Эшер II A+
16.3K subscribers
503 photos
28 videos
73 files
2.03K links
Канал «Неугомонного Фила» про блокировки
Сайт: https://usher2.club
Бот: https://t.me/u2ckbot

VPN: https://t.me/FarscapeBot

Поддержите меня: https://t.me/usher2/2424

#позиция #ликбез #donate
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
😱 Что такое «цифровой след»? Я сейчас популярно поясню. Вот тут некоторые «наследили» цифрово на «отлично»

⚡️⚡️⚡️ «Наследила» цифрой централизованно организованная под эгидой госорганов система контроля явки сотрудниками предприятий (в основном государственных, но я так понимаю не только).

https://meduza.io/feature/2020/06/26/sistema-kontrolya-yavki-izbirateley-o-kotoroy-pisala-meduza-hranitsya-na-serverah-gosstruktur

☝️ Вкратце - есть портал, организации туда льют списки людей, получают QR-коды, на избирательных участках эти коды считывают специальные люди под видом опросов, конкурсов и викторин. На портале проставляется подтверждение

🤘 Предлагаю флешмоб - участвовать во всех развлечениях на текущих выборах (ОНИ УЖЕ НАЧАЛИСЬ, МОЖНО НЕ ТОЛЬКО 1-го ИЮЛЯ, по всей стране, без заявлений):
Видите три викторины - участвуйте в них
И тех двух конкурсах тоже
Тычте каким-нибудь QR-кодом или другим штрихкодом, пусть сканируют до морковкиного заговения

👍 Лайк/шар/репост
😎 Если у вас есть настоящий QR-код или ещё что - пишите
⚡️⚡️⚡️ "Мой «государственный» проект usher2.club в противоположность «протестному» конституция2020.рф пользуется российской защитой с апреля 2018 года"
И - Импортозамещение
Б - Безопасность
У - Устойчивость
https://www.fontanka.ru/2020/06/28/69338854/
☝️☝️☝️ Хочу дать дополнительные разъяснения по ИБУ. Новость вызвала резонанс и обросла слухами.
И - Импортозамещение
Б - Безопасность
У - Устойчивость
https://www.fontanka.ru/2020/06/28/69338854/

Нет проблемы в американском сервисе Cloudflare как таковом. Мы живем в глобальном мире и надо привыкать, что можно пользоваться глобальными сервисами. А это хороший, надёжный глобальный сервис

👉 конституция2020.рф — это простенькая страничка о голосовании. Никаких персональных данных она не собирает и голосование не осуществляет. Однако, она содержит официальную информацию о голосовании и ссылки. За полгода сменил три хостинга — beget, netangels, ru-center. Видимо размещен на shared-хостинге. Это тоже нормально. Для обычных сайтов. Когда стоимость «взлома» сайта больше стоимости результата… Насколько чувствительна информация на сайте конституция2020.рф… ну-у-у… я не знаю. Да чего там, голосования по каким-то там изменениям в какую-то Конституцию какой-то там страны… Эка ценность!
👉 Cloudflare — отличный американский транснациональный сервис защиты от атак со всякими удобными дополнениями. Базовый функционал бесплатен. Основа защиты — пропуск трафика на сайт через специальные фильтры Cloudflare на серверах Cloudflare. Особенность в том, что в некоторых конфигурациях это позволяет Cloudflare чисто теоретически вмешиваться в трафик. Хотя, это будет гранд-скандал, который скорее всего будет стоить Cloudflare существования. На конституция2020.рф именно такая конфигурация.
👉 ИБУ — закон 90 ФЗ от 01 мая 2019 года обеспечении устойчивости, целостности и безопасности российского сегмента интернета. Включает в себя полный контроль за трафиком со стороны государства, управление трафиком, госзащиту от угроз, в том числе от вмешательства в выборы и разрушительных твитов. Весь закон построен, согласно пояснительной записке, в пику недружественных действий некоторых стран, в первую очередь США
👉 КИИ — экосистема федерального закона «О безопасности критической информационной инфраструктуры России» от 26 июля 2017 года № 187-ФЗ. К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики и банковской, оборонной, горнодобывающей, металлургической и химической промышленности. Объекты КИИ и сети связи, используемые для организации взаимодействия между ними, составляют понятие критической информационной инфраструктуры. Это «вселенная» со своей иерархией нормативов.

