#вещества 🔥🔥🔥🔥 Я люблю без иронии посты, которые вызывают бурный восторг бурные обсуждения в конструктивном ключе. Лукацкий в каментах дал ссылку на оригинал презентации, за что ему спасибо:
https://t.me/alukatsky/7693

👍 Там же Алексей резонно пишет, что это только рекомендации регулятора. Что может сделать субъект КИИ. И что не всё приобретает форму «обязан». Это правда.

🐝 По презентации сложилось впечатление, что это какой-то кабинетный человек приоткрыл для себя технологии и пишет презентацию по мере расширения кругозора

❌ Но стало хуже. Регулятор рекомендует откровенную вредную и мракобесную чушь. Я повторю свой вопрос — в чём суть существование ФСТЭК и где посмотреть оценку реальной пользы от этого регулирования (я про весь ФСТЭК)?

🙈 Как мне развидеть эти слайды?

📧 А теперь про саму электропочту в связи с:
https://www.kommersant.ru/doc/5887530

☝️ Всё смешалось — кони, люди... Пересылка подозрительных писем смешалась с запретом удалённого доступа к критичным узлам и ролям администраторов. Ни одна из сот не имеет ни начала, ни конца... Откуда мысль, зачем она, как нужно реагировать?

🎃 Электропочта является древней и довольно дурацкой технологией. Чисто исторически она не предусматривала вообще никакой защиты, но быстро завоевала популярность и вся защита теперь состоит из сплошных костылей. Нельзя, например проверить отправителя. Вообще никак. Можно только примерно проверить возможность принять отправителем почту обратно. Нет возможности точно верифицировать домен отправителя. Можно предположить, что письмо подписано оборудованием/человеком, которым эту возможность дал кто-то, кто управляет DNS этого домена. Но этим не пользуются в первую очередь неповоротливые органы. Более того, Национальная Система Доменных Имён чутка не учитывает этих факторов и например DNSSEC. Вопрос неоднозначный.

🍄 Запретить open relay в 2023 году, Очень своевременно. Как говорил мой преподаватель английского из Аризоны: «When are you from?» Это примерно как не сушить кота в микроволновке.

👜 Кстати о вложениях... А автор в курсе, что такое «вложения»? А что такое «расширения»? А реально можно давать такую рекомендацию? А какие и зачем? Давайте покрасим электроны в синий цвет как в учебнике. А то чо они? ☝️ На самом деле вложений не существует. Существуют кодированные в текстовый вид какие-то данные. Почтовый клиент (именно то, чем вы смотрите) решает какие он данные видит, какие нет. И в какой форме/виде. Например, это какой-то файл. Но расширение имени файла — это тоже только соглашение об наименованиях. Какие-то системы их воспринимают, какие-то нет. Какие-то клиенты основывают на этом свои действия, какие-то нет. Я бы сходу убрал .docx, как потенциально опасный из-за автоматической обработки всякими аутлуками. Но тогда можно просто не пользоваться электропочтой.

🏁 IP... иностранные.. Можно просто начать с определения его иностранности. Это всего-лишь уведомительная (владельцем IP) запись в некоей базе. Все эти базы MaxMind и так далее оценочные. И иностранные, кстати. Счастливо вам всем выполнить эту рекомендацию.

☝️ Резюмируя. Электропочта является древней, не очень хорошей, обросшей костылями и особенностями, но очень популярной технологией. Рубить слабой презентацией по эклектропочте — это вызвать вопросы и нездоровую реакцию.

🫵 Елена, у вас слабая, плохо сделанная, крайне неквалифицированная, вредная презентация

🔥🔥🔥 ФГУП ГРЧЦ, подведомственная организация Роскомнадзора, которая защищает нас от вредной информации, заключил контракт на защиту от DDoS за 8 млн рублей в год. Закупка у единственного поставщика (подрядчика, исполнителя): https://t.me/Runet90fz/608

🧌 Сайт ГРЧЦ grfc.ru сейчас указывает на IP, принадлежащий хостингу eternalhost.net (кто это ваще?), предоставляющему защиту от DDoS за например от 32000 руб/мес для сетей.

👻 Опущу то, что домен хостера не в НСДИ. Или скажу. Говорю.

🙀 А вот тут уже интереснее. В начале февраля 2023 года ГРЧЦ поставил свой сайт за proxy этого хостинга (услуга от 3000 рублей). При этом ГРЧЦ не убрал сайт со старого IP: 194.165.22.146 Сайт grfc.ru продолжает отвечать на запросы по этому старому IP.

