Сегодня мы получили очередную «дружескую» оплеуху от наших американских «друзей»: США отозвали SSL-сертификат (т.е. сертификат безопасности) у официального сайта ФСБ.
Об этом в интервью украинскому пропагандисту Дмитрию Гордону с гордостью сообщил) американский IT-бизнесмен Майкл Талан.
Он отметил, что, по мнению американцев, которые «знают всё», Москва применяла «грязные методы, используемые черными хакерами на службе у Кремля», поэтому Россию решено было наказать.
Еще раз: SSL - это сертификат, удостоверяющий подлинность сайта.
Проблема заключается в том, что Россия не входит в так называемый «клуб», который выпускает сертификаты, признанные всеми производителями браузеров, поэтому любая компания использует либо бесплатные ключи Let’s Encrypt, либо платные от западных производителей.
Так вот, по информации Талана, руководство США настолько «устало» от нашего поведения, что отозвало сертификаты у 35 официальных российских организаций, по мнению американцев, «управляющих страной».
В качестве примера одного из последних отключений от SSL-сертификации, Талан привёл официальный сайт Президента РФ и сайт ФСБ России.
Теперь они доступны пользователю по стандартному протоколу //, сохраняя сообщение в браузере о том, что эти сайты небезопасны, иначе говоря, трафик не зашифрован.
По информации бизнесмена, США намерены также отозвать сертификаты SSL и у таких российских IT-гигантов, как Яндекс и «Mail.Ru».
Точно знаю, что в прошлом году была попытка лишить SSL-сертификата сайт Общественной палаты России. Да и, думаю, про другие попытки мы просто не знаем.
Талан добавил, что такой шаг - это беспрецедентная демонстрация того, на что готов пойти Вашингтон, если «Москва не выполнит требования США».
Интересно, о чем вообще идёт речь? Что мы должны сделать, чтобы нас «простили»?!
alexsword: Как выяснилось, там и не было SSL версии, то есть "отнимать" было особо нечего.
западная цензура в интернете добралась и до российских сайтов ... что скажут защитники западной "свободы" слова и "демократии"?
Комментарии
В современном мире "самые корневые" сертификаты "вшиваются" в железо. Причём на PC это называется secure boot и его [пока ещё] можно отключить.
Но это добрая воля производителей железа - ничто не мешает США завтра издать закон, запрещающий Secure Boot отключать, а послезавтра - запретить железо с такой функцией продавать.
А вот телефоны - уже сейчас так устроены (за исключением, внезапно, выпускаемых Google - там эта "фича" опциональна и отключаема).
Однако при этом CPU-то (где "корневые ключи и сидят) выпускаются либо США, либо их патнёрами (Тайвань, Корея). За одним-единственным исключением... Huawei. Внезапно, да?
О как.
У нас корневой ЦС минцифры и все остальные ЦСы под ним. Все уже давно есть. Вопрос как заставить гугл доверять этим сертификатам? или второй вариант как заставить разрабочиков ОС добавить ЦС минцифры в доверенные корневые центры, чтобы пользователям не приходилось корчиться с этим самим?
В масштабах предприятия реализовывать цепочку сертификатов, или в масштабах страны, результат всё равно один - нашим сертификатам не будут автоматически доверять во всём мире. На сайт ФСБ или правительства плевать, а вот как при этом будут работать банковские приложения и т.п. - это вопрос.
Банки никто обижать не будет. "Свои" не дадуть. А какой нибудь "контур" и сейчас работает с самодельными и ставит всю цепочку доверия перед исталляцие своих плагинов в хром. Кабинет юридического лица в налоговой делает также, только ставить серты ручками надо было.
Возможно суть проблемы в следующем. Разработать свой браузер и сертификаты и перевести информационную инфраструктуру страны на эти новоделы - все это реально провернуть, в достаточно короткое время. Вот только нереально разработать в короткое время IT инфраструктуру, защищенную от кибератак.
К примеру, 0day сплойт для мозилы (которая имеет охват кажется около 15-20% от мирового трафика), 5 лет назад стоил 1млн$$. Причем сплойт так себе был, с кучей ограничений. Для хрома 0day вероятно будет стоить десятки миллионов $$. Плюс, следует понимать, что перед продажей сплойта, хакер уже успел снять с него все сливки. Дырявый IE пробить можно паком паблик сплойтов, которые сдаются в аренду за условные 1000$/мес.
