Xakep #305. Многошаговые SQL-инъекции
Роскомнадзор (РКН) опубликовал проект приказа, который утверждает порядок, сроки, состав и формат, в рамках которых операторы связи должны будут передавать данные для идентификации средств связи и пользовательского оборудования. СМИ предположили, что таким образом РКН будет собирать получить информацию о пользователях, которые заходят на заблокированные в России ресурсы.
До 7 января 2025 года проект приказа находится на этапе общественного обсуждения. Документ разработан в рамках реализации федерального закона №216-ФЗ и вносит изменения в закон «Об информации, информационных технологиях и защите информации» и в отдельные законодательные акты.
Согласно тексту документу, поправки касаются распространения противоправной информации, оскорбляющей человеческое достоинство и общественную нравственность, выражающей явное неуважение к обществу, содержащей изображение действий с признаками противоправных, в том числе насильственных, и распространяемой из хулиганских, корыстных или иных низменных побуждений.
Для выявления оборудования предлагается использовать технические средства противодействия угрозам (ТСПУ). Как указано в пояснительной записке, эти средства проводят анализ трафика, после чего по сетевому адресу можно определить пользователя, получающего доступ к противоправным сайтам. Операторы должны будут предоставить информацию в течение трех месяцев со дня вступления приказа в силу, после — не позднее 15 рабочих дней с даты начала оказания услуг пользователю.
Как отмечает автор Telegram-канала «ЗаТелеком» Михаил Климарев (признан Минюстом РФ иноагентом):
«”Приказ" обязывает операторов сдавать логи пользователей в РКН и описывает какой формат. Формат такой:
* ID — идентификатор записи
* TTL — время использования в минутах
* Далее следует адрес или IPv4, или IPv6 пользователя
* Operation — "0" начало использования, "1" конец, "2" продолжение
* Timestamp — время создания записи.
По сути это и есть логи. Там еще должна быть привязка к конкретному номеру ящика ТСПУ, который будет один для групп записей. Сам РКН объясняет зачем им это нужно так в пояснительной записке».
Пояснительная записка отмечает, что документ «устанавливает обязанность операторов связи представлять в Роскомнадзор информацию, позволяющую идентифицировать средства связи и пользовательское оборудование (оконечное оборудование)».
«С 2019 года в рамках Федерального закон от 01.05.2019 № 90-ФЗ на сетях операторов связи установлены ТСПУ, которые предназначены для противодействия угрозам безопасности, устойчивости и целостности сетей связи. В рамках данной задачи, в том числе обеспечивается блокировка противоправного контента, противодействие компьютерным атакам.
В целях эффективного выявления интернет-трафика, обеспечивающего доступ к противоправным интернет-ресурсам, для последующего ограничения доступа к ним технические средства противодействия угрозам (далее – ТСПУ) проводится анализ интернет-трафика. Принадлежность интернет-трафика пользовательскому оборудованию (оконечному оборудованию) конкретного пользователя определяется по сетевому адресу.
Проект приказа устанавливает обязанность операторов связи представлять в Роскомнадзор информацию, позволяющую идентифицировать средства связи и пользовательское оборудование (оконечное оборудование) в сети «Интернет», и выделенных для их использования сетевых адресах, а также сведения об изменении указанной информации».
При этом представители Роскомнадзора уже сообщили СМИ, что проект приказа не предполагает сбор информации о личных устройствах пользователей.
«Проект приказа Роскомнадзора подразумевает сбор сетевых адресов, которые используются операторами связи в различных субъектах Российской Федерации для актуализации правил фильтрации в целях противодействия компьютерным атакам, в том числе DDoS-атакам. Информация о личных устройствах пользователей не собирается, поскольку не требуется для противодействия угрозам», — заявили в пресс-службе ведомства и уточнили, что операторы должны будут предоставлять «только информацию о сетевых адресах».
