← All posts tagged DNS

schors
Телеком-ревью отыскал анонс онлайн-интервью с заместителем министра цифрового развития, связи и массовых коммуникаций РФ Алексеем Волиным.
t.me

Вторник, 2 июня, 16ч (мск)
youtu.be

☝️Готовьте и задавайте свои вопросы.

🔥 Вот интересные факты от Телеком-ревью

👉 Закон о «суверенном рунете» не повлияет на работу мессенджера Telegram, заявил (https://www.kommersant.ru/gallery/4154182) журналистам замглавы Минкомсвязи Алексей Волин.
👉 Минкомсвязь не видит необходимости в сохранении цифровых пропусков после окончания пандемии, заявил (https://tass.ru/obschestvo/8294013) Волин.
👉 Замглавы Минкомсвязи Алексей Волин отметил (https://tass.ru/ekonomika/7642763), что блокировки можно обойти, а штраф придется заплатить.
👉 Волин не исключил возможность (https://tass.ru/obschestvo/7616981) включения СМИ в список интернет-ресурсов с бесплатным доступом.
👉 Минкомсвязь не поддерживает законопроект о блокировке пользователей мессенджеров и e-mail, заявил (https://tass.ru/obschestvo/7092834) Волин.
👉 Минкомсвязь приветствует создание реестра распространителей фейков, отметил (https://tass.ru/obschestvo/7083857) Волин.

🔥 А вот немного от меня

👉 «Блокировка контента в интернете все больше доказывает свою неэффективность, заявил РИА Новости замглавы министерства цифрового развития, связи и массовых коммуникаций Алексей Волин»: ria.ru

👉 Волин подписал от Минсвязи непродуманный пустой приказ Роскомнадзора «О методах и способах ограничения доступа», который они потом протаскивали через процедуру ОРВ, получили отрицательное положительное Заключение (ага), протащили и... и в итоге он вступил в силу и лег на полку:
cnews.ru
habr.com
Действующий на данный момент и не исполняющийся Приказ Роскомнадзора от 12 декабря 2017 года. Подписан в Минюсте 15 марта 2018 года: usher2.club

👉 План учений по «устойчивому Рунету» на 2020 год digital.gov.ru
Подписан ВРИО Волиным датой 12 декабря 2019 года (причем, остальные документы этой даты подписаны самим министром цифры Носковым) и опубликован не ранее 09 января 2020 года на сайте Минцифры. Обе даты позже установленного законом срока — 01 декабря. Кстати, документ до сих пор не найден мною на сайте Роскомнадзора, как того требует федеральный закон. Что ставит под сомнение его юридическую силу

☝️ Алексей Волин — это «тяжелая артиллерия». Подписать неудобное что-то задним числом. Высказаться на нашумевшую тему. Это же СМИ, никто за фейки не накажет...
schors
usher2 ⚡️⚡️⚡️ 23 марта 2020 премьер-министр России Мишустин освободил Александра Жарова от должности руководителя Роскомнадзора:
government.ru
Эта новости висит уже часа два в топе Яндекса

☝️ Можно по разному относиться к Жарову, но именно Жаров сделал ведомство по подмахиванию лицензий (кто-нибудь помнит, чем этот странный орган занимался восемь лет назад?) в грозный Роскомнадзор, который минимум две отрасли презирают и боятся. Несмотря на конфликты, Жаров успешно противостоял двум министерствам связи — и Никифорова, и Носкова. Жаров пережил два крупных провала ведомства — DNS-атаки и блокировку Telegram. Жаров обладал такой властью и харизмой, что мог врать без оглядки и не краснея со страниц центральных СМИ каждый день, несмотря на мгновенные разоблачения. Жаров умный, чуткий и уверенный руководитель

🤘 Я считаю эту новость ни хорошей, ни плохой. Александр Жаров проявлял инициативы во многих кошмарных вещах. Но он не был один в поле воин. Да и не на сайте знакомств мы. Я думаю, никто из моих читателей не строил семейных и амурных планов на счет Александра Александровича. Профессионализм, ум и воля у него были, значит надо было, чтобы нормально выполнял работу он. Новый руководитель может оказаться или более злонамеренным, или глупее, или более «бессмертный» и заносчивый, или всё это вместе. И ему опять придется пояснять и показывать всё заново

