У Роскомнадзора немного полыхнуло от новостей про их скрипт, лазающий по компьютерам пользователей. Но только в социалочках. В новости они решили это не выкладывать:
https://vk.com/wall-76229642_205133
https://www.facebook.com/ro...467/2257555551189880

«Сайт Роскомнадзора является частью единой информационной системы федеральной службы, к которой предъявляются особые требования по обеспечению безопасности.

Javascript является частью модуля обеспечения безопасности внешнего контура Единой информационной системы Роскомнадзора, осуществляющего защиту на стороне клиента от CSRF-, XSS-атак, а также предназначенного для обнаружения ботов и средств взлома.

…

Ни о каком сборе данных о пользователях речи не идет.»

Роскомнадзор, я сейчас всё объясню. Слушайте очень внимательно. Это важно.

👉 Во-первых, ваш сайт работает крайне плохо. Я попробовал посмотреть по России через RIPE-Atlas — картина удручающая. Около 20% проб до него достучаться не могут. Посмотрите своим АС «Ревизор». Первые два месяца после начала блокировки Телеграм и вообще было легче сказать, где он работает. Ваша защита от DDoS — профанация. Хотя не знаю, может в «особых требованиях» было «не работать почти всегда за большие деньги».

👉 Во-вторых, это правда. Ваш js-скрипт ищет довольно специфические средства… довольно специфическими, хотя и вполне безобидными методами. И главное — бестолку. Знание, что наверное у вот этого посетителя стоит набор утилит для пентеста, оно в рамках веба довольно бесполезное. Буду честным, фильтры «антивсё.js» не то чтобы непопулярны. Подобный вашему скрипту стоит на hh.ru (правда, после логина).

👉 В-третьих, конечно же идёт речь о сборе данных. Вы «погладили пользователя по плечику» и на любой странице сайта, и на странице отправки формы с запросом и персональными данными. И конечно же данные пользователей собирает счетчик, который затягивается вот так: https://stat.sputnik.ru/cnt.js И никто не знает, что вы там дальше делаете с данными об установленных утилитах, плагинах, движениях мыши.

🎯 А теперь к сути. Не то чтобы ваш сайт был оригинальным в слабой ответственности к прайваси пользователей сайта. Но вместе с вашими заявлениями о каких-то там строгих публикациях политик по сбору данных разными метриками в адрес неких определенных выглядит это кошмарно. Я бы сказал, что это выглядит как лицемерие и сильно избирательное правоприменение. А некоторые даже могут подумать, что это — политическая цензура. А со стадией такого нелепого отрицания в социалочках — это выглядит ещё и тошнотворно.

Я так понимаю, рекламная пауза за счет Раша Тудей, Её Величества, Офкома и Роскомнадзора. Итак, канал "BBC. Русская служба новостей": https://t.me/bbcrussian

И правда. Не требованиями же разъяснений по опечаткам в решении судов нам заниматься. Это скучно и не модно

"Поскольку наше ведомство в целом поддерживает общенациональную политику экспорта понтов и обидок....":
https://t.me/usher2/705

На главной сайта Роскомнадзора http://rkn.gov.ru в коде страницы есть такой Javascript:
https://rkn.gov.ru/5a71c95863f38b1dcfcbb763.js
Он зачем-то ходит (сам) по разным портам на 127.0.0.1 (т.е. по вашему компьютеру или мобильному телефону, или планшету, или косметичке — чем вы там пользуетесь для хождения на сайты) и что-то отсылает на сервер Роскомнадзора (если там что-то есть).

То, к чему он «ломится» — это какие-то отладочные утилиты и/или прокси тестов безопасности. Не ясно зачем это нужно Роскомнадзору. Может это самозащита разработчиков, которую забыли убрать из рабочей версии. Может это сбор информации о подозрительных машинах в сети. Но факт — информация о вашем компьютере собирается не то чтобы с вашего ведома. Причем не то чтобы публичная информация, которую вы хотели бы обнародовать.

