В Казахстане обязали устанавливать государственный сертификат для MITM

Приехали. Даже нынешняя новость бледнеет в сравнении с осознанием, что такие дятлы рулят чувствительной системой...

Ололо. Это ты дятлов не видел.

Этот egov вообще тестировался (на уязвимости, ошибки т.д.)? или сразу в продакшн пускали?

Да всё как везде. Аналитики пишут ТЗ, программисты программируют, тестеры тестируют, админы выкатывают. На самом деле там порядка больше, чем во всех других казахстанских проектах, которые я видел, а видел я их не мало. Поэтому можешь сильно не переживать, прямо жести там нет. Например разработчикам не дают доступ к продакшн базам. На уязвимости, конечно, никто ничего не тестирует, как ты себе это представляешь? Такого нигде нет.

Но вообще это всё было достаточно много лет назад. С тех пор вроде этот проект отжали у той компании, с которой я работал, не удивлюсь, если всё испортилось. Но сильно не следил, хз в общем.

Я рассматриваю утечку собранных через суверенный CA данных.

Эти данные хранятся по тем же протоколам, по которым хранятся результаты прослушки. Давно полиция результат прослушки профукивала?

На редкость шаткий план. Проще дать ментам денег, чтобы чувака посадили, потому что в конце этого плана на киче окажешься именно ты.

Если дать ментам денег, то уже засветился. И у ментов своя внутренняя безопасность есть. А с цифровой подписью в недрах Интернета (особенно из какого-нибудь Сомали через пару VPN-ов) вычислить гораздо сложнее.

На тот запрос тоже был ордер если что.

Ты уверен? Потому что когда парни из вконтакта раздавали просто так, без всяких там ордеров.

Эти данные хранятся по тем же протоколам, по которым хранятся результаты прослушки. Давно полиция результат прослушки профукивала?

Результаты прослушки нужны только копам и подозреваемым. Подозреваемым проще взятку дать, чем ломать чьи-то там датацентры.

Если дать ментам денег, то уже засветился. И у ментов своя внутренняя безопасность есть. А с цифровой подписью в недрах Интернета (особенно из какого-нибудь Сомали через пару VPN-ов) вычислить гораздо сложнее.

Это все прикольно, но когда следак будет выяснять список подозреваемых, ВНЕЗАПНО ЗАИНТЕРЕСОВАННЫЕ КОНКУРЕНТЫ ТУДА ПОПАДУТ.

Результаты прослушки нужны только копам и подозреваемым. Подозреваемым проще взятку дать, чем ломать чьи-то там датацентры.

Ещё конкурентам, например. По телефону часто пароли сообщают, например.

Расшифрованный дамп, что прошло через Интернет-провайдера, в общем-то тоже мало кому нужен. Вероятность найти там что-то ценное примерно такая же.

Бриджи тоже?

Долго над шуткой думал?

там, наверняка, можно много таких эндпоинтов найти, где по данным вытаскиваются интересная инфа. Например зная БИН можно вытащить по бизнесу кучу инфы, учредителей и тд.

Поддерживаю. Я из другого совка, и принципы те же. Причём, краулер, связывающий данные пишется на раз-два, и вот уже база данных готова. А если поискать sql injection, то можно и чего интереснее найти.

Никогда не работал на гос.машину в нашем совке. Ублюдское отношение как по работе, так и по оплате. А вот с продуктами и людьми что на подсосе у кормушки имел дело: все так как ты описываешь.

P.S. За исключением заботы об удобстве. Главное проект сдать, а то, что им неудобно пользоваться, и не все функции реализованы, и работает через раз - насрать.

P.S. За исключением заботы об удобстве. Главное проект сдать, а то, что им неудобно пользоваться, и не все функции реализованы, и работает через раз - насрать.

У нас обычно заказчик и исполнитель имеют взаимовыгодные отношения. Если исполнитель всё делает нормально, то потом заказчик старается, чтобы он выигрывал дальнейшие конкурсы. Поэтому в конечном счёте, конечно, оно так, главное проект сдать, деньги платят за это, но всё же стараются делать нормально, насколько это возможно.