😇 К сожалению, моей заслуги в этом нет никакой. Почему после такой речи «к сожалению»? У меня нет планов мести человеку. Для меня есть безликая должность «Руководитель Роскомнадзора». Однако, влияние на то, кто будет у должности, хотя бы самое малое, было бы неплохим достижением. Но нет. Сожалею

schors
учения usher2 💥 Сегодня должны были пройти учения в рамках обеспечения целостности и устойчивости Рунета. Темой учений должна стать отработка возможностей по блокировке трафика, зашифрованного с использованием технологий DNS поверх HTTPS и DNS поверх TLS:
digital.gov.ru

❌ Но что-то пошло не так. Пресслужба Минцифры сообщает, что учения отменили… правильно — из-за коронавируса:
interfax.ru

☝️ Не очень понятно, причем тут коронавирус. DNS поверх HTTPS и DNS поверх TLS, любые действия с ним не подразумевают собрание людей. Это тот случай, когда всё можно делать удаленно, как это сейчас модно. Мне тут подсказывают, что возможно сработал принцип «менять правила фаервола по ssh — к долгой дороге». Но нет. Учения проводят на специально подготовленных стендах

⚡️ Правильный ответ я думаю кроется в том, что график учений был подготовлен с нарушением норм ещё предыдущим составом министерства цифры в спешке. И подписан он был задним числом в январе 2020 ВРИО министра, хотя в подписанную дату — 12 декабря 2019 — множество документов было подписано самим министром. График был заполнен от балды в спешке. Никого не интересовало его содержимое. О плановых учениях следует предупреждать за 2 месяца до учений. Я уверен, что мы не сможем отыскать ни одного уведомления об учениях в период с 09 января 2020 (фактическое появление подписанного задним числом 12 декабря 2019 графика) по 18 января 2020 года. Новое министерство и вообще забыло скорее всего об его существовании и мой пост-напоминание 18 марта 2020 о предстоящих учениях был для них неприятным открытием

😱 И конечно же до цифровая трансформация ещё не произошла даже в минцифре. Для них любые события связаны с совещаниями. Предыдущие учения и были совещанием. И предстоящие, я уверен, будут в форме совещаний и презентаций. Тут, правда, стоит отметить, коронавирус не помешал провести Государственную комиссию по радиочастотам 17 марта 2019 (куча людей-чиновников и журналистов) с цирком по изгнанию cnews
schors
usher2 Кстати об учениях. Согласно графику учений (впрочем, подписанному размещённому задним числом, что делает его легитимность сомнительной) в четверг 20 марта 2020 года должны состояться учения в рамках обеспечения целостности и устойчивости Рунета. Темой учений должна стать отработка возможностей по блокировке трафика, зашифрованного с использованием технологий DNS поверх HTTPS и DNS поверх TLS:
digital.gov.ru


Собираю сведения об этих учениях. Пишите мне слухи сплетни, фотографии на косметичку. Беспокоюсь, как бы коронавирус не повлиял на столь важные, нужные и своевременные учения (О! Я научился говорить эту волшебную фразу!)
schors
usher2 Роскомнадзор начал чистить заблокированные IP примерно по 30k штук в день. Возможно включили какой-то алгоритм, чтобы не загружать свой же ТСПУ, который будет когда-нибудь. А возможно это и результат предполагаемого «подмешивания» хулиганами данных в «сканеры» Роскомнадзора, которое мы наблюдали с блокировкой DNS DigitalOcean

schors
hosting usher2 В Рунете разворачивается очередная хостинговая трагедия. Один из старейших крупных хостинг-провайдеров .masterhost попал под каток спора хозяйствующих субъектов. Подробности не известны (кроме факта необъяснимых судебных тяжб). Сервера, виртуалки, веб-хостинг, регистратор доменов — всё «лежит» почти сутки. Иногда подавая признаки жизни. Мне сложно писать такие посты. Я заинтересованное лицо. Однако, я считаю, что ни бизнес не должен быть ни чудаками, ни социально-ответственными (кто это вообще придумал?), ни клиенты не должны быть ни чудаками, ни бизнес-ответственными. Сайты лежать, проблемы есть

Немного советов и руководств. С учетом того, что я материально заинтересованное лицо

Есть ли шанс, что всё будет хорошо?
– Да, такой шанс есть. Но весь март вы проведете на пороховой бочке

Собственно, существует два основных вида проблем:
1. У меня файлы на .masterhost, мне надо их достать
2. У меня файлы не там, или есть адекватная копия

Первая пока не решаема. Или решаема эпизодически. Со второй проблемой есть второй слой с доменом:
2.1. Домен зарегистрирован у .mastername
2.2. Домен зарегистрирован ещё где-то

Если домен у .mastername, то пока ничего не сделать. Хотя, иногда заявки исполняются. Но часть RU/SU/РФ и ВСЕ ДРУГИЕ зарегистрированы не у .mastername. И тогда возможно перехватить управления NS-серверами и направить домен на другой хостинг. С КАЖДЫМ регистратором будет свой танец по получению доступа.