14 марта 2018 года. Шесть вечера по Москве. Атака с использованием уязвимости в системе блокировок Роскомнадзора (до сих пор кстати присутствует) на несколько часов положила заметную часть сети Транстелекома. Хочу отдельно отметить, что проблема тут не техническая. Можно сделать показательные выводы о глобальном отношении регулятора и надзора к ситуации:
1. Эффективность блокировок имеет приоритет над устойчивостью сети.
2. Нулевой уровень организации процесса, включая обратную связь, признание проблемы, движение по направлению решения проблемы.
https://usher2.club/articles/ttk-strike/

Сейчас вижу во многих СМИ заявления, в социалках какое-то обсуждение о том, что законопроект в том числе защитит россиян от ужаса хождения внутреннего трафика через зарубеж. Депутаты где-то вскользь ссылаются на какую-то «Цифровую Экономику» (что бы это словосочетание не значило) и цифру 60%... Так вот 60% — это тот самый опасный фейкньюз, о котором говорили... во чёрт, те же самые депутаты с теми же фамилиями (законопроект о борьбе с недостоверной информацией подали в Думу абсолютно те же лица). В «Цифровую Экономику» эту цифру запихала Минкомсвязь. Понятно зачем — именно вот под эти проекты про защиту критической и не очень инфраструктуры. А как ситуация обстоит на самом деле? А вот так: https://t.me/usher2/214

"Сегодня Коммерсантъ опубликовал новость о некоем документе Минцифры (https://www.kommersant.ru/doc/3682450), ", который подразумевает более жесткие требования по информационной безопасности. Согласно предложению, доля внутреннего трафика рунета, маршрутизируемого через иностранные серверы, не должна превышать 5% к 2024 году." (цитата из Коммерсанта).

А теперь следим за руками. В моём распоряжении оказался отчет о фактическом состоянии маршрутизации внутрироссийского трафика через зарубежные сети (https://drive.google.com/…/...9gEm99FmkmS2E…/view) Ассоциации документальной электросвязи от 30 ноября 2017 года. В исследовании принимали участие широкополосные операторы связи, включая Ростелеком. В Заключении указано "максимальный объем петлевого трафика (по превалирующим направлениям) от общего объема трафика, получаемого из за рубежа, составляет 2,37 %, среднее значение – 1,61 %."

И действительно, давайте к 2024 году уменьшим долю трафика через зарубежные сети с 2.37% до 5%. Оставлю это без дополнительных комментариев. Пусть теперь Минцифра не спит"

Один из авторов законопроекта об автономном интернете — Людмила Бокова — ответила на радио «Говорит Москва» на острые вопросы по законопроекту:
https://govoritmoskva.ru/news/183037/
У меня есть пара комментариев по её, несомненно продуманным, пояснениям...

👆🏻«Это всё в рамках тех ассигнований, которые выделяются РКН, и то, что заложено в рамках программы «Цифровая экономика». То есть, никаких дополнительных ресурсов в бюджет не планируется заложить.»

🔥 Это какая-то бессмыслица. В проект «Цифровая экономика» заложен огромный бюджет ещё несуществующего закона? А так можно было? Или от чего-то откусят? Но «откусят» надо ведь прописать. Нельзя так просто взять и откусить от уже прописанного бюджета. Или там был бюджет «на что-то»? А так можно было? Однако никаких изменений в законы и акты я в сопроводительных письмах не вижу. Это спорное частное мнение получается, а не ответ. Пока что инфраструктуру предполагается строить за счет марсиан.

👆🏻«Всё-таки мы проходили весьма болезненно некоторые законы, которые были обременительны для реализации операторам»

🔥 Девушки, вы там только не подеритесь

👆🏻«Никаких ограничений к зарубежным серверам не будет, это всё-таки больше меры на случай неких нестандартных ситуаций – доступ к нашим сайтам и доменам, сервисам, будет сохраняться в рабочем режиме. ... Мы уже видели...»

🔥 Забавно, а я вижу в самом начале документа установку неких технических средств, которые будут вместо фильтров и отменять все существующие нормативы по блокировках. Прямо прописано снятие с провайдеров ответственности и обязанности по фильтрации, а вот технические средства — «чёрный ящик». В рабочем порядке, говорите? Да мы тоже «уже видели»....

