straus Опубликовано 19 июля, 2019 · Жалоба В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика, РФ приготовится! http://www.opennet.ru/opennews/art.shtml?num=51123 В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook). При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности". По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки. Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 19 июля, 2019 · Жалоба Ну это не совсем компрометация протокола. Это, как раз, наоборот, подтверждение, что без специально вмонтированной дыры в виде сертификата недобросовестного центра по другому защиту не обойти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 19 июля, 2019 · Жалоба Вопрос не в компрометации протокола, а вмешательстве государства в личную жизнь. Скоро письма на почту надо будет приносить открытыми, их будут ксерить. А дополнительный комплект ключей от квартиры сдавать в компетентные органы. Ну и само-собой камеры в квартирах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 20 июля, 2019 · Жалоба по-моему, страдания о вмешательстве в личную жизнь не так актуальны, как вопрос: "а как простой казах теперь узнает, что попал на официальный сайт, а не на фишинговый?" весь https "интернет" для него теперь небезопасный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июля, 2019 · Жалоба Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 20 июля, 2019 · Жалоба 2 минуты назад, alibek сказал: Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат. не нужно, его же оператор услужливо предоставляет =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 20 июля, 2019 · Жалоба 9 минут назад, boco сказал: а как простой казах теперь узнает, что попал на официальный сайт А в чём разница? Если домен сайта похож и сейчас, заглядывая в сертификат вы увидите, что letenscript выдал вот этому похожему домену на настоящий сайт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июля, 2019 · Жалоба 7 минут назад, boco сказал: не нужно, его же оператор услужливо предоставляет Оператор его предоставляет для целевого домена. Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 20 июля, 2019 · Жалоба простой казах знает про le =) но аргумент весомый. согласен. правда тут фишеру еще надо заморочиться, да и нажаловаться в le можно на такого деятеля. а если абсолютно любой вася может даже не заморачиваясь с le лепить подделки - это васе сильно облегчает жизнь. а простому казаху, наоборот, осложняет. 1 минуту назад, alibek сказал: Оператор его предоставляет для целевого домена. Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен. а, то есть они не абсолютно весь https портят? я почему-то подумал, что весь. ну все, я теперь спокоен за казахов =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июля, 2019 · Жалоба 40 минут назад, boco сказал: а, то есть они не абсолютно весь https портят? Нет, наверняка подменяется весь HTTPS, но не одним глобальным сертификатом на *, а для каждого домена подставляется свой персональный, который генерируется автоматически и который удостоверен корневым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 20 июля, 2019 · Жалоба 4 часа назад, alibek сказал: Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат. Сертификат и так есть, генерируется налету. Нужно заполучить private key, при помощи которого этот сертификат подписан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 20 июля, 2019 · Жалоба М? Зачем ? провайдер сам сгенерит пару ключ-сертификат для соединения провайдер-клиент. Там жеж прокси. Проверит ли он валидность сертификата с той стороны или тупо сгенерит пару для любого самоподписанного ? Скорее всего для любого. Сервер даже и не узнает что клиент получает не тот же сертификат, что стоит на сервере. Я так понимаю udp/443 надо полагать поблочили совсем ? Авторизация по клиентским сертификатам пошла лесом ? Вообще вся авторизация с жесткой проверкой сертификатов на 443 порту более не работает ? Я как минимум знаю пару клиент банков унутре использующий свои сертификаты от своего CA как для сервера так и для клиента. Я надеюсь они делают это на всех портах (ну чтобы точно все сломать, что можно).. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 июля, 2019 · Жалоба 48 минут назад, st_re сказал: Авторизация по клиентским сертификатам пошла лесом ? Само собой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 21 июля, 2019 · Жалоба 13 hours ago, st_re said: Авторизация по клиентским сертификатам пошла лесом ? Для авторизации по сертификатам используется самостоятельная пара сертификатов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 21 июля, 2019 · Жалоба а если https over https ,-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 21 июля, 2019 · Жалоба 10 minutes ago, user71 said: а если https over https ,-) Я думаю, любой, не сильно стандартный тоннель покатит. Я для поездок из любой дыры использую ppp over ssh :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 21 июля, 2019 · Жалоба @vop да но это не так прикольно. у них же там наверно прозрачный прокси стоит? ну вот, поставить себе локально тоже прокси, сказать ему прокси чейн и показать на гос прокси, а дальше гнать хттпс через этот прокси чейн -) интересно а в рашке такой прокси прокатит для обхода блокировки телеги? скажите ип этого прокси щас потыкаю палочкой или кто под ддосом сидит )))) можно редиректнуть туда глобальный прокси этоже такой отракцион развлечений!!! )))) непонимаю че все сидят грустят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 22 июля, 2019 · Жалоба 19 часов назад, user71 сказал: скажите ип этого прокси щас потыкаю палочкой Если прозрачный прокси правильно реализован, то source ip не подменяется, и у серверов может вообще не быть маршрутизируемых ip адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 22 июля, 2019 · Жалоба @Bushi угу все может быть. нужно отправить что нибудь инвалидное чтобы он ответил )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 июля, 2019 · Жалоба Гораздо интереснее вместо TCP гнать UDP и посмотреть что будет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 июля, 2019 · Жалоба timeout будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...