Изоляция российского рунета

[yozhik]

Степан, не сочтите за паранойю, но скажите, пожалуйста, вдруг в РФ примут закон об изоляции Рунета, как грозятся, этот сайт станет недоступным для живущих вне РФ? Для ЕС- жителей, например?

 

[Степан Бабкин]

Степан, не сочтите за паранойю, но скажите, пожалуйста, вдруг в РФ примут закон об изоляции Рунета, как грозятся, этот сайт станет недоступным для живущих вне РФ? Для ЕС- жителей, например?

• сайт находится на немецком хостинге и изолировать немецкий хостинг о немецкого посетителя для РФ будет весьма проблематично
• закон позволяет власти РФ фильтровать зарубежный трафик, то есть, наоборот, это посетителям из РФ, если сайт решать отфильтровать, будет недоступен сайт
• в целом, закон вообще не про изоляцию

 

[yozhik]

Спасибо за инфу. Это очень хорошо.

 

[Boris]

если сайт решать отфильтровать, будет недоступен сайт

Думаю даже в таком диком случае, VPN решит все вопросы.
Даже Китай не смог все закрыть, а уж они денег и мозгов на это поболе потратили.
Интернет он такой - сквозь пальцы просачивается

 

[yozhik]

Думаю даже в таком диком случае, VPN решит все вопросы.
Даже Китай не смог все закрыть, а уж они денег и мозгов на это поболе потратили.
Интернет он такой - сквозь пальцы просачивается

Так там прослеживается кроме китайской модели еще и КНДР- овская Российские власти хотят изолировать интернет. Теперь у нас будет как в Китае? Отвечает технический директор «Роскомсвободы» Станислав Шакиров — Meduza

 

[Степан Бабкин]

Так там прослеживается кроме китайской модели еще и КНДР- овская

Ну, медуза... Это как спид-инфо читать, чтобы узнать новости компьютерных технологий.

Вот цитата

То есть в случае, если у властей появится «рубильник», они смогут оставить работать только те ресурсы, которые размещаются внутри страны.

Как власти РФ могут не оставить работать мой ресурс? Ну, физически, как? Сайт на хостинге немецком, домен ру не является собственностью РФ, как они могут это вырубить?

Всё что можно сделать - это фильтровать трафик внутри страны, чтобы из РФ не было доступа на сайт какой-то. Это можно сделать. Ну, так это везде так, и Германия может фильтровать неугодный трафик, и США и кто угодно.

Подробностей пока нет, но речь идет о программах или «умных» устройствах

То есть, мы вообще-то понимаем, что ничего такого не будет, но сейчас вам насочиняем так, что вы офигеете...

Вот где в статье хоть одна цитата из закона?

По нынешнему тексту законопроекта сложно сказать, какие принципы и механизмы будут использоваться.

Так какого хрена вообще сели писать статью? Вам сложно сказать, но хочется же обосрать рашку, ну как упускать шанс-то, да?

Я честно не понимаю, зачем ходить на медузу за информацией. Вы же не ходите за едой на помойку. Есть информационные ресурсы, а есть развлекательные. Это развлекательный ресурс для русофобов - хорошо, развлекайтесь, но при чём тут получение каких-то данных?

 

[yozhik]

Это развлекательный ресурс для русофобов - хорошо, развлекайтесь, но при чём тут получение каких-то данных?

Ну, Степан, с "Медузой" вы меня познакомили, как пример для дизайна статьи был лет 100 назад Я вообще-то ее не читаю. Что прибежало в поиске первым, то и привела в примере.
Но ведь интернет и без Медузы гудит. Хабр например или DW
Насчет немецкого хостинга сайта я поняла с первого раза. И рада, что вашему сайту ничего не грозит.

Отвечала Борису по поводу китайской модели интернета. И да, будет плохо, если додумаются до Кндр-овского интронета. Помоему, русофобы это те, кто это все придумал, совсем уже люди, как крепостные крестьяне рассматриваются.

 

[Степан Бабкин]

Но ведь интернет и без Медузы гудит. Хабр например или DW

У меня ничего не гудит Хабр и ДВ тоже с удовольствием подхватывают анти-РФ хайп любого толка.

Давайте первую ссылку посмотрим:

В частности, операторы связи обязаны:

1. Выполнять правила маршрутизации, установленные Роскомнадзором.
2. Корректировать маршрутизацию по требованию Роскомнадзора.
3. При разрешении доменных имен использовать разрешённые Роскомнадзором программно-технические средства, а также национальную систему доменных имён.
4. Использовать только точки обмена трафиком из реестра точек обмена трафиком.
5. Оперативно сообщать в Роскомнадзор информацию о своих сетевых адресах, маршрутах сообщений электросвязи, используемых программно-технических средствах, необходимых для разрешения доменных имен и инфраструктуре сетей связи.

