Xakep #305. Многошаговые SQL-инъекции
Среда, 18 апреля 2018 года, выдалась более спокойной по сравнению с минувшим вторником. Напомню, что по данным на конец 17 апреля, Роскомнадзор внес в реестр запрещенных сайтов порядка 16,3 миллиона IP-адресов. Большинство этих адресов принадлежат компаниям Amazon и Google, и блокировке они подверглись из-за того, что Telegram использует «облака» компаний для смены серверов и уклонения от блокировки.
В среду многомиллионных пополнений реестра запрещенных сайтов более не происходило, стало ясно, что представители регулятора пытаются сменить тактику. Тем не менее, во второй половине дня реестр пополнился примерно 130 000 IP-адресами популярного хостинг-провайдера Digital Ocean (отслеживать выгрузку блокируемых IP можно на этом сайте, созданном энтузиастами).
Представители Digital Ocean пишут в официальном Twitter, что им известно об этой проблеме. Однако в ситуации, когда власти какой-либо страны решают блокировать IP-адреса Digital Ocean для своих граждан, будучи простым провайдером, компания не может поделать ровным счетом ничего.
We are aware of the situation and are monitoring it. Unfortunately there is no direct action we can take as a provider if a national government decides to block our IP addresses for their citizens.
— DigitalOcean (@digitalocean) April 18, 2018
Еще одну интересную новость сообщает издание «Коммерсант». Ссылаясь сразу на три собственных источника в отрасли и неназванного крупного федерального чиновника, журналисты сообщили, что видя неэффективность текущих попыток блокировки, 18 апреля представители Роскомнадзора собрали представителей операторов связи для обсуждения дальнейшей стратегии. Однако и это пока не помогло найти какое-либо решение сложившейся ситуации. Стоит отметить, что в пресс-центре Роскомнадзора настаивают, что информация о проведении совещания с операторами по теме блокировки Telegram «не соответствует действительности».
Как мы уже писали ранее, сейчас в более масштабном виде повторяется ситуация, недавно возникшая из-за интернет-рации Zello. Напомню, что тогда разработчики Zello прибегали к использованию услуг Amazon Web Service, постоянно меняя адреса, чтобы избежать блокировок. В итоге Роскомнадзор начал блокировать адреса AWS, и представители Amazon попросили Zello прекратить использовать Amazon AWS для подобной деятельности.
Сооснователь Zello Алексей Гаврилов дал следующий комментарий представителям «Коммерсанта»: «Большую часть года на обход блокировок мы тратили менее $10 в день. В последние несколько месяцев, в связи с ростом усердия Роскомнадзора, сумма увеличилась примерно до $70 в день». Гаврилов полагает, что для Telegram нижняя планка затрат на обход блокировок составляет порядка $5000 в день, хотя может быть и в десять раз больше. При этом для Роскомнадзора «охота» за Telegram ничего не стоит, как утверждают в ведомстве.
Между тем, в поддержку Telegram выступил Американский союз гражданских свобод (ACLU) — крупнейшая национальная правозащитная организация. Представители ACLU призвали Google, Amazon, Microsoft и Apple соблюдать права человека и сопротивляться «кампании интернет-цензуры со стороны российских властей».
We call on @Amazon, @Google, @Microsoft, and @Apple to resist Russia's internet censorship campaign.
— ACLU (@ACLU) April 18, 2018
Stand for human rights by ensuring @Telegram's access to their platforms and allowing them to change IP addresses without limit. https://t.co/bP668FnOt2
Павел Чиков, глава международной правозащитной группы «Агора», представляющей интересы Telegram Messenger LLP, пишет:
«Главная линия фронта кибервойны, которую развязали российские власти с Telegram, сейчас проходит именно по Google, Amazon, Microsoft и Apple, чьи сервера обеспечивают работу мессенджера и в чьих онлайн магазины можно скачивать приложение. Именно от принципиальности этих корпораций во многом зависит успех цифрового сопротивления.
Роскомнадзор, тренируясь в марте на Zello, смог убедить Amazon не пускать трафик онлайн рации через свои сервера. В результате Zello на территории России практически недоступна без VPN и прокси.
РКН пытается выкручивать руки американским корпорациям, притом, что глава его Александр Жаров находится в персональном санкционном списке США. Угрожает он препятствиями для работы серверов и сервисов в России.
Следите именно за этой линией противостояния».