В конце апреля в России произошел массовый сбой работы системы оплаты банковскими картами. Одной из вероятных причин специалисты по кибербезопасности назвали блокировки Роскомнадзора, куда по ошибке попали технические адреса банковских служб. Роскомнадзор свою ответственность за это отрицает, и возложил ее на двоих активистов ФБК и специалистов в IT-сфере Владислава Здольникова и Александра Литреева.
Но после того, как выяснилось, что Роскомнадзор не собирается исправлять ошибку в своей системе блокировок, интернет пользователи начали использовать уязвимость системы против самого надзорного ведомства.
Ваш браузер не поддерживает HTML5
Дмитрий (Давид) Хомак, основатель проекта "Луркоморье", который Роскомнадзор заблокировал в 2012 году одним из первых, рассказал Настоящему Времени, как работает схема атак на Роскомнадзор и насколько этичны действия кибер-активистов.
— Скажи, когда в 2012 году блокировали "Луркоморье", таких же похожих лазеек тогда не было, чтобы каким-то образом ответить Роскомнадзору? Когда они стали известны?
— Были почти сразу найдены примерно такие же лазейки, потому что в принципе блокировка сайтов – это огромная дыра в безопасности. Как только туда что-то подсовываешь, то есть как только что-то блокируешь, тебе можно подсунуть что-нибудь не то. Соответственно, Максим Машков, насколько я помню, тут же, когда заблокировали что-то из его сайтов, внес IP-адрес чего-то такого совершенно нужного, важного, фатального, и, в общем, понеслось.
— Эти ответные меры, которые предпринимают борцы с Роскомнадзором, – это такой троллинг ведомства, это такая партизанщина? Как к этому вообще правильно нужно относиться?
— Технически это абсолютно DoS-атака, то, что называется Denial of Service атака. Это абсолютно честная атака, то есть она работает как любая другая атака на инфраструктуру, на интернет. То есть последствия ее совершенно такие же, как любой другой атаки. Но она настолько простая, тупая и достаточно эффективная, что ее может совершить вообще любой человек, у которого есть лишние, не знаю, 10 баксов и 15 минут свободного времени. Прекратить эти атаки можно, в общем, было просто командой "отключить систему "Ревизор". "Ребята, отключите домен, у вас интернет сейчас упадет". — "Нет, мы не отключим, это вы все, злые хакеры, хулиганы, кто угодно". Ребята, вы чего?
— Это можно вообще воспринимать как такое новое революционное, полуреволюционное объединение людей, которые живут в интернете, скажем, которые представляют голоса этого интернета, против репрессивного ведомства?
— Это, скорее, просто массовое движение типа "вы нас достали". Всех очень утомило поведение Роскомнадзора, который блокирует что ни попадя, например, за пропаганду шоплифтинга среди молодежи, суд начинает уже блокировать многие сайты, пропаганду уклонения от уплаты алиментов массово выносятся, пропаганду дачи взятки, пропаганду чего угодно. Они что угодно обзывают пропагандой, и на этом основании блокируют огромные куски интернета.
— Всегда ли 100% этичны вот такие методы борьбы с Роскомнадзором, жертвами которых, в том числе, становится не только Роскомнадзор, но и просто левые пользователи?
— В принципе не очень этично, поэтому я никогда никого не призывал, не призываю и не буду призывать пользоваться такими методами. Это неэтично, атака типа Denial of Service – это именно что атака на инфраструктуру. Нет, это нехорошо. Проблема в том, что если уязвимость такого масштаба, кто-нибудь обязательно ею воспользуется, ею слишком легко воспользоваться. То есть у кого-то было плохое настроение, кого-то достал Роскомнадзор. Проблема именно в масштабе уязвимости, и народ перешел от каких-то мелких тычков, типа гадости из баллончика написать, к, в общем, скидыванию поездов с рельсов, грубо говоря. Через неделю после того, как выяснилось, что Роскомнадзор не собирается вообще никак отступать.
— За скидывание поездов с рельсов власть у нас отвечает весьма жестко, и Роскомнадзор – тоже представитель этой власти, заточенной на репрессивную модель ответа.
— Их проблема. То есть это провоцирование людей на все более и более безумные поступки. То есть проблема в том, что отвечать за это должна власть, за то, что дырку такого масштаба неделю или больше никто не закрывал, за то, что Роскомнадзор на неделю спрятался и никак на это не реагировал, они должны по-хорошему ответить.