Рюкзачок от ЗаТелекома на фоне Волги:
https://goo.gl/forms/HGS75jLlvtFc9hMH3
https://goo.gl/forms/HGS75jLlvtFc9hMH3
Size: a a a
2018 March 19
И почитайте отчет Qrator за безопасность интернетов. Хороший. https://qrator.net/presentations/QratorAnnualRepRus.pdf
Кто просил «больше заземлений»? Я вам принес
А теперь немножко серьезых щщей.
Преамбула будет такая: все ошибаются.
Это нормально. Ненормально, когда с упорством дятла долбят за ошибки, которые осознанны и устранены. Я, лично, грешен. Ошибаюсь часто. А как вы хотели чему-то научиться без ошибок?
С другой стороны, краснокирпичные рожи, логика которых заключается в посыле «раз ты один раз ошибся, значит вообще неправ». Они отвратительны. Еще более отвратительна демагогия отрицания, которая строится на мелкой ошибке и, следовательно, весь посыл тогда неверный. Это не так.
Но мой канал читают в массе профессионалы (тот, кто не в теме просто отписывается, ибо здесь котиков мало) и, хотел бы верить, понимают где просто ошибка, а где косяк и пропаганда.
Собственно о чем спич:
Вчера я перепостил про видеонаблюдение выборов: https://t.me/parisburns/1935
И там есть две ошибки:
1. Ngenix это не дата-центр, а CDN оператор, дочка Ростелека. Именно через него организована веб-трансляция (ну а через кого ещё?) И это базовый функционал - ограничение доступа по IP.
2. Заглушка таки была, да.
Но это совсем не значит, что вывод из поста неверный. ЦИК зачем-то ограничил наблюдение за выборами из-за рубежа. Не очень понимаю зачем. Ну, потому что DDoS на узлы CDN — это даже звучит бессмысленно. Это ж тоже «базовый функционал».
И да — это еще одно проявление цензуры, я считаю. Хотя, конечно, может быть масса точек зрения. Тут нужно разобраться будет внимательнее. Но одно могу заверить точно — никакого такого посыла в том, чтоб «принизить роиссющку», лично у меня не было. Перепост был сделан с одной целью: показать, что портал видеонаблюдения за выборами был заблокирован из-за рубежа и это было доказано техническими методами измерения. Даже дырку какую-то нашли.
А с канадской Citizen Lab мы будем продолжать сотрудничество. Ну, потому что для телекомов нет границ. И даже больше — телеком и нужен для того, чтоб границ не существовало.
Преамбула будет такая: все ошибаются.
Это нормально. Ненормально, когда с упорством дятла долбят за ошибки, которые осознанны и устранены. Я, лично, грешен. Ошибаюсь часто. А как вы хотели чему-то научиться без ошибок?
С другой стороны, краснокирпичные рожи, логика которых заключается в посыле «раз ты один раз ошибся, значит вообще неправ». Они отвратительны. Еще более отвратительна демагогия отрицания, которая строится на мелкой ошибке и, следовательно, весь посыл тогда неверный. Это не так.
Но мой канал читают в массе профессионалы (тот, кто не в теме просто отписывается, ибо здесь котиков мало) и, хотел бы верить, понимают где просто ошибка, а где косяк и пропаганда.
Собственно о чем спич:
Вчера я перепостил про видеонаблюдение выборов: https://t.me/parisburns/1935
И там есть две ошибки:
1. Ngenix это не дата-центр, а CDN оператор, дочка Ростелека. Именно через него организована веб-трансляция (ну а через кого ещё?) И это базовый функционал - ограничение доступа по IP.
2. Заглушка таки была, да.
Но это совсем не значит, что вывод из поста неверный. ЦИК зачем-то ограничил наблюдение за выборами из-за рубежа. Не очень понимаю зачем. Ну, потому что DDoS на узлы CDN — это даже звучит бессмысленно. Это ж тоже «базовый функционал».
И да — это еще одно проявление цензуры, я считаю. Хотя, конечно, может быть масса точек зрения. Тут нужно разобраться будет внимательнее. Но одно могу заверить точно — никакого такого посыла в том, чтоб «принизить роиссющку», лично у меня не было. Перепост был сделан с одной целью: показать, что портал видеонаблюдения за выборами был заблокирован из-за рубежа и это было доказано техническими методами измерения. Даже дырку какую-то нашли.
