Нафига козе баян государству VPN?

После вчерашнего поста мне поступило сразу несколько вопросов о том, зачем государству, вообще, нужно программное обеспечение для обхода блокировок, да ещё и в таком количестве?

Если коротко, то ответ на вопрос простой - VPN не является средством обхода блокировок. Точнее, использовать его так можно, но это лишь побочный продукт - изначально VPN создавался совсем для других целей. И, даже больше скажу - VPN-сервера для обхода блокировок, даже в таких странах, как РФ, - лишь малая часть VPN-серверов. При всём при этом, по понятным причинам, люди, не погружённые в тематику ИБ, знают только об одном предназначении VPN, не зная, что пользовались им для других целей

Если чуть подробнее, то изначальное предназначение VPN - это безопасный обмен данными между филиалами, головным офисом, удалёнными сотрудниками, ЦОДом, облаком и прочими разнесёнными площадками. По сути, эта технология позволяет сделать так, чтобы находящиеся в разных концах города/страны/мира устройства воспринимали друг друга так, будто они находятся в одном здании. Поэтому, да - если вы работали удалённо - вы пользовались VPN по прямому его предназначению. Если вы работали в крупной компании, имеющей несколько филиалов в разных офисах - вы пользовались VPN по прямому предназначению. Если вы, от лица компании передавали какие-то персональные данные в государственные системы - вы пользовались VPN по прямому их предназначению. Продолжением этой функции является защита трафика путём его шифрования (Да, есть MPLS VPN, лишённые этой функции, но в такие дебри, думаю, сейчас лезть не стоит). И создавалась технология VPN, именно, для этих целей. Именно поэтому её название расшифровывается, как Виртуальная частная сеть - Virtual Private Network).

Но прошло какое-то время, и ушлые ребята в чёрных шляпах (aka хакеры) поняли, что, если технология позволяет виртуально перенести устройства из одного конца мира в другой, их можно использовать для того, чтобы виртуально перенести себя на сервера другой страны и, тем самым, скрыть свою личность и местоположение.

Да, до обхода блокировок путь был долгим - только между релизом первого VPN-протокола в 1996 году и началом внедрения в 2002-2003 годах "Великого Китайского Файервола" - самой известной системы интернет-цензуры прошло более 6 лет. Рискну предположить, что первые VPN-сервисы по обходу блокировок в том виде, в котором их знает большая часть людей, появились не раньше 2005-2006 годов.

Так что, государство закупает VPN не для того, чтобы смотреть запрещёнку на Ютубе и не для того, чтобы продолжать писать пьяные посты в пока не заблокированном Телеграмме - оно использует эту услугу совсем для других целей)

#vpn #блокировки #ркн

Конкурент Роскомнадзора?

Кажется, у Роскомнадзора появился соратник по построению "суверенного рунета"... При чём, соратник этот не из российских госорганов, не из числа серийных доносчиков и даже не из числа российских компаний. Это свернувшая официальную продажу своего оборудования в РФ компания Apple!

Эти ребята прилежно блокируют VPN-приложения в российском AppStore по запросу российских госорганов. Число заблокированных VPN-клиентов перевалило за несколько сотен. И, более того, они блокируют уже не только платные VPN-сервисы, но и клиенты для отдельных протоколов и open-source решений - то есть, по сути, ограничивают пользователям подключение к их собственным серверам (Сегодня, например, снесли мою любимую AmneziaVPN). Учитывая, что у пользователей этой ОС нет возможности поставить приложения не из магазина - проблема, реально, серьёзная. Вроде как, решить её можно сменой региона, но тогда вам могут стать недоступны для установки уже российские приложения. А как компания отнесётся к постоянным прыжкам аккаунта из региона в регион - непонятно.

Уже установленные приложения остаются на телефонах, но обновить их возможности нет, а при покупке нового девайса или сброса старого - вы не сможете восстановить и то, что имеете.
Пока глобальная рекомендация - не покупайте устройства Apple. Если уже купили - по возможности, меняйте регион.

P.S. Пользователи уже создали подробный перечень всего, заблокированного Apple для российского региона. Ознакомиться можно здесь.

Залез тут в переписки с бывшими коллегами (нужна была их консультация, на днях релизну статью-диссертацию), и наткнулся на одну нетленку..

Немного контекста... Был у меня на предыдущем месте работы один проект, по которому я осуществлял поддержку оборудования довольно критичного. Как итог - мне писали только тогда, когда там что-то отваливалось (обычно, не с моей стороны, но всегда надо было разбираться). Стреляло это редко, но метко - поиск проблемы там, обычно, затягивался надолго. При чём, написать могли когда угодно - моя любимая история - это когда мне такое сообщение поступило 30 декабря посреди Сахары...

