Корневой сертификат «национального удостоверяющего центра» Russian Trusted Root CA есть, а самого УЦ – нет. И быть не могло.

Через неделю после публикации нашего предыдущего доклада «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», основным выводом которого было «96% госсайтов не соответствуют требованиям НПА по информационной безопасности», Международный телекоммуникационный союз (ITU) выпустил свой доклад – Global Cybersecurity Index 2020, и воодушевившееся им Минцифры раскудахталось: Россия заняла 5 место, на 21 позицию выше по сравнению с предыдущим рейтингом, есть потенциал роста, ко-ко-ко!

С 1 сентября в России будет запрещено вымогать персональные данные потребителей под угрозой отказа от заключения договора. То есть, почти ничего не изменится.

Столкнувшись с отзывом TLS сертификатов у сайтов подсанкционных организаций, российские власти и админы решительно поменяли старые грабли на новые.

Отзыв TLS-сертификатов у российских подсанкционных банков – это конец «системы доверия» в Интернете в том виде, как мы ее знаем. Ящик Пандоры открыт.

Должен ли адрес веб-сайта включать поддомен WWW и стоит ли вообще его создавать – тема многолетней спецолимпиады в этих наших Интернетах. Как «за», так и «против» приводится множество аргументов разной степени маразматичности разумности, которые я не стану воспроизводить в 100500-й раз. Отмечу лишь два момента. Первый: существуют разумные доводы в пользу обоих вариантов, поэтому следует решать, сообразуясь лишь со своими целями и обстоятельствами. Второй: не существует RFC, который явно требовал бы наличия или отсутствия поддомена WWW.

В рамках проекта «Монитор госсайтов» мы регулярно сталкиваемся с недостаточно защищенными и даже откровенно «дырявыми» веб-серверами, причем сообщения о найденных проблемах и уязвимостях их администраторы зачастую игнорируют. Поскольку на этих серверах размещены государственные сайты, просто отказаться от их посещения не получится. Что посетитель таких сайтов может противопоставить безалаберности их администраторов на стороне клиента?

Закон о рекламе запрещает распространение рекламы по сетям электросвязи без предварительного согласия абонента или адресата на получение оной (п.1 ст.18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»), иначе придет Федеральная антимонопольная служба (ФАС) и впаяет штраф от 100 до 500 тысяч вечнодеревянных (ст.14.3 КоАП РФ). Или не придет, смотря с какой ноги встанет…

«Классической» Perfect Forward Secrecy в современном TLS не существует, как не существует необходимости в ней… если только вы сами не создадите ее.

Как мы пытаемся принять участие в законотворческом процессе, как эти попытки разбиваются о чиновников Минцифры, и почему даже благие начинания властей превращаются в профанацию.

Конец XIV века, неизвестный автор: Комиссия ФАС изучает отмазки спамера.

Я радуюсь, получая спам – ведь у меня появляется новая возможность пополнить бюджет любимой страны (откуда берутся деньги на пенсии старикам, больницы, школы, домики для уточек и вот это вот все). Каждое полученное от спамеров сообщение я аккуратно пересылаю в ФАС, давая ей возможность пополнить бюджет на лишние 100-500 тысяч рублей, а потом наслаждаюсь материалами «расследований», проливающих свет на грязную подноготную «солидного бизнеса» и его подельников. Вранье, подтасовка документов и далее со всеми остановками – наслаждайтесь!

HTTP Strict Transport Security (HSTS, хотя согласно RFC – просто STS) – заголовок столь же «раскрученный», сколь и переоцененный. Этот заголовок говорит агенту пользователя, что к отправившему его сайту следует обращаться только на «Вы» и шепотом по защищенному HTTP – HTTPS. Говорит уже после того, как к сайту обратились, причем именно по HTTPS.

Если же агент зашел на сайт по HTTP, то цитирую RFC: UA must ignore any present STS header field(s). То есть, если агент получил ответ от сайта по HTTP, он должен проигнорировать заголовок HSTS и продолжать общаться по незащищенному протоколу (если его принудительно не переключат на защищенный, но тогда какой смысл посылать заголовок?)

