🫀 Попробую на минутку от смешинок вернуться к вещам серьёзным. Так скажем, практичным.

👻 Генпрокуратура по сей день отсутствует в «выгрузках» Роскомнадзора. Я, честно, обычно новых читателей этим смешу. Мне уже давно не смешно. Мне интересно, вам там на местах в ГРЧЦ норм? В зеркало не стыдно смотреться? Просто вот хотя бы с точки зрения IT-специалиста. Ну или даже патриота, если со специалистами и IT не очень.

☝️ Это всё-таки официальный федеральный документ. Его поля аж целым федеральным законом регламентированы. Который вы там все (обобщу) считаете важным и актуальным. Как же так? Это незаконная выгрузка? «Просто сбой» — это было первая пара часов. А дальше это уже неуважение к закону, саботаж. Да и неуважение к себе, собственно.

🍻 Я до сих пор зачем-то (just for fun, why not?) поддерживаю реестр внутреннего российского официального PKI (сертификаты для всяких официальных подписей внутри России) в формате для свободного программного обеспечения:
https://github.com/schors/gost-russian-ca
Да, большинство подписей можно поставить только пригретыми платными продуктами типа КриптоПро без вариантов. Web-протоколы вообще закрытые. Но часть вещей можно делать и на обычных продуктах, например на openssl.

🫵 Мне интересно, я так и остался единственным? Или хоть какая-нибудь импоротозамещенная система таки сделала свой обновляемый актуальный реестр? Я готов про это написать. Я без иронии сейчас.

🥸 А то тут понимаешь: «...Россия достигла цифрового суверенитета...» https://tass.ru/ekonomika/16425311 , а такая штука пока только заграничная. Я знаю ответ: «Да и не надо. Есть КриптоПро. А твоя хрень — не нужна». Произнесите это вслух три раза, глядя себе в глаза в зеркало и попытайтесь их не опустить

☝️ #нравоучение Кто бы что ни говорил, конкуренция не всегда приводит к хорошему результату, а её отсутствие закономерно приводит к плохому системному результату. Ну и спешка нужна только при расстройстве желудочно-кишечного тракта и охоте на паразитирующих насекомых.

👉 В принципе, рабочий момент, но закономерный:
https://t.me/zatelecom/23983

🍄 #вещества Мне читатели показали интересный документ ФСТЭК (всё чем она занимается в полях, на которых я пасся — бессмыслица и имитация бурной деятельности).

📈 Методика тестирования обновлений безопасности программных, программно-аппаратных средств. 28 октября 2022 года:
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2527-metodicheskij-dokument-utverzhden-fstek-rossii-28-oktyabrya-2022-g

☝️ В результате беглого осмотра инструкции я думаю, что это специальная методика проверки сторонних программ. Например, что-нибудь с открытым кодом, что продолжает использоваться вне зависимости от санкций. Её применение может быть добровольным и нормативным.

🍓 Интересненькое

🔸

3.5 Поиск опасных конструкций в обновлениях безопасности (Т004)
...
3.5.2. Поиск опасных конструкций в обновлениях безопасности (Т004)
предусматривает:
...
б) контекстный поиск политических баннеров, лозунгов и другой
противоправной информации в обновлениях безопасности.

Оригинально. Гори оно всё синим пламенем, но «нет войне» не пропустим?

🔸

2.2. Если по результатам выполнения тестов результаты реализации одного
или более тестов являются потенциально опасными (обозначены желтым цветом) и
ни один из тестов не являются опасными (не обозначен красным цветом),
обновление безопасности может быть установлено при определенных ограничениях. 

Т.е. если попался лозунг «нет войне», то можно встать по стойке смирно, послушать национальный гимн в исполнении Шамана и обновиться?

🤡 А зачем это туда вообще было вписано? Типа в ногу со временем? Мне интересно, как крепко спят люди, вносящие хрюканину в нормативно-правовую базу

🍯 Я не знаю, получится ли у меня, но почему бы и не попробовать

⛈ Асгард там, где асгардцы (c)
⛈ Когда я мечтал, чтобы у меня были друзья по всему миру — я не это вот всё имел ввиду

👉 Война раскидала нас по всему миру. Кто-то остался в России, кто-то в Казахстане, Грузии, Армении, Киргизии, Турции, Черногории, Сербии. Кто-то перебрался в Евросоюз — Нидерланды, Испанию, Португалию, Финляндию, Швецию, страны Балтии, Польшу, Венгрию. И если в России конференции и митапы были развиты, то вот с другими странами всё сложнее. Несомненно, в том же Евросоюзе есть крутые международные конференции. Но я не в курсе, что с местячковыми. Где можно поговорить о Java, Python, Kubernetes, DevOps, Golang хотя бы на английском офлайн? А на том, на котором вы говорите (для многих это важно)? А на местном? Может быть митап рядом с вами, но вы не знаете.

