Эшер II A+
16.2K subscribers
504 photos
28 videos
73 files
2.03K links
Канал «Неугомонного Фила» про блокировки
Сайт: https://usher2.club
Бот: https://t.me/u2ckbot

VPN: https://t.me/FarscapeBot

Поддержите меня: https://t.me/usher2/2424

#позиция #ликбез #donate
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
⚡️⚡️⚡️ Я периодически упоминаю сериал «Вавилон 5» и даже иллюстрирую некоторые посты скриншотами из сериала. Но он довольно старый — 1993-1998 года. Посмотреть его без специальных ухищрений в нормальном качестве было затруднительно.

👉 Внезапно, в начале 2021 года, Warner Bros. выпустила отреставрированную версию «Вавилона 5»

На «КиноПоиске HD» появились все пять сезонов «Вавилона 5». Сериал доступен в базовой подписке онлайн-кинотеатра: https://dtf.ru/cinema/827959-na-kinopoiske-hd-otkrylsya-dostup-k-serialu-vavilon-5

👍 Я действительно рекомендую. Настаивать не могу, но около того.

☝️ Из интересного:
• В сериале нет огня в космосе, нет звуков в космосе. Они строго за этим следили. Земная космическая техника очень научна.
• Это один из первых телесериалов 16:9, когда ещё показывать его было не на чем в таком формате
• Одна из главных героинь — Сьюзен Иванова — родом из Санкт-Петербурга. Из этого Санкт-Петербурга. Из которого я

Я никак не мог понять его слов до сегодняшнего дня. Мои ботинки слишком жмут, и я разучился танцевать.
В выходные многие российские СМИ написали, что в Беларуси «частично заблокировали» популярные соцсети — YouTube, Facebook, Instagram, Telegram, TikTok. В реальности это не совсем так: блокировки в Беларуси есть, но сами площадки для пользователей остаются доступны.

Zerkalo.io рассказывает, как устроен черный список белорусских сайтов и чем грозит попадание туда соцсетей.

https://news.zerkalo.io/life/1664.html?tg

Не открывается ссылка? Попробуйте эту или скачайте наше Android-приложение.
Извините
Forwarded from Segment@tion fault
Передовые разработки автоматизации
#вещества 🔥 Хотите покажу новость, уровень которой постесняется даже СПИД-Инфо на начале карьеры. «Гигантские левитирующие акулы-нацисты напугали отдыхающих на пляжах Баренцева моря ядовитыми пятнами»:
https://www.pnp.ru/politics/mincifry-khochet-filtrovat-internet-trafik.html

🙈 Я давно не видел такого уровня экспертизы, где напутано примерно все. Вообще все.

• Собственно технические средства ТСПУ и управление сетью через них было установлено ещё законом 90-ФЗ от 01.05.2020 (закон «о суверенном Рунете»). Данный проект приказа имеет чисто юрикотехнический характер в дополнений к уже имеющимся нормам и практике. Не готв выяснять, какую дырку в запутанной иерархии регулирования затыкает этот приказ.
• Пояснительная записка, как и 99% пояснительных записок к нормам и законопроектам, несет в себе формальную отписку. Что-то написали и ладно. Кому что это объяснило никого не волнует.
• Бесплатность ТСПУ определена федеральным законом 90-ФЗ от 01.05.2020 (закон «о суверенном Рунете»).
• И нет. Этот приказ разработан не для реализации закона «о бесплатном Рунете» (и что там прицепом «приехало»). Это введение в заблуждение. Как там Генпрокуратура любит говорит? Фейк!!!
Кошмар какой

🔥 И это нам пишет «Парламентская газета». Уже не в первый раз кстати у них такой забористый материал. Уже заблокировал бы их кто за распространение недостоверной информации

👉 Кстати. Спасибо этому изданию фейков за акцент на проекте норматива. Как всегда — лайки, дизлайки, отзывы до 13 сентября 2021 года: https://regulation.gov.ru/p/119334
То, за что я топлю около 10 лет. Сложный пароль в итоге обычно записан на бумажку. Или он один на всё. Или просто каждый раз процедура восстановления
Forwarded from Cybersecgame (Oleg)
В недавнем посте мы высказали мнение, что пароли ещё поживут.

Теперь пара слов о таком их применении, чтобы потом не было мучительно больно.

Представьте себе организацию, в которой, смена пароля требуется раз в месяц. Пароль должен длинным, включать буквы разного регистра, символы и цифры. Хорошим паролем считается Hd3RT$u7_1.