Найти уязвимость в новом софте, который только-только вышел из лабораторий разработчиков - это дело достаточно несложное. Особенно если софт большой, над ним трудилось множество людей, среди которых наверняка найдутся с недостаточной квалификацией. Да собственно и квилифицированные программисты частенько допускают критические (в плане безопасности) ошибки. Ибо, чтобы писать сразу безопасный код, необходимо быть не кодером, а пентестером в первую очередь, а таких ребят немного и начнут что-то делать при зарплате от 10.000$/мес.
Соответственно, если Россия начнет делать свой браузер и прочую IT инфраструктуру, первые года она будет ужасно дырявой и подвержена кибератакам, чем с удовольствием воспользуются западные партнеры.
ЗЫ: кто помнит первые 10 лет жизни интернета? Черви пожирали интернет, вирусы рассылались в письмах без вложений, просто открываешь письмо и вуаля, комп заражен. Никакие антивирусы не спасали. Собственно, от приличных вирусов и сейчас антивирусы не помогают. Полагаю, первые года жизни новой IT инфраструктуры будет раздольем для кибер-криминала.
Забавный у вас календарь.
Думаю, что в "первые 10 лет жизни интернета" вообще ещё не было писем с вложениями, и писем с HTML/RTF вместо основного текста, и уж точно основным способом написать интернет-письмо был никак не Microsoft Word и не Microsoft Internet Mail and News, да и просто Windows тогда не было
Так-то первый почтовый клиент еще в 1971г появился. Но да, я немного недопечатал. Имел ввиду первые 10 лет массового пользования интернетом. Это 90е года, когда персоналки начали входить в жизнь простых людей, появился html 1.0, Windows 95, в продажу поступили модемы для соединения с интернетом. До 95й винды интернет был уделом единичных гиков.
Помнится, тогда еще споры ходили, зачем этот бесполезный интернет, когда есть фидонет :)
Насколько помню, расцвет почтовых вирусов был с 1997 года, когда Microsoft попытался от Embrace перейти к Extend - и некоторое время популярным почтовиком стал WinWord 97 - со всеми его макросами, лишенными минимальных проверок. До этого даже и термина такого не было, макро-вирус. Таки реально интернет-революция, сделанная маркетоидами Майкрософта.
P.S. я бы и сегодня предпочел NNTP-форумы. Запарило терять полу-набранные письма из-за глюков сети/сервера и что форум выглядит не как мне нравится, а как нравится дяде-админу. Maillist и echomail - это другое, там нет ссылок на конкретные письма.
Кстати, "крякир интернета" и wishmaster - Это как раз фидошный лор, насколько помню, и без всякого майкрософта.
ээ...вы точно про "первые 10 лет жизни интернета"? еслифчо то первый червь вышел только в 1988...
а в 1997 ещё вполне безопасно можно было общаться, только слегка мешал спам в UseNet,
даже в 2000 у людей ещё массово были выставленные голой опой в инет NT (до SirCam дело было , дыа)
и это уже никак не "первые 10 лет жизни интернета", к 2000 только я уже 6 лет им пользовался, даже застал ещё gofer и fsp.
Да я в другом комменте поправился, имел ввиду первые 10 лет массового пользования интернетом, 90е года. В 97м я уже практиковался в пентесте локальных сетей, а в 98м кажется червь Чернобль положил на лопатки приличную часть интернета. У знакомого камрада жесткий диск погорел от того червя.
это совершенно другое!
вы просто не в теме.
речь про такое и подобное (root CA, встроенные прямо в оборзеватели)
http://www.mozilla.org/projects/security/certs/included/
как только там хоть один УЦ из своего списка найдёте - маякните! ;-)
PS: я один помню историю про то как пытались вырвать ICANN из лап МинТорга США?
по идее у китайцев это уже должно быть) Фильтруют же они гугл у себя...
Если не уже китайские товарищи о том варианте подумали. В принципе они смогут и без остальной части Сети просуществовать т.к информационно сильно замкнуты, по ТРАДИЦИИ коей многие тысячи лет на собственно саму Поднебесную. Достаточно вспомнить соцсети КНР.
В целом можно лишить права американские софтверные компании и тот же "Альфавилль", созвучно и по смыслу с настоящим названием/гугль с прочими прав продажи чего либо на территории РФ без ключей безопасности и ряда вещей, наконец признать монополитсами, что в случае таких компаний как Oracle (основана ЦРУ-шником который ещё по contras выполнял работу) Microsoft и вышеупомянутой имеет место быть. Например Windows не крякнутая постоянно сливала данные ещё в 1990-х. Что 95/98 что NT/2000. Данные с контролировавших траффик устройств и программ. Посему имея лицдиски ставил ВСЕГДА на то что должно работать нормально пиленные, меньше головной боли. Форматирование дисков при установке или насильственные обновления ТРАДИЦИОННЫ для бизнеса США и ряда с ними связанных стран.