Я не вижу тут "приказываем изолировать рунет" нигде.

По пунктам

1. Защита от того,чтобы трафик пользователей РФ в сторону серверов РФ выполнялся через зарубежные точки обмена трафиком. Сейчас это 80% всех запросов.
2. Если непорядок обнаружен - потребуют исправить не по решению суда, как до сих пор, а по закону,что быстрее.
3. Опять же, безопасность.
4. Это позволяет фильтрацию, да, но опять же - речь о безопасности, потому что уже сейчас есть действующие бесконтрольные точки обмена трафиком, с которым постоянно идут проблемы для обычных граждан, например, вместо увеличения пениса внезапно крадётся инфа с кредитной карты
5. Контроль и снова контроль.

Но вот смотрите, в Германии есть и действует закон § 3 TMG - Einzelnorm
Если не лень, почитайте.

Das Angebot und die Erbringung von Telemedien durch einen Diensteanbieter, der in einem anderen Staat im Geltungsbereich der Richtlinien 2000/31/EG oder 89/552/EWG niedergelassen ist, unterliegen abweichend von Absatz 2 den Einschränkungen des innerstaatlichen Rechts, soweit dieses dem Schutz1.
der öffentlichen Sicherheit und Ordnung, insbesondere im Hinblick auf die Verhütung, Ermittlung, Aufklärung, Verfolgung und Vollstreckung von Straftaten und Ordnungswidrigkeiten, einschließlich des Jugendschutzes und der Bekämpfung der Hetze aus Gründen der Rasse, des Geschlechts, des Glaubens oder der Nationalität sowie von Verletzungen der Menschenwürde einzelner Personen sowie die Wahrung nationaler Sicherheits- und Verteidigungsinteressen,
2.
der öffentlichen Gesundheit,
3.
der Interessen der Verbraucher, einschließlich des Schutzes von Anlegern,
vor Beeinträchtigungen oder ernsthaften und schwerwiegenden Gefahren dient und die auf der Grundlage des innerstaatlichen Rechts in Betracht kommenden Maßnahmen in einem angemessenen Verhältnis zu diesen Schutzzielen stehen. Für das Verfahren zur Einleitung von Maßnahmen nach Satz 1 - mit Ausnahme von gerichtlichen Verfahren einschließlich etwaiger Vorverfahren und der Verfolgung von Straftaten einschließlich der Strafvollstreckung und von Ordnungswidrigkeiten - sehen Artikel 3 Abs. 4 und 5 der Richtlinie 2000/31/EG sowie Artikel 2a Absatz 4 und 5 der Richtlinie 89/552/EWG Konsultations- und Informationspflichten vor.

О Боже, немцы же изолируют дойченет, ведь за зарубежным трафиком установлен контроль!

Закон о безопасности и в целом о том, что если реальный владелец точки обмена трафиком рванёт рубильник и отключит РФ от обмена там, то внутри РФ минимум всё должно работать.

То есть, есть сайт в Москве и пользователь из Москвы не должен получать трафик через сервер во Франкфурте. Вот основная цель закона - упорядочить обмен трафиком.

Что, конечно, ведёт к упрощению контроля и фильтрации. ОК, но чтобы выполнять контроль за скоростью на дороге ставятся фотоаппараты, чтобы взимать плату за проезд ставятся контрольные пункты - почему в этом плане в интернете должно быть как-то иначе. Хорошо, что всё упорядочивается.

 

[Степан Бабкин]

Поясню ещё подоплеку.

В 2000 я учился на третьем курсе ВИКУ им. А.Ф. Можайского на факультете айтишников. Нам предложили начинать подготовку к дипломной работе, я проявил интерес к теме сетевой компьютерной безопасности. Была создана рабочая группа - два дипломника, два третьекурсника на подхвате и научрук - капитан с кафедры.

Научный руководитель дал нам в пользование новый маршрутизатор CISCO стоящий по тем временам пару тысяч баксов. Задача была - найти возможные уязвимости, в частности, недокументированные команды.

Руководитель объяснил направление работы: есть входящий трафик, каждый пакет проходит обработку внутренней программой маршрутизатора, надо узнать алгоритм и понять, что там происходит.