А с канадской Citizen Lab мы будем продолжать сотрудничество. Ну, потому что для телекомов нет границ. И даже больше — телеком и нужен для того, чтоб границ не существовало.
Ну, вот есть хорошее объяснение, например, про CDN. Которое, впрочем, не объясняет почему закрыли видеонаблюдение из-за рубежа. Вопрос денег «на выборы», после затрат в 18 млрд только официально не стоял вообще
Переслано от Töma Gavrichenkov
> потому что DDoS на узлы CDN — это даже звучит бессмысленно. Это ж тоже «базовый функционал».
Это не так. Из того, что у CDN обычно очень большие вычислительные мощности (сеть, процессор, память), никак не следует, что эти мощности спланированы с расчётом именно на паразитный трафик, а не на легитимный. То есть не факт, что зазора между максимальной и текущей полосой хватит, чтобы ещё и DDoS обработать.
Даже если CDN технически способен обработать какой-то объём паразитного трафика, всегда встаёт вопрос о том, кто оплачивает банкет. Трафик и электричество, они небесплатные, а бюджет заказчика обычно рассчитан на легитимный трафик, заплатить вдобавок ещё в два раза больше за трафик атаки заказчик обычно не желает.
Наконец, характер трафика CDN и DDoS mitigation отличается колоссально. Классический пример, прямо по учебнику — это архитектура сети Akamai. Как известно, 5 лет назад Akamai купил Prolexic и переименовал его в Akamai DDoS Protection. Спустя 5 лет Akamai CDN и DDoSP до сих пор разные сети, хотя, казалось бы, почему бы не включить Prolexic в CDN-сеть? Ведь там же дичайшие сетевые ресурсы, помогло бы от DDoS и не пришлось бы в сентябре 2016 года перед Кребсом краснеть.
Разгадка кроется вот здесь:
- https://www.peeringdb.com/asn/20940 «Traffic Ratios: Heavy Outbound»
- https://www.peeringdb.com/asn/32787 «Traffic Ratios: Mostly Inbound»
Это предполагает разный подход к архитектуре сети: «ближе к пользователю» vs «ближе к ядру», разный дизайн edge nodes и пр. Вот здесь есть, кстати, видео, где я задавал соответствующий вопрос акамаевскому Head of Network Technology Department: https://youtu.be/ZJ_SAyKURcY?t=1h13m59s . Ответ был: CDN-сеть строится совсем не так, как анти-DDoS, поэтому объединять две сети внутри Akamai нет никакого смысла.
Это не так. Из того, что у CDN обычно очень большие вычислительные мощности (сеть, процессор, память), никак не следует, что эти мощности спланированы с расчётом именно на паразитный трафик, а не на легитимный. То есть не факт, что зазора между максимальной и текущей полосой хватит, чтобы ещё и DDoS обработать.
Даже если CDN технически способен обработать какой-то объём паразитного трафика, всегда встаёт вопрос о том, кто оплачивает банкет. Трафик и электричество, они небесплатные, а бюджет заказчика обычно рассчитан на легитимный трафик, заплатить вдобавок ещё в два раза больше за трафик атаки заказчик обычно не желает.
Наконец, характер трафика CDN и DDoS mitigation отличается колоссально. Классический пример, прямо по учебнику — это архитектура сети Akamai. Как известно, 5 лет назад Akamai купил Prolexic и переименовал его в Akamai DDoS Protection. Спустя 5 лет Akamai CDN и DDoSP до сих пор разные сети, хотя, казалось бы, почему бы не включить Prolexic в CDN-сеть? Ведь там же дичайшие сетевые ресурсы, помогло бы от DDoS и не пришлось бы в сентябре 2016 года перед Кребсом краснеть.
