> Это именно полный контроль государством рунета, что я называю «обособление». К чему это приведёт? К злоупотреблениям со
> стороны партии власти, белым спискам и т.п. Особенно возмутителен первый пункт.
Риск злоупотреблений, безусловно, есть. Но когда всё это в руках коммерсов — это никак не исключает злоупотреблений :-) Руцентр, например, в единый миг послал всех партнёров нафиг, и вместо партнёрских цен выставил всем розничные, без объявления войны и без возможности это как-то опротестовать. И это несмотря на заключённые договоры.
А чем конкретно вас так возмущает первый пункт? Государственная компания — это компания, у которой контрольным пакетом обладает государство. РЖД, Роснефть, ОАК, ОСК, Ростех — это тоже государственные компании, но это же никаких проблем не создаёт.
>> Местами ведь вообще до идиотизма доходит — трафик между Москвой и Питером через Амстердам катается.
Тут согласен.
А знаете, почему он так катается? Потому что точки обмена трафиком принадлежат разным коммерческим конторам, и эти конторы не могут между собой договориться о прямом обмене трафиком. Почитайте про «пиринговые войны». Сейчас с этим ситуация не такая жёсткая, конечно, как на заре интернет-бума, но отголоски до сих пор наблюдаются, и ситуации, когда трафик между двумя российскими площадками ходит через Европу (а то и вовсе через Штаты) — они всё ещё есть. Если государство в этой сфере наведёт порядок — я могу это только приветствовать.
Требование же, чтобы владельцем были только российские юридические лица — тоже вполне логично. Про лицензирование я вот только не очень понял, что там конкретно планируется лицензировать. Так как сейчас каждый оператор связи должен получать лицензию.
Насчёт «белых списков» — мне кажется, что эти страхи не обоснованы. Блокировкам от Роскомнадзора уже сколько лет, а белые списки до сих пор не введены :-) Даже наоборот, после идиотизма первых схем блокировки и проверки их качества, есть некое движение в правильную сторону. Возможно, это движение и медленное, и не во всём оно технически правильное, но оно есть, и надеюсь, вектор сохранится.
Есть мнение, что этот контракт был нужен РФ для получения проектной документации на «авионику» (или как оно там в случае кораблей называется?). В общем, на набортное электронное оборудование, именно с этим у нас была наибольшая проблема. Корабли-то построить можно было и у нас.
> И что собственно? Как это связано с обособлением российского сегмента?
Напрямую. Не будет доступа к корневым DNS-серверам — будут большие проблемы. Связность на физическом уровне от этого не пострадает, а вот на логическом — очень даже. Пусть и временные, но проблемы будут. Учитывая сильно отличную от нуля вероятность таких событий — не вижу ни единой причины, чтобы не принять меры заранее, «пока не началось».
> Опять же, как обособление российского сегмента защитит от этого? Если гугл захочет — он в любом случае прекратит обслуживание
> в России.
Ну во-первых, я не очень понимаю, с чего вы стали говорить про «обособление российского сегмента». А во-вторых — это же ваше заявление, что «компании не захотят терять прибыль». Я вам возразил, что любую компанию прогнуть — раз плюнуть, тем более компанию, находящуюся в нужной юрисдикции.
> Советую вам смотреть новости из разных источников всё же. Франция своих денег за мистрали не лишилась, они просто продали их
> Египту.
Советую вам немножко подумать. За Мистрали Франция ЧТО-ТО выручила. Но во-первых — не столько, сколько они стоили, потому что кому нужны корабли, над которыми ещё возиться и возиться, да к тому же часть этих кораблей — собственность РФ, как ни крути, так как производились на российских предприятиях. А во-вторых — репутационные издержки во много раз превышают те жалкие крохи, которые Франция получила от Египта за «Мистрали». Индия, отказавшаяся от контракта по «Рафалем» — это только один, широко известный пример. А сколько заказчиков отказались по-тихому от работы с французскими оружейниками. Только один контракт на «Рафали» оценивался в 10 млрд евро. После всего этого — вы продолжаете считать, что «Франция денег не лишилась»?
> Для защиты от любого из перечисленных вам действий не нужно обособление рунета.
Ещё раз, про обособление — это вы себе придумали. Никакого обособления на самом деле не планируется. Меры, направленные на возможность полноценного автономного существования рунета — это не обособление. Местами ведь вообще до идиотизма доходит — трафик между Москвой и Питером через Амстердам катается. Согласитесь, что так быть не должно.
