Привет, Хабр! Мы компания e-Legion — разработчик мобильного приложения Burger King. Пишем этот пост, чтобы успокоить всех, кто волнуется за данные своих банковских карт, и объясняем, как и зачем собираются данные с экранов пользователей.

Представьте себе картину, на которой группа геймеров собирается вместе, чтобы сыграть в свою любимую видеоигру. Они присоединяются к турниру, соревнуются с другими игроками, сражаются часами за победу. Теперь представьте тех же игроков, но на стадионе, за чьей игрой внимательно наблюдают тысячи зрителей. Одновременно идет онлайн-трансляция, к которой присоединяются ещё тысячи. Внезапно эти геймеры из гиков трансформировались в ценные активы. Это явление известно как Киберспорт или Electronic Sports, eSports.

Киберспорт сейчас на пике популярности. Больше геймеров и беттеров ежедневно участвуют в киберспортивных мероприятиях. Аналитическая компания Newzoo полагает, что в 2018 году мировой доход от киберспорта достигнет отметки в 905,6 миллионов долларов, аудитория киберспортивных мероприятий вырастет до 380,2 миллионов зрителей.

Как и традиционные виды спорта, соревнования по киберпспорту стали крупными спортивными событиями. Например, в 2017 году финал Чемпионата League of Legends состоялся в Пекинском олимпийском стадионе, который вмещает до 80 000 зрителей. Финалисты соревновались за денежный приз почти в 2,45 миллиона долларов. Крупные турниры транслируются не только через онлайн-каналы, такие как Twitch и YouTube, но и на крупных спортивных каналах ESPN и Fox Sports.

Мы живем в интересное время. Я бы даже сказал, в удивительное. По одну сторону мы видим неких лиц, которые очень хотят знать, о чем между собой разговаривают другие люди, и очень хотят указывать им, что можно читать, а что нельзя. С другой стороны граждане, которые хотят отстоять свои права тайны личной переписки и свободного получения информации, и не хотят, чтобы факты этой самой переписки и получения этой самой информации были использованы против них. Бонусом страдает огромное количество сторонних сайтов, сервисов и бизнесов, которых задевает «ковровыми блокировками».

Но нет, эта статья не об обществе, а о технологиях.

Вчера на Хабре публиковалась новость о том, что против Роскомнадзора подан иск в суд. На самом деле, это не первый и не последний иск, который был подан обычными пользователями или компаниями против ведомства. Довольных действиями организации все меньше, даже крупный бизнес, который обычно не любит давать комментарии относительно взаимодействия с государственными органами власти, начал высказываться в негативном ключе.

Сегодня я предлагаю совершить небольшой экскурс в историю и вспомнить, кто, когда и почему создал Роскомнадзор и понять, что представляет собой организация сейчас. Кстати, этот пост — первый в новой рубрике “Справочная”. Цель создания рубрики — относительно коротко рассказывать обо всем, что может быть интересно всем нам (если есть желание, предлагайте темы в личку). Что же, поехали.

Нет, это не рокгруппа, это команда “Роскомсвободы”

На страницах Хабра не раз и не два публиковалась статьи и новости с упоминанием «Роскомсвободы». Более того, на Хабре регулярно публикует материалы один из представителей этой организации Саркис Дарбинян. Но что именно представляет собой «Роскомсвобода», когда она была создана и к чему стремится? Об этом очередной пост «Справочной».

SSH — очень мощный и гибкий инструмент, но, как показывает практика, не все понимают, как он работает, и правильно его используют. Слово Secure входит в аббревиатуру SSH и является одним из ключевых аспектов протокола, но часто именно безопасности уделяется недостаточное внимание. В этой статье я хочу рассказать о нескольких типичных ошибках при работе с SSH, а также о моментах, о которых часто забывают.

Опишу свой опыт общения с Роскомнадзором и прокуратурой по вопросу блокировки сайта, может кому пригодиться. Тут больше юридических аспектов, чем айтишных, но от сумы да Единого реестра не зарекайся.

По статистике Федеральной службой по надзору в сфере связи за всю ее историю было заблокировано порядка 500000 сайтов (указателей на страницы), и еще порядка 10 миллионов — неправомерно заблокированных из-за неосторожности быть на одном IP с нарушителем. Думаю, из этих сотен тысяч и миллионов есть люди, чьи права были нарушены по беспределу, и которые хотели бы их защитить. Небольшой ликбез ниже.

Пострадавший от «недобросовестных действий» партнёра хостер BeGet подал официальную жалобу на Reg.ru в Координационный центр национального домена сети Интернет.

В жалобе подробно описана ситуация, которая вчера обсуждалась на Хабре. Вкратце суть конфликта:

Хостер BeGet по партнёрскому договору с Reg.ru с 2008 года заключил договора с клиентами на обслуживание около 70 тыс. доменов. С 2016 года BeGet получил аккредитацию и приступил к регистрации доменных имен как самостоятельный регистратор.

6 июня 2018 года Reg.ru без предупреждения отключил партнёру доступ к API и заблокировал партнёрский аккаунт, лишив его возможности регистрировать, продлевать и переносить домены своих клиентов, а также заказывать для них дополнительные услуги.

