Information Security
Legislation in IT
Comments 81
+1
Я правильно понимаю, что один ключ используется и для Почты, и для Диска, и для Денег...?
Т.е. официально запросив ключ «письмо прочитать», получаешь доступ и к денежным транзакциям, и всем файлам и т.п.?
Интересно, как скоро появится «дайте нам кнопку, чтобы мы могли слушать все-все-все через ЯндексСтанцию с Алисой»…
+13

Не хотите, чтобы вас слушали — не покупайте ЯндексСтанцию и вообще не пользуйтесь Алисой.
Или смиритесь с фактом, что вас слушают.
Всё просто.

-3
Именно так.
Грущу, что Google Home Mini русский до сих ор не поддерживает. Но Яндекс.Станцию покупать не собираюсь.
+11

Гугл хоум будто бы не слушает. Вопрос только, поделится ли записью с товарищмайором или перестанет работать без впн.

+5
С нашим не поделится. Криминалом, тем более способным заинтересовать Интерпол, я не занимаюсь.
Прослушивающим Google Home я не интересен. А вот прослушивающим Яндекс.Станцию… Сейчас может и нет, но как знать…

Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель.
+5
С нашим не поделится.

Почему вы так решили? Разве гугл не имеет офиса в России, который создан для того чтобы легально здесь работать? Не будут делится — потеряют рынок. Вопрос всегда в балансе между запросом и репутацией компании. Если запрос не слишком наглый и не слишком публичный — гораздо проще на него дать положительный ответ, чем начинать еще одну войну.
+11
Вопрос не в «выдаст-не-выдаст по официальному запросу конкретно мои данные». Скорее мое внутреннее ощущение, что наш товарищ майор вряд ли будет писать официальные запросы, получать решение суда и заниматься прочей формалистикой для доступ к моим данным в своих личных целях. Криминалом, напомню, я не занимаюсь.
А вот вероятность, что Google (причем глобальный, а не Россйиский офис, у которого и ключей-то никаких нет), отдаст все ключи всех пользователей без разбору… Для меня это выглядит крайне маловероятным.
Такой риск я вполне готов принять.
0
Надо же, как интересно получается…
Комментарии в основном плюсуются, аж рейтинг поднялся. И при этом карма упала существенно…
-3
Скажите, а что у вас за анальная необходимость покупать колонку? Не яндекс, так гугл, не гугл, так амазон…
+3
Например, мне удобно голосом управлять светом. Причем не один выключатель на потолок, как было сделано изначально, а индивидуально светильниками над столом, над кроватью…
Остальные плюшки типа голосом начать воспроизведение желаемой музыки тоже неплохо. Особенно, когда руки чем-то заняты, грязные и т.п.

P.S. Смею заметить, ваш способ формулировать вопрос меня несколько удивил.
+1

Существует субкультура, в которой понятие «аналькое рабство» (информационное) — одно из ключевых.

0
Уже неделю как поддерживает. И Гугл Хоум хаб. У меня и то, и то уже говорит по русски
0
Увы. Только у избранных :)
Судя по 4pda русский периодически поддерживается то у большего, то у меньшего количества пользователей. Возможно тестируют на рандомных группах. У меня не завелось.
Впрочем, даже из тех, у кого русский включился, не все гладко. Вплоть до того, что из-за ухудшения распознавания английского некоторые добровольно обратно на только английский вернулись. Глюки с рутинами опять же…
Так что, пока официально не поддерживает. Но надежда живет :)
0
так всех нас ждет
Обязательная предустановка российских приложений, аналогичных по функциональности зарубежным приложениям

Так что Алиса будет в каждом смартфоне и планшете.
+2

А кто нибудь вообще понимает, о каких "ключах шифрования" идёт речь? Что это в контексте Яндекса? Ключи авторизации по SSH, MITM для прослушки HTTPS-трафика? Или теперь это стало термином, понятным обывателям, и теперь можно употреблять везде, где ФСБ просит доступ?

0
насколько это понятно из статьи, речь идет о сессии в почте и диске.
0
То есть, они хотят получить сессионные ключи ssl? Ну удачи
+1
Думаю, они вполне удовлетворятся «ключем» по которому получат доступ к почте/диску и логам. А то что «ключ» не будет иметь никакого отношения к ssl, я думаю они себе простят :)
0
Товарищ майор хочет приватный ключ от Yandex CA и дырки для доступа к инфраструктуре.
0
Мне как-то было любопытно. У Яндекса есть куча API, общение с которыми происходит через микросервисы по единому ключу. А ключ имеет гибко настраиваемые разрешения.
Возможно, имеется ввиду скрытый ключ или даже мастер ключ с некоторыми разрешениями для ФСБ.
0
Имеется в виду сессионный ключ, позволяющий расшифровать данные, собранные в соответствии с «законом Яровой».

Как и ожидалось: выяснив, что собранные сведения бесполезны — государство и не подумало останавливаться и теперь следующим шагом, очевидно, будет не «признание поражения» (неужели кто-то в это реально верил?), а выписывание штрафов (и других санкций) — до тех пор, пока те, кто порождают эти ключи (то есть браузеры и сервера) не научатся их хранить и «выдавать по запросу».

