В связи со стремительным ростом масштабов блокировок и санкций (полный каталог ведет @denis-19по ссылке) возникает необходимость составить список наиболее критических угроз инфраструктуре Рунета и способов их упреждения.
Данная статья подразумевается в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
Дополнения и комментарии читателей приветствуются.
Правила
Если вы продвинутый пользователь или владелец портала внимательно изучите описанные ниже риски и примите меры упреждения (если они к вам применимы),
Если вам понятны описанные ниже шаги, просьба донести их простым языком до рядовых пользователей не "ит-шников" (справился сам, помоги другим),
Если чего-то не хватает, пишите в комментариях или в личные сообщения в соответствии с форматом ниже (название риска, последствия, способ упреждения),
Если нашли ошибку или несоответствие пишите в личные сообщения.
Риск 1 - Отзыв TLS-сертификата |
|
Возможные последствия |
Недоступность ключевых сайтов (госуслуги, банки, СМИ) |
Способы упреждения |
Для владельцев сайтов: 1. Запросить российский TLS сертификат, например на сайте госуслуг https://gosuslugi.ru/tls (доступно только через аккаунт юр. лиц) 2. Быть готовым оперативно подменить его в случае отзыва иностранного сертификата 3. Организовать резервный http-редирект с инструкцией для пользователей (см. след. секцию) Для рядовых пользователей: Скачать браузер Яндекс или Атом со встроенным корневым сертификатом госуслуг Для продвинутых пользователей: 1. Скачать корневой сертификат гос. услуг https://gosuslugi.ru/tls 2. Добавить его в браузер (инструкция для Chrome, Firefox) и мобильные устройства Android, iOS, и пр. |
Пример отзыва сертификата для одного из государственных сайтов (по состоянию на 14.03.22 09:46)
Риск 2 – Приостановка услуг DNS-регистратора |
|
Возможные последствия |
Недоступность ключевых сайтов (госуслуги, банки, СМИ) Опасность перехвата домена злоумышленниками |
Способы упреждения |
Для владельцев сайтов: Организовать переезд на отечественные доменные регистраторы (ищите “купить домен” в строке поиска) |
Риск 3 – Приостановка услуг облачных провайдеров (AWS, DigitalOcean, Google Cloud, и пр.) |
|
Комментарий |
Несмотря на заверения некоторых вендоров (напр. AWS) о продолжении оказания услуг (кроме регистрации новых пользователей), существует высокая вероятность технической недоступности сервисов |
Способы упреждения |
Для владельцев сайтов: Организовать переезд на отечественные облачные площадки (ищите “облачный сервер” или “аренда VPS” в строке поиска) |
Риск 4 - Блокировка доступа к зарубежным облачным сервисам (Почта Gmail, облако Dropbox, iCloud и пр.) |
|
Комментарий |
Несмотря на любые заверения и обещания, обязательно сделайте локальную копию всех важных файлов и документов, которые хранятся на удаленных (облачных) сервисах |
Способы упреждения |
Ссылка для выгрузки всех данных из Google - https://takeout.google.com/ |
Риск 5 – Блокировка устройств, подключенных к интернету (компьютеры, планшеты, смартфоны) |
|
Комментарий |
Существует техническая возможность блокировать любые устройства, обновляемые по интернету путем загрузки ограничительных закладок |
Способы упреждения |
1. Приостановить автоматическое обновление Windows, Android, iOS 2. Не загружать новые обновления при возможности отказаться |
To be continued…
Комментарии (28)
bnn34
12.03.2022 14:08+3Риск 1 - Отзыв TLS-сертификата
TLS от Госуслуг, но возможны MITM атаки. Лучше уже не доверять сертификатам, а использовать другие проверки, и шифрование поверх.
