#вещества СИТУАЦИЯ

Почему они все думают, что если они сделают как в России, у них не получится как в России? Что за повальная мода на нео-средневековье?
https://t.me/rudelfi/9291

Рубрика "Циничная ситуация"
Вот! Пришел грамотный человек в комменты в уютном чятике и все действительно грамотно объяснил.
Это HTTP 403 - просто картинка красивая такая.
Говорила мама маленькому Циниксу: "Всегда смотри в веб-консоль прежде, чем постить свои цинизмы"
То есть, похоже, это все-таки вариант блондинки с кнопкой

Зато Ситуационные Центры, куча ГОСТов по инфобезу, требования даже просто к провайдерам, ЦМУ ССОП, ТСПУ, НКЦКЦКЦИ (никак не могу запомнить количество КЦ у этой ФСБ-конторы), ГосСОПКА, дутые щёки и костюмы с галстуками. Я бы даже наверное так не осквернял бы довольно рядовое событие, если бы не тонны пафоса, зазнайства и требований к простым людям:
https://t.me/rbc_news/69907

А главное, если это государственный субъект, никто никогда не несёт ответственности. Это вы, опричь власти, будете сидеть, продадите свои трусы и вас назовут криворукими обезъянами и будут метелить во всех СМИ пару недель. Но важные же дяди и тёти лучше знают, Просто тут случайность и недостаток удачи. Напомните, какая была ответственность за сопутствующий ущерб при блокировке Telegram? А за утечку данных ГРЧЦ? Можете продолжить

Напомню своë отношение к регулированию.

#вещества 🐼 Панда по-иностранному (по-китайски) дискредитирующе смотрит на специальную военную войну: https://minjust.gov.ru/ru/events/49346/

P.S. А на самом деле, панда — «Воин Дракона»

#вещества #правоблудие Я, честно, перестал следить внимательно за всей той беллетристикой, которую извергает Госдума на тему Рунета. Но коллега и собрат по сопротивлению следит:
https://t.me/Runet90fz/605

☝️ Смысл в том, что технологические сети связи с автономной системой тоже теперь должны хранить сведения о трафике.

👉 По федеральному закону «О связи» 126-ФЗ от 27.07.2003 (действующая редакция, далее ЗоС) технологические сети связи это:
«Статья 15. Технологические сети связи

1. Технологические сети связи предназначены для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве.

Технологии и средства связи, применяемые для создания технологических сетей связи, а также принципы их построения устанавливаются собственниками или иными владельцами этих сетей.....»

🍄 Ну а вдруг фрезерный станок прочитает Twitter и будет поражён идеями коллективного запада? Или сверло начитается так называемой западной культуры и выйдет замуж за рашпиль? А-яй!!!

🤷‍♂️ На самом деле я знаю, что имели ввиду законодатели. Они просто в какой-то момент вспомнили, что не все сети связи подпадают под лицензионное регулирование и пытаются с 2019 года (тот самый 90-ФЗ от 01.05.2019 «о сувенирке») как-то обозвать то, что не продажа интернета в квартиры/офисы. И теперь в федеральных законах есть технологическая сеть по определению ЗоС (практически нигде в реалии не существующая) и что-то, существующее в вакууме, но на что ссылаются статьи и самого ЗоС, и других ФЗ. И значит оно примерно «всё что мы не могли классифицировать, но хотим посчитать, больше порядка богу порядка».

🤡 Других законодателей и юристов у меня для вас нет

📧 Напишу про электропочту и КИИ в двух частях. В одной покощунствую, а в другой оскверню безэмоционально.
https://www.kommersant.ru/doc/5887530

В частности, ФСТЭК призывает ... а также взаимодействие через электронную почту с иностранными IP-адресами

И там Мегафон такой пафосно:

В «МегаФоне» отметили, что внимательно «относятся к безопасности инфраструктуры и рекомендациям регуляторов

☝️ Я с 2002 года в интернет-бизнесе. В IT с 1997. Нет, с 1994 — я был лаборантом в школе. От меня всё время ускользает, чем занимается ФСТЭК? Мне что-то говорили, но я подзабыл. Зачем нужно это регулирование и кто оценивает его потребности, эффективность и экспертность? У меня, кстати, такой же вопрос к Роскомнадзору. Я не понимаю, чем он занимается конкретно. Что-то там про частоты — этим всё равно занимается ФГУП ГРЧЦ. Зачем ещё нужна целая федеральная служба мне не очень понятно.

