LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)

А кто бы объяснил, вот эти сертификаты от правительства Бразилии
https://aur.archlinux.org/packages/ca-certificates-icp_br/
это то же самое или несколько другое?

Пр попытке перейти на указанный в пакете урл
https://www.iti.gov.br/repositorio/repositorio-ac-raiz
Chromium ругается

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 2)
Ответ на: комментарий от Serbis

Просто будет рубить любое соединние, которок скажем на 1мб трафика не содержало ни одного паттерна. Но опять же и против этой проблемы есть лом. Ничего не мешает в канал вместе с зашифрованными данными пихать какие-то осмысленные, но ничего не значащие. Тогда и этот метод будет бесполезен.

Тут проблема еще в том, что если это будут делать широко известные программы, то конкретно против них что-то придумают. А процент тех, кто может себе сам чего-то подобное закодировать исчезающе мал от общего количества пользователей.

praseodim ★★★★★
()
Ответ на: комментарий от Alve

Может они инет всем через прокси раздают ?

Вообще сертификатом все понятно но мне вот лично совершенно не понятно :

но и на то, что от лица любого пользователя можно будет написать что угодно.

Это как ?

А вот это :

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

вообще какой то бред.

mx__ ★★★★★
()
Ответ на: комментарий от nikita-b

Tor работает, но очень плохо. И VPN работают, но очень плохо. И есть предположение что это намеренная политика. Если что-то работает, но плохо, то меньше шансов что ты будешь искать\делать альтернативу. И массово этим пользоваться все ровно не будут, а это же основная цель этого всего.

Заверни обфускатором, а лучше в стеганографию, уменьши энтропию, т.е. добавь в траф больше фоток своих вождей по самому внешнему протоколу на вид типа HTTP и заработает быстрее минус вес картинок.

anonymous
()
Ответ на: комментарий от praseodim

А что помешает, если будут известны все пароли от всего?

А причем тут авторизация пользователя ?

Вы думаете если вы куда то по https заходите и вы там сразу не анонимус что ли ?

mx__ ★★★★★
()
Ответ на: комментарий от praseodim

проблема на самом деле в том, что вместо того чтобы делать по-настоящему защищённый интернет, бизнес продаёт сертификаты задорого, сопровождая это всё массированой рекламной кампанией. и весь интернет в этом г-не. а потом внезапно тебя просят проинсталировать сертификат и ты всё понимаешь и собираешься эмигрировать.

не разрушать столь долго производимый тотальный перевод на HTTPS

конечно, столько же бабла от доверчивых пользователей пропадёт, это не хорошо.

anonymous
()
Ответ на: комментарий от anonymous

Доааа, особенно квантостойкую крипту :)))

Квантостойкие крипты стойки только с вероятностью. Это же кванты.

kostyarin_ ★★
()
Ответ на: комментарий от gtk3

привет из сибири. интернет здесь тоже есть, как и куча инженеров, которых настолько много, что сваливают в другие части страны, а кому повезло валит в загнивающее сша и живет там в страхе среди дорогих машин и макдональдсов.

bernd ★★★★★
()
Ответ на: комментарий от anonymous

проблема на самом деле в том,

...

Почитай новость. Если сертификат не поставишь то не зайдешь на тот сайт что поддерживает этот сертификат (т.е. ихней) в чем проблема то ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

А причем тут авторизация пользователя ?

Вы думаете если вы куда то по https заходите и вы там сразу не анонимус что ли ?

В случае такого mitm как в сабже, можно всю сессию целиком вести от твоего имени. Например, зашел ты в онлайн-банкинг, обвешавшись кучей авторизаций, потом тебя отрубили от него и продолжили работать в нем вместо тебя.

praseodim ★★★★★
()
Ответ на: комментарий от imul

Смотря что ты подразумеваешь под пинингом. Браузеры его отключают. Андроиды и прочие приложения не будут работать. Хотя я думаю, что они MITM-ить будут только избранные подсети с фейсбуком и тд.

Legioner ★★★★★
()
Ответ на: комментарий от imul

Как они будут бороться с пинингом?

в кровавом энтерпрайзе борются путём запрещения хрома например (у которого пининг реализован для гуглосайтов), в лисе проблем с пинингом как-то не наблюдалось, работал в нём ssl mitm на гуглосайты без проблем.

af5 ★★★★★
()
Ответ на: комментарий от greenman

Сертификат, независимый от международных?

Ну вообще это не самая плохая идея, если речь сугубо о внутреннем (в пределах страны) пользовании, а не о выпуске сертификатов для *.google.com этим CA.

gosuslugi.ru как-то же работают…

В законе об изоляции рунета прописан будущий переход на отечественную криптографию для госструктур, если не ошибаюсь. Но у нас вряд ли дойдут даже до предложений установить CA в браузер, попробуют решить более гладко, а если не получится, то будет ещё один закон на бумаге.

anonymous
()
Ответ на: комментарий от mx__

ну сам почитай новость. проблема в том, что интернет разрабатывался для того чтобы обеспечить связь в случае ядерной войны, а васяны из казахстана обрубают связь с помощью всего одного сертификата. это стало возможным благодаря тому, что хттпс и связанные с этим компании много лет занимались созданием иллюзии защищённости в целях извлечения коммерческой прибыли.

anonymous
()
Ответ на: комментарий от mx__

Любому человеку есть что скрывать.

