LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от beaver

это конечно же не оправдание, просто демонстрация того, что 1) казахстану до европейских демократических страх ещё тысячу километров г-ном плыть 2) все эти сертификаты абсолютно нерелевантны обсуждаемой проблеме.

думаю это всё закончится ничем. люди поставят сертификат, мозилка и хром как работали, так и продолжат работать. может ещё какую-то свистелку прикрутят чтобы полегчало, а может и нет, хотя со свистелкой наверное будет полегче это всё переживать.

anonymous
()
Ответ на: комментарий от imul

ты думаешь им не насрать на это? Это ты тут весь такой модный, стримишь, google stady или как там оно, обсуждаешь. Ты видел вождей казахстана? Им насрать на твой пинг, на стримы и онлайн потоки.

А сайты будет открываться хоть с пингом 100 мс.

armid
()
Ответ на: комментарий от mx__

Нет ты недоумевал как это можно от твоего имени чего-то сделать, я тебе объяснил как. Ну и кроме онлайн-банков есть и просто почта например или мессенджеры.

praseodim ★★★★★
()
Ответ на: комментарий от Mamin_simpotyaga

Южную границу региона проводят по государственной границе России с Казахстаном, Монголией и Китае

Deleted
()
Ответ на: комментарий от praseodim

Нет ты недоумевал как это можно от твоего имени чего-то сделать, я тебе объяснил как.

Что Вы мне объяснили ? Я не спорю что могут смотреть пусть глядят, но сделать ничего не могут !

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Кто может мне объяснить физику подмены сертификата?

Можно на примере аналогии с запечатанными письмами. Человек-посередине распечатывает конверт, достает оттуда письмо и кладет его в свой конверт и запечатывает своей печатью. Может не класть. Может класть, но вырезав что-то ножницами или вовсе написав от себя за кого-то.

praseodim ★★★★★
()
Ответ на: комментарий от theNamelessOne

За паролем от ЛОРа к Максиму ( это я образно, типа сбросить его и сгенерить заново) За банковской картой, в банк.

Еще вопросы есть ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Я не спорю что могут смотреть пусть глядят, но сделать ничего не могут !

Могут. man mitm. В случае сабжевого mitm ты даже не можешь знать с кем ты соединился на самом деле!

Кроме того и «просто смотреть» достаточно,чтобы перехватить пароли от твоей почты например и писать от тебя.

Ну и умиляет, конечно «нечегоскрывательство» с пусть смотрят...

praseodim ★★★★★
()

Что то я не понял, а как они это собираются реализовать? Есть не только https, но и другие протоколы. Ну допустим поставят все на браузеры сертификаты, или даже ещё как в системе пропишут. А как быть с тоннелем через впс, даже если и туда что-то засертификатить,то второй слой туннель в туннеле через виртуалку это обходит. Или на всех слоях шить бекдоры? Какая то клоунада получается, особенно когда прочесть что это защита от хакеров. Админы банков казахстана наверное рады такой заботе.

anonymous
()
Ответ на: комментарий от praseodim

В случае такого mitm как в сабже, можно всю сессию целиком вести от твоего имени. Например, зашел ты в онлайн-банкинг, обвешавшись кучей авторизаций, потом тебя отрубили от него и продолжили работать в нем вместо тебя.

А есть хоть один онлайн-банкинг, который полагается на https? Либо дают клиентский сертификат (точнее технически ты его делаешь сам и отправляешь открытый ключ в банк) и ты им подписываешь свои действия, либо пароль на токене/карточке, либо на худой конец подтверждение по СМС.

Реально «опасность» только для HTTPS там, где он совсем не нужен (на публичных сайтах).

monk ★★★★★
()
Ответ на: комментарий от praseodim

Кроме того и «просто смотреть» достаточно,чтобы перехватить пароли от твоей почты например и писать от тебя.

А код смс откуда ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Я получаю письмо и говорю - печать то не та. И что ?

