#орв #regulation Завтра явно будет ещё пачка. Например, требования к функционированию систем управления сетями связи. Кнопку #donate конечно надо было ставить здесь

#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего. Я пессимистично отношусь к будущему российских информационных технологий. Ад дышит нам в спину. Рассказы о чем-то хорошем являются аутотренингом для меня, соломинкой, за которую я цепляюсь.

Хочу познакомить Вас с Питерскими ребятами, которые занимаются сопровождением телекома (проектирование), имеют занятную судебную практику с Роскомнадзором, много другой судебной практики, да и вообще открытые ребята, готовые рассказывать о реальных случаях. Они регулярно помогают мне:
https://t.me/stisolution

Сейчас будет сложный текст про SSL, HTTPS и вот это всё. И про Казахстан.

☝️ Как работает HTTPS. Есть понятия ключей шифрования (публичный и секретный ключ) и сертификата SSL (сертификат x509). В шифровании всегда участвует именно ключ (точнее пара — публичный/приватный). Сертификат только описывает ключ, содержит дополнительные данные и реализует иерархическую связку. Я дальше буду всегда иметь пару ключ/сертификат или их по отдельности, называя это одним словом «сертификат». Сертификат имеет пару важных полей: собственное название (subject) и кто «выпустил» (issuer). За счет этой пары полей возможно построить дерево сертификатов, корнем которого будет сертификат, выпустивший сам себя, т. е. поля subject и issuer будут равны. Сертификат имеет признак, может он подписывать другие сертификаты или нет. Соответственно конечным сайтам выдаются сертификаты, которые являются конечными и не могут подписывать дальше.

☝️ Когда браузер устанавливает защищенное соединение с сайтом, тот выдаёт в ответ сертификат, в котором в том числе содержится доменное имя, для которого выдан этот сертификат., и всю цепочку сертификатов до корневого (так называемый bundle). В браузер вшит список корневых сертификатов, которым он доверяет. Поэтому браузер может сказать — честный конечный сертификат сайта, или нет. Если кто-то подставил сертификат, цепочка подписи которого не может быть проверена браузером — браузер выдаёт предупреждение или вообще не загружает контент. Производители браузеров между собой договорились и достаточно давно диктуют всем в мире примерно единообразный список корневых сертификатов. Организации, выпускающие сертификаты, попавшие в такой список, подчиняются установленным правилам, процедурам и проверкам. Вот на такой доверительной основе строится вся защита. Да, возможно у спецслужб разных стран тайно есть сертификаты, подписывающие какие-то домены и они могут заниматься прослушкой и делать «обманные сайтами». Поэтому часто говорят о важности дополнительной защиты и поверки через DNSSEC, например.

⚠️ В Казахстане с 2017 года существует закон, обязывающий устанавливать в браузер, отсутствующий в стандартном списке, государственный сертификат. Первая попытка внедрить его как-то очень быстро «стухла» и дальше деклараций не ушла.

‼️ В середине июля 2019 года внезапно в столице Казахстана провайдеры начали массово принуждать пользователей устанавливать государственный сертификат, пропуская трафик через фильтр. На второй день примерно 70 тыс человек установило сертификат. Сколько установило за 2 недели — не известно. Было очень много «нареканий» от госкомпаний, и их дочерних компаний.

⚔️ ЦАРКА (Центр анализа и расследований кибератак — организация, которая оказывает услуги по инфобезу госструктурам), провели переговоры с госорганами (открыто в закрытом режиме) и договорились, что таки сертификат «казах-по-середине», это как-то вот совсем перебор: https://t.me/zatelecom/10985

👎 06 августа 2019 Касым-Жомарт Токаев (главный в Казахстане) заявил что:
«КНБ по моему поручению провел тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ»
https://twitter.com/TokayevKZ/status/1158783591444373505

✅ Попытка №2. НЕ ПРОКАТИЛО

С запозданием публикую свой доклад на КРОС-2019
https://youtu.be/RhLVa1X3yA8

Презентация: https://usher2.club/docs/cros-2019.pdf

Как испортить благую идею криками "Волки! Волки!"? А вот как это делает МЧС. Если возможность 25м/с шквалов — это повод прерывать вещание, у меня плохие новости для всех служб Москвы. В Питере МЧС «спамит» (рекламные сообщения) например абонентам Мегафона. "Всё пропало! Ураган! Шторм! Мы все умрем!". Я уже год не обращаю на это внимания, потому что они крайне редко угадывают (например, сегодняшний ливень не предупредили), у них ураган от 15м/с (которые только возможны) и толку с этих сообщениях ровно 0. Даже вред, потому что пару раз они присылали их ночью. И это с учетом того, что я езжу на работу на велосипеде и вообще мне это важно.
https://t.me/rbc_news/5811

Решительно не знаю, что с этим делать. Начать наверное надо с прекращения слепого следования уже ставшему похоже религиозным «как бы чего не вышло».

