Как стать автором
Обновить

Комментарии 83

Замечательный материал, спасибо.

Статья хорошо объясняет, почему не надо брать сервера в российской юрисдикции.
А наше МВД, в свою очередь, например, не интересуется VDS из Франкфурта, поскольку их адреса заграничные. Их интересует то, что происходит в России, по той причине, что они чётко понимают, что добиться там информации от зарубежной полиции — это очень сложно. Особенно в текущей ситуации отношений, которые, ну, сейчас существуют у нас. Поэтому у нас не было за шесть лет ни одного случая запроса по айпишнику за рубежом.

А вот в Швейцарии я про такое ни разу не слышал, и поэтому наши клиенты часто выбирают ЦОД для своих VDS там.
Это смотря кому «не надо».

Похоже, есть некоторые категории, которым надо как раз «в российской юрисдикции»
Но по закону вы ведь обязаны хранить данные о российских пользователях своего сайта физически на территории России. А именно эти данные обычно и запрашивают, как я понимаю.

То есть все остальное выносить куда-то особо и нет смысла…
Судя по статье — запрашивают образ виртуалки. А вовсе не только персональные данные клиентов. Вообще на наличие слабой аргументации у полиции намекает фраза «добиться там информации от зарубежной полиции — это очень сложно». И эти вот «сложности», думаю, и отличают правовую систему здорового человека от курильщика :)
Мы и храним, иначе мы были бы нарушителями.

Но запрашивают не по клиенту (как правило, имя неизвестно), а по конкретному IP адресу, который пока всегда был на территории РФ.
То есть все-таки хоститься безопаснее в европах???
мне парамаунт всегда шлет, остальные не трогают, удаляю фильм и продолжаю пользоваться дальше)

Вот, например, вы сняли детскую порнографию в поддержку Навального

Крайне неудачная шутка, учитывая вашу лицензию в ФСБ (помнится раньше на вашем сайте была целая медаль, теперь видимо постеснялись, заменили).

Потому что практика такая: либо вы ведёте легальный бизнес, либо вылетаете с рынка.

Распространенная позиция "не мы такие, жизнь такая, а кушать хочется". А что делаете вы чтобы ваш бизнес мог легально защищать данные клиентов? Шифрование образов без ключей на вашей стороне? Аналог свидетельства канарейки? Публичное выражение позиции компании относительно защиты персональных данных и в частности против пакета Яровой? Предоставление отгулов сотрудникам для выражения своей гражданской позиции? Будем честны, вам плевать на данные клиентов, как и на самих клиентов (я знаю, я пользовался вашим сервисом).

Нет, не знает, и мы не имеем права о таком сообщать

В этом случае наш юрист даёт отказ по форме, но почти сразу прилетает правильный документ ещё раз — на этот раз с нужной шапкой.

Не знаю насколько это юридически корректно, но логически предположу что если запрос не по форме, получается официального запроса не было и до получения запроса по форме можно законно уведомить клиента о том что предполагаемые мошенники выдают себя за органы и клиент предположительно является их целью?

Местные законы о суверенитете данных слишком хороши для русского человека, чтобы быть правдой. Тем не менее благодаря им, у вас никто не сможет изъять сервер без решения суда — в том числе для поиска доказательств в ходе расследования.

Написано максимально расплывчато и непонятно, но создается впечатление будто хотели написать "демократия штука хорошая, пользуемся, нам очень нравится, но россиянам оно не нужно".

> > Вот, например, вы сняли детскую порнографию в поддержку Навального
> Крайне неудачная шутка, учитывая вашу лицензию в ФСБ

А что не так с шуткой?
Вас смущает слово «порнография»?
Или упоминание (о боже!) Навального?
Ну так Хабр — вне политики. Здесь можно шутить над святынями.
(но это не точно)

Вероятно автор имел в виду, что шутка так себе. И жестокая, т.к. помещает в нехороший контекст сильно пострадавшего (и страдающего прямо сейчас) человека. А жестокость, опять же в контексте, известно с кем ассоциируется.

И да, если "шутка" не заходит, это не значит, что она запрещена. Шутите.

Ну про Путина было бы не смешно.
А вот про Навального смешно.
Что тут непонятного.
Хабр — вне политики

Это уже очень давно не так.

Вы абсолютно правы.
Фраза «Хабр вне политики» была шуткой.
И вот это шутка действительно оказалась неудачной.

