О сути закона об изоляции Рунета кратко и доходчиво.

01 ноября 2019, 14:00

О сути закона об изоляции Рунета кратко и доходчиво.

О сути закона об изоляции Рунета кратко и доходчиво.

Тут хайка была,
Но в словарь заглянул -
Там нет таких слов.

Как многие из нас в курсе, с 1 ноября 2019 года вступил в силу закон об изоляции Рунета. Называется он как-то по-другому, но важна не форма, а суть.

Суть сводится к обязательству операторов связи устанавливать специальные технические средства, ограничивающие распространение запрещенных в Стране данных. Операторов обязали ещё и фильтровать трафик.

Вроде бы, всё это уже было в виде туповатых блокировок всего подряд не глядя и не задумываясь. Наши удивлённые глаза совсем недавно ошалело наблюдали за баном айпишников миллионами, когда роскомпозор решил показательно выпороть Телеграм. Итог чего нам известен, и по аналогии мы могли бы ожидать примерно того же результата и от действий по изоляции Рунета.

Но нет, на этот раз всё значительно серьёзнее. Давайте разбираться в сложившейся ситуации, чтобы просто понимать, что происходит, и чем всем нам это аукнется.

Как было до сих пор?

А довольно просто. Операторы связи, конечно, обязаны были ставить у себя аппаратуру СОРМ. Но прохождению трафика она не особо и мешала, так как снимала информацию методом прослушки, параллельным подключением. Всякий, кто хотя бы раз снимал трубку параллельного телефонного аппарата, понимает, как это работает.

Инициатива Яровой ничего нового в эту концепцию не внесла. Ну, будут наш с вами трафик не только прослушивать, а ещё записывать и хранить. Попутно нанося какой-то вред, потому как всё это делается явно не для того, чтобы доставлять нам радость и дарить счастье. Ну, не будь дураком, шифруйся. И не пользуйся сервисами, которые по определению сливают ключи шифрования по первому же запросу.

Если всё делать правильно, строго так, как учили в школе Сноудена, да и бог с ней, этой Яровой, пусть пишет шифрованный трафик. Да вот только тотальный контроль так не работает.

А как работает тотальный контроль?

Пока все праздновали 1 мая и радовались весне, даже не догадываясь, чем в этот момент занят лидер нации, тот подписывал закон об изоляции Рунета. Суть которого сводится к вкорячиванию некоей аппаратуры в магистрали провайдера, но не параллельно самой магистрали, как это было ранее, а в разрыв.

Теперь между пользователями и собственно провайдером предусмотрены некие хард и софт, на которые и возложена задача фильтрации трафика и осуществления региональных ограничений (блокировки неугодных сайтов, если кому непонятен бюрократический язык).

Смысл инновации в дополнении прослушки (СОРМ, Яровая) возможностью вмешиваться в трафик пользователя и его содержимое в реальном времени (закон об изоляции). Это на самом нижнем уровне.

Есть уровень выше, регулирующий процесс полного превращения кареты в тыкву. Когда пробьёт полночь, и колонны танков под покровом ночи начнут окружать города (вспомните 1993 год), вот тогда вражеский интернет и будет подменён православным.

Хотя Медведев и издал указ о ежегодных учениях по воцерковлению Рунета, думается, совсем не это представляет угрозу. Тотальный контроль осуществляется не на трансграничных линиях связи, а между юзером и провайдером. Такую аппаратуру уже завезли в Уральский федеральный округ, и там потихонечку обкатывают. Вскоре она будет повсюду.

Так что пора осознать, что же это такое, и как нам с этим дальше жить.

Механизм вмешательства в трафик.

Довольно трудно в ясной и понятной форме изложить смысл весьма непростых вещей, так что воспользуемся сложившейся традицией. Возьмём две первых буквы алфавита, и распишем в лицах и на пальцах, как они безопасно общаются посредством сети Интернет.

Хорошо, пусть будут A и B, в русской версии А и Б. Например, Алиса и Боб. Проживающие для определённости в сказочном королевстве, но в разных его префектурах.