Хочу немного поговорить о так называемом «государственном шатдауне интернета». Кто-то ничего не знает о таком понятии, кому-то будет скучно. Что это? Это когда государство своей властью отключает внутри себя интернет. На всей территории или только в каком-то регионе, районе. Весь, или частично. Так делали Египет, Ливия, Судан, Сирия: https://tjournal.ru/news/52404-world-blocks-internet . Индия приняла такой закон и использует его регулярно: https://habr.com/ru/company/vasexperts/blog/337584/ (кстати, это статья VASExperts — одного из производителей оборудования СОРМ и фильтров интернета). После терракта в Шри-Ланке тоже отключали интернет: https://lenta.ru/news/2019/04/21/socialsrilanka/ . Отключали интернет и в России во время протестов в Ингушетии: https://www.kommersant.ru/doc/3799649

Отключение интернета государственной властью является популярной темой на международном форуме по управлению интернетом: https://www.intgovforum.org/multilingual/ . На региональном Азиатско-Тихоокеанском форуме по управлению интернетом, AprIGF https://www.aprigf.asia/, прошедшем во Владивостоке, я бы сказал, что это была самая популярная тема. Она сквозила во всём.

Вопрос сильно дискуссионный. Основные проблемы — непредсказуемость и массовость. Т.е. под отключение попадут как целевая аудитория отключения, так и простые граждане и даже, возможно, критические объекты — управление транспортом, медицина и так далее. Надо отметить, что в России «государственный шатдаун» должен был налететь на «шлагбаум» закона о критической информационной инфраструктуре. Но все же всё понимают. Для большинства практикующих «шатдаун» стран характерна безответственность за принятые решения (в России ярким примером может послужить ответственность Роскомнадзора за «ковровые блокировки»), даже в случае законодательной закреплении нормы и рамок использования. В случае России на данный момент такие отключения противозаконны. Интерпретация закона «о связи» российскими ведомствами мягко говоря чрезмерно расширительная.

3 августа 2019 во время акций протеста в Москве в местах прохождения этих акций плохо работал интернет или не работал вообще. Люди свидетельствуют об отсутствии интернета на базовых станциях сотовых операторов и на то, что в некоторых кафе силовики просили отключить WiFi. Возникло подозрение в том, что власти «отключили» интернет на время протестных акций. Доказать это без прямого ответа органов власти (которые, как можно даже из информации моего канала сделать вывод — соврут и не покраснеют) сложно. И если ингушский силовики по простодушию своему честно ответили «да это мы», то с московскими всё оказалось сложнее. Возможен только «слив» информации от провайдеров, но это уголовная ответственность. Канал #ЗаТелеком показывал скриншоты системы управления одним из сотовых операторов, присланные читателем https://t.me/zatelecom/10944 . Там значатся аварийные отключения базовых станций. Проверить подлинность мы, конечно, не можем. BBC утверждает, что у них есть копия требования силовиков:
https://www.bbc.com/russian/features-49255791

Государство всё больше закрывает информацию о своей деятельности. Мы можем только гадать о тех или иных действия, судить о них по симптомам. Скоро и блокировки попадут в эту область, потому что по закону «об устойчивом Рунете» с провайдеров снимается обязанность блокировать сайты в пользу неких устройств Роскомнадзора, «выгрузки» будет взять негде. Останутся только гипотезы «наверное это блокировка».

Не знаю какие выводы сделать... Если у вас есть информация на тему российского «государственного шатдауна» или она, например, появится — вы всегда можете передать её мне.