Тут часто другая проблема. Полгода кота за яйца тянут, летом начинают шевелиться, объявляют конкурс, пара месяцев на всю бюрократию, в итоге осенью начинаешь делать, а сдавать надо до конца года то, что планировалось делать год. Фиг знает, почему так получается, но вот раз за разом это вижу.

У нас обычно заказчик и исполнитель имеют взаимовыгодные отношения.

У нас они обычно родственники, или старые приятели, так что стараться не обязательно: это не повлияет ни на что.

Ещё конкурентам, например.

Если конкурента прослушивают, значит взятка подействовала и копы занялись. И в чем интерес? Ты не шаришь, весь прикол большого массива не в таргетировании, а в обьемах.

По телефону часто пароли сообщают, например.

Ну и сколько человеколет нужно потратить на отслушивание?

Расшифрованный дамп, что прошло через Интернет-провайдера, в общем-то тоже мало кому нужен. Вероятность найти там что-то ценное примерно такая же.

Лол. grep password, grep facebook.

Почему картавые, это просто такой тип произношения. Никто тебе не запрещает привычно «рыкать» как в старых песнях, у них это правда считается устаревшим (деревенским).

Насколько я знаю, рыканье присутствует в корсиканском диалекте (сильно отличается, как будто говорит иностранец, но приколько). Это где-то на границе с Италией вроде. Примеры произношения можно услышать в фильмах Les allumettes suedoises 1996 (вторая половина третьей серии) и La gloire de mon pere|Le Chateau de Ma Mere 1990.

Полгода кота за яйца тянут, летом начинают шевелиться

Ну это фирменный казахский менталитет, проявляется во всем. Люди не спешат.

Россия не отстанет от казахов.https://historygreatrussia.ru/

На уязвимости, конечно, никто ничего не тестирует, как ты себе это представляешь? Такого нигде нет.

Пентестеры есть. Только им денег платить придется нормальных, а не как обычно.

О, боги, розовый. Лучше бы сразу поставил фотку Машани на фон.

Годами был заблочен жж, прямо сейчас заблочены coub,soundcloud и deviantart. Вот нахрена?

Если есть возможность как-то заблокировать куда-то доступ то кто-то вполне может это зделеть на собственное усмотрение, просто мог стиль фотографий/картинок/рисунков/музыки не понравится... Это очень распространённое явление, люди постоянно пользуются своими полномочиями на своё личное усмотрение. Посмотрел кто-нибудь deviantart и решил забанить богонеугодние картинки просто по собственному желанию, никого не спрашивая... Людей считающих что они лучше других знают что кому можно очень много...

Отбросили в феодализм. Теперь электронное голосование нет смысла считать достоверным — проголосуют так, как угодно спецслужбе-владелице сертификата посредника.

Теперь электронное голосование нет смысла считать достоверным — проголосуют так, как угодно спецслужбе-владелице сертификата посредника.

Так голос же тогда будет подписан сертификатом-посредником. Легко проверить.

Зачем вообще нормальному человеку жить в стране, название которой заканчивается на «-стан»?

Его там родили, например.

Не только, например отправили на работу, потом ссср рухнул и вот «внезапно» ты гражданин не ссср, а той «новой» страны где пребываешь.

Палёная луна тем временем де-факто расписалась в поддержке режима: https://forum.palemoon.org/viewtopic.php?f=13&t=22611

Печально... Я прежде так надеялся, что вот-вот появится достойная альтернатива скатывающейся мозилле.

А толку? Тот, кто хочет поставить госсертификат просто поставит такой браузер, который это позволит. И даже если все браузеры заблокируют сертификат, никто не помешает пропатчить любой с открытыми исходниками и выложить на казахском госсайте.

Браузер, который осознанно не работает? Ваши идеи всё чудесатей и чудесатей.

