LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от anonymous

Попробуй понять, что Мозиллка и сама не святая, были скандалы, телеметрия, адварь, вот это всё.

Deleted
()
Ответ на: комментарий от Deleted

Попробуй понять, что сундук казахстанских тугриков не окупает репутационные риски, да и NSA не одобрит.

anonymous
()

У меня есть даже вариант покруче, устанавливать этот серт и аппаратный спай в каждое устройство, ввозимое в КЗ (после прохождения таможни), большинство узнает, но не сразу. Если вообще узнают. И не надо пользователей просить установить что-то непонятное. Не надо их отвлекать от просмотра котиков.

Deleted
()
Ответ на: комментарий от Deleted

У меня есть даже вариант покруче, устанавливать этот серт и аппаратный спай

Лучше установи его в свой сарай, чтобы коням спокойней было.

anonymous
()
Ответ на: комментарий от anonymous

А зачем он мне. Я человек честный мне скрывать нечего. В базе, на всякий случай, по удостоверению есть. Там мой адрес, телефон. Правда, придется майору Тенгебаеву адресат объяснять...

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Я живу в советском многоэтажном доме на третьем этаже. Сараев тут нет. А джайляу с конями аж за 500 км отсюда.

Deleted
()
Ответ на: комментарий от mx__

На тот запрос тоже был ордер если что.

если бы там был судебный ордер, МТСу не пришлось бы маневрировать и отнекиваться

Ford_Focus ★★★★★
()
Ответ на: комментарий от anonymous

Я не понял твой юмор, братан...

Deleted
()
Ответ на: комментарий от Deleted

ага. и когда всякие ламеры мне тут рассказывают про DPI аж на уровне трафика всей страны(!), мне почему-то смешно. я сейчас уже давно не живу в Казахстане, но уверена, что с тором и VPN там всё нормально. у тех, у кого голова на плечах, а не у таких, как вы.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

я сейчас уже давно не живу в Казахстане, но уверена, что с тором и VPN там всё нормально

Всё что нужно знать об уровне твоего мышления.

Deleted
()
Ответ на: комментарий от BLOBster

Он щас и на твоё сообщение пожалуется

Deleted
()
Ответ на: комментарий от Deleted

Всё что нужно знать об уровне твоего мышления.

Заберите свою рептилию обратно.

anonymous
()
Ответ на: комментарий от Iron_Bug

с тором и VPN там всё нормально

Посмотрел в графане, наш VPN точно работает без проблем, очень много сессий из KZ. Тор конечно легче забанить, у него больше инфы в открытом доступе о нодах.

Censo
()
Ответ на: комментарий от Censo

о каких нодах? обо всех сразу? мы про исходящее соединение говорим. и уж точно не про казахстанские сайты (кому бы они сдались через тор).

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

о каких нодах? обо всех сразу? мы про исходящее соединение говорим. и уж точно не про казахстанские сайты (кому бы они сдались через тор).

Я о том, что для сети Тор очень просто собрать список всех входных релеев и заблокировать их. Так как есть открытый список, а для тех релеев, которые не в списке - запустить несколько Tor клиентов и оттрассировать куда они пытаются лезть.

Censo
()
Ответ на: комментарий от Censo

ага, и потом засунуть себе куда-нибудь эту трассировку, потому что входных нодов быть сколько угодно и они могут быть любыми.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Censo

что для сети Тор очень просто собрать список всех входных релеев

Лол, нет. Читай как оно работает. Подсказка для особо одаренных — не все входные релеи в этом списке.

peregrine ★★★★★
()
Ответ на: комментарий от Iron_Bug

что с тором и VPN там всё нормально. у тех, у кого голова

Ну таки в этом она права. У меня и моих коллег действительно все работает, и впн и тор.
Во время блокировок меседжеров при митингах вообще забавно было, из всех общих чатов активыным остался только чатик с коллегами дитовцами.

owlmind
()
Ответ на: комментарий от Censo

запустить несколько Tor клиентов и оттрассировать куда они

пытаются лезть

Это уже за пределами нвыков и энтузиазма наших блокираторов. Они впн блочат то только сайт с клиентом, не трогая ноды.

owlmind
()

вы как не линуксоиды прямо.

VPN в природе есть. есть возможность нарушать протокол между своим VPN и своим ПэКа. никто ж не запрещает «на словах» согласиться с говносертификатом, но шифровать всё равно своим ключём.

example_cat
()
Ответ на: комментарий от Deleted

Всё что нужно знать об уровне твоего мышления.

Деточка, ты не на дваче, попридержи свой школьный сленг.

Alve ★★★★★
()
Ответ на: комментарий от torvn77

Мне здравый смысл подсказывает что авторам лживых сообщений просто не будут верить.

Здесь история про пастушка и волков.

sena ★★
()
Ответ на: комментарий от Legioner

А то, что у тебя пока что всё работает - ну ты же понимаешь, что это только временно.

Наверняка Астаной и ограничится. Шымкент как всегда на задворках страны.

Deleted
()
Ответ на: комментарий от anonymous

Может быть можно что-то сделать, кроме как наблюдать?

Перерезать провода?

Ramil ★★★★
()
Ответ на: комментарий от Deleted

В общем, шумиха на ровном месте, сертификат есть да никто не ставит, он носит сугубо рекомендательный характер. Проверяйте сведения прежде чем новости клепать :D

А зачем? Веселье в самом разгаре!

