LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от Deleted

Учитывая, что в Казахстане налоги смешные, это заявление выглядит особенно забавно.

Я, лично, плачу 3% налогов. И это как бы всё. ну НДС на мелочёвку, которую тут покупаю, ставка НДС в Казахстане тоже небольшая: от 0 до 12%.

Legioner ★★★★★
()
Ответ на: комментарий от monk

Хакеру от государственного сертификата не больше пользы, чем от сертификата LetsEncrypt, например.

Ты в самом деле не знаешь разницу между установкой root CA в браузер и сертификата Let's encrypt на сайт?

Wizard_ ★★★★★
()
Ответ на: комментарий от kirk_johnson

Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит?

Все корневые УЦ хранят свои сертификаты.

А хранит оно их плохо, потому что не они не могут в безопасность.

Покажи хоть один пример, когда утёк государственный сертификат (можно также ИФНС, ПФР, госзакупок или ФСС). А коммерческих утечек уже достаточно много было: https://en.wikipedia.org/wiki/Category:Former_certificate_authorities

Государства, которые не могут в безопасность, долго не существуют.

monk ★★★★★
()
Ответ на: комментарий от Wizard_

Ты в самом деле не знаешь разницу между установкой root CA в браузер и сертификата Let's encrypt на сайт?

root CA от Let's encrypt в браузер тебе уже поставил добрый разработчик браузера. Которому ты почему-то безгранично доверяешь в отличие от родного государства.

monk ★★★★★
()
Ответ на: комментарий от monk

Все корневые УЦ хранят свои сертификаты.

И те, у кого часто течет, попадают в блеклист.

Покажи хоть один пример, когда утёк государственный сертификат (можно также ИФНС, ПФР, госзакупок или ФСС).

Сертификат чего? В рашке нет единого принудительного CA (пока). А вот с эцп уже обосрались: https://m.habr.com/ru/news/t/452292/?_ga=2.4216247.563809480.1563625747-34314...

И с МФЦ тоже обосрались: https://www.kommersant.ru/doc/3800268

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 3)
Ответ на: комментарий от monk

root CA от Let's encrypt в браузер тебе уже поставил добрый разработчик браузера. Которому ты почему-то безгранично доверяешь в отличие от родного государства.

Let's Encrypt не течет базами данных полиции, у него нет плохо отлаженных процедур выдачи документов, которые могут испортить тебе жизнь, и у если он скурвится, то его через какое-то время заменят и выкинут.

И да, letsencrypt не собирает твои данные. А фсб собирает. И именно их, собранные и расшифрованные, рано или поздно и сольют.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от monk

О, да. Разработчику браузера я точно доверяю больше, чем родному государству. Хотя бы потому, что он не может мне вреда причинить. А родное государство может, легко.

Wizard_ ★★★★★
()
Ответ на: комментарий от monk

от государственного сертификата не больше пользы, чем от сертификата LetsEncrypt, например.

Oт LE существенная польза есть, можно подписывать свои персональные сервисы и странички красивым замочком, чтобы браузеры не придиралась, к тому же эти LE сертботом автоматически обновляются, все лучше чем платить офигевшим сертифицирующим центрам за воздух :)

Deleted
()
Ответ на: комментарий от Wizard_

Не государство причиняет ущерб, а ущербный человек алчный до власти, но управлять в пользу народа и не собиравшийся, особенно таких много сейчас за пределами России ошивается с рождения :)

Deleted
()
Ответ на: комментарий от Deleted

Там не один человек, а много их. Целая система как обезьяна с гранатой.

Wizard_ ★★★★★
()
Ответ на: комментарий от kirk_johnson

Сертификат чего? В рашке нет единого принудительного CA (пока).

https://www.nalog.ru/rn77/about_fts/uc_fns/

http://fss.ru/uc/

Существуют очень давно. Польза от взлома есть и она больше чем от взлома сертификата для расшифровки HTTPS.

А вот с эцп уже обосрались

Это как раз коммерческий УЦ обосрался, выдав левую подпись.

