Jump to content
Калькуляторы

В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика


В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика, РФ приготовится!

 

http://www.opennet.ru/opennews/art.shtml?num=51123

 

В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.

Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).

При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".

По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.

Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.

Share this post


Link to post
Share on other sites

Ну это не совсем компрометация протокола. Это, как раз, наоборот, подтверждение, что без специально вмонтированной дыры в виде сертификата недобросовестного центра по другому защиту не обойти.

Share this post


Link to post
Share on other sites

Вопрос не в компрометации протокола, а вмешательстве государства в личную жизнь. Скоро письма на почту надо будет приносить открытыми, их будут ксерить. А дополнительный комплект ключей от квартиры сдавать в компетентные органы. Ну и само-собой камеры в квартирах.
 

Share this post


Link to post
Share on other sites

по-моему, страдания о вмешательстве в личную жизнь не так актуальны, как вопрос: "а как простой казах теперь узнает, что попал на официальный сайт, а не на фишинговый?" весь https "интернет" для него теперь небезопасный.

Share this post


Link to post
Share on other sites

2 минуты назад, alibek сказал:

Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат.

не нужно, его же оператор услужливо предоставляет =)

Share this post


Link to post
Share on other sites

9 минут назад, boco сказал:

а как простой казах теперь узнает, что попал на официальный сайт

А в чём разница? Если домен сайта похож и сейчас, заглядывая в сертификат вы увидите, что letenscript выдал вот этому похожему домену на настоящий сайт.

Share this post


Link to post
Share on other sites

7 минут назад, boco сказал:

не нужно, его же оператор услужливо предоставляет

Оператор его предоставляет для целевого домена.

Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен.

Share this post


Link to post
Share on other sites

простой казах знает про le =) но аргумент весомый. согласен. правда тут фишеру еще надо заморочиться, да и нажаловаться в le можно на такого деятеля. а если абсолютно любой вася может даже не заморачиваясь с le лепить подделки - это васе сильно облегчает жизнь. а простому казаху, наоборот, осложняет.

 

1 минуту назад, alibek сказал:

Оператор его предоставляет для целевого домена.

Чтобы фишинговый сайт мог его использовать, ему нужно захватить целевой домен.

а, то есть они не абсолютно весь https портят? я почему-то подумал, что весь. ну все, я теперь спокоен за казахов =)

Share this post


Link to post
Share on other sites

40 минут назад, boco сказал:

а, то есть они не абсолютно весь https портят?

Нет, наверняка подменяется весь HTTPS, но не одним глобальным сертификатом на *, а для каждого домена подставляется свой персональный, который генерируется автоматически и который удостоверен корневым.

Share this post


Link to post
Share on other sites

4 часа назад, alibek сказал:

Ну для этого фишинговому сайту нужно где-то заполучить национальный корневой сертификат.

Сертификат и так есть, генерируется налету. Нужно заполучить private key, при помощи которого этот сертификат подписан.

Share this post


Link to post
Share on other sites

М? Зачем ? провайдер сам сгенерит пару ключ-сертификат для соединения провайдер-клиент. Там жеж прокси. Проверит ли он валидность сертификата с той стороны или тупо сгенерит пару для любого самоподписанного ?  Скорее всего для любого. Сервер даже и не узнает что клиент получает не тот же сертификат, что стоит на сервере.

 

Я так понимаю

udp/443 надо полагать поблочили совсем ?

Авторизация по клиентским сертификатам пошла лесом ? Вообще вся авторизация с жесткой проверкой сертификатов на 443 порту более не работает ? Я как минимум знаю пару клиент банков унутре использующий свои сертификаты от своего CA как для сервера так и для клиента. Я надеюсь они делают это на всех портах (ну чтобы точно все сломать, что можно)..

 

Share this post


Link to post
Share on other sites

13 hours ago, st_re said:

Авторизация по клиентским сертификатам пошла лесом ?

Для авторизации по сертификатам используется самостоятельная пара сертификатов.

Share this post


Link to post
Share on other sites

10 minutes ago, user71 said:

а если https over https ,-)

Я думаю, любой, не сильно стандартный тоннель покатит. Я для поездок из любой дыры использую ppp over ssh :)

Share this post


Link to post
Share on other sites

@vop да но это не так прикольно. у них же там наверно прозрачный прокси стоит? ну вот, поставить себе локально тоже прокси, сказать ему прокси чейн и показать на гос прокси, а дальше гнать хттпс через этот прокси чейн -) интересно а в рашке такой прокси прокатит для обхода блокировки телеги?
 

 

скажите ип этого прокси щас потыкаю палочкой

 

или кто под ддосом сидит )))) можно редиректнуть туда

 

глобальный прокси этоже такой отракцион развлечений!!! )))) непонимаю че все сидят грустят

Share this post


Link to post
Share on other sites

19 часов назад, user71 сказал:

скажите ип этого прокси щас потыкаю палочкой

Если прозрачный прокси правильно реализован, то source ip не подменяется, и у серверов может вообще не быть маршрутизируемых ip адресов.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.