В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента.
Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы "национальный сертификат безопасности", который применяется при трансляции защищенного трафика к зарубежным сайтам (например, уже фиксируется подмена трафика к Facebook).
При установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом, который будет помечен браузером как достоверный, если "национальный сертификат безопасности" был добавлен пользователем в хранилище корневых сертификатов, так как подставной сертификат связан цепочкой доверия с "национальным сертификатом безопасности".
По сути в Казахстане полностью скомпрометирована предоставляемая протоколом HTTPS защита и все HTTPS запросы с позиции возможности отслеживания и подмены трафика спецслужбами мало чем отличаются от HTTP. Проконтролировать злоупотребления в такой схеме невозможно, в том числе при попадании связанных с "национальным сертификатом безопасности" ключей шифрования в другие руки в результате утечки.
Разработчики браузеров рассматривают предложение добавить применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL), как недавно Mozilla поступила с сертификатами удостоверяющего центра DarkMatter. Но смысл такой операции не совсем ясен (в прошлых обсуждениях его посчитали бесполезным), так как в случае с "национальным сертификатом безопасности" этот сертификат изначально не охвачен цепочками доверия и без установки сертификата пользователем браузеры и так выводят предупреждение. С другой стороны, отсутствие реакции со стороны производителей браузеров может стимулировать внедрение подобных систем в других странах. В качестве варианта предлагается также реализовать новый индикатор для локально установленных сертификатов, уличённых в MITM-атаках.
Комментарии
Ужаааасс.
Шеф, все пропало, все пропало. Гипс снимают, клиент уезжает.
Теперь всех "россиян и белорусов" под прокси видно станет под израильским флагом на казахском АШ )
Елбасы должен уйтить!
Касперский делает то же самое, если нужно искать вирусню в трафике
Вот! Надо было просто предложить бесплатный антивирус и сами бы поставили. :-)
я когда там был года три назад-симки можно без паспорта было покупать. ну,жж и пб заблокированы были,но обойти эти блокировки за пару секунд можно было
Буквально на днях покупал симки и телефон, сразу пришли СМС о необходимости регистрации номера до сентября, Kcell потребовал ещё и телефон зарегистрировать. Процедура простая, нужно послать СМС с номером ИИН и всё.
ЖЖ работает без проблем, фейсбук не знаю не пользуюсь.
Относительно новости, пользуюсь модемом Beeline, пока никаких уведомлений не было, всё работает без ограничений, по крайней мери я ничего не заметил.
ИИН (если кто не знает) это единый номер, налоговой, пенсионный и т.д. он прямо на удостоверении личности (паспорте) прописан.
Никто ничё не заметил. Об этой чудной новости, тут узнал. ИМХО страхуются просто. Папик не вечный и по слухам уже совсем не торт и реальный замес тут начнётся только после того как.....(тьфу, тьфу дай аллах ему долгих лет).
Думаю тогда эта айтишная вундервафля будет очень к месту. А то выйдет какая нибудь кучка мамбетов с лозунгами и Фейсбук во всём городе на день пропадает, а в районе эвента так и сотку глушат. Каменный век короче. Надеюсь теперь будут не по площадям, а точечно работать и к навальщикам карету сразу к дому подавать.....что б до площади идти не пришлось
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Пока это типа как пилот - только жители столицы получили смс с уведомлениями от операторов. Но судя по всему докатится и до остальных волостей. Формулировки, которыми это все оправдывают, конечно умиляют - реально людей за дебилов держат. Те, кто более менее шарят в технологиях, конечно же ничего устанавливать не будут, и еще научат близкий круг как и что надо сделать чтобы все работало без этого "прослушивающего" сертификата.
Тут правда еще непонятный момент - что будут делать операторы связи, когда поймут что их инициатива, мягко говоря, не пользуется спросом и на этот сертификат забили. Есть ли у них рычаги давления влияния на пользователей - пока непонятно. Конечно, можно было бы послать охреневшего оператора, но дело в том, что их сверху обязали всех сразу и одновременно, и посылая одного оператора, идти некуда - у всех такая шляпа,
1) Никто не мешает оператору блочить трафик при отказе в использовании сертификата... обойти конечно можно, но сложность обхода будут поднимать.
2) Всегда интересовало, а кто выступает гарантом корневых сертификатов, на основании которых https работает. И как этот кто-то гарантирует независимость самого себя от всех кровно заинтересованных лиц и организаций.
1) Даже блочить не надо, браузер сам заблочит. Ведь суть в том, что провайдер начнёт перешифровывать данные по HTTPS протоколу и отдавать клиенту по HTTPS, но со своим сертификатом, который выдан национальным. И если у клиента национальный не стоит в доверенных, то просто получишь вместо странички сообщение, что сертификат недоверенный.
2) Коммерческие организации
Даёт честное слово. :-)
Ничего. Сертификат нужен не им, а пользователям. Можно не ставить, а просто щёлкать каждый раз "я доверяю этому сайту".
И что же? Купить VPN за пределами страны и на youtube смотреть слайдшоу вместо видео?
У Firefox уже есть рабочий DNS over HTTPS, провайдерские МИТМ атаки не страшны.
А каким боком DNS? Если провайдер сам поток HTTPS у себя перешифрует, то знание правильного IP сервера (а DNS больше ничего не даст) не спасёт.
А тем, что провайдер не может вклиниться в HTTPS с зашифрованным DNS
С чего вдруг? Вот иду я на afershock.news. Сначала делаю запрос по DNS, который мне возвращает 185.112.80.17. Пусть есть безопасный протокол и провайдер про этот запрос не знает. Или для гарантии я вообще могу поднять свой DNS и внести в него все нужные мне сайты.
Но всё равно после этого я делаю соединение на 185.112.80.17 на 443 порт, который провайдер видит и перехватывает (делает от себя ответ от имени 185.112.80.17:443 с государственным сертификатом). А дальше я могу либо согласиться и работать, зная что провайдер видит, что именно я отправляю, или не согласиться и не попасть на сайт (у провайдера всё равно останется информация, на какой сайт я пытался попасть).
Есть международные структуры, консорциумы, которые на основании открытого протокола разрабатывают стандарты и решают, кто может выпускать доверенные сертификаты - по большей части это сертификационные центры (Comodo, GeoTrust, Thawte и т.д.) Раньше был еще гигант Verisign, но они где-то там облажались и их из этого бизнеса поперли.
Структура иерархическая, влезть туда не так чтобы просто, и чтобы сертификат из темы статьи попал в список доверенных - довольно маловероятно.
Насчет гарантий - сертификационные центры дают денежную гарантию, что если сертификат будет скомпрометирован, они выплачивают пострадавшему (не тому, кто заказал и установил у себя на сайте сертификат, а тому, чьи данные были украдены в результате перехвата и расшифровки трафика, и кому был нанесен материальный ущерб) страховку - от 10К до 1М вечнозеленых.
:-)
Надо доказать а) что был материальный ущерб б) что был он исключительно в результате перехвата трафика. И всё это небось в американском суде.
Все так и есть. Поэтому в паблике задокументированных и доказанных случаев компрометации коммерческих SSL не наблюдается.
https://en.wikipedia.org/wiki/DigiNotar#Issuance_of_fraudulent_certificates
Хватит набрасывать. Эту шнягу пытаются запилить с 15 года, а воз так и нахрен никому не сдался. Короче, у нас как всегда - всем по барабану, что и кто там ещё хочет нам выпарить за наши же бабки...