В Казахстане обязали устанавливать государственный сертификат для MITM

Интеллектуалы в треде! Два кумыса этому господину!

Ты разлогиниться забыл, чтобы бред нести.

Какой чувак и на какие сайты не пускает? Хотел бы их проверить.

Еще раз перечитал новость. Не понятно мне :( Кто может мне объяснить физику подмены сертификата?

Есть сертификат на сайт govno.com, он используется для создания безопасного подключения. Схема подключения выглядит как-то так:

Client <----> TEH-INTERNETZ <----> Server (govno.com)

Вроде все хорошо, все нормально, твой браузер устанавливает соединение, все секурно. Но есть одно НО: ты не знаешь, можно ли доверять сертификату. Ну то есть сертификат на сайт govno.com может выпустить вообще кто угодно, и он формально будет валидным. Для этого придумали концепцию цепочки сертификатов, которая всегда должна заканчиваться CA, которому ты доверяешь.

У твоего браузера есть набор CA сертификатов от всех ведущих собаководов: Let's Encrypt, Comodo, Verisign, и других уродов. CA подписывают свои intermediate сертификаты, intermediate подписывают govno.com, все довольны.

Теперь, в этот список доверенных CA попадает новый CA Super-Puper-Kazah и он подписывает сертификат на сайт govno.com. Что происходит дальше? А вот что:

Client <----> TEH-INTERNETZ <----> HAXXXORS <----> Server (govno.com)

Что происходит дальше? Client посылает ПРИВЕТ ХОЧУ ПОСМОТРЕТЬ GOVNO.COM на Server, но из-за коварной гебни запрос приходит HAXXXORS. HAXXXORS устанавливает одно соединение с Server, а одно с Client. Client он представляется Server (и посылает сертификат на govno.com), а Server он представляется Client. Поскольку твой браузер доверяет CA Super-Puper-Kazah, то проверка сертификата govno.com проходит успешно. А дальше как с обычной HTTP проксей.

Зачем для этого бежать в Сибирь? Отруби себе интернет, выкинь смартфон, и вот ты уже Неуловимый Джо.

С информацией слитой из госструктур налево продаваемой любому, кто захочет.

запрещения хрома
в лисе проблем с пинингом как-то не наблюдалось

Это поможет когда сертификаты запинены прямо в программе.
А те, которые проходят чек на https://hstspreload.org тоже работают?

Это что-то вроде https-фильтрации в любой подобной программе. Либо без подмены по хосту, либо с mitm, но уже могут заголовки видеть полностью.

Смотря что ты подразумеваешь под пинингом.

А что, есть какие-то ещё варианты?
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

Хотя я думаю, что они MITM-ить будут только избранные подсети с фейсбуком и тд.

Социалочки не жалко. Пусть не работают.

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

Ты её не читал что ли? Там про контр-терроризм, хакеров, закон и то, что это должно быть у всех.

И правильно. Ибо нех!

Client он представляется Server (и посылает сертификат на govno.com), а Server он представляется Client

Клиенту он представляется сервером (и посылает сертификат на govno.com), а серверу он представляется клиентом.

P.S. Надеюсь, я тебя правильно понял, а то без склонения не разберешь.

Да читал. Меня удивляет то, что происходит обратное этой новости.

в лисе проблем с пинингом как-то не наблюдалось, работал в нём ssl mitm на гуглосайты без проблем.

https://hstspreload.org/?domain=mail.google.com
Почта гугловская в лисе через mitm работает?

Да

Китайский коммунизм заразителен.

тоталитаризм, «„„коммунизм““» там как обертка вокруг конфетки из говна.

Это политическая условность. По факту, Южная Сибирь намного дальше вниз пролегает.

разве нормальным казахам есть что скрывать от органов безопасности?

В смысле ? Я вообще не буду подтверждать липовые смс.

За тебя подтвердят кто надо, наивный. В стране, где всё загнано в стойло, интернет остается последним очагом свободы, его и хотят прикончить.

Ясно

обсуждают необходимость заблокировать этот сертификат, чтобы не создавать прецедентов и не разрушать столь долго производимый тотальный перевод на HTTPS

Толку-то? Будет у казахов свой браузер (ведь остальные «не работают»).

Сказал человек, живущий в стране с зачищенной под ноль политической поляной.

Возможно, этот сертификат должны устанавливать себе госслужащие и именно им приходит смс-уведомление о необходимости установки указанного сертификата, иначе на госсайты типа egov.kz при авторизации не пустит. Но я без понятия, новость подана так, будто это касается всех.

да-да, надейся.

Правительство Казахстана может просто подписать все свои сертификаты у нормального СА и, если уж на самом деле боятся ядерной войны, своим СА также. Подписание сертификата в буржуйском СА никак не компроментирует этот сертификат, закрытый ключ остаётся у того, кто сертификат выпустил. В этом случае у простых пользователей будет валидным через цепочку до обычного СА, а у чиновников и гебни будут специальные браузеры, в которых установлен только казахский СА, что значит, что MITM через контролируемый ЦРУ центр сертификации не обманет бравого казахского дипломата/шпиёна.

Установка дополнительного корневого сертификата никак не может увеличить безопасность, любой дополнительный корневой сертификат лишь уменьшает её, расширяя круг лиц, которые смогут подписать левые сертификаты для сайтов.

