@schors

Тег usher2 в блоге schors

schors

#dns ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Пришлось сверлить сейф. Реальный физический сейф. Процедура затянулась, сейф успешно вскрыли, но с опозданием:
https://twitter.com/joao_da.../1228801833394565121

Мировой DNS спасен. Церемония была проведена:
https://twitter.com/kjd/status/1228868749622566912

Видео с церемонии можно посмотреть на официальном сайте IANA:
https://www.iana.org/dnssec/ceremonies/40

P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC https://telegram.me/joincha...6jEUFFW5TFS1s3pZMMjg и мой канал

schors

Основатель сайта Луркоморье Давид Хомак начал серию рассказов об истории Лурка. Рекомендую. Он очень просто, без пафоса рассказывает как всё получилось. Давид вообще очень простой открытый человек

К сожалению, https://lurkmore.to/ заблокирован. Хомак стоял на передовой борьбы с цензурой когда это не было ещё модным

schors

Немного с запозданием, но на очереди за «отведать Филовых люлей» самый настоящий российский суд. А именно печально известный Таганский районный суд города Москвы. В конце января 2020 года Таганский районный суд города Москвы удовлетворил иск Роскомнадзора к Scryptmail.com за отказ предоставить данные для внесения в реестр операторов распространения информации:
https://www.mos-gorsud.ru/r...a0-af1d-02de0a4d62f8

Собственно, 5-го февраля суд вынес решение о том, что сервис scryptmail.com должен быть заблокирован «до исполнения указанным организатором распространения информации в сети «Интернет» установленной законом обязанности по предоставлению в федеральный орган исполнительной власти в области обеспечения безопасности информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». И в таком виде оно провалялось долго

Но когда это понеслось по СМИ, сам Роскомнадзор (вероятно присутствовавший на суде и видевший резолютивную часть решения) метнулся в суд с исправлениями и «суд приходит к выводу о наличии описки в резолютивной части решения суда по указанному гражданскому делу, в части лишнего написания в абзацах 2, 3, 4 фразы «по предоставлению в федеральный орган исполнительной власти в области обеспечения безопасности информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений»». Спасибо каналу https://t.me/gip_24/4984 за внимательность

🔥 Результат и обоснование конечно не изменились, но суд не просто удалил эти два абзаца, он вообще перефразировал всё решение. При таком жонглировании правом, я не удивлюсь, если и иск Роскомнадзора был корявым и под копирку написан с Telegram. А зачем изменили? А чтобы подогнать под новость Роскомнадзора:
https://rkn.gov.ru/news/rsoc/news71784.htm
В ней идет отсылка на исполнении обязанностей статьи 10.1 ч.2 закона «об информации»

В свойствах документа отсутствует дата. Внутри стоит 05 февраля, но это скорее всего задним числом, на сайте суда истории с изменением решения не отражено

schors

Позже всех. Ну почти. 14 февраля 2020 года Роскомнадзор по решению Генпрокуратуры заблокировал немецкий сервис электропочты tutanota.com. Впервые услышал о нём из новостей. Позиционирует себя как защищенный сервис (у него есть русский язык и описание, что именно он имеет ввиду):
https://tutanota.com/ru/secure-email
Вошли во вкус, так сказать.

👉 Интересное наблюдение (повторяюсь). Очень часто мелькают сообщения, что хулиганы используют сервисы «защищеной» электропочты. И вот на tutanota написано, что это «защищенная» электропочта. С объяснением. А вы прочли его? Но портрет хулигана(ов) понятен. Или нет никаких хулиганов, а это формальная подстава почтовых сервисов? Время покажет

☝️ Заблокированы все IP серверов, основные домены по URL (неясно зачем) и все поддомены, которые смогли найти по домену. У tutanota прописаны IP, с которых может исходить почта, остальная почта должна отбрасываться. И эти IP заблокированы

🔥 Почтовый сервис выкладывает в общий доступ код своего продукта:
https://github.com/tutao/tutanota
Чтобы два раза не вставать, есть подобные веб-интерфейсы со свободным кодом:
https://www.mailpile.is/
https://www.rainloop.net/

