💥 Что вы знаете о безопасности DNS?

Вместе с Филиппом Кулиным (СПбЭК-Майнинг) рассмотрим современные теории и практики защиты DNS. Обсудим защиту от подделки DNS и вообще разберемся откуда ноги растут в этой истории. Отдельная тема в докладе Филиппа посвящена защите от прослушки: история DNSCrypt, DNS-over-TLS, DNS-over-HTTP Google API, DNS-over-HTTP/2, минимизация QNAME. Подробности https://clck.ru/XSR8P.

✅ Спешите запланировать своё участие в Saint HighLoad++. И, если вы ещё не купили билет, то самое время это сделать. Расписание уже на сайте 👉 https://clck.ru/XSRBJ.

ЗаТелеком опубликовал письмо "Об изменении DNS-адресации", которые Ростелеком рассылал клиентам по списку рассылки. Там написано:

• DNS от Google, Cloudflare, CISCO OpenDNS "запретить к использованию для выдачи абонентам с BRAS,DHCP".
• Заменять их на DNS от Ростелеком и НСДИ (Национальную систему доменных имен).
• Если пользователи будут жаловаться, что что-то не работает, поддержка не должна им советовать для решения проблемы настраивать DNS от Google и Cloudflare.

Выглядит, как будто собираются блокировать. Если у вас что-нибудь важное зависит от этих трех конкретных DNS - отличное время продумать и протестировать detection (как вы узнаете о блокировке) и correction (как вы восстановите работоспособность систем).

А еще очень интересно, насколько безболезненно экосистема Android и IoT (интернет вещей) переживет блокировку Google-овских DNS?

И немного новостей:
1. "Суперприватный" швейцарский ProtonMail слил ip адреса "экоактивистов" французским спецслужбам, экоактивисты арестованы
Не забываем про союзы спецслужб: 5(14) глаз и бернский клуб
2. "Суперзащищенный" протоколом Signal мессенджер WhatsApp позволяет админам читать вашу переписку
3. Попытка блокировки VPN в России через ТСПУ показала что Ростелеком не обладает компетенциями в создании сигнатур и за 1,7 млрд рублей купил пустышку: наряду с VPN было заблокировано много легитимного трафика, сами же VPN до конца заблокировать не удалось

#вещества Внимательные коллеги обратили внимание на неопубликованную часть этих бумаг (отловили Ростех, Центробанк, Ростелеком - все по одному принципу - рассылка главы службы инфобезопасности):
«...запретить к использованию для выдачи абонентам с BRAS / DHCP и в технологических сетях DNS Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1) ... Для выдачи абонентам и в технологических сетях использовать DNS сервера под управлением ПАО "Ростелеком" или IP адреса Национальной системы доменных имен (195.208.6.1, 195.208.7.1, ...»

☝️ По факту на этих адреса действительно сервисы НСДИ. Но трансфер зон, а не кэширующий DNS. Вкратце — абоненты не получат сервис DNS на этих адресах. Правильные адреса: 195.208.4.1 и 195.208.5.1. Собственно, каждый может проверить. Это публичные общедоступные всем желающим сервисы

☝️Что это? «Служу Советскому Союзу» помноженное на пофигизм? Умышленное вредительство? «Слив» без реальной угрозы?

#dns Кстати о доменах и Национальной системе доменных имен. Вдруг кому-то интересно с ней ознакомиться. Официальные инструкции подключения:
https://usher2.club/docs/Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf
https://usher2.club/docs/Утвержденная_инструкция_по_НСДИ.pdf

«Неугомонный™ Фил® на Фонтанке разглагольствует как мы все умрём. » (c) ЗаТелеком

In fire! (c) ambassador Kosh

https://www.fontanka.ru/2021/09/14/70134311/

Тут в принципе не надо понимать все эти сокращения. Суть в том, что есть нормативное требование рассчетов/оценки, есть утвержденная методика. И вы видите не переписку в чатике в WhatsApp, а нормативно определенное общение

Минцифры весьма своеобразно понимает свою обязанность по оценке издержек адресатов регулирования и выполнению требований п. 8 (1) Правил проведения ОРВ в отношении проектов НПА с высокой степенью регулирующего воздействия - на фото ответ на замечание эксперта из #РАНХиГС на проект приказа данного министерства "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных..."