Мессенджеры: секретные чаты с паролем, например в Телеграм. Сайты - как минимум проверка сайта через возможность авторизации по старому логин/пароль.Риск 2 – Приостановка услуг DNS-регистратора
Уже есть Национальная система доменных имен (НСДИ). Публичные DNS 195.208.4.1 и 195.208.5.1Риск 2.1 – Приостановка услуг IP-регистратора (RIPE)
Уже есть Реестр адресно-номерных ресурсов. Публичный whois сервис https://w.ranr.noc.gov.ruРиск 3 – Приостановка услуг облачных провайдеров
Выбирайте облака российских провайдеров, на которых гос сайты. Их заблокируют последними.Риск 4 - Блокировка доступа к зарубежным облачным сервисам
Надежнее арендовать VPS и перенести данные в open source решения, например https://nextcloud.comРиск 5 – Блокировка устройств, подключенных к интернету
Linux-подобные системы будут последними, кто сделает такое. https://ubuntu.comvsb
12.03.2022 15:41-2RHEL уже разорвал контракты с российскими компаниями. Я бы на линукс не слишком полагался. Если уж линукс, то пора на отечественные дистрибутивы смотреть.
ShroedingersCat
12.03.2022 17:45RHEL - это операционка, поэтому разорвать она ничего не может. Сам RedHat разорвать может, но юридически этого пока не делал, просто заблокировал личные кабинеты. Что будет дальше - будет видно, думаю все же разблокируют.
saipr
13.03.2022 08:30Отечественные дистрибутивы ...
Итак, какой напрашивается вывод? Напоминаю, мы говорили про электронную подпись, про использование отечественной криптографии.
Первое, доступ к порталам не должен зависеть от типа операционной системы и используемого криптопровайдера.
Второе, отечественные ОС должны иметь в своем составе браузеры с поддержкой ГОСТ-ового https.
Третье, отечественные ОС должны иметь в своем составе почтовые клиенты с поддержкой ГОСТ (подписание/шифрование).
Четвертое, отечественные ОС должны иметь в своем составе средства электронной подписи и шифрования
Пятое, отечественные ОС должны иметь поддержку токенов/смарткарт PKCS#11 с поддержкой российской криптографии.
Вот если этот минимум будет реализован, то можно говорить об отечественных ОС типа Linux.
А то не так давно был в одном министерстве, а там увидел уникальное импортозамещение: им предложили некий отечественный Линукс, в нем запустили виртуалку с Windows и со всеми прибамбасами, которые в Министерстве используются на Винде были, и сказали можно рапортовать об импортозамещении. Надеюсь, мой последний абзац не станет руководством к действию.checkpoint
13.03.2022 23:57+1А как на счет отечетсвенных ОС типа FreeBSD ? Кто в них будет вносить поддежку ? Я недавно общался с тех службой Рутокен (компания Актив, как они себя называют), просил либо сделать поддержку Рутокен Плагина для FreeBSD (Firefox + библиотеки), либо опубликовать сорцы линуксовой версии и я сам портирую и опубликую. Меня послали известно куда. Попытка застыдить их за использовние GPL кода (а его там выше крыши) - ни к чему не привела. Г#нд#ны штопаные!
saipr
14.03.2022 21:59Вот именно об этом я и писал!!! Когда я держателям так называемых отечественных ОС говорил про имеющиеся плюхи, ответ был таков — вот на западе поправят, тогда мы внесём изменения!!! Это классика наша отечественная.
P.S. Кстати плагин для поддержки какого из ихних токенов?checkpoint
14.03.2022 22:31Кстати плагин для поддержки какого из ихних токенов?
Того самого, который ФНС РФ втюхивает безапелляционно всем отечественным предприятиям: Рутокен ЭЦП 2.0. Я заплатил за этот хренов кусок пластика денег и не могу с ним теперь ничего сделать, так как не являюсь пользователем ни Windows ни Linux.
Одна надежда, в виду острой проблемы с производством этих токенов есть вероятность что всю эту хрень под названием "квалифицированная электронная подпись" нафиг отменят и спишут в утиль.
saipr
14.03.2022 23:06Более того большинство его (токен) используют как обыкновенную флэшку, вернее сами того не подозревая в различных провайдерах.
хрень под названием "квалифицированная электронная подпись"
Это "хрень" не наша отечественная выдумка, на западе она называется Cades-XLT1. Беда не в ней, а как она у нас поддерживается. Если брать запад, то токена PKCS#11 пользуются все и все операцинки их поддерживают. А что у нас, я думаю, объяснять не надо. С написал утилиту, которая поддерживает работу с PKCS#11 практически на всех платформах, но… у нас Windows и CSP.
