Этап первый. Попытка подставить
Два дня назад, в обычном режиме разбирая наш почтовый ящик mirror@fuckrkn.me (куда мы принимаем адреса новых волонтёрских зеркал блога Навального), я натолкнулся на очередное письмо от «волонтёра», который написал о том, что он тоже создал несколько зеркал блога Алексея и попросил добавить их в наш список:
Письмо сразу показалось мне странным: какие-то странные адреса зеркал (обычно присылают что-то вида navalny.mydomain.org и т.п.), какие-то тларкин, какой-то вконтакте-хакер, вкачка — к чему такие адреса? Совершенно непонятно было. Если бы я загуглил имя отправителя Pavel Zhovner, то сразу бы всё понял. В голову закрались мысли, что может быть нас пытаются заставить перейти на какие-нибудь фишинговые сайты или сайты с какими-нибудь троянами, эксплоитами, тем самым выявив какие-нибудь более полные данные о нас: IP-адреса, пароли и т.д.
«Ну пусть попробуют» — подумал я. В плане попыток обмана я натасканный неплохо, в плане выявления троянов и вирусов — тоже. Компьютер достаточно защищён самым свежим антивирусником и фаерволлом, пароли у меня сложные и разные, в браузере важные пароли не сохраняю. Перехожу по ссылкам — открывается главная страница ЖЖ Алексея. Пробую переходить по конкретным постам — открывается уже одно из наших зеркал (на самом деле оно открывалось из-за нашего плагина, установленного в браузере, а «зеркала» мошенника осуществляли на самом деле переход на navalny.livejournal.com). Никаких подозрительных действий (типо попытки установки стороннего плагина или загрузки файла) не происходило, поэтому я просто написал в ответ человеку, что его зеркала настроены неправильно и добавлять их в список мы не будем:
Словно в подтверждение моих нехороших подозрений, человек ничего на это не ответил (обычно волонтёры отвечали сразу или в течение дня).
Этап второй. РКН сообщает!
Проходит два дня, настаёт день сегодняшний. Весь день мы с
Владом занимаемся своими делами, работой, параллельно ржём над «упоротым Лисовенко, штурманом военной авиации». Роскомнадзор сегодня же внёс в реестр зеркало с адресом роскомнадзор-школьники.fuckrkn.me. Настаёт вечер и тут нам из ФБК приходит письмо, в котором содержится вопрос от корреспондента CNews Игоря Королёва, в котором он спрашивает, правда ли, что некоторые из зеркал блога Навального, которые мы используем (в письме был список, который один-в-один соответствовал тому, что содержится в скриншотах переписки выше), ранее (недавно) попадали в реестр как содержащие детскую порнографию и информацию о наркотиках. Тут-то всё и встало на свои места.
Штирлиц никогда не был так близок к провалу
Как в итоге происходила подстава? Некто Павел Жовнер (о нём чуть ниже), создал эти домены и разместил на некоторых из них информацию про наркотики, на некоторых — детскую порнографию. Далее он «пожаловался» сам на себя (на самом деле мы думаем, что идея самой подставы исходила из РКН и прочих госорганов), Роскомнадзор и ФСКН тут же выявили на этих адресах соответственно детскую порнографию и информацию о наркотиках и начали отсчёт в 3 дня (стандартный срок по закону, который даётся владельцу сайта на удаление противоправной информации). В этот момент они по тому же закону
должны были завести реестровую запись с выявленными ресурсами, но не сделали этого (почему — описано в предыдущем предложении). Проходит 3 дня, специалисты Роскомнадзора вновь заходят на адреса сайтов с детской порнографией и наркотиками, чтобы проверить, удалил ли владелец сайта противоправную информацию (они должны были выслать ему требование). Зайдя на сайты они видят, как вы думаете что? Правильно — зеркала блога Навального. Те самые, которые мне этот Павел Жовнер прислал с просьбой добавить в список.
Но и тут специалисты не заводят реестровую запись о «плохих» ресурсах! Что же тогда они делают, спросите вы? А они берут и рассылают по СМИ сообщения, что вот, мы выявили такие-то сайты с детской порнографией и наркотиками, через 3 дня проверяем, а там уже зеркала блога Навального! Выводы делайте сами.
Смешная подстава? Смешная. Получилось у них нас подставить? Нет, потому что они допустили ряд ошибок, спалив исполнителя, не подкрепив всё убедительными док-вами (не завели реестровую запись) + мы так и не добавляли эти сайты в список зеркал, на кнопке их не было.
А кто же исполнитель?
Стоило мне в Гугл вбить имя Павел Жовнер, как мне открылось такоооооое…
Где только не засветился этот человек: «
кто стоит за DDoS-атакой на сайт президента Беларуси» (там и полные личные данные его есть, он из Одессы), «
Павел Жовнер рассекретил IP-адреса всех пользователей Skype» и ещё много такого подобного. А вот он у Влада просит пруфы (доказательства) что среди DDoSящих наши зеркала машин есть также почтовый сервер ФСКН:
Да и весь
твиттер его «прекрасен».
Зачем ему это, кто стоит за подставами и DDoS-атакой?
Смешно, но мы как раз сегодня хотели опубликовать наше пост-расследование по некоторым интересным схемам, выявленным нами в РКН и в том числе по нашим подозрениям об исполнителях DDoS-атак на зеркала. Мы отложили пост на завтра из-за суда. По ряду причин, мы считаем, что за этими подставами и DDoS-атаками стоят лица из руководства Роскомнадзора (как инициаторы), а может и других, органов и организаций (ЦПЭ, ЕР и т.д.) Возможно они обиделись на наши последние добавленные адреса зеркал вроде «роскомнадзор-школьники.fuckrkn.me», «цензура.не.нужна.fuckrkn.me» и т.д., не знаю. Впереди ещё много разоблачений, оставайтесь на связи ;)
Лучшим же ответом для всех этих неумелых попыток подставить или «завалить» нас (наши сервера), будет эта форма (к тому же у нас впереди суды с РКН и Генпрокуратурой):
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}
gorlis_gorsky.