🤡 Защита за 700к в месяц в духе той фотки ворот в чистом поле (c)

🥛 Как-будто бы мало было истории с получением доступа к внутреннему домену и чисткой карманов: https://t.me/usher2/2451

🍿 Кстати, а почему единственным поставщиком стал именно этот?

🤷‍♂️ У меня глаз замылился. Но у читателей нет. ТСПУ, которые устанавливаются согласно закону 90-ФЗ от 01 мая 2019 года «о суверенном Рунете», расшифровываются полностью как «технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования» (в терминах Федерального закона). И заведует ими и их работой как раз ГРЧЦ.


🤡 НУ НЕ ШМОГЛА Я!

Свежая новость [1] и заметка в Коммерсанте [2] о том что "временно" приостанавливается работа федерального портала откыртых данных data.gov.ru и что будет через какое-то время новая/лучшая версия портала, надо только подождать.

Мне так много есть что сказать по этому поводу что короткого текста может не получится, но я постараюсь․ Начну же с того что предвидя такое развитие событий мы в Инфокультуре сделали полный слепок данных портала 2 февраля 2022 года [3], это 13ГБ в сжатом виде и 29ГБ в распакованном виде. За год данных на портале появилось и обновилось немного, так что дамп можно считать вполне полным.

Про качество данных на портале я писал неоднократно [4], но важно не только это. Важнее то что вот уже более 7 лет большинство порталов открытых государственных данных в России перестали обновляться и наполняться, Данные всё ещё публиковались на некоторых государственных информационных системах и отдельными органами власти, но, в целом, тему открытости начали "сливать" давно, вначале приведя к формальному исполнению требований и публикацией потока бессмысленных сверхмелких административных данных, а далее, при последнем российском правительстве, даже на это стали забивать.

Собственно и в этом событии важен уровень принятия решения. Это уровень не председателя Пр-ва, не вице-премьера, и даже не министра. Просто руководитель департамента в Минэкономразвития завил что мол мы портал закроем и когда-нибудь сделаем другой. В общем, портал не стал часть национальной цифровой инфраструктуры, а Минэкономразвития лишь одно из министерств без особых полномочий указывать другим органам власти что им публиковать в открытом доступе. Я, опять же, не про бессмысленный поток административных данных (вакансий, инфы по учреждениям и тд), а про реальные реестры, ведомственную статистику, крупные базы данных в управлении ФОИВов и их подведов.

Казалось бы что мешало Минэкономразвития создавать новую версию портала параллельно и анонсировать его замену после эксплуатации бета версии? Я вот не знаю что, я вижу что текущая ситуация больше похожа на заметание мусора под ковёр, чтобы никто их за руку не поймал с тем как плохо сопровождался этот портал.

В любом случае, проблема не только в словах о временном закрытии, которое с лёгкостью может стать постоянным. И даже не в анонсе переноса портала на несуществующий Гостех, а в том что даже если новый портал создать и даже не таким плохим технически как предыдущий, то чем его наполнять.

За многие годы не были видны никакие усилия Минэкономразвития в том чтобы была доступна детальная статистика по качеству жизни։ уровню преступности, загрязнении, качеству образования, здравоохранению, заболеваемости с детальностью до районов (да даже детальность до регионов не вся!). За все эти годы на портале даже не начинали публиковать наиболее востребованные данные по судебным производствам (привет Судебному Депортаменту создавшему рядом коммерческую монополию) или свежезкрытым данным госфинансов или почти полностью отсутствующим в открытом пространстве геоданным, которые как раз более всего раскрываются по всем миру?

Эти риторические вопросы имеют лишь один ответ, блок на реальную открытость государства не только и не столько в этом портале. Он в отсутствии повестки открытости у текущего федерального правительства.

В качестве завершения я напомню что в мире сейчас нет развитых стран без порталов открытых данных. Даже в Китае такой есть, с акцентом на публикацию научных данных, зато неимоверного количества и объёма. Порталов открытых данных нет только у некоторых африканских стран, стран третьего мира иными словами. Стремление российского правительства руками Минэкономразвития, в данном случае, войти в список третьих стран лично у меня вызывает лишь недоверие ко всей остальной политической риторике о том "как тут всё хорошо" и как замечательно идут нацпроекты и поддержка бизнеса.

Никак не развиваются.