Так что принимаемые меры — это касается информационной безопасности страны, и это в наших же интересах. Вас новости, в которых фигурируют понятия «кибер-командование», «tailored access operations», «state-sponsored attacks» не приводят к мысли, что в связи с этим стоит стоит предпринимать?
> «Ну вы же умный человек, должны понимать, что ...»
Нет, меня действительно удивляет зашоренность многих умных людей в этом вопросе.
> Компании не захотят терять прибыль от российского сегмента.
А вы новости читали/смотрели за последние два года? «Партнёры» умудряются целые СТРАНЫ наклонять в коленно-локтевую позу (см. историю с «Мистралями», с невыгодными санкциями и т. п.). А вы говорите — «компании не захотят терять прибыль». Компании, да ещё находящиеся полностью в юрисдикции «партнёров» нагнуть куда проще, чем отдельные страны. «Мистрали», к тому же, не просто потеря прибыли, это колоссальный удар по репутации, невообразимых масштабов. Так что какой-нибудь Google заставить прекратить обслуживание клиентов из России — это в вообще раз плюнуть. Ещё можно заблокировать доступ к корневым DNS-серверам, а ещё можно… Ну, в общем, в таком духе.
Поэтому для меня, например, необходимость подготовки российского сегмента интернета к автономному существованию — это абсолютно логичный и жизненно необходимый шаг. Делается это не для того, чтобы кому-то там запрещать котиков в ютубе смотреть, а для того, чтобы всё не навернулось со страшным грохотом, если вдруг какие-то из перечисленных выше действий будут в отношении РФ предприняты.
Я вот тоже читаю подобные темы, и каждый раз меня оторопь берёт — вроде же умные люди сидят, но как только тема хоть чуть может быть политизирована, то сразу начинается: «империя», «железный занавес», «пора валить». Т. е. мозги отключаются напрочь.
Мозгов вроде бы хватает, но в эти мозги не помещается простая мысль, что отключение сегмента Рунета возможно. Только инспирировано оно будет СНАРУЖИ, а не изнутри. И чтобы не получить массовую попоболь от разрыва связности российского сегмента интернета, нужно заранее принять надлежащие меры. Именно на это направлен, в первую очередь, этот закон.
Никакой альтернативы серверному хранению документов нет. Кроме технической неспособности какого-то софта работать с сетью (с сетевыми шарами). В идеале схема должна выглядеть так — каждому юзеру при входе мапится пачка сетевых дисков с нужными документами, а на рабочем столе раскладываются ярлыки с не очень нужными документами.
«Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.
На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
Нас пока не заставляли. По крайней мере, ничего такого не слышно. Есть СОРМ на телефонию, на интернет-трафик СОРМа нет, обрабатываем запросы из органов ручками по мере поступления.
Какой перехват, я вас умоляю! Андроид дырявее 95-ой винды, никакой перехват не нужен, чтобы получить переписку из телефона. Да в общем-то, и вообще практически любые данные из смартфона.
> Существует ли такая блокировка, которая позволяет блокировать отдельный URL, а не весь домен, не смотря на то что протокол HTTPS.
Существует, но вам она не понравится. Альтернатив две — либо блокировать с детализацией до имени хоста, либо с детализацией до URL.
Если идти по пути 1, то есть косяк — невозможно отдать страницу блокировки (если, конечно, не делать нечто самописное, что сможет обрабатывать HTTPS). Т.е. блокировка будет выглядеть просто как «connection timed out». Что, как вы понимаете, приведёт к немедленному раскалению добела телефонов техподдержки провайдера.
Если идти по пути 2, то есть другой косяк. Для этого придётся подсовывать клиенту при обращении на блокированный IP левый сертификат, чтобы увидеть URL. Что является классической схемой MITM. Т.е. провайдер будет вынужден расшифровывать HTTPS-трафик от клиента, чтобы заглянуть и определить URL. Но если трафик уже расшифрован, то увидеть можно и не только URL. А, например, пароли от личной почты, номера банковских карт при покупках через интернет и т. п.
Товарищ, заметьте — я не спрашивал, почему «тех» поймали или нет. Я всего лишь задал вопрос человеку, заявившему, что «лучше бомбисты, чем гэбьё» — готов ли он это повторить, глядя в глаза родственникам погибших в терактах.