❌ Более того. Органы власти РФ должны заниматься тем, чем им положено по Положению об соответствующем органе, и не должны тем, чем не положено. В этом их сила и слабость. Это так скажем вишенка к моему непониманию.

🇷🇺 На мои вопросы, кстати могут быть даны вполне себе ответы. Хотя бы частично. Например, уже давно существует Оценка Фактического Воздействия:
http://orv.gov.ru/Content/List?cat=39
А до этого была экспертиза. Но где они все?

✅ Вот например ФСТЭК и Роскомнадзор в добровольном порядке вместо благотворительности, которой они не должны заниматься, оптимизировали бы свою деятельность проведением оценки эффективности как процессов, так и самого регулирования, чем если не впрямую, то косвенно они должны заниматься

#вещества 🔥🔥🔥🔥 Я люблю без иронии посты, которые вызывают бурный восторг бурные обсуждения в конструктивном ключе. Лукацкий в каментах дал ссылку на оригинал презентации, за что ему спасибо:
https://t.me/alukatsky/7693

👍 Там же Алексей резонно пишет, что это только рекомендации регулятора. Что может сделать субъект КИИ. И что не всё приобретает форму «обязан». Это правда.

🐝 По презентации сложилось впечатление, что это какой-то кабинетный человек приоткрыл для себя технологии и пишет презентацию по мере расширения кругозора

❌ Но стало хуже. Регулятор рекомендует откровенную вредную и мракобесную чушь. Я повторю свой вопрос — в чём суть существование ФСТЭК и где посмотреть оценку реальной пользы от этого регулирования (я про весь ФСТЭК)?

🙈 Как мне развидеть эти слайды?

📧 А теперь про саму электропочту в связи с:
https://www.kommersant.ru/doc/5887530

☝️ Всё смешалось — кони, люди... Пересылка подозрительных писем смешалась с запретом удалённого доступа к критичным узлам и ролям администраторов. Ни одна из сот не имеет ни начала, ни конца... Откуда мысль, зачем она, как нужно реагировать?

🎃 Электропочта является древней и довольно дурацкой технологией. Чисто исторически она не предусматривала вообще никакой защиты, но быстро завоевала популярность и вся защита теперь состоит из сплошных костылей. Нельзя, например проверить отправителя. Вообще никак. Можно только примерно проверить возможность принять отправителем почту обратно. Нет возможности точно верифицировать домен отправителя. Можно предположить, что письмо подписано оборудованием/человеком, которым эту возможность дал кто-то, кто управляет DNS этого домена. Но этим не пользуются в первую очередь неповоротливые органы. Более того, Национальная Система Доменных Имён чутка не учитывает этих факторов и например DNSSEC. Вопрос неоднозначный.

🍄 Запретить open relay в 2023 году, Очень своевременно. Как говорил мой преподаватель английского из Аризоны: «When are you from?» Это примерно как не сушить кота в микроволновке.

👜 Кстати о вложениях... А автор в курсе, что такое «вложения»? А что такое «расширения»? А реально можно давать такую рекомендацию? А какие и зачем? Давайте покрасим электроны в синий цвет как в учебнике. А то чо они? ☝️ На самом деле вложений не существует. Существуют кодированные в текстовый вид какие-то данные. Почтовый клиент (именно то, чем вы смотрите) решает какие он данные видит, какие нет. И в какой форме/виде. Например, это какой-то файл. Но расширение имени файла — это тоже только соглашение об наименованиях. Какие-то системы их воспринимают, какие-то нет. Какие-то клиенты основывают на этом свои действия, какие-то нет. Я бы сходу убрал .docx, как потенциально опасный из-за автоматической обработки всякими аутлуками. Но тогда можно просто не пользоваться электропочтой.

🏁 IP... иностранные.. Можно просто начать с определения его иностранности. Это всего-лишь уведомительная (владельцем IP) запись в некоей базе. Все эти базы MaxMind и так далее оценочные. И иностранные, кстати. Счастливо вам всем выполнить эту рекомендацию.

☝️ Резюмируя. Электропочта является древней, не очень хорошей, обросшей костылями и особенностями, но очень популярной технологией. Рубить слабой презентацией по эклектропочте — это вызвать вопросы и нездоровую реакцию.