Разгадка кроется вот здесь:
- https://www.peeringdb.com/asn/20940 «Traffic Ratios: Heavy Outbound»
- https://www.peeringdb.com/asn/32787 «Traffic Ratios: Mostly Inbound»
Это предполагает разный подход к архитектуре сети: «ближе к пользователю» vs «ближе к ядру», разный дизайн edge nodes и пр. Вот здесь есть, кстати, видео, где я задавал соответствующий вопрос акамаевскому Head of Network Technology Department: https://youtu.be/ZJ_SAyKURcY?t=1h13m59s . Ответ был: CDN-сеть строится совсем не так, как анти-DDoS, поэтому объединять две сети внутри Akamai нет никакого смысла.
Ладно, давайте голоснем. Почему видеонаблюдение было закрыто из-за рубежа? (вариант — написать мне в личку, если вы точно знаете зачем)
anonymous poll
Боялись, что весь мир увидит что-то нехорошее – 371
👍👍👍👍👍👍👍 61%
Боялись «злобных хацкеров» – 125
👍👍 21%
Нипочему. Просто облажались. – 42
👍 7%
Не, ну а чо они все время клевещут? – 39
👍 6%
Пожалели денег – 31
👍 5%
👥 608 people voted so far.
anonymous poll
Боялись, что весь мир увидит что-то нехорошее – 371
👍👍👍👍👍👍👍 61%
Боялись «злобных хацкеров» – 125
👍👍 21%
Нипочему. Просто облажались. – 42
👍 7%
Не, ну а чо они все время клевещут? – 39
👍 6%
Пожалели денег – 31
👍 5%
👥 608 people voted so far.
2018 March 20
К слову, Phase Detector можно купить тут: https://shop.nag.ru/catalog/00007.Avtomatizatsiya-i-monitoring/06630.Datchiki/17632.SNR-PHD-10
Кстати. Завтра будет завершено обсуждение очередного «закончика», по которому скоро вас всех обяжут публиковать контактные данные ДЛЯ ВСЕХ интернет-сайтов.
http://regulation.gov.ru/Projects#npa=78461
Я пока не вижу ни одного возражения по.
Потом не говорите, что не предупреждали. А на все вот эти вот сутяги одного Неугомонного Фила будет маловато.
Чем плох законопроект? Ну, с первого пункта:
«Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе (для владельца сайта в сети «Интернет», являющегося юридическим лицом), о фамилии, имени, отчестве (при наличии) и адресе (для владельца сайта в сети «Интернет», являющегося физическим лицом)»
Слово «обязан», прежде всего.
Проект, прежде всего, направлен на «антипиратскую борьбу», конечно. Но вы ж помните, как было про «только детское проно, наркотики и суицид»?
И у меня нет ни малейшего сомнения, что будут блокироваться любые сайты, где нет «ФИО и адреса» владельца, если сайт будет по какой-то причине замечен. Просто потому, что «нет данных».
Так что, зайдите, и если не напишете негативного (конструктивного, желательно) отзыва, то хотя б дизлайк поставьте. Тут нужно просто показать негативное отношение. Хотя мы и знаем, что толку от этого не будет, но хоть будет повод в СМИ поныть, да.
http://regulation.gov.ru/Projects#npa=78461
Я пока не вижу ни одного возражения по.
Потом не говорите, что не предупреждали. А на все вот эти вот сутяги одного Неугомонного Фила будет маловато.
Чем плох законопроект? Ну, с первого пункта:
«Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе (для владельца сайта в сети «Интернет», являющегося юридическим лицом), о фамилии, имени, отчестве (при наличии) и адресе (для владельца сайта в сети «Интернет», являющегося физическим лицом)»
Слово «обязан», прежде всего.
Проект, прежде всего, направлен на «антипиратскую борьбу», конечно. Но вы ж помните, как было про «только детское проно, наркотики и суицид»?
И у меня нет ни малейшего сомнения, что будут блокироваться любые сайты, где нет «ФИО и адреса» владельца, если сайт будет по какой-то причине замечен. Просто потому, что «нет данных».
Так что, зайдите, и если не напишете негативного (конструктивного, желательно) отзыва, то хотя б дизлайк поставьте. Тут нужно просто показать негативное отношение. Хотя мы и знаем, что толку от этого не будет, но хоть будет повод в СМИ поныть, да.
# Цена ошибки
В идеальном мире, которого не существует, ошибок никто не делает. В реальном — ошибаются все.
