медведев допустил отключение россии от интернета
»лукашенко путин Вторжение в Украину 2022 творчество душевнобольных Россия Беларусь #Мая Беларусь Украина армения таджикистан политика разная политота Рахмон Пашинян ОДКБ
Щас идёт собрание ОДКБ. Одно заявление чудесатее другого
Лукаш предлагает зацензурить интернет по примеру китайской системы
Путин рассказывает про марши неонацистов в Украине. Забыл он, правда, отметить, что нацисты ходят под Z-символикой.
Ну и просто моё любимое. В этом видео просто вся суть этого сборища. Главного деда все ненавидят и он всех задолбал своей деменцией с шизой на пару, но гроши на поддержку своего режима ох как надо:
персональные данные it все плохо длиннопост провайдер политика
Бессмысленный и беспощадный русский BugBounty и новый смысл выражения «вычислю тебя по IP»
Сейчас я расскажу вам прекрасную историю, в которой выражение «я вычислю тебя по IP» приобретает реальный смысл, про бессмысленный и беспощадный российский bugbounty, отношение к персональным данным своих клиентов и бессмысленного регулятора, который вместо контроля за предыдущим, занимается ухудшением жизни жителей РФ (и которого в Прекрасной России Будущего не будет).
История началась около 11 лет назад, когда я изучал устройство сетей крупных операторов с помощью инструмента whois — смотрел распределение адресов для клиентов т.д.), и в одном российском сегменте интернета набрёл на такое, от чего потерял дар речи.
Аккуратно сдампил результаты whois по сетям этого оператора (десятки тысяч адресов), и это настолько меня шокировало, что я предпочёл об этом поскорее забыть.
Месяц назад мне написал один из читателей: смотри, что происходит. И тут я всё вспомнил, и охренел ещё сильнее — от того, что за ~11 лет ничего не поменялось.
Есть такой московский оператор — «Комкор», сейчас работает под торговой маркой Акадо-Телеком.
Среди их клиентов — физические лица, фирмы (много банков, объекты инфраструктуры города) в московской области — жители элитных посёлков (Рублёвка, Барвиха, Жуковка и т.д.).
Многие уже догадываются, о чём будет дальше, но всё равно не могут поверить.
Да, Комкор (Акадо) выкладывает персональные данные своих клиентов прямо в БД RIPE, которая доступна с помощью whois.
Там всё:
ФИО клиента (или название компании), адрес подключения, телефон клиента.
Вот их сети:
212.100.128.0/19
212.45.0.0/19
178.208.128.0/19
Вот элитного посёлка «Жуковка»:
Вот клиенты в Барвихе, включая местный Альфа-Банк:
В таких посёлках много знакомых по расследованиям ФБК (и не только) фамилий — можете сами сграббить в базу и поискать.А что это за Никита Сергеевич в посёлке Николина Гора пользуется услугами горе-провайдера, не известный ли кинорежиссёр? Ага, он:
«Какая-то невероятная дичь», — воскликните вы, и будете совершенно правы.
Давайте теперь посмотрим, как обстоит дело с защитой персданных клиентов-фирм и объектов инфраструктуры Москвы.
Вот IP-адреса объектов ДИТ Москвы — Департамента инфромационных технологий — к Акадо подключены сотни таких объектов. Это интернет для камер, телеметрии и других служебных устройств и пользователей:
Давайте поищем по ключевому слову «Bank».
Что же мы видим? Сотни банков подключены к Комкору, и любой человек на свете может узнать IP-адрес конкретного филиала, контакт технического специалиста, его ФИО и так далее:
Что должен сделать приличный человек, который осознал что все эти ~11 лет персданные клиентов большого оператора лежали в паблике?
Правильно, написать об этом в Комкор. Ну не знали же они, что делают всё это время, в самом деле — надо им об этом рассказать!
