Этап первый. Попытка подставить
Два дня назад, в обычном режиме разбирая наш почтовый ящик mirror@fuckrkn.me (куда мы принимаем адреса новых волонтёрских зеркал блога Навального), я натолкнулся на очередное письмо от «волонтёра», который написал о том, что он тоже создал несколько зеркал блога Алексея и попросил добавить их в наш список:
Письмо сразу показалось мне странным: какие-то странные адреса зеркал (обычно присылают что-то вида navalny.mydomain.org и т.п.), какие-то тларкин, какой-то вконтакте-хакер, вкачка - к чему такие адреса? Совершенно непонятно было. Если бы я загуглил имя отправителя Pavel Zhovner, то сразу бы всё понял. В голову закрались мысли, что может быть нас пытаются заставить перейти на какие-нибудь фишинговые сайты или сайты с какими-нибудь троянами, эксплоитами, тем самым выявив какие-нибудь более полные данные о нас: IP-адреса, пароли и т.д.
«Ну пусть попробуют» - подумал я. В плане попыток обмана я натасканный неплохо, в плане выявления троянов и вирусов - тоже. Компьютер достаточно защищён самым свежим антивирусником и фаерволлом, пароли у меня сложные и разные, в браузере важные пароли не сохраняю. Перехожу по ссылкам - открывается главная страница ЖЖ Алексея. Пробую переходить по конкретным постам - открывается уже одно из наших зеркал (на самом деле оно открывалось из-за нашего плагина, установленного в браузере, а «зеркала» мошенника осуществляли на самом деле переход на navalny.livejournal.com). Никаких подозрительных действий (типо попытки установки стороннего плагина или загрузки файла) не происходило, поэтому я просто написал в ответ человеку, что его зеркала настроены неправильно и добавлять их в список мы не будем:
Словно в подтверждение моих нехороших подозрений, человек ничего на это не ответил (обычно волонтёры отвечали сразу или в течение дня).
Этап второй. РКН сообщает!
Проходит два дня, настаёт день сегодняшний. Весь день мы с
Владом занимаемся своими делами, работой, параллельно ржём над «упоротым Лисовенко, штурманом военной авиации». Роскомнадзор сегодня же внёс в реестр зеркало с адресом роскомнадзор-школьники.fuckrkn.me. Настаёт вечер и тут нам из ФБК приходит письмо, в котором содержится вопрос от корреспондента CNews Игоря Королёва, в котором он спрашивает, правда ли, что некоторые из зеркал блога Навального, которые мы используем (в письме был список, который один-в-один соответствовал тому, что содержится в скриншотах переписки выше), ранее (недавно) попадали в реестр как содержащие детскую порнографию и информацию о наркотиках. Тут-то всё и встало на свои места.
Штирлиц никогда не был так близок к провалу
Как в итоге происходила подстава? Некто Павел Жовнер (о нём чуть ниже), создал эти домены и разместил на некоторых из них информацию про наркотики, на некоторых - детскую порнографию. Далее он «пожаловался» сам на себя (на самом деле мы думаем, что идея самой подставы исходила из РКН и прочих госорганов), Роскомнадзор и ФСКН тут же выявили на этих адресах соответственно детскую порнографию и информацию о наркотиках и начали отсчёт в 3 дня (стандартный срок по закону, который даётся владельцу сайта на удаление противоправной информации). В этот момент они по тому же закону должны были завести реестровую запись с выявленными ресурсами, но не сделали этого (почему - описано в предыдущем предложении). Проходит 3 дня, специалисты Роскомнадзора вновь заходят на адреса сайтов с детской порнографией и наркотиками, чтобы проверить, удалил ли владелец сайта противоправную информацию (они должны были выслать ему требование). Зайдя на сайты они видят, как вы думаете что? Правильно - зеркала блога Навального. Те самые, которые мне этот Павел Жовнер прислал с просьбой добавить в список.
