https://www.kommersant.ru/doc/4977444
И тут важно понимать, что таки да - на 70% сетей можно устроить холокост протоколов. Но на 30% - НЕЛЬЗЯ.
Выход тут довольно прост: уходить от операторов с установленными ТСПУ к операторам, где этой шняги нет.
Список операторов, которыми пользоваться нельзя (не полный):
Ростелеком, МТС, Билайн, Нет-бай-Нет, Дом.ру, Уфанет, Интерсвязь - и там ещё много.
Можно пользоваться мелкими местными операторами, которые ещё держатся.
И тут важно понимать, что таки да - на 70% сетей можно устроить холокост протоколов. Но на 30% - НЕЛЬЗЯ.
Выход тут довольно прост: уходить от операторов с установленными ТСПУ к операторам, где этой шняги нет.
Список операторов, которыми пользоваться нельзя (не полный):
Ростелеком, МТС, Билайн, Нет-бай-Нет, Дом.ру, Уфанет, Интерсвязь - и там ещё много.
Можно пользоваться мелкими местными операторами, которые ещё держатся.
👆👆👆
Объяснялка документа выше для тех, кто не очень в технике и вообще что происходит:
Данным письмом некто (скорее всего - терруправление РКН) предупреждает 'правильных пацанов' о том, что они планируют, и это уже решённый вопрос, заблокировать сервисы публичного DNS. И чтоб указанные пацаны были осторожны и убрали из своих проектов все ссылки на Open-DNS. Ну, чтоб ничего не сломалось внезапно.
И это письмо очень типично - предупреждение идёт исключительно своим, а вот эти вот жалкие людишки, они как хотят потом. Типа, мусор и не стоит беспокойства.
А беспокойства таки много. Вотдве три вещи, которые произойдут, если сервисы Public DNS будут заблокированы:
1. Отвалится работа интернет-сервисов в самых неожиданных местах. Причем, веб-сервисы всякие - это мелочи. Там поменять настройки - три минуты времени.
А вот всякие устройства интернетов вещей - тут будет веселее. Всякие датчики, актуаторы, кассовые аппараты, камеры видеонаблюдения 'безопасного города' и б-г знает что ещё - все используют DNS. И чаще всего там как раз 'четыре восьмёрки', ибо надёжно и глобально. Китайцы ж всегда экономят.
2. Я прям вижу, как все эти мошенники из 'служб безопасности сбербанка' потирают потные ладошки и только и ждут отключения публичных DNS. Это ж миллиарды можно будет красть самой простой схемой фишинга. Представьте миллион фишинговых сайтов, которые будут неотличимы на странице входа от официального. И у всех будет реальное имя - lk.sberbank.ru. Ну, потому что хацкеры подменили днс-запрос. А сравнить его будет не с чем! Опен-ДНС же заблокировали.
Не, понятно, что разработчики браузеров что-то придумают. Но, напомню, есть ещё и приложения. А ещё - раз даже настоящих условиях каждый день обманывают тысячи людей, то когда уровень защиты снизится - количество краж вырастет на порядок.
3. Помните, как там продвигали ТСПУ? Типа, "защита от отключения извне", да? Теперь смотрите: видите в на картинке выше айпи-адрес?
Так вот. Чтоб обрушить систему, которую строит РКН, теперь не нужно много ресурсов. Достаточно задудосить указанный адрес. Или всю подсеть для надёжности.
И вот же буквально вчера Яндекс атаковали. И как вы думаете, сравним ли ДНС-резолвер ГРЧЦ имени Жарова по мощности и интеллектуальному оснащению с Яндексом?
Объяснялка документа выше для тех, кто не очень в технике и вообще что происходит:
Данным письмом некто (скорее всего - терруправление РКН) предупреждает 'правильных пацанов' о том, что они планируют, и это уже решённый вопрос, заблокировать сервисы публичного DNS. И чтоб указанные пацаны были осторожны и убрали из своих проектов все ссылки на Open-DNS. Ну, чтоб ничего не сломалось внезапно.