Как итог, мой диалог с техлидом этого проекта, обычно, выглядел так:

Пара слов об ИТ-менторстве курильщика...

Не так давно я писал о том, какие бывают адекватные площадки для поиска менторов в ИТ. Сегодня же хочу затронуть обратную сторону этого вопроса.

В последние годы рынок поиска первой работы в ИТ звереет, требования к джунам повышаются всё быстрее. Многие соискатели же, часто, хотят начинать получать обещанные 100500 миллионов сразу по окончании вузов или онлайн-курсов. Как результат - появляются различные сообщества менторов, которые учат сотрудников, как правильно обманывать компании при устройстве на работу - рассказывают, какие позиции в каких компаниях указывать в резюме, чтобы работодатель не смог их проверить; обучают прохождению собеседований в формате подготовки к ЕГЭ (учат ответам на типовые вопросы); помогают не спалиться на испытательном сроке и т.д. В общем, делают всё, чтобы человек, не обладающий реальными скиллами и опытом работы, смог получить сразу позицию миддла/сеньора.

Понятно, что специалистов, накручивающих опыт, не любят ни HR, ни компании, ни коллеги (которым приходится работать за других), ни другие соискатели, требования к которым растут ещё быстрее. Но неделю назад обнаружилось странное - оказывается, людей, накручивающих опыт, не любят ещё и люди, накручивающие опыт! В крупнейшем сообществе по обучению накрутке опыта забанили ментора за накрутку опыта такого менторства!)

Я тут решил недавно написать пост про то, как правильно хантить безопасников. Так как в посте ТГ это всё не опишешь, решил приложить ссылки на гайды в интернете... И, внезапно обнаружил, что хороших гайдов на эту тему нет!

Возможно, именно поэтому меня периодически зовут, например, на роль Application Security Engineer (для слабо погружённых в ИБ - это, по сути, отдельная профессия, на которую мне придётся переучиваться почти с 0).

А, значит, что? Значит, надо запилить такой гайд самому! Как итог, я постарался расписать все основные моменты - от важнейших скиллов и самых популярных сертификаций до того, с каких ролей можно рассматривать сотрудника, если не получается найти идеального кандидата со 100% релевантным опытом. На всякий случай, отревьювил разделы, неблизкие мне, у коллег, работающих в этих сферах - и... Теперь гайд в открытом доступе на Хабре и Ln!

https://www.linkedin.com/posts/fiexagon_cybersecurity-auqauoauhaulauwauhaulaunauuauvaugauxautauuauxauyavi-ugcPost-7259440742962487296-bOKE?utm_source=share&utm_medium=member_desktop

https://habr.com/ru/articles/855788/

Насколько всё плохо с утечками данных?

Вчера все СМИ облетела оценка Сбера числа утекших персональных данных россиян - их представитель на форуме SOC назвал цифру 90%. Тут хотелось бы спросить, а куда они дели оставшиеся 10%, но сейчас разговор немного не о том... Мне стало интересно, насколько плохо с этим дела обстоят в РФ в относительном формате, в сравнении с другими странами. "Я вышел в интернет с таким вопросом" (с)

Самую подробную публичную статистику, которую удалось найти при беглом поиске, ведут ребята из Surfshark (не реклама ни в коем случае, продукты их не очень люблю). У них даже есть интерактивная карта, отображающая число утечек E-mail-адресов. Но одними почтами руководствоваться в 2024 - как будто, немного странно... К счастью, ребята приложили ссылку на ежеквартально обновляемую статистику , в которой есть информация по утечкам, в целом. Сразу стоит оговориться - подсчёт весьма топорный, так как абсолютно все утечки учесть не может. Плюс, есть 14,5 млрд утекших данных без конкретной географической принадлежности.

Но статистика, всё равно, интересная. В абсолютном рейтинге числа утечек по этим данным РФ занимает гордое второе место. (Так сказать, "Догнать и перегнать Америку!") Если же пересчитать число утечек на количество жителей - тут статистика уже не такая страшная - за счёт стран-оффшоров РФ опускается на 16 место (так же чуть-чуть уступая США).

В общем и целом, ситуация печальная. И с каждым годом лучше не становится - утечек в РФ, и так, было не мало, но всплеск их числа, ожидаемо, пришёлся на 2022 год и до окончания войны вряд ли следует ожидать сильного его снижения.

