Как в Беларуси устроена цензура интернета для госработников  

Что происходит?

В конце июня крупнейший беларуский интернет-портал стал недоступен для работников госорганизаций, которых обслуживает провайдер BELISP. Затем в сети появился документ, запрещающий заходить на крупные независимые порталы сотрудникам парка «Беловежская пуща».    

Ещё в декабре 2019 года Оперативно-аналитический центр при президенте РБ выпустил приказ, который, в частности, запрещал провайдерам, обслуживающим госорганизации, «прямое использование иностранных DNS-серверов». Похоже, что именно эта мера позволяет госорганизациям и провайдерам избирательно блокировать сайты, а также контролировать интернет-активность сотрудников на рабочих местах. 

О возможных целях и последствиях запрета иностранных DNS-серверов рассказывает Юрий Жалнерович, независимый исследователь вопросов компьютерной безопасности.    

Как работает DNS? 

Каждый компьютер и сервер в интернете «помечен» цифровым именем — IP-адресом. IP-адрес может быть назначен машине по одному из двух стандартов: IPv4 или IPv6. Первый стандарт — IPv4 — пока наиболее распространён, хотя шестая версия довольно активно вводится провайдерами по всему миру. По стандарту IPv4 адрес состоит из четырёх байт и чаще всего представлен в виде четырёх чисел, разделённых точками: от 0 до 256. Например, IP-адрес сервера dev.by — это 31.130.203.167.

Представьте, что в адресную строку браузера вам приходится вводить не короткое имя «dev.by», а трудно запоминаемый набор цифр. Для перевода цифрового адреса в буквенный и придумали DNS —  Domain Name System. По сути DNS представляет собой огромный справочник, в котором хранится информация о том, как найти IP-адрес определённого сервиса по его названию. Этот справочник устроен в виде распределённой древовидной структуры, т. е. части этого справочника (узлы) хранятся на разных серверах в интернете. Иерархическая древовидная структура DNS позволяет разгрузить узлы интернета и сделать его более устойчивым, так как информация об именах сайтов рассредоточена по разным серверам, а запросы от пользователей идут по разным веткам этого дерева. 

Допустим, я набираю в адресной строке браузера: «dev.by». Браузер должен понять, куда отправлять запрос, поэтому сначала он должен перевести имя «dev.by» в IP-адрес. Для этого браузер задаёт вопрос доменному серверу (чаще всего это доменный сервер провайдера): «Где находится сайт dev.by?». Доменный сервер провайдера в зависимости от настроек выполняет одно из двух: либо перенаправляет запрос следующему рекурсивному доменному серверу, либо начинает поиск нужного адреса по дереву DNS. В последнем случае он запрашивает корневой DNS-сервер, чтобы узнать, где искать информацию о доменах зоны «.by». У сервера доменной зоны браузер получает сведения об адресе домена «dev.by». На этом шаге он и получает адрес Name Server’а, на котором хранится информация о соответствии IP-адреса имени «dev.by». Операция завершена — и браузер открывает страницу сайта.   

А как насчёт безопасности и приватности? 

DNS-протокол очень старый. Его придумали ещё в 80-х годах прошлого века. Тогда о безопасности в интернете ещё мало кто думал, поэтому запросы по протоколу DNS «бродят» в открытом виде. Это открывает ряд возможностей для манипуляции запросами пользователей.

1. Вы можете легко изменять запросы, используя DNS-протокол: перенаправить пользователя на поддельный IP-адрес или под видом запрашиваемого сайта подсунуть ему фишинговую страницу. Или в ответ на запрос сказать, что такого доменного имени не существует, и тогда пользователь не сможет загрузить требуемую страничку.
2. Вы можете легко анализировать все запросы, которые идут с пользовательских устройств. Например, работодатель может заметить, что работник часто заходит на  jobs.dev.by или linkedIn — и принять меры.     

Такие фокусы проделать ещё проще, если вы контролируете DNS-сервера, через которые идут запросы пользователей — например, DNS-сервер компании или провайдера.

В последние годы ситуация с безопасностью протокола DNS улучшается. Чтобы защитить приватность пользователей, некоторые браузеры (Mozilla Firefox, Google Chrome) внедрили поддержку функции «DNS поверх HTTPS (DoH)», которая позволяет совершать DNS-запросы и получать ответы на них от публичных DNS-резолверов (Google, Cloudflare) по защищённому каналу.