Как узнать, где зарегистрирован ваш RU/РФ?
cctld.ru (это официальный регулятор)
вбиваете домен, жмете кнопку, смотрите поле registrar. RD-RU/RD-RF — это .mastername
Если не .mastername, то вот список cctld.ru

Есть бэкап и домен не у RD-RU/RD-RF? Отлично! Обращайтесь к любому хостеру, вам скорее всего помогут

У меня есть хостинг, но где взять DNS?
– У многих хостингов DNS предоставляется бесплатно в дополнение. У облачных хостингов это не всегда так. Но, например, на DigitalOcean есть
– У Cloudflare.com есть бесплатный тариф. Берите только DNS. Бесплатное проксирование у них наполовину заблокировано Роскомнадзором. А вот DNS хороший. И как видите, пока ещё такие вещи можно защитить от бездумной блокировки

Я управляю доменом, но сейчас не работает почта на .masterhost
– «Почта для бизнеса» есть и у connect.yandex.ru , и у biz.mail.ru . Если вам важна сиюминутная работа — переносите почту к ним. Архив потом заберете. Или не заберете
– Возможно, имеет смысл подумать о платной почте. Например на gsuite.google.com . Или вот в Европе есть неплохие сервисы, хотя их теперь будет регулярно блокировать Роскомнадзор

У меня доменное на .mastername, файлы и DNS в другом месте. Я управляю анкетой домена в .mastername, я не знаю куда и зачем переносить домен и надо ли?
– Неясно. Возможно, .mastername выкарабкается. Пока просто наличие домена у этого регистратора проблемой не является
– Домен RU/РФ? Сомневаетесь? Боитесь? Не знаете бежать или нет? Отдайте анкету мне. В панели управления .mastername надо передать её на партнерский договор 193877/RD-G и написать на support@diphost.ru (для заведения нашей анкеты). Если .m выживет, анкету можно будет забрать, панель .m не даёт вмешиваться партнеру (мне) в этот процесс. Также можно будет без участия партнера (меня) сменить NS-сервера. Если .mastername не выживет, мы дружно поменяем регистратора. Мой ценник на RU/РФ — 300 рублей

Группы для обсуждения: t.me и t.me
schors
usher2 ⚡️⚡️⚡️ Недолго музыка играла. Все три NS-сервера DigitalOcean опять забанены в 23 часа по Москве

😎 Кто-то откровенно дёргает за усы Роскомнадзоровский автомат. На ns1 и ns2 открыт только 53-ый порт с DNS. С ns3 всё не так. Но заблокирована вся троица одним махом
schors
usher2 ⚡️ Как-то мне так обидно стало за тех, кто пользовался DNS DigotalOcean, что… Нет их больше в реестре. Пользуйтесь

Остаётся открытым вопрос, как они туда попали

👉 На ns3.digitalocean.com странное, такое впечатление, что Cloudflare намудрили что-то с проксированием и фронтингом. Но с ns1 и ns2 видимых проблем мы не нашли

☝️ Возможно, это частичное «подмешивание» маршрутной информации. Но такое бы скорее всего заметили независимые системы мониторинга. Я как-то писал уже, что «подмешивание» маршрутов является острой проблемой. Но до неё «государевым защитникам интернету» нет дела. Ведь разрушительные репости и твиты не ждут!

