KaiTak

KaiTak

пикабушник
I’m really appreciate your comments... so fucking really!
поставил 9 плюсов и 15 минусов
отредактировал 1 пост
проголосовал за 1 редактирование
11К рейтинг 1376 комментариев 34 поста 10 в "горячем"
2

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source

Снова перескакиваю в описании рубежей защиты компьютера с пятого на десятое со второго на четвертое, но я автор, я так вижу. Тем более в предыдущей части затронул тему: даже жестко прописанное в файрволе правило для браузера не означает, что он не пойдет по скользкой дорожке – не загрузит чего нежелательное с открытого пользователем сайта. Или с вовсе даже не открытого пользователем, а по своей собственной инициативе.


Лирическое отступление: часто можно услышать рассуждения, будто программное обеспечение с закрытым кодом – зло, а с открытым (open source) – добро, ведь любой может этот код проверить, и даже если в нем есть что-то нежелательное, найти это, удалить и выпустить «чистую» версию программы без кейлоггеров и телеметрии.


Ну да, может, вот давайте на примере любимого всеми апологетами опенсорса браузера Mozilla Firefox посмотрим, что там с кодом, телеметрией и этим всем, что мы не любим в закрытом коде. Примером у нас будет Firefox последней на сегодня стабильной версии 67.0.4, 32-х битная редакция, русская локализация, установленная в ОС Windows 10.


Для начала мы правильно установим браузер, т.е. выберем тип установки «Выборочная» и откажемся от установки «Службы поддержки», единственное назначение которой – постоянно висеть в фоне, лазить на сайт Mozilla за обновлениями, скачивать и устанавливать обновления в фоне, не требуя от вас нажимать «да» в диалоговом окне Контроля учётных записей. В переводе на разговорный русский – хозяйничать на нашем компьютере, будто на своем.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия
4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Если эта служба уже была установлена вами, вы можете ее снести в соответствующем меню ОС. Нет, я не против обновлений как таковых, но лишь когда я считаю необходимым обновиться.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Итак, опенсорсный браузер установлен, первый запуск, ничего не трогаем (это важно!), просто запускаем Firefox и смотрим, куда он ломанется. А ломанется он как подорванный на 45 (сорок пять, Карл!) разных сайтов:

a1089.dscd.akamai.net

a19.dscg10.akamai.net

accounts.firefox.com

aus5.mozilla.org

autopush.prod.mozaws.net

balrog-cloudfront.prod.mozaws.net

blocklists.settings.services.mozilla.com

blocklists-settings.prod.mozaws.net

ciscobinary.openh264.org

d2k03kvdk5cku0.cloudfront.net

d6wjo2hisqfy2.cloudfront.net

detectportal.firefox.com

discovery.addons.mozilla.org

drcwo519tnci7.cloudfront.net

dyna.wikimedia.org

e15316.e22.akamaiedge.net

firefox.settings.services.mozilla.com

incoming.telemetry.mozilla.org

location.services.mozilla.com

locprod1-elb-eu-west-1.prod.mozaws.net

normandy.cdn.mozilla.net

olympia.prod.mozaws.net

pipeline-edge-prod-25-561439127.us-west-2.elb.amazona...

prod-tp.sumo.mozit.cloud

push.services.mozilla.com

reddit.map.fastly.net

redirector.gvt1.com

safebrowsing.googleapis.com

services.addons.mozilla.org

shavar.prod.mozaws.net

shavar.services.mozilla.com

snippets.cdn.mozilla.net

star-mini.c10r.facebook.com

support.mozilla.org

tiles.r53-2.services.mozilla.com

tiles.services.mozilla.com

twitter.com

wide-youtube.l.google.com

www.amazon.com

www.facebook.com

www.mozilla.org

www.mozilla.org.cdn.cloudflare.net

www.reddit.com

www.wikipedia.org

www.youtube.com

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Напоминаю, мы еще ничего не сделали, не отдали браузеру никакой команды, только запустили его, но он уже самостоятельно и не спрашивая нашего мнения, полез: обновляться сам, обновлять установленные плагины, обновлять различные черные и белые списки, синхронизироваться, загружать говноконтент по предустановленным ссылкам, сливать телеметрию и нашу геолокацию и куда-то еще.


Напомните мне, как называется форк опенсорсного Firefox’а, откуда вся эта самодеятельность вырезана? Это был сарказм в адрес апологетов опенсорса, остальным перевожу: открытый исходный код программы – вовсе не означает, что в нее не напихали тонну подобного (а то и покруче) дерьма. На этом закончим с опесорсом, и займемся настройкой Firefox, в том числе – попытаемся его отучить от самодеятельности.


Идем в раздел «Настройки» и начинаем шаманить. Первое, что я предлагаю отключить – разрешение сайтам загружать свои шрифты. Иногда это бывает симпатично, но в шрифты научились встраивать вирусы, а они нам не нужны. Настройки/Основные/Язык и внешний вид/Дополнительно...

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Прокручиваем меню настроек вниз и сталкиваемся с феерическим – нас не спрашивают, хотим ли мы обновлений браузера, нам дают выбор: просто ставить обновления без спросу, или при каждом запуске тыкать в лицо сообщением «Вышло обновление, скачать?» Еще недавно был третий вариант – «Не проверять обновления», но Windows 10 с неотключаемыми обновлениями задала новые стандарты наглости и самоуправства.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Выбираем наименьшее зло второй вариант и отключаем автообновление поисковых систем (о них ниже). Как все-таки заблокировать автообновление самого браузера внимательные читатели первой части догадаются сами?

