Forwarded from Ivan Begtin (Ivan Begtin)
У Минкомсвязи (официальное сокращённое наименование - Министерства цифрового развития и т.д.) не открывается нормальным образом сайт под https потому чтор работает он с сертификатом Symantec который постепенно Google выводит из поддержки в Google Chrome.
Если открыть сайт https://minsvyaz.ru в Google Chrome то можно увидеть предупреждение безопасности.
Ситуация смешная сапожника без сапог.
#security
Если открыть сайт https://minsvyaz.ru в Google Chrome то можно увидеть предупреждение безопасности.
Ситуация смешная сапожника без сапог.
#security
Forwarded from Ivan Begtin (Ivan Begtin)
3-ю часть исследования про персональные данные из государственных информационных систем я не публиковал сам, а передал РБК. Почему? Вы поймёте это прочитав только что вышедшую статью https://www.rbc.ru/politics/15/05/2019/5cdac8469a79479a27bd4eca о том чьи паспортные данные оказались в открытом доступе. И не только паспортные данные.
В открытом доступе я на днях опубликую открытую часть, без методик воспроизведения.
После прошлой публикации мне "оборвали телефон" журналисты так что сразу ответы на несколько вопросов:
1. Всё это было передано журналистам через 8(!) месяцев после того как материалы передавались Роскомнадзору и они даже отвечали в форме "с чем-то мы согласны, с чем-то несогласны". Роскомнадзору это передавалось после того как значительно ранее часть госорганов я предупреждал что такая проблема в их информационных системах есть, не прореагировал _никто_.
2. По наиболее серьёзным утечкам перс-данных органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше. Некоторые по нескольку раз. Лично я понял что механизм предупреждения любыми неформальными способами - не работает.
3. В этот раз проблема не в объёме, а в том чьи данные раскрываются.
4. Особо про Минюст. Я скажу максимально вежливо - очень много вопросов по профессионализму тех кто ведёт их реестры. Утечки перс данных - это лишь один из примеров крайне низкого качества данных в целом.
И да, конечно же, это не все государственные информационные ресурсы на которых публикуют персональные данные. Это та их часть до которой у меня дошли руки полгода назад всё задокументировать.
Самый быстрый способ со мной связаться это почта ivan@begtin.tech или телеграм https://t.me/ibegtin
Я обычно, почти никогда не беру звонки с городских телефонов, и могу не взять звонок с неизвестного телефона если сижу на совещании. Поэтому лучше писать чем звонить.
Но в принципе в статье в РБК всё понятно изложено.
#privacy #security #personaldata
В открытом доступе я на днях опубликую открытую часть, без методик воспроизведения.
После прошлой публикации мне "оборвали телефон" журналисты так что сразу ответы на несколько вопросов:
1. Всё это было передано журналистам через 8(!) месяцев после того как материалы передавались Роскомнадзору и они даже отвечали в форме "с чем-то мы согласны, с чем-то несогласны". Роскомнадзору это передавалось после того как значительно ранее часть госорганов я предупреждал что такая проблема в их информационных системах есть, не прореагировал _никто_.
2. По наиболее серьёзным утечкам перс-данных органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше. Некоторые по нескольку раз. Лично я понял что механизм предупреждения любыми неформальными способами - не работает.
3. В этот раз проблема не в объёме, а в том чьи данные раскрываются.
4. Особо про Минюст. Я скажу максимально вежливо - очень много вопросов по профессионализму тех кто ведёт их реестры. Утечки перс данных - это лишь один из примеров крайне низкого качества данных в целом.
И да, конечно же, это не все государственные информационные ресурсы на которых публикуют персональные данные. Это та их часть до которой у меня дошли руки полгода назад всё задокументировать.
Самый быстрый способ со мной связаться это почта ivan@begtin.tech или телеграм https://t.me/ibegtin
Я обычно, почти никогда не беру звонки с городских телефонов, и могу не взять звонок с неизвестного телефона если сижу на совещании. Поэтому лучше писать чем звонить.
Но в принципе в статье в РБК всё понятно изложено.
#privacy #security #personaldata
РБК
Паспортные данные Дворковича и Чубайса попали в открытый доступ
В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших
#security ⚔️ Пока там закон о «сувенирном Рунете» не заработал, поработаю немного за государство на страже, так сказать, устойчивости этого самого Рунету.
⚡️ У нас тут в мире случайно зомби-апокалипсис:
https://cpu.fail/
‼️ В процессорах Intel нашли новую критическую уязвимость, которую назвали ZombieLoad. Уязвимость позволяет злоумышленнику, запустившему специально подготовленный код на компьютере, почитать произвольные данные, к которым имеет доступ процессор. Например, историю посещений браузера в реальном времени, данные соседних «виртуалок» в «облаке». Уязвимость требует возможности запуска кода на компьютере и не позволяет заражать или запускать что-то, но позволяет всё читать. Intel уже выпустил микрокод для исправления уязвимости. Говорят, 3%-9% потерь производительности. Но вот Apple утверждает, что только отключение Hyper-Threading и 40% потери производительности:
https://support.apple.com/en-us/HT210108
☝️ Обновляйтесь. Особенно, если вы в облаках. Да, виртуалки тоже надо обновить.
⚡️ У нас тут в мире случайно зомби-апокалипсис:
https://cpu.fail/
‼️ В процессорах Intel нашли новую критическую уязвимость, которую назвали ZombieLoad. Уязвимость позволяет злоумышленнику, запустившему специально подготовленный код на компьютере, почитать произвольные данные, к которым имеет доступ процессор. Например, историю посещений браузера в реальном времени, данные соседних «виртуалок» в «облаке». Уязвимость требует возможности запуска кода на компьютере и не позволяет заражать или запускать что-то, но позволяет всё читать. Intel уже выпустил микрокод для исправления уязвимости. Говорят, 3%-9% потерь производительности. Но вот Apple утверждает, что только отключение Hyper-Threading и 40% потери производительности:
https://support.apple.com/en-us/HT210108
☝️ Обновляйтесь. Особенно, если вы в облаках. Да, виртуалки тоже надо обновить.
Forwarded from Ivan Begtin (Ivan Begtin)
Я вот уже несколько дней отказываюсь комментировать журналистам всё что связано с мобилизацией, войной, информатизацией военкоматов. Сейчас предостаточно политологов которые комментируют происходящее чуть ли не ежеминутно.
Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.
Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.
Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).
УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.
Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.
Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать
#security #privacy
Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.
Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.
Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).
УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.
Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.
Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать
#security #privacy