Эшер II
9.5K members
124 photos
3 videos
17 files
629 links
Канал "Неугомонного Фила" о блокировках
Сайт: https://usher2.club

Поддержите меня: https://t.me/usher2/780

#позиция #ликбез #donate #вещества
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
to view and join the conversation
Прямо сейчас в Москве проходит региональный форум по управлению интернетом https://rigf.ru Очень плохо, что меня там нет. Сожалею. На сайте есть прямая трансляция. Немного видео есть на канале https://t.me/zatelecom
ℹ️ Как многие из вас знают, что я немного не общественник. У меня есть работа, какие-то дела, увлечения, хобби. И конечно «следящий за Роскомнадзором» — важная составляющая моей жизни в последние года два, но всё же не главная. Например, для каких-то своих целей, да и «для фана» я делаю постоянно обновляемый репозиторий российских «официальных» сертификатов с российской криптографией в том виде, в котором это можно применять в открытом программном обеспечении. Например, в openssl или libressl: https://github.com/schors/gost-russian-ca Зачем я это делаю? Because I can. Хотя, конечно, по-хорошему, это епархия Минциркома.

😱 И постоянно пробемы с этим. То Госуслуги банят мои скрипты (да, они не умеют заголовок последней модификации, приходится постоянно опрашивать и скачивать полный архив). То Госуслуги начали блокировать по списку Роскомнадзора «транзит» (между датацентрами) и у меня отвалилась «виртуалка» на DigitalOcean.

👎 Сегодня я вдруг обнаружил, что репозиторий не обновляется с 25 марта 2019. Т.е. уже две недели. Нужный мне портал Госуслуг e-trust.gosuslugi.ru стал отдавать неверную цепочку сертификатов. Для тех кто понимает — они отдают свой сертификат и CA, а промежуточный — забыли. В браузерах это в подаваляющем большинстве случаев назметно, потому что браузеры кэшируют промежуточные сертификаты и не обращают внимание на «битые» цепочки, приходящие при соединении с сервером. Хороший вопрос — почему? А вот вся автоматика отвалилась. С 25 марта.

👉 Это конечно чисто техническая проблема. Бывает. У самого вон графики полтора дня лежали. Но мой бюджет вы можете прикинуть на https://www.patreon.com/usher2 (умножьте на 3 где-то). А это портал Госуслуг всё-таки. И вот тут какой-то суровый дяденька (не то что я) на RIGF-2019 в Москве что-то сегодня про регулирование и устойчивость говорил, хотя и на каком-то птичьем языке типа молодёжного слэнга — бакланизация какая-то, сувенирезация и вот эти все слова из мира политических хипстеров.

✌️Я ещё хочу отметить, что это сумма и надуманных синтетических проблем, полное отсутствие нацеленности на результат, и вообще бардак.
👉 05 апреля 2019 года суд после трех заседаний оштрафовал компанию Twitter за отказ хранить персональные данные пользователей в России. На 3000 рублей. Забавной особенностью процесса был тот факт, что Twitter присылал представителей в суд:
https://zona.media/online/2019/04/05/twitter-sud3

⚡️ 08 апреля 2019 года. Интересную и очень неприятную историю публикуют коллеги из канала «Утечки информации»: https://t.me/dataleak/916
В открытом доступе обнаружена незащищенная база данных, в которой хранятся данные московских станций скорой медицинской помощи (ССМП). В базе содержится:
дата/время вызова
ФИО членов бригады скорой помощи (включая водителя)
госномер автомобиля бригады скорой помощи
статус автомобиля бригады скорой помощи (например, “прибытие на вызов”)
адрес вызова
ФИО, дата рождения, пол пациента
описание состояния пациента (например, “температура >39, плохо снижается, взрослый”)
ФИО вызывавшего скорую помощь
контактный телефон
и многое другое…

👆 База была украдена и выложена в публичный доступ и гуляет там уже несколько дней. Авторитетные источники говорят, что база похожа на настоящую и еще вчера имела актуальные свежие данные.