Ещё как "так". У меня есть отдельный логин для комментариев. Его забанили за то, что я опубликовал в комментарии ссылку на свой форум, задача которого сменить госдуму. Забанили с нарушением запрета на превышение скорости света, между прочим. При том, что всё, что связано с простой критикой режима - не особо банят. Видимо такова реакция не на средних болтунов, а на активную деятельность.

Теперь в моём списке болтунов и трусов, помимо кружка, есть ещё и хабр.

Кстати это и есть проблема нашей страны - все критикуют, но никто ничего не делает.

P.S. Видимо администрация хабра позабыла, как во франции поступили с коллаборационистами.

Ну давайте ещё на Хабре коллаборационистов искать...

А может, просто потому что на хабре запрещены «отдельные логины для комментариев»?
  1. У нас никогда не было лицензии ФСБ. У нас есть лицензия ФСТЭК.

  2. Мы проводим комплекс технических мероприятий, позволяющий сохранить данные клиентов в случае аварии. Мы принципиально не лезем в серверы и в трафик. Мы отдаем клиенту сервер как есть, не меняя ОС, позволяя клиенту, в частности, шифровать свои данные любым нужным ему способом. Все остальное не имеет никакого отношения к сути дела.

  3. Неверно оформленный запрос не даёт нам право и ответственность раскрывать факт расследования в отношении подозреваемого. Более того, мы проводим проверку существования сотрудников и запроса, не по телефонам из запроса, а из открытых источников, убеждаясь, что это не мошенники.

  4. Написано как есть, действительно в Нидерландах все гораздо проще, чем везде, это констатация факта. И наши клиенты вполне имеют возможность заказать себе там серверы.

По третьему пункту нужны пояснения. Неправильно оформленный запрос и не запрос вовсе, кто запрещает его раскрывать?

во-первых, тут не бинарная система типа контрольная сумма не сошлась и ВЕСЬ запрос не имеет никакой силы. если в письме содержится информация не допускающая разглашения, то она не допускает разглашения, даже если это письмо попало к вам вообще случайно.
во-вторых, почему кто то должен информировать клиента о чем то подобном, даже если запрос недействительны. в статье указано, что организация не делает то, чего не должна делать по закону (блокировка без решения суда), даже если «все и так понятно» и очень хотелось бы. считаю справедливой и обратную ситуацию.
1. Дайте пожалуйста ссылку на закон, где это прописано. Пока не понимаю. Если, например, следователь случайно отправил информацию об уголовном деле в СМИ — они не имеют право это публиковать? — Понятно что косяк следователя, но причем тут получатель, откуда ему знать, на какой закон опираться?
Если запрос косячный — не факт что он от реального следователя. Он может быть от злоумышленника. И уведомить о том что некий злоумышленник пытается получить какие-либо доступы к вашему хостингу или вашим данным — было бы вполне нормально. Напоминаю, мы не судим ни клиента, ни автора запроса — мы не можем принимать решение кто прав, нужен единый беспристрастный алгоритм, иначе всю публикацию нужно переделывать =)

2. Никто не говорит, что обязан. Здесь вопрос клиентоориентированности. Предположим есть два хостинг провайдера, полностью идентичных за исключением одного момента: один хостинг-провайдер раскрывает вам информацию о таких запросах, если закон не запрещает её раскрывать, а второй — не раскрывает, т.к. закон не обязывает её раскрывать. Я бы выбрал первого.
Надо всегда помнить кто ваш клиент — арендатор сервера или МВД? — Нужно быть на стороне своего клиента, но строго в рамках закона. Бездействием вы фактически переходите на сторону госструктур, которые по какой-то причине действуют против вашего клиента, который (на минуточку!) до решения суда не является преступником (и не вам его судить, именно такой точки зрения придерживается повествование в статье).
1 — уведомить в данном случае уже нужно органы (намек на что в статье есть), и только в случае подтверждения, что заявка не от них уже уведомить клиента. никто кстати не говорил, что в случае подтверждения получения запроса от злоумышленника клиент не будет проинформирован. наоборот сказано что таких случаев не было.
2 — вы рассматриваете процесс с точки зрения честного клиента которого гипотетически пытаются «поломать». статистика же (в том числе из статьи) говорит о том что клиент скорее всего не белый и пушистый и за неправильно оформленным запросом последует корректный