Официального объяснения из Reg.ru компания BeGet пока не получила (письма отправлены «Почтой России» 2 июня), но по неофициальным каналам удалось выяснить следующее.

Шифровальная машина Enigma. Ходят слухи, что это первое из устройств, куда внедрило бэкдор АНБ. Это произошло после WWII в сотрудничестве с фирмой-производителем Crypto AG. С тех пор внедрение таких бэкдоров стало чуть ли не стандартной практикой для американских разведчиков

Многие говорят о всемогуществе американских спецслужб: мол, они делают аппаратные закладки в CPU (чипы Clipper) и оставляют бэкдоры в стандартах шифрования на этапе создания этих стандартов, как было с алгоритмом Dual_EC_DRBG, принятым NIST в качестве стандарта ГСЧ. Документы Сноудена показали, что АНБ заплатило RSA за включение этого ГСЧ в своё программное обеспечение.

Но в реальности даже их влияние не безгранично. Если верить источнику WikiTribune из Международной организации по стандартизации (ISO), в апреле этого года развернулась целая дискуссия между специалистами из международной группы экспертов по безопасности ISO и сотрудниками Агентства национальной безопасности США (АНБ), которые представили новые блочные шифры для Интернета вещей.

Любая система имеет свои слабые и сильные стороны. Первая часть о слабостях HTTPS вызвала неоднозначную реакцию, что «это не слабости, так было задумано». В первой части говорилось:

1. О невозможности обеспечить полную конфиденциальность и privacy пользователям (все ещё можно отслеживать и банить ресурсы, которые человек посещает)
2. О том, что сертификаты передаются по открытому каналу и содержат чаще больше информации, чем текущий ресурс (например, сертификат bing.com содержит информацию о 72 дополнительных ресурсах, включая дев, тест, бета среды)

Продолжу называть это «слабостями» дизайна. В этой статье поговорим о ещё одной слабой стороне — централизованности.

HTTPS базируется на SSL и TLS протоколах (для простоты будем называть просто SSL – хотя SSL и TLS работают на разных уровнях OSI стека). Поэтому говоря о слабости, мы будем иметь ввиду централизованность SSL протокола.

Теория

Начать стоит с теории протоколов шифрования. Проблема современной криптографии состоит не в самом шифровании, а в том, что делать с ключами: как их хранить, передавать, создавать и уничтожать безопасно.

Основой SSL является ассиметричное шифрование, которое определяется наличием двух ключей – если одним зашифровать, то расшифровать можно только вторым, и наоборот.

Основной функцией ассиметричного шифрования является аутентификация, отнюдь не шифрование – это достаточно ресурсоемкая и дорогая операция для данного алгоритма. Быстрое и эффективное шифрование – это прерогатива симметричных алгоритмов, которые используют один и тот же ключ как для шифровки, так и для дешифровки.

SSH/HTTPS/OpenVPN/Telegram и всё на одном порту?! Что?!
— Да!

• Хотите скрыть наличее у вас некоторых сервисов?
• В публичной wi-fi сети блокируется всё кроме 443 (https) порта?
• Настроили Telegram Proxy/OpenVPN и не хотите его «светить» ?
• SSH подключение к своему серверу из стран с цензурой?

На все эти вопросы ответ один — Мультиплексирование SSL/TLS соединений, или SSLH.

В посте мы рассмотрим как в 1 команду спрятать кучу сервисов за 1 портом.

Сразу после событий с блокировками Telegram в Иране и России, в бета-версиях мессенджера начал появлятся новый тип Proxy, а если быть точным, новый протокол — MTProto Proxy.

Этот протокол был создан командой Telegram для решения проблем обхода блокировок, но так ли он хорош?

Игровая индустрия одна из самых динамически развивающихся индустрий, которая приносит огромную прибыль не только организаторам MMOG (Massively Multiplayer Online Game, массовая многопользовательская онлайн-игра), но и их пользователям. Сделки с виртуальными артефактами и игровыми объектами приносят большой доход. Например, самая дорогая официально подтверждённая покупка была совершена в игре Entropia Universe — пользователь приобрел виртуальной недвижимости на $ 2 500 000.

В мире сейчас насчитывается почти 2,5 млрд геймеров. Для некоторых людей онлайн-игры становятся второй реальностью, местом социализации, пользователи общаются, прокачивают своих героев, покупают цифровые артефакты. Возникает вопрос, какое место занимают виртуальные игры в правовой системе России. На многих игровых площадках можно совершать микротранзакции: покупать улучшенную экипировку, доспехи или новое оружие для персонажей, технику. Когда суммы, вложенные в игровые объекты, разрастаются до десятков тысяч рублей, а то и долларов/евро, на ум приходит вопрос: а как регулируются отношения, связанные с продажей и покупкой игровых артефактов, сделками по передаче игровых персонажей и аккаунтов, каковы риски и гарантии защиты имущественных прав геймеров при осуществлении таких сделок?