🫵 Давайте я попробую создать реестр и прокачать местечковые айтишные чатики и события. Нови Сад, Анталья, Берлин, Тбилиси, Астана, Вильнюс, Таллинн отзовитесь!

🇧🇾🇺🇦 присоединяйтесь! Я знаю, это важно всем, затерявшимся во Вселенной.

❤️ Хочу превратить «Welcome to the Hell!» в «Добро пожаловать в новый открытый мир»

🫵 Кстати. Я собираю инструкции «как я справился с раскладкой клавиатуры», «как я поменял регион в Google Pay с учётом Google Family Link», «Здесь слайды делают в Фигме» и так далее

🎲 Времена меняются, ситуации меняются, всё меняется слишком резко. Я получаю поддержку там, где даже делать ничего не собирался и резкое неожиданное противодействие на протоптанных путях с поддержкой. Все люди. Мне приходится объяснять много. В первую очередь себе конечно.

🏆 Очень классно, что много людей отозвалось на пост об айтишных комьюнити. Я и обрадовался, и удивился. Митап ком это круто конечно. Но как же обсуждение докладов и сбор тем? Нет, автаркия это всегда плохо. Хоть размера страны, хоть размера компании. Да, это правда, что мигрантам не до этого — дети, документы, вопросы аренды, языка, оплаты. Какие уж тут митапы. Большинство айтишных чатиков про то, где купить микроволновку. Я в любом случае их все посмотрю и найду те, которые я считаю ближе к своей идее 🏵 Я знаю, что с этим делать. Но только теоретически. Надо начать делать комьюнити, делать офлайны, подхватывать чужие, вливаться. Плохая новость тут в том, что это должны делать энтузиасты на местах.

🍳 С нормами было больно. Отрадно, конечно, что часть моих читателей умеет точно интерпретировать законы и нормы. Такую бы способность ещё тем, кто будет за этим надзирать и писать сопутствующие нормативы. И ещё бы хорошо, чтобы интерпретации совпадали. А главное, чтобы ожидаемое компетентное реагирование было то, как вы думаете, а не те, кто будет компетентно реагировать. Это очень опасная дорожка. А у меня тут цельный законопроект, который «ты докопался до нормального законопроекта» уже от двух неожиданных человек и от одного опосредованно «это позволит сделать хорошо».

🎓 Зачем же я тогда про регуляторику продолжаю писать? Зачем продолжаю разбирать все эти законы? Потому что хорошие практики должны развиваться. Потому что приятно делать right things. И конечно же потому что вы мне таки платите. Зачем я это делаю для России? Потому что об этом говорит Нагорная проповедь:

«И когда Иисус возлежал в доме его, возлежали с Ним и ученики Его и многие мытари и грешники: ибо много их было, и они следовали за Ним.

Книжники и фарисеи, увидев, что Он ест с мытарями и грешниками, говорили ученикам Его: как это Он ест и пьёт с мытарями и грешниками?

Услышав сие, Иисус говорит им: не здоровые имеют нужду во враче, но больные; Я пришёл призвать не праведников, но грешников к покаянию.»

Мк 2:15-17

🌦 Я подошёл к окну и увидел в тёмном небе просвет и свет звёзд. Вернувшись за клавиатуру, я пошёл листать почту. Там было уведомление об очередном проекте нормативно-правового акта. Я уже давно их не читаю. Но я вспомнил свет с неба и открыл его:
http://regulation.gov.ru/p/133993

☝️ Зачем я вообще требую исполнения норм в первую очередь от органов власти? Ну, потому что они на них плевать хотели, а это как-то нехорошо. И главный мой посыл — вы если зло хотите делать, так и пишите «делаем так-то и так-то злыми руками». А не ужимки и вот это вот всё.

👉 Недавно я писал, что в «выгрузках» (список запрещённых сайтов и IP, которые раздаётся провайдерам) пропали реквизиты решений Генпрокуратуры. И что вообще как бы есть нормативы, и нельзя вот так просто взять и убрать из «выгрузок»:
https://t.me/usher2/2456
☠️ Я так настаивал, что кому-то видимо «влетело». Вы уже ощущаете к чему я клоню?

