Интересный факт: Cloudflare сопротивлялся и даже всего днем ранее говорил, что выкидывать 8chan не собирается. А потом «что-то» случилось. https://www.theguardian.com/technology/2019/aug/04/mass-shootings-el-paso-texas-dayton-ohio-8chan-far-right-website

«Национальный координационный центр по компьютерным инцидентам (НКЦКИ)» стал новой компетентной организацией при Координационном центре доменов .RU/.РФ:
https://cctld.ru/media/news/kc/21309/
В настоящее время действуют десять компетентных организаций, среди которых компании, общественные организации и государственные органы: Лига безопасного интернета, Group-IB, «Лаборатория Касперского», Банк России, RU-CERT, РОЦИТ, Роскомнадзор, BI.ZONE, «Доктор Веб» и Национальный координационный центр по компьютерным инцидентам.

Собственно, ничего особенного не произошло. Все решения компетентных организаций могут быть проигнорированы регистратором, к которому они обратились. А за странные решения всё ещё можно получить «по шапке» (суд постановил взыскать с Роскомнадзора почти полмиллиона рублей):
https://roskomsvoboda.org/47736/

Самая безумная организация в списке — это самая первая — Лига Безопасного Интернета. Напрягаться надо было в этом месте. Напомню, это вот этот человек:
https://usher2.club/articles/gosduma-20190117/31

А Национальный координационный центр по компьютерным инцидентам, это например вот этот человек:
https://usher2.club/articles/gosduma-20190117/33
Вот сайт НКЦКИ, чтобы вы понимали:
http://www.gov-cert.ru/index.html
Организация, пока не зарекомендовавшая себя ничем. Совсем. Но чисто теоретически, она будет одной из точек сбора информации о компьютерных инцидентах. Как тот же «Касперский» или «Доктор Веб».

Разделегирование доменов без суда — вопрос дискуссионный и не такой простой как кажется. Я не буду спекулировать на детях и сексе, оставлю другим. Но, например «фишинг» - подделка финансовых сайтов. Это проблема, требующая экстренного реагирования.

#regulation #орв ⚡️ Проект Постановления Правительства «об утверждении порядка обслуживания технических средств противодействия угрозам» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91945

☝️Проект норматива получил довольно объёмное Заключение, состоящее из перечислений процедурных нарушений, нестыковок внутри норматива, несогласованности с законодательством. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Роскомнадзора «об утверждении правил маршрутизации в случае централизованного управления» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/92597

☝️Проект норматива получил Заключение, состоящее из перечислений неаккуратностей и избыточности требований. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Роскомнадзора «об утверждении Требований к техническим средствам контроля за блокировками» получил положительное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/92614

☝️Проект норматива получил Заключение, состоящее из перечислений неаккуратностей требований. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях рекомендует доработать норматив.

👎 Я хочу тут процитировать последний абзац ПОЛОЖИТЕЛЬНОГО заключения:
«На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод об отсутствии достаточного обоснования решения проблемы предложенным способом регулирования»

⁉️ А ТАК МОЖНО БЫЛО?

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения конечно не конечная инстанция, но можно сказать, что норматив прошёл.

#regulation #орв ⚡️ Проект Приказа Роскомнадзора «об утверждении технических условий установки технических средств противодействия угрозам» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/92660

☝️Проект норматива получил Заключение, состоящее из перечислений неаккуратностей и избыточности требований. Процедурные нарушения практически не затронуты. Для справедливости надо отметить, что это был единственный проект норматива, который хотя бы размещен был с первого раза более менее нормально. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ (в данном случае ненадлежащим образом заполнен сводный отчет). Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Постановления Правительства «об утверждении положения о проведении учений» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91562

☝️Проект норматива получил довольно объёмное Заключение — целых 6 листов текста, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством, безумности и бессодержательности. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Постановления Правительства «об утверждении порядка контроля за размещением средств централизованного управления сетью» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91758

☝️Проект норматива получил увесистое Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан. Министерством экономического развития даны в том числе конкретные рекомендации по доработке

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к оборудованию и программам DNS» получил отрицательное Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91648

☝️Проект норматива получил увесистое Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан. Забавно, что претензии к нормативу тоже не очень грамотные с технической точки зрения. И тут два одиночества встретились.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Сразу три идентичных проекта Приказов Роскомнадзора — «о контроле за использованием только учтенных точек обмена трафиком», «о контроле о полноте информации о целях использования линий связи через госграницу» и «о контроле за подключением к точкам обмена трафика только учтенных сетей» получили отрицательные Заключения по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/92225
https://regulation.gov.ru/p/92238
https://regulation.gov.ru/p/92414

☝️Проекты нормативов получили Заключения, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством, абсурдности норм. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан. Минэк отдельно отметил, что все три проекта идентичны.

