LINUX.ORG.RU
ФорумTalks

школо в опасносте! (перехват ssl)

 ,


0

1

Заранее прошу прощения у тех, кто а) скажет, что это боян б) работает в облцит в) считает, что все тип-топ и не о чем писать. Речь пойдет про город Нск, про другие регионы не знаю. Пишу в первую очередь для информирования самих учащихся общеобразовательных учреждений (ака школоло). Как вы, учащиеся, безусловно знаете в школы подается государственный тормозной интернет. Как вы, безусловно, тоже знаете, по нему нельзя смотреть порно и писать в него нехорошие слова, т.к. там имеет место контентная фильтрация. ОблЦит (это какая-то нская организация, которая создана для обслуживания школ и которая пропускает через себя весь их трафик) разослала требование к школам установить свой собственный SSL сертификат на все компы школы. Как могут догадаться наиболее пытливые читатели, начинается перехват SSL трафика, без уведомления учителей и учащихся. Т.е. раньше облцит фильтровал по имени домена, в котором есть неприличное слово, а теперь будут вобще весь контент слушать, с паролями, явками и т.д.

Пруф:

http://oblcit.ru/support/8728/

Для Ъ:

«С января 2010 года весь интернет-трафик, поступающий в УО Новосибирской области, проходит через Датацентр Областного центра информационных технологий (ОблЦИТ), на базе которого реализован региональный центр контентной фильтрации, созданный Департаментом образования Новосибирской области по согласованию с Федеральным Агентством по образованию Министерства образования и науки РФ (Письмо Рособразования № ФАО 5051/15-01-09 от 14.04.2009).

Для реализации этого центра Министерство образования и науки РФ передало Департаменту образования НСО необходимое программное обеспечение и методические материалы.

Региональный центр контентной фильтрации осуществляет ограничение доступа ОУ к ресурсам сети Интернет, не соответствующим задачам воспитания и образования, в соответствии с правилами и техническими требованиями для подключения к централизованной Системе исключения доступа (СИД) Министерства Образования Российской Федерации (Письмо Рособразования № 15-51-1167ИН/0109 от 24.12.2008).

Ответственные: Лысых Илья Анатольевич Ведущий инженер-системный администратор Тел: +7 (383) 266-55-16 Отправить E-mail»

Мне сразу вспоминается известное высказывание: школа - это модель общества.

★★★★★

А что не так? Или школьникам надо давать возможность смотреть порно по https? Я, когда в школе учился, этому бы очень обрадовался, да и весь класс тоже. Правда в те времена еще не было интернета в школе, да и сеть была IPX\SPX на новелле, которую я умудрился сломать(совсем, не работала год) в итоге.

PS: дома пусть смотрят что угодно в инете, а в школе не должно быть возможности, а то потом будет куча воя что «дитятко в школе плохого в интернетах насмотрелся».

Loki13 ★★★★★ ()
Последнее исправление: Loki13 (всего исправлений: 1)
Ответ на: комментарий от Loki13

в школе не должно быть возможности

Сейчас у всех школьников смартфоны с интернетом и лором.

pawnhearts ★★★★★ ()

Пишу в первую очередь для информирования самих учащихся общеобразовательных учреждений (ака школоло).

Ты ведь написал все это тут только чтоб вот так потролить, правда?

alozovskoy ★★★★★ ()
Ответ на: комментарий от pawnhearts

Сейчас у всех школьников смартфоны с интернетом и лором.

А это уже дело не школы, а родителей. Каждый родитель может в личном кабинете ОПСОСа подключить опцию "Детский интернет". Было бы желание. А вообще вопрос же не в самой возможности увидеть "что-то не то", а в том кто такую возможность ребенку предоставит. Так что всё правильно делают.

Loki13 ★★★★★ ()

не понял, а что им мешает фильтровать «собственный» интернет, предоставляемый пользователям? ничего. Вот и фильтруют, хотя конечно же они в школе будут блокировать мануали, а не порно и онлайн игры, да? ИМХО, наоборот головную боль со школьных «админов» сняли.

nerfur ★★★ ()
Ответ на: комментарий от Loki13

которую я умудрился сломать(совсем, не работала год) в итоге.

вот видишь сколько вреда от простых ножниц!:) а вы все порно-порно.

А что не так?

да все так. но кто будет училок и школьников уведомлять, что их пароли теперь засветились?

crypt ★★★★★ ()
Ответ на: комментарий от crypt

да все так. но кто будет училок и школьников уведомлять, что их пароли теперь засветились?

ЕМНИП, хромой, например, при подмене сертификата (даже валидной, с подписанием его доверенным корневым, установленным у юзера - должным образом настроенный squid такое умеет) честно признается, что ваш админ редиска и смотрить ваш ssl-трафик, так что пользуйтесь на свой страх и риск. Ну и на сертификате пишут, что он выдан ООО рога и копыта.

