Эшер II A+
16.2K subscribers
503 photos
28 videos
73 files
2.03K links
Канал «Неугомонного Фила» про блокировки
Сайт: https://usher2.club
Бот: https://t.me/u2ckbot

VPN: https://t.me/FarscapeBot

Поддержите меня: https://t.me/usher2/2424

#позиция #ликбез #donate
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
Forwarded from Ivan Begtin (Ivan Begtin)
У Минкомсвязи (официальное сокращённое наименование - Министерства цифрового развития и т.д.) не открывается нормальным образом сайт под https потому чтор работает он с сертификатом Symantec который постепенно Google выводит из поддержки в Google Chrome.

Если открыть сайт https://minsvyaz.ru в Google Chrome то можно увидеть предупреждение безопасности.

Ситуация смешная сапожника без сапог.
#security
Forwarded from Ivan Begtin (Ivan Begtin)
3-ю часть исследования про персональные данные из государственных информационных систем я не публиковал сам, а передал РБК. Почему? Вы поймёте это прочитав только что вышедшую статью https://www.rbc.ru/politics/15/05/2019/5cdac8469a79479a27bd4eca о том чьи паспортные данные оказались в открытом доступе. И не только паспортные данные.

В открытом доступе я на днях опубликую открытую часть, без методик воспроизведения.

После прошлой публикации мне "оборвали телефон" журналисты так что сразу ответы на несколько вопросов:
1. Всё это было передано журналистам через 8(!) месяцев после того как материалы передавались Роскомнадзору и они даже отвечали в форме "с чем-то мы согласны, с чем-то несогласны". Роскомнадзору это передавалось после того как значительно ранее часть госорганов я предупреждал что такая проблема в их информационных системах есть, не прореагировал _никто_.
2. По наиболее серьёзным утечкам перс-данных органы власти, операторы систем были предупреждены ещё 8 месяцев назад, а то и раньше. Некоторые по нескольку раз. Лично я понял что механизм предупреждения любыми неформальными способами - не работает.
3. В этот раз проблема не в объёме, а в том чьи данные раскрываются.
4. Особо про Минюст. Я скажу максимально вежливо - очень много вопросов по профессионализму тех кто ведёт их реестры. Утечки перс данных - это лишь один из примеров крайне низкого качества данных в целом.

И да, конечно же, это не все государственные информационные ресурсы на которых публикуют персональные данные. Это та их часть до которой у меня дошли руки полгода назад всё задокументировать.

Самый быстрый способ со мной связаться это почта ivan@begtin.tech или телеграм https://t.me/ibegtin
Я обычно, почти никогда не беру звонки с городских телефонов, и могу не взять звонок с неизвестного телефона если сижу на совещании. Поэтому лучше писать чем звонить.

Но в принципе в статье в РБК всё понятно изложено.

#privacy #security #personaldata
#security ⚔️ Пока там закон о «сувенирном Рунете» не заработал, поработаю немного за государство на страже, так сказать, устойчивости этого самого Рунету.

⚡️ У нас тут в мире случайно зомби-апокалипсис:
https://cpu.fail/

‼️ В процессорах Intel нашли новую критическую уязвимость, которую назвали ZombieLoad. Уязвимость позволяет злоумышленнику, запустившему специально подготовленный код на компьютере, почитать произвольные данные, к которым имеет доступ процессор. Например, историю посещений браузера в реальном времени, данные соседних «виртуалок» в «облаке». Уязвимость требует возможности запуска кода на компьютере и не позволяет заражать или запускать что-то, но позволяет всё читать. Intel уже выпустил микрокод для исправления уязвимости. Говорят, 3%-9% потерь производительности. Но вот Apple утверждает, что только отключение Hyper-Threading и 40% потери производительности:
https://support.apple.com/en-us/HT210108

☝️ Обновляйтесь. Особенно, если вы в облаках. Да, виртуалки тоже надо обновить.
Forwarded from Ivan Begtin (Ivan Begtin)
Я вот уже несколько дней отказываюсь комментировать журналистам всё что связано с мобилизацией, войной, информатизацией военкоматов. Сейчас предостаточно политологов которые комментируют происходящее чуть ли не ежеминутно.

Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.

Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.

Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).

УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.

Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.

Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать

#security #privacy