Но и тут специалисты не заводят реестровую запись о «плохих» ресурсах! Что же тогда они делают, спросите вы? А они берут и рассылают по СМИ сообщения, что вот, мы выявили такие-то сайты с детской порнографией и наркотиками, через 3 дня проверяем, а там уже зеркала блога Навального! Выводы делайте сами.
Смешная подстава? Смешная. Получилось у них нас подставить? Нет, потому что они допустили ряд ошибок, спалив исполнителя, не подкрепив всё убедительными док-вами (не завели реестровую запись) + мы так и не добавляли эти сайты в список зеркал, на кнопке их не было.
А кто же исполнитель?
Стоило мне в Гугл вбить имя Павел Жовнер, как мне открылось такоооооое…
Где только не засветился этот человек: «
кто стоит за DDoS-атакой на сайт президента Беларуси» (там и полные личные данные его есть, он из Одессы), «
Павел Жовнер рассекретил IP-адреса всех пользователей Skype» и ещё много такого подобного. А вот он у Влада просит пруфы (доказательства) что среди DDoSящих наши зеркала машин есть также почтовый сервер ФСКН:
Да и весь
твиттер его «прекрасен».
Зачем ему это, кто стоит за подставами и DDoS-атакой?
Смешно, но мы как раз сегодня хотели опубликовать наше пост-расследование по некоторым интересным схемам, выявленным нами в РКН и в том числе по нашим подозрениям об исполнителях DDoS-атак на зеркала. Мы отложили пост на завтра из-за суда. По ряду причин, мы считаем, что за этими подставами и DDoS-атаками стоят лица из руководства Роскомнадзора (как инициаторы), а может и других, органов и организаций (ЦПЭ, ЕР и т.д.) Возможно они обиделись на наши последние добавленные адреса зеркал вроде «роскомнадзор-школьники.fuckrkn.me», «цензура.не.нужна.fuckrkn.me» и т.д., не знаю. Впереди ещё много разоблачений, оставайтесь на связи ;)
Лучшим же ответом для всех этих неумелых попыток подставить или «завалить» нас (наши сервера), будет эта форма (к тому же у нас впереди суды с РКН и Генпрокуратурой):
UPDATE: связался я с Жовнером и выяснил некоторые детали. Во-первых, скажу что сразу после публикации поста администратор Двача, а также некоторые другие пользователи твиттера написали, мол, никак он не связан с РКН, что он вообще с Украины и ему тупо по приколу угорать над всеми и заниматься такими штуками:
Во-вторых, сам Жовнер написал, что да, он создавал эти домены специально, чтобы ими попасть в реестр и делать перенаправления (об этой уязвимости
я писал ранее), и да, сначала он разместил на них копию заблокированного ранее чужого сайта о спайсах, а также рисованный хентай, после чего пожаловался сам на себя. Не дождавшись блокировки, решил что, видимо, с зеркалами блога Навального попасть в реестр легче и в итоге разместил там их, и написал нам с просьбой добавить их в список.
Развеяло ли это наши подозрения в причастности органов к подставе? Лично у меня - не до конца. Меня удивляет, что Роскомнадзор, несмотря на выявленную на сайтах запрещённую информацию (наркотики и детское порно), не завёл тут же реестровую запись, что в остальных случаях он делает всегда (и что требуют правила ведения реестра), чтобы сайт сразу же заблокировался. И даже после повторной проверки три дня спустя и обнаружения по тем адресам уже зеркал блога Навального, снова не завёл реестровую запись, более того, начал писать в СМИ, что вот они какие плохие, сторонники Навального-то. В любом случае, это был очень глупый поступок, человек мог нас подставить не просто под сильный чёрный пиар (если бы я не написал пост так скоро, то по следам писем РКН уже могли бы выйти статьи в Известиях и прочих треш-изданиях), но и подвести нас под статью (с нашими-то органами, а также «штурманами военной авиации издревле»). Так что порицаем и считаем, что человек сейчас заслуженно получает на орехи. Так делать не надо.
UPDATE 2:
Вторая часть марлезонского балета.