Крутим еще ниже – отключаем назойливые «рекомендации», если, конечно, не хотите регулярно видеть всплывающие окна «Не желаете ли установить Х для вашего удобства?» Для своего удобства я желаю, чтобы ко мне не лезли с непрошенными предложениями; как вы – не знаю, решать вам.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Переключаемся на вкладку «Начало», как и что тут настраивать – дело вкуса (на скрине – как настроено у меня), я лишь настоятельно рекомендую отключить последний пункт – «Заметки». Уж как-нибудь сам обновлюсь, когда посчитаю нужным.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Вкладка «Поиск», тут снова дело вкуса, я показываю, как сделано у меня: удалены все поисковые системы, кроме наименее (ИМХО) любопытной, но и с нее снята галка «По умолчанию». Поисковые предложения, как и любые другие, Mozilla пусть запихнет себе в зад. И не забудьте отключить автообновление поисковых систем, о чем писано выше, а то весь список восстановится.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия
Во вкладке «Приватность и защита» я вас, вероятно, огорошу советом: отключить блокирование всего, кроме куки (для них выбрать режим «Все сторонние» или более щадящий – «Куки с непосещенных сайтов»). Почему я советую не блокировать трекеры и прочий шлак? Потому, что на самом деле ничего толком блокироваться не будет.
4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Эта пародия на блокировку происходит по черным спискам, составленным компанией Google, которая, на секундочку, номер один в интернет-шпионаже. Как думаете, сколько в этих списках трекеров самой Google? Правильно думаете, там только трекеры мелких конкурентов, не имеющих «соглашения о ненападении» с Google, зато обновляются эти списки – с серверов самого Google. Ну, такая защита от слежения...

Отключить сигнал «Не отслеживать» советую по другой причине: на него все класть хотели, он никого и ни к чему не обязывает, зато помогает в составлении «цифрового отпечатка» браузера. Проще говоря, вреда от этой нижайшей просьбы вести себя прилично больше, чем пользы (если она вообще есть).

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Раздел «История» и «Параметры...» – просто показываю свои настройки. Для лучшей защиты от отслеживания стоит, конечно, удалять при закрытии браузера и куки, но ведь задолбаешься заново на всех сайтах авторизовываться... Раздел «Разрешения», тут все просто: запретить все, блокировать все, перед прочтением – уничтожить! «Сбор и использование данных» – конечно, не разрешить ничего. «Защита» – нафиг (почему – см. выше, про трекеры).

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия
4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

И, наконец, идем на страницу дополнений и жмакаем на кнопку настроек там. Снимаем галку с «Автоматически обновлять дополнения» и тыкаем на строчку «Установить для всех дополнений режим ручного обновления». Это не лишает нас возможности обновлять дополнения, это дает нам возможность, обновлять их, когда мы этого захотим.

4 эшелон: блокировка интернет-шлака настройкой программ и кое-что об open source Firefox, Интернет, Информационная безопасность, Длиннопост, Настройки, Open Source, Телеметрия

Что ж, сохраняем настройки и перезапускаем Firefox. Потерял ли он привычку ломиться в сеть без спросу? Не совсем: аппетиты убавились в пять раз, но все же ломится на сайты:a1089.dscd.akamai.net

aus5.mozilla.org

autopush.prod.mozaws.net

balrog-cloudfront.prod.mozaws.net

detectportal.firefox.com

location.services.mozilla.com

locprod1-elb-eu-west-1.prod.mozaws.net

push.services.mozilla.com

shavar.prod.mozaws.net


Хотя бы не лезет на чужие сервера, уже хлеб. Впрочем, мы еще кое-что можем сделать – залезть в скрытые настройки, набрав в адресной строке браузера такой адрес: about:config Принимаем на себя риск, в появившейся поисковой строке вбиваем, например, aus5.mozilla.org и видим 5 настроек с этим адресом. Правой кнопкой мыши на настройке жмак, «Изменить», очищаем поле с адресом, ОК, и так 5 раз. Все, на этот адрес Firefox за обновлениями больше лазить не будет (будет на другие).


Хорошенько покопавшись в разделе скрытых настроек и сдобрив сие действо несколькими дополнительными строчками в файле hosts, можно добиться, чтобы опенсорсный браузер Firefox вел себя прилично, и никуда не лазил без спроса, а если полезет – получал по носу. Да, это потребует времени, но с волками жить... Добро пожаловать в киберпанк!

Показать полностью 13
9

Второй эшелон: блокировка интернет-шлака межсетевым экраном (файрволом)

Как и было сказано в первой части, блокировка нежелательного трафика с помощью hosts кроме плюсов – простота и низкие «накладные расходы», имеет и минусы: этот способ не отличается гибкостью и позволяет заблокировать доступ к определенному домену только для всех программ сразу.


Напротив, файрвол (от англ. firewall – противопожарная стена) позволяет гибко манипулировать трафиком, но создает некоторую дополнительную нагрузку на операционную систему и снижает скорость подключения к Интернету. Скорее всего, вы не заметите разницы, тем более на современном (не обязательно «игровом») компьютере, но упомянуть об этом стоит.


Хороший файрвол под Windows (об Android – ближе к концу) позволяет, например, разрешить только исходящие соединения с компьютера к определенному домену по определенному порту (протоколу) для определенной программы, а все остальные – запретить. Скажем, почтовый клиент (Outlook, Thunderbird или Bat) сможет получать и отправлять электронную почту с mail.ru, а все остальные программы к этому домену доступа не получат.


Почтовая программа (и только она) получит доступ к определенному серверу электронной почты (и только к нему) по протоколу отправки/получения электронной почты (и только по нему). Программы, которым нечего делать на почтовом сервере, доступа к нему не получат. Доступ к посторонним почтовым серверам, которыми не пользуется владелец компьютера, не получит даже почтовая программа. Доступа к протоколам связи, которые не предназначены для отправки/получения электронной почты, почтовая программа не получит (например, не сможет загрузить «трекер», встроенный в HTML-версию полученного письма).


Получается зона строгого режима, где шаг влево, шаг вправо, прыжок на месте – расстрел. Расстрел несанкционированного (пользователем) трафика средствами его компьютера, который и должен действовать исключительно в интересах своего владельца и по его команде, а не в интересах и по команде охочих до чужих данных компаний Microsoft, Google, Apple и других, о чем, благодаря повсеместной «телеметрии», уже начинают забывать. Кстати, «телеметрия» и прочие сования носа в пользовательские данные, файрволом тоже рубятся на ура.


