LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от Legioner

Приехали. Даже нынешняя новость бледнеет в сравнении с осознанием, что такие дятлы рулят чувствительной системой...

Deleted
()
Ответ на: комментарий от Deleted

Да всё как везде. Аналитики пишут ТЗ, программисты программируют, тестеры тестируют, админы выкатывают. На самом деле там порядка больше, чем во всех других казахстанских проектах, которые я видел, а видел я их не мало. Поэтому можешь сильно не переживать, прямо жести там нет. Например разработчикам не дают доступ к продакшн базам. На уязвимости, конечно, никто ничего не тестирует, как ты себе это представляешь? Такого нигде нет.

Но вообще это всё было достаточно много лет назад. С тех пор вроде этот проект отжали у той компании, с которой я работал, не удивлюсь, если всё испортилось. Но сильно не следил, хз в общем.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 3)
Ответ на: комментарий от kirk_johnson

Я рассматриваю утечку собранных через суверенный CA данных.

Эти данные хранятся по тем же протоколам, по которым хранятся результаты прослушки. Давно полиция результат прослушки профукивала?

На редкость шаткий план. Проще дать ментам денег, чтобы чувака посадили, потому что в конце этого плана на киче окажешься именно ты.

Если дать ментам денег, то уже засветился. И у ментов своя внутренняя безопасность есть. А с цифровой подписью в недрах Интернета (особенно из какого-нибудь Сомали через пару VPN-ов) вычислить гораздо сложнее.

monk ★★★★★
()
Ответ на: комментарий от mx__

На тот запрос тоже был ордер если что.

Ты уверен? Потому что когда парни из вконтакта раздавали просто так, без всяких там ордеров.

kirk_johnson ★☆
()
Ответ на: комментарий от monk

Эти данные хранятся по тем же протоколам, по которым хранятся результаты прослушки. Давно полиция результат прослушки профукивала?

Результаты прослушки нужны только копам и подозреваемым. Подозреваемым проще взятку дать, чем ломать чьи-то там датацентры.

Если дать ментам денег, то уже засветился. И у ментов своя внутренняя безопасность есть. А с цифровой подписью в недрах Интернета (особенно из какого-нибудь Сомали через пару VPN-ов) вычислить гораздо сложнее.

Это все прикольно, но когда следак будет выяснять список подозреваемых, ВНЕЗАПНО ЗАИНТЕРЕСОВАННЫЕ КОНКУРЕНТЫ ТУДА ПОПАДУТ.

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Результаты прослушки нужны только копам и подозреваемым. Подозреваемым проще взятку дать, чем ломать чьи-то там датацентры.

Ещё конкурентам, например. По телефону часто пароли сообщают, например.

Расшифрованный дамп, что прошло через Интернет-провайдера, в общем-то тоже мало кому нужен. Вероятность найти там что-то ценное примерно такая же.

monk ★★★★★
()
Ответ на: комментарий от Legioner

там, наверняка, можно много таких эндпоинтов найти, где по данным вытаскиваются интересная инфа. Например зная БИН можно вытащить по бизнесу кучу инфы, учредителей и тд.

Поддерживаю. Я из другого совка, и принципы те же. Причём, краулер, связывающий данные пишется на раз-два, и вот уже база данных готова. А если поискать sql injection, то можно и чего интереснее найти.

Никогда не работал на гос.машину в нашем совке. Ублюдское отношение как по работе, так и по оплате. А вот с продуктами и людьми что на подсосе у кормушки имел дело: все так как ты описываешь.

P.S. За исключением заботы об удобстве. Главное проект сдать, а то, что им неудобно пользоваться, и не все функции реализованы, и работает через раз - насрать.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

P.S. За исключением заботы об удобстве. Главное проект сдать, а то, что им неудобно пользоваться, и не все функции реализованы, и работает через раз - насрать.

У нас обычно заказчик и исполнитель имеют взаимовыгодные отношения. Если исполнитель всё делает нормально, то потом заказчик старается, чтобы он выигрывал дальнейшие конкурсы. Поэтому в конечном счёте, конечно, оно так, главное проект сдать, деньги платят за это, но всё же стараются делать нормально, насколько это возможно.

