LINUX.ORG.RU

В Казахстане обязали устанавливать государственный сертификат для MITM

 , ,


9

5

В Казахстане операторы связи разослали пользователям сообщения о необходимости установки выпущенного государственными органами сертификатом безопасности.

Без установки интернет работать не будет.

Следует помнить, что сертификат не только влияет на то, что государственные органы смогут читать зашифрованный трафик, но и на то, что от лица любого пользователя можно будет написать что угодно.

В Mozilla уже завели баг, в котором обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS.

Всё это подается под соусом защиты пользователей от хакерских атак.

Одной из особенности акции является то, что сертификат для скачивания находится на http-сайте, что позволяет подменить его при определенных условиях.

UPD: «Сертификат безопасности» в Казахстане отменяется

>>> Подробности

★★

Проверено: Shaman007 ()

Шлимазлы из Казтелекома идут во второй раз к этому снаряду? Пожелаем им неудачи и в этот раз.

Shaman007 ★★★★★ ()

В россии тоже самое будет

koshmar ★★★ ()

На опеннете уже разгорелось обсуждалово. Кто страну ищет, а кто и глобус...

dv76 ★★★ ()
Ответ на: комментарий от koshmar

В России скорее дождутся, когда власти США и Великобритании продавят запреты на «лишнее» шифрование, особенно если в Казахстане снова не взлетит.

anonymous ()

Пора бежать в Сибирь, вдали от технологий и слежки.

gtk3 ()
Ответ на: комментарий от gtk3

Зачем для этого бежать в Сибирь? Отруби себе интернет, выкинь смартфон, и вот ты уже Неуловимый Джо.

alexferman ★★ ()
Ответ на: комментарий от alexferman

Ты бы хоть репортаж с места событий проведи. Чё там у вас?

ox55ff ★★ ()
Ответ на: комментарий от ox55ff

Пока не знаю. Вообще ходят слухи, что это требование пока выдвинули только жителям столицы. Лично я никаких сообщений не получал пока.

alexferman ★★ ()
Ответ на: комментарий от alexferman

Зачем для этого бежать в Сибирь? Отруби себе интернет, выкинь смартфон, и вот ты уже Неуловимый Джо.

А как же прослушка в лампачках и камеры на улице ?

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

В каких лампочках?

камеры на улице

Зависит от места проживания. В моём городе их мало.

alexferman ★★ ()
Ответ на: комментарий от alexferman

Когда прийдет персональное оповещение, то ты серт добавляй в свой TorBrowser, а не в Firefox в виртуалке, с которой будешь делать скриншот в ответе на письмо счастия.

anonymous ()
Ответ на: комментарий от Shaman007

Шлимазлы из Казтелекома идут во второй раз к этому снаряду? Пожелаем им неудачи и в этот раз.

Может быть можно что-то сделать, кроме как наблюдать?

anonymous ()

Без установки интернет работать не будет.

Интересно, как это реализовано? Сертификат он вроде для соеднений по HTTPS, но это не единственный «интернет», VPN, торренты и вообще TCP-пакеты ведь должны работать, значит и обход этого дела изобретут скоро, какой-нибудь HTTPS over что-то там. Имхо, будет такой же облом у, как у нас Телеграмом.

Alve ★★★★★ ()
Ответ на: комментарий от Alve

будет такой же облом у, как у нас Телеграмом

Облом-не облом, но Телегу в Казахстане периодически блокируют, а Тор - вообще постоянно. Причём наглухо.

alexferman ★★ ()
Последнее исправление: alexferman (всего исправлений: 1)
Ответ на: комментарий от alexferman

Зачем для этого бежать в Сибирь? Отруби себе интернет, выкинь смартфон, и вот ты уже Неуловимый Джо.

А на другой глобус при этом исчезать не надо? А то ведь вокруг камеры, и прочее.

anonymous ()
Ответ на: комментарий от alexferman

Тор - вообще постоянно. Причём наглухо

Наглухо же только известные ноды можно заблокировать. А как же obfs4 и прочее?

pekmop1024 ★★★★★ ()

Ну а чет не очень понимаю, ну прослушивают они туннель и что с того? Внутри же идет другие туннели, которые им недоступны ровно так же как и без их серта. Т е те же https или vpn.

Serbis ()
Ответ на: комментарий от alexferman

Мне вот больше интересно, как будет работать прочий SSL-трафик, завязанный на сертификаты, вроде OpenVPN и AnyConnect.

pekmop1024 ★★★★★ ()

Сабж - просто сферическое занимание очереди в пятницу.
Вангую, что наши продавят хотя бы включение нужного сертификата в винду. И в Mozilla Firefox с поиском Яндекса.

dogbert ★★★★★ ()

Ну те на практике они получат прямому доступ только к туннелям ведущим на хосты с дочерними сертами. А много ли таких?

