Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
28
Апреля
2018
» Как в macOS импортировать контакты из табличного файла?
Бывают ситуации, когда в адресную книгу надо добавить сразу много контактов (например, при переносе их с другой платформы или после завершения какого-либо мероприятия). Понятно, что делать это вручную достаточно утомительно. Процесс хочется автоматизировать.
12
Апреля
2018
» Чем заменить eToken PRO?
Возможно, мой слишком длительный опыт продаж/использования средств двухфакторной аутентификации накладывает свой отпечаток на общее восприятие, но по моему мнению одним из самых популярных и раскрученных в России USB-токенов до сих пор остаётся модель eToken PRO/32K. Вот только сам этот токен не продаётся года так с 2013-го… Пришедший в своё время ему на смену eToken PRO (Java)/72K, отчасти, пожалуй, в силу преемственности названия тоже весьма и весьма известен. И данная модель… да, она тоже больше не продаётся. Семейство eToken PRO продержалось на рынке долгие годы, удачно сочетая надёжность, качество и функционал, но ему явно пришла пора уйти на покой. Собственно, в конце января этого года официальный дистрибьютор eToken в России (компания TESSIS) и объявила о финальной распродаже складских запасов eToken PRO и окончательном переходе на новые модели eToken. Однако, прежде чем перейти на ответ в заголовке (явная подсказка, кстати, в иллюстрации к посту), давайте взглянем на статистику поисковых запросов Яндекс по слову “eToken”: [caption id=”attachment_12809” align=”aligncenter” width=”500”] Статистика запросов по слову eToken[/caption] Я выбрал первые 30 самых популярных запросов и, как видно, только ближе к концу - на 26 месте - появляется модель eToken, отличная от семейства eToken PRO/Java, да и та не USB-ключ, а генератор одноразовых паролей. Где же новые модели? Даже в моём давно радикально не обновлявшемся Каталоге СрЗИ моделей больше. Обновлял я его, к слову, в конце 2015(!) года, когда писал пост Ключи и смарт-карты eToken, про которые вы могли не знать. Можно констатировать, что компании Thales (планирует купить Gemalto), Gemalto (купила SafeNet) и SafeNet (производит eToken) крайне скудно освещают новинки моделей семейства eToken на Российском рынке и с 2015, когда я это уже отмечал, года ситуация не сильно поменялась. Показательно, например, такое сравнение “PR-мощи” международного игрока и одного из участников локального рынка. Компания Аладдин Р.Д. (продающая теперь прямо конкурирующие с eToken решения) в мае 2017 года опубликовала достаточно провокационное интервью: «Аладдин Р.Д.»: плоды технологической свободы. Ответ на него компания Gemalto выдала только в августе, спустя три месяца: Уточнение. Силу воздействия каждого из текстов на читателя анализировать не буду (хотя, кажется, выводы достаточно очевидны), однако сравню простой измеримый показатель числа просмотров каждой из статей (сайт Computerworld это позволяет): Аладдин Р.Д. - 3149 прочтений; Gemalto - 1090 прочтений. Разница почти в три раза, так что особо не приходится удивляться неизвестности современных моделей eToken. Впрочем, это всё лирика, пора перейти к сути. На замену отлично зарекомендовавшему себя семейству eToken PRO (а заодно и eToken 4100, про который вы скорее всего почти ничего не слышали) рекомендуется SafeNet eToken 5110: [caption id=”attachment_12810” align=”aligncenter” width=”600”] Переход на SafeNet eToken 5110[/caption] Какая судьба ждёт эту новую модель eToken на отечественном рынке, достаточно конкурентном и с сильными игроками (Актив, Аладдин Р.Д., ISBC и др.)? Посмотрим… Дело ведь не всегда только в самих устройствах, оно и в сопутствующем программном обеспечении, в сервисах, в сильных партнёрах, в соблюдении требований законодательства, в конце концов. Пока же предлагаю оценить перспективы/текущее состояние ответив на один короткий вопрос: Чем планируете заменить/заменили eToken PRO? [poll id=”8”]
11
Апреля
2018
» Планы в связи с предполагаемой блокировкой Telegram
В свете предстоящей возможной блокировки Telegram в России провёл в минувшие выходные два опроса. Первый - среди подписчиков в Twitter, второй - среди участников публичной группы КИИ 187-ФЗ непосредственно в самом Telegram. Результаты получились скорее ожидаемыми, чем неожиданными. 67% из 61 проголосовавших в Twitter ответили, что продолжат использовать Telegram, но через прокси. [caption id=”attachment_12800” align=”aligncenter” width=”600”] Итоги опроса про блокировку Telegram в Twitter[/caption] Похожие результаты и в группе “КИИ 197-ФЗ”. 78% из 67 голосов отданы за то, что сообщество в Telegram сохранится благодаря использованию VPN/прокси. [caption id=”attachment_12801” align=”aligncenter” width=”600”] Итоги опроса про блокировку Telegram в группе КИИ 187-ФЗ[/caption] Что ж, можно констатировать, что череда законодательных инициатив по всевозможным блокировкам и запретам за последние годы сформировала у пользователей (по крайней мере в около-ИБ-сообществе) привычку пользоваться различными сервисами обхода. Поэтому неудивительно, что мой годовой давности материал “Как настроить свой личный VPN-сервер за час-другой?”, судя по статистике просмотров, продолжает пользоваться устойчивой популярностью. То, что Telegram в России будет заблокирован, сомнений почти не вызывает: пример того же LinkedIn у всех перед глазами. Заблокирована далеко не самая популярная соцсеть, хотя нарушения есть и у других. Аналогия с Telegram напрашивается само собой - тоже не единственный нарушитель и тоже не самый популярный в своём классе. Приведёт ли блокировка к снижению числа пользователей Telegram? Конечно - да. Прежде всего за счёт тех, кто не готов что-то дополнительно настраивать. В конце концов, обычную переписку можно с лёкгостью вести в любом другом мессенджере (даже очень секретную - некоторые из мессенджеров, в отличие от того же Telegram, вообще всю переписку шифруют по умолчанию на устройствах самих пользователей), а вот альтернативы удобным группам и каналам в Telegram что-то не видно. В целом, пожалуй, блокировка сыграет в каком-то смысле даже на руку имиджу Telegram, как оппозиционного сервиса для борьбы с несправедливостью (каждый, впрочем, вкладывает в это свой собственный смысл). Ну, а пример того же Rutracker показывает, что окончательно заблокированные сервисы вполне могут продолжать существовать и в нелегальном поле, при этом нелегальность позволяет им сознательно и вполне обосновано вообще не заботиться о соблюдении каких-либо законодательных ограничений: антипиратских в случае с Rutracker и “страшно даже представить” каких в случае с Telegram.