Темы сыпятся одна за другой прямо. Вот буквально в вечеру я писал про полуфейковое предупреждение МЧС https://t.me/usher2/1177

👉 На днях под Северодвинском (для справки — это где-то в районе Архангельска, там огромная база подводных лодок и завод) в военной части произошёл взрыв при испытаниях ракеты:
https://tass.ru/proisshestviya/6745146
Вчера СМИ сообщили о панике в Северодвинске и Архангельске на фоне сообщений о повышенном радиационном фоне и закрытия части акватории Белого моря. Люди скупают йод:
https://www.fontanka.ru/2019/08/08/142/

❌ Попробуйте найти официальное сообщение о взрыве. Я не смог.
❌ Попробуйте найти официальное разъяснение по ситуации. Я не смог. Есть только "Маша сказала, что Дима ей сказал, что Паша ему сказал, что начальник гражданской обороны Архангельской области ему сказал, что всё нормально".

☝️ А вот возможно фейковые новости (или нет?) о радиации и непростом взрыве на фоне информационной импотенции ответственных лиц распространяются и люди сейчас йоду наедятся. Если там радиационное ЧП, то йод надо конечно уже употреблять, но прочитав инструкции хотя бы в злом и плохом интернете. Если просто бездумно нахлебаться его из флакона, вы действительно не умрёте от радиационного облучения. Потому что покините этот мир гораздо раньше.

😎 А потом эти люди будут ныть на пресс-конференциях, интервью и форумах про проблему фейковых новостей, отвлекая нормальных людей от работы. Я хочу чтобы каждый, кто хочет заикнуться о существовании проблемы фейковых новостей не в разрезе вины государства в сфере информационной открытости, смотрел мне в глаза. Ну или представлял, что смотрит мне в глаза.

Кстати, тут читатели подсказывают, что для понятности глубины проблемы «государственного шатдауна» https://t.me/usher2/1178 неспециалистам в отрасли, просто замените в посте слово «интернет» на «электричество».

Т.е. всё-таки под Северодвинском инцидент имеет в том числе и ядерную природу:
https://ria.ru/20190810/1557365082.html

Поздравляю. В ближайшие пару лет вам (официальным заявлениям властей) верить не будут. Будут верить как раз фейкам и 44 капли йода в день (читатели мои, не вздумайте). Потому что официальные заявления или отсутствуют, или скрывают что-то. Вы своими руками (точнее языками) создаёте индустрию фейковых новостей. И потом героически боретесь с проблемой, которая существует только из-за вас самих.

«Обращаясь к Министерству обороны, Ватфор хотел бы немного перефразировать один из скетчей "Большой разницы":
"Штирлиц, дайте мне какую нибудь версию, в которую не стыдно поверить, а не историю про крокодила, которого вы задушили голыми руками, а какой-то поц взял и сделал из него чемодан русской радистки, не стерев ваши отпечатки пальцев"»
https://t.me/vatfor/4672

#regulation #орв ⚡️ Проект Постановления Правительства «об утверждении порядка централизованного управления сетью» (фундаментальный документ всего пакета по «устойчивому Рунету») получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91558

☝️ Проект норматива получил увесистое Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан. Министерством экономического развития даны в том числе конкретные рекомендации по доработке. Отдельно Министерством экономического развития отмечена неудовлетворительная работа с предложениями граждан и организаций: «Также отмечаем, что представленные разработчиком причины отклонения предложений участников публичного обсуждения текста проекта акта не могут быть признаны достаточными, а в ряде случаев не соответствуют действительности»

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

28 мая 2018 года Роскомнадзор потребовал от Apple удалить Telegram:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим Вас в кратчайшие сроки проинформировать нас о дальнейших действиях Компании, направленных на решение данных проблемных вопросов»
http://rkn.gov.ru/news/rsoc/news58106.htm
Александр Жаров (руководитель Роскомнадзора) в тот же день прокомментировал Интерфаксу:
«Мы отправили им (Apple) юридически значимое письмо и ждем от них юридически значимого ответа. Поскольку компания Apple, как и другие транснациональные компании, компания с высокой степенью бюрократии, ответ ожидаем в течение месяца»
http://www.interfax.ru/russia/614630

Уже год прошёл крайнему сроку ультиматума. Мужик сказал — мужик сделал.

