Как много интересного становится известным, когда начинают копаться в недрах как продвигаемого всеми правдами и неправдами мессенджера MAX 📲, так и компании, которая числится его владельцем:
➡️ официально заявляемая слежка за пользователями и отправка данных на зарубежные сервера
➡️ использование чужих библиотек от недружественных стран 🇺🇸
➡️ для пользования MAX нужно знание только зарубежного ПО, которое в России запрещено в госорганах
➡️ принадлежит компании из 2-х человек, которыми руководит 71-летняя гражданка, являющаяся директором еще в 11 фирмах; у компании нет лицензий ФСТЭК и ФСБ 👵

ЗЫ. Минцифры 🔢 и Госдума точно понимают, за что они ратуют и что пытаются навязать, как минимум, чиновникам, а как максимум - всем россиянам? 🤦‍♂️

#мессенджер

Cloudflare у себя в блоге написал, что начиная с 9 июня российские пользователи не могут подключиться к серверам, защищенным Cloudflare. Юридически не очень понятно, на каком основании российские операторы связи блокируют доступ к Cloudflare, но очевидно, что они выполняют распоряжение РКН 🔢 Не буду в очередной раз писать про стрельбу себе в ногу 🤦‍♂️, обращу внимание на проблему в контексте безопасности.

Cloudflare часто используется для защиты и ускорения веб-сайтов. А сервис Let's Encrypt предоставляет бесплатные SSL/TLS сертификаты для шифрования трафика между браузером пользователя и сервером 🔐 Так вот многие сайты, особенно небольшие, из сферы малого и среднего бизнеса, не говоря уже о личных, используют Cloudflare для автоматического получения и обновления сертификатов Let's Encrypt, особенно если включено проксирование SSL/TLS в Cloudflare 🔑

Соответственно, если Cloudflare заблокирован, то сайты, полагающиеся на него для получения и обновления сертификатов Let's Encrypt, могут столкнуться с проблемами 🍑 Автоматическое продление сертификатов может перестать работать, что приведет к истечению срока действия сертификатов и, как следствие, к проблемам с безопасным соединением. Кроме того, проверка отозванных сертификатов осуществляется через ресурс lencr.org (у меня так, по крайней мере), который хостится у Cloudflare, что не позволяет проверять актуальность сертификатов Let's Encrypt, даже если они не были выданы Cloudflare 👎

Так выглядит теория. На практике все немного иначе 🧐 Let’s Encrypt использует домен lencr.org как точку доступа для OCSP-запросов и CRL. И да, Let’s Encrypt использует Cloudflare как CDN для своих OCSP и CRL endpoint’ов, чтобы обеспечить быструю и геораспределенную доставку сведений по сертификатам. Если Cloudflare заблокирован, то уже выданные сертификаты продолжают работать, так как проверка цепочки доверия не зависит от lencr.org. Корневой сертификат и цепочка Intermediate → Root — хранятся локально, в хранилище браузера 🖥

А вот проверка отзыва (OCSP) может не работать. Если браузер не может связаться с OCSP-сервером (в нашем случае lencr.org через Cloudflare), то он не получит статус "Good" или "Revoked". Но что делает браузер дальше — зависит от политики Fail-Open или Fail-Closed:
✔️ Почти все массовые браузеры (Chrome, Firefox, Safari) 📱 работают в режиме Fail-Open - если OCSP недоступен, они считают сертификат валидным, чтобы не ломать работу Интернета. И такое "доверие" будет вечным, пока не станет доступным OCSP (да, это дыра и возможность для мошенников).
❌ Fail-Closed (жесткий отказ при недоступном OCSP) применяется только в небольшом числе сценариев - например, для EV-сертификатов или корпоративных политик 🔐

Что реально сломается? Для большинства пользователей Интернета ничего. Но отдельные приложения или системы, которые настроены достаточно строго (например, банковские или финансовые системы со строгими CRL/OCSP проверками), могут отказать в соединении ❌

Для владельцев сайтов с сертификатами Let's Encrypt могут быть проблемы. Для продления Let’s Encrypt использует ACME протокол, который обращается, например, к домену acme-v02.api.letsencrypt.org и этот домен тоже защищен через Cloudflare. Следовательно запросы по API будут блокироваться и обновить сертификат будет нельзя → он истечет через 90 дней (стандартный срок сертификатов Let's Encrypt) ❌ Можно было бы настроить OCSP Stapling на сервере, но так как доступ все равно пойдет через Cloudflare, то эффекта это не даст. Можно попробовать сделать свой OCSP-прокси, но это нетривиальная с точки зрения поддержки история. Остается только менять удостоверяющий центр (CA) 🍑

Если сайт целиком находится за Cloudflare и он используется как CDN и TLS-терминатор (Universal SSL), то сайт вообще будет недоступен, не важно, кто выдал сертификат (Let’s Encrypt или сам Cloudflare) 🤷‍♀️

По данным сервиса StatOnline на май 2025 года в России 80,8% сайтов имело сертификаты от Let's Encrypt.

