядок меншою. Це спонукало Національний банк впровадити захід протидії шкідливим сайтам. Його впровадження сприятиме посиленню кіберзахисту фінансової системи, дасть змогу убезпечити українців від аферистів, а в майбутньому — зменшити кількість фішингових атак та загалом обсяги фінансового шахрайства в Україні», — каже заступник Голови НБУ Олексій Шабан.

На думку фахівців з ІнАУ, якщо до цієї системи отримають доступ російські хакери, вони зможуть заблокувати в Україні доступ і до інших сайтів. Крім того, в Асоціації наголошують, що інформація про кожного користувача, який намагався перейти на заблокований ресурс, «автоматично фіксується і передається до відповідних державних органів».

Насправді це не перша подібна практика блокування фішингових інтернет-ресурсів в Україні. Наприклад, 27 лютого Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) випустив розпорядження щодо блокування 709 доменних імен, пов’язаних з азартними іграми та онлайн-казино. Блокування відбувається через DNS-сервери провайдерів інтернет-ресурсів.

NV розібрався в роботі системи — ми поговорили з представниками ІнАУ та НКЦК, подивилися, як працює система зсередини, та пояснюємо, наскільки все страшно.

Спойлер: не страшно, а радше корисно.

Передплатіть NV Преміум та читайте без обмежень

Нам необхідна ваша підтримка, щоб займатися якісною журналістикою

Перший місяць 1 ₴. Відмовитися від передплати можна у будь-який момент

Що таке DNS-сервер та чому його використовують для блокування?

DNS-сервер — це щось на кшталт списку контактів в інтернеті. Це сервер, на якому розміщені бази даних публічних IP-адрес та імен доменів, що пов’язані з ними. Кожного разу, коли ви підключаєтесь до інтернету, ваш провайдер (незалежно від того, яким інтернетом ви користуєтесь — домашнім чи мобільним) призначає вам певний DNS-сервер.

Коли ви хочете зайти на умовний Youtube, вашому комп’ютеру чи смартфону потрібно знати IP-адресу сервера відеохостингу. В цьому і полягає роль DNS-сервера — він «підказує» цю IP-адресу, до неї «підключається» ваш девайс та відкриває заповітний Youtube.

Так само і з блокуванням — система не даватиме можливості певним DNS-серверам (а саме тим, які використовують українські провайдери), перетворювати доменні імена певних сайтів на відповідні їм IP-адреси. Так доступ до цих сайтів для користувачів з України буде закритим. При цьому робота самих сайтів залишається незмінною.

Таким типом блокування іноді користуються певні компанії, які не хочуть, щоб їхні працівники користувалися соцмережами у робочий час. DNS-сервер, який використовує компанія, налаштовується таким чином, щоб він не дозволяв умовним facebook.com та twitter.com перетворюватися на IP-адреси. Через це підключитися до них використовуючи корпоративний вай-фай неможливо.

Нова система — як вона працюватиме?

Розпорядження щодо роботи системи з’явилося 30 січня. У ньому НЦУ вимагає від українських інтернет-провайдерів протягом 30 днів (тобто до 2 березня) зареєструватися в системі фільтрації фішингових доменів, яку розробляв НКЦК. У НКЦК нам розповіли, що до системи вже підключилися більше 300 провайдерів, причому серед перших були найбільші з них — Київстар, Vodafone, lifecell, Укртелеком і т.д.

У регламенті системи вказано, що вона працюватиме виключно в банківській і фінансовій сферах, а її мета — протидія шахрайству. Адже під час повномасштабної війни платіжне шахрайство не тільки не зникло, а навпаки — у 2022 році «спостерігається суттєве збільшення його проявів», пише Шабан.

«Найпоширенішим видом стала фейкова соціальна допомога від державних чи міжнародних організацій постраждалим від війни українцям. У 2022 році НБУ виявив близько 4500 фішингових ресурсів, для порівняння — в 2021 році ця цифра була на порядок меншою», — зазначає він.

Система працюватиме автоматично, а список стоп-листів, тобто, сайтів, доступ до яких буде заблоковано, буде оновлюватись кожні 15 хвилин. У НКЦК нам пояснили, що чинників і факторів, на які реагуватиме система, може бути багато, зокрема:

  • хибне доменне ім'я, яка подібне на офіційне ім'я банків/фінансових установ і яке може бути використане зловмисниками;
  • сайти з фейковими сертифікатами;
  • сайти з підозрілим контентом, який дублює інформацію з офіційного першоджерела. Наприклад, урядові сайти з новинами про виплату допомоги.

За перелік фішингових доменів, які потраплятимуть у стоп-листи, відповідає спеціальна команда аналітиків, а для зберігання та розповсюдження переліку фішингових доменів використовується платформа MISP, яка на практиці виявилася доволі зручною для аналізу та відслідковування фішингових кампаній.