При желании донести текстовое сообщение до Боба с соблюдением секретности, Алиса кладёт своё письмо в надёжный ящик, и запирает его навесным замком. Ключ от замка только у Алисы, дубликатов нет. Запертый ящик отправляется Бобу с посыльным, хотя смысл такого действия вроде бы не просматривается. Ибо что будет делать со всем этим Боб, не имея ключа?

Боб даже не пытается открыть ящик, а просто вешает рядом с замком Алисы ещё и свой. Ключ от которого есть только у него. И посылает ящик с посыльным обратно.

Теперь Алиса тоже не может получить доступ к своему же письму, но она видит замок Боба. Стало быть, посыльный не пиво в кабаке пил, а действительно скакал на ишаке туда-обратно. Так что Алиса снимает с ящика свой замок, и посыльный заходит на новый круг.

Боб, получив ящик только со своим замком, теперь уже может прочесть послание. Пока посыльный отсыпается, а ишак отжирается, Боб затевает повтор всей этой катавасии в обратном направлении. Как ей надлежит проистекать, уже понятно.

В этой зарисовке подразумевается, что ящик непрозрачен и абсолютно прочен, замки не вскрываемые, а посыльный знает дорогу. И вроде бы Алиса с Бобом получили канал общения с гарантией, что никто в их переписку по дороге не заглядывал.

Но, как водится, история не может завершиться хэппи-эндом. На сцену выходит последняя буква алфавита. У людей это Z, у нас Я. Нехай будет Яровая, раз уж она всё это затеяла.

Не будем выяснять, с чего бы это вдруг, но вот захотелось Яровой узнать, что люди друг другу пишут. Может, там крамола или хула какая, а то и вообще заговор. Значит, кого-то можно и на кол посадить, это ж зрелище-то какое, потеха лучше цирка. Да и медальку за бдительность дадут, а то и шубу с царского плеча.

Так что Яровая устанавливает блок-пост на границе префектур сказочного королевства, и не пропускает посыльного из его родной префектуры в соседнюю. Посыльному велит ящик сдать под расписку, мол, сами его дальше доставим, сиди дома, жди повестки. Незачем тебе по просторам королевства сказочного шастать, ещё на разбойников каких нарвёшься. О твоей же безопасности печёмся. Кстати, оплати хлопоты, будь добр.

Понятно, что происходит далее?

Никуда ящик не едет. Яровая изображает из себя Боба, и затем проистекает то, что расписано выше. Посыльный, который больше загорает, нежели натирает об осла мозоль на заднице, сам к Бобу не ездил, и ни о чём не догадывается. Алиса тоже.

Прочитав письмо Алисы, далее Яровая этой Алисой и прикидывается, и проворачивает аналогичную процедуру с адресатом. В результате чего получает полный доступ в ящик с письмами, и, вообще-то говоря, может те письма не только читать и снимать с них копии на память, но и тупо подменять, внося свои правки.

И что мы видим? Совершенно вроде бы надёжная процедура end-to-end шифрования, замечательно работавшая до сих пор, с введением блок-поста утрачивает свою функциональность. В лице Яровой мы имеем классическую уязвимость «человек посередине» (Man in the middle, MITM).

Кстати, о «человеке посередине».

Очень давно, когда флаг Страны был красным, многие военные части были настолько секретными, что срочник, попадая туда, ни разу за два года не выходил за периметр из колючей проволоки. По сути, для солдатика что в такую часть попасть, что на зону. Порядки одни и те же.

Но тут всё-таки не зона, кое-какие свободы солдатику таки полагались. Например, никто ему не мог запретить пообщаться с родными по телефону. Правда, это был очень странный телефон.

Там действительно сидел человек посередине, который слушал матушку солдатика, и передавал её слова в телефонную трубку самому солдатику. Потом воспроизводил маме ответы сыночка, за вычетом всего того, что покидать периметр колючки не должно. Кстати, очень дисциплинирует - наличие цензора мгновенно отучает нести всякую чушь, общение становится конкретным и по делу.

