Специалисты по информационной безопасности из компании Qurium Media Foundation провели многосторонний анализ методик блокировки, которые были задействованы 4-мя различными операторами связи во время президентских выборов в Беларуси.
Стоит напомнить, что во время протестов в Беларуси на некоторое время власти отключали полностью доступ в интернет, а после чего осуществили полную блокировку нескольких десятков ресурсов (в большинстве своем, информационно-новостных).
Эксперты из Qurium Media Foundation проводили свое исследование совместно с компанией Human Constanta, которая занимается защитой прав человека в Беларуси. В процессе общей работы специалисты проанализировали методики, которые применяли несколько белорусских операторов связи: «Деловая сеть», «А1», «МТС», «Белтелеком».
Основная цель проведения исследования – уточнить, как именно работает блокировка, которая периодически выставляется местными операторами связи. В соответствии с представленным отчетом, белорусские интернет-провайдеры пользовались для блокирования доступа собственной инфраструктурой, поэтому невысока вероятность, что блокировка осуществлялась не на местном, а на центральном уровне – эксперты Qurium Media Foundation не нашли признаков подобного.
Специалистами были выявлены определенные методики блокировки, которые применялись белорусскими операторами связи:
- спуфинг DNS;
- перехваченные https-сертфикаты;
- DPI;
- «прозрачные прокси».
К примеру, компания «Деловая сеть», осуществляла перехват http-соединений и их дальнейшее перенаправление на 212.98.160.60. Также экспертами из Qurium Media Foundation был обнаружен сервер «BLOCK-SERVER.bn.by» с IP-адресом 212.98.160.157:
Оператор «Белтелеком» применял для блокировок разные сигнатуры. Http-трафик на порт 80 перенаправлялся на 82.209.230{.}23, за редирект отвечал http 302:
В А1 решили блокировать веб-сайты с использованием прозрачных прокси HTTP и HTTPS на основе Squid. Веб-прокси (reserved.a1.by) запускает ответ только для IP-адресов заблокированных веб-сайтов, за редирект также отвечал HTTP 302:
Компания «МТС Беларусь» применяет блокировку с помощью своих DNS-серверов 134.17.1.1 и 134.17.1.0. Когда запрашивается заблокированный веб-сайт, DNS-сервер отвечает записью A 134.17.0.7. Самозаверяющий сертификат, действительный в течение 274 лет, обслуживается в 134.17.0.7 под названием «Default Company Ltd». После принятия сертификата браузер получает перенаправление HTTP 301 на hxxps: //internet.mts.by/blocked.
Выводы
Блокировка интернета в Беларуси осуществляется внутри инфраструктуры каждого провайдера, а не на центральном уровне.
Используемые методы включают:
- спуфинг DNS;
- перехваченные https-сертфикаты;
- DPI;
- «прозрачные прокси».
Список заблокированных веб-сайтов не на 100% согласован между операторами связи, но существует очень высокая степень совпадения, что позволяет предположить, что список веб-сайтов был предоставлен Интернет-провайдерам заранее.