Что я и сделал:
Через 1 рабочий день я получил ответ от начальника ИБ — мол информацию получили и проверят (странная задержка в сутки при такой-то страшной дыре, но ладно):
Ещё через 5 дней я решил поинтересоваться результатами проверки информации:
на что мне ответили, что всё исправили:
Ого, думаю я, наконец-то в России стала повышаться ответственность компаний и рост культуры реакции на сообщения о дырах. Но решил всё же проверить: убрали персданные только из блока person и только из двух моих примеров в первом письме, но в блоке inetnum персданные остались даже в моих примерах, о чём я написал:
и получил очень странный ответ, что «принято решение» убрать персданные пользователей белых сетей (когда убрать?!), но поле inetnum они обязаны заполнять:
Да никто не спорит, что обязаны — но провайдеры записывают туда информацию о назначении сети, или, если это фирма — максимум, её название и юр. адрес (и даже это далеко не всегда, точнее — почти никогда), но никак не ФИО клиента-физлица.
На моё письмо от 24 октября с уточняющим вопросом никто не ответил:
И тут мои силы закончились — я перестал понимать, почему я должен уговаривать большую компанию с огромной ответственностью заставлять устранить такую страшную дыру. Я перестал понимать, почему эта переписка вообще должна была длиться больше двух писем, ведь каждому здравомыслящему человеку абсолютно очевидно, насколько это дико — персданные твоих клиентов в паблике. И я уже не говорю об ответственных лицах в компании, которые должны только и заниматься тем, что устранять эту страшную дыру.
Я очень не хотел писать этот пост — мне ответили, со мной общались вежливо, даже в музей пригласили :). Но это попытка сделать хорошую мину при плохой игре. Никаких действий по факту предпринято не было, сроки их тоже озвучены не были. Поэтому следующим шагом я должен перейти к информированию об этой опасной уязвимости общественность, чтобы они вывели себя из-под угрозы и перестали пользоваться оператором, который так относится к персданным своих клиентов.
А теперь — простым языком для людей, которые не поняли, что всё это значит.
Whois — это публичный инструмент, которым может воспользоваться каждый человек, чтобы получить информацию об IP-адресе или домене.
В нём содержится служебная информация о владельце домена или IP-адреса (в данном случае — провайдере).
По правилам организации RIPE, которая выдаёт IP-адреса, провайдер обязан содержать в актуальном виде информацию о назначении подсети IP-адресов (например, служебная или клиентская), контакты для связи (почта и телефон провайдера), и если провайдер выдаёт в аренду крупный блок адресов — информацию об арендаторе.
Но никакому провайдеру не приходит в голову указывать ФИО, адрес подключения и контакт физического лица, которому выдан 1 IP-адрес. Тоже самое — с юридическими лицами. В случае выдачи большого блока, максимум — указывается юрлицо, его контакт и юридический адрес. И то, так делают далеко не все провайдеры, и никаких санкций, конечно же, за это нет.
Не очень умные технические специалисты Комкора (ныне Акадо) в какой-то момент просто настроили автоматическую трансляцию информации из своей служебной базы клиентов (CRM) в базу данных RIPE, и таким образом персданные клиентов стали доступны для всех желающих.
Для оператора такая дыра — катастрофа дважды, потому что:
1) Собственно, песональные данные клиентов — в публичном доступе. Какое доверие может быть к такому оператору?
2) Твоих клиентов могут просто переманивать другие операторы, за полчаса просканировав все IP-адреса и собрав базу данных.
3) Можно узнать IP-адреса определённого клиента или устройства, очень несложно забить канал трафиком и выключить, таким образом, интернет у клиента.
В случае с ведомственными объектами, большое количество которых подключено к Акадо — это же прямая угроза безопасности города.
Этот пост прочитает много клиентов Акадо — вы, конечно, решайте сами, но я бы никогда не стал пользоваться услугами оператора, который выкладывает ваши персональные данные в паблик, и не убирает их в срочном порядке после приватного сообщения об этом.
И даже через 3 недели всё еще не убирает.
Такое поведение, конечно, абсолютно неприемлемо в 2018 году.
И в завершение, я хочу отдельно написать о Роскомнадзоре.
Это регулятор, под надзором которого оператор связи оказывается дважды — как оператор связи, и как оператор персональных данных.