И это письмо очень типично - предупреждение идёт исключительно своим, а вот эти вот жалкие людишки, они как хотят потом. Типа, мусор и не стоит беспокойства.
А беспокойства таки много. Вот
1. Отвалится работа интернет-сервисов в самых неожиданных местах. Причем, веб-сервисы всякие - это мелочи. Там поменять настройки - три минуты времени.
А вот всякие устройства интернетов вещей - тут будет веселее. Всякие датчики, актуаторы, кассовые аппараты, камеры видеонаблюдения 'безопасного города' и б-г знает что ещё - все используют DNS. И чаще всего там как раз 'четыре восьмёрки', ибо надёжно и глобально. Китайцы ж всегда экономят.
2. Я прям вижу, как все эти мошенники из 'служб безопасности сбербанка' потирают потные ладошки и только и ждут отключения публичных DNS. Это ж миллиарды можно будет красть самой простой схемой фишинга. Представьте миллион фишинговых сайтов, которые будут неотличимы на странице входа от официального. И у всех будет реальное имя - lk.sberbank.ru. Ну, потому что хацкеры подменили днс-запрос. А сравнить его будет не с чем! Опен-ДНС же заблокировали.
Не, понятно, что разработчики браузеров что-то придумают. Но, напомню, есть ещё и приложения. А ещё - раз даже настоящих условиях каждый день обманывают тысячи людей, то когда уровень защиты снизится - количество краж вырастет на порядок.
3. Помните, как там продвигали ТСПУ? Типа, "защита от отключения извне", да? Теперь смотрите: видите в на картинке выше айпи-адрес?
Так вот. Чтоб обрушить систему, которую строит РКН, теперь не нужно много ресурсов. Достаточно задудосить указанный адрес. Или всю подсеть для надёжности.
И вот же буквально вчера Яндекс атаковали. И как вы думаете, сравним ли ДНС-резолвер ГРЧЦ имени Жарова по мощности и интеллектуальному оснащению с Яндексом?
👍7
По третьему пункту вот тут же прилетел отчёт Qrator про DDoS на Яндекс:
https://blog.qrator.net/ru/botnet-meris-rassleduem-ddos-ataku_143/
Теперь представьте, как будет вести себя так называемая НСДИ (национальная система доменных имён), если весь этот ботнет в качестве таргета выберет адреса:
195.208.6.1 / 195.208.7.1
Правильные адреса
forwarders { 195.208.4.1; 195.208.5.1; 2a0c:a9c7:8::1; 2a0c:a9c7:9::1;};
Пусть даже это и автономка от MSK-IX
https://blog.qrator.net/ru/botnet-meris-rassleduem-ddos-ataku_143/
Теперь представьте, как будет вести себя так называемая НСДИ (национальная система доменных имён), если весь этот ботнет в качестве таргета выберет адреса:
Правильные адреса
forwarders { 195.208.4.1; 195.208.5.1; 2a0c:a9c7:8::1; 2a0c:a9c7:9::1;};
Пусть даже это и автономка от MSK-IX
blog.qrator.net
Блог — Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета
Сегодня вместе с коллегами из Яндекс мы хотим поделиться текущими результатами совместного расследования деятельности нового ботнета Mēris. Расследование еще продолжается, но мы считаем важным поделиться уже собранной информацией со всей индустрией.