☝️ В чем тогда проблема и ирония? Вкратце — орать официально и публично на весь мир пару лет про ИБУ Рунета, создать свою вселенную КИИ сломать ради ИБУ всё внутри (пока только в процессе)... И тот самый сайт, который имеет смысл под ИБУ и КИИ пихнуть — разместить в сервис оскверняемого вероятного противника (США), ради защиты от которого весь ИБУ придуман. И ладно там речь бы шла о технологическом оборудовании, для которого земля проклятая. Но нет же. Есть отечественные вменяемые сервисы, как коммерческие (Qrator, DdoS-Guard), так и государственная защита (есть защита Ростелекома для госорганов). «Сантехник Иванов недоволен» (c)

🔥🔥🔥 Трамп сейчас стучится головой о стол в Овальном кабинете и ОРЁТ!!!!! Представляете, чего ему стоит себя сдерживать?

👉 Предположу, что страничку дали сделать подрядчику через целую цепочку субподрядов. А тот делает как обычно, без учета особенностей
Небольшая поправочка про Cloudflare. Спасибо коллегам из Qrator labs за подсказку. Cloudflare имеет возможность вмешиваться и вмешивается, например, подстановкой капчи, или своих страниц ошибок, во ВСЕХ конфигурациях, подразумевающих «защиту» трафика. Совсем во ВСЕХ.

💥 Трамп взвыл в Овальном кабинете. Или подождите... А вы помните на каком сайте голосовали (если голосовали электронно)? Точно помните, что было в адресной строке? Память или скриншот? А у соседей?
Поучаствовал в круглом столе «партии танчиков» про персональные данные, их защиту и роль государства в утечках. Видяшки на час совершенно не мой формат, но мне показалось, что получилось неплохо.
Посмотреть: http://youtu.be/63n9HSBc4UI
Почитать: https://digitaldem.ru/2020/06/29/tezisy-kruglogo-stola-na-temu-depersonalizacziya-dannyh-konflikt-interesov-vnutri-odnoj-golovy/
Я там немного психанул, но это прямо оживило беседу :)
💥 Роскомнадзор начал рассылать теперь и НЕЛИЦЕНЗИАТАМ требования по приказам №№221, 222 и 223 по «устойчивому Рунету». Это приказы о предоставлении сведений в Роскомнадзор владельцами номеров автономных систем об номера автономных систем, IP-адресах, схемах сети, маршрутизации, каналах через границу, целях использования этих каналов. Вся информация должна была быть собрана к 22 мая 2020 (начиная с 01 ноября 2019). Но готовить что-то Роскомнадзор начал, судя по всему, только в марте-мае 2020 года. Вот эти приказы с историей разработки:
https://usher2.club/helpers/stable-runet-npa-list#p92592
https://usher2.club/helpers/stable-runet-npa-list#p92582
https://usher2.club/helpers/stable-runet-npa-list#p92576

‼️ Из трех нормативных равнозначных вариантов предоставления информации Роскомнадзор реализовал только через файлы XML. Формы на сайте и автоматизация пока не реализованы
👉 Слать надо всё сюда https://service.rkn.gov.ru
👽 Все данные имеют параметр обязательности. Он троичный. 1, 0 и ничего. Это такая особенность многих органов власти обязательно иметь пустые ячейки «как-нибудь». Я вижу таблицу, хочу её не заполнять, и не устоять
😱 Структура данных XML создана по пунктам приказа. Так прямо в инструкции и написано

👉 Руководства по заполнению:
https://usher2.club/docs/Guide_CMU_SSOP_20200513_221.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_222.pdf
https://usher2.club/docs/Guide_CMU_SSOP_20200513_223.pdf

👉 Примеры XML для тестов (как примеры заполнения они не подходят):
https://usher2.club/docs/Tester_ACT221_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT222_1_20200421_1_1.xml
https://usher2.club/docs/Tester_ACT223_1_20200421_1_1.xml
https://usher2.club/docs/Tester_INC_1_20200421_1_1.xml

👉 Схемы XML:
https://usher2.club/docs/SSOP_ACT221_1.00.xsd
https://usher2.club/docs/SSOP_ACT222_1.00.xsd
https://usher2.club/docs/SSOP_ACT223_1.00.xsd
ℹ️ На Linux сгенерированный XML можно проверить как-то так:
xmllint --schema SSOP_ACT221_1.00.xsd Tester_ACT221_1_20200421_1_1.xml

🔥🔥🔥 Что прямо сейчас с этим делать кому уже пришло?