Кроме того, сейчас имеющаяся инфраструктура имеет техническую возможность, вплоть до крупных городов США организовать слив данных в их сети нецензурируемой фашистами информации. Молодёжь ТВ не смотрит, они в Сети на форумах, да в играх сидят. Технически все дырки даже теоретически невозможно закрыть будет. Это решето изначально так было создано как и Windows и ИЗНАЧАЛЬНО UNIX-подобные. Закрытые системы есть но если вы знаете железо а те же IBM последние машины, частые в банках и ЦОД разных, предоставляют ввиду ввязывания периферии больше возможностей. Так что попытка контролировать через железо другие страны имеет и обратный туннель точнее туннели которые все невозможно закрыть.
Сломать может просто группа грамотных специалистов. IT-революционеры например. Сами могут ничего не делать просто оставить данные где в Сети.
Управлять - хорошо финансируемая группа из ведущих и десятков лиц на подхвате.
Ситуация сейчас в НАТО и прочих иже с ними - цифровой концлагерь с пропагандой того, что уничтожает Человечество и они гуано сие всему миру, а выйдёт в Космос и цивилизациям принесут.
Мы не забыли реакции американо-шумерских фашистов на свободное ПО и свободу в Сети:
Пепел павших борцов за свободу Человечества Яна Мёрдока, Терри Девиса и других бьётся в нашу грудь.
Уважаемый друг Владислав, я безмерно тебя уважаю, но: где ссылки на этих, скорее всего, уже усопших людей.
Прошу прощения, я сейчас в лютом перебодуне, поэтому иногда путаю кнопки.
Со всем уважением, ExMuser.
Ян Мёрдок - основной автор лучшего дистрибутива ОС Линукс на момент его смерти, Debian, на коем основаны ряд ОС в т.ч РФ и КНР применяющихся вплоть до военных и для предприятий с высокой опасностью, приложений. ОТЛИЧНАЯ базовая ОС для отказоустойчивых массовых систем. Ни разу не падала у коллеги за несколько лет непрерывной работы на серверах.
Второй просто чудик с религиозным сдвигом, весьма странный но написать самобытную ось Temple OS - само по себе это многого стоит. Троллил ЦРУ-шников, коих сильно нелюбил считая чем-то вроде заразы, убит. По-видимому еврей, критически относившийся к наследству, убитый другими религиозными евреями. Примерно как Спиноза но поменьше размахом а может и больше т.к. его ОС такого типа с такой детализацией возможно первая, имеет всё же и некоторые технические подробности и отличный инструмент политического троллинга. 64-разрядная ось имела ряд ограничений введённых автором характерных для 16-разрядных осей годов так 1980-х.
Высококлассный программист, ось написана на модифицированном авторском языке HolyC, вылизан и сам язык и сама ось. Маленькая по объёму с зреновой графикой для специфических задач вполне годная ввиду высокой степени оптимизации программного кода. Сын знающий С, изучавший языки программирования разные потому что ему нравился, высокого мнения о данном языке, хотя и говорил о том что на нём сможет программировать только высококлассный программист, не обычный выпускник колледжа эффективно, также высоко отзывался и о самом программисте-чудике как о профи коих сейчас критически мало осталось.
Спасибо за инфу. Да, Мёрдоку точно надо памятник поставить за Дебиан. Сам Убунтой пользуюсь уже который год, не нарадуюсь.
"Замковую" ОС скачал, зарисовал на флэху. Поражен гигантским размером исошника. :)
Менее 17Мб. В кэш 3 уровня влезет вся и обрабатываемые данные или их массив большой. Можно SoC на ней иметь. Пока я пользовался из подобных разве Колибри.
Блин-на! Чем образину записать? Из-под винды с ультраисо не получилось. Не грузится. С Убунты стандартная утилита тоже, скорее всего, правильно не запишет. Есть варианты, Владислав? Охота потрогать руками что-то новое.
У сына спрошу. НЕ рекомендую ставить на платах совсем новых. Со слов тех кто работает с ней быстрота сравнима с ОС РВ нежёсткого.