Ramil ★★★★
()
Ответ на: комментарий от buddhist

Зачем вообще нормальному человеку жить в стране, название которой заканчивается на "-стан"?

А как на счёт республики в составе России?

Ramil ★★★★
()
Ответ на: комментарий от sena

Так на то и расчёт, типичная провокация на самодискридитацию, а окружающие, в том числе ТС рады вестись.
И хотьбы потом эта bad faces @PPP328 название темы на нормальное поменяла.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от peregrine

Лол, нет. Читай как оно работает. Подсказка для особо одаренных — не все входные релеи в этом списке.

Внимательнее читать не пробовали? «запустить несколько Tor клиентов». Если что я работаю в VPN сфере и занимаюсь в том числе антиблокировкой, так что прекрасно понимаю как это работает.

Censo
()
Ответ на: комментарий от Iron_Bug

ага, и потом засунуть себе куда-нибудь эту трассировку, потому что входных нодов быть сколько угодно и они могут быть любыми.

Как я уже сказал, занимаюсь VPN и антиблокировкой, поэтому знаю на профессиональном уровне как работают цензоры в разных странах, так как сталкиваюсь с этим каждый день. Набор релеев тора вполне ограничен, никто особо не горит желанием поднимать и гонять через себя трафик забесплатно. Откуда их будет сколько угодно, может подскажете, они размножаются сами почкованием? Набор вполне себе ограничен, хоть и меняется со временем. Активным _распределённым_ сканом и последующим мониторингом валится на ура, так как Onion это открытый протокол и обязан принимать подключения от всех желающих. А запущенные во _множестве_ разных точек клиенты Тор будут снабжать цензоров актуальным списком релеев. Ну уровне государства раз плюнуть, просто ума не хватает.

Censo
()
Ответ на: комментарий от owlmind

Это уже за пределами нвыков и энтузиазма наших блокираторов. Они впн блочат то только сайт с клиентом, не трогая ноды.

Именно так, подозреваю что профессионалы не сильно хотят работать в сфере аля Роскомнадзор или подобные.

Censo
()
Ответ на: комментарий от Censo

протокол открытый. но каждый юзер вправе у себя локально что угодно запрещать. открытость протокола не означает безразличие и тупость юзеров, когда их хотят поиметь.

я программист и я понимаю, что невозможно перекрыть интернет. только физически, перерубанием кабеля. я видела TCP через DNS и многое другое. нет и не может быть универсального DPI. сама структура сети аннулирует такую возможность.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

протокол открытый. но каждый юзер вправе у себя локально что угодно запрещать. открытость протокола не означает безразличие и тупость юзеров, когда их хотят поиметь.

Давайте по конкретике, Казахстан, релеи тора, юзеры сидят на JSC Qazaqtelecom. Это самое JSC на тех же диапазонах Residential IP, на каких сидят все его юзеры, (рандомно, динамически) поднимает Tor клиенты, собирает релеи и в бан лист на час до следующего скана. Эти же IP ротируются и раздаются клиентам. Что вы локально запретите, подскажете поточнее? Возможно даже секрет не открою, что в некоторых странах так именно и делается.

сама структура сети аннулирует такую возможность.

Структура сети ничего не аннулирует. Пример: openvpn/IPSEC банится DPI по протоколу на ура и структура сети ничего не может с этим сделать. Это игра в кошки-мышки чем и занимаюсь я отчасти.

Censo
()
Последнее исправление: Censo (всего исправлений: 1)
Ответ на: комментарий от Ramil

Б-же упаси. В России вообще не стоит жить нигде, кроме ДС.

buddhist ★★★★★
()
Последнее исправление: buddhist (всего исправлений: 1)
Ответ на: комментарий от Censo

Именно так, подозреваю что профессионалы не сильно хотят работать в сфере аля Роскомнадзор или подобные.

Конкретно в казахстанских гос и около того конторах все еще грустнее. Профессионалов туда просто не берут, берут братьев/сватьев/племянников. И если в других сферах это еще как-то работает, то тех.специалист или умеет или нет.

owlmind
()
Ответ на: комментарий от Censo

ну, если совсем строго, то есть MAC и по нему можно запрещать. стопудово госструктуры MAC не переписывают. но из страны, где нет статических IP, надо просто валить нахрен.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от owlmind

Конкретно в казахстанских гос и около того конторах все еще грустнее. Профессионалов туда просто не берут, берут братьев/сватьев/племянников. И если в других сферах это еще как-то работает, то тех.специалист или умеет или нет.

Вы не поверите, я ж с Казахстанского IT :D Видел воочию, пока не свалил оттуда после универа, так как перспективы такого развития были более чем очевидны. Согласен абсолютно.

Censo
()
Ответ на: комментарий от Iron_Bug

ну, если совсем строго, то есть MAC и по нему можно запрещать. стопудово госструктуры MAC не переписывают. но из страны, где нет статических IP, надо просто валить нахрен.

Если вы про MAC адрес, то на L3 уровне его уже не видно, даже в локальной сети провайдера его не маскарадить будет себе дороже, так как спуфинг никто не отменял. А на что способно государство, лучше всего смотреть на примере Китая, вот там много весьма занятных прецедентов, включая фильтрацию трафика на самой машине пользователя, а также активный DDOS с IP принадлежащих конечным пользователям

https://blog.thousandeyes.com/deconstructing-great-firewall-china/

https://wccftech.com/china-great-cannon-involved-in-ddos-attacks/

Censo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.