Тут часто другая проблема. Полгода кота за яйца тянут, летом начинают шевелиться, объявляют конкурс, пара месяцев на всю бюрократию, в итоге осенью начинаешь делать, а сдавать надо до конца года то, что планировалось делать год. Фиг знает, почему так получается, но вот раз за разом это вижу.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

У нас обычно заказчик и исполнитель имеют взаимовыгодные отношения.

У нас они обычно родственники, или старые приятели, так что стараться не обязательно: это не повлияет ни на что.

Deleted
()
Ответ на: комментарий от monk

Ещё конкурентам, например.

Если конкурента прослушивают, значит взятка подействовала и копы занялись. И в чем интерес? Ты не шаришь, весь прикол большого массива не в таргетировании, а в обьемах.

По телефону часто пароли сообщают, например.

Ну и сколько человеколет нужно потратить на отслушивание?

Расшифрованный дамп, что прошло через Интернет-провайдера, в общем-то тоже мало кому нужен. Вероятность найти там что-то ценное примерно такая же.

Лол. grep password, grep facebook.

kirk_johnson ★☆
()
Ответ на: комментарий от Deleted

Почему картавые, это просто такой тип произношения. Никто тебе не запрещает привычно «рыкать» как в старых песнях, у них это правда считается устаревшим (деревенским).

anonymous
()
Ответ на: комментарий от anonymous

Насколько я знаю, рыканье присутствует в корсиканском диалекте (сильно отличается, как будто говорит иностранец, но приколько). Это где-то на границе с Италией вроде. Примеры произношения можно услышать в фильмах Les allumettes suedoises 1996 (вторая половина третьей серии) и La gloire de mon pere|Le Chateau de Ma Mere 1990.

anonymous
()
Ответ на: комментарий от Legioner

Полгода кота за яйца тянут, летом начинают шевелиться

Ну это фирменный казахский менталитет, проявляется во всем. Люди не спешат.

Deleted
()
Ответ на: комментарий от Legioner

На уязвимости, конечно, никто ничего не тестирует, как ты себе это представляешь? Такого нигде нет.

Пентестеры есть. Только им денег платить придется нормальных, а не как обычно.

praseodim ★★★★★
()
Ответ на: комментарий от lex10o6

О, боги, розовый. Лучше бы сразу поставил фотку Машани на фон.

Deleted
()
Ответ на: комментарий от owlmind

Годами был заблочен жж, прямо сейчас заблочены coub,soundcloud и deviantart. Вот нахрена?

Если есть возможность как-то заблокировать куда-то доступ то кто-то вполне может это зделеть на собственное усмотрение, просто мог стиль фотографий/картинок/рисунков/музыки не понравится... Это очень распространённое явление, люди постоянно пользуются своими полномочиями на своё личное усмотрение. Посмотрел кто-нибудь deviantart и решил забанить богонеугодние картинки просто по собственному желанию, никого не спрашивая... Людей считающих что они лучше других знают что кому можно очень много...

AdminOfLocalHost
()

Отбросили в феодализм. Теперь электронное голосование нет смысла считать достоверным — проголосуют так, как угодно спецслужбе-владелице сертификата посредника.

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

Теперь электронное голосование нет смысла считать достоверным — проголосуют так, как угодно спецслужбе-владелице сертификата посредника.

Так голос же тогда будет подписан сертификатом-посредником. Легко проверить.

monk ★★★★★
()
Ответ на: комментарий от Im_not_a_robot

Зачем вообще нормальному человеку жить в стране, название которой заканчивается на «-стан»?

Его там родили, например.

Не только, например отправили на работу, потом ссср рухнул и вот «внезапно» ты гражданин не ссср, а той «новой» страны где пребываешь.

anc ★★★★★
()
Ответ на: комментарий от odin_ago

А толку? Тот, кто хочет поставить госсертификат просто поставит такой браузер, который это позволит. И даже если все браузеры заблокируют сертификат, никто не помешает пропатчить любой с открытыми исходниками и выложить на казахском госсайте.

monk ★★★★★
()

современные браузеры же не сожрут такой трюк для HSTS и HKP. ну и поверх любого протокола https можно гнать ещё один уровень шифрования. достаточно иметь какой-нибудь VPS снаружи. так что в целом ничего не меняется, кроме гемора попыток перешифрования трафика (често говоря, не представляю это возможным для объёмов отдельно взятой страны с миллионами юзеров). тащемта, вангую, что обломаются оне. это ж любой говноюзер тупым генератором запросов их сервер положить сможет. всё поляжет, а потом они сами откажутся от этой идеи.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

современные браузеры же не сожрут такой трюк для HSTS и HKP.