Ну и собственно устанавливать эту бадягу будут с официальным требованием в руке, а дальше уже дело школы донести до конечных пользователей, чем им это грозит.

infine ()
Ответ на: комментарий от Loki13

дома пусть смотрят что угодно в инете, а в школе не должно быть возможности, а то потом будет куча воя что «дитятко в школе плохого в интернетах насмотрелся».

это все понятно, но MITM - это вобще говоря hack, обход технологии защиты. давай на все общество экстраполируем. внедрим как у казахов сертификат для всей России . иначе говоря, ты когда в магазин приходишь, там висит табличка «ведется видеонаблюдение» и все это знают. а здесь? кто знает, что их пароли не защищены?

crypt ★★★★★ ()
Ответ на: комментарий от infine

это тоже все да, понятно. школы доносить не будут, так что я вот и написал.

crypt ★★★★★ ()
Ответ на: комментарий от Loki13

А так ребёнок с детства привыкнет к зонду и будет считать его нормальным.
Если уж их так беспокоит контент то пусть делают белый списрк доменов.

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

как раз мои мысли! вк стал нормой, как светофор или дорожная камера.

crypt ★★★★★ ()

Продавай школьникам свой впн-сервис.

polym ()
Ответ на: комментарий от crypt

это тоже все да, понятно. школы доносить не будут, так что я вот и написал.

Почему не будут? Ты ж не думаешь всерьез что кому-то нужны логинпароли всякой школоло? Будут просто фильтровать по содержимому страниц, потому что затрахаешься анонимайзеры рубить по УРЛам.

Вон объявление в общем доступе на сайте висит. Если школа не донесет смысл до жертв, то скорее из общей халатности, чем из злого умысла.

Да, это митм, но чей компутер - тот его и танцует, и, ИМХО, это правильно. В порядке «а у вас негров линчуют» - коммерчесие решения для организаций с таким же механизмом работы существуют и продаются на этом вашем загнивающем западе. Достаточно загуглить по какой-нибудь фразе типа «ssl content filtering solution». Опять же не говоря о сквиде, которому только нужного ecap/icap адаптера не хватает.

infine ()
Ответ на: комментарий от nerfur

не понял, а что им мешает фильтровать «собственный» интернет

одно дело фильтровать. а теперь допустим, что школьники ходят по https в закрытую группу в контакте (он вроде заблочен, но допустим ходят через облцит-интернет), где выкладывают фотки своих пенисов и прочее. группа закрытая. насколько легально перехватывать шифрованный трафик?

crypt ★★★★★ ()
Ответ на: комментарий от crypt

вот видишь сколько вреда от простых ножниц!:) а вы все порно-порно.

я пароль админский подобрал и сменил овнера системного диска на себя. я же не знал что сервер от этого грузится перестанет. :) мы потом год без сервака жили.

Loki13 ★★★★★ ()

Херня. Когда я учился, в школах интернета не было. Не знаю, зачем вообще интернет в школах? Ну зачем? Рефератик школоло и дома подготовит, учебники бумажные есть. Надо ещё смарты отбирать или обязать пользоваться исключительно звонилками без фунции смарта.

YLoS ★★★ ()
Ответ на: комментарий от infine

коммерчесие решения для организаций

знаю, можешь не вдаваться в детали:)

crypt ★★★★★ ()
Ответ на: комментарий от Loki13

PS: дома пусть смотрят что угодно в инете, а в школе не должно быть возможности, а то потом будет куча воя что «дитятко в школе плохого в интернетах насмотрелся».

В школе ВНЕЗАПНО есть учитель, который может и должен попалить школоло на просмотре чего-то не того, вместо нужного. И что характерно спрятаться от учителя в классе практически невозможно. На уроке.

А так государство постепенно начинает более заботиться, чтобы школьник чего не узнал лишнего, чем дать знания. Еще и за библиотеками школьными (и не только) надзирают.

praseodim ★★★★ ()
Ответ на: комментарий от Loki13

молодец! пять за креатив:) админ не должен расслабляться)

crypt ★★★★★ ()
Ответ на: комментарий от torvn77

Если уж их так беспокоит контент то пусть делают белый списрк доменов.

доменов? т.е. по ip можно, да?

Loki13 ★★★★★ ()
Ответ на: комментарий от Loki13

метод черных списков всегда будет неполный. белые списки - резонное решение.

crypt ★★★★★ ()
Ответ на: комментарий от polym

Продавай школьникам свой впн-сервис.

а ну да, ну да. они любят на лоре темы создавать «ищу суппер дешевый впн». много не заработаешь:) и рекламу не дашь - посадят:)

crypt ★★★★★ ()
Ответ на: комментарий от crypt

насколько легально перехватывать шифрованный трафик?

А что написано в договоре на обслуживание? Если там прописано, в духе предоставлять доступ для получения информации согласно текущему учебному процессу, то вполне могут принимать меры для недопущения бла бла бла

nerfur ★★★ ()
Ответ на: комментарий от crypt

Есть туннели с прорывом через белые списки, технологии правда не для ширнармасс как тор.

praseodim ★★★★ ()
Ответ на: комментарий от YLoS

Не знаю, зачем вообще интернет в школах? Ну зачем?

