Руки прочь от интернета
https://habr.com/ru/post/443254/
Вот статья, про которую хочется написать нашим уважаемым чиновникам, которые собираются фильтровать и контролировать трафик, вместо того, чтобы укреплять сеть и защищать ее. Решения, предлагаемые сейчас в рамках закона Яровой, и закона о защите суверенного чебурнета не только подрывают гражданские свободы, но и являются очень глупым решением. С точки зрения информационной безопасности они попросту опасны для страны и мира. Сосредотачивать столь огромную информационную власть на централизованно управляемом оборудовании означает дать атакующим возможность устраивать информационные и техногенные катастрофы огромных масштабов. Один просчет в системах IT безопасности и перехвата трафика, и в руках атакующих появляется огромная мощь. Подкупленный чиновник высокого ранга теперь может слить цепочку цифр, которая обладает огромной властью, причем даже не узнать об этом.
Настойчивое желание "рассекретить" для одних, и скрыть от других не только не добавляет безопасности, а наоборот, серьезно подрывает её - за огромные деньги планируется внедрить вместо действительно продвинутых решений, обычное старое дерьмо типа снифферов(перехватчиков) трафика, поддержки кучи всяких листов адресов на очень, очень дорогих железяках. Любая дыра здесь может стоить стране миллиарды долларов. Планируемые действия дико экономически неэффективны. Единственное, что будет дешево и хорошо работать в такой системе - это тупая возможность "отключить" внешний интернет. Все остальное типа прослушки трафика, фильтрации, анализа - дико дорого и вообще не работает уже ни для каких защитных мероприятий, все легко обходится шифрованием. Можно запретить шифрование трафика, но это та же самая история - тоже выстрел себе в ногу. Когда вы пытаетесь таким образом все удержать и "зарегулировать", у меня возникает стойкая ассоциация с каким то древним анекдотом, где герой пытался говно в кулаке удержать, сжимая посильнее.
По моему мнению, защита российской части интернета должна идти совершенно другим путем. Любой командующий знает, что для того, чтобы сосредоточенный удар противника нанес минимум ущерба, силы должны быть рассредоточены, тогда противнику придется поражать слишком большую площадь. Поэтому защита инфраструктуры означает как раз разнесение командных центров, дробление их на независимые части, и мощную защиту коммуникаций для их координации. Наиболее эффективные алгоритмы, придуманные для этого человечеством - децентрализованные сети и zero-knowledge протоколы. Как ни парадоксально, рунет должен строиться по тем же принципам, по которым сейчас работает Telegram - надо развивать децентрализованную инфраструктуру, которую невозможно погасить, отключить, атаковать вирусами, где взломав одну часть не получится ничего диктовать другим частям. Представьте, что вы хакер, и вам надо действовать в стране, где любая персональная информация или переписка защищена криптографически и недоступна никому, а все граждане страны умеют и применяют устройства и программы для защиты персональных данных. В этой стране у вас будут огромные проблемы с кибератаками любого рода и вообще с получением информации. Спецслужбы на территории такой страны по прежнему являются самыми мощными агентами безопасности, т.к. вдобавок к информационной безопасности для всех могут обеспечивать безопасность физическую. Я уже молчу, что такие архитектуры чисто технически позволяют строить сетевые сервисы следующих поколений, на порядки более мощные и отказоустойчивые. Так что вспомните, что такая защита - она для всех, в том числе и для вас, ваших детей, родственников, друзей.
Вы думаете, что можно защититься от чего-то закрыв глаза, заткнув уши и рот? От чего вы собрались защищать российский интернет? И, даже если атаки именно на рунет существуют, может лучше использовать активные методы защиты? Они, как показала армия, куда эффективней, чем броня - все современные танки используют активную защиту. Плюс, господа депутаты, продвигавшие закон уверен даже не в курсе, что технически российский сегмент и так давно защищен и без их закона. Или вы думаете, что на кабелях между континентами и городами никогда не было сбоев? DNS изначально спроектирован так, что даже при отключении сегментов, оставшаяся часть работает, так что и без вашего закона погасить рунет запросто не получится. Просто добавляя рубильники вы лишь сделаете хуже, помяните мое слово.
Так что прошу, остановитесь уже, то, что вы внедряете давно не работает так, как можно было делать лет 10 назад. Ваши консультанты по безопасности оперируют методами и стандартами, которые устаревают раньше, чем вы их успеваете согласовать. Сейчас вы стреляете себе в ногу. В ногу моей стране, мать вашу!