كشفت تذكرة دعم فني روتينية تمامًا عن حظر غير متوقع لعناوين IP الخاصة بـ Protonmail - وهي خدمة مفيدة جدًا للأشخاص الذين يقدرون حرياتهم على الإنترنت - في العديد من مناطق روسيا. لم أكن أريد بجدية إثارة العنوان ، لكن القصة غريبة للغاية ولا يمكن تفسيرها ولم أتمكن من مقاومتها.
TL ؛ د
تنويه: الوضع لا يزال قيد التطوير. قد لا يكون هناك أي شيء ضار ، ولكن على الأرجح هناك. سوف أقوم بتحديث المنشور بمجرد وصول معلومات جديدة.
بدأت MTS و Rostelecom - وهما من أكبر مزودي خدمة الإنترنت الروس - في حظر حركة المرور إلى خوادم SMTP الخاصة بخدمة البريد الإلكتروني المشفر Protonmail وفقًا لطلب FSB ، دون اعتبار للسجل الحكومي الرسمي للمواقع الإلكترونية المحظورة. يبدو أنه كان يحدث لفترة من الوقت ، لكن لم يهتم أحد به بشكل خاص. حتى الان
تلقت جميع الأطراف المعنية طلبات ذات صلة للحصول على المعلومات التي يتعين عليهم الرد عليها.
UPD: قدمت MTS فحصا لرسالة FSB ، والتي هي الأساس لتقييد الوصول. التبرير: الجامعات المستمرة في كراسنويارسك و "إرهاب الهاتف". من المفترض أن تمنع رسائل البريد الإلكتروني ProtonMail من الذهاب إلى عناوين الطوارئ لخدمات الأمن والمدارس.
UPD: لقد فوجئت Protonmail بـ "هؤلاء الروس الغريبة" وأساليبهم في مكافحة إساءة استخدام الاحتيال ، فضلاً عن اقتراح طريقة أكثر فاعلية للقيام بذلك - عبر صندوق بريد إساءة الاستخدام .
محدث: لا يبدو مبرر FSB صحيحًا: لقد قام الحظر بحظر البريد الوارد الخاص بـ ProtonMail بدلاً من إرساله إلى الخارج.
UPD: تجاهل Protonmail عناوين IP الخاصة بـ MX الخاصة به وتغييرها ، مما أدى إلى إخراجها من الحظر بعد رسالة FSB المعينة هذه. ما سيحدث بعد ذلك هو السؤال المفتوح.
محدث: على ما يبدو ، لم يكن هذا الخطاب هو الرسالة الوحيدة وما زالت هناك مجموعة من عناوين IP لخدمات VOIP التي يتم حظرها دون وجود سجلات مناسبة في السجل الرسمي للمواقع المحظورة.
نحن نحب مستخدمي Habr لأنهم يتمتعون بالدهاء التكنولوجي. إنهم يفهمون معنى "نظافة الكمبيوتر". يستخدم بعض مستخدمينا Protonmail - خدمة "بريد إلكتروني مشفر". سنناقش فقط المسألة التكنولوجية اليوم ، مع ترك مناقشة الخدمة نفسها ونموذج أعمالها جانباً.
كل يوم نرسل الكثير من رسائل البريد الإلكتروني إلى مستخدمينا ، وبما أننا نهتم باستقلالنا وخصوصيتهم ، فإننا لا نستخدم خدمات البريد الخارجية (ESP). وبدلاً من ذلك ، نستخدم مواردنا الخاصة ، من خوادم المعادن المجردة وخوادم MX ذاتية الصيانة إلى تشفير الاتصالات وامتلاك عناوين IP المستقلة الخاصة بنا.