И вы будете очень наивны, если вам кажется, что спецслужбы других стран не будут делать то же самое. Будут, конечно — спецслужбы везде плюс-минус одинаковы.
0
Я правильно понимаю, что один ключ используется и для Почты, и для Диска, и для Денег...?

Нет.

-2
размеры заработной платы в Telegram «несопоставимо выше», чем в Яндекс или Google.

А может податься!

+1
Так и жизнь в Дубае дороже.
Но вот за что платят бешбабло тем, кто делал t.me/s/* (подсказка — посмотреть на RPC и импорты) — я не знаю.
+7

Мне кажется, что в конторах, которыми руководят "молодые и успешные" повышенное содержание шизы и самодурства руководства в стиле "Вы недостаточно готовы отдавать свои силы проекту, а потому — вон с галеры" и там хорошо только рок-звёздам.

0
«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса»

Может кто меня просветит, а то я не понял на счёт того как они собрались требовать сессионные ключи, которые заново генерируются при каждой новой сессии и ни где не хранятся?
+2
Неожиданно, но согласно закону об ОРИ, они должны храниться. Используя этот ключ в дальнейшем можно расшифровать данные из сохраненного трафика у провайдера пользователя.
В сумме закон Яровой не такой бессмысленный технически, как кажется на первый взгляд. Ключи лежат в одном месте, записанный трафик лежит в другом месте, все безопасно. Но мы то знаем…
-7
Сессионные ключи есть не только у сервера, но и у клиента. Их у Яндекса нет и предоставить их он не может.
+7
Рекомендую изучить всё-таки как работает SSL. Там происходит обмен ключами и в результате обе стороны владеют ключами друг друга. Симметричными.

Потому что ассиметричное шифрование очень, очень, очень вычислительно дорого и сложно. Оно используется только для «открытия сессии».

Тот факт, что сессионные ключи эфемерны и софт их не хранит — с точки зрения закона просто ошибка в софте. Которую надлежит исправить.
-2

Наконец-то все по существу. Приятно биться не в одиночку!

+2
Ну тут, как бы, непонятно за что биться. Я сам, разумеется, был бы счастлив жить в мире, где прослушки всего на свете нету. И где нормальные законопослушные граждане не обязаны предъявлять товарищмайору все свои разговоры с женой.

Но в отличие от многих «фанатов Дурова» я прекрасно понимаю, что это всё — временное явление. Добиться того, чтобы это право у людей осталось — техническими средствами нельзя.
0
Добиться того, чтобы это право у людей осталось — техническими средствами нельзя.

End-to-end?
+2
Ну дык его использование будет приравниваться к покупке нарезного оружия, только и всего.

С государством бесполезно бороться техническими средствами потому что любые действующие технические средства оно способно объявить незаконными.

Достаточно только заранее подготовить альтернативу, чтобы достаточное число избирателей не начало вопить.
+1
С государством бесполезно бороться техническими средствами потому что любые действующие технические средства оно способно объявить незаконными.

С государством (а если уж быть совсем точным, то с обществом в широком смысле) можно временно бороться техническими средствами. В силу существенной инерционности этого самого государства. Собственно, интернет это отлично продемонстрировал.

И единственный способ продолжать бороться, это N лет разрабатывать что-нибудь принципиально новое к тому моменту, когда государство дойдет до полной зарегулированности текущего поколения средств. Этот способ конечно весьма наивен, потому что нельзя так просто взять и по желанию создать принципиально новые коммуникационные способы. Но когда получается — то он таки работает.
0
Ну тут, как бы, непонятно за что биться. Я сам, разумеется, был бы счастлив жить в мире, где прослушки всего на свете нету. И где нормальные законопослушные граждане не обязаны предъявлять товарищмайору все свои разговоры с женой.
И жили бы, будь все граждане нормальные и законопослушные. Но имеем мы то, что имеем.
0
Там симметричное шифрование используется, сессионный ключ — общий.
+8
Мало того что он угнал телегу, теперь еще и команду на Чёрную жемчужину собирает
+16
Наша задача — сделать так, чтобы соблюдение закона (яровой) не противоречило приватности пользовательских данных

Одно его существование уже нарушает приватность пользовательских данных
+2
сделать так, чтобы соблюдение закона не противоречило приватности пользовательских данных», — прокомментировал xýйдартвертян.

напоминает слайд с КРОС'а: и он такой мне: «я всего-лишь ростовщик — бизнесмен, так сказать. Я делаю дело — деньги зарабатываю. Сражаться это не ко мне!» Я согласен на что угодно, лишь бы бизнес продолжить здесь и сейчас, что завтра будет — неважно! Яндекс сейчас — это компания под руководством животных, на которых давит слон.
+10
И зачем перепечатывать одну и ту же новость добавляя по абзацу? Уже четвертый раз за 3 дня.
+1

О! Этот автор ещё в конце каждо недели дайджест новостей сделает со ссылками на свои посты, которые ссылаются на другие свои посты… ну вы поняли.