Вот, например, история про то, как один сетевой инженер положил сеть на 30+ миллионов юзеров:
https://www.fiercetelecom.com/telecom/fcc-finally-specifies-cause-2016-level-3-network-outage
Суть примерно следующая (перевод чуточку кривой — читайте оригинал):
> В рамках обычной практики обслуживания сети, которая включает в себя изменения настроек оборудования один или два раза в день, технический специалист внес изменения в программное обеспечение для управления сетью Level3, которое управляет программными коммутаторами и шлюзами. Сбой произошел , когда техник проводил обычные операции в рамках борьбы фродом. Операции по борьбе с мошенничеством предназначены для блокировки вызовов, исходящих от телефонных номеров, которые не являются родными для сети Level3. Техник оставил пустое поле, которое обычно содержит целевой номер телефона. Программное обеспечение сетевого управления интерпретировало пустое поле как «подстановочный знак», что означает, что программное обеспечение понимает пустое поле как инструкцию для блокировки всех вызовов, а не как запись «путой номер». Это заставило коммутатор блокировать вызовы с каждого номера в базе данных неродного телефонного номера Level3.
Вот тут есть официальный ответ от FCC с «че это было»: https://transition.fcc.gov/Daily_Releases/Daily_Business/2018/db0313/DOC-349661A1.pdf
Целый год шли разбирательства, Level3 потерял в репутации. А всего-то — оставил пустое поле…
Кстати, сегодня Level3 уже не существует. Их в конце 2017-го купил CenturyLink. Теперь это третья телеком-компания в США по количеству обслуживаемых линий после AT&T и Verizon. Тикер на Нью-Йоркской Фондовой бирже — NYSE: CTL
В идеальном мире, которого не существует, ошибок никто не делает. В реальном — ошибаются все.
Вот, например, история про то, как один сетевой инженер положил сеть на 30+ миллионов юзеров:
https://www.fiercetelecom.com/telecom/fcc-finally-specifies-cause-2016-level-3-network-outage
Суть примерно следующая (перевод чуточку кривой — читайте оригинал):
> В рамках обычной практики обслуживания сети, которая включает в себя изменения настроек оборудования один или два раза в день, технический специалист внес изменения в программное обеспечение для управления сетью Level3, которое управляет программными коммутаторами и шлюзами. Сбой произошел , когда техник проводил обычные операции в рамках борьбы фродом. Операции по борьбе с мошенничеством предназначены для блокировки вызовов, исходящих от телефонных номеров, которые не являются родными для сети Level3. Техник оставил пустое поле, которое обычно содержит целевой номер телефона. Программное обеспечение сетевого управления интерпретировало пустое поле как «подстановочный знак», что означает, что программное обеспечение понимает пустое поле как инструкцию для блокировки всех вызовов, а не как запись «путой номер». Это заставило коммутатор блокировать вызовы с каждого номера в базе данных неродного телефонного номера Level3.
Вот тут есть официальный ответ от FCC с «че это было»: https://transition.fcc.gov/Daily_Releases/Daily_Business/2018/db0313/DOC-349661A1.pdf
Целый год шли разбирательства, Level3 потерял в репутации. А всего-то — оставил пустое поле…
Кстати, сегодня Level3 уже не существует. Их в конце 2017-го купил CenturyLink. Теперь это третья телеком-компания в США по количеству обслуживаемых линий после AT&T и Verizon. Тикер на Нью-Йоркской Фондовой бирже — NYSE: CTL
Голосуем:
* вверх — есть такие конфетки
* вниз — да ладно - это ж фотошоп
* КОЗА — не сертифицированно альянсом!
* вверх — есть такие конфетки
* вниз — да ладно - это ж фотошоп
* КОЗА — не сертифицированно альянсом!
Короч, пруф — это точно не фотошоп.
* палец вверх — ВЕРЮ!
* палец вниз — вы все врети!
* КОЗА — все равно не сертифицировано Альянсом!
* палец вверх — ВЕРЮ!
* палец вниз — вы все врети!
* КОЗА — все равно не сертифицировано Альянсом!
Тут еще очень странное письмо переслали. Полностью привожу, с контактом даже. Ну, потому что как бы — официально все. Следовательно — открыто/прозрачно/транспарентно. Письмо было из Беларуси:
———————————
Коллеги, добрый день!
