LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,

В Казахстане обязали устанавливать государственный сертификат для MITM

9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Deleted (всего исправлений: 4)
Ответ на: комментарий от Censo

ну, я общалась с людьми из Китая. обходили и обходят этот хвалёный файрвол. более того, китайских ботов больше всего в сети. именно потому, что ищут дыры для обхода. такая страна становится токсичной в сети. ничего хорошего из этого не выходит.

а «DDOS с IP конечного пользователя» - это обычно дырявый проприетарный софт, который тупо ломают и используют. причём использует эти дыры кто попало. тут не надо искать «большого брата».

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 3)
Ответ на: комментарий от Iron_Bug

а «DDOS с IP конечного пользователя» - это обычно дырявый проприетарный софт, который тупо ломают и используют. причём использует эти дыры кто попало. тут не надо искать «большого брата».

Я не так в этом уверен, их файрволл не пассивно фильтрует трафик, а очень даже активно сканит сервера, к которым подсоединяются люди из Китая.

ну, я общалась с людьми из Китая. обходили и обходят этот хвалёный файрвол.

Наша VPN технология тоже его обходит, не зря изучаем его специфики. Играем в кошки-мышки.

Censo
()
Ответ на: комментарий от Censo

очень даже активно сканит сервера, к которым подсоединяются люди из Китая

кто сканит? не надо везде искать «большого брата». 90% сканов - это всякая школота. а самый тупой и эффективный дидос вообще позволяет спуфить IP и не заморачиваться с каким-то взломом.

однако, если какое-то говно валится с пула динамических айпишников, то админ не станет мудрствовать лукаво и забанит весь диапазон. я лично так и делаю у себя на серверах. и если Казахстан будет источником какого-то вредоносного трафика, его просто забанят везде - вот и всё. Китай забанен практически везде.

в общем, я хочу сказать, что разводить такую помойку на государственном уровне чревато для самой страны-источника проблем. но миру это не угрожает.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

кто сканит? не надо везде искать «большого брата». 90% сканов - это всякая школота. а самый тупой и эффективный дидос вообще позволяет спуфить IP и не заморачиваться с каким-то взломом.

Я вроде бы дал понять, что компания где я работаю профессионально занимается VPN и сопутствующим антиблокингом, как думаете, у нас работают люди которым надо объяснять виды DOS и как работает IP спуфинг, или тем более, как устроены цензоры в разных странах?

Еще раз повторю, что китайский VPN при подключении из страны сканит сервер и если видит на нём рабочие протоколы типа IPSEC/OpenVPN банит IP сразу, так что следующие подключения не работают. Это результаты конкретных экспериментов. Если не может определиться что это за сервер, начинает сильно throttle'ить соединения.

А вот у вас какая была методика определения, что «90% сканов - это всякая школота»? А то похоже на голословное утверждение.

Censo
()
Ответ на: комментарий от Censo

как только кто-то начинает что-то сканить - он обычно попадает в бан. и, как правило, порты VPN не открывают на весь мир. я тоже работаю в компании, которая занимается защитой от тех самых дидосов. я видела немало всякого барахла в сети, и не только на этой работе, а наблюдала всё это на самых разных уровнях. я и сама админю многие сервера и не вижу особых проблем при правильной настройке сервера.

сканирование портов просто не нужно никому, кроме школоты. по указанной выше причине: нормальный админ не открывает порты всему миру. и скан моментально определяется и блокируется. также если с какой-то подсети повалит какой-то шлак, то её просто заблокируют целиком, вот и всё. никто не будет разбираться, что там за особенности национальных файрволлов. как-то был даже случай конфискации диапазонов выданных айпишников. именно по причине вредоносной активности.

если даже какие-то тупые китайцы сканируют порты, то это просто означает, что они уровнем не ушли далеко от школоты. ну, бывает. и хрен с ними, если честно. наши тоже как какой-нибудь маразм придумают - так никаких фейспалмов не хватает. но это никому не мешает использовать интернет.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 4)
Ответ на: комментарий от Censo

но вообще так, мой опыт наблюдения за китайскими ботами показывает, что они чаще всего просто ищут известные дыры в безопасности для рассылки спама, либо пытаются захватить ресурс с целью использования его как бесплатного VPN для обхода своего дурного файрволла. но я не слишком углублялась в вопрос. на серверах с какими-то общественными ресурсами я чаще всего сразу китайские диапазоны баню: ты ещё домен не успел зарегистировать, а китайские боты уже тут как тут. чтобы не создавать лишнюю нагрузку на сервер, их проще сразу отсекать. безусловно, в сети полно и других ботов. но почему-то китайские особо настырные и тупые.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от Iron_Bug

как только кто-то начинает что-то сканить - он обычно попадает в бан.

