Комментарии 28
Советы по принципу - "Девочки, чтобы вас не изнасиловали, не надевайте короткую юбку!"
Риск 1 - Отзыв TLS-сертификата
TLS от Госуслуг, но возможны MITM атаки. Лучше уже не доверять сертификатам, а использовать другие проверки, и шифрование поверх.
Мессенджеры: секретные чаты с паролем, например в Телеграм. Сайты - как минимум проверка сайта через возможность авторизации по старому логин/пароль.
Риск 2 – Приостановка услуг DNS-регистратора
Уже есть Национальная система доменных имен (НСДИ). Публичные DNS 195.208.4.1 и 195.208.5.1
Риск 2.1 – Приостановка услуг IP-регистратора (RIPE)
Уже есть Реестр адресно-номерных ресурсов. Публичный whois сервис https://w.ranr.noc.gov.ru
Риск 3 – Приостановка услуг облачных провайдеров
Выбирайте облака российских провайдеров, на которых гос сайты. Их заблокируют последними.
Риск 4 - Блокировка доступа к зарубежным облачным сервисам
Надежнее арендовать VPS и перенести данные в open source решения, например https://nextcloud.com
Риск 5 – Блокировка устройств, подключенных к интернету
Linux-подобные системы будут последними, кто сделает такое. https://ubuntu.com
RHEL - это операционка, поэтому разорвать она ничего не может. Сам RedHat разорвать может, но юридически этого пока не делал, просто заблокировал личные кабинеты. Что будет дальше - будет видно, думаю все же разблокируют.
Отечественные дистрибутивы ...
Итак, какой напрашивается вывод? Напоминаю, мы говорили про электронную подпись, про использование отечественной криптографии.
Первое, доступ к порталам не должен зависеть от типа операционной системы и используемого криптопровайдера.
Второе, отечественные ОС должны иметь в своем составе браузеры с поддержкой ГОСТ-ового https.
Третье, отечественные ОС должны иметь в своем составе почтовые клиенты с поддержкой ГОСТ (подписание/шифрование).
Четвертое, отечественные ОС должны иметь в своем составе средства электронной подписи и шифрования
Пятое, отечественные ОС должны иметь поддержку токенов/смарткарт PKCS#11 с поддержкой российской криптографии.
Вот если этот минимум будет реализован, то можно говорить об отечественных ОС типа Linux.
А то не так давно был в одном министерстве, а там увидел уникальное импортозамещение: им предложили некий отечественный Линукс, в нем запустили виртуалку с Windows и со всеми прибамбасами, которые в Министерстве используются на Винде были, и сказали можно рапортовать об импортозамещении. Надеюсь, мой последний абзац не станет руководством к действию.
А как на счет отечетсвенных ОС типа FreeBSD ? Кто в них будет вносить поддежку ? Я недавно общался с тех службой Рутокен (компания Актив, как они себя называют), просил либо сделать поддержку Рутокен Плагина для FreeBSD (Firefox + библиотеки), либо опубликовать сорцы линуксовой версии и я сам портирую и опубликую. Меня послали известно куда. Попытка застыдить их за использовние GPL кода (а его там выше крыши) - ни к чему не привела. Г#нд#ны штопаные!
Вот именно об этом я и писал!!! Когда я держателям так называемых отечественных ОС говорил про имеющиеся плюхи, ответ был таков — вот на западе поправят, тогда мы внесём изменения!!! Это классика наша отечественная.
P.S. Кстати плагин для поддержки какого из ихних токенов?
Кстати плагин для поддержки какого из ихних токенов?
Того самого, который ФНС РФ втюхивает безапелляционно всем отечественным предприятиям: Рутокен ЭЦП 2.0. Я заплатил за этот хренов кусок пластика денег и не могу с ним теперь ничего сделать, так как не являюсь пользователем ни Windows ни Linux.
Одна надежда, в виду острой проблемы с производством этих токенов есть вероятность что всю эту хрень под названием "квалифицированная электронная подпись" нафиг отменят и спишут в утиль.
Более того большинство его (токен) используют как обыкновенную флэшку, вернее сами того не подозревая в различных провайдерах.
хрень под названием "квалифицированная электронная подпись"
Это "хрень" не наша отечественная выдумка, на западе она называется Cades-XLT1. Беда не в ней, а как она у нас поддерживается. Если брать запад, то токена PKCS#11 пользуются все и все операцинки их поддерживают. А что у нас, я думаю, объяснять не надо. С написал утилиту, которая поддерживает работу с PKCS#11 практически на всех платформах, но… у нас Windows и CSP.
нафиг отменят и спишут в утиль.
Этого не надо делать, а надо, чтобы наши "производители" поддерживали ГОСТ-овую подпись точно также как это делается забугром. Я уже устал об этом
твердить. Что это за отечественные ОС, которые не понимают ГОСТ-ов, что за браузеры, которые не понимают https с ГОСТ-ами и т.д. Извините, наболело!!!