Эти никчёмные и бесполезные дармоеды вместо ухудшения жизни всех жителей России и ежедневной блокировки до 10–15 IP-адресов нашего прокси для Telegram (вы представляете, там сидят специальные люди на зарплате, которые почти круглосуточно резолвят домен и добавляют актуальные IP-адреса в выгрузку — что может быть бессмысленнее), должны заниматься как раз пресечением таких вот историй.
Дорогие журналисты, которые будут звонить в Акадо — сделайте, пожалуйста, следующий звонок в Роскомнадзор и спросите, почему они не выполняют свою работу, а вместо этого занимаются ухудшением жизни граждан России.
Источник: https://medium.com/@itsorm/бессмысленный-и-беспощадный-русский-bigbounty-или-отношение-к-персональным-данным-из-двухтысячных-d9e0e8a7601e
Россия всё хорошо греф банки политика
Государство массово конфискует деньги у вкладчиков лопнувших банков
Кратко: если ты успел изъять деньги из банка, который в последствии закрыл ЦБ тебя судебным решением обязывают вернуть деньги. При отсутствии оных описывают имущество...Что будет дальше?..
госдура Герман Клименко политика
Коррупциногенное построение «суверенного» интернета. Реакция экспертов на новую инициативу Минкомсвязи
Минкосвязь разработала проект поправок в закон «О связи», которые, по мнению чиновников, должны обеспечить «целостность, непрерывность, стабильность, устойчивость и защищенность функционирования российского национального сегмента» интернета. Эти поправки обсуждались на совещании у замминистра связи Алексея Соколова, о чём «Ведомостям» поведал человек, знакомый с несколькими его участниками. Это подтвердил один из присутствовавших на совещании людей. Оба говорят, что среди его участников были советник российского президента Герман Клименко (отказался от комментариев) и менеджеры государственного «Ростелекома».Так что опасения профессора МГИМО Валерия Соловья, высказанные им относительно желания «технически некомпетентных людей построить к 2020 году обособленный интернет», похоже, сбываются.
Законопроект о контроле над Рунетом, разработанный Минкомсвязью, в числе прочего предусматривает запрет иностранцам владеть точками обмена трафиком. Законными владельцами точек обмена трафиком, по данным издания, Минкомсвязь предлагает считать исключительно российских юридических лиц. Регулятор, сообщил источник издания, допускает, что в будущем совладельцами точек обмена трафиком могут становиться и иностранцы, но так, чтобы им принадлежало не более 20% компании (как в случае с законом о СМИ). Также планируется лицензировать эти точки.
Администратором национальной доменной зоны верхнего уровня — доменов, оканчивающихся на .RU и.РФ — согласно проекту может быть только российское юридическое лицо, учрежденное федеральным органом исполнительной власти в области связи, то есть самою же Минкомсвязью.
Сейчас национальными доменами управляет Координационный центр национального домена сети интернет (КЦ), который, как мы уже писали, посредством странных манипуляций постепенно передают под полный контроль государства.
По данным экспертов, большинство точек обмена трафиком принадлежат российским компаниям. Среди иностранных владельцев — британская Retn, которая, по некоторым оценкам, контролирует до 40 процентов российского трафика.
О разработке Минкомсвязью поправок, вводящих государственный контроль над российским сегментом интернета, стало известно в начале 2016 года. Тогда сообщалось, что планируется создать систему мониторинга работы критических элементов инфраструктуры Рунета для того, чтобы госорганы могли защитить его от внешних атак. В мае 2016 года Минкомсвязь подготовила законопроект под рабочим названием «Об автономной системе интернет», согласно которому контроль за рунетом будет передан государству. Подробности законодательной инициативы тогда не раскрывались.
То, что инициатива Минкомсвязи по созданию «суверенного интернета» и манипуляции с КЦ — это звенья одной цепи, видно невооружённым глазом, но весьма интересную версию эксперты в области интернета высказали «Фонтанке». На вопрос, зачем это нужно: ведь государство и так обладает всеми возможностями управлять доменной зоной, эксперты разводят руками и намекают на коррупционный соблазн.