🔥🔥🔥 В проекте приказа Роскомнадзора просто убираются реквизиты решений Генпрокуратуры. Потому что. Потому что закон не обязывает, мы и не будем. И вот этот сервис уберём: https://398-fz.rkn.gov.ru/ (поиск уже убрали)

☀️ Вот так это и должно работать. Я просил, чтобы в случае, если хотите творить зло, так и написали — мы злодеи и хотим творить зло. Они так и написали. С чем их и поздравляю.

🌵 Интересно, чего испугалась Генпрокуратура? Кто-то отказался не анонимно подписывать хрюканину?

❌ Хочу напомнить органу федеральной исполнительной власти Роскомнадзору, что несмотря на истерику Генпрокуратуры, ваш проект приказа даже обсуждение не прошёл. И до сих пор действует старая редакция. Верните пожалуйста реквизиты решений на место. Ни одна норма не запрещает это.

🫵 Кстати, дорогие читатели. В России и нет. Вы прекрасно знаете, что надо делать.

✅ Зарегистрироваться на сайте https://regulation.gov.ru или войти на него через Госуслуги, если вы ещё этого не сделали. Прочитать текст проекта приказа: https://regulation.gov.ru/p/133993
✅ Прочитал? Поставь 👎 проекту. Или лайк — как пойдёт
✅ Пьёшь чай? Напиши отзыв на проект

☝️ Напоминаю:
• не надо ругаться, вы никому этим не поможете;
• нет смысла отвечать на анкетные вопросы, которые даны на сайте regulation, надо сразу писать предложение;
• орган исполнительной власти (Роскомнадзор в данном случае) хочет от вас косметических правок, если вы пишете что-то более сложное — запаситесь ссылками на нормативы и хорошие обоснования;
• пишите в любом случае, кроме Роскомнадзора это будут читать и другие органы.

🍒 Я бы настаивал на том, что скрытие реквизитов решений уменьшает возможности общественного контроля и усложняет путь судебных разбирательств, в случае, если кто-то захочет подать в суд. 149-ФЗ от 27.07.2006 «О защите информации» не описывает состав информации в «выгрузках». Он не запрещает указывать в «выгрузке» реквизиты любых решений. Объективные причины необходимости скрыть реквизиты решений Генпрокуратуры отсутствуют.

Иван конечно зайчик

Минюст опубликовал единый реестр иностранных агентов [1] в виде PDF файла в 15 страниц и 493 записи. Не буду комментировать странности ведения и публикации этого реестра в PDF файле и тем более его содержание.

В любом случае журналистам и не только для анализа будет удобнее работать с Excel и CSV файлами, поэтому именно их прилагаю.

Ссылки։
[1] https://minjust.gov.ru/uploaded/files/reestr-inostrannyih-agentov-01-12-2022.pdf

#opendata #dataset

☕️ Не хотел, но решил таки чуть поподробнее протоптаться по самому этому приказу №27, который теперь Роскомнадзор хочет поменять

🔸 Изначально «выгрузка» ничем не регламентировалась. И считалось, что «выгрузка» это машиночитаемый слепок реестра «запрещёнки», которую уже пора блокировать. Наполнение реестра регламентируется самим 147-ФЗ от 27.07.2006 «О защите информации» и специальным Постановлением Правительства РФ №1101 от 26.10.2012 (спешили к 1 ноября — дате вступления первого закона о блокировках в силу). В 2013 году был написан временный порядок взаимодействия с информационной системой https://vigruzki.rkn.gov.ru/docs/OrderOperation_IS.pdf

🔸 Не знаю конкретно для чего (подзабросил тогда эту тему), но Роскомнадзор весной 2021 года решил перетянуть одеяло формирование «выгрузки» на себя, оторвав это от Постановления Правительства

♦️ Следите за руками. Для осуществления своего замысла, Роскомнадзор нашёл в статье 15.2 147-ФЗ от 27.07.2006 «О защите информации», которая вообще про жалобы правообладателей, совершенно технический пункт 8, в котором как чёрт из табакерки внезапно выскакивает наделение Роскомнадзора правом определять порядок взаимодействия. Роскомнадзор хватается за эту «закладку» ещё начала десятых, и создаёт приказ №27 от 16.03.2021 «Об утверждении порядка функционирования Информационной системы взаимодействия»

🔸 И именно этим приказом Роскомнадзор сейчас воспользовался для зачистки неприятных сведений в «выгрузке». Негоже холопам знать, кто там царёвы указы подписывает

☝️ К слову о важности соблюдения формулировок и ясности в законах и нормах

🤮 К слову о правоблудии

⚡️⚡️⚡️ Часть 1/4. Законопроект о НУЦ. 28 ноября 2022 года Правительство России внесло в Госдуму России законопроект об Национальном Удостоверяющем Центре и ещё ряд изменений в несчастный закон “О защите информации”:
https://sozd.duma.gov.ru/bill/244043-8

📎 Прилагаю файл для тех, кто читает меня из-за дремучих лесов, непроходимых болот, отвесных гор, с чужедальних берегов

👻 Но это присказка. Сказка будет в третьей и четвёртой частях.