Мы сняли дамп памяти с работающего маршрутизатора и дизассемблировали его. Это примерно по аналогии можно понять как взяли инструкцию на китайском языке и перевели её на более понятный немецкий, который конечно тоже надо теперь переводить на русский, но уже попроще, потому что немецкий много кто знает. А мы как раз ассемблер проходили - это самый низкий уровень программирования в IT.

И вот мы сидели месяца три и разбирались, как именно маршрутизатор каждый пакет исследует. Брали любой условный оператор в программе и разбирались, откуда пришло условие, что там за переменная, где заполнена и так далее. И вот в одну прекрасную ночь я и мой напарник Максим Спиридонов обнаружили что в одном из IF условий проверяется, что если в пакете есть определённая последовательность символов заканчивающаяся на константу вида "4EA5", то программа начинает вытворять что-то непонятное.

Мы приготовили пакет с подходящими условиями, договорились с научным руководителем и в качестве опыта послали пакет на маршрутизатор. После чего он вышел из строя, попросту говоря, "перегорел". Конечно, его можно было починить, если есть в наличии, скажем так, детали, но у нас не было.

Это был первый случай, когда меня похвалили за порчу дорого казённого имущества. МО РФ по итогам исследования приняло решение не использовать маршрутизаторы производителя CISCO.

Сейчас списки недокументированных команд CISCO в среде айтишников достаточно известная вещь Undocumented Cisco Commands

Это было почти 20 лет назад, и вот только теперь Роскомнадзор решил взять по свой контроль то, какое оборудование используют российские провайдеры и на какие пункты обмена трафиком направляют пакеты. Лучше поздно, чем никогда конечно.

Если ты что-то не контролируешь, это не значит, что никто это что-то не контролирует.

 

[yozhik]

анти-РФ хайп любого толка.

Боюсь от вас услышать: "Кругом враги" И если вокруг все так единодушны, может все-таки следует и призадуматься, вдруг в консерватории стоит что-то поправить. У меня нет такого ощущения, что хайп против РФ. Скорее хайп против ОПГ, которая сейчас крутит все педали и гайки в РФ.
Насчет контроля над трафиком. Степан, пощадите. Мне нужна неделя, чтобы хотябы понять и перевести в голове все, что вы привели как доводы. Я не спорю с вами относительно методов. Ничего в них почти не смыслю. Я сильно сомневаюсь в заявленных целях.
Но я вам полностью доверяю и если вы говорите, что ничего в этом страшного нет, и речь о контроле, а не о полной блокировке, то и слава богу. И ура-ура

 

[Степан Бабкин]

И если вокруг все так единодушны, может все-таки следует и призадуматься, вдруг в консерватории стоит что-то поправить.

Нет никакого единодушия. Просто если искать "изоляция рунета", то выпадут вот эти вот сайты. Поисковый запрос определяет сознание

Мне нужна неделя, чтобы хотябы понять и перевести в голове все, что вы привели как доводы.

Ок, пример попроще.

Вы идёте на мой сайт сюда, от Вашего модема дома запрос отправляется на сервер, который решает, что Вы хотите. И потом когда понимает, что хотите мой сайт, запрос отправляется на сервер моего сайта, который передаёт Вам эту страничку.

Вопрос - по чьим кабелям, проводам, серверам и передающим устройствам "бегают" запросы? Кто их контролирует? Кто решает, что запрос "побежит" по этому кабелю, а не по другому?

Если Вы думаете, что ответ что-то вроде "никто, оно само", то увы, это не так.

Короче, включаем обычную логику.

Утверждается, что этим РФ законом приобрела власть над "рубильником" интернета и сможет "изолировать" себя.

Отлично.

Внимание, вопрос - кому принадлежал рубильник до этого и кто мог изолировать РФ от интернета до этого момента?

 

[yozhik]

Внимание, вопрос - кому принадлежал рубильник до этого и кто

Ага, но ведь у интернета хозяина нет? Значит, никто не мог?

 

[Степан Бабкин]

Ага, но ведь у интернета хозяина нет? Значит, никто не мог?

Никто или кто-то? РФ не может создать рубильник интернета, ведь для этого пришлось бы переделать все интернет-технологии Рубильники уже есть, их использует, например, США - если хотите углубляться, надо читать National Strategy to Secure Cyberspace - Wikipedia

Или как по Вашему исполняется закон о борьбе с детской порнографией в Германии Zugangserschwerungsgesetz – Wikipedia ?

Кстати, правильный ответ простой, но, к сожалению, матерный:

Спойлер: ответ на вопрос, кто мог изолировать от РФ интернет

ХУЙ ЗНАЕТ КТО!