Користувач, який намагається зайти на «заборонений» ресурс, автоматично перенаправляється на лендінгову сторінку, на якій буде вказано коли та за що було заблоковано сайт. Якщо власник заблокованого сайту побачить, що його ресурс включили у стоп-лист, він може написати листа на електронну адресу, зазначену на цій сторінці. Тоді заявка прийде до аналітиків, які у режимі онлайн відпрацюють її, повторно перевірять сайт та оперативно видалять його зі стоп-листа, якщо ресурс потрапив туди помилково.

У регламенті окремо зазначено, що система не буде застосовуватись для блокування доступу до сайтів, які використовуються для розповсюдження шкідливого ПО, пропаганди чи дезінформації. «В списках будуть виключно фінансові фішингові сайти, адже НБУ відповідає лише за захист інтересів громадян у фінансовому секторі та посилення кібербезпеки фінансового сектору в цілому», — розповіли нам у прес-службі НКЦК.

То в чому ж ризики?

«Блокування довільної кількості інтернет-ресурсів, а не лише фішингових сайтів, може відбуватись як на етапі формування переліку членами команди CSIPT-NBU (в результаті технічних помилок, або на корупційній основі, або шляхом тиску на членів команди з боку державних органів, або шляхом шантажу), так і через зовнішній вплив на платформу MISP, де розміщений цей перелік (наприклад, шляхом злому і злочинного доступу до платформи)», — пояснює виконавчий директор ІнАУ Володимир Куковський у коментарях для NV.

Він додає, що у громадськості немає розуміння, як формувалася команда спеціалістів, залучена до вибору ресурсів, які мають бути заблоковані на території України. Так само нічого не відомо і про статус платформи MISP — наскільки вона захищена від зламів, як вона контролюється та управляється.

«Існує реальна небезпека злочинної зміни переліку фішингових сайтів шляхом додавання туди довільної кількості інтернет-ресурсів», — розповідає Куковський. А тому, на його думку, твердження про те, що система не буде використовуватись для блокування інших ресурсів окрім фішингових, «є декларативною і такою, що не забезпечена реальним змістом».

У своїй публічній заяві Інтернет Асоціація України називає систему «троянським конем». Там пояснюють це тим, що у майбутньому система «може бути використана у незаконний спосіб ворогом, недобросовісними конкурентами чи чиновниками для блокування законних вітчизняних ресурсів». Простіше кажучи, у ІнАУ бояться того, що під прикриттям боротьби з фішинговими сайтами, представники влади зможуть блокувати й інші сайти.

Видання dev.ua навело коментар білого хакера Микити Книша, який написав покрокову інструкцію, за якою зловмисники можуть заблокувати роботу фактично будь-якого сайту в Україні. За його словами, це не дуже складно — зловмисникам потрібно лише знати публічні DNS сайту. Далі треба зареєструвати фішинговий домен і отримати такі ж самі DNS або IP-адресу від Cloudflare, подати заяву про фішинг — і вуаля, сайт заблоковано.

Такий спосіб блокування сайту керівник управління забезпечення діяльності НКЦК профільної служби Апарату РНБО України Сергій Прокопенко назвав «маніпуляцією й обманом». За його словами, саме за такою схемою працює Роскомнагляд, який блокує не тільки DNS-сервери, а й IP-адреси одночасно. Він пояснює, що сайт-копія не може мати ідентичні одночасно DNS-сервер та IP-адресу, а тому заблокувати роботу «оригінального» сайту за допомогою антифішингової системи неможливо.

Незрозуміла система блокування сайтів — не єдина проблема, на яку серед іншого вказують у ІнАУ. Так, п. 9 у регламенті передбачає, що технічна інформація, яка включає дату і час, а також IP адресу користувача, буде зберігатися та передаватися відповідним державним органам.

Прокопенко підтвердив, що аналітики отримають технічну інформацію про користувача, який потрапляє на лендінгову сторінку — тобто, про того, хто намагався перейти за фішинговим посиланням. Проте ніякої особистої інформації там нема, оскільки «ця інформація нам дійсно не потрібна». За його словами, збирається «стандартизований набір даних» — referrer, user agent та IP-адреса користувача — який допоможе відслідкувати фішингову кампанію. У майбутньому є навіть план відмовитися від IP-адреси користувача, оскільки практика показала, що ця інформація також не є важливою.

«Нам потрібно розуміти, звідки здійснено перехід, тобто який сайт направив користувача на цей сайт [наприклад, реклама через Facebook чи Instagram — прим. ред]. А user-agent дозволяє нам розуміти, з якого пристрою відбувався цей перехід. Це дозволяє бачити, які саме кампанії направлені на які пристрої», — пояснює Прокопенко.

Він пояснює це на простому прикладі. Молоде покоління більш позитивно ставиться до НАТО, тому зловмисники часто таргетують фішингову рекламу з «допомогою від НАТО» на користувачів із новішими пристроями; водночас пенсіонери більше довіряють умовній ООН, а тому зловмисники намагаються таргетувати рекламу з «допомогою» від ООН на старіші моделі смартфонів. Водночас контент на цих сторінках буде майже ідентичним, проте цільова аудиторія для реклами — різна. Так зібрана інформація допомагає відслідковувати кампанії та протидіяти ним.