⚡️ «Роскомнадзор направил в адрес компании Google письмо с требованием принять меры по недопущению рекламирования несанкционированных (незаконных) массовых мероприятий на принадлежащем компании видеохостинге YouTube.... В случае непринятия Google мер реагирования Российская Федерация будет расценивать это как вмешательство в суверенные дела государства, а также враждебное воздействие и воспрепятствование проведению демократических выборов в России, оставляя за собой право на адекватную реакцию, подчеркивается в письме»
http://rkn.gov.ru/news/rsoc/news68982.htm

☝️ Я хочу увидеть:
1) норму, которая даёт Роскомнадзору полномочия по оценке вмешательства в суверенные дела;
2) норму, которая устанавливает соответствующие реакции.

😂 Ну и вы понели...

☝️ В этой новости я пытаюсь уйти от личного отношения и эмоций относительно ядерной энергетики, относительно оружия и вот это вот всё. Ядерная энергетика она вот есть, войны и насилие оно вот есть в том числе в рамках общей морали, никакая техника не желает ходить строем, поломки случаются. Я только о недостоверных новостях

⚡️ Я считал тему со взрывом на полигоне под Северодвинском и «фейковых новостях» исчерпанной, но нет. Всё-таки это был взрыв ядерного реактора:
https://www.fontanka.ru/2019/08/12/001/
Вот видео на youtube с саровскими учёными: https://youtu.be/LsDOuH91LEU

☝️ Собственно, я эту ситуацию взял как ЯРЧАЙШИЙ показатель, что проблемы недостоверных новостей практически не существует. Основной источник фейков (и я думаю, это не только у нас) — официальная информация. Основной источник достоверной информации — слухи, сплетни, сарафанное радио. Благо, в отличии от прошлого века сейчас в интернете всё достаточно просто проверяется и анализируется. Конечно, пока он, интернет, у нас ещё есть

#телеграмживи ⚡️ И внезапно рубрика про Telegram. MTProxy научились «мимикрировать» под обычное TLS-соединение. Так называемые «ee-секреты»
https://habr.com/ru/post/461171/

MTProxy на Python и Erlang уже умеют, на Golang и официальный — ещё нет. Все клиенты последней версии (вышла в пятницу-субботу) умеют. Помните, что у прокси-серверов можно выставить строгий режим «только такой proxy»

#fake Желаю осквернять тему так называемых недостоверных новостей, борьбы с ними и вообще развивать тему открытости информации. Коллега тут заметил, что Яндекс.Новости не знают про взрыв под Северодвинском ранее 9 августа: https://t.me/gip_24/3318 . Я надеюсь, у Яндекса есть какое-то хорошее объяснение.

P.S. Я допускаю, что на самом деле просто реактивным хвостом случайно сдуло навигационный буй с изотопным источником. Но пока всё выглядит крайне неприглядно.

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к оборудованию стыка операторов» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91708

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к к СОРМ технологических сетей» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91746

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

#regulation #орв ⚡️ Проект Приказа Минцифры «об утверждении требований к системе управления сетями» получил ОТРИЦАТЕЛЬНОЕ Заключение по итогам процедуры оценки регулирующего воздействия:
https://regulation.gov.ru/p/91663

☝️ Проект норматива получил Заключение, состоящее из перечислений нестыковок внутри норматива, несогласованности с законодательством. Процедурные нарушения практически не затронуты. Заключение в нескольких предложениях сформулированно так, как-будто бы не сомневается, что норматив будет переписан.

👎 Проект акта почему-то был принят для подготовки Заключения, несмотря на процедурные нарушения порядка ОРВ. Наличие Заключения позволяет «протащить» норматив дальше через Заседание Правительства с участием премьер-министра или вице-премьера. Ещё одна неприятность заключается в том, что органы исполнительной власти почему-то считают доработку проекта после Заключение «согласованием» и не размещают текст проекта заново, а просто тихо получают второе, уже положительное Заключение. За этим надо следить

ℹ️ На данный момент из 24 проектов актов, проходящих процедуру оценки регулирующего воздействия, 15 получили Заключение ОРВ. 13 Заключений — отрицательные. Т.е. больше половины проектов так или иначе спорны и непродуманны даже с точки зрения государства. Вот такой вот у нас «важный и своевременный устойчивый Рунет»

#вещества Пошла какая-то нездоровая борба с юморесками:
https://t.me/roskomsvoboda/3626

Надо у себя собрать их всех и пусть борятся