Безопасно? Нет. Потому, что у подавляющего большинства работников пароль, который они за месяц не в силах запомнить, записан где нибудь в укромном или не очень месте (чаще всего — анекдотично налеплен на монитор).

В качесте иллюстрации уровня соврешенно ненужного стресса, вызываемого утренним окошком "истёк срок действия пароля", автор наблюдал в некоем банке (где как раз требовали менять пароль каждый месяц) начальника управления инкассации, который рассказывал, что его преследует страшный сон. Нет, не про грабителей. Снится ему, что он приходит на работу на следующий день после того, как поменял пароль и понимает, что забыл на какой.

В общем, единственное, чего добьются авторы политики парольного фашизма — стресс и возможность при наличии физического доступа попасть почти на любой компьютер в банке, пошарив вокруг монитора и в верхнем ящике стола в поисках заветной желтой бумажки.

Так вот, практики эти устарели на много лет, но люди свято им следующие продолжают встречаться в большом количестве и даже в одном отчёте о пентесте пару дней назад мы видели подобные рекомендации.

Давайте о современных реалиях. Вообще, если позволяет инфраструктура, уходите от голых паролей на двухфакторную аутентификацию, но требований к самому паролю это не отменяет.

Пароль должен быть парольной фразой — несколькими словами (рекомендуют общую длину не меньше 14 символов), составляющими запоминающееся пользователю предложение.

Предложению этому не обязательно быть психиатрически правильным: фраза porosenoknauzhinelPlutonium238 будет отличным и практически невзламываемым паролем. Да, если вы любитель комиксов xkcd, это именно то, о чём написано в комиксе номер 936, на который теперь ссылается даже Microsoft, поскольку Рэндалл одним из первых громко сказал, что такие пароли надёжнее обычных.

Что до смены паролей, то самые суровые современные рекомендации, например, прошлогодние CIS Password Policy Guide, рекомендуют менять пароль примерно раз в год. Другие, например NIST Special Publication 800-63B от 2017 года, рекомендуют менять его никогда. Ну то есть только в том случае, если есть подозрение, что он скомпрометирован.

А чтобы узнать, когда пароль будет скомпрометирован, надо послеживать за авторизациями своих пользователей из подозрительных мест, в подозрительное время и т.п.

Итак, чтобы парольная защита работала, как ей положено:

1. Изживите эти адские доисторические требования по сложности паролей и их регулярной смене.*
2. Объясните своим пользователям, что пароль, который они придумают они должны придумать строго для входа в систему, где вы их регистрируете и больше нигде.
3. Научите их парольным фразам.
4. Проверяйте, что они вас услышали и используют не словарный пароль.
5. Мониторьте сливы паролей, мониторьте странные логины. И только если вы подозреваете, что пароль скомпрометирован, вот тогда меняйте его.

Поскольку для реализации первого пункта вам наверняка потребуются ссылки на официальные документы, чтобы доказать руководству, айтишникам или наоборот безопасникам, что то, что вы предлагаете — и есть лучшие современные практики, вот списочек:

NIST Special Publication 800-63B
CIS password policy guide
— И ещё большое исследование того, насколько парольные фразы удобнее обычных паролей в использовании

* прежде, чем следовать нашим советам — убедитесь, что вы не связаны по рукам и ногам какими нибудь дремучими отраслевыми стандартами.
ChaosConstructions TV 28-29 августа с 12.00 по MSK ждем вас на трансляции демопати и конференции.

Вы сможете посмотреть конкурсные работы и проголосовать за них на сайте https://chaosconstructions.ru/ голосование доступно после показа работ.

Прямые включения с выставки ретро-компьютеров от @retrotechsquad, соревнования по UMK, семинары и DemoShow будут транслироваться на нашем Twich канале.

Программа конференции по безопасности и электронике насыщенна, конкурсы по созданию демо на Arduino с экранами, хардвейр хак квест и традиционный, и любимый всеми локпик.

Новости фестиваля - @chaosconstructionsnews
Горячие обсуждения (35+) - @chaosconstructions
🔥 ЦБ предупредил банки о возможности новых блокировок VPN-сервисов

☝️ Собственно, то что будут блокироваться VPN в перспективе — я уже смирился. К сообщениям о блокировках того-сего как-то привык. Но к чему я никак не могу привыкнуть, так это вот к этому «ЦБ разослал в банки», «Роскомнадзор разослал в ведомства», или вот это бессмертное Жарова образца 2017 года: «Системообразующие предприятия не пострадали». Т.е. 4 года тренд на создание интернет-опричнины.

https://www.rbc.ru/finances/26/08/2021/61279abf9a79472abc90c997
Российские журналисты призвали прекратить «кампанию по уничтожению СМИ»

«Новая газета», Forbes, «Псковская губерния», The Village и другие издания опубликовали обращение к высшему руководству страну.

https://www.fontanka.ru/2021/08/27/70102001/?utm_source=tg
Forwarded from Ivan Begtin (Ivan Begtin)
Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)

Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.

Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.

Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.

Ссылки:
[1] https://zakupki.gov.ru/223/purchase/public/purchase/info/common-info.html?regNumber=32110590564

#privacy #rkn #procurement
⚡️⚡️⚡️ СМИ сообщают, что Роскомнадзор заблокировал шесть VPN-сервисов — Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN. Компании, которым сервисы необходимы для работы, смогут продолжить ими пользоваться.

👉 Однако, первоисточники крайне сомнительны - Российская Газета, которой слово "фактчекинг" довольно регулярно не знакомо, и Известия, которое вообще не уверен, что не газета платных объявлений. Сам Роскомнадзор пока стесняшка.
UPDATE: Судя по всему Роскомнадзор разослал в СМИ пресс-релиз. Чтобы это максимально разошлось. Т.е. скорее всего опять «не сегодня»

✌️ В любом случае, в прошлый раз блокировка VPN оказалась фикцией. 50/50 и сейчас тоже. Если вдруг вы столкнулись с блокировкой этих сервисов на территории РФ - пишите мне или в каменты
⚡️⚡️⚡️ А вот собственно и само сообщение Роскмонадзора про блокировку VPN:
https://rkn.gov.ru/news/rsoc/news73836.htm

😅 Мне очень понравилось «Роскомнадзором получены сообщения от 64 отраслевых организаций, 27 из которых используют упомянутые VPN-соединения для обеспечения 33 технологических процессов. Представлены более 100 ip-адресов с целью исключения их из политик ограничения доступа». Больше бессмысленных цифр богу бессмысленных цифр.

👆Роскомнадзор перестал утруждать себя публичным описанием оснований. Описанные в сообщении тезисы требуют перевода и содержать допущения и поводы для кривотолков. Строго говоря, там нет правового основания. Там есть какие-то лозунги, которые можно подогнать под какую-нибудь норму допуская то или иное.

👆 Нет, нормативная правовая база не подразумевает никаких белых списков. Да, несмотря на то, что многие удивлялись «а кто для производства пользуется этими VPN» таковые убедительно для Роскомнадзора нашлись. Вопрос о том, кто иль что есть отраслевые организации остаётся открытым. Я бы честно писал «организации опричь других». Грубовато, но отражает суть и готичненько.
#вещества 🎃
— Вы VPNов блокируете?
— Нет, в списках показываем.
— Красивое
#вещества 😇 Я не знаю как это у них получается, но каждую заявленную Роскомнадзором (не обязательно сделанную) крупную блокировку, или замедление что-нибудь случается. Как, как вы это делаете?

Вконтакте лежит насмерть

👆 Я уверен, что эти события в данном случае не связаны. Но там специально о датах договариваются что ли? Типа нет повода не дать повода для шуток?
Forwarded from ЗаТелеком 🌐
#война
Вчера жертвой РКН по борьбе с интернетом пал... WoWS — World of WarShips.

Пруф на много проклятий.

И да — вчера было много жалоб на отвал WireGuard. Лечится очень просто — заменой порта на какой-нибудь общеприменимый. Ну, например... 80!

(да, хваленый ТСПУ за много миллиардов режет по порту)

Свяжитесь со своим поставщиком VPN и поменяйте настройки.
#dnsживи 👉 Когда-то давно, когда ещё не было войны за Телеграм, все ещё казалось смешным и «они не смогут», в сеть утекла бумага Роскомнадзора с блоками IP Амазон: https://t.me/zatelecom/4071 Все посмеялись над этим фейком. Стоял весенний месяц март 2018 года

☝️ Но одна крупная и очень известная российская интернет-компания (история довольно публична, но не буду теребить имена) решила, что риски слишком высоки, и за пару недель аврала поставила между своими бэкендами в облаке Амазона и сервисами в России «прослойки», которые позволяли работать, в случае блокировки IP Амазона. 16 апреля 2018 года они ощутили... Что-то они ощутили.

Эта бумага может быть блефом, фейком, фишингом, как и та в далеком 2018-ом. Мы до сих пор не знаем, была ли она. Но дата отключения Google DNS в России — 09 сентября 2021