И с МФЦ тоже обосрались

Э? Человек сам выложил копии своих документов на общественный компьютер, а виноват владелец компьютера? Если я на ЛОР выложу скан своего паспорта, виноваты будут модераторы и владелец сайта?

monk ★★★★★
()
Ответ на: комментарий от Wizard_

О, да. Разработчику браузера я точно доверяю больше, чем родному государству. Хотя бы потому, что он не может мне вреда причинить. А родное государство может, легко.

Парадокс однако. Государство легко может причинить вред, но не причиняет. Разработчик существенный вред причинить не может, но активно пытается (производит сбор всей доступной ему информации и активно её использует). Но доверяешь больше разработчику. Где логика?

monk ★★★★★
()
Ответ на: комментарий от Deleted

Не государство причиняет ущерб, а ущербный человек алчный до власти

Он не говорит, что государство причиняет ущерб, он говорит «может причинить». А может причинить действительно государство: у него для этого есть полиция, налоговая инспекция и служба судебных приставов, а также другие силовые методы воздействия. Так что, если захочет, то легко причинит.

А вот «ущербный человек» легко может нарваться на контролирующую службу со стороны того же государства. Государство, как правило, очень ревностно относится к попыткам узурпации власти.

monk ★★★★★
()
Ответ на: комментарий от kirk_johnson

Let's Encrypt не течет базами данных полиции, у него нет плохо отлаженных процедур выдачи документов, которые могут испортить тебе жизнь

Полиция течёт только теми данными, какими надо. Вот попробуй получить зарплатную ведомость или базу оперативных действий.

С процедурами выдачи документов тоже не всё так плохо, если рассматривать с точки зрения государства, а не гражданина.

И да, letsencrypt не собирает твои данные. А фсб собирает. И именно их, собранные и расшифрованные, рано или поздно и сольют.

Пока наоборот, Google собирает, Microsoft собирает, Apple собирает, а фсб только собирается начать и только то, что в Интернете, а не все твои перемещения и сказанные вслух слова.

monk ★★★★★
()
Ответ на: комментарий от mx__

Вы прикиньте, а еще они даже могут получить ордер на обыск твоей квартиры.

Поэтому есть (должны быть) *независимые* ветви власти, чтобы сами себе ордера не выписывали.

anonymous
()
Ответ на: комментарий от monk

Существуют очень давно. Польза от взлома есть и она больше чем от взлома сертификата для расшифровки HTTPS.

Какая? Какая польза от мониторинга работы юзеры во всех сервисах, работающих на территории страны, я понимаю. Какая польза от взлома сайта пенсионного фонда, если деньги идут через банки?

Это как раз коммерческий УЦ обосрался, выдав левую подпись.

Ээээ... Ты не понял всей схемы, да? Государство имеет право давать тебе ЭЦП, который действует так же, как твоя подпись, паспорт и заверение юриста. Но только оно решило сделать это не своими руками (те же МФЦ), а отдать на аутсорс, причем предъявляя требования к конторам не строже, чем к водителю убера. Понял?

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от kirk_johnson

И те, у кого часто течет, попадают в блеклист.

Угу. У Symantec'а часто текло с 2015, выявлено в марте 2017, а в блеклист он попал в Firefox 64 почти в 2019. Доверяйте, что уж...

monk ★★★★★
()
Ответ на: комментарий от mx__

У меня какое странное ощущение что больше всего орут те кому реально есть что скрывать...

Сообщи мне пожалуйста данные своих платежных карт и пароли учетных записей в соц.сетях.

Напоминаю, что в казаше, как и в раше, моогут и сажают за неправильный репост или лайк. Сегодня перехватили твои пароли от фейсбука, а завтра ты поехал на зону, за репост, который ты не делал.

owlmind
()
Ответ на: комментарий от monk

Полиция течёт только теми данными, какими надо. Вот попробуй получить зарплатную ведомость или базу оперативных действий.

Прости, КАКИМИ данными нужно течь полиции? Мне правда интересно.