Подробнее файрволы рассмотрим на примере одного из них – Comodo Personal Firewall (CPF). Сочтите за рекламу, ибо он мне, действительно, нравится, но выгоды с его восхваления я не получаю – продукт совершенно бесплатный (не имеет платной версии с расширенным функционалом, не содержит рекламы) и ссылка на него не реферальная.


Из плюсов CPF, кроме бесплатности, стоит выделить наличие интерфейса на разных языках, включая русский, совместимость с версиями Windows от XP до 10, долгую и положительную историю (первая версия была выпущена больше 10 лет назад), активное развитие и поддержку продукта, высокие места в рейтингах и тестах файрволов.


К минусам или, по крайней мере, спорным решениям стоит отнести тот факт, что производитель интегрировал CPF в состав бесплатного же пакета программ для обеспечения комплексной безопасности компьютера – Comodo Internet Security (CIS), куда также входят антивирус, «песочница» для запуска подозрительных программ в изолированной среде, модуль анализа поведения запущенных программ, модуль контентной фильтрации трафика и еще кое-что по мелочам, включая пару «партнерских» приблуд.


С одной стороны, большую часть программ из комплекта CIS, включая «партнерские», можно не устанавливать, с другой – часть из них является неотъемлемой частью пакета и может быть лишь отключена, но устанавливается всегда, что несколько перегружает интерфейс файрвола. Несмотря на это, мне CPF нравится и лично для себя не вижу альтернатив, хотя и пробовал конкурирующие продукты.


Итак, вы выбрали и установили файрвол, разумеется, внимательно читая вопросы установщика и отвечая на них в соответствии с собственными потребностями, а не бездумно соглашаясь с предложениями установить все подряд и настроить файрвол автоматически за вас. Допустим, вы остановили свой выбор на CPF/CIS, поскольку дальше я буду рассказывать на его примере, стараясь сделать рассказ максимально универсальным.


Итак, вы установили файрвол; первым делом – отключите его. Да, вы не ослышались: отключите, его нужно настроить прежде, чем начать пользоваться, а если вы будете заниматься первоначальными настройками на работающем файрволе, велика вероятность что все очень быстро закончится криком: ничего не работает, Интернет пропал, нахрен такой файрвол, с последующим удалением оного.


Файрвол (хороший файрвол) – мощный и многофункциональный инструмент, позволяющий тонко настроить его под свои нужды, что подразумевает наличие множества настроек, в которых следует сперва разобраться, чтобы понимать, как это работает и что вы делаете. Изучением настроек и следует заняться в первую очередь: пробегитесь по всем меню, изучите каждую настройку, если не понимаете ее смысла – поищите объяснение во встроенной справочной системе или на тематических форумах в Интернете, и только потом решайте, какое значение настройки подходит именно вам. Из универсальных советов я бы предложил следующее.


1. Удалите все предустановленные списки «надежных» программ, «доверенных» издателей программ и т.п. Кто надежен, кому вы доверяете – решаете вы и только вы, а не Comodo или кто-то иной за вас.


Крики файрвола типа «Приложение svchost.exe является важным, доверенным и безопасным ключевым компонентом ОС Windows, поэтому рекомендуется разрешить ему доступ в сеть!» – это лишь частное мнение, не более того. Компонент, действительно, важный, вот только куда ему нужен доступ – вас волновать не должно, вам нужно, чтобы этот важный компонент мог получить доступ к вашим DHCP и DNS серверам (иначе доступа к сети не будет), а не к серверам Microsoft, куда он радостно побежит сливать «телеметрию».


Вероятно, вам придется создать такие правила для svchost.exe:

- разрешить исходящее подключение к DHCP-серверу, порт 67;

- разрешить исходящее подключение к адресу 255.255.255.255, порт 67;

- разрешить исходящее подключение к DNS-серверу, порт 53;

- любые другие подключения – запретить.

Узнать IP-адреса своих DHCP и DNS серверов вы сможете, например, выполнив команду ipconfig /all в DOS-сессии (Google it!). Такой набор правил – типовой для обеспечения возможности подключения к локальной сети (а через нее – и выхода в Интернет), но может не подойти для вашего случая.


2. Отказывайтесь от всех предложений автоматически настроить файрвол за вас: таким образом вы можете задать настройки, которые вам не подходят, а потом долго искать, где изменить их значение. Настраивайте все только руками: это займет больше времени, но оно будет потрачено не впустую, а на изучение полезного программного продукта и его функций.


«Хотите автоматически настроить свою доверенную сеть с такими-то параметрами?» – услужливо спросит файрвол. Свою сеть – настроить хочу, а с какими параметрами – это я еще подумаю, спешить некуда, – рассуждаете вы и отвечаете «Нет, не хочу».


3. Вы должны знать не только что делаете, но и почему. В противном случае вы получите не защиту, а ложное чувство защищенности.


Нужно ли вам, чтобы файрвол фильтровал IPv6 трафик? Скорее всего, нет, но почему? Потому, что ваш интернет-провайдер, скорее всего, не поддерживает такие соединения и, соответственно, вам нечего будет фильтровать. А может и поддерживает, вы это должны выяснить сами, а не полагаться на мое мнение.


В CPF, как и во многих других файрволах, есть режим обучения – это когда каждая попытка соединения с сетью вызывает у него истошный вопль: «А-а-а, все пропало программа такая-то пытается подключиться к сети по такому-то адресу и порту!!! Что делать?» В первую очередь, не паниковать – это нормально ©, для того режим обучения и сделан. Внимательно читайте, что спрашивает файрвол.


Допустим, в сеть просится браузер – логично? Логично, можно подумать над этой просьбой: просили ли вы браузер выйти в сеть, то есть, набирали ли только что адрес какого-то сайта, или браузер полез «по своим делам»? А могут ли у браузера быть свои дела или только ваши? А на какой сайт браузер полез и по какому порту? Звучит муторно, знаю, но некоторое время помучайте себя игрой в детектива – потом будет намного проще.


