На блокировку обратил внимание один из администраторов портала "Хабр" Вадим Рыбалко. Факт ограничения доступа к адресам ProtonMail МТС и "Ростелекомом" выяснился в процессе изучения компанией TechMedia, в которой работает Рыбалко, жалоб клиентов на некорректную аутентификацию — на их ящики на ProtonMail перестали приходить почтовые рассылки с "Хабра".
"Конечно, базовым ответом нашей техподдержки было предложение поискать в спаме и прочие типовые решения типовых проблем, но объём обращений побудил разобраться в вопросе подробнее", – написал Рыбалко. Дальнейшее изучение почтовых логов показало, что соединения серверов компании с MX-серверами ProtonMail (185.70.40.101, 185.70.40.102) оканчиваются сетевыми тайм-аутами.
"Это выглядело странно по ряду причин и было похоже на использование механизма блокировок, практикуемых в России", – пишет Рыбалко, отмечая, что блокируемые адреса не числятся в реестре Роскомнадзора.
После этого TechMedia обратилась в техническую поддержку МГТС, а затем запрос был переадресован оператору МТС. "Ответ был получен преинтереснейший: по словам сотрудников уполномоченного отдела МТС, к ним обратились уважаемые люди из известной организации ФСБ с письмом номер 12/T/3/1-94 от 25.02.2019, где написано что-то, призывающее срочно заблокировать данные хосты", – говорится в публикации Рыбалко.
Через какое-то время МТС все же предоставила письмо ФСБ, в котором говорится об "обострении оперативной обстановки" и "участившихся случаях поступления ложных сообщений террористической направленности на объекты социальной и критической инфраструктуры". Ссылаясь на федеральный закон номер №126 –ФЗ "О связи" и на необходимость обеспечивать безопасность при проведении XXIX Всемирной летней Универсиады 2019 года в Красноярске, ФСБ попросила ограничить оказание услуг связи по доступу к ряду интернет-ресурсов, пишет "Роскомсвобода".
Свыше 20 IP-адресов, которые, по данным ФСБ, использовались для массового распространения заведомо ложных сообщений о терактах, делятся на две примерно равные группы. Половина — адреса почтовых сервисов ProtonMail, Mailfence, YOPmail и Mail.bg. Остальные адреса относятся к выходным узлам анонимной сети Tor, которые позволяют скрывать реальные IP-адреса интернет-пользователей. В их число попал и адрес из подсети, которая используется встроенным VPN в браузере Opera, пишет "Медуза".
"Блокировку необходимо осуществлять методом "blackhole" на BGP-маршрутизаторах без анонсирования маршрутов во внешние автономные системы (AS). Просим информировать о результатах проведения данного мероприятия", – гласит письмо.
Дальнейшее исследование с привлечением экспертов "Общества защиты интернета" показало, что блокировка перечисленных адресов осуществляется аналогичным способом и в сети "Ростелекома".
Как пояснил технический директор "Роскомсвободы" Станислав Шакиров, "блэкхол" – это не метод блокировки, а своего рода "черный ящик", в "котором непонятно, что конкретно происходит, кто и как это делает".
В посте Рыбалко отмечается, что TechMedia перенаправила трафик так, чтобы пользователи с почтой на ProtonMail могли получать письма. Он также уточняет, что методы ФСБ не слишком эффективны, поскольку веб-интерфейс почтового сервиса все еще доступен.