💰 Ну и раз уж я поговорил о данных и деньгах, то пройдусь по теме, по которой только ленивый не оттоптался — национальный (я кстати всё время путаю со словами нацистский и националистический — не понимаю между ними тремя разницы) аналог GitHub за 1.3млрд:
https://www.forbes.ru/tekhnologii/486349-zamglavy-mincifry-maksim-parsin-ne-hotim-izolacii-no-nam-nuzen-svoj-repozitorij
Или так:
https://www.rbc.ru/technology_and_media/10/02/2022/6204fd989a7947687cba5123

👉 Там собственно подробно описано. Деньги вообще с 2007 года пылятся (очень эффективно), о суверенном репозитарии говорят года три уже. И это уже третий или четвёртый подход к снаряду. Инициатива сложная и сомнительная. Надо отдать должное, Минцифра отдаёт себе отчёт в этом.

👍 Особое мнение Ивана Бегтина, помянувшего Гостех (а и правда, где он?): https://t.me/begtin/4711

🤷‍♂️ А чем плох так громко начавший и вполне живой https://gitflic.ru/ ?

🍯 А в чём вообще рокет-сайнс? Проблема (и об этом опять же говорит Минцифра) в том, чтобы это кому-то зачем-то стало надо, а не в выборе gitlab/gogs/gitea/etc. В комьюнити и целях комьюнити. И миллиард рублей никак не решит эту проблему.

🚬 Смахивает на погоню за деньгами на популярной теме.

☠️ Не знаю из каких соображений, но совершенно внезапно мой сайт https://usher2.club , c чисто историческими данными, впервые с апреля 2018 года кто-то атаковал. Это такой намёк, что туда нужны обновления? Хорошо.

🔐☢️ Как-то прошла незаметно новость о том, что github.com поменял свой RSA SSH ключ:
https://github.blog/2023-03-23-we-updated-our-rsa-ssh-host-key/


👉 24 марта 2023 года около 05:00 UTC GitHub на всякий случай сменил RSA SSH ключ. Смена ключа произошла в результате обнаружения утечки секретного ключа в публичный git-репозиторий. ECDSA и ED25519 ключи не затронуты.

☝️ Вкратце. SSH ключ, о котором идёт речь, это SSH ключ самого сервера github.com. Когда пользователь сервиса хочет по SSH обратиться к репозиторию на github'е. это как бы тот ключ, который использует сервер. Если следовать всем правилам, надо получить слепок этого ключа доверенным способом и всегда сравнивать его. Обычно же, клиенты SSH предлагают сохранить его при первом соединении и так все и делают. Однако, даже такое «халявное» удостоверение хоста в большинстве случаев позволяет предотвратить атаку «мужик посерёдке» (MitM). Потому что слепок сохранён и если ключ вдруг на хосте поменяется, это вызовет ошибку при попытке нового соединения.

🙀 Как вы уже догадались, это должно было поломать кучу автоматики, пайплайнов CI/CD и так далее. Однако:
• Огромный срез параноиков не пользуется github. Не, некоторые и в пещерах живут, и это не плохо.
• Кто-то всё-таки живёт в 2023 году и использует ECDSA/ED25519
• Многие используют в CI/CD https. Несмотря на отсутствие такого у самого git, есть множество устоявшихся практик git over https. В том числе «проталкиваемых» самим github'ом
• Неимоверно много в скриптах -o StrictHostKeyChecking=no — игнорирование сравнения слепка ключа с запомненным. Какой дали, с тем и работаем.
• Админы утром проснулись, увидели поломанную автоматику, увидели что-то про хосткей в новостях, не глядя приняли новый ключ (мой случай) и пошли пить утренний кофе.

❌🫵 А у тебя сломался пайплайн? А сразу? А точно между тем как сломался и как работал, он работал с нужным ключом? На этой радостной ноте пожелаю всем labos nakties, как говорят тут.

⚡️ Новый ключ, чтобы не искать SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s

Давайте продолжим тему защиты сайта ГРЧЦ от DDoS:
https://t.me/usher2/2618

Мне очень понравился этот стартап. Взлёт вызывающий зависть и восхищение. Зависть и восхищение. И всякое там ещё, включая ностальгию по кострам инквизиции.

ООО «Смартсистемс» (хостер eternalhost.net, который защищает сайт ГРЧЦ от DDoS) зарегистрировано 16 августа 2022 прошлого года. В декабре 2022 получены лицензии на телематику и передачу данных.

Генеральный директор ООО «Смартсистемс» засветился как ИП в Севастополе с конца 2016-го по конец 2017-го годов, с тематикой «рыболовство морское».