29
Марта
2018
» Мошеннический сайт больше не работает (но неизвестно почему)
Почти 5 месяцев назад в ноябре прошлого года писал про фишинговое письмо, пришедшее в мой адрес. Кратко напомню, что в письме якобы от регистратора доменных имён сообщалось о необходимости срочно оплатить продление принадлежащего мне домена для исключения блокировки. Ссылка из письма вела на фишинговый сайт, где предлагалось ввести реквизиты банковской карты. По данному факту я обратился в Управление К МВД России, к администраторам сайта с фишинговой страницей (через форму на сайте их доменного регистратора) и в Центр реагирования Group-IB (больше просто не нашёл куда обратиться). Времени с тех пор прошло достаточно и уже, как и обещал, можно подвести итоги. Прежде всего стоит отметить, что спустя неделю после моего обращения пришло уведомление от МВД о передаче моего заявления в УВД по ЦАО Москвы: [caption id=”attachment_12766” align=”aligncenter” width=”500”] Письмо от МВД[/caption] Я написал “Прежде всего”, но, собственно, это и вся обратная реакция. Никакого продолжения по линии МВД не было. Обращение через форму на сайте регистратора к администраторам домена тоже осталась без ответа. Правда, в феврале доменный регистратор (тот, у которого зарегистрирован домен с фишинговой страницей) сообщил мне, что “зафиксирована попытка мошенничества”, прислав соответствующее письмо: [caption id=”attachment_12767” align=”aligncenter” width=”449”] Зафиксирована попытка мошенничества[/caption] Не знаю, связано ли данное предупреждение с моим обращением в МВД, но если связанно, то какая-то очень уж медленная реакция. Над формой Group-IB могу только в очередной раз улыбнуться: не запрашивать никаких контактных данных и обещать связаться - это сильно =) Впрочем, может быть они вычисляют обращающегося по IP и потом сразу домой приезжают, если что… Но до меня не доехали (пока). Тем не менее, несмотря на отсутствие какой-либо обратной связи, фишинговый сайт более недоступен. Что, конечно не может не радовать. Одним злом стало меньше, пусть и неизвестно почему. [caption id=”attachment_12768” align=”aligncenter” width=”529”] Домен припаркован[/caption]
21
Марта
2018
» Кросспостинг Twitter в группу ВКонтакте (Twitter2VK)
Для сети ВКонтакте крайне мало можно найти хороших вариантов по автоматической публикации в ней каких-либо сообщений. Возможно, есть какие-то подходящие платные сервисы, но есть и неплохой бесплатный вариант.
07
Марта
2018
» Свидетельство канарейки
27
Февраля
2018
» (презентация) 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
На сегодняшней конференции “Информационная безопасность АСУ ТП критически важных объектов” выступал с презентацией про 187-ФЗ и некоторые особенности категорирования объектов КИИ.
13
Февраля
2018
» Как оперативно узнавать о деятельности Правительства РФ (на примере сферы Информационной Безопасности)
Согласно Федеральному конституционному закону от 17.12.1997 N 2-ФКЗ “О Правительстве Российской Федерации”, одним из основных принципов деятельности Правительства РФ является гласность (ст.3). Действительно, на сайте http://government.ru можно найти обширнейшую информацию о Документах Правительства, его Законопроектов деятельности, имеющихся Поручениях и статусе их выполнения, а также о многом другом, касающемся самых разных аспектов жизни нас с вами (россиян). Для удобства посетителей сайта вся деятельность Правительства классифицирована по функциям и отраслям, так что можно изучать предметно конкретные интересующие сферы. Например, вот здесь публикуются Документы и события по теме Информационной безопасности: http://government.ru/rugovclassifier/622/events/ [caption id=”attachment_12561” align=”aligncenter” width=”800”] Раздел ИБ на сайте Правительства РФ[/caption] Понятно, что отслеживать новые публикации, особенно в редко обновляемых разделах, не очень удобно, поэтому желающих узнавать всё оперативно самостоятельно, а не после публикации каким-либо СМИ или особо оперативным блоггером, на которого вы подписаны (смайл), точно привлечёт раздел с сервисом Подписка. Там для RSS даже есть возможность выбрать более что-то более конкретное (для электронных писем и такой возможности нет), однако выбрать именно нужную тематику из общего классификатора на данной странице нельзя. [caption id=”attachment_12562” align=”aligncenter” width=”600”] Раздел Подписка на сайте Правительства РФ[/caption] Тем не менее, оказалось, что технически такой функционал на сайте реализован - достаточно к URL-адресу раздела добавить “rss/”. Например: Раздел "Информационная безопасность": http://government.ru/rugovclassifier/622/events/ RSS раздела: http://government.ru/rugovclassifier/622/events/rss/ Раздел "Телекоммуникации. Электросвязь": http://government.ru/rugovclassifier/669/events/ RSS раздела: http://government.ru/rugovclassifier/669/events/rss/ и т.д. Если RSS не устраивает, то при помощи, того же сервиса IFTTT можно настроить удобный для себя вариант. Например, для своего Telegram-канала ZLONOV.ru (подписывайтесь, кстати) я настроил автоматическую публикацию RSS. [caption id=”attachment_12563” align=”aligncenter” width=”400”] Публикация новых материалов из раздела ИБ сайта Правительства в Telegram-канал ZLONOV.ru[/caption] UPD. Опубликовал пост и заметил, что ссылка на RSS есть в шапке каждого раздела. Привычка прежде всего смотреть на адресную строку даёт о себе знать =) [caption id=”attachment_12569” align=”aligncenter” width=”800”] Ссылка на RSS-подписку[/caption]
31
Января
2018
» Отключать ли комментарии на сайте/в блоге в свете позиции Минкомсвязи?