Например, у меня для браузеров стоят такие правила:

- исходящие соединения на любой адрес (сайт) по портам 80 и 443 (стандартные порты для HTTP и HTTPS соединений) – разрешить;

- любые иные соединения (исходящие соединения на любые другие порты и любые входящие соединения) – запретить.

При таких правилах браузер может без спросу зайти на любой правильно настроенный сайт (в том числе по своим надобностям, но с этим я борюсь другими методами), а на шаг влево-враво-прыжок – автоматически получает по щам от файрвола, который уже не беспокоит меня лишними вопросами, а сам знает, что делать: блокировать. Но вы же помните, что этот пример – то, что удобно мне, а у вас могут быть иные потребности и решать только вам.


Другой пример: файрвол в режиме обучения сообщает, что приложение «Калькулятор» (между прочим, тоже доверенное – от корпорации Microsoft же!) желает выйти в сеть по адресу такому-то и порту такому-то. Ваша реакция? Будете играть в детектива или сразу нажмете кнопку «Агащаз»? Решать только вам, несмотря на кажущуюся мне очевидность ответа.


В итоге у вас должен получиться довольно скромный список приложений, которым разрешено подключение к сети по строго ограниченным адресам сайтов или протоколам и портам. Собственно, это уже упомянутый svchost.exe, через который Windows обеспечивает саму возможность программам подключаться к сети, браузер, почтовый клиент, мессенджер, качалка торрентов... Всему остальному в сети делать нечего, во всяком случае – в ваших интересах, а об интересах авторов этих программ вы печься не обязаны. Телеметрия? Автоматическое обновление приложений? Проверка лицензии? Не, не слышал – это не мои проблемы и на моем компьютере я их решать не позволю.


К сожалению, в процессе выяснения, кто с чем хочет соединиться, вы неизбежно столкнетесь с тем, что файрвол будет показывать вам IP-адрес (нечто вида 91.228.155.121), тогда как вы в браузере набирали «pikabu.ru» и знать не знаете, что такое IP-адрес и какой он у любимого сайта в данный момент.


Чтобы понять, куда лезет браузер (или другая программа) на самом деле, рекомендую бесплатную программу DNSQuerySniffer, которая покажет, к каким сайтам (сайтам, а не IP-адресам) в настоящий момент пытаются подключиться программы. Увы, программа не показывает, какое именно приложение к какому сайту хочет подключиться, придется немного поиграть в угадайку и пользоваться методом исключения (если кто знает лучший аналог – прошу в комменты).


Чтобы немного упростить себе жизнь, настройку файрвола лучше проводить в свободное время, когда можно посвятить себя этому священнодействию полностью, выгрузив все лишние программы, создающие «помехи» в процессе выяснения, кто куда лезет. Настраиваете правила для почтового клиента – перезагрузка компьютера, вручную выгружаете все лишние программы, запускаете только почтовый клиент, внимательно слушаете, куда он пытается подключиться, решаете – нужно ли это вам и вносите соответствующие правила в файрвол.


Теперь, как и обещано, о файрволе под Android, тем более, что разговор будет недолгим и грустным. Файрволы под Android существуют, но, увы, им далеко по функциональности до файрволов под Windows, к тому же для их функционирования требуется root.


Мне наиболее симпатичен AFWall+ но, по сути, все аналоги обладают тем же функционалом, сводящимся к простым правилам: запретить или разрешить определенному приложению доступ в Интернет. Отдельно можно разрешать или запрещать подключения через Wi-Fi и мобильную сеть, этим функционал и ограничивается. Прямо скажем, негусто, но хоть что-то, хотя технических препятствий для более гибкого управления трафиком на Android нет, но пока для этого придется руками править iptables, что явно задача не для рядового пользователя.


Для полноты картины стоит упомянуть и о файрволах для Linux и macOS/iOS, но тут совсем кратко: для Linux файрволы, разумеется, существуют, но я вряд ли скажу что-то новое тем мужественным людям, кто не забыл еще, как выглядит командная строка ;-) Что же касается маководов-айфонщиков... я никого не сужу, но если вы сознательно выбрали путь боли и страдания максимально закрытую от пользователя операционную систему, декларирующую в качестве нормы принцип: покорми собак и не ничего не трогай, все и так идеально, то... могу лишь поздравить вас с достижением идеала и не лезть в него своими грязными руками джейлбрейком.


Вопросы, замечания, битье ссаными тряпками? Пожалуйте в комменты!

Показать полностью
95

Ну, ФАС, у тебя и запросы – 2

Краткое содержание первой части: Федеральная антимонопольная служба с каких-то херов домоталась до мышей захотела узнать у обычного гражданина, что он имеет рассказать за реализацию автомобильного бензина и дизельного топлива. Пока гражданин думал, как ему схематически изобразить группу лиц, в которую входит его организация (надеюсь, похоже вышло)...

Ну, ФАС, у тебя и запросы – 2 ФАС, Бред, Текст

... ФАС прислала вдогонку табличку про реализацию нефтепродуктов в 2018 году, которую гражданину предлагалось заполнить и возвернуть в ФАС. И тут гражданин понял, что пора действовать, пока его не стали тягать еще и по поводу ограбления Тифлисского банка в 1907 году. Гражданин написал ответ ФАС:

В ответ на Ваш запрос, посланный на адрес ***, сообщаю, что, к сожалению, никак не смогу предоставить запрошенную Вами информацию по следующим причинам.


1. Указанный адрес создан и используется мною, физическим лицом, которое никогда не было связано каким-либо образом с юридическим лицом ***.


2. Я никогда не занимался реализацией автомобильных бензинов и дизельного топлива и мне ничего не известно о барьерах входа на рынки розничной реализации указанных товарных групп. По той же причине я не располагаю информацией и об их основных поставщиках.


3. В связи с вышеизложенным, смею полагать, что информация о лицах, входящих в одну группу лиц со мной, при всем моем уважении, не относится к компетенции Управления ФАС по ***.


