Дослідження UABlocklist: 87% опитаних провайдерів вважають блокування сайтів неефективним

Іван Шаргородський

10 лис 2023  р.

212

В результаті з'ясувалося, що 97% постачальників інтернет-послуг, які взяли участь у дослідженні, обмежують доступ до заборонених сайтів. Однак при цьому 64% респондентів заявили про малу ефективність подібних заходів, а 23% взагалі вважають наявні методи однозначно неефективними.

Чому ініціатива позбавити український інтернет шкідливих ресурсів поки що не досягла успіху? На це питання ми спробуємо відповісти у цьому матеріалі.

Як відбувається блокування сайтів

Нині блокування сайту може відбутися з двох причин:

• Ресурс підпадає під дію закону «Про санкції», який почав діяти ще 2014 року.
• Рішення про блокування інтернет-порталу виносить НЦУ — Національний центр оперативно-технічного управління електронними комунікаційними мережами України.

Рівень небезпеки сайту визначають профільний комітет Верховної Ради, Кабмін, Офіс Президента, Нацбанк, СБУ, Національна поліція та інші органи. Після цього вони подають запит на заборону до РНБО. Рішення, ухвалене цим органом, приводиться в дію підписом президента.

Після цього запускається механізм блокування. НЦУ надсилає постачальникам інтернет-послуг розпорядження з переліком ресурсів, доступ до яких необхідно обмежити. Далі провайдер блокує сайти зручним для себе способом, оскільки закон не визначає єдиного механізму виконання процедури.

Провайдер може обмежити перетворення імені забороненого ресурсу на його цифрову адресу, заборонити доступ до IP-адрес або цілих автономних систем (AS), які відповідають за маршрутизацію сотень порталів, у тому числі й безпечних. В результаті цього користувач побачить у браузері не інтерфейс ресурсу, а «заглушку», яка повідомить про блокування, або стандартне сповіщення браузера про відсутність доступу.

Що кажуть провайдери про блокування сайтів

За даними опитування, 42% провайдерів блокують заборонені ресурси за допомогою DNS. Цей метод полягає в заміні IP для конкретного домену на локальному DNS-сервері провайдера.

Працює це так: коли ви відкриваєте у браузері сайт, наприклад vk.com, система запитує IP адресу, що відповідає цьому домену. Першим запит обробляє DNS-сервер провайдера, який звертається до вищих DNS-серверів. За умови блокування за DNS провайдер прописує у своїй локальній бібліотеці відповідностей доменів та IP адрес заблокований домен зі зміненим IP. У результаті, коли браузер відправляє запит для такого сайту, замість справжнього IP отримує підмінний.

До переваг цього методу можна віднести простоту, високу швидкість блокування та відсутність навантаження на апаратуру. Однак є й недоліки:

• У користувача все одно залишається можливість підключення до альтернативного DNS-серверу в налаштуваннях ПК;
• Власник заблокованого сайту може створити «дзеркала» — показувати заборонений контент на доменах, які відрізняються від заблокованого лише 1 символом, але все ще асоціюються у користувача з сайтом-оригіналом.

Другий за популярністю спосіб, який використовують 33% респондентів, — блокування IP-адрес, коли замість доменного імені під блокування потрапляє цифрова адреса сайту. У такому випадку трафік блокується на маршрутизаторі провайдера, а браузер втрачає можливість обробити запит користувача. За аналогічним принципом обмежується доступ і до автономних систем. Основна складність тут у тому, що на одній IP-адресі може бути безліч абсолютно не пов'язаних сайтів, а заблокований домен може змінити IP.

За результатами нашого опитування 17% провайдерів зазначають, що такий метод блокування при необдуманому використанні може позбавити користувачів доступу до сайтів, не пов'язаних із пропагандою Росії, нелегальними казино та іншими шкідливими ресурсами. При цьому можуть постраждати не лише російські, а й казахські, киргизькі та інші портали, які обслуговуються тими самими AS.

У ситуації, коли заборонений сайт ділить IP з іншими доменами, наші респонденти діють так:

• 5% провайдерів блокують усі сайти, розміщені на заборонених IP;
• 23% не блокуватимуть нічого;
• 72% використають комбіновані методи, які дозволять виділити один або кілька потрібних доменів (наприклад, разом із DNS).