✌️ «А ведь владельцы этой базы данных - наверняка со всех сторон прикрыты бумажками считаются добросовестным оператором персональных данных. И даже больше - по этим бумажкам они всё сделали абсолютно правильно. Только вот данные почему-то в открытом доступе и, судя по всему, останутся там уже навсегда», — резонно замечает канал «Ватфор»: https://t.me/vatfor/4201
​​⚡️ Пусть сегодня случайно будет День Роскомнадзора и ваших Персональных данных:
https://telegra.ph/Prodazha-PDn-v-promyshlennyh-masshtabah-04-09
В то время как идёт борьба с Твиттером и Фейсбуком ценой 8000 рублей, ваши Персональные Данные вполне торгуются внутри России, особо и не скрываясь. Масштабы промышленные. И главное, я например не уверен, что там в текущей ситуации можно юридически прикопаться. Но исследование хорошее, прямо дух захватывает.

🔥 Тема Персональных Данных популярная. За неё активно отвечает Роскомнадзор. Придали руководителю Роскомнадзора образ отрицательного замороженного героя из популярного сериала — полезайте в кузов, чо:
https://vk.com/wall-76229642_212826
https://www.facebook.com/roskomnadzor.official/photos/a.1485309358414507/2330731907205577/
https://twitter.com/roscomnadzor/status/1115186535412973568

🤘 Пусть теперь работает, синий чувак :) РАБОТА БЛИЗКО
Forwarded from Фонтанка.ру
Последствия снежной зимы обернулись для Смольного неожиданным конфузом. На сайте городской администрации, в части посвящённой новостям аппарата вице-губернатора Николая Бондаренко, «Фонтанка» обнаружила изображения, отсылающие посетителей ресурса к торговцам синтетическими наркотиками.
Настенная надпись, подобные которой стали настоящей проблемой для Петербурга, красуется в качестве иллюстрации к успешно проведенному субботнику. На фото попала настенная надпись со ссылкой на веб-ресурс, предлагающий приобрести синтетический наркотик по нескольким петербургским адресам. Для того, чтобы получить доступ к сайту, не требуется даже TOR или VPN — ресурс не заблокирован. Второй адрес уводит в опальный Telegram. И указывает сразу на несколько аккаунтов, один из которых, судя по названию, может показаться любопытным для городских кладоискателей.

Корреспондент «Фонтанки» отправил сообщение в РКН, воспользовавшись предназначенной для этого формой на сайте ведомства. Ответа пришлось ждать неделю. В итоге Роскомнадзор ничего зазорного в рекламе синтетика не увидел.
⚡️ Мир публичной и открытой работы Госдумы с народом. Да и с самими собой тоже. По слухам из трех источников сейчас прошёл комитет по суверенному интернету у Левина (Комитет Госдумы по инфополитике). Поправки успела дать только Бокова и ФСБ (с обязательной суверенной криптографией). Что там примут и кто там вообще присутствует непонятно. Как всегда впрочем. На четверг возможно поставят второе чтение. Или не поставят. Они такие внезапные. Но интервью Левина уже есть:
https://rns.online/internet/V-Gosdume-predlozhili-otlozhit-vstuplenie-v-silu-zakonoproekta-ob-ustoichivoi-rabote-runeta-2019-04-09/

😱 Непойми что, непойми кем, непойми зачем, непойми примут ли вообще, но с 1-го ноября 2019. Серьёзность подхода уровня Бог.

⚠️ На портале Государственной Думы пока пусто:
http://sozd.duma.gov.ru/bill/608767-7
Следим внимательно.
⚡️ Поправки ко второму чтению законопроекта «об автономном Рунете» выложены в карточке законопроекта на портале Госдумы:
http://sozd.duma.gov.ru/bill/608767-7

ℹ️ Что за законопроект? Это некий законопроект некоего Клишаса, некой Боковой и некоего Лугового (на самом деле нет, несмотря на то, что именно они значатся авторами, создалось устойчивое впечатление, что они даже не читали его на момент внесения в Госдуму), который подразумевает централизацию управления маршрутами в Рунете, централизацию DNS, практически национализацию RU/РФ, DPI всем и Рунет === Роскомнадзор
​​ Законопроект «об автономном Рунете», поправки ко второму чтению в Госдуме которого выложены в карточке законопроекта на портале Госдумы http://sozd.duma.gov.ru/bill/608767-7 , требует хорошей вычитки. Но времени у нас может и не быть. Поэтому я уже готов описать основные отличия от певроначального текста и что всё это значит.