🤘 Канал Ордерком рекомендует написать примерно так:
«На основании п.8.1 приказа Роскомнадзора №221 от 31.07.2019 и пункта 7.1 приказов Роскомнадзора №222 и №223 от 31.07.2019 указанные в приказах лица имеют возможность выбрать способ направления информации либо через электронную форму в личном кабинете расположенном на официальном сайте Роскомнадзора (далее Сайт), либо через выгружаемый файл XML, сформированный по прилагаемой инструкции. Эти способы, согласно текстам приказов, являются альтернативными и равнозначными. Нами был выбран вариант направления данных через личный кабинет Сайта. После детального изучения разделов Сайта – необходимые для подачи отчета разделы не были найдены.
В своем письме вы просите предоставить данные только с использованием файлов в формате XML. В связи с изложенным, просим вас разъяснить какие действия должен предпринять оператор для соблюдения требований данных приказов»
https://t.me/ordercomru/1855
Правда, получить инструкции по приказам не так-то просто. Поэтому и дублирую у себя. «Земля проклятая»
Да, по поводу заполнения форм Роскомнадзор делает покерфейс и поёт песню про «заполняйте XML». Мне очень нравится про «первичный сбор». Хочу что-нибудь почитать на тему первичных сборов.
Спасибо каналу Ордерком: https://t.me/ordercomru/1917
#вещества Ахаха!!! Т.е. мяу. Тут у нас опять безопасность, целостность и устойчивость. Твиттер МИД (верифицированный) взломали и продают с него базу туристов. Давно сидим, полдня уже:
https://twitter.com/MID_travel/status/1278435529609097218
#regulation #орв Минэк выдал отрицательное заключение оценки регулирующего воздействия на законопроект Минцыфры о «бесплатном интернете»:
https://regulation.gov.ru/p/101646

Ранее Минцифра пыталась разместить законопроект без ОРВ: https://regulation.gov.ru/p/100268 А в текущем размещении НЕ УЧЛА ВСЕ отзывы на этот законопроект во время публичного обсуждения

Законопроект не содержит ясной концепции
Законопроект не учитывает результатов соответствующего эксперимента (да и вообще с ним не связан)
Доходы операторов связи могут быть существенно снижены
Нет ограничения в медиа-контенте для сайтов, как это сделано в рамках соответсвтующего эксперимента
Критерии качества не определены ни действующим законодательством, ни проектом
Всё вокруг реестра и информационной системы — юридическая чушь и должно быть перереработано
Предлагается вернуться к вопросу после анализа результатов эксперимента

🔥🔥🔥 Заключение Минэка не упоминает спутниковый интернет, хотя в отзывах его было много и это реально проблема

Проводимый сейчас эксперимент:
https://digital.gov.ru/ru/documents/7146/
Хотя собирать сведения будут до 15 июля, а сроки подготовки отчета — до 14 августа. Но, кончено, уже публично отчитались все стороны. Битва цифр с потолка без связи с реальностью:
https://digitaldem.ru/2020/07/03/veliki-li-poteri-biznesa-ot-besplatnogo-interneta/
Forwarded from Leonid Evdokimov
О-о-о-оооо! Моя эс-ка-зэ-и!
Ламповый шифр ушедшего лета!
О-о-о-оооо! Моя эс-ка-зэ-и!
Вечный по-ГОСТ для законопроектов!
#вещества #ибу Про сайт cистемы обеспечения
законодательной деятельности. Он не поддерживает шифрования новее TLS версии 1.1. Браузер Firefox с версии 78, вышедшей 30 июня 2020 года, не поддерживает шифрование старее TLS версии 1.2. В итоге на FireFox сайт автоматизации Госдумы перестал работать
Forwarded from Ivan Begtin (Ivan Begtin)
CNews пишет о том что сайт с законопроектами Госдумы скоро будет недоступен во многих браузерах поскольку использует TLS 1.0, а скоро этот стандарт передачи данных не будет поддерживаться в Firefox и других браузерах [1]

Долго думая что добавить к этой новости, не могу не вспомнить о том что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата [2]. Там только относительно недавно стал отзываться https с сертификатом от другого домена [3].

Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол.
Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает.

Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном.