😎 Напомню своё отношение к происходящему:
— Господа! А пойдемте купать коней в шампанском!
— Поручик, вы же вчера все деньги проиграли.
— Ну, давайте тогда хотя бы кота пивом обольём!

schors

⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Вот начали сверлить сейф. Не фигурально. Реально сверлить физический сейф:
https://twitter.com/joao_da.../1228382028808114177

☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»

🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»

schors

⚡️⚡️⚡️ Минцифра уведомила о начале разработки законопроекта о «больших данных». Как и при прошлом министре, и при позапрошлом, и при его предшественнике и так далее, уровень описания разрабатываемого министерством документа — «Бог». Впрочем, вы можете убедиться сами:
https://regulation.gov.ru/p/99549

schors

Мировой суд Таганского района города Москвы оштрафовал Facebook и Twitter на 4млн рублей каждого за неисполнение обязанности размещать данные российских пользователей на территории России.

На этом же основании в своё время была заблокирована социальная сеть LinkedIn в августе 2016 года. Twitter и Facebook уже получали штрафы за это же — 05 апреля 2019 года был оштрафован Twitter на 3000 рублей, а 12 апреля 2019 года был оштрафован Facebook на 3000 рублей. История с угрозами Facebook и Twitter длится с самого начала 2017 года, но пока ничем серьёзным не оборачивалась

Заблокировать соцсети власти побоялись, но зато приняли поправки к закону, увеличивающие штрафы для этих компаний. Власти полагают, что это принудит соцсети пойти на диалог

schors

И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)

✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1:


Видео Часть 2:

Видео Часть 3:

Видео Часть 4:

Видео Часть 5:

✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/...d-practice-116166410
Видео:

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)

schors

🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC

Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana.../1227600447289974786

Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен

Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием

schors

⚡️⚡️⚡️ ОФИГЕННАЯ СТАТЬЯ ОТ ХАБРА

Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все годы
https://habr.com/ru/company/habr/blog/488088/

Подробно по вариантам запросов от органов власти. С хорошими и плохими примерами и упражнениями

Чем-то похоже по стилю на моё 2012 года:

(в кассу, рекомендую посмотреть, повздыхать о временах с другим солнцем и травой)

schors

⚡️ Ведомости и РБК пишут, что Жаров поменяет работу:
http://vdmsti.ru/bb9E
https://www.rbc.ru/technolo...e65c9a7947ba3b9572e1

Пресс-служба Роскомнадзора сообщила каналу "Эшер-II", что не обладает такой информацией

Честно говоря, я не знаю, что делать с этой информацией. Какой-то слух-предсказание

schors

⚡️⚡️⚡️ The Bell и «Медуза» пишут о том, что летом ФСБ рассылала официальные требования ОРИ (организаторам распространения информации) предоставления круглосуточного доступа к переписке, ключи шифрования и вот это вот всё. Есть треки почты:
https://meduza.io/feature/2...moskovskih-protestov
https://thebell.io/fsb-potr...episke-polzovatelej/
Отследили письма Mail.ru, Хабру, хостеру виртуалок vdsina…
«Интернету, который мы знали, пришел конец», — именно так оценил происходящие один из владельцев сервиса-организатора распространения информации (ОРИ), который прошлым летом получил от ФСБ письмо с требованием дать онлайн-доступ к серверам компании и сессионным ключам пользователей

‼️ Давайте расширю интигу: https://www.pochta.ru/tracking#11512736100078
Это Кех-коммерс. Листать вверх и вниз на примерно 50 итераций. Последний разряд контрольный. Реальный итеративный предпоследний

👉 А вот и само письмо, давно опубликованное в канале Зателеком:
https://t.me/zatelecom/12870

👆 Законно ли это? Да, к моему ужасу. Закон об ОРИ — самый безумный закон регулирования интернет-сервисов. Именно с ним связана блокировка телеграм и последствия. Его положения несовместимо противоречат фундаментальным основам информационной безопасности. Это делает его практически неисполнимым с точки зрения безопасности и приватности. Обратите внимание, я не употребил слова «анонимность», «вседозволенность» и прочее