👆🏻«... были сбои – всем известный, например, Росреестр, когда немножко лихорадило...»

🔥 Росреестр лихорадило потому что у кого-то датацентр перегрелся и кто-то не смог решить проблему в адкватные сроки. Причем тут западные партнеры и вот эта новая инфраструктура? Которую Вы кстати отдали на откуп тому самому органу, от которого обычно в последнее время интернет и лихорадит... Где логика?

👆🏻«Там не только РКН, но и другие подконтрольные структуры, в том числе и центр мониторинга, который в рамках закона прописан»

🔥 Напомните, Людмила, а Вы собственный законопроект читали? А кроме него что-нибудь? Нет, я не имею ввиду стихи Есенина или там эпос Толкина. Я про законы, нормативы? Ваш законопроект прописывает, что Центр Мониторинга создается на базе ГРЧЦ, который в свою очередь является подведомственной организацией Роскомнадзора. Это демонстрация так называемых «фейкньюз», которые Вы же позавчера грозились запретить в своем же законопроекте?

Не очень понятна модель угроз. Момент отключения России от глобальной сети будет означать, что мы уже воюем со всеми, - сказал Би-би-си создатель сервиса статистики заблокированных IP-адресов Usher2.club Филипп Кулин. - В такой ситуации нужно будет думать, как выращивать картошку в условиях ядерной зимы, а не об интернете
https://www.bbc.com/russian/news-46566886

Michael Klimarev пишет у себя ( https://t.me/zatelecom/7876 ):

Секция «Интернеты» на Общероссийском гражданском форуме. Запись.

В теме:
1. Артем Козлюк с вступительным словом
2. Ваш покорный слуга с быстрым рассказом про исследование «открытости телеком-компаний» (кстати, полный отчет тут: https://digitalrating.ru/)
3. Алексей Шевлев из Хабрахабра про то, как они написали первый в России транспаренси репорт
4. Станислав Козловский из российской Викимедиа (Википедия) про то, как они работают с этими вот вашими трщ-майорами и РКН, конечно.
5. Дмитрий Мариничев, интернет-омбудсмен.
6. Денис Лукаш «Центр цифровых прав»
7. Дмитрий Казьмин директор фонда «Медиастандарт» (он еще член общественного совет при РКН — не знаю его, но послушайте)

еще там дискуссия и в эпизодах есть Фил Кулин, Андрей Щербович и Владислав Минаков из ГРЧЦ.

Я думаю, что имеет смысл посмотреть@послушать, если вы хотите вообще понять, что происходит.

Жаль, не было Екатерины Шульман, да. Но она мимо пробегала. И Собчак. И Чубайс.

⚡️ В Госдуму внесен законопроект об обеспечении автономной работы сети. Вкратце — обязательный ГосDNS, ГосМаршрут. Рулить всем этим будет Роскомнадзор, который годами не может поправить обратные слэши проституткам Кызыла. Выполнение обязательно для всех, не только провайдеров:
http://sozd.parliament.gov.ru/bill/608767-7

🍽 Сегодня провайдеры Приморского края получили просьбу Роскомнадзора собрать статистику по абонентам, посещающим популярные зарубежные интернет-магазины. Судя по всему преследуется цель выявить, сколько там персональных данных россиян. Заинтересованным лицом указывается сам руководитель службы — Александр Жаров.

«В целях исполнения поручения руководителя Роскомнадзора А.А. Жарова о необходимости проведения оценки количества потенциальных пользователей сети Интернет на территории Дальневосточного федерального округа, которые представляют свои персональные данные интернет-сервисам Китая, просим определить количество абонентов посещающих наиболее популярные интернет-магазины Китая (период 01.01.2018 по 30.11.2018):
1. Aliexpress.com
2. Banggood.com
3. Buyincoins.com
4. Gearbest.com
5. Dx.com
6. Dinodirect.com
7. Shareasale.com
8. Lightinthebox.com
9. Tinydeal.com
10. Tomtop.com
Данную информацию, а также сведения о количестве абонентов на территории Приморского края, которым предоставляются телематические услуги связи, просим предоставить не позднее 17.12.2018 в адрес Управления Роскомнадзора по Приморскому краю»