Сожрут. HSTS к делу отношения не имеет, HPKP уже устарел и тоже отключается автоматически, если устанавливаешь сертификат. Единственное, что не сожрётся, это Google Chrome, который пиннит сертификаты от google.com и их для него подменить невозможно.

тащемта, вангую, что обломаются оне

У меня на телефоне уже ряд сайтов MITM-ятся, например google, facebook, vk.

всё поляжет, а потом они сами откажутся от этой идеи.

Дай-то бог. Но я сомневаюсь. Это не идея, это закон, который был принят ещё в 2015 году. Чтобы от него отказаться, нужно принять новый закон. А предпосылок к этому не видно. Население восторженно приветствует эту защиту от хакеров и радостно устанавливает себе и другим этот сертификат. Мне сегодня чуть не установили, еле отогнал ссаной тряпкой от оборудования.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 4)
Ответ на: комментарий от Legioner

не сожрут. ты хоть раз пробовал обмануть современный браузер с сайтом, у которого нормальный серт? вот попробуй и обломайся. не надо всякие левые серты себе ставить - это и ежу понятно. VPS снаружи и всё через него. да даже Тор то же спокойно это всё обойдёт. короче говоря, засекай время - через неделю это всё заглохнет и откатится. может, даже быстрее, если юзеры начнут троллить систему.

P.S. да, при этом важно ещё надёжный DNS криптографический себе поставить, чтобы подмены были исключены).

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 2)

Однако здравствуйте.

В Казахстане обязали устанавливать

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

государственный сертификат для MITM

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

Без установки интернет работать не будет.

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

от лица любого пользователя можно будет написать что угодно.

ТС бредит. Ну или пусть попробует сгенерировать новый сертификат, загрузить его к себе в браузер и написать на ЛОР от лица шамана.

Мне лень перечитывать 21 страницу, кто-то уже задавал эти очевидные вопросы и получил на них ответы?

Aceler ★★★★★
()
Ответ на: комментарий от monk

Ну, как бы. Если я установил и постоянно обновляю браузер из официального источника (с сайта браузера/из репозитория дистрибутива), то при попытке установить этот сертификат с госсайта, мне по идее браузер (если бы он был хорошим, чего сейчас не наблюдается) должен был не просто тихо кинуть ошибку, а сказать, в чём именно проблема и чем именно это грозит. Хороший браузер не может исключить вообще все MITM-атаки, включая те, которые идут мимо него, через госбраузер. А дать понять юзеру, что на самом деле происходит, прежде чем он полезет скачивать госбраузер, всё же можно и нужно.

odin_ago
()
Ответ на: комментарий от Iron_Bug

не сожрут.

Сожрут и не подавятся.

ты хоть раз пробовал обмануть современный браузер с сайтом, у которого нормальный серт? вот попробуй и обломайся.

Пробовал. Всё работает как полагается. А ты не спорь, а почитай по теме.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.

И поддержку снизу статьи: из актуальных браузеров поддерживается только в Firefox.

не надо всякие левые серты себе ставить - это и ежу понятно.

А без всяких левых сертов у тебя сайт и так не откроется, без всяких HPKP браузер левым сертам не доверяет.

VPS снаружи и всё через него

Это выход, да. Пока не забанят твой VPS.

даже Тор то же спокойно это всё обойдёт

Ага, только Тор в Казахстане уже давно забанили.

короче говоря, засекай время - через неделю это всё заглохнет и откатится

Отпишусь через неделю, если не забуду.

P.S. да, при этом важно ещё надёжный DNS криптографический себе поставить, чтобы подмены были исключены).

Зачем и для какого сценария?