✅ Почитайте текст любого из трёх Заключения (в колонке под зеленым пальцем есть синяя ссылка на текст). Заключение задорное.

✅ Минэк в конце Заключений предложил отнести эти нормативы к предмету государственного надзора с внесением изменений в законодательство. Это такая ирония, шутка, намекающая разработчикам, что там проблема ломанного гроша не стоит, а они из неё целый институт сотворили. Грубо говоря, слово "проверки" там лишнее. Всё можно контролировать не выходя из кабинета. У Роскомнадзора всёесть (точнее - будет) для этого.

👎 Проекты актов почему-то были приняты для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключений позволяет «протащить» нормативы дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#орв #regulation Итого, на сегодня 07 августа 2019 из 24 проектов нормативов по «устойчивому Рунету», проходящих процедуру оценки регулирующего воздействия, получили Заключения по её итогам одиннадцать проектов актов. Все эти акты попали на подготовку Заключения с теми или иными нарушениями процедуры.

✅ Из них получили положительные заключения два норматива (2/11):
https://regulation.gov.ru/p/91668
https://regulation.gov.ru/p/92614

❌ Из них получили отрицательные заключения девять нормативов (9/11):
https://regulation.gov.ru/p/91945
https://regulation.gov.ru/p/92597
https://regulation.gov.ru/p/92660
https://regulation.gov.ru/p/91562
https://regulation.gov.ru/p/91758
https://regulation.gov.ru/p/91648
https://regulation.gov.ru/p/92225
https://regulation.gov.ru/p/92238
https://regulation.gov.ru/p/92414

⚔️ Fight the Good Fight

#орв #regulation Завтра явно будет ещё пачка. Например, требования к функционированию систем управления сетями связи. Кнопку #donate конечно надо было ставить здесь

#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего. Я пессимистично отношусь к будущему российских информационных технологий. Ад дышит нам в спину. Рассказы о чем-то хорошем являются аутотренингом для меня, соломинкой, за которую я цепляюсь.

Хочу познакомить Вас с Питерскими ребятами, которые занимаются сопровождением телекома (проектирование), имеют занятную судебную практику с Роскомнадзором, много другой судебной практики, да и вообще открытые ребята, готовые рассказывать о реальных случаях. Они регулярно помогают мне:
https://t.me/stisolution

Сейчас будет сложный текст про SSL, HTTPS и вот это всё. И про Казахстан.

☝️ Как работает HTTPS. Есть понятия ключей шифрования (публичный и секретный ключ) и сертификата SSL (сертификат x509). В шифровании всегда участвует именно ключ (точнее пара — публичный/приватный). Сертификат только описывает ключ, содержит дополнительные данные и реализует иерархическую связку. Я дальше буду всегда иметь пару ключ/сертификат или их по отдельности, называя это одним словом «сертификат». Сертификат имеет пару важных полей: собственное название (subject) и кто «выпустил» (issuer). За счет этой пары полей возможно построить дерево сертификатов, корнем которого будет сертификат, выпустивший сам себя, т. е. поля subject и issuer будут равны. Сертификат имеет признак, может он подписывать другие сертификаты или нет. Соответственно конечным сайтам выдаются сертификаты, которые являются конечными и не могут подписывать дальше.

☝️ Когда браузер устанавливает защищенное соединение с сайтом, тот выдаёт в ответ сертификат, в котором в том числе содержится доменное имя, для которого выдан этот сертификат., и всю цепочку сертификатов до корневого (так называемый bundle). В браузер вшит список корневых сертификатов, которым он доверяет. Поэтому браузер может сказать — честный конечный сертификат сайта, или нет. Если кто-то подставил сертификат, цепочка подписи которого не может быть проверена браузером — браузер выдаёт предупреждение или вообще не загружает контент. Производители браузеров между собой договорились и достаточно давно диктуют всем в мире примерно единообразный список корневых сертификатов. Организации, выпускающие сертификаты, попавшие в такой список, подчиняются установленным правилам, процедурам и проверкам. Вот на такой доверительной основе строится вся защита. Да, возможно у спецслужб разных стран тайно есть сертификаты, подписывающие какие-то домены и они могут заниматься прослушкой и делать «обманные сайтами». Поэтому часто говорят о важности дополнительной защиты и поверки через DNSSEC, например.