С процедурами выдачи документов тоже не всё так плохо, если рассматривать с точки зрения государства, а не гражданина.

Напоминаю, что вот прямо сейчас, с помощью ЭЦП, без твоего присутствия и вообще уведомления можно открыть фирму (на твое имя) и продать квартиру. Ещё можно провести суд без твоего участия (потому что уведомление отсылается по почте, где его могут «потерять», но это все равно будет защитано). И ещё много разных веселых историй.

Пока наоборот, Google собирает, Microsoft собирает, Apple собирает, а фсб только собирается начать и только то, что в Интернете, а не все твои перемещения и сказанные вслух слова.

Мне кажется, когда гугл только начинал собирать, разговоры велись похожие.

kirk_johnson ★☆
()
Ответ на: комментарий от monk

Угу. У Symantec'а часто текло с 2015, выявлено в марте 2017, а в блеклист он попал в Firefox 64 почти в 2019. Доверяйте, что уж...

Первые базы данных копов у меня были ещё в 90-х. Не вижу, чтобы ситуация сильно улучшилась, а копов так и не забанили.

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Какая польза от мониторинга работы юзеры во всех сервисах, работающих на территории страны, я понимаю.

Только если ты владеешь ещё и всеми сетями передачи данных.

Какая польза от взлома сайта пенсионного фонда, если деньги идут через банки?

При чём тут сайт? Мы про корневой УЦ говорим. Чтобы получить сертификат для MITM нужен сертификат корневого УЦ. Если же есть сертификат корневого УЦ, то можно очень многое делать от имени ПФР (так как можешь выпустить себе сертификат на имя любого руководителя отделения ПФР). Вплоть до требований в банки, обязательных к выполнению.

monk ★★★★★
()
Ответ на: комментарий от kirk_johnson

Первые базы данных копов у меня были ещё в 90-х. Не вижу, чтобы ситуация сильно улучшилась, а копов так и не забанили.

Те базы данных копы сами распространяют. Также как Микрософт сам распространял «пиратские» ключи к винде.

monk ★★★★★
()
Ответ на: комментарий от monk

Только если ты владеешь ещё и всеми сетями передачи данных.

Эээ... ты не слышал, что провайдеров трафик обязали отправлять? И что все пограничные узлы связи теперь должны уметь отключаться от внешней сети? И что чувакам поставят железо для этих целей? А неплохая у тебя криокамера, лол.

При чём тут сайт? Мы про корневой УЦ говорим. Чтобы получить сертификат для MITM нужен сертификат корневого УЦ. Если же есть сертификат корневого УЦ, то можно очень многое делать от имени ПФР (так как можешь выпустить себе сертификат на имя любого руководителя отделения ПФР).

И дальше-то что? Я почему-то думаю, что реально важные вопросы там решаются не через цифровую подпись, а официальные документы, секретаршу, совещания и приказы, заверенные тремя лицами.

Вплоть до требований в банки, обязательных к выполнению.

Я подозреваю, что в случае подозрительной транзакции они позвонят и спросят «Олег Запердуевич, а это точно вы прислали»? Энивей, как только вскроется ошибка, любые подобные транзакции быстро откатываются.

kirk_johnson ★☆
()
Ответ на: комментарий от monk

Те базы данных копы сами распространяют. Также как Микрософт сам распространял «пиратские» ключи к винде.

А, ну это сильно меняет дело. Они не текут, они их сами льют. Мне, как владельцу этих данных, стало значительно легче. Ты помнишь, что диалог начинался с твоего вскукарека «кококо, как это вы власти-то не доверяете»?

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Эээ... ты не слышал, что провайдеров трафик обязали отправлять?

Хакеру? Вверх по ветки поднимись, мы рассматриваем потенциального хакера, который взломает госсервер и украдёт корневой сертификат для своих тёмных дел.

реально важные вопросы там решаются не через цифровую подпись, а официальные документы, секретаршу, совещания и приказы, заверенные тремя лицами.

Внутри - да. Снаружи (все требования в банк, письма юридическим лицам) - через цифровую подпись.