Roem.ru опубликовали выдержку из письма Минкомсвязи, из которого следует, что если у ресурса в сети Интернет есть “функционал, позвволяющий пользователям оставлять комментарии”, то это означает, что этот ресурс “в соответствии с положениями действущего законодательства, соответствует критериям, определяющим организатора распространения информации”. Как законодательство определяет термин ОРИ? Термин организатор распространения информации в сети Интернет (ОРИ) был введён в оборот в мае 2014 года Федеральным законом №97-ФЗ, который дополнил Федеральный закон №149-ФЗ “Об информации, информационных технологиях и о защите информации” новой статьёй 10.1 “Обязанности организатора распространения информации в сети Интернет”. Часть первая данной статьи гласит: Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". К слову, именно правками в 149-ФЗ в последние годы часто вносятся различные, получающие широкий общественный резонанс, законодательные инициативы в области Интернета. Перечитайте его, если давно этого не делали, там много нового по сравнению с первоначальной версией от 2006 года, особенное внимание обратите на подстатьи статей 10 (Распространение информации или предоставление информации) и 15 (Использование информационно-телекоммуникационных сетей). Вернёмся к определению - по его смыслу видно, что ОРИ можно признать и организацию и просто частное лицо. А вот, что именно они должны сделать, чтобы их таковыми признали - согласитесь, можно трактовать очень и очень вольготно. Собственно, Минкомсвязь это своим письмом и продемонстрировал. Что должен делать ОРИ в соответствии с законодательством? Действительно важный вопрос - признали тебя ОРИ и что? Рассмотрим по пунктам. ч. 2 ст 10.1: ОРИ обязан уведомить Роскомнадзор о своей деятельности. На практике это мало кто делает, в соответствующем реестре всего около 100 записей, но обязанность всё же есть. ч. 3 ст. 10.1: ОРИ обязан хранить на территории РФ (прощайте, зарубежные хостинги) информацию о фактах приема, передачи, доставки и (или) обработки сообщений пользователей в течение года, а с 01 июля 2018 года - и сами эти сообщения (голосовую информацию, изображения, звуки, видео-, иные электронные сообщения). Помимо этого, всю эту собранную информацию ОРИ обязан предоставлять уполномоченным госорганам. ч. 4 ст 10.1: ОРИ обязан соблюдать установленные требования к используемым им в эксплуатируемых информационных системах оборудованию и программно-техническим средствам. Конкретные требования установлены вот в этих Правилах взаимодействия... и речь там, по сути, идёт о том, что по требованию упономоченных органов нужно предоставлять им возможность утсанавливать требуемые им средства. п. 4.1 ст 10.1: ОРИ обязан предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений. Т.е. если сообщения шифруются, нужно предоставлять ключи (именно это сейчас, как это было широко разрекламировано, оспаривают в суде представители мессенджера Telegram). Есть ещё требования пп. 4.2 - 4.4 ст 10.1, но они касаются уже только мессенджеров (сервисов по обмену мгновенными сообщениями). Какие есть исключения из требований для ОРИ? Не так уж и много. Обязанности, рассмотренные выше, не распространяются на: Операторов государственных информационных систем, операторов муниципальных информационных систем; Операторов связи, оказывающих услуги связи на основании соответствующей лицензии, в части лицензируемой деятельности; На граждан (физических лиц), осуществляющих указанную деятельность для личных, семейных и домашних нужд. По сути, у большинства юридических лиц, ведущих свою деятельность в сети Интернет и позволяющих пользователям обмениваться сообщениями (фактически в любой, как можно видеть, форме), нет никаких шансов не быть признанными ОРИ. Собственно и у граждан не так много вариантов - соответствующий Перечень личных, семейных и домашних нужд чётко определён Правительством РФ. Таковыми нуждами признаются Потребности граждан, связанные с: Приобретением знаний, умений, навыков, ценностных установок, опыта деятельности и компетенции в целях интеллектуального, духовно-нравственного, культурного, творческого, физического и (или) профессионального развития человека, удовлетворения его образовательных потребностей и интересов (образовательные потребности); Осуществлением деятельности, направленной на получение и применение новых знаний (научные потребности); Созданием результатов творческой деятельности, в том числе программ для электронных вычислительных машин, включая внесение изменений в указанные программы; Приобретением товаров, работ, услуг, поиском работников, размещением информации о вакансиях. Ведением домашнего хозяйства, садоводства, разведением животных и уходом за ними. Получением информации о технических характеристиках и потребительских свойствах товаров, качестве услуг, результатах работ. Организацией досуга и (или) воспитанием детей. Честно говоря, я не очень представляю, как можно удовлетворить свои личные потребности, например, связанные с приобретением знаний путём распространения информации в сети Интернет... А уж пассажи про садоводство и разведение животных и подавно за гранью моего понимания. Тем не менее, даже из этого и так небогатого списка в свою очередь тоже есть исключения - нужды не могут быть признаны личными, семейными и домашними: Если они сопряжены с осуществлением общественной или общественно-политической деятельности; Если они сопряжены с распространением информации и материалов общественно-политического