⚠️ В Казахстане с 2017 года существует закон, обязывающий устанавливать в браузер, отсутствующий в стандартном списке, государственный сертификат. Первая попытка внедрить его как-то очень быстро «стухла» и дальше деклараций не ушла.

‼️ В середине июля 2019 года внезапно в столице Казахстана провайдеры начали массово принуждать пользователей устанавливать государственный сертификат, пропуская трафик через фильтр. На второй день примерно 70 тыс человек установило сертификат. Сколько установило за 2 недели — не известно. Было очень много «нареканий» от госкомпаний, и их дочерних компаний.

⚔️ ЦАРКА (Центр анализа и расследований кибератак — организация, которая оказывает услуги по инфобезу госструктурам), провели переговоры с госорганами (открыто в закрытом режиме) и договорились, что таки сертификат «казах-по-середине», это как-то вот совсем перебор: https://t.me/zatelecom/10985

👎 06 августа 2019 Касым-Жомарт Токаев (главный в Казахстане) заявил что:
«КНБ по моему поручению провел тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ»
https://twitter.com/TokayevKZ/status/1158783591444373505

✅ Попытка №2. НЕ ПРОКАТИЛО

С запозданием публикую свой доклад на КРОС-2019
https://youtu.be/RhLVa1X3yA8

Презентация: https://usher2.club/docs/cros-2019.pdf

Как испортить благую идею криками "Волки! Волки!"? А вот как это делает МЧС. Если возможность 25м/с шквалов — это повод прерывать вещание, у меня плохие новости для всех служб Москвы. В Питере МЧС «спамит» (рекламные сообщения) например абонентам Мегафона. "Всё пропало! Ураган! Шторм! Мы все умрем!". Я уже год не обращаю на это внимания, потому что они крайне редко угадывают (например, сегодняшний ливень не предупредили), у них ураган от 15м/с (которые только возможны) и толку с этих сообщениях ровно 0. Даже вред, потому что пару раз они присылали их ночью. И это с учетом того, что я езжу на работу на велосипеде и вообще мне это важно.
https://t.me/rbc_news/5811

Решительно не знаю, что с этим делать. Начать наверное надо с прекращения слепого следования уже ставшему похоже религиозным «как бы чего не вышло».

Хочу немного поговорить о так называемом «государственном шатдауне интернета». Кто-то ничего не знает о таком понятии, кому-то будет скучно. Что это? Это когда государство своей властью отключает внутри себя интернет. На всей территории или только в каком-то регионе, районе. Весь, или частично. Так делали Египет, Ливия, Судан, Сирия: https://tjournal.ru/news/52404-world-blocks-internet . Индия приняла такой закон и использует его регулярно: https://habr.com/ru/company/vasexperts/blog/337584/ (кстати, это статья VASExperts — одного из производителей оборудования СОРМ и фильтров интернета). После терракта в Шри-Ланке тоже отключали интернет: https://lenta.ru/news/2019/04/21/socialsrilanka/ . Отключали интернет и в России во время протестов в Ингушетии: https://www.kommersant.ru/doc/3799649

Отключение интернета государственной властью является популярной темой на международном форуме по управлению интернетом: https://www.intgovforum.org/multilingual/ . На региональном Азиатско-Тихоокеанском форуме по управлению интернетом, AprIGF https://www.aprigf.asia/, прошедшем во Владивостоке, я бы сказал, что это была самая популярная тема. Она сквозила во всём.

Вопрос сильно дискуссионный. Основные проблемы — непредсказуемость и массовость. Т.е. под отключение попадут как целевая аудитория отключения, так и простые граждане и даже, возможно, критические объекты — управление транспортом, медицина и так далее. Надо отметить, что в России «государственный шатдаун» должен был налететь на «шлагбаум» закона о критической информационной инфраструктуре. Но все же всё понимают. Для большинства практикующих «шатдаун» стран характерна безответственность за принятые решения (в России ярким примером может послужить ответственность Роскомнадзора за «ковровые блокировки»), даже в случае законодательной закреплении нормы и рамок использования. В случае России на данный момент такие отключения противозаконны. Интерпретация закона «о связи» российскими ведомствами мягко говоря чрезмерно расширительная.