Поздравляю. Во первых, вы только что сделали уязвимость в вашей компании, позволяющую удалённо вырубить произвольный диапазон через засылку, например, SYN-скана со спуфленных адресов. Во-вторых, это абсолютно бесполезно так как не-школота давно знает как использовать Stealth Scanning - https://www.giac.org/paper/gsec/1985/stealth-port-scanning-methods/103446

как правило, порты VPN не открывают на весь мир.

Мы вроде здесь говорим про открытый для людей VPN и про частный VPN для себя? Так вот при попытке подключения из Китая, файрволл использует IP этого юзера для скана, там не совсем не идиоты это проектировали. Так что это будет работать с любым VPN, к которому имеете доступ именно вы.

я тоже работаю в компании, которая занимается защитой от тех самых дидосов

Если ваша методика это добавление IP сканеров в бан, то я бы не хотел работать с такой «защитой»

если даже какие-то тупые китайцы сканируют порты, то это просто означает, что они уровнем не ушли далеко от школоты.

Вопрос про школоту был риторическим, у вас, как я понимаю, данных никаких нет. Так вот, по данным наших SecOps большинство сканов идёт не от школоты а от вполне идентифицируемых по паттерну ботнетов, которые постоянно ищут уязвимые системы в сети. Из недавних например было хорошо видно Mirai и подобные https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html Эти же ботнеты потом создают трафик для DDOS, далеко не школота этим занимается и вполне себе зарабатывает на этом.

Censo
()
Ответ на: комментарий от Censo

во-первых, мы не говорили про какую-либо компанию. форум - это не то место, где я бы стала обсуждать какие-либо рабочие вопросы. во-вторых, скан адресов с целью выяснения каких-то протоколов - это не syn-флуд, далеко не. в третьих, ботнетов в основном и запускает школота на калолинюксе.

в общем, я вижу, что дальнейшее обсуждение неконструктивно и бесполезно.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

в общем, я вижу, что дальнейшее обсуждение неконструктивно и бесполезно.

Не могу с этим не согласиться.

во-первых, мы не говорили про какую-либо компанию. форум - это не то место, где я бы стала обсуждать какие-либо рабочие вопросы. во-вторых, скан адресов с целью выяснения каких-то протоколов - это не syn-флуд,

Так как собеседник не знает отличия TCP SYN Stealth scan от SYN flood attack: https://nmap.org/book/synscan.html - может пригодится. Если что в nmap это «SYN scan is the default and most popular scan option for good reason».

Censo
()
Ответ на: комментарий от Deleted

Неподкупных организаций не бывает. Покупается всё. Только суммы разные.

Увидимся! Я вам объясню, в чём вы неправы...

anonymous
()
Ответ на: комментарий от Deleted

Мозилла — организация лицемерия и двойных стандартов.

Я это должен комментировать?...

anonymous
()
Ответ на: комментарий от Deleted

Это твои подельники или кто?

Нет. С такими как ты, в цивилизованном мире никто давно уже не общается. Сообщается в порядке информации...

anonymous
()
Ответ на: комментарий от anonymous

Извините, у Китая вроде вполне получилось, у них там свои сборочки со своими бэкдорами и свои браузеры. Американские спецслужбы в прошлый раз по-моему не оценили когда Китай пытался с помощью своих регистраторов залезть в компьютеры всему миру (и даже у кого-то лицензии отозвали), но я уверен с тех пор у них всё получилось. У России же вроде тоже получилось что-то, раз левые сертификаты без вопросов за валидные считаются (или там специально для Россиюшки отдельный серт с ключами у тов. майора я не разобрался до конца).

anonymous
()
Ответ на: комментарий от anonymous

Настолько сильно хочется?