тупые люди в министерствах думают, что от этого образование станет лучше.:((( да ладно интернет. сейчас на миллионы закупают в школы так называемые интерактивные доски, которыми все пользуются тупо как проектором или обычной доской. это вам не интернет класс... куча денег на ветер.

Надо ещё смарты отбирать

... желательно у всего населения.

crypt ★★★★★ ()
Ответ на: комментарий от praseodim

это через DNS что ли? если у тебя всего разрешено 100 сайтов из числа одобренных минобром, далеко ты не убежишь.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

белые списки

мне кажется что-то такое и будет

nerfur ★★★ ()
Ответ на: комментарий от infine

коммерчесие решения для организаций с таким же механизмом работы существуют

при этом работник должен подписать приложение к трудовому договору, где соглашается с фактом прослушки и потенциальному доступу к персональным данным. школьники впрочем народ бесправный, должны подписывать их родители.

crypt ★★★★★ ()
Ответ на: комментарий от nerfur

мне кажется что-то такое и будет

пока делают через черные...

crypt ★★★★★ ()
Ответ на: комментарий от nerfur

А что написано в договоре на обслуживание?

без понятия. я только уверен, что училки и школьники под этим не подписывались.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

DNS - самое простое, есть еще варианты с изменением трафика на лету кем-то посередине на маршруте к сайту из белого списка. Фактически mitm, но ради туннеля.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

будем считать, что школьная инфраструктура контролируется, а маршрут к узлу снаружи забрит:)

crypt ★★★★★ ()

Казахстанский вариант

Тестируют оборудование и программы для перехвата трафика на школьниках. Как отладят, включат «казахстанский вариант», законодательно потребуют от всех пользователей ставить себе сертификат от ФСБ.

Camel ★★★★★ ()
Последнее исправление: Camel (всего исправлений: 1)
Ответ на: комментарий от crypt

что училки и школьники под этим не подписывались.

А они и не должны были, не устраивает предоставленная услуга, пользуйтесь собственным (смартфон, cellular-modem и т.д.)

nerfur ★★★ ()
Ответ на: комментарий от crypt

пока делают через черные...

Ты про РКН или конкретно эту школьную штуку?

nerfur ★★★ ()

у них пуп не развяжется - фильтровать весь трафик всех учебных заведений? это немало, мягко говоря. а если ещё и с MITM, то вообще трубец.
впрочем, у школоло сейчас ойфоны давно. уже дети в песочнице играют с планшетами. какой там интырнет в школе?

Iron_Bug ★★★★ ()
Ответ на: комментарий от nerfur

я ничего умного не хотел сказать. просто фильтрация облцит никогда не будет совершенной. все эти хаки с SSL мне не нравятся. если уж так хотят порядок, вместо фильтрации могли бы разрешить 100 сайтов одобренных министерством и успокоились бы. типа сегмент рунета для школьников. можно даже со своим поисковиком вместо опасных взрослых гуглов и яндексов.

crypt ★★★★★ ()

зато приколись, сконцентрировали они весь трафик в одном узле, а он возьми и грохнись. у лысых тоже может случиться прокол. ну или, например, DNS атака на этот узел и все сайты вдруг стали порнушными...

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

какой там интырнет в школе?

8 мбит помоему... на 200 компов... облцит фильтрует только область, а не все регионы. при таких скоростях могут что хотят делать, имхо.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

вспоминаю первые годы, когда появились модемы. скорость была достаточной для текстового чата. за ночь можно было выкачать аж целый mp3 файл, а если повезёт, то и два файла.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

атака на этот узел и все сайты вдруг стали порнушными...

:) dns poisoning старая штука, я даже не знаю, работает ли это еще:)

crypt ★★★★★ ()
Ответ на: комментарий от Iron_Bug

по-моему это было лучшее время рунета. никто не пытался засунуть столько рекламы на сайты, как сейчас, и люди меньше отвлекались на листание котиков.

crypt ★★★★★ ()
Ответ на: комментарий от Loki13

Или школьникам надо давать возможность смотреть порно по https?

И какие сайты отдают его по httos? :)

Harald ★★★★★ ()

А вот и родной Новосибирск засветился, ура!

EXL ★★★★★ ()
Ответ на: Казахстанский вариант от Camel

Тестируют оборудование и программы для перехвата трафика на школьниках. Как отладят, включат «казахстанский вариант»

ага. когда поймут, что «пакет яровой» не работает.

crypt ★★★★★ ()
Ответ на: комментарий от Harald

И какие сайты отдают его по httos? :)

Да хотя бы гугель по https, используемый как транслятор. Идеальный обход фильтра контента. Видео наверное не посмотришь, но картиночки без проблем. Думаю есть еще 100500 способов сделать такое.

Loki13 ★★★★★ ()
Ответ на: комментарий от crypt

ну, если dnssec юзать, то нет. но для учреждения с госзарплатами это вряд ли.

Iron_Bug ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.