PS. Не сомневаюсь что настолько «клиенториентированные» хостинги существуют, но не уверен что хотел бы с ними сотрудничать

PPS. Раз уж вы дополнили, то и я дополню. Правомерность действия «госструктур, которые по какой-то причине действуют против вашего клиента» определять вы не можете. так что «строго в рамках закона» «Бездействие» это единственный верный вариант.
Извините за дополнения, не менял сути, лишь добавлял аргументацию )

Как уведомить клиента, так и не уведомлять клиента — оба пути «строго в рамках закона», т.к. ссылок на законы опровергающие это вы так и не привели. Вы просто осознанно выбираете путь бездействия, имея законную возможность действовать.

Ровно это и хотелось выяснить в результате этой дискуссии =)
Если быть совсем гибким — нужно рассматривать каждый запрос индивидуально и в зависимости от клиента (прибыль/возможные убытки). тогда возможно будет ясно можно рискнуть и в случае чего потом отмазаться. Другое дело стоят ли эти риски лояльности клиентов.
Вы пишете что клиент это арендатор, а не МВД. Я же считаю что основной клиент юриста — работодатель и в первую очередь должны рассматриваться его интересы. Я почти уверен, что есть клиенты, которых предупредят даже в случае 100% законного запроса, просто об этом говорить никто не будет.
Вы рассматриваете ситуацию с точки зрения что каждый второй запрос от мошенников, а я ссылаюсь на утверждение (в статье), что полностью левые запросы не случались ни разу за 5 лет.
Я ни один путь не выбираю, так как подобные услуги не предоставляю. просто я прекрасно понимаю что бизнес который не «выбрал путь бездействия» обречен. Бизнес это не то место, где нужно проявлять свою гражданскую позицию.
Прекрасно понимаю вашу точку зрения, однако считаю в целом такую ситуацию полным дном.
И хочу отдельно немного добавить о пользе действия (разумеется есть и вред, о которым вы пишите, его никто не отрицает) в случае некорректных запросов, против бездействия.

В случае бездействия — допустивший ошибку сотрудник МВД просто её исправит и это не повлечёт для него никаких последствий.

Если же занять позицию действия — то это может серьёзно сказаться на сотруднике допустившем ошибку, и он или другой сотрудник в следующий раз будут действовать в соответствии с законом.

Тут важно понимать, что пока мы мягко отшиваем сотрудников — они расслабляются и привыкают к тому, что если они ошибутся — их поправят и всё будет нормально. И это максимально вредная модель поведения, — сотрудники должны знать законы и за действия не в соответствии с законом должны получать последствия.

Если мы говорим о таких банальных примерах когда просто неправильно оформлена шапка — то скорее всего да, нет никакой проблемы просто скорректировать. Но привыкая спускать с рук косяки — однажды этот сотрудник допустит более значимую ошибку, которая может стоить человеческих жизней (например отправит список свидетелей против мафии по незащищённому каналу, да ещё к тому же и не туда, ну а что тут такого).

Т.е. выбирая путь бездействия в отношении клиента, нужно хотя бы выбирать путь действия в отношении жалоб на некорректные действия сотрудников пишущих такие запросы.
Аргументированный официальный отказ это не то, что можно назвать «мягко отшиваем».
Официальный отказ идёт напрямую сотруднику который писал запрос, не так ли? — Как я понимаю — примерно 0 последствий для накосячившего.
Как минимум придется второй раз идти подписывать исправленный вариант.
И, главное, я не понимаю как ваша позиция, которую я могу описать только словом подстава, поможет ситуации. никто ведь даже не узнает, что вы инфу слили.
Разглашение поможет клиенту сохранить законный бизнес. Пока его действия не признаны судом незаконными — нужно исходить из того, что он законен.
То есть вас не смущает, что в подавляющем большинстве случаев это позволит реальному злоумышленнику скрыть улики, а хостинг будет этому содействовать?
Смущает конечно, однако в таких ситуациях принято исходить из простого правила:
«Лучше оправдать десять виновных чем осудить одного невиновного.»
Если верить интернету, то автор этих слов — Екатери́на II Великая. Довольно авторитетный источник, по моему мнению )

Мне кажется это одна из важных основ правового государства, но конечно я могу и ошибаться — не являюсь специалистом в этом вопросе.