Ну вот браузеры сейчас и ругаются, что печать не та. Firefox и вообще пускать не станет, а Chrome потребует пару кнопок нажать для исключения.

С сабжевым сертификатом ругаться не будут.

praseodim ★★★★★
()
Ответ на: комментарий от mx__

За паролем от ЛОРа к Максиму ( это я образно, типа сбросить его и сгенерить заново) За банковской картой, в банк.

Еще вопросы есть ?

Зачем мне (тов. майору) к кому-либо обращаться, если я могу сам эту информацию получить из твоего трафика? Судя по тому, что тебе «нечего скрывать», тебя это устраивает.

theNamelessOne ★★★★★
()
Ответ на: комментарий от mx__

Я получаю письмо и говорю - печать то не та.

В данном случае ты добавил эту печать в свой браузер и она для тебя «та».

anonymous
()
Ответ на: комментарий от mx__

Ты каждый раз как письмо написать sms подтверждаешь? Кроме того с таким перехватом ничто не мешает сделать так, что ты в веб-интерфейсе будешь набирать один текст, а реально отошлется другой.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

С сабжевым сертификатом ругаться не будут.

Так все построено только на том что пользователь не заметит что ему сертификат подменили ? Тьфу, делов то. Запилили бы плагин (кому это нужно, я лично сам могу посмотреть сертификат если мне это важно) проверки сертификата и все.

mx__ ★★★★★
()
Ответ на: комментарий от praseodim

набирать один текст, а реально отошлется другой.

В смысле ? Я вообще не буду подтверждать липовые смс.

mx__ ★★★★★
()
Ответ на: комментарий от anonymous

Какая то клоунада получается, особенно когда прочесть что это защита от хакеров.

Это сказали, что защита от хакеров. Неужто надо объяснять зачем на самом деле такая «защита»? Могу предположить, что для начала это будет (есть) только для сайтов с https и то не для всех. Для всех, наверное, мощностей вычислительных не хватит.

praseodim ★★★★★
()
Ответ на: комментарий от theNamelessOne

Если кто не в курсе то весь трафик через провайдера и так смотрится. Или вы думаете от балды сделали ограничение на длину ключа ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Если кто не в курсе то весь трафик через провайдера и так смотрится.

Лол. Нет.

anonymous
()
Ответ на: комментарий от mx__

Ну блин, ну вот ты пишешь это сообщение на ЛОР, вводишь буковки в поле «Сообщение» и жмешь кнопку «Поместить». Но на ЛОР реально отсылается не то, что ты написал, а то что отослал кто-то посередине. Это если предположить, что админы лора упоролись и стали требовать sms-подтверждения на каждый пост, иначе все еще проще.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

Ну да, лор не требует смс подтверждение для каждого поста.

Сейчас спец. сайты давно уже понаписали всякого жс-кода который на стороне клиента шифрует сообщение и потом уже пересылает это ...

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Сейчас спец. сайты давно уже понаписали всякого жс-кода который на стороне клиента шифрует сообщение и потом уже пересылает это ...

По какому каналу ты получаешь этот код? pokerface.jpg

anonymous
()
Ответ на: комментарий от mx__

Я еще раз повторю, ты уже начал обсуждать защиту от таких вещей.

Да, в особо серьезных случаях, обычный https и раньше не использовался, хотя например, онлайн-банкинг для обычных пользователей с ним работает. sms-подтверждения - это просто дополнительный слой защиты, но это не значит, что в отсуствие первого, самого важного слоя, надо полагаться на него. И между прочим, далеко не все операции подтверждаются sms.

praseodim ★★★★★
()
Ответ на: комментарий от monk

А есть хоть один онлайн-банкинг, который полагается на https? Либо дают клиентский сертификат (точнее технически ты его делаешь сам и отправляешь открытый ключ в банк) и ты им подписываешь свои действия, либо пароль на токене/карточке, либо на худой конец подтверждение по СМС.