А само указание на невозможность доступа к некоторым сайтам говорит, что пользователю будет приходить сертификат удостоверенный только казахским сертификационным центром, что означает, что либо казахи неосилили бесплатный летсенкрипт и не имеют денег на сертификат от коммерческого центра, либо это будут те сертификаты, которые никакой нормальный сертификационный центр никогда не удостоверит. Т.е. сертификаты для MITM-атаки на чужие сайты.

Да, и отмазка про отечественные алгоритмы шифрования не катит. Алгоритм должен поддерживаться браузером, если он настолько подозрителен, что сертификат для него никто не согласится подписать, то и в браузер его никто не встроит. Если в браузер встроили или выпустили свой браузер, то и корневой сертификат сами могли бы захардкодить. Так что сертификат будет для нормальных браузеров и нормальных алгоритмов, просто для чужих сайтов.

Пишут, что в Германии планируют отказаться от подтверждающих SMS кодов

Проблема заключается в присущих и не поддающихся исправлению недостатках протокола ОКС-7 (SS7), которая используется для настройки большинства телефонных станций по всему миру.

QQ уже устарел, теперь WeChat

Социалочки не жалко. Пусть не работают.

Социалочки это чуть ли не друг митингаря №1, поэтому ими занимаются в первую очередь.

Если кто не в курсе то весь трафик через провайдера и так смотрится

Пруфы будут?

Когда прийдет персональное оповещение, то ты серт добавляй в свой TorBrowser, а не в Firefox в виртуалке, с которой будешь делать скриншот в ответе на письмо счастия.

Наверно не в сам torbromser, а в шлюз?

Пусть расцветают сто цветов!

https://www.techinasia.com/tencent-killing-web-version-qq

Я говорю от своего лица, а не от лица власти. Поэтому мне до лампочки и митингари и места их копуляции.

Я узнал, что у меня Есть огромная семья И тропинка и лесок В поле каждый колосок Речка, небо голубое — Это всё следит за мною..

Это странно, даже в Китае Tor работает, а у них бюджет великого файрволла наверное побольше, чем весь бюджет Казахстана.

Белый список наверное.

вообще давайте делать ставки как быстро утечёт этот сертификат к хакерам и они уронят весь защищённый казахстан..

зачем блокировать тор, если можно просто маркировать его трафик?

Точно.

Ну практика показывает, что великий китайский файрволл, как бы так сказать, не эффективен.

Так китайцы и не хотят делать его эффективным, это легко понять если посмотреть статьи про социальный рейтинг, его снижают только если человек слишком много времени проводит в tor, то есть мало времени проводить в tor можно всем.

Налицо троица: правохоронительные органы (Бог-отец), хакеры (Иисус Христос) и провайдеры (святой дух). И хотя и выглядят по-разному, они едины в трёх лицах. Так что у хакеров уже всё есть.

Честно говоря, на месте Грефа я бы закрыл сбербанконлайн для казахских IPшников.

К стати да, надо бы задать вопрос в технической поддержке о том, что они по этому поводу делать будут.

Наконец-то первый здравый пост. Отдельным …

Здравый смысл подсказывает что после тестирования на добравольцах может последовать внедрение в эксплуатацию.

Почта гугловская в лисе через mitm работает?

Год назад точно работала, сейчас негде проверить

Это поможет когда сертификаты запинены прямо в программе. А те, которые проходят чек на https://hstspreload.org тоже работают?

Сейчас негде проверить, но заблокировать этот сайт по-моему даже проще, чем запрещать программу

Отвратительно. Мне крайне не нравится эта тенденция государству совать свой нос в интернет.

С другой стороны если реализация такая же как у роскомпозора с их TCP RST пакетом не так страшно хотя и противно.

сделайте кто-то

====вы находитесь сдесь===

простыню на тему Казахстана. Работа началась в 2012, в 2016 был первый подход к снаряду.

Каким образом?

Хорощий вопрос, если ключь не утечёт то атаковать можно будет только либо на компе пользователя, либо на шлюзе.

Хотя если утащить куки то сайт не сможет понять что их применяют в другом браузере.

если трафик действительно зашифрован, то он не отличим от шума. т.е. зашифрованный трафик может выглядеть как что угодно, например изображение с шумом. его нельзя запретить потому что его нельзя классифицировать как зашифрованный трафик.

Значит запретят трафик с шумом.

камеры на дорогах, камеры в банкоматах, камеры на улице, камеры в общественном транспорте, камеры во всех новых ЖК, не получится неуловимым джо быть в городе

Как криптоанархисты борятся со слежкой? Регистрируют симки и карточки на бомжей. Значит, чтобы скрыться от камер, нужно носить срезанное с бомжа лицо.

казахстану до европейских демократических страх ещё тысячу километров г-ном плыть

Это ты про эти демократические страны, которые втихушку продавили свои правительственные сертификаты в списки доверенных?

• Government of France
• Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
• Government of Spain (CAV), Izenpe S.A.
• Government of The Netherlands, PKIoverheid

Им можно, ты не путай.

Есть мнение, что в таком случае, нужно вести себя как все, и не выделяться.