Такой вот вариант детской игры в испорченный телефон.
Теперь мы всей страной пойдём служить в такую военную часть.

Риски MITM и последствия.

Существует масса приёмов осуществления MITM-атаки. Обыватель что-то слышал краем уха лишь о подмене сертификатов, но весьма слабо себе представляет масштабы явления.

На самом деле, антивирусы типа Касперского давно досматривают HTTPS трафик посредством самой натуральной MITM атаки. А как думаете они получают доступ к содержимому зашифрованных сайтов? Да вот так и получают, причём совершенно законно.

Теперь нечто подобное Касперскому принудительно и неотвратимо поставят фактически прямо на абонентской линии провайдера. Задачи аппаратуры чётко оговорены законом об изоляции Рунета - ограничить распространение запрещенных в Стране данных, и фильтровать трафик. Что решается только через тотальный контроль и обязательный досмотр. Примерно так, как это происходит в аэропорту, когда любой пассажир воспринимается как потенциальный террорист, пока не будет доказано обратное.

Что касается хитрого трафика, на который сегодня возлагаются надежды (весь этот ваш ДаркВеб, DNSCrypt, и всякие прочие протоколы под шифрованием поверх интернета), его черёд придёт позже. Про фильтрацию трафика в законе об изоляции сказано прямо. Всё, что явно не православное - резать на корню тупыми бараньими ножницами, как только поступит команда.

Что мы отныне имеем?

Есть как минимум три плохих новости.

  1. Больше не надейтесь на HTTPS протокол, всякие там SSL сертификаты и прочую стандартную защиту. Всё это теперь эфемерно и ровным счётом ничего не гарантирует.

  2. Видимо, со связанностью сети всё станет совсем плохо. С провайдеров сняли всю ответственность за качество коннекта, так что теперь при его очевидном деградировании даже и спросить не с кого. А с государства никакого спроса нет.

  3. Очевидно, что интернет для конечного пользователя вскоре подорожает, и существенно. Ведь кто-то за всё это должен заплатить.

Остаётся лишь один вопрос по существу: а, собственно, к чему такому страшному власти так усиленно готовятся?

Ну и о собственно изоляции.

Правители таки определились со списком угроз, при наступлении которых надлежит дёргать рубильник и начинать изображать Северную Корею. Ничего неожиданного там нет, а только то, что мы и ожидали. Вот как-то так - далее процитировано:

  1. — угрозы предоставления доступа к информации или информационным ресурсам в информационно-телекоммуникационной сети «Интернет», доступ к которым подлежит ограничению в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  2. — угрозы противодействия (затруднения) реализации ограничения доступа к информации или информационным ресурсам в информационно-телекоммуникационной сети «Интернет», доступ к которым подлежит ограничению в соответствии с Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  3. — угрозы невозможности доступа к услугам связи из-за аварий или перегрузки узла связи, вследствие которых услуги связи становятся недоступными для физических и юридических лиц или не может быть осуществлен вызов экстренных оперативных служб;

Последний пункт очень любопытен.
Но от читателя требуются некоторые когнитивные способности.

Другие статьи категории «Крамольные мысли вслух»

Про выжившие доменные зоны грядущего Чебурнета.

Про выжившие доменные зоны грядущего Чебурнета. Местный автор уже предъявлял миру своё видение того, что прямо сейчас происходит в отечественном сегменте интернета, куда и к чему всё это потихоньку и неспешно движется, и что в итоге должно получиться. Почитайте сперва небольшой материал про рубильник и жёлудь. С течением времени становится понятнее, как именно процесс закукливания Страны будет проистекать.

Большой Брат таки угробил WMR.

Большой Брат таки угробил WMR. Давеча местный автор, неоднократно замеченный в регулярных занятиях бразильским онанизмом (термин нифига не компрометирующий, гуглится), в секции биржи Вебманей WMZ-WMR узрел резкое укрепление WMZ буквально на ровном месте. Когда нечто за минуту дорожает на 2 рубля, то, наверное, что-то случилось. Позднее разница между официальным курсом рубля и его котировками на бирже достигла 7 рублей - как видим, народ сбрасывает WMR.

