За последние месяцы в Сети сократилось число российских серверов, которые можно было отследить извне с помощью Shodan, Censys и аналогичных поисковых систем, отображающих как веб-сайты,так и устройства и сервисы, доступные через открытые порты. Это заметил известный европейский эксперт по безопасности Ян Коприва, и поделился своими наблюдениями на площадке Internet Storm Center.
Коприва отмечает, что для наблюдателей извне теперь «значительная часть российского интернета исчезает». Поскольку «маловероятно, что большое количество серверов различных типов было внезапно удалено из Интернета», он считает, что дело, скорее всего, в новых технологиях фильтрации сетевого трафика, которые начала применять Россия.
Моя теория заключалась в том, что это [снижение количества типов серверов, которые показывал сервис Shodan в России Коприве с августа] могло быть вызвано внедрением новых функций в технологию интернет-фильтрации, которую Россия использует для цензуры интернет-трафика и блокировки доступа к различным внешним сервисам, что начало мешать работе Shodan. И хотя я по-прежнему считаю, что это могло быть так, судя по данным сейчас, когда количество российских серверов остаётся более или менее стабильным в течение примерно 6 недель, похоже, что причина снижения была по крайней мере частично другой.
Снижение было зафиксировано практически по всем типам сервисов и портов (то есть значительно сократилось количество доступных HTTP/S-серверов, SSH-серверов, DNS-серверов и т. д.), и, по-видимому, существует некоторая общая фильтрация, влияющая на Shodan, был один порт, на котором снижение было гораздо более значительным, чем на любом другом. Этим портом был TCP /7547.
Порт, о котором говорит Коприва, связан с протоколом управления CWMP на основе HTTP, который позволяет интернет-провайдерам выполнять удалённое управление и настройку маршрутизаторов и других устройств, предоставляющих клиентам прямой доступ в Интернет. Он используется многими интернет-провайдерами по всему миру и считается безопасным, хотя иногда и применялся для кибератак.
Тем не менее, похоже, что российские интернет-провайдеры либо внезапно решили прекратить его использовать, либо — что гораздо более вероятно — решили сильно ограничить доступ к соответствующему порту. Это наиболее заметно в диапазонах IP-адресов, которые являются частью AS12389, принадлежащей национальному российскому интернет-провайдеру «Ростелеком».
Ранее стало известно, что Роскомнадзор проведёт учения по «выключению международного интернета» в некоторых регионах России в декабре этого года. Обычных пользователей рунета учения, по данным ведомства, не коснутся.
Читать материалы по теме:
Госорганам могут разрешить отвечать на письма только с российских электронных адресов
Госдума предложила обложить штрафами за повторные утечки персональных данных
В Госдуме призвали отключить важные акаунты от сервисов Google
Московский суд оштрафовал Google на 3,8 миллиона рублей