Учредитель ООО «Смартсистемс» с 100% долей держала ИП с 2017 по 2019 с тематикой «Предоставление услуг парикмахерскими и салонами красоты». С 2019 года ИП с «Деятельность web-порталов». Была до 2021-го учредителем какого-то мелкого ТСЖ в Кемерово.

Прекрасный карьерный рост от ноготков и ТСЖ до защитника от DDoS по спекулятивным ценам.

Возможно этому «хостеру» ещё и сервер (единственный) с проксей настраивали сотрудники ГРЧЦ.

Как тебе такое, Илон Маск?

Ну и на всякий случай скриншот с ИНН: 9717118860

🥛 У кого-то молоко убежало!

Гибнут стада, родня умирает, и смертен ты сам;
но смерти не ведает громкая слава деяний достойных.

⚡️⚡️⚡️ И вот это тоже они: https://ddos-attacks.net/

Минцифра разработала изменения в Правила централизованного управления сетью связи общего пользования. Вводится новый вид угрозы:
- угроза предоставления доступа к информационным ресурсам в сети «Интернет», обеспечивающим возможность обхода установленного законодательством порядка идентификации пользователей услуг связи и информационных систем и доступ к которым может способствовать совершению неопределенным кругом лиц противоправных действий, а также предоставлению доступа к иной информации, за распространение которой предусмотрена уголовная или административная ответственность.
https://t.me/Runet90fz/613

☝️ Пояснительная записка на удивление понятная. Там описана понятная проблема. Я могу быть против, но понятно, что вдруг зимой в Питере пошёл снег обнаружилось, что SMS-ки так себе идентификатор пользователя. Но традиционно, отсутствует какая-либо аналитика и какие-то выводы и умозаключения. Просто добавка в правила — подснежникам зимой цвести. Зачем цвести, почему цвести, почему подснежникам —осталось за кадром. Это всё, что можно сказать по сутевому содержанию (его нет).

🙈 А вот формулировку из нормы я не просто так вынес? Кто писал этот текст? Кто-то тестирует нейросеть на калькуляторах 80-ых, обученную по сочинениям школьников? Нет, это не юридический язык. Юридический язык это про «право» в каждой связке слов, про выверенность и хитрость, возможно про циклический граф умнО спрятанный в дереве рассуждения. Никаким правом российские нормативы уже годами не пахнут, особенно в телекоме. Канцелярит? Нет, канцелярит это этикет употребления терминологии. А тут какая-то каша, которая должна быть похожа на канцелярит. Как-будто бы сеть midjourney попросили изобразить логотип Роскомнадзора.

🤷‍♂️ У меня вопрос, который выбивать в камне уже можно — нахрена так написано?

❤️ Ну и дополню мнением со стороны: https://t.me/advokatneabashina/125
✅ Кстати, в выгрузке просто нет записей с таким основанием

🤷‍♂️ Вы же помните — я не настоящий общественник. Так, иногда в качестве гражданина с активной позицией что-то делаю. Ещё до начала специальной военной войны я попытался вести канал про Golang. Но война, вот это всё и я «не шмогла». Однако, я продолжил писать туда скучные посты про коров надоев и тонны угля.

💥 На днях я вдруг решил, что буду писать в канал то, чем достаю людей в рабочих чатиках, родственников и друзей, которые не всегда понимают о чем я.

👻 Какая сейчас тема самая популярная — конечно же Искусственный Интеллект! К сожалению, я не смог ни нарисовать Башню Гедемина в звездолётах, ни себя на рубке U-96. Потратил пару вечеров, в гневе купил и Midjourney 5, и GPT-4, и зачем-то Copilot... Причём тут казалось бы программирование?
https://t.me/waygolang/24

☝️ Живите теперь с этим! (L)

👽 Пятница ведь? Упорно ходят слухи про отключение Youtube. Подогреваются и Минцифрой, и непонятными людьми, говорящими про китайский спецназ, и вот это вот всё.

☝️ Моё мнение простое — это вопрос времени. И оттягивание носит исключительно политический характер. Все эти социалки раздражают власти и вообще как кость в горле. Чем одиознее власть, тем больше там про её одиозность и её раздражает. Ни для чего больше это никому не нужно. Но есть много «но». Что скажет разведка? Что скажут богохранимые айтишники? Да и вообще во время войны никто не хочет попасть в учебник как тот, кто нажал кнопку отключения Youtube, я думаю. Они там спички тянут, короче.

🔥 Что тут можно посоветовать? Как и раньше — готовьте VPN.