#утечки #персональные_данные

РКН может заблокировать до 10% сайтов в зоне .ru

Думаю, все уже слышали про историю с внедрением ECH компанией Cloudflare. Если коротко, то американская компания, услугами котрой пользуются около 10% всех сайтов в зоне .ru внедрила на стороне серверов новый протокол, позволяющий обходить блокировки РКН (то есть, сайты, заблокированные РКН, владельцы которых пользовались Cloudflare заработали сами собой без VPN у пользователей из РФ). В ответ на это, многие провайдеры без официальных заявлений со своей стороны или со стороны РКН включили блокировку ECH, чем, по сути, ограничили доступ ко всем сайтам, работающим с Cloudflare. Подробнее об этом прочитать можно тут. Как и ознакомиться с комментариями экспертов-конкурентов Cloudflare.

Хорошая новость - владельцы сайтов смогли просто отключить ECH, и сайты снова стали доступны. Плохая - РКН выпустил заявление с призывом отказаться от использования Cloudflare. Обычно, такие заявления, пусть и не сразу, но приводят к блокировке сервисов.

И, в целом, компаний, предоставляющих услуги CDN и анти-DDoS в РФ хватает. И это даже не альтернативы уровня Rutube. Но... конечно, есть "НО"... Во-первых, услуг защиты от DDoS-атак физическим лицам они, в принципе, не предоставляют, то есть, все личные сайты будут вынуждены либо закрыться, либо быть заблокированными, либо лишиться защиты от DDoS. Во-вторых, у этих сервисов нет бесплатных тарифов, которые бы позволяли небольшим сайтам, существующим в 0 или в убыток пользоваться этим функционалом. Как итог - опять же, либо закрытие, либо блокировка, либо возрастание затрат...

В общем, что делать владельцам этих сайтов в случае блокировки Cloudflare, куда им деваться - пока не очень понятно.

#vpn #блокировки #ркн

Тут ребята из PT выкатили занятный продукт - ИИ-помощника по обучению кибербезу.
Продукт пока сырой, находится на стадии MVP, но пообщаться с ним уже довольно интересно.

Полноценного преподавателя/ментора он, конечно, пока не заменит, но ответить на какие-то базовые вопросы вполне способен. Сам ИИ доступен в ТГ, а почитать про него можно по ссылке.

#войтивАйТи #инфобез #обучение

На фоне эйфории от разблокировки ютуба, как-то незаметно прошла новость про очередные планирующиеся учения по отключению отдельных регионов (коварными врагами страны) от глобального интернета. Фото соответствующего приказа РКН с просьбой предоставить адреса, которых от мировой сети отключать не нужно, появилось в сети вчера. Насколько это реальный приказ - сказать не могу, но давайте порассуждаем, как такая штука может реализовываться изнутри страны или снаружи и чем она грозит.

Сначала чутка теории. Для того, чтобы адреса в сети были у всех уникальными, это должен кто-то регулировать. Изначально этим занимается организация с центром в США. Но её функционал на данном поприще невысок - она просто выдаёт местным центрам (Каждый из которых отвечает за +- материк) свой диапазон IP-адресов, которыми он может распоряжаться. Это центр, в свою очередь, распределяет адреса между странами, находящимися в регионе. Регуляторы внутри страны распределяют по регионам, а уже организации раздают адреса провайдерам.

Опять же, для того, чтобы не было никаких пересечений адресов, все эти назначения хранятся в единой базе - с привязкой к конкретному региону и конкретному провайдеру. То есть, если свериться с этой базой, то можно понять - вот этот пакет летит из условной Челябинской области в условный дата-центр Amazon в Калифорнии (да-да, то самое "Вычисление по IP"). Процедура сверки - максимально простая, производительности почти не жрёт. Поэтому, блок по региону осуществить очень легко.

Хотя, учитывая стабильность границ РФ, возможным это стало только в 2023 году. Почему? Тут можно вспомнить замечательную особенность начала войны - когда РФ пользовалась мировой базой адресов, российские средства защиты информации определяли адреса с территорий, провозглашённых Российскими, как адреса из Украины. А, поскольку тогда случился бум DDoS-атак, в том числе, из-за рубежа, многие компании включили блокировку по ГЕО-IP к своим сервисам. И удивлялись, почему их сервисы недоступны из условного Донецка.

За эти годы РКН пересобрал свою, "правильную" базу IP-адресов - на неё уже перешли все российские СЗИ. Поэтому, в теории, включить этот блок они вполне могут. И, при включении такого блока по территории всей страны классические VPN-ы уже не спасут - вы, банально, не сможете подключиться к их серверам. (А вот для включения такого блока снаружи, кстати, придётся пользоваться российскими же базами)

Но тут возникает другой вопрос - как сильно пострадают из-за этого частные компании? С них-то данные никто собирать не будет по адресам, которым надо доступ сохранить за рубеж. А, значит, обрубание огромных информационных потоков и громадные финансовые издержки. Как итог, если и пойдут на такой шаг, то, скорее всего, по белорусскому сценарию 2022 года - локальные отключения в границах нескольких регионов в случае очередных митингов и "маршей справедливости".