Пользователь может настроить эту функцию в своем браузере и отследить его активность  станет сложнее. Запросы пользователя будут невидимы для провайдера, но владельцы публичных DNS-резолверов всё равно смогут анализировать их. 

В приказе ОАЦ сказано, что провайдерам госорганизаций запрещено использовать иностранные DNS-сервера. Что это значит?  

Это значит, что администраторам госорганизаций запрещено настраивать их сеть таким образом, чтобы DNS запросы шли напрямую на иностранные публичные DNS-резолверы (чаще всего это сервера Google или Cloudflare), минуя доменные сервера «Белтелеком» или других белорусских интернет-провайдеров. 

Запрет на использование иностранных DNS-серверов может иметь две цели.

1. Усиление контроля за действиями сотрудников в интернете. Как я уже говорил, владелец доменного сервера видит запросы пользователей и может их перенаправлять или блокировать. Замечу, что блокировки — это не всегда зло.  Например, их могут использовать для защиты от вирусов. 
2. Вопросы безопасности. Если запрос пользователя идёт через публичный DNS (например, Cloudflare), то местный провайдер не сможет его проследить, зато корпорация Cloudflare сможет. Госорганы наверняка не хотят, чтобы Google или Cloudflare получали информацию об их активности в интернете. 

МВД может заблокировать доступ к интернет-ресурсам при угрозе нацбезопасности

По теме

МВД может заблокировать доступ к интернет-ресурсам при угрозе нацбезопасности

В приказе говорится о запрете «прямого» использование иностранных серверов. Значит, возможно и непрямое использование? 

У «Белтелеком» нет информации о всех доменных именах в мире и их соответствиях IP-адресам. Это огромная база данных, которая постоянно обновляется и дополняется. Поэтому «Белтелеком» всё равно будет использовать данные хранящиеся на иностранных DNS-серверах. Но делать это напрямую госорганизациям запрещается. 

Кто будет настраивать систему по новым правилам: сисадмины на госслужбе или провайдеры, которые обслуживают госорганизации? 

Эти настройки могут быть заложены уже в роутерах, которые провайдер устанавливает клиенту. Но роль админов велика. Они контролируют сеть и чаще всего настраивают маршрут DNS-запросов через IP-адреса «правильных» серверов. В конце концов, админ может заменить или перенастроить роутер, установленный провайдером, и направить запросы на публичные сервера. Они также могут воспользоваться специальными программами, вроде DNScrypt, и отправить весь DNS-трафик через зашифрованное соединение на внешние публичные DNS-резолверы, используя протокол «DNS поверх HTTPS (DoH)».

Работники госпредприятий могут настроить свой компьютер так, чтобы обходить блокировки? 

Это зависит от того, какие права пользователей доступны работникам на компьютерах. Если к настройкам компьютера открыт администраторский доступ, то можно установить один из браузеров с функцией «DNS поверх HTTPS (DoH)» и обращаться к сайтам, минуя DNS-сервера госорганизации.   

Но надо понимать, что DNS используют не только браузеры, но и все службы с доступом в интернет: Skype, Dropbox и пр. Эти программы всё равно будут слать запросы через внутренние DNS-сервера.  Чтобы скрыть и эти данные, надо ставить специальные программы, которые проксируют весь DNS траффик (DNSCrypt, Cloudflared).

А спрятаться в интернете от «Белтелеком» вообще возможно? Он же провайдер-монополист.   

Если говорить о незашифрованном DNS-трафике, то тут у меня плохие новости. «Белтелеком» контролирует весь внешний трафик белорусских пользователей. При желании провайдер-монополист может прослушивать весь трафик, который идёт по специальному «DNS-порту» (UDP 53). Он будет видеть все запросы, даже те, которые поступают на внешние публичные DNS-резолверы по незашифрованному каналу. Никто не мешает «Белтелеком» (или другим объектам, которые могут вклиниться в трафик пользователя) даже подменять ответы на эти запросы. Поэтому очень важно побыстрее переходить на использование более защищённых протоколов.

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.