Перейти к содержимому
Калькуляторы

В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика


В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика, РФ приготовится!

 

http://www.opennet.ru/opennews/art.shtml?num=51123

 

В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.

Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).

При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".

По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.

Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это не совсем компрометация протокола. Это, как раз, наоборот, подтверждение, что без специально вмонтированной дыры в виде сертификата недобросовестного центра по другому защиту не обойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос не в компрометации протокола, а вмешательстве государства в личную жизнь. Скоро письма на почту надо будет приносить открытыми, их будут ксерить. А дополнительный комплект ключей от квартиры сдавать в компетентные органы. Ну и само-собой камеры в квартирах.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по-моему, страдания о вмешательстве в личную жизнь не так актуальны, как вопрос: "а как простой казах теперь узнает, что попал на официальный сайт, а не на фишинговый?" весь https "интернет" для него теперь небезопасный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, alibek сказал:

Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат.

не нужно, его же оператор услужливо предоставляет =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 минут назад, boco сказал:

а как простой казах теперь узнает, что попал на официальный сайт

А в чём разница? Если домен сайта похож и сейчас, заглядывая в сертификат вы увидите, что letenscript выдал вот этому похожему домену на настоящий сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, boco сказал:

не нужно, его же оператор услужливо предоставляет

Оператор его предоставляет для целевого домена.

Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

простой казах знает про le =) но аргумент весомый. согласен. правда тут фишеру еще надо заморочиться, да и нажаловаться в le можно на такого деятеля. а если абсолютно любой вася может даже не заморачиваясь с le лепить подделки - это васе сильно облегчает жизнь. а простому казаху, наоборот, осложняет.

 

1 минуту назад, alibek сказал:

Оператор его предоставляет для целевого домена.

Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен.

а, то есть они не абсолютно весь https портят? я почему-то подумал, что весь. ну все, я теперь спокоен за казахов =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

40 минут назад, boco сказал:

а, то есть они не абсолютно весь https портят?

Нет, наверняка подменяется весь HTTPS, но не одним глобальным сертификатом на *, а для каждого домена подставляется свой персональный, который генерируется автоматически и который удостоверен корневым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, alibek сказал:

Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат.

Сертификат и так есть, генерируется налету. Нужно заполучить private key, при помощи которого этот сертификат подписан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

М? Зачем ? провайдер сам сгенерит пару ключ-сертификат для соединения провайдер-клиент. Там жеж прокси. Проверит ли он валидность сертификата с той стороны или тупо сгенерит пару для любого самоподписанного ?  Скорее всего для любого. Сервер даже и не узнает что клиент получает не тот же сертификат, что стоит на сервере.

 

Я так понимаю

udp/443 надо полагать поблочили совсем ?

Авторизация по клиентским сертификатам пошла лесом ? Вообще вся авторизация с жесткой проверкой сертификатов на 443 порту более не работает ? Я как минимум знаю пару клиент банков унутре использующий свои сертификаты от своего CA как для сервера так и для клиента. Я надеюсь они делают это на всех портах (ну чтобы точно все сломать, что можно)..

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 минут назад, st_re сказал:

Авторизация по клиентским сертификатам пошла лесом ?

Само собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 hours ago, st_re said:

Авторизация по клиентским сертификатам пошла лесом ?

Для авторизации по сертификатам используется самостоятельная пара сертификатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 minutes ago, user71 said:

а если https over https ,-)

Я думаю, любой, не сильно стандартный тоннель покатит. Я для поездок из любой дыры использую ppp over ssh :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@vop да но это не так прикольно. у них же там наверно прозрачный прокси стоит? ну вот, поставить себе локально тоже прокси, сказать ему прокси чейн и показать на гос прокси, а дальше гнать хттпс через этот прокси чейн -) интересно а в рашке такой прокси прокатит для обхода блокировки телеги?
 

 

скажите ип этого прокси щас потыкаю палочкой

 

или кто под ддосом сидит )))) можно редиректнуть туда

 

глобальный прокси этоже такой отракцион развлечений!!! )))) непонимаю че все сидят грустят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, user71 сказал:

скажите ип этого прокси щас потыкаю палочкой

Если прозрачный прокси правильно реализован, то source ip не подменяется, и у серверов может вообще не быть маршрутизируемых ip адресов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Bushi угу все может быть. нужно отправить что нибудь инвалидное чтобы он ответил ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гораздо интереснее вместо TCP гнать UDP и посмотреть что будет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.