⚠️ Процедуры закона дают силовикам ускоренный и расширенный доступ к данным пользователей. Однако, и ранее им редко отказывали. Неизвестно, использовали ли данные переписки для оперативной разработки реальных преступлений. Зато на поток поставлена ловля сболтнувших лишнего. Владение ключами и сессионными ключами делает доступ к информации бесконтрольным, с возможностью вмешиваться

schors

❌ В реестре осталось 39 подсетей «ковровой блокировки»
➡️ 557056 (76%) Digital Ocean
➡️ 65536 (9%) Hetzner
➡️ 32768 (4%) Online.net
➡️ 32768 (4%) Network Layer
➡️ 19456 (3%) BlackBerry
➡️ 15360 (2%) Telegram
➡️ Всё остальное по мелочи

Роскомнадзор пояснил, что он давно блокировал 2млн IP-адресов нейпойми зачем:
https://www.interfax.ru/russia/694863

Впрочем, смысл блокировки указанных выше подсетей тоже не ясен

schors

⚡️⚡️⚡️ В 3 часа ночи по Москве Роскомнадзор внезапно вычистил поштучно 2млн. IP-адресов из реестра. Сейчас поштучно заблокировано 16458, подсетями 732394 IP-адреса. Какую роль выполняют большинство оставшихся подсетей — не ясно. Выгрузка «похудела» со 160Mb до 107Mb

schors

У нас тут очередное показательное выступление умения работы уровня «Бог». Напомню, сегодня 10-ое февраля. Речь идёт о событиях, открывшихся 07 февраля

«В социальных сетях появились сообщения о скачке радиации на юго-востоке Москвы. Одно из них опубликовал в Facebook муниципальный депутат от района Печатники Сергей Власов.
К посту он прикрепил видео, снятое рабочими предприятия «Радон», специализирующегося на обращении с радиоактивными отходами, утром 7 февраля»
https://lenta.ru/news/2020/02/09/skachok/
https://www.facebook.com/vl...os/3552527338155831/

Экспертное пояснение с экспериментами. Я не знаю как это проверить:
https://www.facebook.com/vl..._id=3556272397781325

Гендиректор ФГУП «Радон»:
«На юго-востоке столицы 7 февраля мы установили новый датчик, который работает пока в тестовом режиме. В связи с чем возможны кратковременные сбои. Вокруг него стоит действующая система, и она никаких превышений радиационного фона не зафиксировала. Это технический сбой данного оборудования, не более»
https://realty.ria.ru/20200210/1564467905.html

Я нормально отношусь и к ядерной энергетике, и к тому, что техника не ходит строем — бываю и аварии, и сбои счетчиков. Меня расстраивает принцип работы с информацией: «Ничего не произошло». Да нет, произошло уже — поползли слухи. Может имеющие основание, а может и нет. Но в XXI веке с этим придётся работать

Хотелось бы повторить цитату канала Ватфор, относящуюся к другому ядерному инциденту, но не потерявшую актуальность:
«Штирлиц, дайте мне какую нибудь версию, в которую не стыдно поверить, а не историю про крокодила, которого вы задушили голыми руками, а какой-то поц взял и сделал из него чемодан русской радистки, не стерев ваши отпечатки пальцев»
https://t.me/vatfor/4672

Поздравляю. Очередной акт по подрыву авторитета официальных заявлений — ПОТРАЧЕНО. Потому что официальные заявления или отсутствуют, или скрывают что-то. Вы своими руками (точнее языками) создаёте индустрию фейковых новостей. И потом героически боретесь с проблемой, которая существует только из-за вас самих

schors

⚡️⚡️⚡️ Авторитетнейший ресурс российского IT-сообщества «Хабрахабр» покинул Россию ⚡️⚡️⚡️

👉 Сегодня при логине на «Хабр» пользователям выдается сообщение об изменениях в пользовательском соглашении c 07.02.2020. Соглашение с новым юрлицом «Хабр Блокчейн Паблишинг ЛТД» с офисом в Никосии (Кипр):
https://account.habr.com/info/agreement/

👆 Вероятнее всего это связано с нежеланием «Хабра» выполнять мероприятия связанные с обязанностями Организатора Распространения Информации (ОРИ). Мероприятия подразумевают бесконтрольный доступ силовиков к информации о пользователях и их переписке, предоставления ключей шифрования силовикам, включая журнал сессионных ключей, хранение всей информации несколько лет в интересах силовых ведомств