🤷‍♂️ А зачем? Моя мысль в том, что сигнал не остановить. Нельзя сидеть в своём коконе и развиваться. Любая информация оценивается критически человеком, даже если он не понимает этого. Закрытие информации обезличивает и дегуманизирует всё, что находится за информационным пузырём. Читайте, слушайте, смотрите. Байдена, Трампа, Путина, Си Цзыньпина, меня, etc

👉 Давно хотел посоветовать, но всё повода не было. А теперь есть. Сервис https://t.me/vpngen/5

💥 В чём фишка? Это просто VPN. Я люблю проекты, где «просто дистрибутив», «просто велосипед» и так далее. Это просто VPN. С простыми обычными технологиями. Поддерживается на гранты. Смысл модели распространения в том, что VPN раздаётся только закрытым группам — семьям, клубам. Но много групп. У каждой группы — свой выделенный VPN. Чтобы работать с группой, надо стать админом. Но, админка это РИСКИ, что уж. «Кому сейчас легко» (c) Г'Кар. Запросить админку можно через бот в Telegram. Небольшой квест, и вы — админ.

✅ Могу ли я поручиться за людей, которые делают этот VPN? Да

🫵 А ТЫ СДЕЛАЛ СВОЕЙ ГРУППЕ/СЕМЬЕ VPN?

#donate ⚡️⚡️⚡️ Время само себя не окупит, а посты сами себя не напишут. И софт сам себя не поддержит. Живу не на хлебе и воде, конечно. Не в землянке. И не в пустыне. Но шутки про «а вы видели долг Америки Фила?» уже уместны. Но помните — Солнце не взойдёт завтра (с)

🔵 Традиционные способы:

PayPal: https://www.paypal.me/schorsx
ЮMoney (бывшие ЯДеньги): https://sobe.ru/na/m2i2s077M0g2/

💰 Вы можете (и хотите) сделать меня модным криптомагнатом:

BTC: 18YFeAV12ktBxv9hy4wSiSCUXXAh5VR7gE
LTC: LVXP51M8MrzaEQi6eBEGWpTSwckybqHU5s
ETH: 0xba53cebd99157bf412a6bb91165e7dff29abd0a2
BCH: 1FiXmPZ6eecHVaZbgdadAuzQLU9kqdSzVN
ETC: 0xeb990a29d4f870b5fdbe331db90d9849ce3dae77
ZEC: t1McmUhzdsauoXpiu2yCjNpnLKGGH225aAW
TON: EQBrl8BNLWNVvmSCZDNexzoGQLIojnp4xNDT6Wf4AFX4S_57

✅ Партнёрские ссылки. Я пользуюсь в обычной жизни всеми этими сервисами:

🔸 UpCloud. Отличный финский хостер, мой зарубежный топчик:
https://upcloud.com/signup/?promo=245XQH
🔸 DigitalOcean. Я думаю, в рекламе не нуждается:
https://m.do.co/c/7368eb9b25b8
🔸 Netangels. Виртуалки в Екатеринбурге, мой российский топчик для тех, кто остался:
https://netangels.ru/?p_ref=u83334
🔸 Топовые виртуальные сервера в Москве: https://1bx.host/shop/vps/top-vps/ скидка 10% по промокоду usher2

Disclamer: Я не верю вообще ничему, что говорит Правительство. Тем более в военное время. Тем более, что Минцифра не Минобороны. Тем более, что не суд. Но мне нравится реакция Минцифры.

Поскольку я делаю чувствительный пост, я прошу много раз подумать, прежде чем обсуждает его у меня тут. Тем более, подумайте перед, как бравировать историями, начитанными в телевизоре.

Вкратце, Минцифра пояснила удаление кнопки удаления (разумно). И не побоялась произнести страшное про призыв и армию. Хотя, я считаю, что это не её компетенция.
https://t.me/mintsifry/1805

☝️ Вынесу немного из обсуждений

🌚 Для многих Госуслуги стали спасением. Я про уехавших. Особенно тех, кому уже никак назад. Или рисковано. Или не потянут по средствам. Госуслуги оказались имбой для эмигрантов. Удаление аккаунта смерти подобно.

👺 Конечно же активизировались мошенники. Звонят, предлагают удалить аккаунт, просят прислать код из SMS. И вы внезапно становитесь обладателем ламборджини 🏎

🤡 Коллега пишет, что 1 апреля претендует звание профессионального праздника «Гостеха»:
https://t.me/CynExp/4178
https://t.me/CynExp/4179
https://t.me/CynExp/4180