☝️ Возможно, кто-то «подмешал» данные, зная где их прослушивают. Мы не знаем как работает «прослушка» и соответственно не знаем точно, как можно «подмешать». Но кто-то может и знает, или догадался. Посылал что-то похожее в никуда. А на ns3 возможно оно ещё и ответило правильно

😎 В любом случае, кто-то опять подёргал за усы автоматику Роскомнадзора
schors
uhser2 ⚡️⚡️⚡️‼️ Обновление информации по DigitalOcean. Роскомнадзор блокирует ВСЕ ТРИ DNS-сервера DigitalOcean. ns1, ns2 и ns3. Если у вас домен на DNS DigitalOcean и он используется из России — у вас проблемы с доступностью ресурса

P.S. Заодно обратил внимание (подсказали читатели), что это инфраструктурная сеть Cloudflare cloudflare.com
schors
usher2 ⚡️⚡️⚡️ Есть такой популярный облачный сервис — DigitalOcean. Для удобства в него входит дополнительная услуга DNS. Роскомнадзор только что заблокировал несколько NS-серверов DigitalOcean по «телеграмовскому резиновому» решению Генпрокуратуры

✅ ns2.digitalocean.com не заблокирован

🔥 но может быть ограничен по IP-адресу:
173.245.59.41
2400:cb00:2049:1::adf5:3b29
❌ /n_2129086 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
• ст. 15.3 (http://www.consultant.ru/document/cons_doc_LAW_61798/34547c9b6ddb60cebd0a67593943fd9ef64ebdd0/), мятеж и фейки
как ip 173.245.59.41

типы блокировки: ip: ❌
✅ Данные синхронизированы: 2020-03-02T18:45:00+03:00

❌ (ip) /n_2129086 Генпрокуратура 27-31-2018/Ид2971-18 2018-04-16
• ст. 15.3 (http://www.consultant.ru/document/cons_doc_LAW_61798/34547c9b6ddb60cebd0a67593943fd9ef64ebdd0/), мятеж и фейки
внесено: 2020-03-02T15:33:26+03:00

IP: 198.41.222.173
IP: 173.245.58.51
IP: 173.245.59.41

✅ Данные синхронизированы: 2020-03-02T18:45:00+03:00
schors
DNS usher2 ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Пришлось сверлить сейф. Реальный физический сейф. Процедура затянулась, сейф успешно вскрыли, но с опозданием:
twitter.com

Мировой DNS спасен. Церемония была проведена:
twitter.com

Видео с церемонии можно посмотреть на официальном сайте IANA:
iana.org

P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC telegram.me и мой канал
schors
DNS usher2 ⚡️⚡️⚡️ 12 февраля 2019 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Вот начали сверлить сейф. Не фигурально. Реально сверлить физический сейф:
twitter.com

☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»

🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»
schors
DNS usher2 И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: slideshare.net
(доклада не существует)

✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: slideshare.net
Видео Часть 1: youtu.be
Видео Часть 2: youtu.be
Видео Часть 3: youtu.be
Видео Часть 4: youtu.be
Видео Часть 5: youtu.be

✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: slideshare.net
Видео: youtu.be

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
schors
DNS usher2 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC

Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
twitter.com

Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен

Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
gov-cert.ru
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
schors
usher2 📧 И ещё немного про почту. Я честно ещё в прошлом году, будучи в отпуске в Тайланде, думал эту тему развить из-за ситуации с protonmail, но поленился. Решил, что тема не пойдет дальше имитации бурной деятельности. К сожалению, даже понятие «имитация» очень оригинально интерпретируется исполнительной властью. Я не разбираюсь в рынке мобильных приложений, я плохо смыслю в радиосвязи, но я хорошо понимаю в DNS и электропочте — это мои темы. Например, я даже доклад как-то делал на большой конференции (рекомендую, он конечно устарел, но не сильнее, чем сама электропочта):
vimeo.com
Рассказываю я правда 11 лет назад так себе, но по сути я его сам пересматриваю

✅ У читателей возник резонный вопрос — а как собираются проверять что заблокированы сервера исходящей почты? Эти сервера и так ни на что не отвечают, а только сами устанавливают соединения. Видимо именно с этим связаны жалобные письма ГРЧЦ

✅ Крупные почтовые сервера не блокируют «транзит» до своих почтовых серверов. Я только что успешно получил письмо с startmail.com на адрес на Яндексе. Яндекс не является оператором связи. Не очень понятно, как его вынудить блокировать. При этом, на Яндексе есть как обычная электропочта, так и бизнес-электропочта на домене организации. Можно проверить на MailRu и Rambler, но у меня нет там аккаунтов, не стал заниматься экспериментом