Так прикола ради спросил

Ramil ★★★★
()
Ответ на: комментарий от Censo

ХЗ где вы работаете, но показываете весьма странные знания. Простой список всех нод, включая те, которые доступны через бриджи, получить невозможно. Можно только постараться вычислить трафик тора через DPI и лочить его по признакам протокола (как и всё что не распознаётся как известные соединения).

peregrine ★★★★★
()

Страны Океании ориентируются на Китай. За пять лет много чего запретили. Сайты, мессенджеры, местами даже ssh.

Итог? Любимый порносайт не работает, пришлось 5 минут гуглить рабочий. Всё остальное решается с помощью vpn.

Мне кажется, они просто пилят деньги. Эти ограничения даже не могу назвать жалкой попыткой.

lochness
()
Ответ на: комментарий от Censo

Не могу с этим не согласиться.

Ты в принципе зря начал диалог с поленом.

Почитай её сообщения хотя бы в этом треде, уровень знаний о том, как устроен окружающий мир, очевиден.

Popil_Bablosov
()
Ответ на: комментарий от anonymous

Вот и я об этом. Сама Мозилка мухлевала что-то с адварью и телеметрией. Подробностей не помню потому что мне неинтересны эти подковерные игры Мозилки и разведслужб, но люди разбирающиеся в данном вопросе, знают, что из себя представляет mozilla и кому она подчиняется. Верить в честность какой-либо, пусть некоммерческой, организации в 2019 — святая наивность.

Deleted
()
Ответ на: комментарий от Deleted

А ты сам казах?

Я=русский, гражданин Республики Казахстан, живу в столице страны городе Нур-Султан...

anonymous
()
Ответ на: комментарий от Deleted

Пускай казахи тоже почитают, а то что всё только анбшники меня палят.

Кому ты нахрен нужен, чмо...

anonymous
()
Ответ на: комментарий от anonymous

Кому ты нахрен нужен, чмо...

Он платит налоги, значит нужен. Дёшего рабочасы отрабатывает - нужен.

anonymous
()
Ответ на: комментарий от Censo

да будет тебе известно, что сервисы не привязаны к портам. внезапно. и ты никаким образом не выяснишь, что установлено на сервере и на каких портах, если ты не откроешь сессии. и syn-ов тебе не хватит, и никакого стелса. но, во-первых, тебя никто не пустит на те порты, на которые ты ломишься с левых адресов, а во-вторых твои попытки будут моментально засечены и забанены на большинстве серверов. так что школоло-разведка не пройдёт.

и это я не говорю про маскировку трафика, юзерские сертификаты, туннели, TLS 1.3, QUIC, multipath и многое другое. я работаю с сетевыми протоколами на низком уровне много лет и в деталях знаю, как и что работает в TCP и не только в нём. я могу много чего обойти. точнее, я не могу назвать ничего, что нельзя было бы обойти, теоретически. так устроен интернет: он хорошо защищён от сбоев и возможных умышленных попыток его сломать. примитивные китайские боты меня никоим образом не волнуют. это такая шелуха, на которую только школота и начинающие админы локалхоста возбуждаются.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

Чсв тебе конечно не занимать, как и скудоумия.

anonymous
()
Ответ на: комментарий от monk

Так голос же тогда будет подписан сертификатом-посредником. Легко проверить.

Голос будет учтён по иному пути аутентификации, не с помощью общепринятой PKI (распределённой системы доверия на основе публичных и приватных ключей). А это — риск того, что голос при голосовании может быть подделан. Ведь он больше ничем не защищён, кроме «честного слова» разработчика системы голосования.

iZEN ★★★★★
()
Ответ на: комментарий от Censo

Это результаты конкретных экспериментов. Если не может определиться что это за сервер, начинает сильно throttle'ить соединения.

Самое лучшее - это если он ошибочно определит сервер как безопасный для цензуры, такое возможно?

praseodim ★★★★★
()
Ответ на: комментарий от iZEN

Если система голосования открытая, то это несложно решается. Во-первых ведётся открытый лог выпущенных сертификатов, во-вторых к голосованию допускаются только сертификаты, выпущенные не позднее недели до голосования, чтобы каждый гражданин мог проверить лог на предмет выпуска несанкционированных им сертификатов и отозвать их.