4. Насколько мне известно, нефтяная компания *** была ликвидирована еще в 200* году <...>.

Если долго не буду писать ничего нового, знайте: я поясняю за бензины и дизельку ФАСу...

Показать полностью
786

Ну, ФАС, у тебя и запросы...


Есть у меня один старый адрес электропочты, скажем, yukos@mail.ru, в общем, первая часть – название реально существовавшей в свое время нефтяной компании, а вторая – публичный почтовый сервер. Не спрашивайте, зачем – так вышло, никакого злого умысла. Одноименной компании уже много лет не существует (это важно), а адрес остался и почта на него поступает. Мне, а не компании. Так было буквально до сегодняшнего дня, сегодня получаю феерическое послание:

Ну, ФАС, у тебя и запросы... ФАС, Бред, Длиннопост

Официальный запрос информации у компании, которой уже несколько лет не существует, по левому адресу, найденному в Интернете... Я, конечно, законопослушный гражданин, и постараюсь прислать в ФАС, что смогу... но пока только есть идея, как схематически изобразить группу лиц, в которую входит моя организация. Как-то так:

Ну, ФАС, у тебя и запросы... ФАС, Бред, Длиннопост
Показать полностью 2
16

Последний эшелон: административные меры против излишеств нехороших в Интернете

Нехорошо с первого эшелона защиты перескакивать сразу на последний, и не отказываюсь от намерения в будущем рассказать о промежуточных, просто для разрядки серьезной обстановки – пара случаев из практики решения проблем с... излишествами нехорошими при пользовании Интернетом.


Случай первый: как я боролся с вирусами у себя в конторе. Дано: локальная сеть в большом бизнес-центре, где наша контора занимает лишь несколько комнат, и два дятла, которые регулярно ловили какую-нибудь гадость на свой комп, а потом плакались, каялись, клялись, что в последний раз, и просили помочь – вычистить гадость. Проблема осложнялась тем, что один из них был шефом, а второй – сам раз в пару недель переустанавливал у себя на компьютере операционную систему. То есть, одному особенно гайки не закрутишь, а второму пришлось бы их закручивать регулярно, после каждой переустановки, а я не нанимался.


И тут мы переехали в новый офис, где Интернета не было от слова совсем, локальной сети – тоже. Все это пришлось проводить, разводить и поднимать самим, ставить свой сервер, настраивать его и вот это все. Другими словами, вместо своего маленького кусочка в чужой локальной сети у нас появилась своя собственная маленькая и симпатичная сетка. Со своим сервером и его админом в моем лице. И тут все заверте... перестало вертеться.


Я просто заблокировал на сервере доступ к загрузке файлов определенных типов, которые два упомянутых дятла регулярно скачивали, часто – помимо своей воли: .exe, .swf, .vbs и т.д. и т.п. Оно для работы надо? Оно для работы не надо, значит, не будет скачиваться от слова совсем. Почта? Только через корпоративный почтовик с антивирусом, шмонающим вложения прежде, чем получатель сможет их открыть. Аська? Дома будете аськать. FTP? У нас только один сотрудник работает с ресурсами по этому протоколу, у него и будет доступ.


На следующий день прибежал второй дятел: ой, у меня там не загружается... Что не загружается? Фильм... Мое лицо в этот момент. Дятел все понял и слинял.

Последний эшелон: административные меры против излишеств нехороших в Интернете Длиннопост, Интернет, Личный опыт, Сисадмин, Трафик

Через месяц решил поинтересоваться у шефа, все ли у него скачивается. Да вроде все, – задумчиво ответил он, – И чет вирусов давно не ловил...

Последний эшелон: административные меры против излишеств нехороших в Интернете Длиннопост, Интернет, Личный опыт, Сисадмин, Трафик

Случай второй: как я боролся с перерасходом трафика. Дано: средних размеров контора со средних размеров локальной сетью, которую подключили к Интернету по выделенке. До этого нуждающиеся сидели на модемах, остальные – сосали лапу и развивали фантазию. В первый же месяц перебрали трафик на 20%, во второй – на 50%, в третий – уже к 100% перебору подходили, а перерасход оплачивался по грабительскому тарифу.


Руководство конторы попросило принять технические меры по возвращению потребления трафика в разумные (читай – предоплаченные) рамки.

Вам шашечки или ехать надо в рамках оставаться или поставить вот это что-то такое для квотирования трафика? – уточнил я. Нам надо не переплачивать, – уточнило руководство, – а как будет реализовано – пофиг. Будет реализовано, – пообещал я.


Снял статистику потребления Интернета за последний месяц, составил рейтинг потребителей, распечатал подробности по Top-10 из них (куда и сколько раз заходили, сколько накачали в гигабайтах), и нанес дружественный визит каждому. Вручал распечатку наиболее популярных у потребителя трафика сайтов (о да, интересные были сайты), поздравлял с занятым местом, мимоходом упоминал, что в случае превышения трафика в следующем месяце, распечатка ляжет уже на стол руководству конторы. Как нетрудно догадаться, в следующем месяце трафик недобрали, причем с хорошим запасом.


Мораль: добрым словом и пистолетом Разумным сочетанием административных и технических мер можно достичь намного большего, чем одними техническими мерами.

Показать полностью 2
524

Первый эшелон: блокировка интернет-шлака через HOSTS


Давным-давно, когда Интернета еще не было, человечество собиралась поработить компьютерная сеть SkyNet ARPANET, к которой на пике ее расцвета было подключено аж несколько сотен компов. Поэтому список всех существующих необходимых в работе сетевых ресурсов и их адреса хранились на каждом таком компьютере, в файле HOSTS.TXT


С тех пор к уже глобальной Сети подключили еще сколько-то миллиардов компьютеров, смартфонов, телевизоров, утюгов и других устройств, которым доступны миллиарды сайтов, IP-адреса которых постоянно меняются. В общем, все стало сложно, но файл HOSTS.TXT (ныне просто hosts) остался и работает так же, как и 30+ лет назад.