Этим письмом я хотел бы проинформировать вас о предстоящих изменениях в способе обмена международным A2P SMS трафиком
Входящие международные A2P SMS через smpp маршруты в нашу сеть будут заблокированы и должны быть перенаправлены через Infobip, SMS Hub провайдера, начиная с 1 апреля 2018 года.
Пожалуйста, внесите необходимые коррективы с вашей стороны, чтобы обеспечить успешную доставку сообщений в сеть life:) через Infobip.
Cо стороны Инфобип вы можете связаться с Марией Рогожиновой: Maria.Rogozhinova@infobip.com
———————————
И ничего такого крамольного, но…
Централизация ВСЕГО СМС-трафика в отдельно взятой стране, как говорится — «этот вжжж не спроста». Вопрос - «для чего?» повисает в воздухе.
Например, первое, что приходит в голову — для того чтоб перехватывать СМС. Это чтоб можно было спереть авторизацию телеграма ватсапов и прочих соцсетей — теперь все смс из-за бугра валят на один хаб, к нему доступ у спецариков и в реалтайме можно перезапросить авторизацию любого получить смс и перехватить доступ к телеграму или еще чему.
Телеге с его принципом привязки акков к номеру нужно хорошо задуматься. Ну и вообще для двухфакторной авторизации по смс — такой нехороший звоночек.
При этом контора «Инфобит» утверждает о своей интернациональности, имеет офис в России, а штаб-квартиру — в Лондоне.
Голосуем:
* Вверх — да заколиманаются по времени двухфактор выцеплять!
* Вниз — печально
* КОЗА — нужно больше сливов на канал! (собственно, контакт куда - есть в описании канала)
———————————
Коллеги, добрый день!
Этим письмом я хотел бы проинформировать вас о предстоящих изменениях в способе обмена международным A2P SMS трафиком
Входящие международные A2P SMS через smpp маршруты в нашу сеть будут заблокированы и должны быть перенаправлены через Infobip, SMS Hub провайдера, начиная с 1 апреля 2018 года.
Пожалуйста, внесите необходимые коррективы с вашей стороны, чтобы обеспечить успешную доставку сообщений в сеть life:) через Infobip.
Cо стороны Инфобип вы можете связаться с Марией Рогожиновой: Maria.Rogozhinova@infobip.com
———————————
И ничего такого крамольного, но…
Централизация ВСЕГО СМС-трафика в отдельно взятой стране, как говорится — «этот вжжж не спроста». Вопрос - «для чего?» повисает в воздухе.
Например, первое, что приходит в голову — для того чтоб перехватывать СМС. Это чтоб можно было спереть авторизацию телеграма ватсапов и прочих соцсетей — теперь все смс из-за бугра валят на один хаб, к нему доступ у спецариков и в реалтайме можно перезапросить авторизацию любого получить смс и перехватить доступ к телеграму или еще чему.
Телеге с его принципом привязки акков к номеру нужно хорошо задуматься. Ну и вообще для двухфакторной авторизации по смс — такой нехороший звоночек.
При этом контора «Инфобит» утверждает о своей интернациональности, имеет офис в России, а штаб-квартиру — в Лондоне.
Голосуем:
* Вверх — да заколиманаются по времени двухфактор выцеплять!
* Вниз — печально
* КОЗА — нужно больше сливов на канал! (собственно, контакт куда - есть в описании канала)
Сейчас ВС РФ слушает заявление Telegram об оспаривании приказа ФСБ о выдаче ключей шифрования трансляция здесь https://zona.media/online/2018/03/20/tlgrmvs Карточка дела https://vsrf.ru/lk/practice/cases/9840360
Судья Назарова по иску Телеграма к ФСБ примет решение:
anonymous poll
Иск не удовлетворять. ФСБ всегда прав – 218
👍👍👍👍👍👍👍 64%
Иск удовлетворить. Телега не виновата – 66
👍👍 19%
Да я хз ваще. 50/50 – 57
👍👍 17%
👥 341 people voted so far.
anonymous poll
Иск не удовлетворять. ФСБ всегда прав – 218
👍👍👍👍👍👍👍 64%
Иск удовлетворить. Телега не виновата – 66
👍👍 19%
Да я хз ваще. 50/50 – 57
👍👍 17%
👥 341 people voted so far.