Legioner ★★★★★
()
Ответ на: комментарий от praseodim

Нет. Кстати, в рунете некоторые операторы тоже шейпят трафик, если не могут его чекнуть.

anonymous
()
Ответ на: комментарий от praseodim

Самое лучшее - это если он ошибочно определит сервер как безопасный для цензуры, такое возможно?

Именно так, если там будет открыт только порт 443/TCP и привязан частный не сильно подозрительный домен. Наличие SSH, 8080 proxy итд - шанс на троттлинг. SSH тоже замедляется, для консоли достаточно, для ssh TCP forwarding уже проблемы. Полностью обфусцированные протоколы типа Signal тоже были не так давно забанены, если память не изменяет, поэтому только мимикрия.

Censo
()
Ответ на: комментарий от Censo

Полностью обфусцированные протоколы типа Signal тоже были не так давно забанены, если память не изменяет, поэтому только мимикрия.

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

Старые пердуны тормозят прогресс. Никогда такого небыло и вот опять.

beaver
()
Ответ на: комментарий от praseodim

То есть, если их фарвол не может вообще понять, что за протокол, на всякий случай его сразу банят? А как он поступает с icmp-пакетами интересно?

Не банят а замедляют, то есть соединение есть, но с течением времени оно сильно замедляется (тк основной признак туннеля это долгая сессия). По ssh сидеть в консоли можно, но форвардить TCP - уже нет. Думаю icmp пропускать 1 пакет в секунду еще более вероятный шейпинг, так как серия пакетов icmp больше трёх уже будет вызывать подозрения.

Забанили они по моему полностью обфусцированные протоколы, но не все. Если я не ошибаюсь, shadowsocks в Китае еще жив, а это наводит на подозрения по поводу его потенциального взлома.

Censo
()
Последнее исправление: Censo (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

тупые китайцы уровнем ушли недалеко от школоты

А ты тоже распространяешься на этом форуме как бот, иди лучше рептилий покорми.

anonymous
()

Сертификат безопасности применяется для расшифровки зашифрованного трафика и блокировок только к деструктивным страницам и контенту, сообщил заместитель директора Республиканского государственного предприятия «Государственная техническая служба» Комитета Национальной безопасности Республики Казахстан Зекен Исмаилов на пресс-конференции в Службе центральных комуникаций.

Источник: https://informburo.kz/novosti/zamdirektor-gostehsluzhby-knb-perepisku-paroli-...

anonymous
()
Ответ на: комментарий от anonymous

Ой, очень надеюсь, что они будут использовать другой софт, а не тот, который используют в госорганах. Там порой вылезают всякие прикольные SSL Tag Mismatch Error в логах, с которыми фиг пойми что делать.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

в логах, с которыми фиг пойми что делать.

Удаление логов в некоторых дистрибутивах Linux: # rm /var/log -R

anonymous
()
Ответ на: комментарий от Legioner

А в Windows 2003 как?

Не знаю. У меня стоит Parrot OS, пишу с него...

anonymous
()
Ответ на: комментарий от Legioner

Я, кстати, пишу из города Нур-Султан (Республика Казахстан)...

anonymous
()
Ответ на: комментарий от torvn77

К стати да, надо бы задать вопрос в технической поддержке о том, что они по этому поводу делать будут.

а ничего, там давным давно - если они поймут что у тебя был MITM, то ты не можешь оспорить ни одну свою транзакцию

maloi ★★★★★
()
Ответ на: комментарий от maloi

Я про то, чтобы они доступ в кабинет из потенциально опасных сетей закрыли,
но лучше бы просто дали указать список IP и подсетей с которых можно в него заходить.

А ещё лучше активировали такое ограничение по дефолту составляя профиль на основе здравого смысла.

Например человек будет ходить на сайт только с пулов сотовых операторов которые указал при регистрации и если он дальше Москвы раз в 20 лет не ездит то видимо ему не нужно ходить на сайт из, скажем Финляндии.

Ну конечно у человека должна быть возможность всё это перенастроить по себя.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 3)
Ответ на: комментарий от Deleted

А причем тут я? Ненавидь лучше себя, безаккаунтный.

Разница между мной и тобой на этом сайте: у меня здесь удаляют все аккаунты и удаляют огромное количество сообщений, а у тебя - 5 звезд (★★★★★)...

anonymous
()
Ответ на: комментарий от anonymous

От неграждан РК мы не принимаем.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.