Legioner ★★★★★
()
Ответ на: комментарий от Aceler

Устанавливать не обязывают, а рекомендуют. Без установки не будут открываться ряд сайтов, например google, facebook, vk. На данный момент перехватывают ограниченное число соединений, да и на эти сайты тоже далеко не все соединения, но, естественно, в будущем могут и всё перехватывать. Подразумевается, что государство сможет перехватить твой логин и пароль на LOR и зайти под твоим именем. Ничего невозможного в этом нет. Техническая возможность есть, прецеденты как минимум в России были, когда оперативники по решению суда получили копию сим-карты и вошли в чужой телеграм.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

Не работает только через государственный прослушиваемый канал связи, т.е. не сливает данные. А дальше у пользователя будет выбор: если он осознанно решил сливать свои данные путину, пусть исползует браузер соответствующего типа с соответствующей репутацией, а если хочет сохранить конфиденциальность - пусть использует тор или что-то подобное (можно захардкодить инструкцию и показывать всякий раз, когда предлагается использовать этот сертификат).

odin_ago
()
Ответ на: комментарий от odin_ago

Любой браузер не сливает данные, пока ты туда своими руками не установишь нужный сертификат, как доверенный. Поэтому выбор у пользователя есть изначально. А ты предлагаешь лишить пользователя этого выбора.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

sms из оп-поста предполагает, что пользователь не понимает, что его данные сливаются, и вероятно не хочет этого (иначе бы сказали правду). И вот именно слив данных по-тихому я и считаю, что хороший браузер должен остановить.

odin_ago
()
Ответ на: комментарий от Legioner

Население восторженно приветствует эту защиту от хакеров и радостно устанавливает себе и другим этот сертификат.

Разве что эникеи и айтишники. Домохозяйкам это не под силу.

Deleted
()
Ответ на: комментарий от Legioner

оперативники по решению суда получили копию сим-карты и вошли в чужой телеграм.

какой кошмар!!! Какое беззакони... Ээээ...

targitaj ★★★★★
()
Ответ на: комментарий от odin_ago

то при попытке установить этот сертификат с госсайта, мне по идее браузер (если бы он был хорошим, чего сейчас не наблюдается) должен был не просто тихо кинуть ошибку, а сказать, в чём именно проблема и чем именно это грозит.

Первый раз предупреждение кидает ОС (что-то вроде «вы устанавливаете сертификат как корневой доверенный. Точно ли Вы доверяете этому сертификату»). Второй раз на каждый сайт с MITM браузер даёт предупреждение «сертификат подозрителен, возможно соединение небезопасно».

Как ещё надо «сказать, в чём именно проблема и чем именно это грозит»?

monk ★★★★★
()
Ответ на: комментарий от odin_ago

Хороший браузер должен написать ему, что его данные под угрозой. Это я поддержу обоими руками. Например перечеркнуть https.

Legioner ★★★★★
()
Ответ на: комментарий от monk

Второй раз на каждый сайт с MITM браузер даёт предупреждение «сертификат подозрителен, возможно соединение небезопасно».

Нет.

Legioner ★★★★★
()
Ответ на: комментарий от Iron_Bug

вот попробуй и обломайся. не надо всякие левые серты себе ставить - это и ежу понятно. VPS снаружи и всё через него. да даже Тор то же спокойно это всё обойдёт

Если будет как в КНР, то в течение нескольких дней после установки VPS/VPN/Tor на домашний компьютер, тебя вежливо пригласят в полицейский участок, пару часов порасспрашивают, что именно перекачиваешь через шифрованный канал, зачем. Если убедишь, что очень надо, попросят предоставить ключи доступа или (если сессионные), предложат поставить их троян на свой компьютер.

Есть более жёсткий вариант как в ЕС (можно получить штраф на сотню тысяч евро за «нарушение информационной безопасности и интеллектуальных прав»).

Есть более мягкий вариант как в РФ или на Украине (всё население обучается пользоваться VPN, так как есть ответственность за распространение, но нет за использование).

monk ★★★★★
()
Ответ на: комментарий от Legioner

Нет.

Речь про PaleMoon.

That being said, Pale Moon being non-mainstream and by default not observing the Windows certificate store, it is unlikely that any certificate will be installed in its truststore by other software, and you will get a warning when trying to connect through a MitMed connection, in particular the same type of warning you'd get by having antivirus install a wildcard certificate that hasn't been issued by a trusted CA.

monk ★★★★★
()
Ответ на: комментарий от Legioner

А гугл на .kz, .ru или .com?

Астана же передовая столица, так что внедрение «инновационного» начинается отсюда.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от monk

Непонятно, к чему это всё. Сертификат пользователь ставит руками, хз, про что они пишут. Заходи в настройки и импортируй.

Legioner ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.