 

[yozhik]

Задача была - найти возможные уязвимости, в частности, недокументированные команды

Недокументированные, это в смысле, выполняющиеся, но при этом не выводящиеся в протокол, а уходящие в неизвестном направлении?

что в одном из IF условий проверяется, что если в пакете есть определённая последовательность символов заканчивающаяся на константу вида "4EA5",

Ну слава богу! Вот теперь все стало ясно! А то я уже, часом, подумала, что совсем тупая

Кстати, правильный ответ простой, но, к сожалению, матерный:

посмотрю обязательно, только не сейчас. Счас времени нет.
Кстати, я как раз с циско и работала, нам ОБСЕ их через Киев раздавали. Но он через Киев и администрировался. И да, любые отключения-поведения протоколировались и отправлялись системным администраторам. Так что к таким вещам мы не касались.

 

[Степан Бабкин]

Недокументированные, это в смысле, выполняющиеся, но при этом не выводящиеся в протокол, а уходящие в неизвестном направлении?

В смысле, что в документации на использование маршрутизатора эти команды не прописаны. Их как бы нет по инструкции. Но тем не менее, они существуют, для каких-то своих целей. Впрочем, это не только CISCO, любые программы или оборудование как правило имеет недокументированные команды. Именно поэтому необходимы сертификации и реестр на использование в госструктурах.

Для примера аналог - скандал с "подслушивающими игрушками", когда детские игрушки управляемые голосом отправляли на сервер компании вообще всё что "слышали". Тут сразу скандал - как так, нужен контроль и сертификация!

А когда целые государства непонятно через какие каналы интернетом пользуются - это нормально, ничего страшного, свободный интернет же...

 

[Andreas Spiegel]

• сайт находится на немецком хостинге и изолировать немецкий хостинг о немецкого посетителя для РФ будет весьма проблематично
• закон позволяет власти РФ фильтровать зарубежный трафик, то есть, наоборот, это посетителям из РФ, если сайт решать отфильтровать, будет недоступен сайт
• в целом, закон вообще не про изоляцию

Один момент все же есть: домен находится в зоне .ru! Если вдруг решать отгораживаться, могут и домен заблокировать. В том числе и частично, т.е. для РФ оставить открытым, для всех остальных закрыть. Реализуемо не очень легко, на уровне регистратора или корневых серверов, но возможно, если сильно надо.

 

[Степан Бабкин]

Реализуемо не очень легко, на уровне регистратора или корневых серверов, но возможно, если сильно надо.

Не понимаю как, домены первого уровня резолвятся через корневые серверы DNS, которые находятся под управлением IANA, то бишь, США.
У РФ вообще ни одного корневого сервера нет Root Server Technical Operations Assn

Вот IANA может спокойно отрубить резолвинг для домена ру. РФ никак не сможет без их участия.

 

[Andreas Spiegel]

Как власти РФ могут не оставить работать мой ресурс? Ну, физически, как? Сайт на хостинге немецком, домен ру не является собственностью РФ, как они могут это вырубить?

Домен ру является частью зоны ru, если администратору прикажут, домен блокируется. То, что это нарушение договорных обязательств, думаю, волновать будет в последнюю очередь. Ты б зеркало в какой-нибудь еще зоне припарковал бы, да сообщил постояльцам, куда бежать, в случае чего.
Так что рубильник, хоть и слабенький, но есть.

 

[Степан Бабкин]

Домен ру является частью зоны ru, если администратору прикажут, домен блокируется.

Домен ру - это просто две буквы. Они не принадлежат РФ. И администрация американской компании IANA не подчиняется ни правительству РФ, ни правительству США.

Пардон, Джон Постел помер, теперь IANA, а ICANN.

Технически домены верхнего уровня доступны через систему корневых серверов DNS, контролируемую ICANN. И только так.

ICANN - это министерство торговли США.

 

[Guten ABEND S0C4]

Сейчас списки недокументированных команд CISCO в среде айтишников достаточно известная вещь Undocumented Cisco Commands

Это было почти 20 лет назад, ...

А как вам недокументированные команды процессора, информация о которых даётся только пАртнерам и строго под расписку о неразглашении?! И это в наше время, а не 20 лет назад! Добавлю, что на том железе, о котором я говорю, крутится львиная доля мировых транзакций и обрабатывается бОльшая часть данных в правительственных, военных и финансовых структурах по всему миру, включая РЖД, Сбербанк и Газпром))) Знаю об этом не понаслышке, я лично с этим работаю. Угадайте с одного раза, кто страна- производитель?