Если кратко и без зауми, то работает он так: вы в браузере набираете «pikabu.ru» и ваша Windows/Android/iOS первым делом лезет в файл hosts на вашем устройстве – проверить, не сказано ли там что-нибудь про искомый сайт. Если не сказано, тогда начинаются DNS-запросы во внешний мир и прочая суета, к делу не относящаяся, а вот если сказано... то смотря что.


Нас интересует не все богатство возможностей манипуляций с этим файлом, а лишь одно из возможных (и, к слову, нецелевое) его использований – в качестве первого эшелона обороны от разнообразного интернет-шлака – рекламы, счетчиков, трекеров и прочей гнуси, любезно подсовываемой нам сегодня каждым первым сайтом.


С помощью файла hosts мы можем сказать своей операционной системе: ресурса, к которому ты собираешься обратиться, согласно инструкциям, полученным на открытом нами сайте, не существует, даже не пытайся его загрузить. Говорится это так: в «Блокноте» открывается файл hosts (обычно находится в папке C:\Windows\System32\Drivers\Etc), в него добавляется строчка, например, 0.0.0.0 googleads.g.doubleclick.net после чего файл сохраняется.

Первый эшелон: блокировка интернет-шлака через HOSTS Файл hosts, Информационная безопасность, Windows, Android, Интернет, Длиннопост, Блокировка рекламы
Все, большинство шлака от рекламной сети Google даже не загружается на наш комп, а сама Корпорация Добра лишается одной из возможностей шпионить за нами. googleads.g.doubleclick.net – это доменное имя, ресурсы с которого мы загружать не хотим. 0.0.0.0 – адрес, на который мы принудительно переадресуем все запросы к доменному имени googleads.g.doubleclick.net В данном случае этот адрес будет расценен операционной системой, как заведомо несуществующий, и запрос к нему будет сброшен.
Первый эшелон: блокировка интернет-шлака через HOSTS Файл hosts, Информационная безопасность, Windows, Android, Интернет, Длиннопост, Блокировка рекламы

Как узнать, какие доменные имена стоит заблокировать в hosts? Самый простой способ – скачать один из готовых и регулярно обновляемых списков, например, MVPS HOSTS. Плюсы – все уже сделано за вас, минусы – те же самые: в список могли добавить что-то лишнее, что именно вам не мешает и даже наоборот, а чего-то, мешающее именно вам, могли и не добавить.


Я добавляю вручную, узнавая имена мешающих мне доменов с помощью инструментов разработчика, встроенных в Firefox (в Chrome есть аналог). Инструменты/Веб-разработка/Сеть, «Обновите», клик на колонке «Домен», чтобы отсортировать список открытых страницей подключений по доменным именам.

Первый эшелон: блокировка интернет-шлака через HOSTS Файл hosts, Информационная безопасность, Windows, Android, Интернет, Длиннопост, Блокировка рекламы

И вот, на примере сайта РБК, видим кучу доменных имен, которые мы не заказывали – счетчик, рекламная сеть, снова счетчик, опять счетчик, и еще раз счетчик... (читай – шпионский модуль), и это лишь то, что на скриншот влезло, а если прокрутить вниз, там еще сюрпризы будут. Вот их-то ручками, ручками – ничего лишнего, но и никто не спрячется. Видим в колонке «Статус» пустое место вместо «200» или иного кода – все правильно сделал!

Первый эшелон: блокировка интернет-шлака через HOSTS Файл hosts, Информационная безопасность, Windows, Android, Интернет, Длиннопост, Блокировка рекламы

Если же надо отловить самовольные запросы к посторонним доменам от других программ или самой операционной системы, на помощь приходит DNSQuerySniffer. Например, хочет Windows 10 слить в сеть «телеметрию» (строго в наших же интересах, конечно), а мы не хотим: запускаем DNSQuerySniffer, смотрим в реальном времени список доменных имен, к которым идут обращения, понимаем, что сами мы в этом время не обращались ни к одному из них, открываем файл hosts, copy/paste...


В чем недостатки способа блокировки через hosts и почему мы говорим лишь о первом (а значит, не единственном) эшелоне обороны от интернет-шлаков? Первый и главный – он не предусматривает возможности использовать «маски». Т.е., если нам надо заблокировать такие доменные имена:

1.doubleclick.net

2.doubleclick.net

...

99.doubleclick.net

нам придется их все, поименно добавлять в hosts, вместо того, чтобы добавить одну «маску» – *.doubleclick.net.


Второй: hosts позволяет заблокировать доступ к доменному имени вообще, для всех сразу, без исключений. Заблокировать доступ только браузеру, а почтовому клиенту оставить – невозможно, для этого нужен полноценный межсетевой экран (файрвол).


В остальном же – одни сплошные плюсы: изменения, внесенные в файл, активируются сразу; даже большой файл hosts не нагружает систему и не приводит к зависаниям браузера, логика работы списка блокированных доменов прозрачна. И, самое главное, заблокировать домен с мусором сможет даже не самый продвинутый пользователь ПК.

Первый эшелон: блокировка интернет-шлака через HOSTS Файл hosts, Информационная безопасность, Windows, Android, Интернет, Длиннопост, Блокировка рекламы

На закуску – немного дополнительных знаний, для интересующихся. Если не нашли ответа на свой вопрос – комменты открыты ;)


1. В Android файл hosts расположен в директории: /system/etc/ Права на файл (CHMOD): 644 (-rw-r-r--) Доступ к этой директории возможен лишь при наличии root-прав. Символ переноса строки в файле: LF (про это часто забывают, копируя файл из Windows).


2. Правильно посылать нежелательные домены на три буквы 0.0.0.0 (в Windows можно для краткости просто на 0), а не на 127.0.0.1 В контексте файла hosts 0.0.0.0 означает «несуществующий адрес», обращение к которому сразу приводит к завершению соединения. А 127.0.0.1 означает вполне себе существующий адрес – он служит для имитации обращения к тому же самому компьютеру из сети. Т.е. вместо сразу «нет такого адреса» мы получим через какое-то (пусть и небольшое) время «никто не отвечает». Хотя в некоторых случаях могут и ответить, что чревато сбоем системы.