في الأسبوع الماضي ، كان فريق الدعم الخاص بنا مكتظًا بالرسائل من مستخدمي Protonmail ، يشكون من أن بريدنا لا يصل إليهم:
مرحبا منذ حوالي الأسبوع الأول من مارس 2019 ، عندما أحاول تسجيل الدخول ، أحصل على لافتة حمراء تقول إنه لا يمكنهم إرسال بريد إلكتروني إلى عنواني. لقد حاولت إرسال رسالة اختبار يدويًا ، ولكن دون جدوى. صندوق البريد نفسه ، الذي تستضيفه Protomail ، يعمل بشكل مثالي (تأتي رسائل البريد الإلكتروني الأخرى بشكل جيد). آخر ملخص من هبر هو من 28 فبراير.
لم أغير أيًا من الإعدادات لا هناك ولا على Protomail ، ولكن في وقت قريب من حدوث المشكلة ، تم تسجيل خروجي من تطبيق Android.
لا أعتقد أن الحساب قد تم اختراقه ، لكني لم أتمكن من العثور على قائمة عناوين IP المستخدمة للوصول إليه حتى لا أكون متأكدًا. آمل مساعدتكم ، لأنه بدون بريد إلكتروني يعمل لا يمكنني التصويت على التعليقات / المنشورات.
تم تغيير عنوان البريد الإلكتروني من Gmail إلى Protomail. رسالة التأكيد الإلكترونية لا تصل إلى العنوان الجديد.
بالطبع ، اقترح الدعم الفني لدينا أشياء بسيطة مثل التحقق من مجلدات البريد العشوائي ، ولكن الحجم الهائل للشكاوى المماثلة أجبرنا على التنقيب بشكل أعمق.
باختصار عن كيفية عمل البريد الإلكترونيبالنسبة لمعظم مستخدمي الإنترنت العصريين الذين يستخدمون البريد الإلكتروني ، يعني تسجيل الدخول إلى "البريد الوارد" على موقع مزود خدمة البريد الإلكتروني ثم إرسال رسائل عبر نفس واجهة الويب. ثم يحدث بعض السحر وبعد لحظات تصل الرسالة إلى واجهة الويب في الطرف المتلقي.
يسمى هذا "السحر" SMTP (أو esmtp ، على وجه الدقة). يستخرج خادم الإرسال جزء المجال (بعد العلامة "@") من عنوان الاستلام ويقدم طلب DNS لخوادم MX الخاصة بمجال المستقبل. بالنسبة إلى support@habr.team ، يبدو الأمر كما يلي:
MX تعني "تبادل البريد". يشير إلى خدمة البريد الإلكتروني المستخدمة من قبل المتلقي أو ، على وجه الدقة ، ما خوادم البريد الإلكتروني التي يستضيفها مجال الاستلام التي تجمع البريد الجديد. يوضح المثال أعلاه أن نطاقنا ، habr.team ، تستضيفه Google (G.Suite).
بعد العثور على خوادم MX ، يتم تقديم طلب من خلال بروتوكول esmtp إلى الخادم ذي الأولوية العليا ، لتسليم البريد إلى المستخدم. يتم سرد خوادم متعددة للتكرار ، لأن "التوصيل البيني" للإنترنت هو مصطلح نسبي للغاية.
هكذا يبدو إرسال رسالة:
ملحوظة: لا يلزم بالضرورة إرسال بريد من مجال معين إلى المستخدمين على خوادم MX المدرجة في DNS ؛ يستخدم هذا فقط للبريد الوارد. يمكن إعادة توجيه البريد الصادر عبر خوادم أخرى ، مدرجة عادة في سجل SPF.
لقد اخترقنا سجلات البريد الخاصة بنا واكتشفنا أن محاولات الاتصال من خوادمنا إلى خوادم MX الخاصة بـ Protomail (185.70.40.101 ، 185.70.40.102) انتهت مهلتها دائمًا. بدا ذلك غريباً لعدة أسباب وشبه آلية الرقابة على الإنترنت في روسيا.