Serbis ()
Ответ на: комментарий от alexferman

Это странно, даже в Китае Tor работает, а у них бюджет великого файрволла наверное побольше, чем весь бюджет Казахстана.

anonymous ()

Смахивает на безграмотную попытку контролировать все и вся

kto_tama ★★★★★ ()
Ответ на: комментарий от anonymous

Мне иногда кажется, что Казахстан - это полигон роскомпозора. А тут уже дело не в бюджетах, а в технологиях.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от pekmop1024

Звучит как что-то ненужное и опасное, запретить.

anonymous ()
Ответ на: комментарий от anonymous

Может быть можно что-то сделать, кроме как наблюдать?

Поржать? Поплакать? Пожаловаться на лоре?

upcFrost ★★★★★ ()
Ответ на: комментарий от pekmop1024

Ну да, пускай учатся работать в условиях повышенной безопасности :)

anonymous ()
Ответ на: комментарий от Serbis

Они делают mitm на некоторых стайтах, например, на Фейсбуке.

Shaman007 ★★★★★ ()

Не удивлюсь если их хакнут и выложат ключ от сертификата в публичный доступ

voltmod ★★ ()
Ответ на: комментарий от alexferman

Главное, чтобы не заблочили сами протоколы типа obfs4, что маловероятно.

Тебе просто надо поднять свой хостик, который на первый взгляд похож на сайт, «Слава КПСС! КПСС слава!», по одному урлу на этом порте,

а вот когда пойдет по другому, там будет obfs4 like туннель, через который можешь гонять, все, что тебе взумается, даже лесбиянок :)

Порт один и тот же, но сессии немного разные, как-то так.

Блокирнут, а ты жалобу сразу своему Туркмен Баши - мол айяяяй, как же так, зопрещают прославлять КЦСС ??! верните коннект паразиты!

anonymous ()
Ответ на: комментарий от Serbis

Ты некомпетентный идиот.

Добавление root CA позволяет им делать MITM всех https соединений.

anonymous ()
Ответ на: комментарий от upcFrost

Поржать? Поплакать? Пожаловаться на лоре?

Завели же «баг», это разве не продуктивное действо? Зачем так рубить с плеча?

anonymous ()
Ответ на: комментарий от anonymous

Ну практика показывает, что великий китайский файрволл, как бы так сказать, не эффективен. Эффективно у них то, что полторы сервиса почты и мессенджер, который заменяет чуть ли не паспорт. Говорят, что без их QQ выжить нельзя никак. И вообще все свои внутренние (удобные хорошие годны, кому надо принадлежащие и сотрудничающие) сервисы, которыми пользуются примерно все. Это эффективно.

Строить заборы - нет.

Shaman007 ★★★★★ ()
Ответ на: комментарий от dv76

а кто и глобус...

Пожалуй, это единственный выход... :-)

AS ★★★★★ ()

сертификат для скачивания находится на http-сайте

ліл

Gonzo ★★★★★ ()
Ответ на: комментарий от dogbert

Вангую, что наши продавят хотя бы включение нужного сертификата в винду.

Продам лицензионную винду из Украины. Оптом - дешевле. Пишите в телегу @********

beaver ()
Ответ на: комментарий от Shaman007

Это как? Фейсбук подарил им свой приватный ключик? Или установил средства аппаратного доступа к туннелю? Что-то я сомневаюсь, учитывая то насколько негативно руководство компании относится к таким инициативам?

Serbis ()
Ответ на: комментарий от Shaman007

Полтора внутренних сервиса это как раз следствие строительства заборов, пусть и другого рода

alexferman ★★ ()
Ответ на: комментарий от anonymous

Просто AnyConnect вообще на 443 порту живет по дефолту, насколько я помню, хотя умеет всякое разное.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от anonymous

Да айпишники побанели показательно скорее всего, подняли бы своих хостов и через них пробросили obfs4 - делоф то.

anonymous ()
Ответ на: комментарий от Serbis

Смотри, они выпускают сертификат на govno.com, ставят его между реальным govno.com и твоим ляптопом, после чего все коннекты на govno.com идут через ssl проксю и считаются секурными, потому что твой браузер доверяет их CA.

kirk_johnson ★☆ ()
Ответ на: комментарий от anonymous

В России скорее дождутся, когда власти США и Великобритании продавят запреты на «лишнее» шифрование, особенно если в Казахстане снова не взлетит.

А можно в духе славного советского «догнать и перегнать» вкатиться в квантовые компьютеры, которые, как говорят, щёлкают эту вашу криптографию как орешки.

ados ★★★★★ ()

Думаю, это всё будет до первого украденного ярда теньгушек со счёта какого-нибудь духовноскрепнутого очень непростого казахского бая.

slamd64 ★★★★★ ()
Ответ на: комментарий от anonymous

Да щас! Если рут, то да, фейсбуки можно почитать. Но если по нему прокинут туннель с моим персональным сертом вне системы общих корней, они идут в жопу.

Serbis ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.