характера; Если они сопряжены с предоставлением возможности приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет, составляющих неопределенный круг лиц, и (или) осуществлением в интересах обеспечения любой деятельности юридического лица или участия пользователя сети Интернет в деятельности юридического лица (юридических лиц); Если число фактических пользователей указанной системы или программы превышает 10 000 пользователей). Прозрачность и чёткость формулировок - это точно не про Российское законодательство, но тут всё очевидно: если речь про политику, то никаких исключений; если сайтом/сервисом может пользоваться неопределённый круг лиц (считай, любой сайт/блог с комментариями) - тоже никаких исключений; если сообщество закрытое, но нужно для обеспечения деятельности юрлица - никаких исключений (например, корпоративная соцсеть); если сообщество закрытое, но пользователей больше 10 000, то опять исключений нет. Выводы Отвечая на вопрос, вынесенный в заголовок поста, получаем следующую цепочку рассуждений: Любой владелец сайта/блога, где у неопределённого круга пользователей есть возможность обмена сообщениями является ОРИ. Минкомсвязь считает, что комментарии - это тоже вид обмена сообщениями. На ОРИ распространяется целый ряд требований, в том числе по хранению информации о фактах приема, передачи, доставки и (или) обработки сообщений (а с июля 2018 и самих сообщений) в течении установленного времени и исключительно на территории Российской Федерации. Если вы не готовы/не можете соблюсти установленные для ОРИ требования то есть три варианта поведения: Вариант 1. Удаление возможности комментирования. Сценарий понятен. Вариант 2. Использование внешней системы комментариев (тот же Disqus) - тогда все сообщения пользователей будут храниться в чужой системе. Но, честно говоря, это сомнительный вариант - во-первых, видят-то пользователи информацию именно на вашем сайте и не факт, что вы не станете ОРИ по логике того же Минкомсвязи, а во-вторых, есть риск, что этот сервис заблокируют и часть контента потеряется для большинства пользователей (тех, кто не умеет обходить блокировки) - именно так получилось со SlideShare: сколько полезных презентаций стали в одночасье труднодоступными! Вариант 3. Не делать ничего. В конце концов, пока хватает и других ОРИ, которые обрабатывают миллионы пользовательских сообщений, но пока даже в реестр не подали заявку. Предполагаю, что большинство оправданно выберут именно этот вариант, тем самым, впрочем, создавая для себя некоторые риски. Для готовых выполнить требования к ОРИ и желающих сохранить комментарии алгоритм простой: Переехать на российский хостинг (если ещё не там). Уведомить Роскомнадзор. Озаботиться сохранностью комментариев (например, путём простейшего бэкапа). Быть готовым помогать уполномоченным госорганам. Отдельно, наверное, надо сказать пару слов про блоги на какой-либо платформе типа LiveJournal или Blogger. Владелец блога там физически не может самостоятельно перенести информацию на российские сервера и, наверное, даже может попрбовать обосновать, что он не владеет ничем - всё принадлежит самой блогер-платформе, но не факт, что (да извинят они меня за постоянное упоминание) всё тот же Минкомсвязь не решит, что автор ЖЖ или блога, где включены комментарии не является: лицом, осуществляющим деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". Кстати, тот же 97-ФЗ, который я упомянул в самом начале, помимо статьи 10.1 про ОРИ вводил статью 10.2. "Особенности распространения блогером общедоступной информации". К ней тоже было много вопросов из-за неясностей и двусмысленностей, но тема как-то "не взлетела" и в июле 2017 года 276-ФЗ благополучно все нововведения для блогеров отменил. А вот требования к ОРИ остались...
29
Января
2018
» Магические квадраты Гартнера по безопасности
Страницы раздела сайта, в котором я периодически выкладываю попадающиеся мне Магические квадра(н)ты Гартнера (и ссылки на полные отчёты) уже давно закрыты паролем, как того потребовал от меня сам Gartner (предыстория тут). Не то, чтобы было совсем уж неудобно каждый раз вводить пароль, но решил всё же для удобства Magic Quadrants по безопасности выложить немного в другом виде вот здесь: https://zlonov.ru/mq/security-quadrants/. Собственно, самих квадратов или иного содержимого из самих отчётов на этой странице нет (Гартнер не велит), зато есть ссылки. Например, каждая картинка ведёт на соответствующее изображение на официальном сайте Гартнера. Дополнительно указана дата публикации соответствующего отчёта и его уникальный ID. По клику на ID можно перейти к самому отчёту и, например, купить его или получить по подписке, если она есть. [caption id=”attachment_12256” align=”aligncenter” width=”700”] Новое представление магических квадратов Гартнера по безопасности[/caption] Наконец, при наличии действующей (и известной мне) неархивированной полной текстовой версии отчёта, лицензированной для распространения, ссылка на неё также приведена. Обычно такие отчёты доступны лишь некоторое время, после чего исчезают. Если ранее отчёт был доступен публично, то стоит соответствующая пометка “Текст в архиве”. Сам архив на сайте не выложен, но всегда есть варианты ;-)
Бывают ситуации, когда в адресную книгу надо добавить сразу много контактов (например, при переносе их с другой платформы или после завершения какого-либо мероприятия). Понятно, что делать это вручную достаточно утомительно. Процесс хочется автоматизировать.