⚡️ В законопроекте ко второму чтению какие-то основные линии оставлены, какие-то убраны, появились совершенно новые темы, которых не было в зачатке в первом чтении. Вроде и тот же закон, а в сумме — все новое. Все поправки сенатора Боковой (соавтора законопроекта!) были отклонены… Все заявления про компенсации за «провалы» управления остались красным словцом в СМИ. Принято много правок некоего депутата Кудрявцева (вице-президент ПАО «Ростелеком», о как) и Лугового (соавтор законопроекта). «Всё равно не закон — а какая-то каша — АС, домены, криптография, ОРИ, блокировки, учения, угрозы… Как будто сначала кто-то один писал, птом его убили , посадили другого писать и так раз 8», — выразился руководитель «Роскомсвободы» Артём Козлюк.

Убран кэширующий ГосDNS. Даже следа не осталось
Поправлены нестыковки пунктов законов и проектов
‼️ Средства противодействия угроз устанавливается только операторам связи. Владельцы АС, не являющиеся операторами связи (Яндекс например), управляют маршрутизацией «как-то»
⁉️ Добавлено обязательное обеспечение российской криптографии для государственных информационных систем (чтобы это не значило, а главное зачем оно здесь)
⁉️ Модели угроз, для нейтрализации коих создан этот законопроект, определяет Правительство РФ. Т.е. закон предписывает Праительству описать, зачем козе баян
⁉️Уточнено, что центральное управление маршрутизации должно осуществляться только если оба конца трафика в России. Я хочу посмотреть в глаза человеку, который это написал. Или не хочу
⁉️ Зачем-то введена отдельно процедура блокировки ресурсов с незаконными персональными данными. Прямо отдельными пунктами в рамках этого законопроекта. Написано очень криво, надо вчитываться для подробностей
‼️ Добавлены всякие плюшки Правительству для нормирования

‼️ Оставлены бесплатные средства противодействия угрозам у операторов связи. Это которые DPI для блокировки
‼️ Роскомнадзор оставлен главным по российским нацдоменам (привет, КЦ). В новых формулировках, но суть та же
Оставлено снятие ответственности за блокировки с операторов связи
‼️ Оставлены центральное управление маршрутизацией, полный контроль за точками обмена трафиком, учет трансграницы
‼️ Оставлены учения по противодействию угрозам
‼️ Оставлены средства контроля за всем этим

Александр Жаров (руководитель Роскомнадзора, представший вчера в образе синего мертвеца в официальных пабликах) уже обоснованно празднует победу. Я говорил же — это единственный выгодоприобретатель, который готов хотя бы к части пунктов законопроекта. Вот прямо завтра — чик и всё. «В законопроекте сейчас четко описано, что правительство будет определять перечень угроз, в каких случаях будет включаться управление сетью связи: это чрезвычайные ситуации. <...> Блокировка – это чрезвычайная ситуация» https://www.vedomosti.ru/technology/articles/2019/04/09/798693-zakonoproekt-o-suverennom-runete Напрашивается вывод, что для Жарова существование интенета это черезвычайная ситуация.

🎭 Я фигляр и юморист. Но мне хотелось бы на своем канале вести нормальные серьезные темы. Возможно с шутками, иронией и фиглярством в рамках разумного. Но как с таким материалом можно выдерживать приемлимый уровень профессионализма, деловой стиль изложения — мне не понятно. Я не знаю.
#тунеядцы Я пару дней назад писал, что на сайте e-trust.gosuslugi.ru проблема с SSL-сертификатом. Сообщил по контактам в службу техподдержки. Но Минцифре нужно юрлицо. Как тебе такое, Константин Носков?
⚡️ У Роскомнадзора внезапно сегодня отобрали пару «плюшек». «По словам господина Левина, поправки были получены вчера, но уже после заседания, в связи с чем сегодня комитет вновь обсудил проект закона и решил внести в текст законопроекта два изменения, которые касаются распределения полномочий»:
https://www.kommersant.ru/doc/3939666

🥶 Ща Жаров посинеет

🎭 Уровень серьёзности и профессионализма подготовки законопрокта в последние часы — БОГ
👏 Я вчера ссылался на статью с цитатами руководителя Роскомнадзора Жарова. Там где он считает блокировку Telegram прямо тем, на что направлен законопроект «об автономном Рунете». Судя по всему Александр Александрович сболтнул лишнего и его синеватый имидж немного позеленел. Вчера Роскомнадзор похоже потребовал удалить с ряда изданий статью. С РГ, Ленты, м24 и тд. На видео показаны «следы»:
https://youtu.be/5QE7Y_l6HRE

👉🏻 Вот например оставшаяся статья: https://www.vedomosti.ru/technology/articles/2019/04/09/798693-zakonoproekt-o-suverennom-runete
​​✌️Ещё раз прочитал поправки ко второму чтению законопроекта «об автономном Рунете». Сейчас будет ещё порция информации.