Сколько региональных правительств и парламентов до сих пор не имеют официальных сайтов, насколько надежно защищено их соединение с посетителями, как щедро данные об этих посетителях раздаются посторонним, и что изменилось в этой области за последний год – предмет доклада «Информационная безопасность сайтов государственных органов субъектов Российской Федерации – 2021», выпущенного в рамках нашего проекта «Монитор госсайтов».

Расширение TLS (TLS extension) – это расширение спецификации протокола, устраняющее обнаруженные недоработки или добавляющее функционал, не предусмотренный при утверждении оригинальной спецификации. Судя по результатам исследований в рамках проекта «Монитор госсайтов», администраторы веб-серверов часто не знают о расширениях TLS, довольствуясь конфигурацией по умолчанию (к тому же устаревшей версии веб-сервера). Почему расширения TLS важны и чем чревато игнорирование наиболее важных из них?

Я мог бы и прощелкать это эпохальное событие, но Минцифра раскудахталась: пятое место, пятое место, поднялись сразу на 21 позицию за год, одна строчка с ОАЭ и Малайзией! Стало интересно, тем более что сам недавно составлял похожий индекс и пятым местом России там если и пахнет, то скорее с конца.

Посмотрел я этот «международный индекс кибербезопасности» и появились некоторые соображения, чем объясняется небывалый успех родины.

Законодательство требует от сайтов ФОИВ обеспечивать шифрование и защиту передаваемой информации. Как строители «устойчивого Рунета» справились с защитой собственных сайтов и соблюдением соответствующих требований НПА?

С 2010 года закон обязывает все государственные органы иметь официальный сайт, но до некоторых это требование не доходит вот уже 11 лет. Как мы пытались нести свет знаний отстающим, как звали на помощь в правовом просвещении органы прокуратуры, и как вместо этого они расписались в некомпетентности.

Что мы предлагали сделать с государственным сайтами еще 10 лет назад, как Правительство дозрело до понимания проблемы, и что может из этого выйти, если законопроект Минцифры примут в существующем виде.

В прошлом году «Билайн» стал требовать для входа в «Личный кабинет» абонента принять «оферту» и согласиться получать рекламу спам от полосатых и его «партнеров», а в случае несогласия – отправляться в «Мегафон» или МТС на ближайший хутор ловить бабочек.

Идея сафари на чешуекрылых показалась мне настолько оригинальной, что я пригласил присоединиться к приключениям Роснепотребнадзор, ФАС и Роскомнадзор, предложив по дороге обсудить: не слишком ли много ухи съели пчеловоды, требуя от абонентов согласия на спам? Две первые инстанции посчитали, что не слишком: вы же не приняли оферту, дорогой абонент, значит ваши права не были нарушены, играйте в юного энтомолога без нас. А надзор, профилактика, предупреждение – оставьте тем, кто верит в Деда Мороза.

Зато Роскомнадзор заинтересовался новым видом активного отдыха, запросил у туроператора «Билайна» проспекты, составил на него административный протокол за то, что не сразу выслали, а затем направил требование о приведении своей деятельности в соответствии с действующим законодательством. Самого текста не видел, но предполагаю, что требовалось не орфографические ошибки в «оферте» исправить.

За неделю Роскомнадзор дважды составил административные протоколы на Департамент информационных технологий Москвы: за незаконную обработку ПД и наглое вранье надзорному органу.


Во время пика прошлогоднего коронабесия, когда власти вводили пропуска, комендантский час, патрули с собаками чумными докторами и это все, я развлекал себя, измываясь над московской системой оформления электронного «пропуска на передвижение», который якобы требовался для обуздания пандемии.

Гипотеза состояла в том, что вся эта система – сплошная профанация и нужна лишь для распила бюджета и построения «цифрового профиля» москвичей, а любой гражданин, располагая толикой изворотливости и информацией из открытых источников, может ее легко обойти. Проверка носила бескорыстный характер, так что я был целиком в белом жабо white hat.