Содержание
Краткое содержание
В конце апреля 2021 цифровые наблюдатели (волонтерское сообщество) зафиксировали аномалии в обработке DNS-запросов в сетях беларусских провайдеров, подключенных к глобальному интернету через сеть НЦОТ* (Национальный центр обмена трафиком). Государственный инфраструктурный провайдер подменяет DNS-ответ для ресурсов: belarus2020.org, golos2020.org, golos-belarus2020.org, tempail.com. При переходе на эти сайты, пользователь не получает ответа и соединение прерывается. Подмена происходит, даже если пользователь обращается к публичным DNS-серверам, например 8.8.8.8.
По нашему мнению, это вариант реализации «блокировки» сайтов из списка ограниченного доступа, не предусмотренный действующим законодательством, и крайне опасный для всех интернет-пользователей из Беларуси. Основываясь на опыте Турции, Сирии и Египта, где власти также использовали такой метод, можно предположить, что это может привести к интернету по“белым спискам”, подмене контента и целых сайтов, намеренному массовому заражению пользовательских устройств программами-шпионами и схожим по тяжести последствиям.
Сейчас в Беларуси практически отсутствуют возможности оспорить такую практику в правовом поле. Необходимо широкое просвещение пользователей о появлении такой практики и возможных последствиях. На индивидуальном уровне пользователи могут обезопасить себя с помощью VPN. У провайдеров также есть инструменты защиты своих пользователей.
Полная версия
*Национальный центр обмена трафиком — один из двух провайдеров-монополистов в Беларуси, у которых все остальные провайдеры покупают трафик для выхода за границу.
Что такое DNS?
DNS — Domain Name System, система доменных имён. Это своеобразная «телефонная книга» в которой понятные человеку адреса, например www.microsoft.com превращаются в IP-адреса. DNS-серверов много, и обычно они располагаются у провайдеров, чтобы пользователь не ждал ответа сервера слишком долго, а открывал сайт максимально быстро. Провайдерские DNS сервера запоминают результаты ответов в кеш и отвечают на новые запросы быстрее.
Как происходит переход по URL?
DNS сервера предлагаются провайдером, но пользователь может прописать альтернативные DNS-сервера вручную, например, указав адрес 8.8.8.8. — DNS-сервер Google, или любой другой.
Когда пользователь набирает адрес сайта (URL), например, google.com, его устройство обращается к такому DNS серверу, чтобы получить в ответ IP-адрес этого сайта. После получения такого DNS-ответа совершается переход на указанный адрес. Если сервер не имеет ответа в кеше, то он обращается к другому, вышестоящему DNS-серверу и получает ответ от него.
Важно упомянуть, что взаимодействие по DNS происходит в незашифрованном виде. То есть все провайдеры по пути следования запроса «видят» к каким DNS-серверам обращается пользователь, какие запросы отправляет и что они ему отвечают.
Что произошло?
Мы обнаружили, что у пользователей, чьи провайдеры выходят за рубеж через государственный провайдер НЦОТ (Национальный центр обмена трафиком), который сам не предоставляет трафик конечным пользователям, но продаёт его другим провайдерам (Деловая Сеть, А1, МТС, CosmosTV и многие другие), подменяет DNS-ответ для ресурсов: belarus2020.org, golos2020.org, golos-belarus2020.org, tempail.com и в качестве ответа выдаёт адрес 127.0.0.1. По умолчанию это всегда IP-адрес компьютера, с которого происходит запрос.
*Для ресурса protonmail.com подмена происходила на момент измерений 15 апреля, по состоянию на 4 мая для этого домена подмены нет.
Это означает, что при переходе по данным URL, пользователь не получает ответа и соединение прерывается, а пользователь видит, что сайт недоступен.
Более того, даже если пользователь обращается к публичным DNS-серверам, например 8.8.8.8, так как это проходит по открытым каналам, на уровне НЦОТ некоей технологией этот запрос перехватывается и в качестве ответа присылается DNS-ответ с адресом 127.0.0.1. Мы проверили это на нескольких популярных DNS-серверах (9.9.9.9 — Quad9, 208.67.222.222 — OpenDNS, 8.26.56.26 — Comodo Secure DNS) и для 4х указанных доменов получили один и тот же ответ, содержаний подмену.