Возможно, мой слишком длительный опыт продаж/использования средств двухфакторной аутентификации накладывает свой отпечаток на общее восприятие, но по моему мнению одним из самых популярных и раскрученных в России USB-токенов до сих пор остаётся модель eToken PRO/32K. Вот только сам этот токен не продаётся года так с 2013-го… Пришедший в своё время ему на смену eToken PRO (Java)/72K, отчасти, пожалуй, в силу преемственности названия тоже весьма и весьма известен. И данная модель… да, она тоже больше не продаётся. Семейство eToken PRO продержалось на рынке долгие годы, удачно сочетая надёжность, качество и функционал, но ему явно пришла пора уйти на покой. Собственно, в конце января этого года официальный дистрибьютор eToken в России (компания TESSIS) и объявила о финальной распродаже складских запасов eToken PRO и окончательном переходе на новые модели eToken. Однако, прежде чем перейти на ответ в заголовке (явная подсказка, кстати, в иллюстрации к посту), давайте взглянем на статистику поисковых запросов Яндекс по слову “eToken”: [caption id=”attachment_12809” align=”aligncenter” width=”500”] Статистика запросов по слову eToken[/caption] Я выбрал первые 30 самых популярных запросов и, как видно, только ближе к концу - на 26 месте - появляется модель eToken, отличная от семейства eToken PRO/Java, да и та не USB-ключ, а генератор одноразовых паролей. Где же новые модели? Даже в моём давно радикально не обновлявшемся Каталоге СрЗИ моделей больше. Обновлял я его, к слову, в конце 2015(!) года, когда писал пост Ключи и смарт-карты eToken, про которые вы могли не знать. Можно констатировать, что компании Thales (планирует купить Gemalto), Gemalto (купила SafeNet) и SafeNet (производит eToken) крайне скудно освещают новинки моделей семейства eToken на Российском рынке и с 2015, когда я это уже отмечал, года ситуация не сильно поменялась. Показательно, например, такое сравнение “PR-мощи” международного игрока и одного из участников локального рынка. Компания Аладдин Р.Д. (продающая теперь прямо конкурирующие с eToken решения) в мае 2017 года опубликовала достаточно провокационное интервью: «Аладдин Р.Д.»: плоды технологической свободы. Ответ на него компания Gemalto выдала только в августе, спустя три месяца: Уточнение. Силу воздействия каждого из текстов на читателя анализировать не буду (хотя, кажется, выводы достаточно очевидны), однако сравню простой измеримый показатель числа просмотров каждой из статей (сайт Computerworld это позволяет): Аладдин Р.Д. - 3149 прочтений; Gemalto - 1090 прочтений. Разница почти в три раза, так что особо не приходится удивляться неизвестности современных моделей eToken. Впрочем, это всё лирика, пора перейти к сути. На замену отлично зарекомендовавшему себя семейству eToken PRO (а заодно и eToken 4100, про который вы скорее всего почти ничего не слышали) рекомендуется SafeNet eToken 5110: [caption id=”attachment_12810” align=”aligncenter” width=”600”] Переход на SafeNet eToken 5110[/caption] Какая судьба ждёт эту новую модель eToken на отечественном рынке, достаточно конкурентном и с сильными игроками (Актив, Аладдин Р.Д., ISBC и др.)? Посмотрим… Дело ведь не всегда только в самих устройствах, оно и в сопутствующем программном обеспечении, в сервисах, в сильных партнёрах, в соблюдении требований законодательства, в конце концов. Пока же предлагаю оценить перспективы/текущее состояние ответив на один короткий вопрос: Чем планируете заменить/заменили eToken PRO? [poll id=”8”]
В свете предстоящей возможной блокировки Telegram в России провёл в минувшие выходные два опроса. Первый - среди подписчиков в Twitter, второй - среди участников публичной группы КИИ 187-ФЗ непосредственно в самом Telegram. Результаты получились скорее ожидаемыми, чем неожиданными. 67% из 61 проголосовавших в Twitter ответили, что продолжат использовать Telegram, но через прокси. [caption id=”attachment_12800” align=”aligncenter” width=”600”] Итоги опроса про блокировку Telegram в Twitter[/caption] Похожие результаты и в группе “КИИ 197-ФЗ”. 78% из 67 голосов отданы за то, что сообщество в Telegram сохранится благодаря использованию VPN/прокси. [caption id=”attachment_12801” align=”aligncenter” width=”600”] Итоги опроса про блокировку Telegram в группе КИИ 187-ФЗ[/caption] Что ж, можно констатировать, что череда законодательных инициатив по всевозможным блокировкам и запретам за последние годы сформировала у пользователей (по крайней мере в около-ИБ-сообществе) привычку пользоваться различными сервисами обхода. Поэтому неудивительно, что мой годовой давности материал “Как настроить свой личный VPN-сервер за час-другой?”, судя по статистике просмотров, продолжает пользоваться устойчивой популярностью. То, что Telegram в России будет заблокирован, сомнений почти не вызывает: пример того же LinkedIn у всех перед глазами. Заблокирована далеко не самая популярная соцсеть, хотя нарушения есть и у других. Аналогия с Telegram напрашивается само собой - тоже не единственный нарушитель и тоже не самый популярный в своём классе. Приведёт ли блокировка к снижению числа пользователей Telegram? Конечно - да. Прежде всего за счёт тех, кто не готов что-то дополнительно настраивать. В конце концов, обычную переписку можно с лёкгостью вести в любом другом мессенджере (даже очень секретную - некоторые из мессенджеров, в отличие от того же Telegram, вообще всю переписку шифруют по умолчанию на устройствах самих пользователей), а вот альтернативы удобным группам и каналам в Telegram что-то не видно. В целом, пожалуй, блокировка сыграет в каком-то смысле даже на руку имиджу Telegram, как оппозиционного сервиса для борьбы с несправедливостью (каждый, впрочем, вкладывает в это свой собственный смысл). Ну, а пример того же Rutracker показывает, что окончательно заблокированные сервисы вполне могут продолжать существовать и в нелегальном поле, при этом нелегальность позволяет им сознательно и вполне обосновано вообще не заботиться о соблюдении каких-либо законодательных ограничений: антипиратских в случае с Rutracker и “страшно даже представить” каких в случае с Telegram.