Если мы не используем этот тезис в настройке работы госструктур, то мы можем просто половину страны посадить в тюрьмы — таким образом получится посадить примерно половину всех преступников в стране =) Довольно удобно.

Ну и важно то, что не нам судить. Для этого есть суд. Самосуд запрещён законом уже по самому определению термина «самосуд».
Это уголовно наказуемое деяние. Лично вы готовы на подобные действия для незнакомых вам людей, про которых вы почти ничего не знаете?

Скажите, а к своим ошибкам вы столь же нетерпимы?

Дайте пожалуйста ссылку на закон, где это прописано.

Я так думаю, это УПК РФ Статья 161. Недопустимость разглашения данных предварительного расследования (и к ней в пару статья 310 УК РФ – наказание).

Если, например, следователь случайно отправил информацию об уголовном деле в СМИ

Часть вторая этой статьи говорит, о том, что следователь может разрешить публиковать всё, что сочтёт нужным. А часть 161.4 говорит, что Запрет на предание гласности данных предварительного расследования не распространяется на сведения, распространенные следователем, дознавателем или прокурором в средствах массовой информации, информационно-телекоммуникационной сети «Интернет» или иным публичным способом;
Неправильно оформленный запрос не означает, что он не касается реального дела.

Приведу пример из жизни: оперативника в Ростове перевели в отдел «К», его первое дело — мошенники, которые украли со счетов нескольких пенсионеров деньги по телефону. Опер не является специалистом в IT и не скрывает этого, наоборот просит помощи и пытается разобраться. Уголовное дело заведено. Пострадавшие лишились значимой для них суммы по доверию. Но полицейский шлёт неверный запрос, да ещё просит заблокировать. Мы проверяем, что отдел есть, полицейский есть, дело есть, но бумага написана коряво. И в вашей логике выйдет, что мы должны передать потенциальному мошеннику информацию о том, что его пытаются поймать. Это минимум не логично даже с человеческой точки зрения, не говоря уже о законе.
Можете со ссылками на закон пожалуйста? — Вы в статье делаете явный упор на то, что делаете строго по закону и применять какие-либо человеческие точки зрения — нельзя. В своём же примере вы теперь пытаетесь судить своего клиента, считаете его потенциальным мошенником (кажется так делать очень нехорошо, посмотрите с другой стороны: если кто-нибудь про вашу компанию будет на каждом углу писать что вы потенциальные мошенники — вам это точно не понравится), складывается ощущение, что вы пытаетесь сесть сразу на два стула =)

Можем конечно на примерах, вот мой пример: допустим некий злоумышленник узнал об уголовном деле (неважно как, он же злоумышленник, взломал компьютер следователя например). Пишет вам бумагу, что дайте пожалуйста все пароли от такого-то сайта, следователь такой-то, отдел такой-то, дело такое-то.

Вы звоните, узнаёте что следователь есть, дело есть и никому ничего не говорите. Хотя человек против которого дело — пока не признан виновным, может быть он белый и пушистый. А его, простите, взломать пытаются, а вы умалчиваете и фактически своим бездействием оказываете содействие настоящему преступнику (если его жертва будет знать, что кто-то пытается получить доступы к его сайту — жертва сможет принять контрмеры, например сменить хостинг-провайдера на более надёжного).
Мы со следователем прямо разговариваем. Не просто уточняем, что он есть, а именно общаемся.

Никаких паролей мы не выдаем, мы их не храним и не можем ничего дать.

Мы можем выдать только установочные данные в отношении клиента, который воспользовался
IP адресом, в указанный промежуток времени в рамках того, что реально о нем знаем.

Есть УПК РФ, в котором есть статья 161, которая четко регламентирует кто и почему
может разглашать тайну следствия.

Подозреваемый в список тех, кто может быть ознакомлен с тайной следствия не входит.

Полиция и другие службы никогда не запрашивает пароли, прослушивание трафика просто на основании запроса своего. Это уже все в рамках расследования уголовных дел, с санкциями суда.
Вот, по юридическим ссылкам будет интереснее обсудить. Открыл 161 статью, там прямо так и написано:
«4. Запрет на предание гласности данных предварительного расследования не распространяется на сведения:
1) о нарушении закона органами государственной власти и их должностными лицами;»

Если запрос составлен с нарушениями закона — вы можете разглашать о нём всю информацию. Разве нет?