⚡️⚡️⚡️ Часть 2/4. Законопроект о НУЦ. 28 ноября 2022 года Правительство России внесло в Госдуму России законопроект об Национальном Удостоверяющем Центре и ещё ряд изменений в несчастный закон “О защите информации”:
https://sozd.duma.gov.ru/bill/244043-8

😴 Начну с самого неинтересного. Изменения, предусмотренные пунктом 3 статьи 1 законопроекта, направлены на обеспечение возможности использования инфраструктуры электронного правительства для осуществления в том числе деятельности, не относящейся к государственным услугам, для создания возможности использования ее мощностей при осуществлении таких действий. Не знаю что это. Надо смотреть под кого писалось.

😐 Изменения, предлагаемые пунктом 2 статьи 1 законопроекта, предусматривают госпочту для общения между органами власти и гражданами/организациями в рамках госуслуг. Причём, можно отказаться от получении почты таким способом. Но нельзя писать обращения.

🍓 А вот тут клубничка. Знаете зачем введена госпочта? А введена она не просто так, а потому что данные изменения необходимы для снижения эффекта от санкций поставщиков материалов для печатающих устройств федеральной организации почтовой связи и прекращением их поставки. Так написано в пояснительной записке.

📞 Тени Великого Одина, если бы я знал! Я бы давно попросил ввести какие-нибудь санкции, чтобы в России уже перешли к инвойсам и отменили все эти обменные документы, счета фактуры и акты выполненных услуг.

👻 Но это присказка. Сказка будет в третьей и четвёртой частях.

⚡️⚡️⚡️ Часть 3/4. Законопроект о НУЦ. 28 ноября 2022 года Правительство России внесло в Госдуму России законопроект об Национальном Удостоверяющем Центре и ещё ряд изменений в несчастный закон “О защите информации”:
https://sozd.duma.gov.ru/bill/244043-8

👉 После нескольких отзывов сертификатов у госорганов, я даже не знаю кто в панике создал никак не нормированный удостоверяющий центр с липовыми отечественными сертификатами. Вот у Бегтина было немного: https://t.me/usher2/2399

👉 Вообще у отечественных сертификатов долгая бессмысленная история. МИД безрукий, договариваться никто не умеет, у всех зашкаливающее чувство собственной важности и всепоглощающий снобизм. Ни протолкать российское шифрование нормально в мир, ни создать признанный удостоверяющий центр не смогли даже во времена мира/дружбы/жевачки (но смогли Китай и Турция, например).

👉 Слабая попытка как-то потыкать в проблему палочкой была у закона «о суверенном Рунете» 90-ФЗ от 01.05.2019. Он ввёл в закон «о защите информации» пункт 10.5 подпункт 2.3, что типа госорганизации должны что-то там обеспечить. Обеспечили? Факт на лицо.

🤡 Сегодня сложилась ситуация, когда непойми кто непойми по каким правилам раздаёт x509 сертификаты для поддержки HTTPS на пострадавших сайтах. Всё подогревается Яндексом и письмами Минцифры.

☝️ Обсуждаемый законопроект узаканивает сложившуюся ситуацию:
🔸 Создаётся некий НУЦ (Национальный Удостоверяющий Центр), техническая часть как-то регулируется.
🔸 НУЦ безвозмездно (т.е. даром) выписывает и выдаёт сертификаты. Кому, кстати вопрос отдельный.
♦️ Кто пишет нормы выдачи и кому, и как, и чего, и на каких условиях — про это забыли, т.е. как Бог на душу положит. Зачем это регулировать? А то ведь потом исполнять ещё придётся. Работа, вот это всё.
🔸 Сертификаты могут быть как на российской криптографии, так и не на российской. НУЦ обязан уметь и так, и сяк.
🔸 Выданные сертификаты записываются в базу и список публикуется. Никаких привязок к нормам.
🔸 Все, кто пишет программы взаимодействия с сайтами, обязаны вставить туда возможность соединения с сайтами, на которых установлены сертификаты этого НУЦ. Все — и организации, и физлица. С чем их и поздравляю.
♦️ Последний пункт витиевато говорит о том, что не должны чиниться препятствия по добавлению корневого сертификата этого НУЦ, без которого ничего работать не будет.