нафиг отменят и спишут в утиль.
Этого не надо делать, а надо, чтобы наши "производители" поддерживали ГОСТ-овую подпись точно также как это делается забугром. Я уже устал об этом
твердить. Что это за отечественные ОС, которые не понимают ГОСТ-ов, что за браузеры, которые не понимают https с ГОСТ-ами и т.д. Извините, наболело!!!checkpoint
14.03.2022 23:42+1Проблема глубже. Мне навяливают проприетарное решение от единственного производителя от которого у меня нет возможности отказаться (Рукотен + КриптоПро + АльЛинукс). Я бы с удовольствием использовал токен, если бы с ним работало СПО (FreeBSD + FireFox в моем случае). Так же я не понимаю, что за бред переводить все гос службы на прием отчестности ТОЛЬКО в электронном виде и ТОЛЬКО подписанные КЭПом. Всегда должен быть альтернативный, старый, дедовский метод - бумага + Почта России. Но нет же, новатор Мишустин этого более не допустит! Завтра нам потушат интернет, повалят магистральные маршрутизаторы или заDDoSят сайт, и как я должен буту подавать отчетность в десяток гос служб ? У меня уже был случай - налоговая оштрафовала нас за то, что бухгалтер не проверила был ли принят электронный отчет и ушла на праздники, а он по какой-то причине "не встал". Это выяснилось сразу после праздников, но было поздно. Доказать в суде мы ничего не смогли. Такая безапелляционность просто удручает. Людям не дают шанса на ошибку при том, что все завязано на кривой и глюкавый софт. Эти инновации уже так подзанадоели, что просто мочи нет. Хочется закрыть все нахрен и валить в США, пока еще есть такая возможность.
saipr
15.03.2022 09:58Мне навяливают проприетарное решение от единственного производителя
Так я про это только и пишу!!!
Ладно бы один производитель, так ещё и одна ОС (догадайтесь какая)!!!
F0iL
13.03.2022 13:05Выбирайте облака российских провайдеров, на которых гос сайты. Их заблокируют последними.
Как узнать, на каких именно облаках хостятся гос сайты? Эта информация где-то есть в открытом виде?
Не, я знаю, что можно конечно резолвить все домены и поддомены госсайтов и смотреть, каким подсетям принадлежат их IP, но у них там будет или морда сервиса DDoS-защиты, или просто Ростелеком, что не очень информативно.
rzerda
13.03.2022 21:46Формулировка изначальная у комментатора кривая, и с успехом может быть заменена на «используйте местные облака». Потому что ну узнаете Вы, что это Ростелеком, Восход и другие товарищи, но конкретно в те места, где живут госсайты, людей с улицы не пустят. А в других местах тех же провайдеров всё может быть сильно по-другому, включая диапазоны IP-адресов. Вдобавок, зачем блокировать местные облака, если к ним можно пешком придти и решить все вопросы?
rrrad
12.03.2022 16:40+4И конечно же, те "чудеса сервиса", из-за которых многие старались держаться подальше от российских регистраторов и некоторых хостинг-провайдеров в условиях санкций требуется забыть. Или есть основания полагать, что эти чудеса вдруг перестанут проявляться? Моя ставка на то, что будут проявляться еще более активно, ведь альтернатив то нет.
pchirikov Автор
13.03.2022 12:07Чудеса сервиса никуда не денутся. Но тут приходится выбирать между хоть какой-то работоспособностью с "чудесами" или полной информационной изоляцией.
SergeyUstinov
12.03.2022 20:37+3Правила ведения безопасного IT-бизнеса в России..
1. Держите серверы за границей
2. Регистрируйте домены за границей
3. Регистрируйте компанию за границей
4. Держите деньги за границей и не держите яйца в одной корзине
5. Не держите, говорю, яйца в одной корзине!