Блогер Антон Носик, один из «отцов Рунета», как его часто называют, считает, что идея правительства вполне соответствует тренду на усиление государственного контроля, но цель этой инициативы непонятна, а её польза под вопросом:
«В настоящий момент в России существует такой тренд: государство пытается отрегулировать, проконтролировать, установить свой контроль во всех сферах жизни людей. Не существует в России такого явления, будь то благотворительные фонды, некоммерческие организации, поисковые результаты «Яндекса», игра в Pokemon Go, сообщества в «ВКонтакте», где правительство не пыталось бы влезть и отрегулировать. Желание чиновников – это некоторое ритуальное действо. Из него не вытекает, что они знают, как регулировать, что у них есть какой-то план. Поэтому недоумение — вполне естественная реакция. Это нужно непонятно зачем, это решает непонятно какую проблему. В чем полезность? Это видимость контроля, потому что такой тренд.
С точки зрения контроля над информацией смысла в делегировании полномочий КЦ нет. Но не исключено, что чиновники могут на этом заработать.
С доменами можно делать две вещи, контролируя их. Во-первых, можно использовать этот инструмент в качестве репрессивного, то есть разделегировать. А второе, поскольку домены — это торговля воздухом в чистом виде (нет связи между себестоимостью услуги и отпускной ценой), на этом можно заработать какие-то деньги. Но КЦ — это не бизнес. Он может быть инструментом для бизнеса, если принимает решения в пользу тех или иных лиц. Но КЦ может принять решения, которые одному бизнесу принесут миллиардную прибыль, а другому — миллиардные убытки. Что касается разделегирования, то поскольку все регистраторы доменных имен в России зависят от государства, то все домены, которые государство захотело разделегировать, были разделегированы. Государство не может пожаловаться, что кто-то занял принципиальную позицию и отказался разделегировать домен. Так что в репрессивном смысле никакого дополнительного контроля власти не получат. В смысле зарабатывания денег — можно подумать, чем КЦ может быть полезен конкретно государственным чиновникам, близким к регулированию этого органа. Но не могу утверждать, что кто-то уже придумал. Это соблазн, который со временем, безусловно, возникнет».
.
Однако, по мнению советника президента РФ по Интернету Германа Клименко, намерение государства отобрать полномочия у КЦ несколько преувеличено: «Кроме обсуждения и текстов в СМИ, еще ничего нет. Об этом говорят давно и много. Насколько я в курсе истории с КЦ, это следствие корпоративных конфликтов годичной давности. С одной стороны, при наличии тех вызовов, которые сейчас идут, роль государства должна усиливаться. Но КЦ — это общественная организация, и насколько мне известно, никто не посягает на её статус».
Ну что он ещё может сказать председатель правления ИРИ, который является одним из учредителей КЦ, ставший таковым при весьма странных обстоятельствах.
Основатель интернет-энциклопедии Lurkmore Дмитрий Хомак не удивлен происходящим, но тоже недоумевает:
«Непонятно совершенно. Стояло себе, регулировало, не без скандалов и не без некоторых издержек — но вполне нормально регулировало. Вообще, вполне укладывается в схему происходящего нынче с российским Интернетом: то, что было частным или уже частно-государственным, должно стать государственным совсем, окончательно и навсегда. А то мало ли чего там этот бизнес себе напридумывает в частном порядке!
Это совершенно невразумительный жест. При том, что домены с 2009 года разделегируют по звонку из Генпрокуратуры свободно, и никакой нелояльности никто в этой структуре никогда не демонстрировал».
.
Владелец анонимного имиджборда «Двач» Нариман Намазов уверен, что речь идет сугубо о внутреннем перераспределении финансов, а в системе управления доменами все останется, как прежде.
«В целом технически ничего не изменится, все возможности управлять доменами в зоне .ru у правительства были, и дополнительных взять уже неоткуда. На безопасность ру-зоны это тоже никоим образом не повлияет — мы же в глобальном Интернете».
.