Проблема глубже. Мне навяливают проприетарное решение от единственного производителя от которого у меня нет возможности отказаться (Рукотен + КриптоПро + АльЛинукс). Я бы с удовольствием использовал токен, если бы с ним работало СПО (FreeBSD + FireFox в моем случае). Так же я не понимаю, что за бред переводить все гос службы на прием отчестности ТОЛЬКО в электронном виде и ТОЛЬКО подписанные КЭПом. Всегда должен быть альтернативный, старый, дедовский метод - бумага + Почта России. Но нет же, новатор Мишустин этого более не допустит! Завтра нам потушат интернет, повалят магистральные маршрутизаторы или заDDoSят сайт, и как я должен буту подавать отчетность в десяток гос служб ? У меня уже был случай - налоговая оштрафовала нас за то, что бухгалтер не проверила был ли принят электронный отчет и ушла на праздники, а он по какой-то причине "не встал". Это выяснилось сразу после праздников, но было поздно. Доказать в суде мы ничего не смогли. Такая безапелляционность просто удручает. Людям не дают шанса на ошибку при том, что все завязано на кривой и глюкавый софт. Эти инновации уже так подзанадоели, что просто мочи нет. Хочется закрыть все нахрен и валить в США, пока еще есть такая возможность.
Мне навяливают проприетарное решение от единственного производителя
Так я про это только и пишу!!!
Ладно бы один производитель, так ещё и одна ОС (догадайтесь какая)!!!
Формулировка изначальная у комментатора кривая, и с успехом может быть заменена на «используйте местные облака». Потому что ну узнаете Вы, что это Ростелеком, Восход и другие товарищи, но конкретно в те места, где живут госсайты, людей с улицы не пустят. А в других местах тех же провайдеров всё может быть сильно по-другому, включая диапазоны IP-адресов. Вдобавок, зачем блокировать местные облака, если к ним можно пешком придти и решить все вопросы?
И конечно же, те "чудеса сервиса", из-за которых многие старались держаться подальше от российских регистраторов и некоторых хостинг-провайдеров в условиях санкций требуется забыть. Или есть основания полагать, что эти чудеса вдруг перестанут проявляться? Моя ставка на то, что будут проявляться еще более активно, ведь альтернатив то нет.
Правила ведения безопасного IT-бизнеса в России..
1. Держите серверы за границей
2. Регистрируйте домены за границей
3. Регистрируйте компанию за границей
4. Держите деньги за границей и не держите яйца в одной корзине
5. Не держите, говорю, яйца в одной корзине!
6. Держите базы данных за границей
7. Документируйте все, что касается вашего обеспечения
8. Разделяйте активы и риски
9. Еще можно отдаться добровольно
10. Уезжайте за границу.
Читаем пункт 10. )))
Правила ещё лет десять назад написали...
На данный момент ещё актуально, что заблокированы PayPal и карты Visa/MC. Это не даёт возможности легко оплатить сервисы зарубежные. Для многих остаётся только вариант Swift, который также могут отрезать.
Поэтому это также риск. Варианты решения это переезд сервисов, серверов в дружественную страну с МИР или с возможностью оплаты криптовалютой, Webmobey, Alipay и т.п.
Отказаться от установки обновлений - это прямо epic win. Все прям ждут-недождутся следющего релиза метасплоита и juicy-juicy russian unpatched.
В связи с введением санкций WannaCry приостановил предоставление услуг расшифровки данных для русских компаний. ... А шифровать не перестал.
Если выбирать между полностью заблокированным устройством и устройством с уязвимостями (которые можно частично закрыть антивирусом или кустарными патчами), что лучше? Поясню, что речь не только о коммерческих устройствах и сервисах (здесь без обновлений сложнее), но и про бытовые компьютеры в локальной сети с роутером без публичного ip. Для такого случая необновленная ОС не такая уж и большая опасность, при условии наличия антивируса.
Зависит от модели угроз. Я знаю компанию, в которой сервера шатдаунят сразу после получения информации о хоть какой-то теоретической узявимости. После этого разбираются - серьёзно или нет, а апдейты ставят airgapped. Почему? Потому что много приватных ключей с множеством трёбуквенных аббревиатур (с примесью 4-буквенных).
А чем поможет отказ от установки обновлений на мобильные устройства, если у них "из коробки" есть штатная функция блокировки (например, при утере или краже) со стороны владельца аккаунта? А раз это может сделать владелец аккаунта, то Google и Apple - тем более, и никаких обновлений не надо, достаточно подключения к интернету
Кажется, мир окончательно сходит с ума.
Не пользовался этой прошивкой, но рассматривал как возможный вариант использования. А тут автор в явном виде показал, что он готов намеренно ломать функционал работающих устройств, т.е. совершать диверсии, обосновывая это.. да чем угодно обосновывая. Террористы же тоже не просто так взрывы устраивают, а работают ради мира во всём мире (в том виде, в котором они хотят видеть этот мир).
Понимаю, сейчас кто-нибудь скажет "развязали войну - получайте",... а давайте теперь представим, что весь мир начал придерживаться подобной парадигмы? И найдётся другой, не менее робингудистый товариш, который.... возьмём привычное клише - сможет внести изменение в ПО, допустим, самолётов - чтобы самолёты бились в случае, когда стюардессы не носят паранджу, а пилоты - не поклоняются большому макаронному монстру. И всё логично - "они сами не стали носить паранджу, не поклоняются макаронному монстру, значит пусть теперь расплачиваются за это".
Цель этого провокационного коммита даже не в том, чтобы навредить пользователям (поскольку зловредная часть там как раз закомментирована), а элементарно вызвать ответную блокировку РКН, поскольку сам github отказался от прекращения деятельности в РФ.
Карта санкционных рисков Рунета и способы их упреждения