Forwarded from HERAKS
Проблемы с dns внутри облака Яндекс
getaddrinfo EAI_AGAIN ****.mdb.yandexcloud.net
https://status.cloud.yandex.ru/incidents/472?retpath=%2Ftimeline
EAI_AGAIN это проблема с DNS lookup
есть подозрение что это Роскомпозор постарался
было бы славно об этом написать
getaddrinfo EAI_AGAIN ****.mdb.yandexcloud.net
https://status.cloud.yandex.ru/incidents/472?retpath=%2Ftimeline
EAI_AGAIN это проблема с DNS lookup
есть подозрение что это Роскомпозор постарался
было бы славно об этом написать
Калининград #рукиизжопы одна из центральных улиц напротив памятника 1200 гвардейцам (что смешно само по себе)
👍1
Хорошая статья про Open Source на
Tadviser
Tadviser
TAdviser.ru
Что такое Open Source, и с чем его едят в наше время
В 2021 году российские власти снова обратили внимание на Open Source. О нём говорили на ПМЭФ, сейчас готовится стратегия развития Open Source. Одним словом, что-то зашевелилось, тронулось и поехало. Чтобы понять, куда и зачем, требуется хорошенько разобраться…
Forwarded from Сетевые Свободы
Привет, это адвокат Станислав Селезнев. Меня немного беспокоит, что российский интернет-регулятор занимается тем, что во всём мире называется кибератакой DNS-leak (утечка DNS)!
❗️В двух словах: любой, кто имеет доступ к DNS-серверам законным или незаконным способом, может не только отслеживать все ваши действия в интернете, но и перенаправлять ваши запросы на фальшивые ресурсы (фишинг).
🔸Первый способ защиты от «утечки DNS» — использование надежного VPN-сервиса. Но и против VPN Роскомнадзор начал бой.
🔸Вторым способом защиты может быть ручная настройка конфигурации DNS в каждом устройстве.
👍Настроим проверенный DNS для Wi-Fi в iOS
Откройте Настройки — WiFi — восклицательный знак в кружочке — DNS (ручная настройка) и впишите адреса доверенного сервера.
👍Настроим проверенный DNS для Wi-Fi в Android
Откройте Настройки — Wi-Fi. Затем долгое нажатие на наименование вашей wifi-сети — изменить. Затем измените настройки IP вместо DHCP в Static и в поля DNS впишите адреса доверенного сервера.
Не забудьте сохранить изменения. Если связь пропадет, то по этой же инструкции вы сможете вернуть настройки к стандартным, просто удалив внесенные изменения.
Адреса независимых серверов DNS:
✅OpenDNS 208.67.222.222 и 208.67.220.220
✅Cloudflare 1.1.1.1 и 1.0.0.1
✅Quad9 9.9.9.9 и 149.112.112.112
Есть и другие.
Оставайтесь сетевыми, оставайтесь свободными!
#советыпокибербезопасности
❗️В двух словах: любой, кто имеет доступ к DNS-серверам законным или незаконным способом, может не только отслеживать все ваши действия в интернете, но и перенаправлять ваши запросы на фальшивые ресурсы (фишинг).
🔸Первый способ защиты от «утечки DNS» — использование надежного VPN-сервиса. Но и против VPN Роскомнадзор начал бой.
🔸Вторым способом защиты может быть ручная настройка конфигурации DNS в каждом устройстве.
👍Настроим проверенный DNS для Wi-Fi в iOS
Откройте Настройки — WiFi — восклицательный знак в кружочке — DNS (ручная настройка) и впишите адреса доверенного сервера.
👍Настроим проверенный DNS для Wi-Fi в Android
Откройте Настройки — Wi-Fi. Затем долгое нажатие на наименование вашей wifi-сети — изменить. Затем измените настройки IP вместо DHCP в Static и в поля DNS впишите адреса доверенного сервера.
Не забудьте сохранить изменения. Если связь пропадет, то по этой же инструкции вы сможете вернуть настройки к стандартным, просто удалив внесенные изменения.
Адреса независимых серверов DNS:
✅OpenDNS 208.67.222.222 и 208.67.220.220
✅Cloudflare 1.1.1.1 и 1.0.0.1
✅Quad9 9.9.9.9 и 149.112.112.112
Есть и другие.
Оставайтесь сетевыми, оставайтесь свободными!
#советыпокибербезопасности
#людиработают
Прага, район Жижков, улица Коневова, координаты на Гугле 50.0877379, 14.4562577.
Оптика для CETIN, монтаж проводит Vegacom a.s.
Прага, район Жижков, улица Коневова, координаты на Гугле 50.0877379, 14.4562577.
Оптика для CETIN, монтаж проводит Vegacom a.s.