ЗЫ. У меня сайт под защитой Cloudflare и сертификаты выдан Let's Encrypt, но доступ к нему вроде работает без проблем.

#суверенитет #pki #криптография

Тут все прекрасно... 😍

#мессенджер

⚡️ Против МАХ начали информационную атаку: кому мешает российский мессенджер?

❗️ Российский мессенджер МАХ, ещё толком не успевший закрепиться на рынке, уже стал объектом целенаправленной информационной атаки. Как только в стране появился по-настоящему надёжный и полностью отечественный сервис с гарантией конфиденциальности данных, в Telegram-каналах и соцсетях всплыли обвинения сомнительного характера. Авторы публикаций бездоказательно утверждают, что МАХ якобы может передавать данные за рубеж, поскольку использует решения с открытым исходным кодом.

✖️ Однако подобные заявления не выдерживают никакой профессиональной критики. На деле вся инфраструктура мессенджера размещена исключительно на территории России, а пользовательские данные хранятся в отечественных дата-центрах. Отсутствие связей с международными сетями делает утечку за пределы страны физически невозможной. Более того, команда разработчиков использует только российские технологии, а продукт создавался с нуля под стандарты внутренней безопасности.

✔️ Надёжность мессенджера подтверждается и регулярными внутренними аудитами, и привлечением независимых российских компаний для внешнего тестирования. Это обеспечивает двойной уровень контроля и максимально снижает риски. Что касается использования open source — это международный стандарт. Такие компании как Google, Microsoft и Яндекс давно используют открытые библиотеки, дополняя и адаптируя их под собственные нужды.

⚫️ Разумеется, код в МАХ адаптирован и проверен: он не передаёт никакие данные вовне, не связан с внешними ресурсами и полностью прозрачен для служб безопасности. Утверждать, что сам факт использования открытого кода опасен — значит вводить людей в заблуждение. Опыт тысяч крупных компаний, а также независимых специалистов, говорит об обратном: это не только безопасно, но и технологически эффективно.

◼️ Так что очевидно: атака на МАХ — не про безопасность. Это попытка дискредитировать отечественный продукт, который набирает популярность. А значит, мешает тем, кто не хочет видеть Россию технологически независимой. Пользователи же могут быть уверены: за мессенджером МАХ стоит реальная работа специалистов, а не пустые обвинения в сети.

Осташко! Важное | подпишись | #важное

Часто между искренним намерением что-то сделать и самим действием оказывается огромная пропасть 😱 В нашем сознании и жизни все устроено куда сложнее, чем просто взвешивание «за» и «против». Даже если польза очевидно превышает затраты, мы все равно можем не решиться на шаг. Чтобы разорвать этот замкнутый круг и научиться действовать тогда, когда это действительно нужно, сначала важно понять, как устроен наш разум. Об этом часто забывают многие, считая, что они делают жизнь вокруг себя или для кого-то только лучше (и это не только про мессенджер MAX 🤣). Об этом написал в блоге...

#психология #аутентификация

История с прошлогодней (на самом деле с 2019 по 2024 годы) утечкой персданных 109 миллионов абонентов AT&T 📡 похоже подходит к концу. Суд вынес предварительное решение о выплате 177 миллионов долларов компенсации, с которым AT&T предварительно согласилась 🆗 Каждый из пострадавших абонентов, чьи данные были опубликованы в Даркнете, получит от 2500 до 5000 долларов в зависимости от того, насколько сильно он пострадал. Еще 13 миллионов AT&T выплатила Федеральной комиссии по связи, проводившей свое расследование. Это, конечно, не оборотные штрафы как в России (всего 0,14% от годового оборота), но тоже солидно 🤑

#ответственность #утечка #персональныеданные

Ну вот и материалы с вебинара по безопасности (от) подрядчиков подоспели - видео-запись, презентация и пять примерных перечней категорий подрядчиков для розничного банка, ритейла, сельскохозяйственного мероприятия, нефтяной и ИТ-компании 👀

#мероприятие #supplychain