Подписанное электронной подписью письмо имеется в моём распоряжении. Тут есть целых три нехороших момента. Первый — технический. Вообще это технически возможно, но требует какой-то заметной работы и пропуск трафика через фильтрующее оборудование с логгированием. Второй — преступный, это вообще-то запрещенная законодательством слежка. Да, требуются обезличенные данные. Но до момента обезличивания они должны быть с сортировкой по абонентам, что вообще является сбором вполне себе личной информации и слежкой. УК РФ Статья 137. Третий — превышение полномочий. С какого перепугу операторы связи вообще должны заниматься (тратить рабочие часы, ресурсы, оборудование) на какие-либо хотелки какого-либо органа? Ни в законе «О связи» нет такой обязанности для провайдеров, ни в положении «О Роскомнадзоре» таких полномочий. А, это просьба… Простите.

Кстати, спасибо за список актуальных популярных магазинов.

Наш друг Леонид будет осквернять блокировки на Chaos Communication Congress в Лейпциге:
https://fahrplan.events.ccc...lan/events/9653.html

В среду в День Конституции в Госдуму был внесен ещё один одиозный закон о защите чести государства. Это два законопроекта. Один вводит административную ответственность за оскорбление государства в сети со штрафами, а второй вводит процедуру досудебной мгновенной блокировки оскорблений государства в интернете:
http://sozd.parliament.gov.ru/bill/606594-7
http://sozd.parliament.gov.ru/bill/606596-7
Два отдельных независимых друг от друга действия.

Закон говорит об информации «выражающей (выражающих) в неприличной форме явное неуважение к обществу, государству, официальным государственным символам Российской Федерации, Конституции Российской Федерации и органам, осуществляющим государственную власть в Российской Федерации» чтобы это ни значило.

Эта новая «запрещенка» приравнена к мелкому хулиганству. Составлять протоколы и принимать решения по административному наказанию могут сотрудники полиции, вплоть до участкового и начальника линейного отдела полиции. Встречайте неконтролируемый поток административок по любому чиху, с такими-то формулировками.

Блокировка будет происходить в досудебном порядке по требованию Генеральной Прокуратуры, что гарантирует по мнению законодателей серьёзный подход к вопросу. Мы эту серьёзность все видим на примере блокировки Telegram, в ходе которой вскрылись решения Генеральной Прокуратуры о блокировке сайтов сервисов VPN (частные виртуальные сети, позволяющие обходить блокировки, их работа регулируется отдельными пунктами закона, что почему-то не принимается во внимание). При этом блокировка не зависит от того, есть решение об административном правонарушении, или нет.

А вот с процедурой тут интересно. Законопроект вводит новую статью 15.1-1, которая до буквы, за исключением основания, повторяет статью 15.3 закона 149-ФЗ от 27.07.2006 г. «Об информации». Такая блокировка происходит незамедлительно, уведомление хостеру и/или владельцу ресурса высылается после блокировки. При том, что и эту пару законопроектов, и предыдущую подавали в один день одни и те же люди, у меня сложилось впечатление, что они не читали его. Кто-то им написал по заданию, а они не открывая внесли. Уровень экспертизы законотворчества конечно зашкаливает.

Мне не ясны перспективы принятия этого закона. Хотя фамилии там громкие. Если примут, то по опыту — без значительных правок.

Расскажу в этой связи политический анекдот из времен СССР. Слышал его году в 1986 где-то. Подходит мужик к милиционеру на Красной Площади в Москве:
– Здравствуйте, хотите я Вам анекдот расскажу, политический?
– Вы в здравом уме? Я же – милиционер!
– А я Вам два раза расскажу...

В среду в День Конституции в Госдуму был внесен одиозный закон о борьбе с недостоверными новостями. Это два законопроекта. Один вводит административную ответственность за недостоверные новости со штрафами, а второй вводит процедуру досудебной мгновенной блокировки недостоверных новостей в интернете:
http://sozd.parliament.gov.ru/bill/606593-7
http://sozd.parliament.gov.ru/bill/606595-7
Два отдельных независимых друг от друга действия.