Думаю с Колибри также - стоят на ряде терминалов оплаты и втроенных системах кастомные сборки. У меня после установки Колибри, пользовался с месяца полтора, до того 2 раза также ставил и сносил ввиду срывов в работе - главное не хватает приложений обработки матричных данных графическим ускорителем, в частности программ расчёта или на худой конец шифровки/дешифровки одноразовыми страницами - на что более всего рассчитывал. При сбое были проблемы на современном на 2013-14 год ПК. Как и при установке пингвинов на некоторые китайско-тайваньские МП или у меня был слёт при установке на ноут HP Pavilion - на них похоже стоит от некошерных для майков защита встроенная, но народ ставит. На собственно китайских без проблем стоят. В целом неоптимизированные платы но зато всеядны. Асус в этом смысле не самые лучшие.
И да я не программист, "железарий", серьёзный язык с которым был знаком являлся дикой помесью советского Фортрана-4 Фортрана 77 и Фортрана 77 или более поздней версии для суперкомпьютеров. часть операторов не знали даже сисадмины и преподаватель Политеха, я применял, в расчёте курсовой кажется, операторы и синтаксис как раз с 77 от суперкомпьютеров наугад угадывая часть синтаксиса - он был похож, но не полностью идентичен. В целом этот лаконичный язык следует считать первым и последним который хоть немного знал и единственный который мне понравился по лаконичности кода для обработки матричных данных. Несколько строк против пары листов у приятеля на С, притом что он и хорошо ассемблер знал и в кодах специфических процессоров мог работать - зарабатывал оператором ЧПУ. Техномагический жрец, вепс.
Я хотел бы к 2023-24 иметь безоперационный контроллер без электрики как класса - не нравится сие направление. Медленно и ненадёжн от ввода данных, обработки видеоданных и проч.. до приводов. Полностью оптический привод с усилием хоть в тонны, быстрый, придумал давно а вот его модификацию с год назад. Для робототехники пойдёт полностью автономной. Мне ненравятся люди на простой работе. В леса и поля. Часть мозгами скрипеть.
Колибри у меня давно есть. Всё никак не поставлю.
Аккуратнее ставьте на старый ПК лучше всего, 32битный. Со старым добрым биосом платы годны без проблем серьёзных для меня как для чайника.
А, да у меня старьё, 965-й чипсет.
Ганса Райзера пропустил
дополню: _NSAKEY ;-)
Шифрование нужно для того, чтобы промежуточные сети, через которые передаются данные от исходного сайта к клиенту, не могли изменить передаваемую информацию. Например, многие наши мобильные сети любят вставлять свои рекламные баннеры и системы сбора аналитики в траффик сайтов, которые работают без HttpS. Без шифрования при заходе на сайт президента можно в процессе передачи добавить ролик "Я устал - я ухожу" например.
можно подумать это панацея
огада, то-то DPI без работы сразу остались!
вам и с шифрованием по пути это легко сделают (типичны MitM) а вы даже и не заметите
Некоторым образом - панацея. Вы либо видите сайт в том виде, в котором его задумали владельцы, либо не видите вообще :-) DPI может догадаться, что там за трафик, но подменить его он в общем случае не способен - только заблокировать.
да ладно? ;)
Продолжайте рассказывать сказки дальше.:-)
Подменить DPI тоже может при желании.
Как-то хотелось написать заяву на деструктивные группы в контакте на сайт фсб, не получилось, потому что нужно было устанавливать какой-то шифратор сообщений. Желание было не настолько сильным, чтобы морочиться со всем этим.
Сайты Кремля KREMLIN.RU, Правительства РФ GOVERMENT.RU, Государственной Думы РФ DUMA.GOV.RU, Федерального Собрания РФ COUNCIL.GOV.RU - тоже без SSL-сертификата!!!! Вообще весь домен 2го уровня gov.ru лишен сертификата, но сайты Прокуратуры и Следственного комитета на нем сертификат имеют.
Это плохо что вы даже не понимаете "что там шифровать". Вы вот зачем зашифровали афтершок? Стильно можно молодежно? :-))))
Дело в том что уже много лет нешифрованные HTTP сайты не обрабатываются поисковиками и не выдаются в поиске.
Это безотносительно того что некоторыми броузерами на такие сайты вообще нельзя зайти.
Пароли и личные сообщения. Если бы мы только публиковали статьи, без логинов, нужды особой нет, разве что контент чтобы не подменили злоумышленники, но мы опять же не финансовые данные передаем.
Фьюиииии
Я правильно заметил что вы не понимаете зачем в интернете используется шифрование и протокол HTTPS
Пароли и личные сообщения вы прекрасно можете шифровать своим, лично вами лично для вашего сайта сгенеренным самодельным сертификатом. Это делается за пять минут. Вторую часть вашего сертификата ваши юзера будут ставить сами на свой броузер при регистрации, они же и так уже передали такому сайту свои данные - как минимум емайл или телефон, да еще и прошли верификацию. От еще одного нажатия кнопки при регистрации никто не умрет, а можно даже и совместить с верификацией емайла/тел.
