Хакер #305. Многошаговые SQL-инъекции
СМИ сообщают, что Роскомнадзор предлагает использовать оборудование, установленное у провайдеров (технические средства противодействия угрозам, ТСПУ), для ограничения доступа к средствам анонимизации. К таковым в РКН отнесли сервисы по использованию виртуальных номеров телефона.
Как пишет «Коммерсант», под описание «средств анонимизации» подпадают даже виртуальные номера на платформе Fragment, которые можно покупать за криптовалюту для анонимной регистрации в Telegram.
Журналисты ознакомились с разработанным Роскомнадзором проектом постановления правительства, которым предлагается изменить правила централизованного управления сетью связи общего пользования. Согласно проекту, в число угроз, которые предписывается фильтровать через ТСПУ, планируется внести сайты, позволяющие анонимизировать пользователей интернета, а в пояснительной записке РКН уточняет, что к ним относятся сервисы, позволяющие регистрироваться на сайтах и мессенджерах посредством виртуального номера телефона. Поправки в случае принятия правительством вступят в силу с 1 марта 2024 года.
С мая 2019 года работающие в России мессенджеры должны идентифицировать пользователей. Обычно это делается при регистрации по номеру мобильного телефона, который в РФ нельзя оформить анонимно. Роскомнадзор исходит из того, что доступ к сайтам, которые позволяют регистрироваться через виртуальные номера, «способствует использованию услуг связи в противоправных целях» и нарушает безопасность интернета в России.
Специалисты Центра реагирований на инциденты информационной безопасности CERT-GIB отмечают, что для мошеннической деятельности чаще всего используется SIP-телефония, в том числе с использованием виртуальных номеров. При этом мошенники стали чаще совершать звонки через мессенджеры. «Это помогает обходить меры защиты сотовых операторов и не тратиться на подмену номера, а у жертвы такие звонки редко вызывают подозрения», — говорят в CERT-GIB.
Эксперт юридической фирмы DRC Евгений Кравченко сообщил изданию, что предлагаемые ограничения могут быть шире, чем описывает Роскомнадзор в пояснительной записке: под них подпадают не только услуги связи, но и информационные системы. «По закону понятие информационной системы несколько шире, поэтому потенциально могут фильтроваться любые средства анонимизации», — предупреждает Кравченко.
Также он напомнил, что в России не запрещено пользоваться виртуальными номерами или другими подобными средствами: «А вот если через виртуальный номер или VPN совершить правонарушение и если удастся соотнести вас и сервис, тогда, очевидно, угроза наказания будет».
Адвокат в ЦКА Москвы «ДБА и партнеры» Екатерина Абашина отметила, что система централизованного управления интернет-трафиком «сама по себе располагает к произвольным решениям», блокировки через ТСПУ не предполагают такой же открытости, как блокировки по реестрам запрещенных сайтов. «Проверить онлайн, что именно фильтруют через ТСПУ, не получится», — считает специалист.