أنا آسف بشكل رهيب ، لكن يجب عليّ أن أخبرك وأخبرك كيف تعمل الإنترنت والأنظمة الذاتية ونظام التوجيهبشكل عام ، يتكون مصطلح "الإنترنت" من كلمتين: "Inter-Net" ، ويمكن تفسيره على أنه "شبكة شبكات" أو "شبكات موحدة". لا يحتوي الإنترنت على "مركز تقني" (على الرغم من أنه يحتوي على "مركز تنظيم"): إنه ببساطة يربط شبكات مختلفة تساوي ، من الناحية النظرية ، بعضها البعض (على الرغم من أن بعض الشبكات متساوية أكثر من غيرها ، ولكن هذا قصة ليوم آخر). تسمى الشبكات "الأنظمة المستقلة" (AS) وترتبط ببعضها البعض عبر البوابات أو "الأقران". يحتوي كل AS على رقم فريد يستخدم لتحديده من قِبل ASES الآخرين. مثل عناوين IP ، ولكن بطريقة أكثر عمومية. تتلقى كل شبكة من "جيرانها" طوبولوجيا اتصالاتها بالشبكات القريبة ، وكيفية اتصال هذه الشبكات القريبة بشبكاتها القريبة ، إلخ. في الأساس ، تحتوي كل شبكة على خريطة لكيفية اتصال AS مع بعضها البعض من منظور تلك الشبكة. الطريق من واحد إلى آخر وفقًا لتلك الخريطة يسمى ببساطة "مسار AS".
على سبيل المثال ، رقم نظامنا المستقل (ASN) هو 204671 ، يتم استضافة خوادم Protonmail على شبكة شركة أمريكية كبيرة Neustar ، و ASN هو 19905. لدينا بوابتان مع مزودي خدمات الإنترنت ، وهذا يعني مسارين AS ممكنين منا إلى Neustar الشبكة. لعدة أسباب ، يُفضل أن تكون إحدى البوابات (من خلال MGTS) ، لذلك يبدو مسار AS لدينا كما يلي: 204671 (لنا) - 57681 (MGTS ، ISP) ، 8359 (MTS ، موفر خدمة الإنترنت الأكبر) - 22822 (الأضواء) ) - 19905 (نيوستار).
وهنا جدول التوجيه:
يقطع كل تتبع إلى أي من خوادم MX لـ Protonmail شبكة MTS وبدا كما يلي:
GW-Core-R3#traceroute ip 185.70.40.101 probe 1 timeout 3 Type escape sequence to abort. Tracing the route to 185.70.40.101 VRF info: (vrf in name/id, vrf out name/id) 1 185.2.126.73 [AS 57681] 2 msec 2 212.188.12.73 [AS 8359] 2 msec 3 195.34.50.73 [AS 8359] 3 msec 4 212.188.55.2 [AS 8359] 3 msec 5 * 6 * 7 * 8 *
لقد وجدنا مضيفًا بديلاً داخل شبكة Neustar واستخدمناه كمرجع للتخلص من الاضطرابات المحتملة بين MTS و Limelight:
GW-Core-R3#traceroute ip 156.154.208.234 probe 1 timeout 3 Type escape sequence to abort. Tracing the route to 156.154.208.234 VRF info: (vrf in name/id, vrf out name/id) 1 185.2.126.73 [AS 57681] 2 msec 2 212.188.12.73 [AS 8359] 2 msec 3 212.188.2.37 [AS 8359] 14 msec 4 212.188.54.2 [AS 8359] 20 msec 5 195.34.50.146 [AS 8359] 27 msec 6 195.34.38.54 [AS 8359] 37 msec 7 68.142.82.159 [AS 22822] 26 msec 8 * 9 156.154.208.234 [AS 19905] 26 msec
وفي الوقت نفسه ، أكملنا بنجاح عملية تتبع أخرى من خلال موفر خدمة إنترنت آخر إلى خوادم MX الخاصة بـ Protonmail (يتم قطعها في Neustar ، لكن هذا متوقع - لا يزال الاتصال يعمل):