+21

Кажется, Яндекс просто пытается донести мысль, что канарейка сдохла. Это лучшее, что он может сделать в данной ситуации :(

+1
То, что произошло, больше похоже на акцию устрашения или на наказание за какие-то подковерные игры, или на эксперименты над общественным мнением, чем на реальное требование. Так что яндекс просто пытается минимизировать финансовый ущерб, который ему нанесли силовики.
Не надо тут искать ответ на «моргни два раза, если они тебя держат в заложниках», это и без заявлений прекрасно понятно, что яндекс не попрет против. Примите уже должное: если бизнес существует в России, он сотрудничает с властями.
0
Ну суды против государственных структур можно считать сотрудничеством с властями, так что замечание в целом верное.
0

Именно. И за это руководству Яндекса большой респект.

+1

На какой сервис лучше переводить почту, чтобы ее в какой то момент не начали смотреть все кому не лень?

0
Полнодисковое шифрование весьма накладно по ресурсам. PGP никто ведь не отменял.
+2
Ну епрст, lkml.org (а он как раз таки селфхостед) может себе это позволить, а домашний сервер на одного человека — накладно?
+2
>> Я не про домашний сервер имел ввиду

Вы, кажется, не понимаете суть термина self-hosted. Арендованный где-то в стойке сервер или дроплет на DO таковыми не являются, поскольку вы их полностью не контролируете.

Self-hosted — это именно ящик или лезвие у себя дома.
0
Вы правы, прошу извинить, действительно думал, что это ящик у провайдера.
+1

Полнодисковое (хотя можно ограничиться и хранилищем собственно почтовых данных) шифрование эффективно только на выделенном сервере. На запущенной VPS'ке, как вы понимаете, всё будет доступно провайдеру.
Поэтому не стоит забывать про шифрование хранилища на уровне почтового сервера (есть решения), ну и е2е шифрование в форме традиционного PGP.
При этом метаданные, как вы понимаете, полностью прикрыть не получится.

+5
Вы что, решили покосплеить платного комментатора?

UPD.: зашёл в профиль, увидел, что минус я вам уже проставил. Перечитал комментарии, вспомнил вас — и расстроился, что нельзя поставить два.
+1

В свете полученных за последние несколько лет сведений о тотальном коллаборационизме всех популярных крупных провайдеров электронной почты а также разворачивающего скандала с Proton Mail теперь только свой сервер. Грамотно поднять его да ещё и с должным уровнем защиты (распадается на кучу заданий) задача я бы не сказал что тривиальная, но ради такого дела не грех и грамотного специалиста привлечь. Если вы действительно печётесь о собственной безопасности.

0

Да, Швейцария долго играла в независимого и гордого. Но т.к. основной торговый партнер у неё ЕС, то приходится идти у них на поводу и принимать законы, зеркалирующие GDPR и прочее.


Со слежкой, думаю, будет то же самое.

0
Проблема только в том, что уже само поднятие такого сервера автоматически занесёт вас в категорию «подозрительных личностей».
+2
И переписываться придётся не с владельцами личных серверов, а с пользователями джимейла, яндекса и мейл.ру.
+2

Не пользоваться почтой. SMTP так устроен, что письма ходят через кучу серверов. Даже если договоритесь использовать end-to-end шифрование для содержимого, то метаданные доступны всем.

+7
«Яндекса» и ФСБ идет диалог, обе стороны ищут решение.

Это примерно как если к вам в дом ворвался бандит, требует деньги, драгоценности и угрожает вас изнасиловать… Но "идёт диалог, обе стороны ищут решение".

-12

Скорее это как ЦРУ пришло к Цукербергу и требует ключи к шифрованию, а он такой — "идёт диалог, обе стороны ищут решение".

0
А тут, собственно, может быть только одно решение: сессионные разных сервисов нужно разносить по разным серверам и давать этим серверам разные сессионные ключи.

Что самое «прекрасное» — что после этого можно будет достаточно гибко управлять тем, какой траффик собирают ISP в соответствии с «законом Яровой».
+1

Интересно почему новость только Яндекс. К другим не было подобных обращений?

0
Никто пока не выдал. Сессионые ключи нигде пока не хранятся. Техничести это сделать возможно — но пока, наоборот, стремились к тому, чтобы вероятность того, что они где-то сохранятся максимально уменьшить.
0
Как сказал Уинстон Черчиль — «Невозможно вести переговоры со львом, когда ваша голова у него в пасти!»
+1
«Яндекс» заявил о решении проблемы с ключами шифрования для ФСБ
Как обнадеживающе написано. «заявил о решении проблемы». А по факту-то «согласился сливать данные пользователей».
0
А что если Яндексу просто уведомлять клиентов, чьи ключи запросил товарищ майор? В законе что-то про это сказано?
+2
В законе не сказано, но в предписании по выдаче информации — может быть. Это стандартная практика.
-1
Как будто Дуров, или Цукенберг не сотрудничают точно так же со своими местными спецслужбами. Детский сад какой-то с этими громкими заявлениями.
Only those users with full accounts are able to leave comments. , please.