ℹ️ «Хабр» существует с 2006 года. Является одним из самых авторитетных и популярных IT-порталом России. 24 сентября 2014 года ресурс был внесен в реестр ОРИ под №6. «Хабр» является одним из немногих российских ресурсов, ведущих так называемый «транспаренси репорт»: https://habr.com/ru/info/transparency/

schors

Сегодня время платить за хостинг. Регулярный бюджет проекта наконец-то стал строго дефицитным. Всё когда-то кончается и начинается что-то новое. Последние почти два года были задорными, было много славных охот. Что-то я сделал, что-то не доделал. Но мне кажется, мы все вместе смогли показать, что есть жёсткая позиция и «на авось» не прокатит. Как только я «съем» накопленный «фонд» (примерно месяца 2-3), я потихоньку начну закрывать ресурсы. Такой Путь

☀️ Пожертвования по подписке:
https://www.patreon.com/usher2

⭐️ Традиционные способы:
PayPal: https://www.paypal.me/schors
Яндекс.Деньги: http://yasobe.ru/na/schors
WMP: P603777732896
WMZ: Z991867115444
WME: E261636674470
WMX: X862559021665

🏵 Сделать меня криптомагнатом:
BTC: 18YFeAV12ktBxv9hy4wSiSCUXXAh5VR7gE
LTC: LVXP51M8MrzaEQi6eBEGWpTSwckybqHU5s
ETH: 0xba53cebd99157bf412a6bb91165e7dff29abd0a2
ZEC: t1McmUhzdsauoXpiu2yCjNpnLKGGH225aAW
DGE: D8cZwBsVp1hW4mjTCgspEKG5TpPZycTJBn
BCH: 1FiXmPZ6eecHVaZbgdadAuzQLU9kqdSzVN
ETC: 0xeb990a29d4f870b5fdbe331db90d9849ce3dae77
WAX: 0xba53cebd99157bf412a6bb91165e7dff29abd0a2

✈️ Бонусные программы:
Аэрофлот-бонус: 1045433852
S7-бонус: 929102200

🍭 Мой вишлист: http://mywishlist.ru/me/schors

schors

Позже всех. Ну почти.

03 февраля 2020 года в Госдуму был внесен законопроект «об электропочте». Автор — сенатор Алексей Юрьевич Русских от Московской области, КПРФ:
https://sozd.duma.gov.ru/bill/893620-7
Алексей Юрьевич очень трогательно в своей наивности на 37 листах описал простенькую систему документооборота, почему-то обозвав её электропочтой. Сама цель интересная, но сделана в стиле студента-первооткрывателя

😂 «Копии текста проекта федерального закона и сопроводительных документов на магнитном носителе на 1 CD-диске»

☝️ Алексей Нилов, подсказавший мне про CD, считает это не очень важным. А я считаю, что в законодательной деятельности и в управлении государством нет мелочей. И это чуть ли не важнее наивного безграмотного заискивания перед силовиками в тексте

✅ Человек думал над системой, скурпулёзно всё описал и верит во всё, что писал. Это выгодно отличает данный законопроект от словесного мусора произведений Клишаса, Боковой или Горелкина. И это так мило

☝️ Это конечно не электронная почта. Ни по описанию, ни по предположению, ни по целям использвания. Грубо говоря, законопроект предлагает унифицировать обмен значимыми документами между госорганами, гражданами и организациями, создав единого брокера этих сообщений

😱 В документе ничего нет про «flow», процессы, но очень подробно расписана политика доступа. С совершенно наивным предоставлением силовикам полного доступа с правом на запись. В том смысле, что они могут отправлять письма от чужого имени (статья 14 пункт 2 законопроекта). Спасибо Алексею Нилову за наводку

❌ От создателей «долго объяснять». Моё стойкое мнение, что нельзя законом устанавливать алгоритм работы системы документооборота. Результат будет крайне неповоротливым

✅ Один автор. КПРФ. Тема не муссировалась. Требует расходов. Дублирует часть существующих систем… Шанс того, что это не останется просто поводом для «хи-хи» в телеграм-каналов, не велик

schors

Таганский районный суд города Москвы удовлетворил иск Роскомнадзора к Scryptmail.com за отказ предоставить данные для внесения в реестр операторов распространения информации:
https://www.mos-gorsud.ru/r...a0-af1d-02de0a4d62f8