Что же - надеемся, что коллеги из Минэкономразвития @MinEconomyrf @minec_russia
учтут этот кейс не только при подготовке заключения об ОРВ, но и - что важнее - при выполнении поручения заместителя руководителя Аппарата Правительства РФ (протокол заседания Подкомиссии по "регуляторной гильотине" от 02.09.2021 N63, п. 1.3) в части анализа исполнения п. 8 (1) Правил проведения ОРВ.
#Минцифры #ОРВ #МЭР #аппарат #Чепурина #ОдинЗаОдин #1in1out

Подтверждаю. Реально Мегафон забанил docs.google.com. Ну всё. Теперь заживем

Судя по сообщениям, docs.google.com блокируют на Мегафон практически по всей России

☝️ Я на самом деле догадываюсь, что глобально происходит. У ЦМУ ССОП при ГРЧЦ при РКН нет стенда для ТСПУ. Нет, какой-то стенд есть. Но как это все поведет себя на реальных объёмах, в реальных условиях — я уверен, что такой стенд даже не задумывался. Как можно что-то предполагать не попробовав? Но игры там опасные, большие дяди и тёти будут возмущаться.

🔥 И тут такой подгон — политическая активность, приуроченная к предстоящим важным событиям. Всем всё ясно. Борьба с печенегами. Это понятная всем дядям нужная и своевременная борьба. Чуть «прокачать» и можно обосновывать любой эксперимент с фильтрацией.

⚡️ Повод вышел из-под контроля и живет своей жизнью? Да и пусть. Кого это волнует. Цифровая опричнина системообразующие предприятия не задеты и ладно

К утру с docs.google.com ожидаемо попустило. Сочувствую тем, кто подрабатывает, работает ночью, использует google документы и не попал в цифровую опричнину «системообразующие предприятия» и «по ведомствам» (что бы это ни означало). Таков путь

🕯 Я оказался из соседней сказки. Я ребенок и верный последователь MK-61 и БК-0011М. Но ZX Spectrum тоже легенда, хоть и из параллельной для меня реальности. F

Умер сэр Клайв Синклер. Если вы тоже стали таким как есть благодаря ZX Spectrum - жмите F в комментариях. Надеюсь что он не умер, а как Элвис — просто улетел домой https://www.theguardian.com/technology/2021/sep/16/home-computing-pioneer-sir-clive-sinclair-dies-aged-81

Традиционно не грузится на мобильных операторах. Кстати, а что думает на эту тему ЦМУ ССОП? Это ведь угроза. Люди пользуются стравой в том числе и в лесу

Оказывается, Страву зацепило

Сегодня Apple и Google заблокировали приложение Алексея Навального в России. В итоге основным предвыборным инструментом от команды Навального для россиян стал бот Умного Голосования в Telegram. Мы рады, что миллионы россиян имели возможность воспользоваться этим ботом в рамках предвыборной кампании кандидатов, и гордимся тем, что Telegram остается самой свободной платформой в сети.

Вместе с тем, блокировка приложений компаниями Apple и Google создает опасный прецедент, который повлияет на свободу слова в России и во всем мире. Telegram, как и все остальные мобильные приложения, зависит от экосистем Apple и Google для дальнейшей работы. В частности, без поддержки со стороны этих компаний Telegram не мог бы оставаться доступным для большинства российских пользователей в условиях блокировок 2018-2020 годов.

В этом году компании Apple и Google уже обращались к нам с требованием удалить публично доступную информацию в соответствии с законами отдельных стран под угрозой исключения Telegram из каталогов приложений Google Play и App Store. Теперь, судя по блокировке ими приложения Умного Голосования, эта практика распространилась и на Россию. Изменение политики Apple и Google неизбежно скажется и на Telegram, так как они, будучи создателями двух главных мобильных операционных систем, находятся на вершине "пищевой цепи" распространения информации и могут диктовать правила игры разработчикам вроде нас. Это печально, но ожидаемо: я не раз писал о том, что олигополия Apple и Google представляют собой угрозу для свободы слова.

Так как предвыборная кампания в России подошла к концу и начался сам процесс выборов, начинаются так называемые "дни тишины" – закрепленная в законах многих стран традиция, которая предусматривает отсутствие агитации в ходе самих выборов. Мы считаем эту практику легитимной и призываем пользователей Telegram уважать ее – с полуночи по московскому времени мы планируем ограничить функционирование ботов, связанных с предвыборной агитацией. Надеюсь, все желающие получить дополнительную информацию о кандидатах смогли это сделать до начала выборов.

В ходе этого предвыборного цикла Telegram удалось по максимуму защитить свободу слова в России, однако будущее туманно. Независимо от развития событий, Telegram будет оставаться самой свободной из онлайн-платформ – в рамках теоретически возможного.

⚡️⚡️⚡️ Согласно законодательству, docs.google.com должен уже отправлен на блокировку. Потому что там «незамедлительно» по 15.3, а стороны уведомлены и уже успели язык показать. Это способ блокировки, который мы можем отслеживать. https://t.me/u2ckbot

#вещества Я, Серега, полностью согласен, что лето 2019 года было пинком цифре. Таким пинком, что летим кувыркаясь по сей день. И у меня тоже есть ссылка:
https://usher2.club/helpers/stable-runet-npa-list