🫵 Елена, у вас слабая, плохо сделанная, крайне неквалифицированная, вредная презентация

🔥🔥🔥 ФГУП ГРЧЦ, подведомственная организация Роскомнадзора, которая защищает нас от вредной информации, заключил контракт на защиту от DDoS за 8 млн рублей в год. Закупка у единственного поставщика (подрядчика, исполнителя): https://t.me/Runet90fz/608

🧌 Сайт ГРЧЦ grfc.ru сейчас указывает на IP, принадлежащий хостингу eternalhost.net (кто это ваще?), предоставляющему защиту от DDoS за например от 32000 руб/мес для сетей.

👻 Опущу то, что домен хостера не в НСДИ. Или скажу. Говорю.

🙀 А вот тут уже интереснее. В начале февраля 2023 года ГРЧЦ поставил свой сайт за proxy этого хостинга (услуга от 3000 рублей). При этом ГРЧЦ не убрал сайт со старого IP: 194.165.22.146 Сайт grfc.ru продолжает отвечать на запросы по этому старому IP.

🤡 Защита за 700к в месяц в духе той фотки ворот в чистом поле (c)

🥛 Как-будто бы мало было истории с получением доступа к внутреннему домену и чисткой карманов: https://t.me/usher2/2451

🍿 Кстати, а почему единственным поставщиком стал именно этот?

🤷‍♂️ У меня глаз замылился. Но у читателей нет. ТСПУ, которые устанавливаются согласно закону 90-ФЗ от 01 мая 2019 года «о суверенном Рунете», расшифровываются полностью как «технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования» (в терминах Федерального закона). И заведует ими и их работой как раз ГРЧЦ.


🤡 НУ НЕ ШМОГЛА Я!

Свежая новость [1] и заметка в Коммерсанте [2] о том что "временно" приостанавливается работа федерального портала откыртых данных data.gov.ru и что будет через какое-то время новая/лучшая версия портала, надо только подождать.

Мне так много есть что сказать по этому поводу что короткого текста может не получится, но я постараюсь․ Начну же с того что предвидя такое развитие событий мы в Инфокультуре сделали полный слепок данных портала 2 февраля 2022 года [3], это 13ГБ в сжатом виде и 29ГБ в распакованном виде. За год данных на портале появилось и обновилось немного, так что дамп можно считать вполне полным.

Про качество данных на портале я писал неоднократно [4], но важно не только это. Важнее то что вот уже более 7 лет большинство порталов открытых государственных данных в России перестали обновляться и наполняться, Данные всё ещё публиковались на некоторых государственных информационных системах и отдельными органами власти, но, в целом, тему открытости начали "сливать" давно, вначале приведя к формальному исполнению требований и публикацией потока бессмысленных сверхмелких административных данных, а далее, при последнем российском правительстве, даже на это стали забивать.

Собственно и в этом событии важен уровень принятия решения. Это уровень не председателя Пр-ва, не вице-премьера, и даже не министра. Просто руководитель департамента в Минэкономразвития завил что мол мы портал закроем и когда-нибудь сделаем другой. В общем, портал не стал часть национальной цифровой инфраструктуры, а Минэкономразвития лишь одно из министерств без особых полномочий указывать другим органам власти что им публиковать в открытом доступе. Я, опять же, не про бессмысленный поток административных данных (вакансий, инфы по учреждениям и тд), а про реальные реестры, ведомственную статистику, крупные базы данных в управлении ФОИВов и их подведов.

Казалось бы что мешало Минэкономразвития создавать новую версию портала параллельно и анонсировать его замену после эксплуатации бета версии? Я вот не знаю что, я вижу что текущая ситуация больше похожа на заметание мусора под ковёр, чтобы никто их за руку не поймал с тем как плохо сопровождался этот портал.

В любом случае, проблема не только в словах о временном закрытии, которое с лёгкостью может стать постоянным. И даже не в анонсе переноса портала на несуществующий Гостех, а в том что даже если новый портал создать и даже не таким плохим технически как предыдущий, то чем его наполнять.

За многие годы не были видны никакие усилия Минэкономразвития в том чтобы была доступна детальная статистика по качеству жизни։ уровню преступности, загрязнении, качеству образования, здравоохранению, заболеваемости с детальностью до районов (да даже детальность до регионов не вся!). За все эти годы на портале даже не начинали публиковать наиболее востребованные данные по судебным производствам (привет Судебному Депортаменту создавшему рядом коммерческую монополию) или свежезкрытым данным госфинансов или почти полностью отсутствующим в открытом пространстве геоданным, которые как раз более всего раскрываются по всем миру?

Эти риторические вопросы имеют лишь один ответ, блок на реальную открытость государства не только и не столько в этом портале. Он в отсутствии повестки открытости у текущего федерального правительства.