6. Держите базы данных за границей
7. Документируйте все, что касается вашего обеспечения
8. Разделяйте активы и риски
9. Еще можно отдаться добровольно
10. Уезжайте за границу.
Читаем пункт 10. )))
Правила ещё лет десять назад написали...
Stan64
12.03.2022 21:30На данный момент ещё актуально, что заблокированы PayPal и карты Visa/MC. Это не даёт возможности легко оплатить сервисы зарубежные. Для многих остаётся только вариант Swift, который также могут отрезать.
Поэтому это также риск. Варианты решения это переезд сервисов, серверов в дружественную страну с МИР или с возможностью оплаты криптовалютой, Webmobey, Alipay и т.п.
amarao
12.03.2022 22:02+2Отказаться от установки обновлений - это прямо epic win. Все прям ждут-недождутся следющего релиза метасплоита и juicy-juicy russian unpatched.
В связи с введением санкций WannaCry приостановил предоставление услуг расшифровки данных для русских компаний. ... А шифровать не перестал.
pchirikov Автор
13.03.2022 12:00Если выбирать между полностью заблокированным устройством и устройством с уязвимостями (которые можно частично закрыть антивирусом или кустарными патчами), что лучше? Поясню, что речь не только о коммерческих устройствах и сервисах (здесь без обновлений сложнее), но и про бытовые компьютеры в локальной сети с роутером без публичного ip. Для такого случая необновленная ОС не такая уж и большая опасность, при условии наличия антивируса.
amarao
13.03.2022 14:00Зависит от модели угроз. Я знаю компанию, в которой сервера шатдаунят сразу после получения информации о хоть какой-то теоретической узявимости. После этого разбираются - серьёзно или нет, а апдейты ставят airgapped. Почему? Потому что много приватных ключей с множеством трёбуквенных аббревиатур (с примесью 4-буквенных).
CactusKnight
12.03.2022 23:33А чем поможет отказ от установки обновлений на мобильные устройства, если у них "из коробки" есть штатная функция блокировки (например, при утере или краже) со стороны владельца аккаунта? А раз это может сделать владелец аккаунта, то Google и Apple - тем более, и никаких обновлений не надо, достаточно подключения к интернету
Mur81
13.03.2022 02:41+3Насчёт всяких мобильников согласен. Но есть девайсы где таковой функциональности никогда не было, но внезапно она там может появиться. Так что некое здравое зерно в этом есть.
Nick252
13.03.2022 08:18+1https://github.com/arendst/Tasmota/commit/7b2c81b6dd0da1912f9015929119bdb23c46f07f он там делал ещё более гнусные вещи.
vp7
14.03.2022 09:22Кажется, мир окончательно сходит с ума.
Не пользовался этой прошивкой, но рассматривал как возможный вариант использования. А тут автор в явном виде показал, что он готов намеренно ломать функционал работающих устройств, т.е. совершать диверсии, обосновывая это.. да чем угодно обосновывая. Террористы же тоже не просто так взрывы устраивают, а работают ради мира во всём мире (в том виде, в котором они хотят видеть этот мир).
Понимаю, сейчас кто-нибудь скажет "развязали войну - получайте",... а давайте теперь представим, что весь мир начал придерживаться подобной парадигмы? И найдётся другой, не менее робингудистый товариш, который.... возьмём привычное клише - сможет внести изменение в ПО, допустим, самолётов - чтобы самолёты бились в случае, когда стюардессы не носят паранджу, а пилоты - не поклоняются большому макаронному монстру. И всё логично - "они сами не стали носить паранджу, не поклоняются макаронному монстру, значит пусть теперь расплачиваются за это".
pchirikov Автор
14.03.2022 22:14Цель этого провокационного коммита даже не в том, чтобы навредить пользователям (поскольку зловредная часть там как раз закомментирована), а элементарно вызвать ответную блокировку РКН, поскольку сам github отказался от прекращения деятельности в РФ.
Skykharkov
Советы по принципу - "Девочки, чтобы вас не изнасиловали, не надевайте короткую юбку!"
pchirikov Автор
Если у вас есть более содержательные советы, я с удовольствием добавлю их в список
lain8dono
Табакерка и шарфик.