3. Файл hosts – первый, но не единственный (и даже не главный) эшелон защиты компьютера от интернет-шлака. Не стоит забывать про межсетевой экран, системы контентной фильтрации, плагины для браузера с тем же назначением, да и просто грамотную настройку программ, вылезающих в Интернет. А для ценителей – локальные прокси, позволяющие вволю поглумиться над своим трафиком, прежде чем допускать его до браузера.

Показать полностью 4
6

Тысячи фейковых приложений в Google Play: никогда такого не было, и вот опять!


Исследователи из Сиднейского университета прошерстили более миллиона приложений в Google Play и предсказуемо нашли среди них более 2.000, которые политкорректно назвали «потенциально поддельными».


С одной стороны, это всего 0,2% от исследованных приложений. С другой, Google Play, по заверению Корпорации Добра, это самый надежный источник приложений для Android, где строгая политика отбора, проверки и бла-бла-бла в интересах пользователей, чья безопасность для корпорации на первом месте.


Исследователи делают акцент на том, что популярностью у жуликов пользуются игры, популярные, в свою очередь, у пользователей Ведра, их чаще всего и подделывают, то есть выпускают имитирующие эти игры приложения, нафаршированные по самое не балуй рекламными и шпионскими модулями.

Тысячи фейковых приложений в Google Play: никогда такого не было, и вот опять! Google, Google Play, Android, Информационная безопасность, Мошенничество

Я же хочу обратить внимание на другое: среди подделанных приложений – само приложение Google Play, клиент YouTube, Google Maps, Chrome и другие производства Google. Т.е. в официальном и «надежном» магазине приложений для Android размещены подделки под приложения самой Google, имитирующие даже фирменные иконки, но Корпорация Добра – ни ухом, ни рылом, пока это не обнаружили сторонние исследователи. Хотя бы визуальный контроль? Не, не слышали, но продолжают ссать в уши потребителям про «безопасный магазин».


К чему я это? Да к тому, что когда вы сталкиваетесь с каким-то ограничением в своем смартфоне или планшете, якобы сделанным в интересах вашей безопасности – нельзя штатно загрузчик разблокировать или удалить предустановленный мусор, т.к. это якобы «системные приложения» и без них ничего работать не будет, вспомните про «безопасный» магазин «строго отобранных и проверенных» приложений, где безопасность и не ночевала. И задумайтесь: зачем на самом деле введено ограничение?

Показать полностью
2765

Как «Мегафон» пытался нагреть меня, а поимели его самого

Читаю чудесные истории про «Мегафон» (да и других операторов) и вспоминаю свой недолгий роман с ним. Надо было завести временную симку, не помню для каких нужд, и вот буквально с первого дня «Нас не слышит полстраны!» пытался взгромоздиться на меня, даже не поцеловав :-(


Фабула вкратце: заключил в «Евросети» контракт по критерию «самый дешевый, временно попользоваться, без абонентки и наворотов». Посоветовали «Мегафон», к «Евросети» претензий нет – тариф всем требованиям соответствовал, но дальше – при заходе в личный кабинет на сайте «Мегафона» обнаружился пакет «допуслуг», не входящих в тариф. Весь этот мусор в течение получаса после активации симки был отключен, а уже на следующий день – начинается роман в письмах (публикуется с сокращениями).


Я: При подключении номера 926-XXX-XXXX на нем был баланс 200 рублей, сегодня – 198 руб. 39 коп. В присланной детализации нет платных услуг – только входящие SMS. Вопросы:

1. Куда исчезли 1 руб. и 61 коп. со счета?

2. Почему их исчезновение никак не отражено в присланной детализации услуг?


Мегафон: По данным системы списание денежных средств происходило за услугу "живой баланс". Для отключения услуги наберите 134*0# и нажмите клавишу вызова.


Я: У меня было 2 вопроса, на второй ответа не получил: почему списание денежных средств не было отражено в детализации услуг? По поводу первого вопроса – самого списания: я не заказывал подключение услуги «живой баланс», и отключил ее сразу после покупки SIM-карты. Услуга была самовольно подключена оператором, т.е. это - навязанная услуга.

Надеюсь, мне не придется объяснять, как такие «услуги» и списание средств за них квалифицируются с точки зрения законодательства. Верните незаконно списанные средства на счет и будем считать этот вопрос исчерпанным. На второй вопрос - про отсутствие упоминания основания списания в детализации услуг - по-прежнему жду ответа.


Мегафон: Списание было за абон. плату по услуге Живой баланс. В детализации отображаются Ваши звонки, смс, ммс и интернет сессии. Абон. плата не является ни звонком, ни смс, ммс или интернет-трафиком. Поэтому, она там не отображается.

Ну, эту сказку про белого бычка я уже слышал неоднократно, поэтому пишу новое письмо, только другому адресату – в Роспотребнадзор.


ОБРАЩЕНИЕ


ХХ.ХХХХХХ.201Х г. мною был приобретен комплект «Мегафон Стартовый» в составе SIM-карты оператора подвижной телефонной (мобильной) связи ОАО «Мегафон» (Россия, 115035, Москва, Кадашевская наб., 30) с абонентским номером (926) ХХХ-ХХХХ.


Согласно предоставленным мне при покупке продавцом сведениям, указанная SIM-карта была подключена по тарифу «Все просто», предусматривающим отсутствие абонентской платы за обслуживание номера. Также при покупке мне было сообщено, что на балансе номера (926) ХХХ-ХХХХ будет находиться сумма в 200 рублей, которая может быть потрачена мною в полном объеме на получение услуг связи от ОАО «Мегафон» в соответствии с тарифами указанного оператора.