Хотя поводом конечно стали письма о ложных минированиях

‼️ Сервис Scryptmail 26 октября 2019 года объявил о закрытии:
https://blog.scryptmail.com...ntinuing-of-service/ с 31 января 2020 года сервис перестанет существовать. Там действительно давно нельзя зарегистрироваться. Геройские герои из ФСБ и Роскомнадзора всей мощью российского правосудия храбро побороли «лежачего»

⚠️ Сервис коммерческой почты mailbox.org (кстати, они прикольные) избежал иска. Претензии были отозваны Роскомнадзором ввиду того, что сервис предоставил информацию для внесения в реестр ОРИ. Это может значить что угодно. Telegram тоже в свое время предоставил (хоть и не сам)

schors

Ещё немного про блокировку электропочты Protonmail

👉 В отличие от Startmail, Protonmail имел заметное количество пользователей из России. В том числе и коммерческих. Это бизнес и Protonmail не доволен ситуацией. Но сильно удивлен:
https://protonmail.com/blog/russia-block-2020/
Они пишут, что осуждают эту блокировку, но ведут переговоры с российскими властями о решении проблемы «To continue providing services to our users in Russia, we are currently reaching out to Russian authorities to contest the block as we believe it to be disproportionate, unjustified, and counterproductive». Вместе с тем, они ищут решения, которые будут помогать обходить блокировку сервиса «In parallel, we are also working on other solutions that would allow service to be restored without requiring the usage of Tor».

👉 Это важно, но уже обыденно. Protonmail резонно утверждает, что они сотрудничают с силовиками и властями в правовом поле. И говорят, что будут сотрудничать со швейцарской полицией. Я отдельно поясню — это нормальное поведение любого лица в отношении стремных запросов иностранных по отношению к этому лицу властей. Если я как российский хостер выдам данные своего клиента по запросу Агенства Национальной Безопасности США, то я скорее всего даже до границы добежать не успею. Прямое взаимодействие с «чужими» силовиками — это утопия, а требование этого — наглая неприкрытая «заводка»

‼️ НАПОМНЮ. Заблокировали Protonmail не за отказ выдачи сведений, и не за отказ предоставить данные для включения в реестр Организаторов Распространения Информации (ОРИ), а по притянутой за уши статье «недостоверная информация, нарушающая работу критической инфраструктуры»

☝️ Теперь интересное. Protonmail утверждает, что им не поступало никаких требований от российских властей. Это похоже на правду. «Наши» вообще никогда не утруждают себя посчитать сопутствующий ущерб, если это не будет явно иметь общественного резонанса. Подобное уже было год назад, когда Protonmail пытались заблокировать «звонковым правом»:
https://twitter.com/RuslanL.../1105056615127019520

⚠️ Кстати, у Protonmail есть отчет о запросах властей и силовиков, они в своём блоге пишут, что Швейцария в общем случае вполне себе читает и обрабатывает жалобы от силовиков и властей других стран. Можно проверить:
https://protonmail.com/blog/transparency-report/
А у «наших» много у кого есть? А у Роскомнадзора/Генпрока есть отчет о посылаемых запросах? Зря

😱 Всегда знал, что перед своей новостью надо заглянуть в оригинал инфоповода. К сожалению, на это нет времени. Я уже три норматива всем задолжал. Но хочется кушать. Наверное все уже читали, что Protonmail сообщил, что заблокировал учетные записи с которых писали письма о минировании. Но стоп, ведь к ним не обращались власти, скажете вы? И будете правы. Protonmail пишет дословно: «Our investigation confirmed that bomb threats were indeed sent from ProtonMail, and we obtained copies of the emails sent from our systems from third-party sources. All accounts involved have now been identified and permanently disabled» («Наше расследование подтвердило, что угрозы взрывов действительно посылались с Protonmail, и мы получили копии писем, отправленных с нашего сервиса, из третьих рук. Все учетные записи, участвовавшие [в рассылке угроз], были выявлены и навсегда отключены»)
У меня очень смешанные чувства на тему отключения учетных записей на основании сообщений третьей стороны…

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.