Чтобы попасть в «зону интересов» ФСБ, надо порядком так постараться. Учитывая, что мелкие грешки физических (да и юридических) лиц их не особо интересуют…
> Ваша наивность говорит о том, что вам никогда лично не приходилось сталкиваться с «чистыми
> руками и холодной головой» небезызвестной конторы. А мне приходилось. Каждый раз когда
> вспоминаю, от гадливости появляется желание вымыть глаза и уши с мылом и мочалкой, хотя я
> и не пострадал от этого «общения»
Поделитесь историей.
Я имел дело с ФСБшниками. Два раза подпадал под обыск в съёмной квартире — соседи по квартире проходили по делам о мошенничестве. И три раза был понятым — дважды на задержании (от начала до конца, т. е. от сбора спецгруппы и до сопровождения задержанного в контору) и один раз на расшифровке записей телефонных разговоров. Во всех случаях всё было предельно вежливо и корректно.
Какая там репутация, я вас умоляю! Из тех, кто запалился за выпуском левых сертификатов выпилили только каких-то аутсайдеров, типа ТуркТраст или безвестный китайский CA.
А, например, Comodo, пойманный на том же самом — ничего, живёт и здравствует. Причём вот тут (https://www.schneier.com/blog/archives/2011/03/comodo_group_is.html) товарищ утверждает, что Comodo имел подобные проблемы более одного раза.
А, например, Гугл и Apple данные пользователей сливают в инстанции, и ничего, все продолжают ими пользоваться: https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data
Тоже не очень понимаю панику. При использовании алгоритмов типа DHE ключи всё равно генерятся динамически. Да — подписываются сертификатом сервера (при определённых условиях). Но трафик можно расшифровать только в том случае, если вы прикидываетесь удалённым сервером. Для ВСЕХ HTTPS-соединений это сделать технически крайне затруднительно, мощности потребуются совершенно недетские.
При этом писать весь трафик — просто нереально. К примеру, у нас только с региональных брасов, где абонентов всего тысяч десять, только информация netflow за прошлый год занимает 3.5 Тб. Это только метаинформация о соединениях (IP, порты, размер пакета, timestamp, всякое такое), без содержимого самих соединений.
Учитывая вышеизложенное, пользоваться функцией расшифровки на лету можно только в конкретных случаях — когда появился повод заинтересоваться конкретным абонентом. Тогда ДЛЯ КОНКРЕТНОГО АБОНЕНТА могут попросить такое и запилить.
С другой стороны, смысла в этом не особенно много. Так как HTTPS — это далеко не единственный способ безопасной коммуникации. Вреда и геморроя от подобного решения будет гораздо больше, чем выхлопа. Так что я сомневаюсь, что оно будет принято.
> Очень странно что во всех источниках по родажам рулят корейцы
Ссылочку потрудитесь предоставить, где корейцы якобы рулят на рынке РФ?
> Как лихо вы японцев с французами подписали под жигули…
Товарищ, я там даже отдельным абзацем написал, что цифра 269096 — это только ВАЗовские модели. Суммарно концерном АвтоВАЗ-Рено-Ниссан за 2015 год в России было продано более полумиллиона автомобилей.
Я смотрел статистику, например, вот здесь: http://abreview.ru/stat/aeb/
А Ваша информация откуда?
> стороны партии власти, белым спискам и т.п. Особенно возмутителен первый пункт.
Риск злоупотреблений, безусловно, есть. Но когда всё это в руках коммерсов — это никак не исключает злоупотреблений :-) Руцентр, например, в единый миг послал всех партнёров нафиг, и вместо партнёрских цен выставил всем розничные, без объявления войны и без возможности это как-то опротестовать. И это несмотря на заключённые договоры.
А чем конкретно вас так возмущает первый пункт? Государственная компания — это компания, у которой контрольным пакетом обладает государство. РЖД, Роснефть, ОАК, ОСК, Ростех — это тоже государственные компании, но это же никаких проблем не создаёт.
А знаете, почему он так катается? Потому что точки обмена трафиком принадлежат разным коммерческим конторам, и эти конторы не могут между собой договориться о прямом обмене трафиком. Почитайте про «пиринговые войны». Сейчас с этим ситуация не такая жёсткая, конечно, как на заре интернет-бума, но отголоски до сих пор наблюдаются, и ситуации, когда трафик между двумя российскими площадками ходит через Европу (а то и вовсе через Штаты) — они всё ещё есть. Если государство в этой сфере наведёт порядок — я могу это только приветствовать.