В качестве завершения я напомню что в мире сейчас нет развитых стран без порталов открытых данных. Даже в Китае такой есть, с акцентом на публикацию научных данных, зато неимоверного количества и объёма. Порталов открытых данных нет только у некоторых африканских стран, стран третьего мира иными словами. Стремление российского правительства руками Минэкономразвития, в данном случае, войти в список третьих стран лично у меня вызывает лишь недоверие ко всей остальной политической риторике о том "как тут всё хорошо" и как замечательно идут нацпроекты и поддержка бизнеса.

Никак не развиваются.

💰 Ну и раз уж я поговорил о данных и деньгах, то пройдусь по теме, по которой только ленивый не оттоптался — национальный (я кстати всё время путаю со словами нацистский и националистический — не понимаю между ними тремя разницы) аналог GitHub за 1.3млрд:
https://www.forbes.ru/tekhnologii/486349-zamglavy-mincifry-maksim-parsin-ne-hotim-izolacii-no-nam-nuzen-svoj-repozitorij
Или так:
https://www.rbc.ru/technology_and_media/10/02/2022/6204fd989a7947687cba5123

👉 Там собственно подробно описано. Деньги вообще с 2007 года пылятся (очень эффективно), о суверенном репозитарии говорят года три уже. И это уже третий или четвёртый подход к снаряду. Инициатива сложная и сомнительная. Надо отдать должное, Минцифра отдаёт себе отчёт в этом.

👍 Особое мнение Ивана Бегтина, помянувшего Гостех (а и правда, где он?): https://t.me/begtin/4711

🤷‍♂️ А чем плох так громко начавший и вполне живой https://gitflic.ru/ ?

🍯 А в чём вообще рокет-сайнс? Проблема (и об этом опять же говорит Минцифра) в том, чтобы это кому-то зачем-то стало надо, а не в выборе gitlab/gogs/gitea/etc. В комьюнити и целях комьюнити. И миллиард рублей никак не решит эту проблему.

🚬 Смахивает на погоню за деньгами на популярной теме.

☠️ Не знаю из каких соображений, но совершенно внезапно мой сайт https://usher2.club , c чисто историческими данными, впервые с апреля 2018 года кто-то атаковал. Это такой намёк, что туда нужны обновления? Хорошо.

🔐☢️ Как-то прошла незаметно новость о том, что github.com поменял свой RSA SSH ключ:
https://github.blog/2023-03-23-we-updated-our-rsa-ssh-host-key/


👉 24 марта 2023 года около 05:00 UTC GitHub на всякий случай сменил RSA SSH ключ. Смена ключа произошла в результате обнаружения утечки секретного ключа в публичный git-репозиторий. ECDSA и ED25519 ключи не затронуты.

☝️ Вкратце. SSH ключ, о котором идёт речь, это SSH ключ самого сервера github.com. Когда пользователь сервиса хочет по SSH обратиться к репозиторию на github'е. это как бы тот ключ, который использует сервер. Если следовать всем правилам, надо получить слепок этого ключа доверенным способом и всегда сравнивать его. Обычно же, клиенты SSH предлагают сохранить его при первом соединении и так все и делают. Однако, даже такое «халявное» удостоверение хоста в большинстве случаев позволяет предотвратить атаку «мужик посерёдке» (MitM). Потому что слепок сохранён и если ключ вдруг на хосте поменяется, это вызовет ошибку при попытке нового соединения.

🙀 Как вы уже догадались, это должно было поломать кучу автоматики, пайплайнов CI/CD и так далее. Однако:
• Огромный срез параноиков не пользуется github. Не, некоторые и в пещерах живут, и это не плохо.
• Кто-то всё-таки живёт в 2023 году и использует ECDSA/ED25519
• Многие используют в CI/CD https. Несмотря на отсутствие такого у самого git, есть множество устоявшихся практик git over https. В том числе «проталкиваемых» самим github'ом
• Неимоверно много в скриптах -o StrictHostKeyChecking=no — игнорирование сравнения слепка ключа с запомненным. Какой дали, с тем и работаем.
• Админы утром проснулись, увидели поломанную автоматику, увидели что-то про хосткей в новостях, не глядя приняли новый ключ (мой случай) и пошли пить утренний кофе.

❌🫵 А у тебя сломался пайплайн? А сразу? А точно между тем как сломался и как работал, он работал с нужным ключом? На этой радостной ноте пожелаю всем labos nakties, как говорят тут.

⚡️ Новый ключ, чтобы не искать SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s