#vpn #блокировки #ркн

Покайтесь, грешники! Ибо нарушаете вы законы Шариата!

Буквально вчера председатель Совета исламской идеологии Пакистана, доктор Рагиб Хусейн Наеми, объявил, что использование VPN для обхода запрещённой информации противоречит законам Шариата! Так что, если вы ещё надеетесь на 40 гурий и гуриев(?) - срочно удаляйте VPN со своих устройств!

P.S. Про использование VPN для других целей или же других средств обхода блокировок в заявлении не сказано, но, судя по контексту, проблема, всё же, не в самой технологии VPN, а в доступе к заблокированной информации.

#vpn #блокировки #ркн

Альтернативные способы обхода блокировок на случай глобального отключения рунета от всемирной паутины

Когда речь заходит о худшем и наименее вероятном (на мой взгляд) варианте цензуры - полной изоляции рунета, всегда возникают вопросы о том, какие останутся способы обхода. На самом деле, такой способ был изобретён ещё в 1990 году, доработан в 1999 и успешно протестирован в 2001. Речь идёт о стандартах RFC 1149 и RFC 2549, при использовании которых можно не опасаться никаких технологий РКН. Это достигается за счёт использования "трехмерного пространства, доступного для носителей, в отличие от одномерного эфира, используемого в IEEE802.3".

Из основных минусов - высокий пинг (при тестах он доходил до 6388671.9 мс) и потеря пакетов (вплоть до 56%). Плюс, хотя широковещание и не предусмотрено, штормы могут привести к большой потере данных. Так же, могут возникать проблемы при инкапсуляции - особенно, при непреднамеренной инкапсуляции большими носителями - разработчики предупреждают, что в таком случае при декапсуляции возможно искажение пакетов.

В общем, да, думаю, вы уже поняли, что что-то тут не так) На самом деле, серьёзные дядечки в костюмах, занимающиеся стандартизацией интернет-протоколов выпустили стандарт передачи интернет-пакетов голубиной почтой. И, конечно, это было сделано 1 апреля)

Ещё из понравившихся цитат при описании стандарта (к сожалению, на русском часто теряется игра слов, так что, лучше ознакомиться с оригиналами по ссылкам выше):
"Дополнительное описание QoS можно найти в руководстве Michelin."
"Предостережения о патенте: В настоящее время ведутся споры о том, что является предшествующим уровнем техники: носитель или яйцо."
"Носители обычно обходят мосты и туннели стороной, но пользуются туннелями с червоточинами."

#vpn #блокировки #ркн

А что у нас с МОК-интервью по кибербезу?

Я тут решил в свою подборку для старта карьеры добавить ссылки на мок-интервью по разным направлениям кибербеза... И обнаружил страшное - если на английском есть хотя бы несколько подходящих видео, то на русском языке они отсутствуют, как факт (либо моих навыков поиска не хватило, чтобы их найти).

Штука, на мой взгляд, полезная, поэтому, считаю, что надо исправлять ситуацию.
1. Если у вас уже есть записанные и выложенные МОК-интервью по любому направлению кибербеза - кидайте ссылку, добавлю их в подборку. Если организуете и запишете сами - тоже буду рад включить интервью в подборку.
2. Если возможности записать сами нет, но есть желание принять участие со стороны собеседующего - пишите, постараюсь свести вас с потенциальными кандидатами. Основные требования - опыт работы по в сфере информационной безопасности по любому направлению (чем больше разных направлений закроем - тем лучше) и проведения технических интервью в своей сфере.
3. Если хотите принять участие со стороны потенциального кандидата, можете тоже написать в личку. Идеальный вариант - человек без опыта прохождения интервью - хочется получить реальную +- картину того, как выглядит интервью реальное.

P.S. В случае, если кого-то смущает публичность - можно организовать блюр видео и изменение голоса - всё на ваш выбор.

Ребята из Skillfactory попросили вспомнить былые времена и рассказать о защите персданных в РФ. Получилась довольно неплохая статья (правда, она, скорее, не для безопасников подойдёт, а для владельцев бизнеса, которые только-только начинают собирать свои первые песрданные😅)

#ПДн #РКН #инфобез

Не забывайте использовать защиту во время поездок!