И прежде чем вам сообщат тайну следствия — от вас должны получить подписку о неразглашении, как я понимаю согласно той же статье 161. У вас получается одна универсальная подписка о неразглашении на все запросы следователей?
Наличие ошибки в запросе — отдельное нарушение по УПК со стороны органа, это может повлиять на принятие полученных доказательств судом и/или привести к дисциплинарной ответственности нерадивого сотрудника.

Но оно не влияет на суть самого дела в отношении подозреваемого и не дает права нарушить тайну следствия.

Есть статья 310 УК РФ, по которой лицо, которое предупредило потенциального преступника, может быть привлечено к ответственности.

Да, если он не расписался (к примеру, если письмо не от фельдъегеря) за тайну, формально он и не имеет отношения к тайне. Но в силу служебного положения он ее узнал, воспользовался и предупредил.

В этом случае данного человека можно уже привлечь как пособника в конкретном уголовном деле.

Да, при этом можно будет попытаться привлечь органы за ненадлежащее обеспечение тайны следствия, но вину сотрудника при этом это не отменит.
практика такая: либо вы ведёте легальный бизнес, либо вылетаете с рынка

… либо бизнес не очень-то легальный, но «нога кого надо нога».
Он арендовал сервер во Франкфурте в Германии. На него пришёл запрос из местной полиции Франкфурта.

т.е. юрисдикция считается по месту проживания(проживания ли?) клиента, а не по месту размещения серверов? Или как это работает?
Ну к примеру я, гражданин россии, находясь в греции, арендовал VDS в нидерландах и раздаю с него адалт контент в США. Чьим полицейским вы готовы раскрыть мою личность\предоставить образ виртуалки?
Русским — при поступлении правильно оформленного запроса или решения суда.

Суть такова, что мы не работаем по экстерриториальным законам, которые те же штаты продвигают силой.

Если есть запрос, то они должны обратиться по месту жительства, в противном случае любая страна может начать делать что хочет.
ну с раскрытием личности логично.
А если требование будет прекратить работу сервера или предоставить образ виртуалки?
Ну как-то странно получается, если страна в которой находится виртуалка не может на неё влиять.
Вот и spesso в том-же направлении думает.

Для этого и существуют чёрные списки, блокировки на уровне операторов связи. Не могут заблокировать виртуалку или получить образ, просто на национальном уровне блокируют, США ещё любят использовать спамхаус для этих целей.

Я думал что это происходит для случая когда сервер находится за пределами страны.
А в случае, когда в пределах страны должно быть маски шоу.Я ошибался? В любом случае будет блокировка?
Ситуацию с маски шоу мы описали как невозможную при адекватном взаимодействии. Более того, именно адекватность компании позволяет абсолютному большинству клиентов не переживать, что их серверы могут «встать» из-за того, что компания решила не выполнять законные требования органов в отношении какого-либо клиента и полиция приехала и отключила вообще всех.
Неверно выразился. я имел ввиду любой доступ правоохранительных органов, а не обязательно физический.
То есть, если к вам обратятся ФСБ(с правильно оформленного запросом и/или решением суда РФ) по поводу сервера находящегося в РФ, арендованного на паспорт США то вы их отправите в пеший поход к дедушке Байдену?

При правильно оформленном обращении и в случае, если мы знаем, что клиент-гражданин США, будет дан ответ, что необходимо обратиться в интерпол и запросить данные именно у США.

Вместе с тем я уже говорил, что нашим органам нет интереса до адресов за рубежом. Они прекрасно понимают, что получить там данные в современных условиях очень сложно. Запросов по таким адресам не припомню просто.

нашим органам нет интереса до адресов за рубежом

Вы, кажется, не поняли вопрос: адрес сервера — в РФ, просто владелец находится в США. Вы утверждаете, что выдадите информацию о сервере только по американскому запросу в таком случае?
Ответили на подобный комментарий ниже.
Но как узнать что клиент является гражданином США? Или при создании аккаунта надо обязательно предоставить документы о гражданстве?

Эх, вот в 90е были нормальные маски шоу. Я ещё застал.

гражданину Российской Федерации…
И говорим, что, пожалуйста, обратитесь в Интерпол к нашим коллегам в России.