Поаккуратнее с Яндекс Почтой и Диском. Отныне не кошерно.

Поаккуратнее с Яндекс Почтой и Диском. Отныне не кошерно. Как всем нам прекрасно известно, согласно «закона» Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ (а на самом деле и много кто ещё) может потребовать от абсолютно любого сайта из реестра организаторов распространения информации (ОРИ) любые данные о пользователях и их сообщениях.
02 ноября 2019, 15:38

№ 1Задержка email

Вот интересно, связано ли вот это вот все с задержкой электронных писем? Приходят примерно через 4 минуты. В Нане включена двухфакторная авторизация и после ввода логина и пароля нужно ожидать указанное количество минут, пока код придет. Сие началось в конце октября. Замечено на разных хостингах одномоментно. Совпадение?

Есть тонкости, как именно получать письма.

Если почтовый сервер свой, в своём домене и на своём хосте, то не должно быть такого (предполагается, что письма смотрятся в веб-интерфейсе просмотрщика писем ц-панели хостера, для этого предоставляется и служебный домен хостера, и URL в пределах собственного сайта, с указанием в нём порта).

Если провайдер e-mail внешний, может быть всё, что угодно.

И да, HTTPS веб-морды просмотрщика писем ц-панели, и протоколы, по которым почтовый клиент общается с e-mail сервером той же ц-панели - это вообще разные вещи. В веб-морде тормозов может не быть, а в почтовом клиенте - запросто.

Но бывают случаи, когда у хостера просто задумчивый почтовый шлюз. Там организуется очередь из отправляемых писем, потом какая-то часть из них уходит, остальные дальше ждут. Хостер просто не договорился с ведущими почтовыми серверами, что он один из них. И по умолчанию считается спамером, с лимитом на отправку писем в час. При превышении банится, а чтоб такого не было, лимит переносится на пользователей.

Что тут имеет место быть, неведомо, надо с хостером толковать.
Вряд ли какой-то злой умысел.
Смотрите хедеры писем, там трассировка и время прохождения узлов.

Да, почта для сайтов в своих доменах.
Их несколько.
Для удобства всё перенаправляется в gmail.

Отправьте сайтом письмо с засечением точного времени, и далее смотрите по хедерам письма, где случились тормоза.

Слава
09 ноября 2019, 01:12

№ 2Добавлю свои пять копеек

Дык, это...
Вот...
vedomosti.ru
Скоро в смартфонах станет обязательным некий российский софт. Это новое проявление заботы государства о стабильности доходов местных производителей софта и благополучии населения, которое работает у местных производителей оного софта. Ну и о безопасности пользователей, конечно, тоже таким образом позаботятся.

Когда местный автор последний раз владел смартфоном, оный был куплен в виде безвестного китайца на Али. Выбор модели был полностью обусловлен имевшимися на 4pda прошивками, так чтобы всё залитое в телефон на заводе можно было сходу вылить обратно.

На выходе имеем телефон с доступом к руту, на который можно ставить что угодно и откуда угодно (в том числе с иных репозиториев, а не только с гугл плея).

Удивительная вещь - тот телефон жив до сих пор, на него без проблем ставятся всякие навител навигаторы и прочие объёмные штуки, тупо заливаемые прямо через шнурок. Причём эти же самые штуки на современные телефоны не встают ну никак, при всех ухищрениях. Какое-то там анальное огораживание в айфонном стиле.

Очевидно, ежели нам насильственно начнут лить в телефоны кривой до невозможности софт (специфика такая), да ещё с «отечественной криптографией» и доступом ко всему содержимому во имя славных идей Чучхе, умные люди просто купят безвестную модель с голым Андроидом, и наполнят её нужным им безопасным содержимым. Процедура не сказать чтобы сложная, проводилась неоднократно.

Ну а основная толпа да, она всего этого не умеет, так и будет мыкаться.

Дмитрий
Все заметки категории «Крамольные мысли вслух»