Почти 5 месяцев назад в ноябре прошлого года писал про фишинговое письмо, пришедшее в мой адрес. Кратко напомню, что в письме якобы от регистратора доменных имён сообщалось о необходимости срочно оплатить продление принадлежащего мне домена для исключения блокировки. Ссылка из письма вела на фишинговый сайт, где предлагалось ввести реквизиты банковской карты. По данному факту я обратился в Управление К МВД России, к администраторам сайта с фишинговой страницей (через форму на сайте их доменного регистратора) и в Центр реагирования Group-IB (больше просто не нашёл куда обратиться). Времени с тех пор прошло достаточно и уже, как и обещал, можно подвести итоги. Прежде всего стоит отметить, что спустя неделю после моего обращения пришло уведомление от МВД о передаче моего заявления в УВД по ЦАО Москвы: [caption id=”attachment_12766” align=”aligncenter” width=”500”] Письмо от МВД[/caption] Я написал “Прежде всего”, но, собственно, это и вся обратная реакция. Никакого продолжения по линии МВД не было. Обращение через форму на сайте регистратора к администраторам домена тоже осталась без ответа. Правда, в феврале доменный регистратор (тот, у которого зарегистрирован домен с фишинговой страницей) сообщил мне, что “зафиксирована попытка мошенничества”, прислав соответствующее письмо: [caption id=”attachment_12767” align=”aligncenter” width=”449”] Зафиксирована попытка мошенничества[/caption] Не знаю, связано ли данное предупреждение с моим обращением в МВД, но если связанно, то какая-то очень уж медленная реакция. Над формой Group-IB могу только в очередной раз улыбнуться: не запрашивать никаких контактных данных и обещать связаться - это сильно =) Впрочем, может быть они вычисляют обращающегося по IP и потом сразу домой приезжают, если что… Но до меня не доехали (пока). Тем не менее, несмотря на отсутствие какой-либо обратной связи, фишинговый сайт более недоступен. Что, конечно не может не радовать. Одним злом стало меньше, пусть и неизвестно почему. [caption id=”attachment_12768” align=”aligncenter” width=”529”] Домен припаркован[/caption]
Для сети ВКонтакте крайне мало можно найти хороших вариантов по автоматической публикации в ней каких-либо сообщений. Возможно, есть какие-то подходящие платные сервисы, но есть и неплохой бесплатный вариант.
На сегодняшней конференции “Информационная безопасность АСУ ТП критически важных объектов” выступал с презентацией про 187-ФЗ и некоторые особенности категорирования объектов КИИ.
