LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от Deleted

Интеллектуалы в треде! Два кумыса этому господину!

Alve ★★★★★
()
Ответ на: комментарий от armid

Ты разлогиниться забыл, чтобы бред нести.

Radjah ★★★★★
()
Ответ на: комментарий от anonymous

Какой чувак и на какие сайты не пускает? Хотел бы их проверить.

Deleted
()
Ответ на: комментарий от mx__

Еще раз перечитал новость. Не понятно мне :( Кто может мне объяснить физику подмены сертификата?

Есть сертификат на сайт govno.com, он используется для создания безопасного подключения. Схема подключения выглядит как-то так:

Client <----> TEH-INTERNETZ <----> Server (govno.com)

Вроде все хорошо, все нормально, твой браузер устанавливает соединение, все секурно. Но есть одно НО: ты не знаешь, можно ли доверять сертификату. Ну то есть сертификат на сайт govno.com может выпустить вообще кто угодно, и он формально будет валидным. Для этого придумали концепцию цепочки сертификатов, которая всегда должна заканчиваться CA, которому ты доверяешь.

У твоего браузера есть набор CA сертификатов от всех ведущих собаководов: Let's Encrypt, Comodo, Verisign, и других уродов. CA подписывают свои intermediate сертификаты, intermediate подписывают govno.com, все довольны.

Теперь, в этот список доверенных CA попадает новый CA Super-Puper-Kazah и он подписывает сертификат на сайт govno.com. Что происходит дальше? А вот что:

Client <----> TEH-INTERNETZ <----> HAXXXORS <----> Server (govno.com)

Что происходит дальше? Client посылает ПРИВЕТ ХОЧУ ПОСМОТРЕТЬ GOVNO.COM на Server, но из-за коварной гебни запрос приходит HAXXXORS. HAXXXORS устанавливает одно соединение с Server, а одно с Client. Client он представляется Server (и посылает сертификат на govno.com), а Server он представляется Client. Поскольку твой браузер доверяет CA Super-Puper-Kazah, то проверка сертификата govno.com проходит успешно. А дальше как с обычной HTTP проксей.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от Deleted

Зачем для этого бежать в Сибирь? Отруби себе интернет, выкинь смартфон, и вот ты уже Неуловимый Джо.

С информацией слитой из госструктур налево продаваемой любому, кто захочет.

anonymous
()
Ответ на: комментарий от af5

запрещения хрома
в лисе проблем с пинингом как-то не наблюдалось

Это поможет когда сертификаты запинены прямо в программе.
А те, которые проходят чек на https://hstspreload.org тоже работают?

imul ★★★★★
()
Ответ на: комментарий от cuss

Это что-то вроде https-фильтрации в любой подобной программе. Либо без подмены по хосту, либо с mitm, но уже могут заголовки видеть полностью.

Radjah ★★★★★
()
Ответ на: комментарий от Legioner

Смотря что ты подразумеваешь под пинингом.

А что, есть какие-то ещё варианты?
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

Хотя я думаю, что они MITM-ить будут только избранные подсети с фейсбуком и тд.

Социалочки не жалко. Пусть не работают.

imul ★★★★★
()
Ответ на: комментарий от anonymous

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

Deleted
()
Ответ на: комментарий от Deleted

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

Ты её не читал что ли? Там про контр-терроризм, хакеров, закон и то, что это должно быть у всех.

kirk_johnson ★☆
()

И правильно. Ибо нех!

paran0id ★★★★★
()
Ответ на: комментарий от kirk_johnson

Client он представляется Server (и посылает сертификат на govno.com), а Server он представляется Client

Клиенту он представляется сервером (и посылает сертификат на govno.com), а серверу он представляется клиентом.

P.S. Надеюсь, я тебя правильно понял, а то без склонения не разберешь.

Deleted
()
Ответ на: комментарий от kirk_johnson

Да читал. Меня удивляет то, что происходит обратное этой новости.

Deleted
()
Ответ на: комментарий от anonymous

Китайский коммунизм заразителен.

тоталитаризм, «„„коммунизм““» там как обертка вокруг конфетки из говна.

FiXer ★★☆☆☆
()

разве нормальным казахам есть что скрывать от органов безопасности?

anonymous
()
Ответ на: комментарий от mx__

В смысле ? Я вообще не буду подтверждать липовые смс.

За тебя подтвердят кто надо, наивный. В стране, где всё загнано в стойло, интернет остается последним очагом свободы, его и хотят прикончить.

FiXer ★★☆☆☆
()

обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS

Толку-то? Будет у казахов свой браузер (ведь остальные «не работают»).

monk ★★★★★
()
Ответ на: комментарий от Deleted

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

да-да, надейся.

Правительство Казахстана может просто подписать все свои сертификаты у нормального СА и, если уж на самом деле боятся ядерной войны, своим СА также. Подписание сертификата в буржуйском СА никак не компроментирует этот сертификат, закрытый ключ остаётся у того, кто сертификат выпустил. В этом случае у простых пользователей будет валидным через цепочку до обычного СА, а у чиновников и гебни будут специальные браузеры, в которых установлен только казахский СА, что значит, что MITM через контролируемый ЦРУ центр сертификации не обманет бравого казахского дипломата/шпиёна.

Установка дополнительного корневого сертификата никак не может увеличить безопасность, любой дополнительный корневой сертификат лишь уменьшает её, расширяя круг лиц, которые смогут подписать левые сертификаты для сайтов.

А само указание на невозможность доступа к некоторым сайтам говорит, что пользователю будет приходить сертификат удостоверенный только казахским сертификационным центром, что означает, что либо казахи неосилили бесплатный летсенкрипт и не имеют денег на сертификат от коммерческого центра, либо это будут те сертификаты, которые никакой нормальный сертификационный центр никогда не удостоверит. Т.е. сертификаты для MITM-атаки на чужие сайты.