Требование же, чтобы владельцем были только российские юридические лица — тоже вполне логично. Про лицензирование я вот только не очень понял, что там конкретно планируется лицензировать. Так как сейчас каждый оператор связи должен получать лицензию.
Насчёт «белых списков» — мне кажется, что эти страхи не обоснованы. Блокировкам от Роскомнадзора уже сколько лет, а белые списки до сих пор не введены :-) Даже наоборот, после идиотизма первых схем блокировки и проверки их качества, есть некое движение в правильную сторону. Возможно, это движение и медленное, и не во всём оно технически правильное, но оно есть, и надеюсь, вектор сохранится.
Напрямую. Не будет доступа к корневым DNS-серверам — будут большие проблемы. Связность на физическом уровне от этого не пострадает, а вот на логическом — очень даже. Пусть и временные, но проблемы будут. Учитывая сильно отличную от нуля вероятность таких событий — не вижу ни единой причины, чтобы не принять меры заранее, «пока не началось».
> Опять же, как обособление российского сегмента защитит от этого? Если гугл захочет — он в любом случае прекратит обслуживание
> в России.
Ну во-первых, я не очень понимаю, с чего вы стали говорить про «обособление российского сегмента». А во-вторых — это же ваше заявление, что «компании не захотят терять прибыль». Я вам возразил, что любую компанию прогнуть — раз плюнуть, тем более компанию, находящуюся в нужной юрисдикции.
> Советую вам смотреть новости из разных источников всё же. Франция своих денег за мистрали не лишилась, они просто продали их
> Египту.
Советую вам немножко подумать. За Мистрали Франция ЧТО-ТО выручила. Но во-первых — не столько, сколько они стоили, потому что кому нужны корабли, над которыми ещё возиться и возиться, да к тому же часть этих кораблей — собственность РФ, как ни крути, так как производились на российских предприятиях. А во-вторых — репутационные издержки во много раз превышают те жалкие крохи, которые Франция получила от Египта за «Мистрали». Индия, отказавшаяся от контракта по «Рафалем» — это только один, широко известный пример. А сколько заказчиков отказались по-тихому от работы с французскими оружейниками. Только один контракт на «Рафали» оценивался в 10 млрд евро. После всего этого — вы продолжаете считать, что «Франция денег не лишилась»?
> Для защиты от любого из перечисленных вам действий не нужно обособление рунета.
Ещё раз, про обособление — это вы себе придумали. Никакого обособления на самом деле не планируется. Меры, направленные на возможность полноценного автономного существования рунета — это не обособление. Местами ведь вообще до идиотизма доходит — трафик между Москвой и Питером через Амстердам катается. Согласитесь, что так быть не должно.
Так что принимаемые меры — это касается информационной безопасности страны, и это в наших же интересах. Вас новости, в которых фигурируют понятия «кибер-командование», «tailored access operations», «state-sponsored attacks» не приводят к мысли, что в связи с этим стоит стоит предпринимать?
Нет, меня действительно удивляет зашоренность многих умных людей в этом вопросе.
> Компании не захотят терять прибыль от российского сегмента.
А вы новости читали/смотрели за последние два года? «Партнёры» умудряются целые СТРАНЫ наклонять в коленно-локтевую позу (см. историю с «Мистралями», с невыгодными санкциями и т. п.). А вы говорите — «компании не захотят терять прибыль». Компании, да ещё находящиеся полностью в юрисдикции «партнёров» нагнуть куда проще, чем отдельные страны. «Мистрали», к тому же, не просто потеря прибыли, это колоссальный удар по репутации, невообразимых масштабов. Так что какой-нибудь Google заставить прекратить обслуживание клиентов из России — это в вообще раз плюнуть. Ещё можно заблокировать доступ к корневым DNS-серверам, а ещё можно… Ну, в общем, в таком духе.
Поэтому для меня, например, необходимость подготовки российского сегмента интернета к автономному существованию — это абсолютно логичный и жизненно необходимый шаг. Делается это не для того, чтобы кому-то там запрещать котиков в ютубе смотреть, а для того, чтобы всё не навернулось со страшным грохотом, если вдруг какие-то из перечисленных выше действий будут в отношении РФ предприняты.
Мозгов вроде бы хватает, но в эти мозги не помещается простая мысль, что отключение сегмента Рунета возможно. Только инспирировано оно будет СНАРУЖИ, а не изнутри. И чтобы не получить массовую попоболь от разрыва связности российского сегмента интернета, нужно заранее принять надлежащие меры. Именно на это направлен, в первую очередь, этот закон.