Недостоверная информация не вся, а только «которая создает угрозу жизни и (или) здоровью граждан, массового нарушения общественного порядка и (или) общественной безопасности, прекращения функционирования объектов жизнеобеспечения, транспортной или инфраструктуры, наступления иных тяжких последствий». Границы «недостоверности» информации законом не определены. Как может информация «прекратить функционирование объектов жизнеобеспечения» тоже неясно. Судя по всему, имеется ввиду информация, имеющая неприятный общественный резонанс (достоверная она там, или нет – дело десятое). Источники ссылаются на историю с «Зимней вишней», когда какой-то пранкер (телефонный хулиган) всех напугал горами трупов. Я в свою очередь думаю, что это был только повод. Борьба с недостоверными новостями – общемировой тренд, уже существовавший ко времени печальных событий в ТЦ «Зимняя вишня». По моему глубокому убеждению, это является попыткой различных мировых политиков удержать контроль над информационным полем, который они и традиционные СМИ начали терять из-за появления каналов и блогов в разномастных социальных сервисах в интернете.

Протоколы по административному нарушению будет составлять Роскомнадзор. Он же будет принимать решения по делу. Да, штрафовать за фейкньюз (недостоверные новости) будет один из генераторов сомнительных новостей. Для СМИ (средства массовой информации) такое нарушение будет поводом к отзыву лицензии.

Блокировка будет происходить в досудебном порядке по требованию Генеральной Прокуратуры, что гарантирует по мнению законодателей серьёзный подход к вопросу. Мы эту серьёзность все видим на примере блокировки Telegram, в ходе которой вскрылись решения Генеральной Прокуратуры о блокировке сайтов сервисов VPN (частные виртуальные сети, позволяющие обходить блокировки, их работа регулируется отдельными пунктами закона, что почему-то не принимается во внимание). При этом блокировка не зависит от того, есть решение об административном правонарушении, или нет. Закон просто вносит новое основание для блокировки в статью 15.3 закона 149-ФЗ от 27.07.2006 г. Такая блокировка происходит незамедлительно, уведомление хостеру и/или владельцу ресурса высылается после блокировки.

Судя по пиару проблемы фейкньюз и по количеству присоединяющихся к законопроекту депутатов (отслеживаем на сайте обеспечения законодательной деятельности), закон будет принят. По опыту – без значительных правок.

Твиттер опубликовал транперенси репорт https://transparency.twitter.com/en.html
(это статистика о запросах госорганов и удовлетворение их)
По России:
https://transparency.twitte...en/countries/ru.html
Сама запись в блоге
https://blog.twitter.com/of...sparency-report.html

Популярное объяснение что не так с ГОСТом от Alex Samorukov:

"Когда я скачиваю/конфигурирую клиента tls, я by design, конфигурирую какую либо цепочку доверия. Вот в браузере это ca/bf, например. В клиенте к чешской налоговой — это список CA которым доверяет мвд .cz, и так далее. Обычно у этого множества CA есть некоторый общий регламент и принципы работы. Мы прекрасно понимаем, что добавление даже одного ca с другими политиками приведет к boom, что много раз доказывали авторы антивирусом и прочего стремного софта который добавляет свой рут.

Соответственно меньше всего я ожидаю от сервера, что он будет выбирать множество ca (заметь, не сам ca, а именно другое множество) исходя из положения звезд на небе и списка шифров, которые умеет клиент. Это — просто бессмысленно и бесполезно, так как в таком решение, на самом деле, плохо все, и технически и административно. И так, собственно, никто и не делает, на всех сервисах, которые работают не от ca/bf всегда свой url и часто отдельная страничка которая и рассказывает о том где и как скачать ca set.

Теперь, почему это плохо.