✅ Отвечаю на вопрос — заблокировали ли реально почту? Если между заблокированным почтовым сервисом и почтовым сервисом получателя нет фильтра, то почта ходить будет. Например, почтовый сервис получателя может иметь резервные сервера приема почты в разных точках мира. Если почтовый сервер получателя стоит внутри сети провайдера за фильтром, или транзитный провайдер на пути к хостеру, где стоит почтовый сервер получателя, фильтрует транзит — почта действительно заблокирована. Заблокированы И домены, И IP-адреса. На всякий случай

💥 Будут ли теперь приходить ложные сообщения о минированиях? Конечно. Им ничего не мешает. Хулиганы могут даже дойти до «троллинга» того же Яндекса или MailRu, отправляя почту с аккаунтов на Яндексе (или MailRu). Силовики действительно будут видеть, откуда и кто зарегистрировал такие аккаунты внутри страны. Например с коммутатора в Иране или Сирии, или взломанного WordPress на хостинге Selectel (например)
schors
⚡️ Позже всех. Ну почти.

⚡️ Роскомнадзор сегодня сообщил, что ограничил доступ к почтовому сервису startmail.com, потому что оттуда рассылались ложные сообщения о разминировании:
rkn.gov.ru

☝️ Почему это потенциально открывает врата в такой ад, который войне с Telegram и не снился:
➡️ Электропочта работает по принципу обычной почты. Вы пишите письмо «С нём Рождения, Петя!» и подписываете «Твой друг — Вася». Кадете в конверт, на котором выводите адрес Пети и свой адрес в графе «от кого». Затем клеите марки и кидаете в ящик. При этом вы можете быть Машей и Юлей соответственно. Никто не запрещает вам написать «Вася» и «Петя»
➡️ В 2020 году действительно бывают методы, которые устанавливают, откуда может слать почту Вася, что сильно ограничивает возможность писать произвольные адреса. В теории. Жёсткую политику мало кто поддерживает. Из популярных в России почтовых сервисов так делает только почта Mail.ru. Startmail имеет нестрогую политику (записи SPF с ~all, но есть DMARC, регламентирующий карантин при несовпадающем с SPF адресе отправки)
➡️ Электропочта имеет давно установившиеся практики и единый протокол. Попытка удара по сервисам электропочты возможно будет не так эффектна, как блокировка Telegram, но очень «эффективна» в смысле сопутствующего ущерба

😱 Тема с письмами о ложных минированиях — порядком утомившая безграмотная чушь. Если силовикам надоело реагировать на анонимные письма/сообщения, то надо просто перестать на них реагировать. Единичная блокировка почтовых сервисов не решит проблему анонимок ни с какой точки зрения

⚠️ Заблокировано всё – всё на всякий случай по IP, вообще все поддомены домена startmail.com (83 штуки), включая базу знаний, службу поддержки, рекламные сервисы и панель управления DNS (судя по всему такая услуга у startmail есть). Напоминаю, что проверять блокировки можно ботом t.me

‼️ Законодательство и нормативная правовая база России не умеет блокировать сервисы. Кривоватая формулировка есть только в статье, по которой блокируют Telegram. В остальных случаях формулировки про «указатели страниц в сети». Почтовый сервис заблокирован по статье 15.3 закона «об информации». Там про прокурорскую мгновенную блокировку страниц в интернете за экстремизм и призывы к массовым беспорядкам. Роскомнадзор в своей новости что-то мямлит про «не предоставили по запросу российской стороны сведений о лицах», но такой причины блокировки даже для внутреннего потребления нет. А во вне — это вообще плохой аргумент. Блокировка строго незаконная.

😃 Я уже призывал к правлению декретами? Какой смысл в законах, которые вообще никто не исполняет? Судя по всему, неделю назад мой призыв был услышан…

⚠️ Роскомнадзор говорит: «Мы понимаем, что осуществление ограничения доступа к данному почтовому ресурсу не перекроет полностью каналы распространения подобной информации злоумышленниками, однако считаем, что принятые меры должны затруднить осуществление таких действий в дальнейшем и существенно снизить их масштаб»
Нет, не позволит. Это копеечное усложнение. Люди просто воспользуются другим сервисом

🔥🔥🔥 Хочу обратить внимание, что пользователи того почтового сервиса, как и сам сервис — добросовестные участники отношений. Не обязательно быть «плохим парнем», чтобы «отхватить» блокировку. Это очень важно

😱 Я разрываюсь в оценке. Это или дремучее невежество, помноженное на наплевательство на всё, кроме цели. Или это попытка дискредитации зарубежных сервисов, чтобы по возможности локализовать и почту
schors
usher2 Что успело случиться у вас в 2020 году? Я вот успел принять участие в рекордном за всю историю проведения Велопараде Дедов Морозов в Санкт-Петербурге

