Эшер II
12.7K subscribers
250 photos
7 videos
41 files
1.44K links
Канал «Неугомонного Фила» про блокировки
Сайт: https://usher2.club
Бот: https://t.me/u2ckbot

Поддержите меня: https://t.me/usher2/780

#позиция #ликбез #donate #вещества
#doc #regulation #экскурс #история

Контакт: @schors
Download Telegram
to view and join the conversation
#dns Немного о безопасности и частично о противодействии блокировкам. Как вы помните, я регулярно интересуюсь и разговариваю про DNS.

Сегодня мне «прилетело» обновление браузера Firefox 63. DNS-over-HTTPS теперь можно настраивать прямо из обычных настроек (настройки сети в FireFox). Что это даёт? Защита от перехвата ваших запросов DNS и например блокировки сайтов по результатам перехвата.

Что туда можно поставить, в этот DoH

1.1.1.1 или 1.0.0.1
https://cloudflare-dns.com/dns-query
https://dns.google.com/experimental
если есть IPv6 2606:4700:4700::1111
#dns Я знаю, что ничего не знаю. Казалось бы я считаю себя специалистом по DNS, но читатели открыли мне нечно новое. Оказывается существует работающая программа для Android (до 9-ой версии, где это «из коробки») с DNS-over-HTTPS:
https://play.google.com/store/apps/details?id=app.intra
https://github.com/Jigsaw-Code/Intra

Давайте попробуем и поделимся впечатлениями и тестами
#dns «новость о чем-то не приходит одна». Сегодня день DNS. Внимательные читатели прислали мне ссылку на статью на Хабре с ещё одной новостью. Оказывается, Google недавно тихо и без помпы (и вообще без объявления) открыл на свох 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888, 2001:4860:4860::8844 DNS-over-TLS. Да, настоящий, c SSL-сертификатом в том числе на IP-адреса (последние дни настают, да). Похоже там и DoH есть, но неясно как это проверить и какой URL.

https://habr.com/post/427639/
#dns 31 октября около 23 часов по Москве (UPDATE: около 19:40, т.е. он часа 4 провалялся) у Яндекса упал их DNS из Яндекс.Коннекта. Хорошо так упал и полежал. Я не мониторю их DNS, не знаю точно сколько. Не знаю, были задеты публичные кэширующие DNS. Я в это время ужинал (ночью на болоте, да) и просматривал семейно м/ф "Букашки. Приключение в долине муравьев" (рекомендую, кстати). Подхожу я к компу и гаджетам. У меня вся личка в социалочках завалена вопросами: "Роскомнадзор заблокировал DNS Яндекса?" Впрочем, и службе поддержки моего хостинга даже досталось.
1. Роскомнадзор, пожалуйста, сделайте какую-нибудь систему мониторинга чувствительных сервисов. Чтобы сразу было понятно "да, это мы", или "да тут и без нас умельцы нашлись". Выяснять, кто из вас набедокурил со стороны не всегда сподручно.
2. Яндекс, технические проблемы у всех бывают, и не могу сказать, что они у вас выше нормы. Но вы хоть мякните куда для ориентации. UPDATE: Да, 4 часа лёжки уже повод мякнуть
#dns Я рекламировал программку для Android, реализующую DNS-over-HTTPS: https://t.me/usher2/499
CloudFlare выпустила программку и для iOS, и для Android для использования своих защищенных серверов DNS.
Для iOS: https://itunes.apple.com/ru/app/1-1-1-1-faster-internet/id1423538627
Для Android: https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

Я кстати рекомендую использовать защищенный DNS. Это может не «имба», но это даёт толчок развитию технологий, уменьшает зловредное использование перехвата. Давайте вместе идти из мракобесия к звездам.
#dns 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC

Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786

Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен

Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)

DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)

DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0

Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c

👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
#dns ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Вот начали сверлить сейф. Не фигурально. Реально сверлить физический сейф:
https://twitter.com/joao_damas/status/1228382028808114177

☝️ Роскомадзор и Минцифра не ответили на запрос канала «Эшер II» по ситуации с подписью корневой зоны (подозреваю, что они до сих пор ищут человека, который бы пояснил им суть вопроса). Координационный центр национального домена RU/РФ так пояснил мне своё видение ситуации: «Координационный центр располагает только публично доступной информацией о переносе Root KSK Ceremony 40 по причине неисправности оборудования. По информации ICANN рисков нарушения безопасности и функционирования DNSSEC нет»

🤘 Кстати. Обратите внимание. Сломался сейф — возникла проблема. Вот так выглядит подход к процедурам безопасности. И да, теперь сверление или запасной сейф в другом штате. А не постулаты «верьте нам, мы же серьёзные» и «ну вы же понимаете»
#dns ⚡️⚡️⚡️ 12 февраля 2020 должна была состояться очередная церемония переподписи (DNSSEC) корневой доменной зоны. Но что-то пошло не так. Пришлось сверлить сейф. Реальный физический сейф. Процедура затянулась, сейф успешно вскрыли, но с опозданием:
https://twitter.com/joao_damas/status/1228801833394565121

Мировой DNS спасен. Церемония была проведена:
https://twitter.com/kjd/status/1228868749622566912

Видео с церемонии можно посмотреть на официальном сайте IANA:
https://www.iana.org/dnssec/ceremonies/40

P.S. Хорошо, что всё хорошо закончилось. Уровень заинтересованности и экспертизы заинтерсованных российских органов и организация я «записал в книжечку»
P.P.S. Процессом интересовался мой же чатик в telegram по DNSSEC https://telegram.me/joinchat/AL6jEUFFW5TFS1s3pZMMjg и мой канал
#dns Кстати о доменах и Национальной системе доменных имен. Вдруг кому-то интересно с ней ознакомиться. Официальные инструкции подключения:
https://usher2.club/docs/Инструкция_для_ОС_по_подключению_к_НСДИ_v3.pdf
https://usher2.club/docs/Утвержденная_инструкция_по_НСДИ.pdf
#sainthighload2021 #dns 🎥 Я не только слежу за Роскомнадзором. Я тот самый общественник, который не настоящий общественник, а так, по дороге зашёл. В сентябре я выступил на конференции Saint Highload++ 2021 в Санкт-Петербурге. Я сделал краткий технический обзор про безопасность DNS и текущее состояние оной безопасности:
https://youtu.be/zDFSFlRSG-A

⚠️ Держитесь подальше от торфяных болот

Перед докладом тема была очень подогрета, что, конечно же, повлияло на доклад

Презентация сделана на LaTeX и размещена на GitHub:
https://github.com/schors/shl2021-secure-dns