$ traceroute -a 185.70.40.101 traceroute to 185.70.40.101 (185.70.40.101), 64 hops max, 52 byte packets 1 [AS49063] hidden (hidden) 5.149 ms 268.571 ms 6.707 ms 2 [AS49063] 185.99.11.146 (185.99.11.146) 5.161 ms 6.317 ms 5.476 ms 3 [AS0] 10.200.16.128 (10.200.16.128) 5.588 ms [AS0] 10.200.16.176 (10.200.16.176) 5.225 ms [AS0] 10.200.16.130 (10.200.16.130) 5.001 ms 4 [AS0] 10.200.16.49 (10.200.16.49) 6.480 ms [AS0] 10.200.16.156 (10.200.16.156) 5.439 ms 7.469 ms 5 [AS20764] 80-64-98-234.rascom.as20764.net (80.64.98.234) 6.208 ms 9.301 ms 6.348 ms 6 [AS20764] 80-64-100-102.rascom.as20764.net (80.64.100.102) 24.281 ms [AS20764] 80-64-100-86.rascom.as20764.net (80.64.100.86) 54.632 ms 23.936 ms 7 [AS20764] 81-27-254-223.rascom.as20764.net (81.27.254.223) 27.589 ms 116.438 ms 27.348 ms 8 [AS22822] siteprotect.security.neustar (68.142.82.153) 28.683 ms 25.376 ms 41.489 ms
نظرًا لأن traceroute ليس أداة موثوق بها للغاية ، فقد أجرينا تجارب زوجين أخريين ، على سبيل المثال ، مع خدمة MTS's Looking Glass:
أصبح من الواضح أنه من المحتمل أن يكون تقييدًا مقصودًا للخدمة على مستوى MTS. ومع ذلك ، كشف التشاور مع السجل الرسمي Roskomnadzor أن كلا العنوانين (لا اسم المجال لا IP) غير مدرجة هناك:
غير قادر على العثور على أي شيء بناء على طلبك
إذا تركنا تفاصيل الرقابة على الإنترنت في روسيا جانباً ، لا يوجد سوى مبرر واحد صالح لمزود خدمة الإنترنت لحظر مورد - ما يسمى "تفريغ التسجيل" الذي يحتوي على المورد الذي تم وضعه هناك بشكل أو بآخر من الناحية القانونية. في بعض الأحيان يتم حظر الموارد دون إدخال تسجيل ذي صلة (يتم تسميتها بالعامية "حظر أقل من التسجيل") ، وعادة ما لا يكون هناك مبرر لهذه الأسباب في أي حالة قانونية.
في هذه المرحلة ، شككنا في وجود سوء فهم تقني بسيط أو إلغاء تأمين فاشل لموقع آخر غير ذي صلة. نعم ، نحن لا ندق ناقوس الخطر دون التحقق بدقة من كل شيء أولاً.
لقد أرسلنا رسالة بريد إلكتروني توضح بالتفصيل النتائج التي توصلنا إليها إلى الدعم الفني لـ MGTS وطلبنا التوضيح. بعد ذلك بقليل تلقينا إجابة: "نحن لسنا ، إنها MTS ، اسألهم". بالطبع ، لم نفعل ذلك ، لكننا أجبرنا MGTS على القيام بعملهم والتحقيق فيه بشكل صحيح. كانت الاستجابة التي تلقيناها مثيرة للغاية: وفقًا لموظف MTS من الإدارة المعنية ، تم الاتصال بهم من قِبل FSB عبر رسالة رسمية رقم 12 / T / 3 / 1-94 من 25 فبراير 2019 ، مطالبةهم بحظرها بشكل عاجل هؤلاء المضيفين:
عند هذه النقطة ، فإن كاشفات الهراء لدينا قد خرجت عن نطاقها وحفرنا أعمق. وأسرع.
لقد أرسلنا طلبًا إلى FSB يسألك عما إذا كان الخطاب موجودًا وما إذا كان موجودًا ، فما المبرر الذي لديه:
طلبنا من شركة MGTS تقديم مبرر أيضًا:
بعد ذلك ، ذهبنا إلى بعض غرف الدردشة الموضعية في خدمة رسائل فورية غير قانونية معينة في روسيا. كان رد فعل مجتمع الاتصالات على مضض:
- "لقد واجهت حل هذه المشكلات ولا يريد أحد استخدام أدوات RKN. أولاً ، الأمر معقد. ثانياً ، نقل المشكلة إلى قسم آخر لا يحل المشكلة ".