Вже все паблики облетело: http://tass.ru/obschestvo/5047579
тут хотелось бы отметить, что тогда и переписка госов в мессенджерах не охраняется.
кради@публикуй!
тут хотелось бы отметить, что тогда и переписка госов в мессенджерах не охраняется.
кради@публикуй!
Меньше, чем через полчаса, судья возвращается из совещательной комнаты и начинает оглашать решение. В удовлетворении иска отказано.
Кстати, за сертификацию Wi-Fi и хотспоты.
Я вже писал не раз. И не два. Но все равно вопросы задают — че я так ополчился против этих символов?
Отвечаю:
1. Я вовсе не ополчился. Просто смешно наблюдать, как, казалось бы, грамотные люди наступают а грабли раз за разом.
2. Думаю, что самый верный способ заставить обучаться — высмеять их дремучесть :) Но прошу учесть, я это не зло делаю. Простой здоровый сарказм.
3. На самом деле, использование сертификационного знака не по назначению может привести к судебному иску. Случаи бывали, правда, не в России. Так что — это еще и предупреждение за юридические риски. Особенно для тех, кто строит зоны, где могут появиться много иностранцев (превед ЧМ-18 и Ростелеку!).
Что касается конкретно использования знаков Wi-Fi, то я рекомендую таки обращаться к официальному источнику. Сиречь, к сайту Wi-Fi Alliance, где четко и по делу рассказано что и как обозначают значки.
Вот: https://www.wi-fi.org/who-we-are/our-brands
И вы удивитесь, что кроме собственно Wi-Fi и Хотспотов (кста, там есть файл официального знака Хотспота, который невозбранно можно скачать в кривых и использовать по назначению), у Альянса есть еще множество торговых марок и знаков.
Например, есть отдельный значок для Wi-Fi Protection Setup. А еще, мне тут по секрету сказали, что до конца этого года появится новый символ для «интернетов вещей». Протокол уже запилен и называется Wi-Fi HaLOW или IEEE 802.11ah
Low power, long range - будет работать на частоте 900MHz. Но задумывается совместимым с привычными дивайсами в 2,4ГГц. Нужно будет как-то написать подробнее, да.
Голосуем :)
* Палец вверх — да, я все понял
* Палец вниз — че, самый умный штоле?
* КОЗА — нужно больше объяснялок на канале!
Я вже писал не раз. И не два. Но все равно вопросы задают — че я так ополчился против этих символов?
Отвечаю:
1. Я вовсе не ополчился. Просто смешно наблюдать, как, казалось бы, грамотные люди наступают а грабли раз за разом.
2. Думаю, что самый верный способ заставить обучаться — высмеять их дремучесть :) Но прошу учесть, я это не зло делаю. Простой здоровый сарказм.
3. На самом деле, использование сертификационного знака не по назначению может привести к судебному иску. Случаи бывали, правда, не в России. Так что — это еще и предупреждение за юридические риски. Особенно для тех, кто строит зоны, где могут появиться много иностранцев (превед ЧМ-18 и Ростелеку!).
Что касается конкретно использования знаков Wi-Fi, то я рекомендую таки обращаться к официальному источнику. Сиречь, к сайту Wi-Fi Alliance, где четко и по делу рассказано что и как обозначают значки.
Вот: https://www.wi-fi.org/who-we-are/our-brands
И вы удивитесь, что кроме собственно Wi-Fi и Хотспотов (кста, там есть файл официального знака Хотспота, который невозбранно можно скачать в кривых и использовать по назначению), у Альянса есть еще множество торговых марок и знаков.
Например, есть отдельный значок для Wi-Fi Protection Setup. А еще, мне тут по секрету сказали, что до конца этого года появится новый символ для «интернетов вещей». Протокол уже запилен и называется Wi-Fi HaLOW или IEEE 802.11ah
Low power, long range - будет работать на частоте 900MHz. Но задумывается совместимым с привычными дивайсами в 2,4ГГц. Нужно будет как-то написать подробнее, да.
Голосуем :)
* Палец вверх — да, я все понял
* Палец вниз — че, самый умный штоле?
* КОЗА — нужно больше объяснялок на канале!