современные браузеры же не сожрут такой трюк для HSTS и HKP. ну и поверх любого протокола https можно гнать ещё один уровень шифрования. достаточно иметь какой-нибудь VPS снаружи. так что в целом ничего не меняется, кроме гемора попыток перешифрования трафика (често говоря, не представляю это возможным для объёмов отдельно взятой страны с миллионами юзеров). тащемта, вангую, что обломаются оне. это ж любой говноюзер тупым генератором запросов их сервер положить сможет. всё поляжет, а потом они сами откажутся от этой идеи.

современные браузеры же не сожрут такой трюк для HSTS и HKP.

Сожрут. HSTS к делу отношения не имеет, HPKP уже устарел и тоже отключается автоматически, если устанавливаешь сертификат. Единственное, что не сожрётся, это Google Chrome, который пиннит сертификаты от google.com и их для него подменить невозможно.

тащемта, вангую, что обломаются оне

У меня на телефоне уже ряд сайтов MITM-ятся, например google, facebook, vk.

всё поляжет, а потом они сами откажутся от этой идеи.

Дай-то бог. Но я сомневаюсь. Это не идея, это закон, который был принят ещё в 2015 году. Чтобы от него отказаться, нужно принять новый закон. А предпосылок к этому не видно. Население восторженно приветствует эту защиту от хакеров и радостно устанавливает себе и другим этот сертификат. Мне сегодня чуть не установили, еле отогнал ссаной тряпкой от оборудования.

не сожрут. ты хоть раз пробовал обмануть современный браузер с сайтом, у которого нормальный серт? вот попробуй и обломайся. не надо всякие левые серты себе ставить - это и ежу понятно. VPS снаружи и всё через него. да даже Тор то же спокойно это всё обойдёт. короче говоря, засекай время - через неделю это всё заглохнет и откатится. может, даже быстрее, если юзеры начнут троллить систему.

P.S. да, при этом важно ещё надёжный DNS криптографический себе поставить, чтобы подмены были исключены).

Однако здравствуйте.

В Казахстане обязали устанавливать

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

государственный сертификат для MITM

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

Без установки интернет работать не будет.

Откуда инфа? Из текста сообщения этого не следует, по ссылке тоже.

от лица любого пользователя можно будет написать что угодно.

ТС бредит. Ну или пусть попробует сгенерировать новый сертификат, загрузить его к себе в браузер и написать на ЛОР от лица шамана.

Мне лень перечитывать 21 страницу, кто-то уже задавал эти очевидные вопросы и получил на них ответы?

Ну, как бы. Если я установил и постоянно обновляю браузер из официального источника (с сайта браузера/из репозитория дистрибутива), то при попытке установить этот сертификат с госсайта, мне по идее браузер (если бы он был хорошим, чего сейчас не наблюдается) должен был не просто тихо кинуть ошибку, а сказать, в чём именно проблема и чем именно это грозит. Хороший браузер не может исключить вообще все MITM-атаки, включая те, которые идут мимо него, через госбраузер. А дать понять юзеру, что на самом деле происходит, прежде чем он полезет скачивать госбраузер, всё же можно и нужно.

Где это он не работает?

не сожрут.

Сожрут и не подавятся.

ты хоть раз пробовал обмануть современный браузер с сайтом, у которого нормальный серт? вот попробуй и обломайся.

Пробовал. Всё работает как полагается. А ты не спорь, а почитай по теме.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.

И поддержку снизу статьи: из актуальных браузеров поддерживается только в Firefox.

не надо всякие левые серты себе ставить - это и ежу понятно.

А без всяких левых сертов у тебя сайт и так не откроется, без всяких HPKP браузер левым сертам не доверяет.

VPS снаружи и всё через него

Это выход, да. Пока не забанят твой VPS.

даже Тор то же спокойно это всё обойдёт

Ага, только Тор в Казахстане уже давно забанили.

короче говоря, засекай время - через неделю это всё заглохнет и откатится

Отпишусь через неделю, если не забуду.

P.S. да, при этом важно ещё надёжный DNS криптографический себе поставить, чтобы подмены были исключены).

Зачем и для какого сценария?

В Казахстане.