💰 И конечно же это всё... не потребует дополнительного финансирования за счет средств бюджетов бюджетной системы Российской Федерации
Бесплатные программисты, бесплатное оборудование, бесплатный персонал... Мне бы такие грибы!

🤡🍄🍄 НО ПОДОЖТИТЕ!!! ЕСТЬ ЕЩЁ 4-ая ЧАСТЬ!

🍄🍄🍄 Часть 4/4. Законопроект о НУЦ. 28 ноября 2022 года Правительство России внесло в Госдуму России законопроект об Национальном Удостоверяющем Центре и ещё ряд изменений в несчастный закон “О защите информации”:
https://sozd.duma.gov.ru/bill/244043-8

🤡 Теме криптографии в России не везёт. Ничего не работает, никакие нормы и увещевания. И тут текст написан со скрипом из-под палки. Вероятно из окопа под обстрелом.

‼️ Отмечу, что никогда не понимал смысла простые или устоявшиеся понятия описывать в нормативах максимально сложным и непонятным способом, используя максимально неподходящие термины и понятия. Это вредит вообще всему. А помогает только правоблудию. Но похоже, в российском нормотворчестве сейчас в моде блудить с двух рук. Без салфетки.

🙀 Читаю прямо на третьей странице:

23) ключ идентификации сайта в сети "Интернет" - уникальная последовательность символов, предназначенная для идентификации сайта в сети "Интернет";

☝️ Не ясна цель такого термина. Есть уже использующиеся подходящие термины в законодательной. Можно также написать просто нормальный новый. Возможно, имелось ввиду, что это не только доменное имя может быть, но и идентификатор любой. Но это всё равно не «ключ». Формулировка максимально криповая.

🏋️

24) ключ аутентификации сайта в сети "Интернет" - уникальная последовательность символов, однозначно связанная с ключом идентификации сайта в сети "Интернет"

☝️ Нет. Никакой однозначной связи ключа и common name в этой технологии нет. И последовательность там не символов. И не любая.

🙀

25) сертификат безопасности - структурированная информация, выданная информационной системой национального удостоверяющего центра, предназначенного для обеспечения устойчивого взаимодействия устройств в сети "Интернет", подтверждающая принадлежность ключа аутентификации сайту в сети "Интернет" и используемая для установления с данным сайтом криптографически защищённого соединения;

☝️ Это вполне определенная технология, я не просто структурированная информация, формат которой определяется по согласованию с ФСБ (это в проекте про ФСБ есть)
☝️ Для чего, простите, предназначен УЦ? Для обеспечения взаимодействия устройств? Или таки он предназначен для выписки и выдачи сертификатов? Вы там определитесь.
☝️Принадлежность ключа аутентификации сайту или ключу идентификации из определения выше? Я запутался.
☝️Нет, сертификат не участвует в установлении соединения. Его вообще может не быть. Он только удостоверяет связь некоего ключа с метаинформацией.

🙀

1. В целях подтверждения принадлежности ключа аутентификации сайту в сети "Интернет" и установления с ним криптографически защищённого соединения

☝️ С кем соединения? С ключом аутентификации?Затейники! 😂 Я тут слышал, что в защиту русского языка целая война началась. Прошу обратить внимание защитников русского языка на хулитилей оного. Там подпись в документе есть «Председатель Правительства России М.Мишустин»

🚬 Я так курить начну опять

✅ Спасибо Диме Белявскому за картинку

⚡️⚡️⚡️ Может это будет кому-то важно.

Patreon только что в рассылке сообщил, что Payoneer приостанавливает свою деятельность в России. 16 декабря 2022 года он закроет все аккаунты из России

Из этой новости я узнал о существовании Payoneer. Но подозреваю, что это было многим важно.

🙀 13.5 тысяч подписчиков и 9 реакций (дизлайков) у проекта на регулейшн? Серьёзно?

🔥 🏹 🔥 Нужны обновляемые списки запрещёнки ТСПУ

🫵 Раз уж я не прекратил, то ещё раз попрошу найти мне доступ к обновляемым спискам «запрещёнки» ТСПУ. С замедлениями и сигнатурными блокировками. Если это будет 2-3 донора — вообще прекрасно.

🖖 Я хочу сделать бота поиска блокировок и по ТСПУ

⚔️ Fight the Good Fight