3 августа 2019 во время акций протеста в Москве в местах прохождения этих акций плохо работал интернет или не работал вообще. Люди свидетельствуют об отсутствии интернета на базовых станциях сотовых операторов и на то, что в некоторых кафе силовики просили отключить WiFi. Возникло подозрение в том, что власти «отключили» интернет на время протестных акций. Доказать это без прямого ответа органов власти (которые, как можно даже из информации моего канала сделать вывод — соврут и не покраснеют) сложно. И если ингушский силовики по простодушию своему честно ответили «да это мы», то с московскими всё оказалось сложнее. Возможен только «слив» информации от провайдеров, но это уголовная ответственность. Канал #ЗаТелеком показывал скриншоты системы управления одним из сотовых операторов, присланные читателем https://t.me/zatelecom/10944 . Там значатся аварийные отключения базовых станций. Проверить подлинность мы, конечно, не можем. BBC утверждает, что у них есть копия требования силовиков:
https://www.bbc.com/russian/features-49255791

Государство всё больше закрывает информацию о своей деятельности. Мы можем только гадать о тех или иных действия, судить о них по симптомам. Скоро и блокировки попадут в эту область, потому что по закону «об устойчивом Рунете» с провайдеров снимается обязанность блокировать сайты в пользу неких устройств Роскомнадзора, «выгрузки» будет взять негде. Останутся только гипотезы «наверное это блокировка».

Не знаю какие выводы сделать... Если у вас есть информация на тему российского «государственного шатдауна» или она, например, появится — вы всегда можете передать её мне.

Темы сыпятся одна за другой прямо. Вот буквально в вечеру я писал про полуфейковое предупреждение МЧС https://t.me/usher2/1177

👉 На днях под Северодвинском (для справки — это где-то в районе Архангельска, там огромная база подводных лодок и завод) в военной части произошёл взрыв при испытаниях ракеты:
https://tass.ru/proisshestviya/6745146
Вчера СМИ сообщили о панике в Северодвинске и Архангельске на фоне сообщений о повышенном радиационном фоне и закрытия части акватории Белого моря. Люди скупают йод:
https://www.fontanka.ru/2019/08/08/142/

❌ Попробуйте найти официальное сообщение о взрыве. Я не смог.
❌ Попробуйте найти официальное разъяснение по ситуации. Я не смог. Есть только "Маша сказала, что Дима ей сказал, что Паша ему сказал, что начальник гражданской обороны Архангельской области ему сказал, что всё нормально".

☝️ А вот возможно фейковые новости (или нет?) о радиации и непростом взрыве на фоне информационной импотенции ответственных лиц распространяются и люди сейчас йоду наедятся. Если там радиационное ЧП, то йод надо конечно уже употреблять, но прочитав инструкции хотя бы в злом и плохом интернете. Если просто бездумно нахлебаться его из флакона, вы действительно не умрёте от радиационного облучения. Потому что покините этот мир гораздо раньше.

😎 А потом эти люди будут ныть на пресс-конференциях, интервью и форумах про проблему фейковых новостей, отвлекая нормальных людей от работы. Я хочу чтобы каждый, кто хочет заикнуться о существовании проблемы фейковых новостей не в разрезе вины государства в сфере информационной открытости, смотрел мне в глаза. Ну или представлял, что смотрит мне в глаза.

Кстати, тут читатели подсказывают, что для понятности глубины проблемы «государственного шатдауна» https://t.me/usher2/1178 неспециалистам в отрасли, просто замените в посте слово «интернет» на «электричество».

Т.е. всё-таки под Северодвинском инцидент имеет в том числе и ядерную природу:
https://ria.ru/20190810/1557365082.html

Поздравляю. В ближайшие пару лет вам (официальным заявлениям властей) верить не будут. Будут верить как раз фейкам и 44 капли йода в день (читатели мои, не вздумайте). Потому что официальные заявления или отсутствуют, или скрывают что-то. Вы своими руками (точнее языками) создаёте индустрию фейковых новостей. И потом героически боретесь с проблемой, которая существует только из-за вас самих.

«Обращаясь к Министерству обороны, Ватфор хотел бы немного перефразировать один из скетчей "Большой разницы":
"Штирлиц, дайте мне какую нибудь версию, в которую не стыдно поверить, а не историю про крокодила, которого вы задушили голыми руками, а какой-то поц взял и сделал из него чемодан русской радистки, не стерев ваши отпечатки пальцев"»
https://t.me/vatfor/4672