Що ще нам розповіли в НКЦК?

Щоб розібратися, як працює система, ми зустрілися з керівником управління забезпечення діяльності НКЦК профільної служби Апарату РНБО України Сергієм Прокопенком.

На стіні — величезний екран, на якому видно, як щосекунди люди намагаються зайти на один з тисячі фішингових сайтів, але натомість перенаправляються на безпечну лендінгову сторінку. За годину розмови набирається близько 15 тис. «переходів». Буквально онлайн можна побачити, які фішингові сайти починають рекламуватися, на якому майданчику. Зазвичай це якийсь пост у Facebook, який спамом розсилається у різноманітні групи — від «Допомога переселенцям» до «Synthwave / Retrowave Ukraine». Також активно використовуються Instagram, де пости ставлять на рекламу, та Telegram.

Ефективність роботи системи з 27.02 по 5.03

Заблоковано переходи більше 240 тис. користувачів на фішингові сайти, що "зекономило" їм майже 5,5 млн грн. Також можна побачити "найпопулярніші" ресурси та де вони рекламуються / Фото: НКЦК / НВ

Прокопенко ще раз підкреслив, що жоден інший сайт окрім фішингових, не потраплятиме у стоп-листи. Зараз кожен провайдер, що приєднався до системи, бачить, які ресурси є у стоп-листі. Ба більше, вже впродовж двох тижнів їх планують зробити публічними, щоб кожен міг зайти та подивитися на увесь список заблокованих сайтів.

«Чому не робили цього раніше? Ми іноді знаємо про домени, які злочинці зареєстрували, але ще не запустили рекламу. Тобто вони вже є в системі, проте ще не знають про це. Ми не публікували їхній список, щоб вони витрачали гроші на неефективну рекламу. Але, якщо є запит суспільства, взагалі ніяких обмежень. Список буде публічним, всі його побачать. Ви ж розумієте, ніхто — ні НКЦК РНБО, ні Держспецзв’язку, ні Нацбанк не зацікавлені в скандалах, що це корупція чи цензура — це все буде прозоро і публічно», — розповів Прокопенко.

Коментуючи заяви про «троянського коня» нібито про те, що систему зламають росіяни та отримають змогу блокувати українцям доступ в інтернет, вихід дуже простий — провайдери відключаються від системи, і усі ресурси знову доступні. «Mitigation дуже простий, і він знижує загрози та можливі негативні наслідки [від зламу системи], тому на це навіть непотрібно зважати», — пояснює Прокопенко.

Для пошуку фішингових сайтів команда НКЦК використовує сервіс DomainTools, який автоматично збирає інформацію по доменам з усього світу. Наприклад, вам цікаві усі домени, які використовують слово privat. Сервіс їх показує, після чого аналітик проганяє їх через різноманітні «білі списки» сайтів на кшталт Google або Facebook, а потім перевіряє їх самостійно вручну. Тут все просто — аналітик відзначає, які з сайтів є фішинговими, а система їх додає у стоп-лист.

Крім того, кожен користувач може самостійно прислати скаргу у НКЦК або в кіберполіцію на якийсь з ресурсів. Його перевірять і, якщо виявлять порушення, додадуть у стоп-лист.

Можна також звернутися до банку, але ця процедура буде значно довшою, адже у цьому випадку банк спочатку повідомляє Нацбанк як учасника цієї системи, а вже після цього інформація про фішинговий ресурс доходить до НКЦК.

Більшість фішингових сайтів є новими і не живуть надто довго, адже їх реєструють під конкретну задачу — зібрати гроші з довірливих людей. «Тому заблокувати Google або інформаційні сайти майже неможливо, бо це старі домені, і вони навіть не потраплять у цей список», — каже Прокопенко.

Що цікаво, дуже багато фішингових сайтів та їхньої реклами містять орфографічні помилки. У НКЦК це пояснюють тим, що велика кількість подібних кампаній створюються росіянами.

Представники декількох українських банків розповіли, що після впровадження системи кількість успішних фішингових шахрайств впала приблизно на 40−50%, а кількість звернень від ошуканих громадян — на 30−40%. В одному з великих банків зазначили, що система «зекономила» їхнім клієнтам 7 млн гривень. А насправді це десятки або навіть сотні мільйони гривень щомісяця, які українці не втратять завдяки роботі системи, зазначають у НКЦК. Більш детальна інформація буде розкрита згодом.

Водночас після запуску системи, коли зловмисники зрозуміли, що працювати в Україні їм стає все важче, вони почали таргетувати рекламу на українців в Польші. Цьому сприяють і алгоритми соцмереж, які не будуть показувати полякам пости українською, і можливість тонкого налаштування реклами. «Через це ми зараз плануємо розширювати співпрацю з країнами з найбільшою українською діаспорою», — зазначає Прокопенко.

Блокувати пости у соцмережах чи мессенджерах команда, очевидно, не може. Проте вже скоро плануються переговори із представниками Meta та Google, щоб вони забирали стоп-лист собі та блокували можливість реклами ресурсів, які знаходяться у ньому.

Інші новини

Всі новини