➡️ Авторы законопроекта внезапно обнаружили, что есть соединения между сетями не только в точках обмена трафиком. Для операторов связи вывели из-под отдельного контроля присоединение сетей, а не операторов связи с номерами автономных систем обязали соединяться только через точки обмена трафиком (привет, Яндекс). Вроде ничего не попутал.

➡️ Государственным информационным системам вменили не пользоваться сервисами не на территории России и иметь обязательную возможность применять российскую криптографию. Ничего интересного, но зачем и почему это в этом законопроекте? Почему бы и нет.

➡️ Государственный DNS всё-таки упомянут. Роскомнадзор должен что-то абстрактное разработать. Но что, зачем и кто этим будет пользоваться — всё вырезали. Написали чтобы было. Кому-то надо было листок заполнить.

➡️ Для владельцев автономных сетей, не операторов связи, отдельно определена обязанность соблюдения законов, контролирующих VPN. Это потому что VPN вроде не услуга связи и этот факт ранее как-то немного вылетел из умов законодателей. Другой вопрос, что я не понимаю как они вообще область действия закона «О связи» распространяют на не услуги связи. Причем, это не единственный противоречивый пункт. Основания соблюдать эти положения закона указанными лицами туманны.

➡️ Для владельцев автономных сетей, не операторов связи, отдельно определена обязанность соблюдения законов об оперативной розыскной деятельности. В текущих формулировках я удивился. Законопроект, намешав для солидности слов «регламент» и «порядок», зачем-то отдельно призывает владельцев номеров автономных сетей соблюдать законы России. Ну ок.

♿️ Колонка смеха сквозь слёзы. Я довольно долго не мог понять, зачем в этом законопроекте ко второму чтению сделаны внезапные поправки с кропотливыми уточнениями пунктов блокировок в законе «об информации». А потому что за время обсуждения приняли два новых законопроекта — о фейках и об оскорблении достоинства органов власти. А в тех законах поправки были «костылями» и «заплатками» (я писал ранее о крайней неаккуратности технического внесения новшеств в те законопроекты, про бессмысленную запутанность формулировок, запутанность структуры текста и вот этого всего). И сейчас срочно пришлось ставить «заплатки» на те «заплатки». В итоге там теперь хтонические тексты, конечно.

⚠️ Интересный факт, что некоторые поправки внесены в паспорт законопроекта 09 апреля 2019 года. Но почему-то часть из них датирована серединой дня 10 апреля 2019 года. Как можно работать с такими документами мне не ясно. Посмотрите прямо на паспорт проекта — за 09 число внесено некоей Барановой Дарьей Владимировной 10-го:
http://sozd.duma.gov.ru/bill/608767-7

⁉️ А ТАК МОЖНО БЫЛО?

🏆 Что так экстренно внесли? Ждали депеши из Правительства («курьер привез недостающие алмазные подвески», как выразилась Екатерина Шульман у себя в блоге). Там получалась нестыковка законов. С одной стороны, в критических ситуациях сетями по действующему закону управляет ФСБ, а с другой всё отдали Роскомандзору. Поправили эту правовую неопределенность. Не в пользу Роскомнадзора. О том, как это будет работать, уверен никто в ночи не думал, поправили формальную часть.
🤷‍♂️ Забыл написать про уточненные сроки вступления в силу закона «об автономном Рунете».

➡️ Весь закон, кроме двух пунктов — 01 ноября 2019 года. Не знаю, как они подзаконку сделают, но вот так.

➡️ Обязанность иметь российское шифрование для государственных информационных систем отнесено на 01 января 2021 года. Ну хотя, за 25 лет не сделали, могут и к 21-му году не успеть.

➡️ К 01 января 2021 года что-то должны соблюдать с российским сегментом доменных имен. Для меня остается загадкой, что несет этот пункт
​​☝️ Чем ярко грозит нам принятие сегодня законопроекта «об автономном Рунете»

👉 Понимаете, «пакет Яровой» должен уже работать год. Но не работает. Нет оборудования. Считать, что завтра вот будут всё централизованно маршрутизировать и учитывать не стоит. Тему успеют протянуть на несколько лет. Но когда сделают, то как и со всеми центральными управлениями, мы увидим закон какой-то лажи в действии. Но это пока всё теории, до практики далеко.