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

Разработка игры S.T.A.L.K.E.R. 2 возобновлена! Да, да, да, то, чего многие из нас так ждали — случилось! Многие, уже и не надеялись на то, что игра S.T.A.L.K.E.R 2 увидит свет, но видимо продажа Казаков 3, позволила найти необходимые средства для возобновления разработки.

Федеральная антимонопольная служба разъяснила позицию относительно рекламы онлайн-казино, которая массово размещается в русскоязычных фильмах на торрент-трекерах и в видеороликах на YouTube. Реклама на русском языке явно рассчитана на русскоязычную аудиторию. Соответствующий запрос в надзорный орган в середине апреля направила ассоциация «Интернет-видео», объединяющая онлайн-кинотеатры ivi.ru, Megogo, TVZavr, Amediateka и TV1000Play. Она обратила внимание на «грубое и неоднократное» нарушение закона «О рекламе» сервисом YouТube, где «во множестве видеороликов» размещается реклама онлайн-казино AdmiralX и Azino777.

Как известно, в России запрещена реклама азартных игр и их организаторов согласно ст. 27 закона «О рекламе». Однако в данном случае у ФАС нет претензий к рекламодателям и распространителям контента. Замруководителя ФАС Андрей Кашеваров в ответе объяснил, что «виртуальной территорией Российской Федерации» являются только сайты, зарегистрированные в трёх доменных зонах — .ru, .su и .рф. А принадлежащий американской компании Google видеосервис YouTube зарегистрирован в доменной зоне .com. Она не является частью Рунета, поэтому, констатировал чиновник, у службы «отсутствуют полномочия по рассмотрению изложенного в обращении вопроса».

Это очень оригинальная трактовка закона, считают юристы.

Под угрозой все. Вообще все

Бытует мнение, что сочинение законов, которые нарушают практически все – это изобретение нашей Родины. Но, как и со слонами, всё не так однозначно: при изучении General Data Protection Regulation (GDPR) я понял, что в этом мы безнадёжно отстали от Европы. Шутка ли – завиноватить одним махом весь мир! Думаете, вашей компании не предстоит прогибаться под GDPR? Я развею это опасное заблуждение.

В этой статье я не буду описывать все закорючки GDPR, знакомство с которыми первым делом порождает вопрос «А нельзя ли просто забанить всех европейцев?» (и это не шутка, так и спрашивают), но сосредоточусь на запугивании тех, кто до сих пор не исследовал вопрос влияния GDPR на свою работу, априори полагая, что находятся вне зоны поражения.

Уже две недели Рунет шумит про Telegram и ситуацию с его бессмысленной и беспощадной блокировкой Роскомнадзором. Рикошетом задело многих, но всё это — темы для постов на Geektimes. Меня же удивило другое — я до сих пор не видел на Хабре ни одного разбора запланированной к выходу на базе Telegram сети TON — Telegram Open Network. Мне захотелось восполнить этот недостаток, ибо поизучать там есть что — даже несмотря на отсутствие официальных заявлений о нём.

Напомню — ходят слухи о том, что Telegram запустил очень масштабное закрытое ICO, уже собрав в нём невероятные суммы. Предполагается, что уже в этом году будет запущена собственная криптовалюта Gram — и у каждого пользователя Телеграма автоматически появится кошелёк, что само по себе создает немалое преимущество перед остальными криптовалютами.

К сожалению, так как официальных заявлений нет, дальше я могу отталкиваться только от документа неизвестного происхождения, о чём я сразу вас предупреждаю. Конечно, он может оказаться очень искусной подделкой, но не исключено и то, что это — реальный whitepaper будущей системы, написанный Николаем Дуровым (и слитый, вероятно, кем-то из инвесторов). Но даже если это фейк, никто нам не запретит его поизучать и обсудить, верно?

Что же говорится в этом документе? Я попробую пересказать его своими словами, близко к тексту, но по-русски и чуть более человечно (да простит меня Николай со своей склонностью уходить в формальную математику). Имейте в виду, что даже в случае его подлинности, это черновое описание системы и оно, весьма вероятно, изменится к моменту публичного запуска.

Сегодня около 15:00 инженеры Роскомнадзора удалили из реестра три крупные подсети:

• 52.192.0.0/11 — Amazon (2 097 152 адресов)
• 54.160.0.0/12 — Amazon (1 048 576 адресов)
• 91.121.0.0/16 — OVH SAS (65 536 адресов)

Количество IP-адресов сразу уменьшилось более чем на три миллиона: с 17,8 млн до 14,6 млн. Роскомнадзор официально объявил, что в ближайшее время намерен разблокировать и остальные подсети хостинг-провайдеров, «чтобы избежать ограничения доступа к добропорядочным интернет-ресурсам».

Интернет-сообщество может вздохнуть с облегчением. На 13-е сутки блокада наконец-то снимается. Зарубежные облачные сервисы понесли убытки, но выдержали давление и отказались сотрудничать с Роскомнадзором. Мессенджер Telegram пережил трудный период и сохранил пользователей. Сам Роскомнадзор подвергся порке от СМИ и многих чиновников.

У регулятора не осталось другого выхода, кроме как сдаться.

Можно надеяться, что в ближайшее время большинство интернет-сервисов заработает без сбоев.