⚡️ Но да ладно. В новогодней суете мы пропустили важный документ — план учений по «устойчивому Рунету» на 2020 год. Когда я писал о псевдоучениях 23 декабря 2019 года, я упоминал, что план на 2020 год отсутствует. Но наш вечно голодный друг Игорь Королев из Cnews нашёл план учений на 2020 год на сайте Минцифры:
digital.gov.ru
Подписан ВРИО Волиным и опубликован 12 декабря 2019 года на сайте Минцифры. Тихо, без помпы

⛔️ По Постановлению Правительства Российской Федерации от 12.10.2019 № 1316 о «Положении об учениях» план должен утверждаться до 1-го декабря
⛔️ По тому же «Положению об учениях», план должен быть опубликован Роскомнадзором не позднее 5 рабочих дней на сайте Роскомнадзора. Ни логическим поиском, ни через форму поиска на сайте Роскомнадзора, ни с помощью поисковых систем — найти документ не удалось

🔥 Правовой статус этого графика с учетом нарушений его разработки не очевиден

😎 Но этот график принес нам прекрасного

«Отработка возможностей по блокировке трафика, зашифрованного с использованием технологий DNS поверх HTTPS и DNS поверх TLS»
Звучит пугающе. Может создаться ложное впечатление, что предполагается отработка деструктивных действий, а не защитных. Я конечно ошибаюсь, российская доктрина информационной безопасности исключительно защитная. И закон об «устойчивом Рунете» говорит о внутренних учениях, о защите Рунета, а не нападении

«Отработка противодействия атакам с использованием уязвимостей протокола BGP»
Вот это уже интересно. И конструктивно. И вообще, можно было с этого начать. Но есть нюанс (простите). Закон и подзаконные акты «об устойчивом Рунете», как и всё законодательство в области информации и связи, ничего не знает про такое противодействие. Можно под новый год (а это будут «рождественские» учения) достать шампанское, оливье и строго говорить протоколу BGP: «НЕ БАЛУЙ!!»


План, конечно, изобилует подробностями и понятен всем неописаным в нём участникам. Как всегда впрочем. Все хотят изображать бурную деятельность (в данном случае Министр связи и Роскомнадзор) и ни за что не нести никакой ответственности
schors
usher2 regulation Под новый год 30 декабря 2019 года был официально опубликован ещё один документ по «устойчивому Рунету» — «Требования к серверам DNS» (приказ Минцифры от 16.10.2019 № 510):
publication.pravo.gov.ru

Ранее, проект этого Постановления получил отрицательное Заключение по итогам оценки регулирующего воздействия. Кроме того, проект норматива был размещен с целым рядом нарушений:
usher2.club

Опубликованный результирующий документ отличается от доработанного по итогам публичного обсуждения и направленного для получения Заключения. Убраны некоторые пункты, увеличен срок вступления в силу, приказ ФСТЭК заменен косвенной отсылкой третьей степени вложенности на пункт норматива из другой сказки. В этом случае, согласно регламенту работы Правительства, он должен был пройти повторное размещение. Но регламент работы, судя по всему, для… А для кого, кстати? Непонятно, зачем тогда он нужен и зачем все эти лишние телодвижения. При желании и доле удачи, можно поднять вопрос о легитимности принятого в обход действующей нормативной правовой базы правового акта.

🔥 Неожиданно, я остановлюсь на этом документе подробнее. Мне интересно, где предел безответственности, некомпетентности и наглости нынешнего состава Минцифры? Каждый раз я думаю — вот он, дальше уже слишком, но нет...

➡️ Документ касается вообще всех тех, у кого есть номер автономной системы и он находится в России. И провайдеров, и хостеров, и ОРИ. Вы ещё не ОРИ? Это вопрос времени. Интересно, а у кого нет автономной системы? Ну да ладно, такой закон. Резюмируя, если вы хоть какое-то отношение к телекому, хостингу или созданию веб-сервисов имеете — это для вас. Через три года должны внедрить и использовать