Ссылки:
[1] https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy
[2] http://letters.kremlin.ru
[3] https://letters.kremlin.ru

#tls #ssl #https #privacy
#реклама Напомню, что это необычная реклама. Я по своему самодурству размещаю рекламные посты каких-то компаний или сообществ, или сервисов. Они мне за это не платят. Ни цента, ничего

💥 Сервер, СХД или сетевое оборудование в лизинг

💡 Закажите оборудование: https://serverleasing.ru/?utm_source=e2
Депутаты Александр Хинштейн (председатель комитета Госдумы по инфополитике с 2020) и Сергей Боярский (сын того самого Боярского) направили в Госдуму законопроект о наказании за невыполнение обязанностей по ограничению доступа к запрещенной информации хостерами и самими сайтами. Давно ожидаемый закон, потому что пока что можно информацию не удалять даже внутри России
https://sozd.duma.gov.ru/bill/989758-7

Ответственность административная. Новая статья КоАП 13.41
💥 Наказание предусмотрено И хостинг провайдерам, И владельцам ресурсов, на которых размещена информация
➡️ Штрафы физикам от 50 до 100 тысяч рублей, должностным лицам от 200 до 400 тысяч рублей, юрлицам от 800 тысяч до 3 миллионов рублей. Повторное нарушение влечет штраф физикам от 100 до 200 тысяч рублей, должностным лицам от 500 до 800 тысяч рублей, юридическим лицам от 4 до 8 миллионов рублей
➡️ Выделены определенные категории информации — порнуха, детская порнуха, наркота, экстремизм (категории не соответствуют категоризации запрещенки в существующих формулировках) — для которой увеличенные штрафы. Штрафы физикам от 100 до 200 тысяч рублей, должностным лицам от 400 до 800 тысяч рублей, юрлицам от 3 до 8 миллионов рублей. Повторное нарушение влечет штраф физикам от 200 до 500 тысяч рублей, должностным лицам от 800 тысяч до 1 миллиона рублей, юрлицам от 8 до 15 миллионов рублей
☝️ Действие статьи не распространяется на нарушение копирайта

Несоразмерное деянию наказание. Заметное число юридических лиц, предоставляющих услуги хостинга, умрут от первого же штрафа. Не говоря уже о владельцах ресурсов
Все описанные категории нарушителей плохо формализуемы. Общение с ними надзорного органа происходит по каналам связи, не имеющим правового статуса. «Осечки» не единичны. Существует риск регулярных огромных штрафов в результате ошибок и неточностей
Интересный кейс с виртуалками и серверами. Хостера виртуалок и серверов тоже штрафовать? А как он вмешается в трафик? Прекратить оказывать услуги тоже нет оснований. Вопрос о правомерности наличия в договоре условия незамедлительного прекращения услуг аренды вычислительных мощностей по уведомлению цензора дискуссионный
‼️ Это не сейчас замечено, но некоторое время назад в законы про блокировку утвердили понятие «незамедлительно». В связи с такими штрафами значимость этого действия многократно усилилась. Как и риски, связанные с этим неправовым булшитом
Не редкость, когда решения о признании информации запрещенной вызвано глупостью органов власти, желанием получить статистику (например, так работает региональная прокуратура — поставлено на поток), непрофессионализмом и пофигизмом судов. Ярчайшие примеры — запрет юморески о даче взяток (суд в итоге выигран, решение о запрете отменено), запрет научного труда об этнографии (суд в итоге выигран, прокуратура дала задний ход, решение о запрете отменено)
Не редкость, когда запрет информации — инструмент конкурентной борьбы (например, целый ряд судов с разными истцами «о признании юридически значимых фактов» по отзывам на товары, в том числе и на Яндекс.Маркете)
Это интернет, детка. Здесь закрытие чего-то даже на короткий срок, не то что на месяцы судебных разбирательств — это зачастую означает смерть проекта. Практически законопроект резко усиливает механизм блокировок как инструмент конкурентной борьбы.

😱 Может создаться впечатление, конечно же ложное, что инструмент конкурентной борьбы и есть настоящая цель законопроекта. Невозможно же предположить дремучую глупость и недальновидность, или хайпожорство столь уважаемых авторитетных авторов
«При этом сайт Госдумы работает на базе веб-сервера Nginx. Чтобы обеспечить поддержку TLS 1.2, его необходимо пересобрать; это может занять максимум полдня» (c) Фил
https://www.cnews.ru/news/top/2020-07-16_sajt_s_zakonoproektami_gosdumy

Судя по всему, эти полдня потрачены и сайт sozd.duma.gov.ru нормально работает. Вот что животворящий пост в телеграм-канале делает. В прошлый раз мы так починили сайт e-trust.gosuslugi.ru. Telegram channel driven troubleshooting