Согласно Федеральному конституционному закону от 17.12.1997 N 2-ФКЗ “О Правительстве Российской Федерации”, одним из основных принципов деятельности Правительства РФ является гласность (ст.3). Действительно, на сайте http://government.ru можно найти обширнейшую информацию о Документах Правительства, его Законопроектов деятельности, имеющихся Поручениях и статусе их выполнения, а также о многом другом, касающемся самых разных аспектов жизни нас с вами (россиян). Для удобства посетителей сайта вся деятельность Правительства классифицирована по функциям и отраслям, так что можно изучать предметно конкретные интересующие сферы. Например, вот здесь публикуются Документы и события по теме Информационной безопасности: http://government.ru/rugovclassifier/622/events/ [caption id=”attachment_12561” align=”aligncenter” width=”800”] Раздел ИБ на сайте Правительства РФ[/caption] Понятно, что отслеживать новые публикации, особенно в редко обновляемых разделах, не очень удобно, поэтому желающих узнавать всё оперативно самостоятельно, а не после публикации каким-либо СМИ или особо оперативным блоггером, на которого вы подписаны (смайл), точно привлечёт раздел с сервисом Подписка. Там для RSS даже есть возможность выбрать более что-то более конкретное (для электронных писем и такой возможности нет), однако выбрать именно нужную тематику из общего классификатора на данной странице нельзя. [caption id=”attachment_12562” align=”aligncenter” width=”600”] Раздел Подписка на сайте Правительства РФ[/caption] Тем не менее, оказалось, что технически такой функционал на сайте реализован - достаточно к URL-адресу раздела добавить “rss/”. Например: Раздел "Информационная безопасность": http://government.ru/rugovclassifier/622/events/ RSS раздела: http://government.ru/rugovclassifier/622/events/rss/ Раздел "Телекоммуникации. Электросвязь": http://government.ru/rugovclassifier/669/events/ RSS раздела: http://government.ru/rugovclassifier/669/events/rss/ и т.д. Если RSS не устраивает, то при помощи, того же сервиса IFTTT можно настроить удобный для себя вариант. Например, для своего Telegram-канала ZLONOV.ru (подписывайтесь, кстати) я настроил автоматическую публикацию RSS. [caption id=”attachment_12563” align=”aligncenter” width=”400”] Публикация новых материалов из раздела ИБ сайта Правительства в Telegram-канал ZLONOV.ru[/caption] UPD. Опубликовал пост и заметил, что ссылка на RSS есть в шапке каждого раздела. Привычка прежде всего смотреть на адресную строку даёт о себе знать =) [caption id=”attachment_12569” align=”aligncenter” width=”800”] Ссылка на RSS-подписку[/caption]
Roem.ru опубликовали выдержку из письма Минкомсвязи, из которого следует, что если у ресурса в сети Интернет есть “функционал, позвволяющий пользователям оставлять комментарии”, то это означает, что этот ресурс “в соответствии с положениями действущего законодательства, соответствует критериям, определяющим организатора распространения информации”. Как законодательство определяет термин ОРИ? Термин организатор распространения информации в сети Интернет (ОРИ) был введён в оборот в мае 2014 года Федеральным законом №97-ФЗ, который дополнил Федеральный закон №149-ФЗ “Об информации, информационных технологиях и о защите информации” новой статьёй 10.1 “Обязанности организатора распространения информации в сети Интернет”. Часть первая данной статьи гласит: Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". К слову, именно правками в 149-ФЗ в последние годы часто вносятся различные, получающие широкий общественный резонанс, законодательные инициативы в области Интернета. Перечитайте его, если давно этого не делали, там много нового по сравнению с первоначальной версией от 2006 года, особенное внимание обратите на подстатьи статей 10 (Распространение информации или предоставление информации) и 15 (Использование информационно-телекоммуникационных сетей). Вернёмся к определению - по его смыслу видно, что ОРИ можно признать и организацию и просто частное лицо. А вот, что именно они должны сделать, чтобы их таковыми признали - согласитесь, можно трактовать очень и очень вольготно. Собственно, Минкомсвязь это своим письмом и продемонстрировал. Что должен делать ОРИ в соответствии с законодательством? Действительно важный вопрос - признали тебя ОРИ и что? Рассмотрим по пунктам. ч. 2 ст 10.1: ОРИ обязан уведомить Роскомнадзор о своей деятельности. На практике это мало кто делает, в соответствующем реестре всего около 100 записей, но обязанность всё же есть. ч. 3 ст. 10.1: ОРИ обязан хранить на территории РФ (прощайте, зарубежные хостинги) информацию о фактах приема, передачи, доставки и (или) обработки сообщений пользователей в течение года, а с 01 июля 2018 года - и сами эти сообщения (голосовую информацию, изображения, звуки, видео-, иные электронные сообщения). Помимо этого, всю эту собранную информацию ОРИ обязан предоставлять уполномоченным госорганам. ч. 4 ст 10.1: ОРИ обязан соблюдать установленные требования к используемым им в эксплуатируемых информационных системах оборудованию и программно-техническим средствам. Конкретные требования установлены вот в этих Правилах взаимодействия... и речь там, по сути, идёт о том, что по требованию упономоченных органов нужно предоставлять им возможность утсанавливать требуемые им средства. п. 4.1 ст 10.1: ОРИ обязан предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений. Т.е. если сообщения шифруются, нужно предоставлять ключи (именно это сейчас, как это было широко разрекламировано, оспаривают в суде представители мессенджера Telegram). Есть ещё требования пп. 4.2 - 4.4 ст 10.1, но они касаются уже только мессенджеров (сервисов по обмену мгновенными сообщениями). Какие есть исключения из требований для ОРИ? Не так уж и много. Обязанности, рассмотренные выше, не распространяются на: Операторов государственных информационных систем, операторов муниципальных информационных систем; Операторов связи, оказывающих услуги связи на основании соответствующей лицензии, в части лицензируемой деятельности; На граждан (физических лиц), осуществляющих указанную деятельность для личных, семейных и домашних нужд. По сути, у большинства юридических лиц, ведущих свою деятельность в сети Интернет и позволяющих пользователям обмениваться сообщениями (фактически в любой, как можно видеть, форме), нет никаких шансов не быть признанными ОРИ. Собственно и у граждан не так много вариантов - соответствующий Перечень личных, семейных и домашних нужд чётко определён Правительством РФ. Таковыми нуждами признаются Потребности граждан, связанные с: Приобретением знаний, умений, навыков, ценностных