Он будет работать ровно так же как и официальные в этом плане (защиты/шифрования паролей и канала).
Вот только для всего остального мира кроме ваших зарегистрированных клиентов ваш сайт будет не валиден. То есть опасен и как я уже выше говорил - часть пользователей просто не смогут зайти и увидеть контент даже не регаясь - броузер даст отлуп на соединение, а часть еще и не пропустят антивирусы. Плюс гугл (а может и яндекс) не индексируют для поиска такие сайты, плюс (на 100% не уверен так как давно не ставил стандалон почтовый сервер) - почта с такого домена перестанет приниматься к большинству клиентов типа гугл, юху и прочим массовым "бесплатным"
В общем проблема шифрования с официальными сертификатами совсем в другом месте и гораздо серьезнее.
Не дождетесь! Прощениев не будет. Мстя будет долгой Только забить и импортозамещать!
Забивать-то зачем? Пишутся официальные письма в представительства Apple, Google и Microsoft в Москве. С требованием восстановить функционирование оффициальных сайтов РФ.
Как они там это будут делать - бесплатным подписываением сертификатов в обход официальных каналов, заведение отдельный "белых списков", убиранием "пугающих' надписей - их личное дело. Они контролируют протокол, потому могут всё, независимо от отзывов или неототзывов сертификатов.
В случае отказа - налагаются санкции вплоть до объявнения сотрудников оных компаний "иноагентами" и запрета на их деятельность.
Дальше уже Google и Microsoft давят на США... ну или не даваят, если им деньги не нужны. В последнем случае их браузеры банятся на территории РФ на всех платформах (если отказываются банить - банятся сами платформы).
Бить надо всегда по кошельку: во-первых это, зачастую, эффективно, а во-вторых если даже они встанут в позу - будет чем "импортозаместить".
Да, спасибо, полезное уточнение. Возможно еще парраллельные шаги будут.
Надо на законодательном уровне потребовать, чтоб у всех продаваемых на территории РФ ОС и устройств с ними были предустановленные наши корневые сертификаты.
вот это - толковое предложение!
тем более что закон - уже есть, про обязательность предустановки ПО из РФ на мобилах, остаётся чутка дополнить (про обязательность российский CA) и Хоба(TM)!
И всю аппаратную продукцию запретить к продаже в России, если она изначально не поддерживает доступ к государственным ресурсам.
Роспотребнадзор должен найти опасную химию в продуктах КакаКолы, МакДональдов и прочих Баунти и всего делов )
Они давно у нас производятся. Смысл лишать работы тысячи людей. Надо своими марками и брендами вытеснять.
Они скупают на корню все наши марки и бренды, которые хоть чуть-чуть начинают пользоваться спросом.
Печатный станок с неограниченным кредитом он такой да
Мендель дал бы возможность всю территорию скупить с недрами, напечатали бы нулей и под эту "приватизацию" денех )
про соси-сало - вы просто не в курсе видимо. у нас "производится" лишь разбодяживание той хурмы, что в виде пасты приходит и розлив её по ёмкостям. нам наши женщины экскурсию проводили на 23 на такой вот заводик в г. Новосибирске (на Шлюзах расположен)
там-то нам с воодушевлением и рассказил как у них всё ЗБС! только вот кроме воды способом обратного осмосав, они ничего по сути на месте и не производят, тот же сироп-паста - из Канады или Франции, ну сахар равзе что они из местного потребляют.
Это по нам ударит, т.к. все эти производства у нас и местные МакДаки закупаются опять же у нас. Роспотребнадзор должен найти опасную химию в именно в импортной продукции)))
зачем такие сложности и сохранение зависимости от милости глобалистов, не очевидные процедуры виде "браузеры банятся на территории РФ"?! Организуются несколько всероссийских PKI по всем канонам индустрии. Поставляемое ПО должно иметь все актуальные корневые и промежуточные центры сертификации РФ в доверенных по-умолчанию (основные ОС ПК и мобильников, и основные браузеры). Для существующего подготавливается скрипт или пошаговая инструкция.
После чего подписыванием сертификатов на десятки лет вперед будут заниматься отечественные компании. Госы, и некоторые другие категории, типа банков/страховых, в разумный срок принуждаются пользоваться этими сервисами, что обеспечит их самоокупаемость.
Страницы