Комментарии 34
Ла-ла-ла-ла, а мне все мало! (с)
Странное требование. Даже если побыть "адвокатом дьявола", и попытаться оправдать передачу портов и ip адресов пользователей - то что из этой информации можно получить силовикам?
Создается ощущение, что в минцифры заседают ребята, которые всех "вычислят по ip"
Постепенно варят лягушку, потом потребуют Радмин на каждый каждый компьютер с полным доступном.
потом потребуют Радмин на каждый каждый компьютер с полным доступном
А что его требовать, Intel ME или AMD PSP уже стоят на каждом компьютере.
«Мужик, ты первый раз в ЮАР?» ©
Надо не выбирать одного (Intel ME или AMD PSP), а разбрызгивать, разбрызгивать.
Они не предоставляют удалённый доступ а-дя Radmin (с натяжкой можно сюда приплести AMT, но если пользователь не защитил доступ к AMT паролем, это его косяк).
Intel и AMD не станут ничего предоставлять российским силовикам, даже если бы могли.
А ещё порты и ip/сайты в специальный журнал записывать от руки. Под роспись.
Операторы уже собирают NAT-сессии и должны иметь актуальные данные абонента, включая паспортные. Прямое соответствие посещения сайта номеру паспорта. TLS, если что не поможет, см. приказ ФСБ N432 и фактическое обязательство ОРИ доставлять ключи сессий по этому приказу (в т.ч. TLS 1.3), даже для статического контента.
Итого получается что "с устройств, подключённых по договору гр-на XXX, номер паспорта YYY, проживающего по адресу ZZZ смотрели картинку QQQ, содержащую признаки VVV, что можно квалифицировать по статье WWW УК РФ, до 5 лет с конфискацией".
Что такое ОРИ?
Мне вот ОЧЕНЬ интересно как это обязательство работает в сочетании с Cloudflare которую куда только сейчас не тыкают. Именно технически.
Я писал про сайты, которые находятся в реестре ОРИ (упомянул про это в контексте обязательств TLS), которые составляют большинство, но не все сайты с активным контентом, посещаемые согражданами. Думаю что на них Cloudflare быть не должно. Либо Cloudflare договорились с товарищем майором о предоставлении сессионных ключей (в этом я сомневаюсь, но теоретически возможность есть).
С учетом что там в теории все сайты должны быть...
При этом я знаю как минимум один сайт где:
большая (не вся) часть контента на русском языке
Cloudflare используется вовсю
разрешен User-generated content (и не только комментарии а допустим видео)
в ToS прямо заказано (кроме всего прочего) русским языком что не надо контента который нарушает законодательство РФ
жалобы на этот контент поступают изредка (и пока что жалобщики идут лесом - потому что у админа есть свое мнение)
запроса на регистрацию как ОРИ админу не поступало
Да - посещаемость можно сказать очень низкая, но ненулевая.
Вы же понимаете, что это не ваша заслуга, а их недоработка?
Я так понимаю что "заказчик" не готов принимать всех одномоментно, они идут сверху вниз по посещаемости. К кому-то пришли раньше, к кому-то позже, может у них группы есть. К нам в 2021 например пришли. Интеграция там получается не моментальная, плюс там фактически две разные системы. Один это ключи для расшифровки TLS, регламентируется 432 приказом ФСБ, второй -- то что определено 571-м Приказом Минцифры.
У того же Яндекса, ВК и Мейла наверняка кастомное решение для исполнения и 432 и 571, возможно есть отдельный план взаимодействия Службы и их, чтобы не гонять данные по М9 туда-сюда. У остальных оно разной степени стандартности. У нас 432 реализуется самостоятельно, с интеграцией с внешним анти-DDoS сервисом. 571 -- совместная разработка с одним из подразделений "Цитадели".
А так технически Cloudflare может поставлять сайту поток сессионных ключей или предоставлять сервис, соответствующий требуемому 12 Центром ФСБ протоколу.
Я вот пытаюсь себе представить как абстрактный "ОРИ" будет дампить сессионные ключи. Во всяких опенсурсных реверс-прокси (nginx, haproxy и т.п.) это часто сделать совсем непросто. Всякие хаки с SSLKEYLOGFILE
или патчить исходники. А ведь их ещё и к IP:Port парам надо привязывать.
Популярности я этой ссылкой не заработаю, но пожалуйста.
Хоть nginx, хоть haproxy, если собрано с динамической версией OpenSSL и патчить ничего не нужно.
Требование то как раз понятно зачем.
Вот допустим кто-то на X написал что что Y и Z - любовники (притом что на публике - все из себя за семейные ценности).
Товарищу майору хочется узнать кто разгласил тайну.
X - ОРИ, смотрим по IP - упс, а там IP ну например билайновскго CGNAT'а который обслуживает ЦФО. Спрашиваем билайн - там говорят да мы сами не знаем, точно время и порт со стороны X и с нашей пожалуйста - тогда наверно сможем найти.
Товарищь майор идет писать законопроект.
Бизнес выступил против
Как будто его мнение кого-то интересует...
Вопрос в тему. Коль скоро IPv6 так и не внедрился, а провайдеры давно уже посадили всех клиентов за CGNAT, есть ли возможность договориться с ними о форвардинге определённого порта через их CGNAT?
Внядрять IPv6?
Хотя...у меня например один из провайдеров IPv6 держит но вот только к тому времени когда они его более менее полноценно поддержали - мне проще оказалось вырубить. И так проблем хватает с Policy-based routing(причем в обе стороны) и VPN(причем там где сервер VPN - хостер - жмот и выдает аж целый блок /124) чтобы еще и IPv6 в схему совать и разбираться какие блоки и почему через кого надо надо роутить особенно с учетом что алгоритм выбора адреса у IPv6 все равно придется ломать а значит - IPv6 NAT городить - и нафига тогда?
Конечно можно, любой каприз за ваши деньги. У провайдеров b2b очень легко (но вот только зачем?), с провайдерами для обыкновенных физ. лиц можно даже не пытаться договориться. Правильнее, и дешевле, и быстрее купить статический внешний адрес.
Конечно продавят. И на порты, и на прямой доступ. В существующей реальности это вопрос времени.
Бизнес выступил против передачи силовикам данных о сетевых портах
«А глуповцы стояли на коленях и ждали. Знали они, что бунтуют, но не стоять на коленах не могли». М.Е. Салтыков-Щедрин, "История одного города".
Проблемы индейцев шерифа не волнуют
Видимо хотят дойти до этого...
https://www.youtube.com/watch?v=eIa38t_j4qU&ab_channel=PetrSergeev
Отвратительный ролик, с помощью таких потихоньку открывается окно Овертона. Вместо того, чтобы бороться с проблемой, над ней насмехаются, выставляют ее чем-то забавным, гротескным. И она перестает быть проблемой, с которой стоит бороться. Авторы законопроекта добились своего, лягушка варится дальше.
Бизнес выступил против передачи силовикам данных о сетевых портах