А зачем вы так активно поясняете как и что им нужно делать? Кто вас за язык тащит?
Поясните некоторые моменты:
  • Т.е. если я, будучи гражданином РФ и проживающий в РФ, арендовал сервер за рубежом, то я могу там хостить даже самую черную чернуху и мне, и вам за это ничего не будет?
  • А если я гражданин РФ, но сейчас проживаю в той стране, где «хостю» чернуху?

Мне кажется юридические аспекты хостинга достойны отдельной статьи.
Не совсем так.

Если вы гражданин РФ, проживающий в РФ, арендовали сервер за рубежом и совершаете там преступление, то скорее всего к нам обратится местный орган внутренних дел, на что мы им дадим ответ, чтобы обратились в Интерпол, что они и сделают, и мы получим в итоге запрос от нашего МВД. А если при этом вопросы будут к вам и от нашего МВД именно, то они их добавят.

Если вы при этом проживаете в другой стране, но являетесь гражданином РФ, в любом случае все пройдет по пути, описанному выше. Мы не оператор связи, мы не владеем информацией о фактическом местоположении клиента, нам это не нужно, с нас это и не спрашивают.
Если вы гражданин РФ, проживающий в РФ, арендовали сервер за рубежом и совершаете там преступление, то скорее всего к нам обратится местный орган внутренних дел, на что мы им дадим ответ, чтобы обратились в Интерпол, что они и сделают, и мы получим в итоге запрос от нашего МВД.
Тут нет ошибки?

А, после третьего прочтения — понял. Местный, вы имеете в виду, по месту преступления. Т.е. зарубежный.
Ошибки нет, это просто порядок закона и логика.

Пример.

Арестовали иностранца в РФ (не гражданина РФ). Он сидит в СИЗО, обращается к консулу, консул должен его вытащить и передать в руки правосудия по месту гражданства уже.

Дальше, в зависимости от двухсторонних договоров, гражданина могут осудить на родине, могут выдать обратно нам. Могут и отпустить. Тут одним правилом не обойтись, штаты вот ловят и сажают по всему миру, считай с ними нет никаких договоренностей твердых.
Он сидит в СИЗО, обращается к консулу, консул должен его вытащить и передать в руки правосудия по месту гражданства уже.

насколько я понимаю, не факт, что вытащить реально.
если иностранец, находясь в какой-то стране, нарушил её законы — ему, скорее всего, придётся сидеть именно в этой стране .

Нехороший, конечно, пример: отец погибших в авиакатастрофе детей убил за границей виновного в аварии диспетчера (как он посчитал). Он отсидел какое-то время, но потом его вернули на родину, где он уже ничего не досиживал.

То есть хотя и сервер за рубежом, и преступление за рубежом, узнать информацию о сервере может только РФ?

А если зеркальная ситуация? Клиент из США, сервер в РФ, преступление в РФ. Вы попросите российские МВД/ФСБ обратиться в США, чтобы уже они прислали вам официальный запрос?

США в принципе не могут послать российскому хостингу официальный запрос, потому что не уполномочены. В статье приведена ссылка на закон, где перечислен полный список тех, кто имеет право сдать запросы (ФСБ, МВД и т. д.), в этом списке органов власти США нет.

Ну вот выше пример:
Сервер в Германии, преступление в Германии, владелец сервера в РФ — RuVDS утверждает, что в таком случае немецкую полицию пошлют отправлять запрос в РФ, чтобы уже российское МВД направило запрос в RuVDS, чтобы он выдал информацию о немецком сервере. Если это так, то по логике ситуация сервер в РФ, преступление в РФ, владелец сервера в США, RuVDS должны послать российское МВД делать запрос с помощью коллег из США, однако что-то мне подсказывает, что на самом деле в обоих случаях всё будет работать немного не так и где находится сервер важнее, чем где находится его владелец (разумеется, лишь для установления информации о сервере — ловить владельца, очевидно, чисто физически могут только силовые органы страны его проживания).
Узнать о сервере может та страна. гражданином которой было совершено преступление. Все остальные страны должны обращаться по межгосударственным каналам за информацией.