Я подозреваю, что в случае подозрительной транзакции

Легко можно заблокировать любого конкурента. Чуть сложнее вывести деньги (платёжка должна быть не подозрительная).

monk ★★★★★
()
Ответ на: комментарий от kirk_johnson

Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит?

Недавно сотни аккаунтов граждан РК были слиты. Теперь вот в целях «профилактики» создается новое некое агентство по защите персональных данных.

Deleted
()
Ответ на: комментарий от kirk_johnson

А, ну это сильно меняет дело. Они не текут, они их сами льют. Мне, как владельцу этих данных, стало значительно легче.

Это не твои данные. Это данные государства.

Кроме того, даже если бы базы были недоступны, спросить «по знакомству» можно было всегда. И поэтому практически все начальники СБ в организациях были из бывших ментов.

По нормальной схеме уже признали бы, что эти данные общедоступны и запретили бы уже законодательно дебильную политику «любой, кто предъявил копию паспорта считается лицом, указанным в паспорте». Но лягушку надо варить постепенно.

monk ★★★★★
()
Ответ на: комментарий от Deleted

Недавно сотни аккаунтов граждан РК были слиты.

На 18 миллионов населения? Может специально, чтобы был повод создать «новое некое агентство»?

monk ★★★★★
()
Последнее исправление: monk (всего исправлений: 1)
Ответ на: комментарий от monk

Хакеру? Вверх по ветки поднимись, мы рассматриваем потенциального хакера, который взломает госсервер и украдёт корневой сертификат для своих тёмных дел.

Понятия не имею, зачем ты это рассматриваешь. Я рассматриваю утечку собранных через суверенный CA данных.

Внутри - да. Снаружи (все требования в банк, письма юридическим лицам) - через цифровую подпись.

Легко можно заблокировать любого конкурента. Чуть сложнее вывести деньги (платёжка должна быть не подозрительная).

На редкость шаткий план. Проще дать ментам денег, чтобы чувака посадили, потому что в конце этого плана на киче окажешься именно ты.

kirk_johnson ★☆
()
Ответ на: комментарий от anonymous

на бывшей украине интернет просто обрубают без всяких сертификатов. блокируют все запросы к vk.com и всё.

В казахстане тоже молчат блочат все подряд, не заморачиваясь объяснениями и списками/реестрами. Годами был заблочен жж, прямо сейчас заблочены coub,soundcloud и deviantart. Вот нахрена?
Ютуб стабильно и совершенно случайно умирает через день по вечерам в момент трансляций «опозиции в изгнании».
Соцсети и месенджеры моментально умирают при начале малейших бурлений и протестов.

И все это с покерфейсом «мы ничего не блокировали, это у вас у самих что-то не работает.Э

owlmind
()
Ответ на: комментарий от kirk_johnson

Лол. Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит? А хранит оно их плохо, потому что не они не могут в безопасность. А значит, все это течет.


В случае с Казахстаном это в двойне забавно, потому что не далее как 2 недели назад обосрались на этом фронте
«База с полной информацией об 11 млн человек (это всё совершеннолетнее население страны), находилась в общем доступе. Любой желающий мог свободно получить доступ к системе или полностью загрузить её к себе локально», – говорится в сообщении центра

https://informburo.kz/novosti/carka-dannye-11-mln-kazahstancev-nahodilis-v-ot...

owlmind
()
Ответ на: комментарий от mx__

Вы прикиньте, а еще они даже могут получить ордер на обыск твоей квартиры.

Ты понимаешь разницу между «судебное постановление» и «ээээ слышь уася и дай мне его симку»?

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от Serbis

Причем тут твой туннель, болезный?