1. Этот автовыбор сломается, как только кто-то еще (неважно кто) заимплементит свой набор ca с gost-ом но другими рутами и политикой. Допускать, что этого никогда не произойдет — стрелять себе в ногу, тем более что n сетов рутов даже в пределах одного государства или даже организации — частое явление. Произойдет при этом именно то, что описано у фила. В итоге, чтобы этого не произошло — гост будут максимально изолировать в песочницы, чтобы ндйбг он не засветился в возможностях клиента )

2. Это и административно неумно. Обычно, если мы создаем свой CA — то нас по каким-то причинам не устраивает ca/bf. Таких причин может быть куча, и они часто валидны. Но если сервис одновременно использует на том же ендпоинте ca/bf и нечто совершенно другое — мы просто уменьшаем безопасность, ничего не получая взамен.

Гост тут и правда ни при чем. Как и любой другой алгоритм. И для любого технаря было бы очевидно, что если мы пришли с клиентом умеющим эллиптику и получили что-то от условной чешской почты, а придя с RSA — получили бы рут от ca/cf — то это косяк и ошибка конфигурации. А с гостом православных связистов начинает клинить, хотя как ты и сам пишешь — он ни при чем. Вот и вся история"

Короче. Если кто из моих читателей использует алгоритмы шифрования ГОСТ для развлечения, исходя из принципа "пусть расцветает 100 цветов", для ухода от вендор лок, да и просто потому что интересно - срочно прикратите это делать. Вот прямо сейчас. Адепты алгоритмов ГОСТ люди странные, они считают использование шифронабора ГОСТ офертой обязательного наличия РосГосPKI. Кстати, если вы не вращаетесь в этом, вы ещё хрен найдете CA сертификаты. Да даже если вращаетесь.

Короче - с ГОСТОм было хорошо, но "больше не звони". Выкидывайте, выпиливайте и обходите за километр.

*usher2 В пятницу, 7 декабря, в окрестностях Санкт-Петербурга прошел объединенный съезд операторской ассоциации "Облтелесеть" и Объединения альтернативных операторов связи. Главной темой обсуждения стало открытое письмо на имя президента РФ Владимира Путина с просьбой инициировать доработку правил хранения операторами связи информации пользователей. Не то чтобы я в это верил, но хоть что-то. Обратите причастные на это внимание.

http://www.cableman.ru/cont...zmenit-zakon-yarovoi

*usher2 В Госдуму внесен законопроект о блокировке фальшивых банковских сайтов и финансовых пирамид в интернете:
http://sozd.duma.gov.ru/bill/605945-7

Я его полистал. Описанные там проблемы действительно существуют. И противодействовать им надо. Всё бы ничего, если бы не тот факт, что текущий механизм блокировки очень плохо подходит для оперативной блокировки действительно наносящий ущерб информации.

Данные процедуры просто обязаны идти рука об руку с правохранительными органами. И только так. И в этом заинтересованы всё международной сообщество. Должно быть налажено взаимодействие между силовыми ведомствами разных стран (О БОЖЕ, как я мог предположить, что силовикам из России, Украины, США и Великобритании придётся трясти друг другу руки и оперативно общаться? Как мысль такая мне в голову пришла? Совсем на старости лет уже).

Естественно должны быть какие-то подпорки для комплексного вмешательства в ситуацию. В данном случае было бы уместно учредить службу кибербезопасности, которая например оперативно бы информировала хостеров. Надо отметить, что заметная часть фальшивых банковских сайтов — это взломанные WordPress, собирающие сливки в первые часы, предварительно отспамившись. То что там их через сутки вырежут — это курам на смех.

Правительство РФ предложило поправки к подзаконному постановлению в котором появляются новые участники генерации запретов — Росмолодёжь и судебные приставы. Несмотря на мои предположения, понятие «незамедлительно» постановление менять не будет (и об этом надо написать). И как вишенка — проект подзаконного акта выложен во исполнение ещё не существующего закона. Закон о запрете информации побуждающей к нанесению вреда ещё не подписан Президентом. А так можно было?

Подробный разбор Роскомсвободы:
https://t.me/roskomsvoboda/2814
https://vk.com/wall-45023092_72509
https://www.facebook.com/ro...sts/2093653787360808

Ознакомиться с проектом и принять участие можно здесь:
http://regulation.gov.ru/p/86722