Щоб такий метод блокування був ефективним у разі зміни заблокованим сайтом IP-адреси, провайдерам доводиться при кожному зверненні до забороненого домену оновлювати дані про його IP-адресу у своєму блок-листі. На думку 23% опитаних, це спричиняє труднощі, оскільки при об'ємному списку заблокованих ресурсів вимагає використання додаткової апаратури та збільшує навантаження на систему.

Третій за популярністю (використовується 17% респондентів) спосіб блокування — протокол Layer7. Це один з інструментів налаштування Firewall. Його сенс полягає в пошуку відповідностей даних, оброблюваних протоколами TCP/UDP і ICMP. Протокол переглядає перші 10 пакетів чи 2 KB кожного встановленого з'єднання, після чого починає шукати шаблони. Після знаходження того чи іншого трафіку система дозволяє заблокувати його.

Цей метод не користується популярністю через високе навантаження на апаратуру (а це проблема 18% опитаних загалом). Чим більше адрес буде у фільтрах протоколу, тим сильнішим виявиться вплив на маршрутизатор, що в результаті може позначитися на загальній якості з'єднання.

Опитування показало, що лише 8% учасників дослідження користуються комбінованими методами блокування.

Контроль за виконанням рішень щодо блокування сайтів

Механізми, які б дозволили контролювати виконання положень закону «Про санкції», наразі не розроблені. Це означає, що кримінальна чи адміністративна відповідальність для провайдерів, які не захотіли блокувати відповідні сайти, не настане.

Для обробки розпоряджень НЦУ передбачено такий порядок:

1. Контролюючий орган формує список сайтів для блокування та розсилає його постачальникам інтернет-послуг.
2. Провайдер обмежує доступ до цих ресурсів.
3. Провайдер надсилає звіт про проведену роботу.

За невиконання умов НЦУ може звернутися до НКЕК. Це регулятор у сфері електронних комунікацій, який може відкликати ліцензію провайдера після погодження з Кабміном.

Також провайдери наголошують на недоліках самого формату взаємодії з органами, що приймають рішення про блокування. Наприклад, більшість розпоряджень надсилаються у вигляді сканкопій, в яких вказуються назви заборонених сайтів. Даний формат не дозволяє чітко відрізнити заголовну I (і) від рядкової l (ель), 0 (нуль) від заголовної O тощо. Також документи надсилаються на електронні адреси, які є в розпорядженні НЦУ. Якщо e-mail одного з провайдерів змінився, він не отримає нового списку.

У деяких випадках відіграє роль і час. Наприклад, фішингові домени, на боротьбу з якими останнім часом зроблено особливий акцент, існують кілька годин, після чого на їхнє місце приходять нові. Наявна бюрократична процедура не здатна забезпечити своєчасне блокування таких ресурсів або автоматизувати процедуру.

Загалом відсутність або запізніле відправлення інструкцій щодо блокування з боку відповідальних органів є проблемою для 33% опитаних провайдерів.

Як зробити блокування сайтів ефективнішим

Система дій, спрямована на боротьбу з небажаними сайтами, далека від ідеалу. На думку опитаних постачальників інтернет-послуг, головні причини неефективності блокувань у наступному:

• Користувач може отримати доступ до будь-якого ресурсу через VPN — 82%;
• заблоковані сайти все ще з'являються в пошуку — 5%;
• надто повільний механізм екстреного блокування вірусних та фішингових порталів — 3%.

Проведене дослідження підштовхує до висновків, що поліпшення стануть можливі після:

• Налагодження ефективної комунікації між провайдерами та контролюючими органами;
• формування єдиних протоколів блокування;
• напрацювання законодавчої бази, яка визначить права, обов'язки та відповідальність кожної зі сторін процесу. Наприклад, регламент звітності провайдерів.

Пропонуємо вам пройти опитування щодо ефективності блокування потенційно небезпечних сайтів з погляду користувачів. Анкета анонімна, посилання на неї розміщено нижче. Результати опитування ми обов'язково опублікуємо в одному з наступних матеріалів.

Посилання на опитування: Складнощі, з якими провайдери зіштовхуються під час блокування сайтів