На вторую часть вопроса — да, именно так.
Да, ситуация, конечно, не самая положительная. Но, как говорится: «Черт кроется в деталях»
Помню, когда работал сис-админом, к нам несколько раз приходили «Маски-шоу». В первый раз, если ты не успел сделать копию, силовики забирали все сервера, что находились в серверной и контора оставалась вообще без ИТ-инфраструктуры (относится к малых фирмам, у которых нет денег на бекапы в облаке).
Мне что-то подсказывает, что стоимость хранения одного бекапа на каком-нибудь самом дешёвом хостинге/облаке будет всё равно на порядок меньше стоимости нового серверного железа, которое придётся купить, пока не вернут старое (а без железа бекап негде будет развернуть и фирма точно также будет без ИТ). Очень странное решение. Либо речь о очень давних временах.
Основная причина для запроса — это жалоба на чьи-то мошеннические действия. Соответственно, МВД начинает расследование по мошенничеству с банковскими картами. Таких случаев очень много из Москвы (около трети), много из Краснодара и вообще европейской части России, куда меньше — из-за Урала. Это отдел «К», то есть киберполиция. Суть использования сервера чаще всего — развёрнутая там мини-АТС для звонков мошенников физлицам. Реже — лендинг по продаже наркотиков.

Ещё около 9 % на глаз — это ФСБ и поиск конкретных лиц.


А за политику разве не запрашивают?
За политику у нас не было ещё ни одного запроса.
вы сняли детскую порнографию в поддержку Навального

*facepalm.jpg*
В продолжении темы торрентов.

А если клиент не удаляет контент на который жалуется правообладатель?
Что тогда?
Таких случаев в нашей практике ещё не было.

Было, что у клиента есть разрешение на самом деле, он его прикладывал к ответу нам и представителю правообладателя и вопрос был решён.

Такие клиенты понимают, что если не удалят, то даже если мы не заблокируем, скорее заблокирует Роскомнадзор, спамхаус.

Так что здесь сопротивляться нет смысла, пиратов нигде не любят.
Таких случаев в нашей практике ещё не было

но наверняка у вас есть план действий на этот случай

А что будет если клиента (и ваши IP выданные ему) блокирует Роскомндзор (по решению суда допустим).
Клиент удаляет серверы и уходит.
Что с заблокированными адресами? Есть какая то процедура разблокировки IP перед их выдачей новом клиенту?

Да, конечно, такая процедура есть. Делается обращение в РКН, обычно, в течение пары часов блокировка снимается. Обновление у всех операторов может занять до суток максимум.
например, вы сняли детскую порнографию в поддержку Навального

Ну ОК. Где тут черный список?

Более того, в части случаев и непринципиально — если клиент включил шифрование, а ключи не хранит в открытом виде на сервере.

насколько я понимаю, это не панацея: хостер может снять копию виртуальной машины вместе с содержимым памяти и т. п. — то есть можно поднять клон вм с уже смонтированными шифрованными разделами, остаётся только прочитать с них информацию.

Для ФСБ у нас отдельная процедура, но рассказывать о ней мне нельзя.

А в чём проблема?
Автору огромное спасибо за труды и «адвокатский запрос» в частности. Очень вовремя

Ууу, я всё это прочитал) с одной стороны юзер хостинга логичен - являясь покупателем ты всегда хочешь чувствовать себя тем самым покупателем, из забытых времён, который всегда прав. С другой стороны оставлять всех правыми в современном мире - самоубийство бизнеса - времена не те. Ещё с другой стороны органы не лезут на каждый сервер и не смотрят кто чем занимается судя по статье и провайдер тоже является своего рода покупателем и так как это лицо юридическое за какой-то косяк его накажут и оставят без работы, тем более что законы что ГОСТ - это сбор рекомендаций, где хоть какую-то часть, но можно перефразировать. Поэтому не совсем понятно почему провайдер должен юзеру что-то сообщать не связаное с работой хостинга. Автор более того вежливо написал где можно арендовать сервер, что бы не связаться с полисаями. А творить какие-то нарушения и при этом иметь хост у себя же - это как гадить под себя и орать почему никто не убирает

Естественно, мы не знаем (и более того, не хотим знать, это нам невыгодно), что у клиента творится на его VPS. Более того, в части случаев и непринципиально — если клиент включил шифрование, а ключи не хранит в открытом виде на сервере.

Разве нельзя снять дамп оперативной памяти?
Так шифрование может быть end-to-end, то есть принятую от клиента зашифрованную инфу сервер не расшифровывает, хранит так же в зашифрованном виде и передает другим клиентам — а уже они расшифровывают своими ключами.

Тут хоть дамп, хоть админский доступ к серверу — бесполезно.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.