Кстати, с финансовыми потоками у КЦ не все так хорошо, как кажется. По данным СПАРК, выручка организации за 2015 год составила 139 млн рублей, но в то же время резко выросли расходы, в результате чего центр закончил год с убытком в 54 млн рублей. Для сравнения: еще в 2014 году выручка составила 148 млн рублей, а чистая прибыль — 18 млн.
Комментируя предположение, что национализация Координационного центра, который управляет доменами .RU и .РФ, выглядит одним из элементов плана по созданию российского автономного интернета, Иван Бегтин, специалист в области работы с данными, директор АНО «Информационная культура», член Комитета гражданских инициатив, выразил уверенность, что так оно и есть:
«Безусловно. Это пусть к изоляции. И для всего интернет-бизнеса, который создавался в зоне .RU, это может быть звоночком к тому, чтобы переносить свою инфраструктуру на другие домены, на хостинг вне России и многое другое».
.
«Сейчас мы, скорее всего, идем по пути Белоруссии, Ирана и других стран, в которых есть жесткие ограничения на работу с интернетом. И если мы рассматривает доменные имена как часть инфраструктуры интернета, я бы на месте интернет-компаний, которые занимают более или менее монопольное положение в интернет-услугах, крепко бы задумался.
Потому что есть такие компании, как «Мэйл.ру», которые держат больше половины адресов электронной почты; есть такие компании, как Яндекс, которые доминируют в поиске. Есть другие компании, которые имеют существенную долю в разных сегментах, вроде, например, обмена трафиком и многом другом. В общем, для всех них эта история, если она осуществится, будет поводом задуматься.
Потому что если произойдет то, что может произойти, то в любой момент государство может прийти и сказать на таких же основаниях: ребята, поисковая система оказывают колоссальное влияние, контент утекает через нее, даже если сайт недоступен, нам необходим контроль. И, мол, давайте будем контролировать Яндекс уже не через «золотую» акцию, а как-то еще. И то же самое может быть со всеми остальными. Ну, то есть это история не очень красивая и неизвестно чем закончится», – объяснил Иван Бегтин.
Ранее он уточнил, что хотя в мире долгие годы наблюдалось движение за то, чтобы отделять интернет от государств, сейчас в России произошло принципиальное изменение в постановке этого вопроса и возникло стремление «контролировать по крайней мере то, что находится в нашей зоне ответственности».
Адвокат и бывший руководитель правозащитной организации «Агора» Павел Чиков в целом о всех инициативах властей высказал весьма пессимистичное мнение:
«Если еще принять во внимание активно экспортируемые в Среднюю Азию российские технологии контроля трафика и блокировок сайтов, будет виден четкий глобальный тренд национализации и усиления госконтроля (и санкций) над интернетом в Евразии от России через Турцию и Среднюю Азию до Китая.
В продолжение совета «скорее убей в себе аккаунт ВКонтакте» следует второй — уходи из зоны .ru и .рф. Уходи сейчас, не жди, когда менты придут. В идеале не регистрируй домен на россиянина и российское юрлицо. Точно не регистрируй у российского регистратора даже в иностранных доменах первого уровня. Найди в Европе регистратора, и у него всё оформи — всё онлайн возможно».
.
По данным «Общества защиты интернета», по состоянию на март 2016 года в глобальной системе маршрутизации интернета было 54098 автономных систем всего, и 4673 российских. 878 российских систем имеют хотя бы одну связь с зарубежными. Поводом для беспокойства будет если связей станет существенно меньше. Общество создало индикатор, чтобы власти не смогли незаметно обособить рунет. За 2016 год значение этого индекса существенно не изменилось.
Напомним, во многом благодаря связности Рунета с глобальной сетью он был признан одним из самых устойчивых, поскольку даже если бы в данный момент произошёл сбой в работе Ростелекома — оператора, от которого больше всего зависит работа интернета в России, это привело бы к глобальной недоступности не более 5,5% сетей российского сегмента интернета. Чем больше трансграничных переходов, тем стабильнее работа внутреннего интернета.
Источник: https://rublacklist.net/20178/
Отличный комментарий!