- "تحتاج إلى تقديم الكثير من الوثائق والقفز من خلال العديد من الأطواق البيروقراطية (وهناك عقوبة مالية لعدم القيام بكل ذلك) بحيث لا يزعج أحد".
حسنًا ، من الصعب الحكم عليهم حقًا ، نظرًا لأن الذين يعملون في مجال الاتصالات يجب عليهم التعامل مع هذا القدر من الهراء (بالنظر إلى أن "SORM" أو "عقدة الشبكة" أو "تفريغ التسجيل" ليست مجرد كلمات لهم ، ولكن مصدر إزعاج يومي) .
ومع ذلك ، أخذت غرفة دردشة مجتمع الدفاع عن الإنترنت الروسية القضية بحماس وأجرت تحقيقًا مناسبًا من جانبهم.
اقترحوا فكرة مثيرة للاهتمام - للتحقق من ما يقوم مزودو خدمات الإنترنت (في روسيا وغيرها) بمنع الوصول إلى خوادم MX من خلال RIPE Atlas . كانت النتائج قابلة للتنبؤ بها ، لكنها لا تزال غريبة للغاية: في روسيا ، يتم حظر الخوادم بواسطة MTS و Rostelecom ، بالإضافة إلى الشبكات التي تعمل من خلال هذين ISPs ( النتائج على خادم MX الأساسي والخادم الاحتياطي ). التحقق في جميع أنحاء العالم من الكشف عن المشاكل في روسيا وأوكرانيا وإيران ( النتائج في جميع أنحاء العالم للخادم الأساسي ، والنسخ الاحتياطي ).
أظهر بحث أكثر انخراطًا أن Rostelecom تعمل بطريقة مماثلة:
بعد عطلة نهاية الأسبوع ، قدمت MTS أخيرًا مسحًا لرسالة FSB التي طلبت القطع. بالطبع ، ألقوا باللوم على "إرهابيي الهاتف" وقيدوا كل ذلك حتى الألعاب الشتوية للجامعة التاسعة والعشرون - الجامعات 2019:
ثم تفاعل ممثلو Protomail على reddit و Twitter و TechCrunch . كما هو متوقع ، فوجئوا بضعف أساليب FSB وعرضوا التعاون من أجل إيجاد مجرمين حقيقيين:
هم. بروتوميل أنفسهم يشتبه في وجود أجندة خفية لهذا كله. حسنا ، يبدو أن هذا هو الحال. لذلك ، كما شرحت بالفعل avobe ، فإن سجلات MX هي آلية للتعامل مع رسائل البريد الإلكتروني الواردة. من الواضح أن FSB اخترق البريد الوارد عمداً بدلاً من أن يكون صادرًا ، لذلك فإن "مبرر" هدفهم هو إنقاذ مديري المدارس من المتاعب. لذلك ، لدينا ثلاثة خيارات:
- لقد قاموا ببساطة بحظر ما عثروا عليه لأول مرة (تفسير كسول ، ولكن على الأرجح التفسير وفقًا لـ Occam Razor: يجب أن يكون شخص ما قد قرأ للتو "nslookup for dummies") ؛
- لقد حاولوا الحد من إمكانية إعداد عناوين بروتون مجهولة المصدر لا يمكن تتبعها لجمع معلومات ضارة على أنفسهم (لا تعمل في الغالبية العظمى من الحالات)
- تفسير UFO سريع.