➡️ Формально так и не ясно про что этот документ. Но как и раньше подозреваю, что про DNS-ресолверы (именно их вы указываете при настройке интернета в графе «DNS»). Об этом говорит многострадальный пункт про «не более 100мс с момента получения ответа от внешнего источника адресной информации», который раньше был пятью секундами (над которыми все смеялись), потом просто 100мс. В текущем виде эта цифра нормальная, но я не знаю как её измерить даже специально. Она не значит ничего. При этом специального регулирования авторитативных серверов (не, что обычно называют NS) нет

➡️ Оставлена ничего не значащая неисполнимая вода про обеспечение бесперебойного функционирования. Это как «незамедлительно» и «вечный двигатель». Никаких условий в цифрах нет

➡️ Единственным отличием от обычных DNS-ресолверов — декларация взаимодействия с «Национальной системой доменных имен» без раскрытия этого взаимодействия

🙈 Требования условий жесткого приказа ФСТЭК заменили на, процитирую: «... обеспечение соответствия технических и программных средств (прим. Фила — пропустим определение DNS-сервера) .... требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, установленным в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента...» У меня глаза вытекли от самой формулировки... 8-ой пункт Положения о ФСТЭК устанавливает полномочия ФСТЭК. Подпункт 13.1 устанавливает полномочия по установке обязательных требований в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений гостайны и ограниченного доступа.
‼️ Публичный общедоступный сервис должен будет выполнять некие требования по защите ограниченной информации. Я плохо понимаю, как это «проскочило» Минюст (Минюст, как?!)

❌ Принятая норма содержит как минимум один неисполнимый пункт: «в) обеспечение передачи данных, используемых в целях выявления в иформационно-коммуникационной сети Интернет сетевых адресов, соответствующих доменным именам, в неизменном виде;» Проблема в том, что основная проблема DNS — лёгкая подмена сообщений. На уровне стандарта
schors
учения usher2 «И если ты долго смотришь в бездну, то бездна тоже смотрит в тебя»

Отчет об учениях 23 декабря 2019. Мы решили провести свои настоящие «учения», чтобы, так скажем, заглянуть в те, официальные, «учения», пока они смотрят в нас. И возможно дать хоть какой-то предмет для каких-то слов на совещаниях

👉 Помните, уже пару раз Рунет «ложился» из-за того, что третьи лица могут косвенно управлять системой блокировок (в рамках конечно, но всё же):
usher2.club
usher2.club
Достаточно купить освободившийся домен из «реестра», коих сейчас не меньше 8600 (свободных доменов из реестра).

☝️ Некоторые домены, которые можно купить, имеют много поддоменов в реестре запрещенки. Т.е. купив всего-лишь один домен, можно не привлекая внимания достаточно заметно «труба шатать». Некоторые домены не заблокированы, а заблокированы только URL из этих доменов, некоторые домены заблокированны именно как домены. И во втором случае это уже более серьёзно, потому что часть систем фильтрации блокирует всё, что находится на IP этого домена (часть — нет)

🤘 Попытка сделать надпись «на коленке» как в прошлом году usher2.club не была такой же удачной. Во-первых, «выгрузка» распухла и выяснение всех IP всех 120 тысяч доменов стала занимать раза в два дольше времени. Во вторых, попытка «маскироваться» под десятками поддоменов приводит к тому, что график не резкий, а плавнй, и к нему приходится строго применять теорему Котельникова. В процессе обнаружил, что меня забанил whois сервис (это сервис, который показывает состояние домена — кем куплен, до какого оплачен, или может свободен) администратора многих новых зон donuts.domains . Т.е. я не вижу множества «протухших» доменов из зон .CLUB, .XYZ и тому подобных. Т.е. их сильно больше 8600

😱 Послушал официальный доклад Минцифры про учения (был в 18 часов). «Подведем итоги [официальное название на 10 секунд]. Было отработано несколько сценариев. Первый был связан с [повторение предыдущего официального текста из названия], в том числе от внешних негативных воздействий (без подробностей). ПД и прослушка пользователей мобильников. Исследованы риски интернета вещей. С МЧС вопросы восстановления». Ну и там дальше вода про сценарии о сценариях про учения
🎧 Миша звук выложил t.me

schors
usher2 Немного про блокировочки. Я давал ссылку на сайт duralex.org. Оказывается, там заблокирован некий URL(можно проверить моим ботом t.me Но некоторые провайдеры блокируют целиком сайт. Например мобильный Tele2 в Омске. Это незаконно (именно так). Наверное и DNS-атаки работают: usher2.club А «протухших» доменов сейчас 8608. Как-то так.