Устанавливать не обязывают, а рекомендуют. Без установки не будут открываться ряд сайтов, например google, facebook, vk. На данный момент перехватывают ограниченное число соединений, да и на эти сайты тоже далеко не все соединения, но, естественно, в будущем могут и всё перехватывать. Подразумевается, что государство сможет перехватить твой логин и пароль на LOR и зайти под твоим именем. Ничего невозможного в этом нет. Техническая возможность есть, прецеденты как минимум в России были, когда оперативники по решению суда получили копию сим-карты и вошли в чужой телеграм.

Не работает только через государственный прослушиваемый канал связи, т.е. не сливает данные. А дальше у пользователя будет выбор: если он осознанно решил сливать свои данные путину, пусть исползует браузер соответствующего типа с соответствующей репутацией, а если хочет сохранить конфиденциальность - пусть использует тор или что-то подобное (можно захардкодить инструкцию и показывать всякий раз, когда предлагается использовать этот сертификат).

Любой браузер не сливает данные, пока ты туда своими руками не установишь нужный сертификат, как доверенный. Поэтому выбор у пользователя есть изначально. А ты предлагаешь лишить пользователя этого выбора.

sms из оп-поста предполагает, что пользователь не понимает, что его данные сливаются, и вероятно не хочет этого (иначе бы сказали правду). И вот именно слив данных по-тихому я и считаю, что хороший браузер должен остановить.

У меня на телефоне уже ряд сайтов MITM-ятся, например google, facebook, vk.

Как проверить?

Население восторженно приветствует эту защиту от хакеров и радостно устанавливает себе и другим этот сертификат.

Разве что эникеи и айтишники. Домохозяйкам это не под силу.

оперативники по решению суда получили копию сим-карты и вошли в чужой телеграм.

какой кошмар!!! Какое беззакони... Ээээ...

то при попытке установить этот сертификат с госсайта, мне по идее браузер (если бы он был хорошим, чего сейчас не наблюдается) должен был не просто тихо кинуть ошибку, а сказать, в чём именно проблема и чем именно это грозит.

Первый раз предупреждение кидает ОС (что-то вроде «вы устанавливаете сертификат как корневой доверенный. Точно ли Вы доверяете этому сертификату»). Второй раз на каждый сайт с MITM браузер даёт предупреждение «сертификат подозрителен, возможно соединение небезопасно».

Как ещё надо «сказать, в чём именно проблема и чем именно это грозит»?

Хороший браузер должен написать ему, что его данные под угрозой. Это я поддержу обоими руками. Например перечеркнуть https.

Тупо не открывается страница на телефоне. Вроде пока только в Астане это.

Второй раз на каждый сайт с MITM браузер даёт предупреждение «сертификат подозрителен, возможно соединение небезопасно».

Нет.

вот попробуй и обломайся. не надо всякие левые серты себе ставить - это и ежу понятно. VPS снаружи и всё через него. да даже Тор то же спокойно это всё обойдёт

Если будет как в КНР, то в течение нескольких дней после установки VPS/VPN/Tor на домашний компьютер, тебя вежливо пригласят в полицейский участок, пару часов порасспрашивают, что именно перекачиваешь через шифрованный канал, зачем. Если убедишь, что очень надо, попросят предоставить ключи доступа или (если сессионные), предложат поставить их троян на свой компьютер.

Есть более жёсткий вариант как в ЕС (можно получить штраф на сотню тысяч евро за «нарушение информационной безопасности и интеллектуальных прав»).

Есть более мягкий вариант как в РФ или на Украине (всё население обучается пользоваться VPN, так как есть ответственность за распространение, но нет за использование).

Нет.

Речь про PaleMoon.

That being said, Pale Moon being non-mainstream and by default not observing the Windows certificate store, it is unlikely that any certificate will be installed in its truststore by other software, and you will get a warning when trying to connect through a MitMed connection, in particular the same type of warning you'd get by having antivirus install a wildcard certificate that hasn't been issued by a trusted CA.

А гугл на .kz, .ru или .com?

Астана же передовая столица, так что внедрение «инновационного» начинается отсюда.

Непонятно, к чему это всё. Сертификат пользователь ставит руками, хз, про что они пишут. Заходи в настройки и импортируй.