وإليك الدليل: تم إرسال بريد إلكتروني تم إرساله من Proton إلى خدمة أخرى عبر عناوين IP مختلفة غير محظورة. تذكر أن FSB حظرت 185.70.40.101 و 185.70.40.102. هل ترى هذه هنا؟
أكد رئيس ProtonMail النتائج التي توصلت إليها TechCrunch واقترح مكافحة النشاط الإرهابي بالتعاون مع سلطات إنفاذ القانون الأجنبية ، بدلاً من مجرد نقل المشكلة بعيدًا:
وصف آندي ين ، الرئيس التنفيذي لشركة ProtonMail ، الكتلة بأنها "متسللة بشكل خاص" في رسالة بريد إلكتروني إلى TechCrunch.
"لا يتم حظر ProtonMail بالطريقة العادية ، إنه في الواقع أكثر دقة قليلاً" ، قال الين. "إنهم يحظرون الوصول إلى خوادم بريد ProtonMail. لذا ، لم يعد Mail.ru - ومعظم خوادم البريد الروسية - قادرة على تسليم البريد الإلكتروني إلى ProtonMail ، لكن المستخدم الروسي لا يواجه مشكلة في الوصول إلى البريد الوارد الخاص به. "
وقال الين "إن الحظر الشامل لبروتون ميل بطريقة تؤذي جميع المواطنين الروس الذين يريدون أمانًا أكبر عبر الإنترنت يبدو وكأنه مقاربة سيئة". وقال إن خدمته توفر أمانًا عاليًا وتشفيرًا لبريد آخر يوفر منافسين في البلاد.
"لقد قمنا أيضًا بتنفيذ تدابير تقنية لضمان استمرار الخدمة لمستخدمينا في روسيا ، وقد حققنا تقدمًا جيدًا في هذا الصدد" ، أوضح. "إذا كانت هناك بالفعل شكوى قانونية مشروعة ، فإننا نشجع الحكومة الروسية على إعادة النظر في موقفها وحل المشكلات باتباع القانون الدولي والإجراءات القانونية المعمول بها."
- الرئيس التنفيذي لشركة ProtonMail آندي ين @ تشكرونش
أيضًا ، يبدو أن رسالة FSB هذه طلبت فقط لمنع خوادم SMTP للبريد الوارد. لا يزال الوصول إلى الويب وخوادم SMTP الصادرة يعملان ، مما يعني أنه بغض النظر عن ما حاول FSB القيام به ، فإنها لم تكن جيدة جدًا في ذلك.
سوف نقول مرة أخرى: حتى في تجاهل الجانب القانوني بأكمله لمسألة تنظيم الإنترنت على أرض 1/8 من الأرض ، هناك قواعد للعبة. القواعد ليست واضحة بشكل رهيب وغامضة للغاية وهي تتغير في كل وقت ، لكنها لا تزال قواعد ، حتى لو كانت مصممة بوضوح لفائدة المشرفين على هذه القواعد. وحتى ذلك الحين ، هناك أناس يحاولون تجاوزهم. كان هذا كافكا - esque ، مع عدم وجود الإجراءات القانونية على الإطلاق. على الأقل في أي قضية من المحاكم ، يمكنك دعوة خبير صناعي للتشاور ، ولكن كان القرار قائمًا تمامًا على النظرة الشخصية العالمية لشخص بعينه.
لذا ، إليك كل الحقائق التي جمعناها حتى الآن. تم إرسال جميع الطلبات ، لكن لم يتم الرد عليها جميعًا. بالطبع ، كنا نأمل أن يكون ذلك نتيجة عمل فاشل من قبل شخص ما في MTS ، ولكن بصراحة ، لم يكن الأمر محتملاً بشكل كبير من البداية.
بالنسبة إلى مستخدمينا الذين يستخدمون Protomail أيضًا ، فيمكنهم عندئذٍ الاستمرار في استخدام صناديق بريد Proton الخاصة بهم مع Habr ، نظرًا لأننا قمنا بإعادة توجيه حركة المرور منا إلى خدمة Protomail من خلال مزود خدمة إنترنت روسي آخر لا يلعب هذه الأنواع من الألعاب. وربما توشك شركة MGTS على فقدان عميل آخر.