установок, опыта деятельности и компетенции в целях интеллектуального, духовно-нравственного, культурного, творческого, физического и (или) профессионального развития человека, удовлетворения его образовательных потребностей и интересов (образовательные потребности); Осуществлением деятельности, направленной на получение и применение новых знаний (научные потребности); Созданием результатов творческой деятельности, в том числе программ для электронных вычислительных машин, включая внесение изменений в указанные программы; Приобретением товаров, работ, услуг, поиском работников, размещением информации о вакансиях. Ведением домашнего хозяйства, садоводства, разведением животных и уходом за ними. Получением информации о технических характеристиках и потребительских свойствах товаров, качестве услуг, результатах работ. Организацией досуга и (или) воспитанием детей. Честно говоря, я не очень представляю, как можно удовлетворить свои личные потребности, например, связанные с приобретением знаний путём распространения информации в сети Интернет... А уж пассажи про садоводство и разведение животных и подавно за гранью моего понимания. Тем не менее, даже из этого и так небогатого списка в свою очередь тоже есть исключения - нужды не могут быть признаны личными, семейными и домашними: Если они сопряжены с осуществлением общественной или общественно-политической деятельности; Если они сопряжены с распространением информации и материалов общественно-политического характера; Если они сопряжены с предоставлением возможности приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет, составляющих неопределенный круг лиц, и (или) осуществлением в интересах обеспечения любой деятельности юридического лица или участия пользователя сети Интернет в деятельности юридического лица (юридических лиц); Если число фактических пользователей указанной системы или программы превышает 10 000 пользователей). Прозрачность и чёткость формулировок - это точно не про Российское законодательство, но тут всё очевидно: если речь про политику, то никаких исключений; если сайтом/сервисом может пользоваться неопределённый круг лиц (считай, любой сайт/блог с комментариями) - тоже никаких исключений; если сообщество закрытое, но нужно для обеспечения деятельности юрлица - никаких исключений (например, корпоративная соцсеть); если сообщество закрытое, но пользователей больше 10 000, то опять исключений нет. Выводы Отвечая на вопрос, вынесенный в заголовок поста, получаем следующую цепочку рассуждений: Любой владелец сайта/блога, где у неопределённого круга пользователей есть возможность обмена сообщениями является ОРИ. Минкомсвязь считает, что комментарии - это тоже вид обмена сообщениями. На ОРИ распространяется целый ряд требований, в том числе по хранению информации о фактах приема, передачи, доставки и (или) обработки сообщений (а с июля 2018 и самих сообщений) в течении установленного времени и исключительно на территории Российской Федерации. Если вы не готовы/не можете соблюсти установленные для ОРИ требования то есть три варианта поведения: Вариант 1. Удаление возможности комментирования. Сценарий понятен. Вариант 2. Использование внешней системы комментариев (тот же Disqus) - тогда все сообщения пользователей будут храниться в чужой системе. Но, честно говоря, это сомнительный вариант - во-первых, видят-то пользователи информацию именно на вашем сайте и не факт, что вы не станете ОРИ по логике того же Минкомсвязи, а во-вторых, есть риск, что этот сервис заблокируют и часть контента потеряется для большинства пользователей (тех, кто не умеет обходить блокировки) - именно так получилось со SlideShare: сколько полезных презентаций стали в одночасье труднодоступными! Вариант 3. Не делать ничего. В конце концов, пока хватает и других ОРИ, которые обрабатывают миллионы пользовательских сообщений, но пока даже в реестр не подали заявку. Предполагаю, что большинство оправданно выберут именно этот вариант, тем самым, впрочем, создавая для себя некоторые риски. Для готовых выполнить требования к ОРИ и желающих сохранить комментарии алгоритм простой: Переехать на российский хостинг (если ещё не там). Уведомить Роскомнадзор. Озаботиться сохранностью комментариев (например, путём простейшего бэкапа). Быть готовым помогать уполномоченным госорганам. Отдельно, наверное, надо сказать пару слов про блоги на какой-либо платформе типа LiveJournal или Blogger. Владелец блога там физически не может самостоятельно перенести информацию на российские сервера и, наверное, даже может попрбовать обосновать, что он не владеет ничем - всё принадлежит самой блогер-платформе, но не факт, что (да извинят они меня за постоянное упоминание) всё тот же Минкомсвязь не решит, что автор ЖЖ или блога, где включены комментарии не является: лицом, осуществляющим деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет". Кстати, тот же 97-ФЗ, который я упомянул в самом начале, помимо статьи 10.1 про ОРИ вводил статью 10.2. "Особенности распространения блогером общедоступной информации". К ней тоже было много вопросов из-за неясностей и двусмысленностей, но тема как-то "не взлетела" и в июле 2017 года 276-ФЗ благополучно все нововведения для блогеров отменил. А вот требования к ОРИ остались...
Страницы раздела сайта, в котором я периодически выкладываю попадающиеся мне Магические квадра(н)ты Гартнера (и ссылки на полные отчёты) уже давно закрыты паролем, как того потребовал от меня сам Gartner (предыстория тут). Не то, чтобы было совсем уж неудобно каждый раз вводить пароль, но решил всё же для удобства Magic Quadrants по безопасности выложить немного в другом виде вот здесь: https://zlonov.ru/mq/security-quadrants/. Собственно, самих квадратов или иного содержимого из самих отчётов на этой странице нет (Гартнер не велит), зато есть ссылки. Например, каждая картинка ведёт на соответствующее изображение на официальном сайте Гартнера. Дополнительно указана дата публикации соответствующего отчёта и его уникальный ID. По клику на ID можно перейти к самому отчёту и, например, купить его или получить по подписке, если она есть. [caption id=”attachment_12256” align=”aligncenter” width=”700”] Новое представление магических квадратов Гартнера по безопасности[/caption] Наконец, при наличии действующей (и известной мне) неархивированной полной текстовой версии отчёта, лицензированной для распространения, ссылка на неё также приведена. Обычно такие отчёты доступны лишь некоторое время, после чего исчезают. Если ранее отчёт был доступен публично, то стоит соответствующая пометка “Текст в архиве”. Сам архив на сайте не выложен, но всегда есть варианты ;-)