Да-да-да… Кринж, пошлятина и, вообще, как можно писать такие посты в блоге по ИБ?! Но давайте честно – подключаться к незнакомым Wi-Fi сетям без использования VPN – всё равно, что заниматься сексом с первым встречным без презерватива.

И речь идёт не только о сетях «где-то на улице». Wi-Fi в среднестатистическом отеле или ресторане – это сплошная дыра в безопасности. Я лично не раз встречал заведения, где для доступа к админке роутера не нужны никакие спец.устройства или ПО для взлома – просто заходишь на IP шлюза по дефолтному 443 порту, вводишь admin/admin – и ты в системе!

А дальше – делай, что хочешь! Опять же, даже без навыков организации каких-то атак, злоумышленник сможет перехватить и прочитать весь ваш незашифрованный трафик – узнать, на каких сайтах вы были, изучить вашу почту и т.д. Если же вам совсем не повезёт, и вы нарвётесь на профи, то с помощью какой-нибудь атаки MITM он вполне сможет перехватить ваши аутентификационные и платёжные данные.

При чём, такое вполне может случиться не только в совсем незащищённой Wi-Fi сети, но и в сетях, о безопасности которых, на первый взгляд, пекутся. Можно вспомнить, например, громкую историю про взлом Сапсана, когда белого хакера не только не наградили за обнаруженные уязвимости в сети поезда, но и надавали ему по шапке, обозвали злоумышленником и т.д.

VPN в таких случаях, конечно, не панацея - при получении доступа к сети можно натворить многого всякого нехорошего, но, как минимум, от перехвата траффика вас защитит.

#VPN #безопасность

Уже несколько раз попадалось видео очередного миллиардера, ставшего экспертом во всех областях. На этот раз человек рассуждает об ИБ, ИТ и ИИ, мешая в одну кучу всё, что только можно. Решил немного прокомментировать данный отрывок. Видео прикладываю для понимания тех, кто его ещё не видел.

1. «В мире не останется ни одного пароля, который может выдержать против квантового компьютера» - тут, судя по всему, смешаны подбор паролей (т.е. bruteforce-атака) и проблемы устойчивости современных шифров к атакам с использованием квантового компьютера. С первым можно успешно бороться минимальными силами, применяя меры, придуманные десятилетия назад – ограничение на число попыток ввода пароля, мультифакторную аутентификацию и т.д. Мощность атакующей системы никак не влияет на её способность обходить эти меры защиты. Пусть даже компьютеры станут мощнее в триллионы раз, если у вас включена мультифакторка, подобрать ваш пароль они не смогут (Кстати, повод пойти и включить её). Со вторым – чуть интереснее. Про постквантовую криптографию как-нибудь напишу отдельный пост, но проблема эта тоже уже решена.

2. «ИИ имеет свойство быть децентрализованным. Он сейчас может находиться на всех компьютерах мира, как на блокчейне» - это уже что-то из фантастических фильмов. Скайнет, Альтрон или что-то такое – что ушло в сеть, как вирус, проникло во все устройства, подключенные к интернету, и что человечество никак не может контролировать… Тут могу успокоить – насколько я знаю, «децентрализованного ИИ, как на блокчейне» не существует. Существует децентрализованный ИИ на блокчейне) И речь, в этом случае, не идёт про то, что ИИ расползается по сотням устройств в сети – серверная часть там не децентрализуется, просто люди предоставляют мощности своих компьютеров для обучения нейронок (которые, на самом деле, ИИ являются очень условно), а взамен получают криптовалюту. Создателям нейронок – мощность, сравнимая с мощностью суперкомпьютера без необходимости аренды этого суперкомпьютера у правительства или корпораций, а пользователям – дешевая крипта. Заразить посторонние устройства таким майнером против воли владельца (чтобы получать деньги за майнинг вместо него), в теории, можно, но большинство современных антивирусов вполне успешно с таким борются.

В целом, суть видео можно свести к одному – «если вдруг, кто-то сейчас совершит технологический прорыв на десятки лет за один день, создаст полноценный ИИ (условный ASI, если такое, вообще, возможно на горизонте в десятки лет), мы окажемся в жопе». Но, в целом, это верно для чего угодно в любой период истории. Если бы кто-то совершил технологический прорыв и создал ядерное оружие (ещё и с возможностью доставки на самолётах) в Первую Мировую или, вообще, в эпоху Наполеоновских войн – у мира было бы очень много проблем. Вопрос в том, что это невозможно – прогресс во всех развитых странах идёт примерно нога в ногу, и, пока одни нейронки учатся ломать системы, другие, точно так же, используются для их защиты.

#безопасность #кибербезопасность #ИИ #AI