«Лазить замучаешься» — можно решить, опять-таки, группировкой ярлыков в локальной папочке. Документов на рабочих станциях быть не должно.
На моём предыдущем месте работы юзеры сначала горестно вопили, что когда документы хранятся на сервере — «это неудобно, это (якобы) тормозно» и т. п. После чего им объяснили, что на серверах всё регулярно бэкапится, и лежит не на десктопных ненадёжных дисках, а на системах покрепче. В случае же вылета рабочей станции разбираться и тянуть данные с неё никто не будет — им выдадут новый комп, и всё. Даже если диск цел — то данные с него будут извлекаться только по служебкам, завизированными лично начальником отдела и директором фирмы. А если с диском на рабочей станции проблемы, и какие-то документы оказались потеряны, то будет виноват тот самый конкретный %username%, который эти документы на этом диске хранил, и сей факт будет иметь для %usename% определённые организационные последствия.
Существует, но вам она не понравится. Альтернатив две — либо блокировать с детализацией до имени хоста, либо с детализацией до URL.
Если идти по пути 1, то есть косяк — невозможно отдать страницу блокировки (если, конечно, не делать нечто самописное, что сможет обрабатывать HTTPS). Т.е. блокировка будет выглядеть просто как «connection timed out». Что, как вы понимаете, приведёт к немедленному раскалению добела телефонов техподдержки провайдера.
Если идти по пути 2, то есть другой косяк. Для этого придётся подсовывать клиенту при обращении на блокированный IP левый сертификат, чтобы увидеть URL. Что является классической схемой MITM. Т.е. провайдер будет вынужден расшифровывать HTTPS-трафик от клиента, чтобы заглянуть и определить URL. Но если трафик уже расшифрован, то увидеть можно и не только URL. А, например, пароли от личной почты, номера банковских карт при покупках через интернет и т. п.
> руками и холодной головой» небезызвестной конторы. А мне приходилось. Каждый раз когда
> вспоминаю, от гадливости появляется желание вымыть глаза и уши с мылом и мочалкой, хотя я
> и не пострадал от этого «общения»
Поделитесь историей.
Я имел дело с ФСБшниками. Два раза подпадал под обыск в съёмной квартире — соседи по квартире проходили по делам о мошенничестве. И три раза был понятым — дважды на задержании (от начала до конца, т. е. от сбора спецгруппы и до сопровождения задержанного в контору) и один раз на расшифровке записей телефонных разговоров. Во всех случаях всё было предельно вежливо и корректно.
А, например, Comodo, пойманный на том же самом — ничего, живёт и здравствует. Причём вот тут (https://www.schneier.com/blog/archives/2011/03/comodo_group_is.html) товарищ утверждает, что Comodo имел подобные проблемы более одного раза.
А, например, Гугл и Apple данные пользователей сливают в инстанции, и ничего, все продолжают ими пользоваться: https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data
Так что репутация — это дело относительное :-)
При этом писать весь трафик — просто нереально. К примеру, у нас только с региональных брасов, где абонентов всего тысяч десять, только информация netflow за прошлый год занимает 3.5 Тб. Это только метаинформация о соединениях (IP, порты, размер пакета, timestamp, всякое такое), без содержимого самих соединений.
Учитывая вышеизложенное, пользоваться функцией расшифровки на лету можно только в конкретных случаях — когда появился повод заинтересоваться конкретным абонентом. Тогда ДЛЯ КОНКРЕТНОГО АБОНЕНТА могут попросить такое и запилить.
С другой стороны, смысла в этом не особенно много. Так как HTTPS — это далеко не единственный способ безопасной коммуникации. Вреда и геморроя от подобного решения будет гораздо больше, чем выхлопа. Так что я сомневаюсь, что оно будет принято.
Ссылочку потрудитесь предоставить, где корейцы якобы рулят на рынке РФ?
> Как лихо вы японцев с французами подписали под жигули…
Товарищ, я там даже отдельным абзацем написал, что цифра 269096 — это только ВАЗовские модели. Суммарно концерном АвтоВАЗ-Рено-Ниссан за 2015 год в России было продано более полумиллиона автомобилей.
Я смотрел статистику, например, вот здесь: http://abreview.ru/stat/aeb/
А Ваша информация откуда?