Так. Мне не нравится как ведёт себя regulation.gov.ru....
#вещества Когда «Другой Песков» стал представителем Президента по вопросам цифр, я думал, что он хочет нам что-то донести из внутренней кухни своими странными заявлениями. Но время показало, что всё, что он говорит, не соприкасается с реальностью. Вообще не соприкасается. Все его речи и заявления являются обычно его личными мнениями и фантазиями в рамках какого-то вымышленного мира и воображаемых друзей. Но если вы хотели подавиться обедом, то почитайте и про отработанно неработающую процедуру оценки регулирующего воздействия, и про переизобретение оценки фактического воздействия, и про каменный топор в национальных интересах:
https://tass.ru/interviews/9016753
#regulation #орв 0/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

💥 Норматив вводит новые требования для участников отношений — система управления сетями, журналы, измерения, специальная защита. Однако, степень регулирующего воздействия указана как средняя вместо высокой

💥 Согласно представленному сводному отчету участники отношений не понесут расходов. Это возмутительная ложь. Пункты 11 и 12 сводного отчета не заполнены

➡️ Норматив общий для всех категорий сетей связи

➡️ Усиливается контроль государства, которое лучше знает как строить сети связи, вводится ряд сертификаций (новый рынок для ФСТЭК), ограничивается возможность иностранного вмешательства, бюрократизируется обслуживание сетей, вводятся новые требования к системе управления сетями связи, вводится регулирование деятельности обслуживающего персонала и привлекаемых лиц сторонних организаций, устанавливаются обязательные периодические процедуры — мониторинг, измерения, журналы. К последним устанавливаются требования к оформлению и хранению

➡️ Много воды с терминами «подразумевает» и «направлено». При этом это не самое плохое эссе про эксплуатацию. Много воды про защиту информации. В ряде случаев дублируются требования исполнять закон о КИИ

😱 «Требования не распространяются на автоматизированные системы расчетов и системы самообслуживания абонентов, принадлежащие операторам связи, в случае если данные технические средства не входят ‎в состав сетей связи оператора связи.» Не смог интерпретировать этот пункт. Я не знаю о чем он

ЧТО ДЕЛАТЬ

Прочитал? Поставь 👎 проекту. Или лайк — как пойдет
Садишься выпить чашечку кофе? Зайди на портал и выскажись
Почитал про коронавирус? Зайди на портал и выскажись
Жалобы на нарушения размещения, как и замечания, тоже сами себя не напишу

ДАЛЬШЕ САГА В ТРЕХ ЧАСТЯХ О СОДЕРЖИМОМ
🔐 Безопасность
🖥 Система управления сетями
🛠 Обслуживание сетей
#regulation #орв 1/3 Минцифра 13 июля 2020 года разместила для публичного обсуждения проект требований к эксплуатации и управлению сетями связи. Конец обсуждения 31 июля 2020:
https://regulation.gov.ru/p/105879
Документ разработан по поручению Совета Безопасности РФ. Т.е. это политический документ, на рациональность всем будет наплевать, он пройдет ОРВ и никто не покраснеет

🔐 БЕЗОПАСНОСТЬ

➡️ Новые компоненты безопасности сети должны проходить стендовые испытания

➡️ Операторы связи не реже трех раз в год должны уточнять паспорт безопасности по ГОСТ Р 53109-2008 http://docs.cntd.ru/document/1200073585: «Составление паспорта осуществляется комиссией в составе пяти-семи квалифицированных специалистов связи». В голове у всех нормотворцев IT — это такой огромный завод с кучей сотрудников... Ещё из ГОСТа: «Опись всей сетевой архитектуры должна содержать... адресные таблицы, таблицы маршрутизации»...

➡️ «Эксплуатационная документация на систему защиты информации сетей связи должна разрабатываться с учетом ГОСТ Р 52448-2005», а защищаться должен в том числе сайт оператора связи

➡️ «К работам по обеспечению информационной безопасности сети связи должен допускаться персонал, имеющий профильное образование». Личное наблюдение — образование по инфобезу да и в целом по IT и реальность очень часто вообще не пересекаются. Будут свадебные офицеры безопасности с дипломами

➡️ Много обязательных периодических действий по безопасности, но нет требования журналирования, так что никто это выполнять не будет

➡️ Устанавливается требование взаимодействия с НКЦКИ (чтобы этот набор букв не значил). Не понятно, что это за взаимодействие, потому что оно нигде не регламентируется. И НКЦКИ о нем ничего не знает (с точки зрения норм)