Речь шла о https. Ты спорол херню — я тебе по поводу этой херни пояснил.

anonymous
()
Ответ на: комментарий от Deleted

Я 2500 тенге)

А я работаю в крупном банке за белую зп и плачу дохрена.
И буквально каждый год добавляется новое говно.
В том числе 10% в пенсионный фонд. Со следующего года еще 5% накинут, «за счет работодателя» Деньги которые я через 30 лет 100% не увижу, в лучшем случае они обесценятся в какашку, в худшем их просто украдут при очередном объединении/разделении пенсионных фондов.
Так же 1.5% обязательно медицинское страхование, а со следующего года еще 1% «за счет работодателя». При том что получить реально нормальную медицинскую помощь за это нельзя. Например операцию по квоте тебе хер сделают если ты не занесешь хирургу денюжку. Это к вопросу о корупции, которая не «мешает».

И это только то что я непосредственно вижу в отчете по моей зарплате. Того что мне не видно, но работодатель «за меня» платит чтобы я у него работал там еще в 2 раза больше.

Не смешите курей этими «низкими налогами». То что от вас все попрятали и назвали по разному, не значит что вы это не платите.

owlmind
()
Ответ на: комментарий от owlmind

Значит тебе коррупция мешает. Сочувствую.

Deleted
()
Ответ на: комментарий от monk

Возможно. А возможно это обычная некомпетентность админов того сайта, где эти данные хранились. И теперь просто не хотят очередного нагоняя от руководства.

Deleted
()
Ответ на: комментарий от kirk_johnson

вот что написал тот чел.

оператор МТС, по запросу из МВД выдал сотрудникам правоохранительных органов дубликат сим-карты одного из своих клиентов.

На тот запрос тоже был ордер если что.

mx__ ★★★★★
()
Ответ на: комментарий от owlmind

Да, это та самая «утечка». А вообще egov.kz был дырявый некоторое время, щас хз как с этим. У меня там мои персональные данные и ЭЦП были.

Deleted
()
Ответ на: комментарий от Deleted

А вообще egov.kz был дырявый некоторое время, щас хз как с этим. У меня там мои персональные данные и ЭЦП были.

Там же цирк. Год назад зная иин можно было например узнать адрес человека. Заполняешь исковое заявление и адрес автоматически подставляется :D. А иин зная имя и фамилию можно с сайта нологовой вытащить.

owlmind
()
Ответ на: комментарий от owlmind

Напоминаю, что в казаше, как и в раше, моогут и сажают за неправильный репост или лайк. Сегодня перехватили твои пароли от фейсбука, а завтра ты поехал на зону, за репост, который ты не делал.

Вы сами себе противоречите. Если они перехватили значит и репост не твой... какой то детский сад развели. Нужны свидетели репоста, а так это просто репост от твоего аккаунта а ты его отправлял или кто другой этот вопрос открытый.

mx__ ★★★★★
()
Ответ на: комментарий от owlmind

Интересно, чья это вина, разработчиков или админов того сайта...

Похоже безопаснее по-старинке пользоваться бумажными данными, чем этим «электронным правительством»

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Значит собрана определенная база доказательств, но то что пишут в новостях это констатация факта но все может выглядеть совершенно по другому.

mx__ ★★★★★
()
Ответ на: комментарий от kirk_johnson

они выпускают сертификат на govno

Кирк Джонсон оденься и перестань фантазировать!

anonymous
()
Ответ на: комментарий от Deleted

Интересно, чья это вина, разработчиков или админов того сайта...

Я, кстати, немного делал egov. Ставят тебе задачу и делаешь. Говоришь, что мол тут через эндпоинт могут утекать данные, менеджерам в общем-то пофиг, если стоит задача сделать сервис, значит надо делать. Во главу ставится удобство пользователя. Если там полазить по разным услугам с девелопер тулзами внимательно, там, наверняка, можно много таких эндпоинтов найти, где по данным вытаскиваются интересная инфа. Например зная БИН можно вытащить по бизнесу кучу инфы, учредителей и тд. Я не уверен, правда, что это закрытая инфа, как и то, что по ИИН можно вытащить ФИО и наоборот.

Похоже безопаснее по-старинке пользоваться бумажными данными, чем этим «электронным правительством»

Нет никаких бумажных данных. Вся информация в электронных базах. От того, что ты не будешь ими пользоваться, информация, в том числе о тебе, оттуда не исчезнет.

Legioner ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.