🌈 Самое неожиданное, с чем это всё столкнется — владельцы номеров автономных систем, не являющихся операторами связи. Это много кто — хостеры, сервисы всякие, контентщики, университеты и прочие. И указанные столкнутся с требованиями закона. Будет непонятно, но горячо.

👉 Умные мужи и девы в строгих костюмах всё лето будут клепать тонны подзаконной нормативки. А принятие оной — это всё процедуры. Возможно процедуры оценки регулирующего воздействия. Объём работ колоссальный.

🤘 А еще создалась парадоксальная ситуация. Поезд этого законопроекта давно катится пустой (я не знаю, кто его ведет и кто вообще сделал). И как-то открытую дверь вагона этого поезда увидел Роскомнадзор и запрыгнул. В итоге, к внесению в Госдуму в поезде вольготно едет Роскомнадзор, не имеющий ни малейшего отношения к изначальной затее, но хорошо понимающий зачем ему это и готовый тут ехать.

‼️ Самое первое что нас ждет — DPI фильтры для блокировок. Везде. Аккуратно, не аккуратно, без разницы. Поскольку эти средства выводятся из-под контроля операторов связи, то например мои красивые графики будет получить неоткуда. Все лажи Роскомнадзора с битыми ссылками, падениями маршрутизаторов — все это будет слабопроверяемыми домыслами. Очень много блокировок мы будем только предполагать. Т.е. полностью исчезнет даже тот эфемерный общественный контроль, который существует сейчас. И вместе с ним исчезнет просчет рисков сопутствующего ущерба от блокировок. Что-то не работает. Пропала информация. Почему, когда, что делать — не известно.
⚡️ Рассмотрение во втором (и скорее всего сразу в третьем) чтении законопроекта «об автономном Рунете» назначено на сегодня 11 апреля 2019 года. Начало пленарного заседания Госдумы в 10 утра по Москве. Трансляция будет вот здесь:
http://duma.gov.ru/multimedia/video/stream/
Обычно значок трансляции ставят и в паспорте законопроекта, но почему-то у этого нет:
http://sozd.duma.gov.ru/bill/608767-7

👉 Вопрос стоит под номером 8. Когда это будет — не ясно. Регламент могут поменять прямо с начала дня. Вливайтесь, смотрите, обсуждайте.

💤 На этой прекрасной новости я пойду спать. Напомню, что канал транслируется:
Telegram: https://t.me/usher2
VK: https://vk.com/usher2.club
Facebook: https://www.facebook.com/usher2.club
Можно полистать архив канала, он интересный, я так считаю.

ℹ️ У меня также есть ряд прекрасных статей и отличных историй:
https://usher2.club/articles/

👍 Вы можете также покормить меня, потому что.. Почему бы и нет
https://t.me/usher2/818
​​😇 Я в ночи торопился и «затопил» ленту обрывками по законопроекту «об автономном Рунете». Сейчас, давайте, систематизирую свои обзоры, чтобы можно было посмотреть подробно, если кому интересно (я надеюсь, не зря же я тут ночами весь этот вздор читаю),

1️⃣ Первое чтение. Мой очень подробный обзор законопроекта:
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

2️⃣ Второе чтение. Общий обзор: https://t.me/usher2/837
2️⃣ Дополнительный обзор запутанных мест: https://t.me/usher2/841
2️⃣ Даты вступления в силу: https://t.me/usher2/842

😱 Что будет, если примут: https://t.me/usher2/843

👀 Следим за событиями: https://t.me/usher2/844
⚡️ Прямо сейас началось обсуждение в Думе. Человек-бумажка-Левин мямлит про законопроект:
http://duma.gov.ru/multimedia/video/stream/
⚡️ Глава комитета Госдумы по инфополитике прямо говорит «перед голосованием», т.е. он не видит места для дискуссий. Ok. Рассказал про выступление Жарова, который «мамой клянусь, мы следим за качеством». Ну ок, а мы следим за Эшер II
⚡️ Вот трансляция, которая не виснет:
https://youtu.be/nv3z0tcbchw
⚡️ Левин врет про совещания с трибуны (а так можно?). Приплел никому не известных экспертов. Лепит про риски, которые никто не считал.
⚡️Законопроект «об автономном Рунете» принят во втором чтении. Третье чтение назначено на памятную дату — годовщину блокировки Telegram — 16 апреля 2019 года.