В тот же день, зайдя в раздел «Личный кабинет» официального сайта ОАО «Мегафон» https://lk.megafon.ru/ я убедился в достоверности предоставленной мне продавцом информации в отношении тарифа, его условий и суммы на балансе. Одновременно мною было установлено, что на вышеуказанный номер подключены дополнительные услуги, не предусмотренные тарифом «Все просто», а именно:

- «Живой баланс» стоимостью 45 рублей в месяц;

- «Интернет XS» стоимостью 7 рублей в день;

- «Кто звонил +» стоимостью 16 рублей 78 копеек в день.


Поскольку эти услуги не были заказаны мною и я не нуждался в них, в тот же день – ХХ.ХХХХХХ.201Х года они были отключены мною путем соответствующих действий в разделе «Личный кабинет». Полагаю, что эти услуги были подключены ОАО «Мегафон», поскольку при покупке SIM-карты она была передана мне продавцом в «невскрытом» состоянии, в виде единого пластикового блока, исключавшем возможность ее использования в современных телефонах до момента продажи.


ХХ.ХХХХХХ.201Х года при посещении раздела «Личный кабинет» я заметил, что баланс номера (926) ХХХ-ХХХХ уменьшился с 200 рублей до 198 рублей 39 копеек. Поскольку на тот момент я не использовал никаких платных услуг связи по указанному номеру, я запросил у ОАО «Мегафон» детализацию оказанных услуг. В присланном по моему запросу файле отсутствовали сведения о каких-либо списаниях средств с моего счета.


В связи с этим мною были отправлены 3 запроса в службу поддержки абонентов ОАО «Мегафон» (приложены к настоящему обращению), в которых были поставлены вопросы о:

- основании списания суммы в размере 1 рубль 61 копейка;

- причине, по которой списание не было отражено в детализации услуг.


Согласно полученным от службы поддержки ответам, основанием для списания с моего счета суммы в размере 1 рубля 61 копейки являлась абонентская плата за услугу «Живой баланс». Списание не отражалось в детализации услуг, поскольку оно «было за абонентскую плату, а в детализации отображаются звонки, SMS, MMS и интернет-сессии».


Согласно п.3 ст.16 действующей редакции Закона РФ от 7 февраля 1992 г. № 2300-I «О защите прав потребителей», продавец (исполнитель) не вправе без согласия потребителя выполнять дополнительные работы, услуги за плату. Потребитель вправе отказаться от оплаты таких работ (услуг), а если они оплачены, потребитель вправе потребовать от продавца (исполнителя) возврата уплаченной суммы.


В связи с вышеизложенным, мною было предложено ОАО «Мегафон» вернуть на баланс номера (926) ХХХ-ХХХХ сумму в размере 1 рубль 61 копейка, списанную за оказание дополнительных платных услуг, согласия на оказание которых я не давал, и от которых я отказался в тот же момент, когда мне стало известно о намерении ОАО «Мегафон» оказывать мне указанные услуги. Однако мое предложение осталось без ответа, а вышеупомянутая сумма не была возвращена на баланс номера (926) ХХХ-ХХХХ.


Согласно п.2 ст.16 действующей редакции Закона РФ от 7 февраля 1992 г. № 2300-I, запрещается обусловливать приобретение одних товаров (работ, услуг) обязательным приобретением иных товаров (работ, услуг). Убытки, причиненные потребителю вследствие нарушения его права на свободный выбор товаров (работ, услуг), возмещаются продавцом (исполнителем) в полном объеме.


Согласно положениям ст.10 действующей редакции Закона РФ от 7 февраля 1992 г. № 2300-I, изготовитель (исполнитель, продавец) обязан своевременно предоставлять потребителю необходимую и достоверную информацию о товарах (работах, услугах), обеспечивающую возможность их правильного выбора. Информация о товарах (работах, услугах) в обязательном порядке должна содержать цену в рублях и условия приобретения товаров (работ, услуг), в том числе при оплате товаров (работ, услуг) через определенное время после их передачи (выполнения, оказания) потребителю.


В связи с вышеизложенным и в соответствии с полномочиями, предусмотренным п.4 ст.40 действующей редакции Закона РФ от 7 февраля 1992 г. № 2300-I, прошу:

1. выдать ОАО «Мегафон» предписание об устранении нарушения в отношении меня обязательных требований, установленных ст.16 указанного Закона, и возврате на баланс номера (926) ХХХ-ХХХХ суммы в размере 1 рубля 61 копейки, списанной за оказание дополнительной платной услуги;

2. провести проверку действий ОАО «Мегафон» на предмет наличия в них признаков нарушения прав потребителей, предусмотренных ст.10 и ст.16 указанного Закона, выражающегося в предположительно массовом оказании дополнительных платных услуг новым абонентам, а также в непредставлении им сведений, предусмотренных ст.10 указанного Закона;

3. по результатам проверки рассмотреть вопрос о возбуждении административного производства по признакам административного правонарушения, предусмотренного ст.14.7 и ст.14.8 Кодекса Российской Федерации об административных правонарушениях.


ФИО, дата


Приложения:

1. Копия 3-х обращений в ОАО «Мегафон»

2. Кассовый чек на приобретение комплекта «Мегафон Стартовый»

3. Копия пластикового блока комплекта «Мегафон Стартовый» с извлеченной из него SIM-картой.

Ну и шо ви таки себе думаете, этот жидюга потом таки два года судился ради несчастных 1 руб. 61 коп.? Ни в коем случае, как и написал Роспотребнадзор (примерно через месяц после моего обращения), «по ошибке» уворованные «Мегафоном» деньги уже были возвращены мне.

Как «Мегафон» пытался нагреть меня, а поимели его самого Мегафон, Роспотребнадзор, Длиннопост, Воровство, Личный опыт, Негатив, Мошенники, Обман

Ясно, что никакая это не ошибка, а спланированная политика по воровству денег у абонентов – авось не заметят, авось поленятся требовать возврата своего, авось на одного шибко умного и выежистого найдется сотня тех, кто махнет рукой и не станет требовать возврата украденного. И эти жулики оказываются правы, раз годами воровали, воруют и будут воровать. Или не будут, мы им не позволим?

Показать полностью 1
Отличная работа, все прочитано!