По нашему мнению, это вариант реализации «блокировки» сайтов из списка ограниченного доступа.
В чем проблема?
Подмена DNS-ответа считается вариантом MiTM-атаки. Это когда в незащищенную часть трафика вмешиваются злоумышленники, чтобы причинить какой-либо вред, в данном случае — показать пользователю не тот сайт, к которому он обращался, а какой-либо другой, например фишинговый. Реализация данной технологии на уровне провайдера подрывает доверие к провайдеру, потому что таким образом НЦОТ может подделать DNS запрос на абсолютно любой сайт и обычный пользователь ничего не заметит. При этом, НЦОТ делает подмену DNS запросов для всех провайдеров, которые покупают у него трафик.
Похожее уже случалось в Беларуси, когда 9 августа был подменен сайт «Голоса» — тогда пользователи, переходящие по http на адрес «Голоса» видели фейковый сайт, который предлагал ввести номер своего телефона.
Похожие атаки уже случались в других странах. Например, в Турции, атакующие подменили ссылки на официальных сайтах утилит для Windows: CCleaner, Avast Antivirus, 7-zip, Opera. Атака выглядела так: пользователь заходил на официальный сайт по https и нажимал на кнопку «скачать», которая вела на http-адрес. Когда устройство пользователя отправляло DNS-запрос, то при помощи технологии DPI DNS-ответ подменялся и пользователь начинал скачивать заражённый файл.
В Египте технология использовалась чтобы перенаправлять пользователей на специальную рекламу и браузерные скрипты для майнинга криптовалют.
Почему это опасно?
Потому что подменить любой сайт можно на что угодно, и неквалифицированный пользователь этого даже не заметит. Можно заразить тысячи устройств кейлогерами, программами-шпионами или блокировщиками, которые будут скачивать информацию и получать доступ не только к аккаунту жертвы, но и к корпоративным аккаунтам, следить за коммуникациями жертвы. Можно создавать и подменять сайты и выманивать чувствительные данные пользователей — номера карт, паспортов, телефонов и любую другую чувствительную информацию.
С другой стороны, это может быть способом регулирования «нежелательного» трафика. То есть можно создать «белый список» ресурсов, переход на который будет разрешен. Остальные же ресурсы будут получать DNS-ответ с информацией о блокировке. Это гораздо проще, чем замедлять или отключать какие-либо сайты и требует очень небольших ресурсов, а также дешево в реализации.
Самое опасное здесь то, что этим занимается государственный провайдер, доверие к которому по умолчанию высокое как от пользователей, так и от администраторов сетей, сайтов, международных организаций.
А это законно?
По сути, это вмешательство в нормальное функционирование сети. Все подобные действия со стороны государственных органов, регуляторов, спецслужб, должны регулироваться законодательством, где подробно и чётко должны быть описаны ситуации, в которых это происходит, как, зачем и как долго это делается. О таких документах нам неизвестно.
Кроме того, такие действия приводят к нарушению прав граждан, которые закреплены в Конституции, в международных договорах. Например, права на получение и распространение информации, права на свободу выражения мнений. Также потенциально это может использоваться для слежки за пользователями и их устройствами, т.е. вмешиваться в приватность. Это также расценивается как нарушение прав человека.
Если говорить про попытки внедрения вредоносных программ — вирусов, троянов, программ-шпионов — это может квалифицироваться, как компьютерные преступления.
Следует добавить, что закрепление этой практике в законодательстве не делает ее правовой, если нарушены конституционные права и международные обязательства.
Что делать?
Решение на уровне пользователей: в данной ситуации — это всегда пользоваться надежными VPN-сервисами, которые шифруют ваш трафик и он не виден провайдеру. Также следует обращать внимание на значок безопасного соединения — обычно он выглядит как замочек в строке браузера. Если он закрыт — соединение безопасно. Если открыт — необходимо с осторожностью относиться к данному ресурсу.
Решение на уровне провайдеров: защитить трафик пользователей и пускать через VPN как минимум нешифрованные DNS-запросы.
Решение на уровне международного сообщества: ускорить внедрение интернет-протоколов, позволяющих шифровать DNS-запросы, делая их подмену невозможной.