Это где такой трешак? Почти все нормальные (по качеству услуг) банки в РФ логинят по логину-паролю-2fa. Поскольку сотовые операторы уже в кармане у ФСБ, то 2fa немножечко бесполезен, если он через телефон.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от anonymous

Код или ключ ? Ключ по смс, опять же зависит от уровня защищенности, могут ключ и на флешке передать.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Это как ?

Ну как, под покровом ночи товарищ майор залогинивается в контактик и пишет от твоего имени «президент плохой», а утром идет и расстреливает тебя два раза и ссылает в Сибирь. Типичный сценарий, которого так боятся борцы с режимом. Что мешает товарищу майору пропустить первый пункт и сразу воспользоваться служебным положением - непонятно. Как будто обществу не насрать.

Alve ★★★★★
()
Ответ на: комментарий от Alve

Ну как, под покровом ночи товарищ майор залогинивается в контактик и пишет от твоего имени «президент плохой», а утром идет и расстреливает тебя два раза и ссылает в Сибирь. Типичный сценарий, которого так боятся борцы с режимом. Что мешает товарищу майору пропустить первый пункт и сразу воспользоваться служебным положением - непонятно. Как будто обществу не насрать.

По той же причине, зачем подкидывают наркотики, а не просто в обезьянник сажают — им все ещё нужен состав преступления. Алсо, учитывая, как классно у нас протекают ЭЦП (по которым, если что, и квартиру продать можно), то собранные КГФСБ данные (включая логины и пароли) тоже могут утечь. А нам, конечно же, мало мест, откуда текут логины/пароли, надо ещё добавить, да ещё и централизованное.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от Deleted

В каких лампочках?

Накаливания! ты че, не знаешь что-ли ? Кровавая гебня через вибрацию нити, по проводам может прослушать любую квартиру! Поэтому я жгу свечи!

vasya_pupkin ★★★★★
()
Ответ на: комментарий от mx__

По поводу смс - не особо надейся, может быть сговор операторов или сотрудников, а Ростелеком (основной монополист интернет) и ТЕле2 сейчас вообще одна контора.

superuser ★★★★☆
()
Ответ на: комментарий от vasya_pupkin

У нас невидимые соколы, которыми управляют полускрытые нурсултан-джигиты на левитирующих конях.

Deleted
()
Ответ на: комментарий от superuser

Ну я понимаю, и также понимаю что есть определенные риски оплаты квартиры онлайн а не ножками в банк ;)

Хотя у меня билайн и мтс но это не суть.

mx__ ★★★★★
()
Ответ на: комментарий от sena

В новости же паника про конец света. За такое по шее надо.

Ну конечно, конечно. А когда практика будет признана успешной, и её распространят на всю страну (и на соседнюю тоже), ты кого будешь по шее призывать?

Опыт Ниемёллера, я гляжу, никого не учит.

hobbit ★★★★★
()
Ответ на: комментарий от mx__

У меня какое странное ощущение что больше всего орут те кому реально есть что скрывать...

Ключи от своей квартиры и бумажку с указанием адреса на городскую площадь уже выложил?

hobbit ★★★★★
()
Ответ на: комментарий от Serbis

Не тупи. Они хотят проксировать сайты, чтобы их серверы прикидывались юзерскими компами, ибо это проще всего.

Deleted
()
Ответ на: комментарий от Serbis

Это называется стеганография. Сдобрить трафик нужными паттернами и рубить передачу кусками. Скорость еще сильнее упадёт, задержки возрастут.

Radjah ★★★★★
()
Ответ на: комментарий от kirk_johnson

Это где такой трешак?

Агропромкредит — карточка с паролями.

Для юр.лиц вроде у всех токен с подписью (у сбера, газпромбанка, агропромкредита точно).

логинят по логину-паролю-2fa

Я же говорю «на худой конец».

monk ★★★★★
()
Ответ на: комментарий от armid

Это ты тут весь такой модный, стримишь
стримишь

Я? Cтримлю? Ого, пруфцов бы.

твой пинг

Речь шла про «pinning». :)

imul ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.