Да, и отмазка про отечественные алгоритмы шифрования не катит. Алгоритм должен поддерживаться браузером, если он настолько подозрителен, что сертификат для него никто не согласится подписать, то и в браузер его никто не встроит. Если в браузер встроили или выпустили свой браузер, то и корневой сертификат сами могли бы захардкодить. Так что сертификат будет для нормальных браузеров и нормальных алгоритмов, просто для чужих сайтов.

khrundel ★★★★
()

Пишут, что в Германии планируют отказаться от подтверждающих SMS кодов

Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру.

greenman ★★★★★
()
Ответ на: комментарий от imul

Социалочки не жалко. Пусть не работают.

Социалочки это чуть ли не друг митингаря №1, поэтому ими занимаются в первую очередь.

FiXer ★★☆☆☆
()
Ответ на: комментарий от mx__

Если кто не в курсе то весь трафик через провайдера и так смотрится

Пруфы будут?

theNamelessOne ★★★★★
()
Ответ на: комментарий от anonymous

Когда прийдет персональное оповещение, то ты серт добавляй в свой TorBrowser, а не в Firefox в виртуалке, с которой будешь делать скриншот в ответе на письмо счастия.

Наверно не в сам torbromser, а в шлюз?

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от FiXer

Я говорю от своего лица, а не от лица власти. Поэтому мне до лампочки и митингари и места их копуляции.

imul ★★★★★
()

Я узнал, что у меня Есть огромная семья И тропинка и лесок В поле каждый колосок Речка, небо голубое — Это всё следит за мною..

Thero ★★★★★
()
Ответ на: комментарий от anonymous

Это странно, даже в Китае Tor работает, а у них бюджет великого файрволла наверное побольше, чем весь бюджет Казахстана.

Белый список наверное.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)

вообще давайте делать ставки как быстро утечёт этот сертификат к хакерам и они уронят весь защищённый казахстан..

Thero ★★★★★
()
Ответ на: комментарий от anonymous

зачем блокировать тор, если можно просто маркировать его трафик?

Thero ★★★★★
()
Ответ на: комментарий от Shaman007

Ну практика показывает, что великий китайский файрволл, как бы так сказать, не эффективен.

Так китайцы и не хотят делать его эффективным, это легко понять если посмотреть статьи про социальный рейтинг, его снижают только если человек слишком много времени проводит в tor, то есть мало времени проводить в tor можно всем.

torvn77 ★★★★★
()
Ответ на: комментарий от Thero

Налицо троица: правохоронительные органы (Бог-отец), хакеры (Иисус Христос) и провайдеры (святой дух). И хотя и выглядят по-разному, они едины в трёх лицах. Так что у хакеров уже всё есть.

ugoday ★★★★★
()
Ответ на: комментарий от slamd64

Честно говоря, на месте Грефа я бы закрыл сбербанконлайн для казахских IPшников.

К стати да, надо бы задать вопрос в технической поддержке о том, что они по этому поводу делать будут.

torvn77 ★★★★★
()
Ответ на: комментарий от sena

Наконец-то первый здравый пост. Отдельным …

Здравый смысл подсказывает что после тестирования на добравольцах может последовать внедрение в эксплуатацию.

torvn77 ★★★★★
()
Ответ на: комментарий от imul

Почта гугловская в лисе через mitm работает?

Год назад точно работала, сейчас негде проверить

af5 ★★★★★
()
Ответ на: комментарий от imul

Это поможет когда сертификаты запинены прямо в программе. А те, которые проходят чек на https://hstspreload.org тоже работают?

Сейчас негде проверить, но заблокировать этот сайт по-моему даже проще, чем запрещать программу

af5 ★★★★★
()

Отвратительно. Мне крайне не нравится эта тенденция государству совать свой нос в интернет.

С другой стороны если реализация такая же как у роскомпозора с их TCP RST пакетом не так страшно хотя и противно.

iluha16
()
Ответ на: комментарий от sena

сделайте кто-то

====вы находитесь сдесь===

простыню на тему Казахстана. Работа началась в 2012, в 2016 был первый подход к снаряду.

Shaman007 ★★★★★
()
Ответ на: комментарий от annulen

Каким образом?

Хорощий вопрос, если ключь не утечёт то атаковать можно будет только либо на компе пользователя, либо на шлюзе.

Хотя если утащить куки то сайт не сможет понять что их применяют в другом браузере.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от anonymous

если трафик действительно зашифрован, то он не отличим от шума. т.е. зашифрованный трафик может выглядеть как что угодно, например изображение с шумом. его нельзя запретить потому что его нельзя классифицировать как зашифрованный трафик.

Значит запретят трафик с шумом.

torvn77 ★★★★★
()
Ответ на: комментарий от Deleted

камеры на дорогах, камеры в банкоматах, камеры на улице, камеры в общественном транспорте, камеры во всех новых ЖК, не получится неуловимым джо быть в городе

devorg ★★
()
Ответ на: комментарий от devorg

Как криптоанархисты борятся со слежкой? Регистрируют симки и карточки на бомжей. Значит, чтобы скрыться от камер, нужно носить срезанное с бомжа лицо.

Deleted
()
Ответ на: комментарий от anonymous

казахстану до европейских демократических страх ещё тысячу километров г-ном плыть

Это ты про эти демократические страны, которые втихушку продавили свои правительственные сертификаты в списки доверенных?

  • Government of France
  • Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
  • Government of Spain (CAV), Izenpe S.A.
  • Government of The Netherlands, PKIoverheid
southern_sun
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.