Deleted
()
Ответ на: комментарий от praseodim

Ну я предвижу что в будущем скорее всего придется писать собственную вариацию vpn, так как это возможно станет единственным способом защиты личной информационной зоны.

Если говорить о политике, тут тут конечно очевидно, что все этим меры направлены именно против народа. Поскольку на практике все эти запреты обходятся (пока что) при помощи базовых навыков сисадмина и понимания устройства сетей. И было бы глупо считать что человек который задумал совершить какое-то значительное преступление, не будет это уметь или же не найдет того кто умеет.

Кстати все это пример той самой пресловутой технологической сингулярности, когда знания как и деньги становятся прерогативой крайне малого количества людей, а основная масса пребывает в полном неведении относительного того что вокруг них происходит и что ими просто управляют за счет их безграмотности.

Serbis
()
Ответ на: комментарий от mx__

У меня какое странное ощущение что больше всего орут те кому реально есть что скрывать...

И ведь действительно странное.

kirk_johnson ★☆
()
Ответ на: комментарий от beaver

Продам лицензионную винду из Украины

на бывшей украине интернет просто обрубают без всяких сертификатов. блокируют все запросы к vk.com и всё.

anonymous
()
Ответ на: комментарий от praseodim

продолжили работать в нем вместо тебя.

Ага и на каждый чих будут тебе смс слать на твой телефон, это уж извините проблема софта а не чего то тама.

mx__ ★★★★★
()
Ответ на: комментарий от Serbis

той самой пресловутой технологической сингулярности, когда знания как и деньги становятся прерогативой крайне малого количества людей, а основная масса пребывает в полном неведении

Это ты сам что-то придумал, к технологической сингулярности это отношения не имеет.

основная масса пребывает в полном неведении относительного того что вокруг них происходит и что ими просто управляют за счет их безграмотности

Разве когда-то было иначе?

Deleted
()
Ответ на: комментарий от anonymous

Ну вообще это не самая плохая идея, если речь сугубо о внутреннем (в пределах страны) пользовании, а не о выпуске сертификатов для *.google.com этим CA.

Как раз внутри страны MITM делать не будут. Если ты про гос сайты, то они уже много лет защищены местным сертификатом и для комфортной работы с ними нужно его устанавливать (я вообще не понял, зачем они ещё один придумали, когда у кучи людей уже установлен старый). Про google.com пока не слыхал, а скриншот с сертификатом на facebook.com видел.

Правда всё веселье мимо меня проходит, никто меня не MITM-ит, даже не потестить.

Legioner ★★★★★
()

необходимости установки выпущенного государственными органами сертификатом безопасности.

Проверено: Shaman007

Haha, classic.

MageasteR ★★★★★
()
Ответ на: комментарий от kirk_johnson

То же, что и везде. Только бабла меньше. Дроны летают, камеры на улицах стоят, интернет весь - ну так же как и в остальных частях страны. Сотовые операторы - так же сливают данные, всё то же самое. В лес идти далеко, но потеряться можно. Только вот кому оно надо совсем в лесу жить? Тем паче, что приедут очередные вырубщики и найдут :). А если нормально жить - то как везде, отдельные отшельники никого не интересуют.

Deleted
()
Ответ на: комментарий от kostyarin_

Ну уж нет. Там уже сигнал с вышек начинает кончаться - придётся долго топать без связи ).

Deleted
()

Ты самую мякотку забыл:

Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский сектор, до того, как они смогут нанести ущерб. (...)

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от anonymous

на бывшей украине интернет просто обрубают без всяких сертификатов. блокируют все запросы к vk.com и всё.

И в этом нет ничего хорошего. Но, знаешь, оправдывать одну беду тем, что есть другая — такое себе занятие.

beaver
()
Ответ на: комментарий от mx__

Ага и на каждый чих будут тебе смс слать на твой телефон, это уж извините проблема софта а не чего то тама.

Если цена вопроса достаточно велика, то и это не проблема. Но ты заметил, что от вопроса как это вместо тебя что-то сделают, уже перешел к обсуждению как защититься от этого?

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

уже перешел к обсуждению как защититься от этого?

Я не переходил просто написал что это бред. Правда иными словами.

mx__ ★★★★★
()
Ответ на: комментарий от sena

А сколько в Казахстане операторов есть инфа?

Я ответ подскажу: два крупных и еще возможно пару местечковых, которые пользуются инфраструктурой первых двух.

tne
()

Еще раз перечитал новость. Не понятно мне :( Кто может мне объяснить физику подмены сертификата?

На всякий случай глянул цепочку лора, какой то там КОМОДО и ДНС лора.

mx__ ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.