Сегодня мы получили очередную «дружескую» оплеуху от наших американских «друзей»: США отозвали SSL-сертификат (т.е. сертификат безопасности) у официального сайта ФСБ.
Об этом в интервью украинскому пропагандисту Дмитрию Гордону с гордостью сообщил) американский IT-бизнесмен Майкл Талан.
Он отметил, что, по мнению американцев, которые «знают всё», Москва применяла «грязные методы, используемые черными хакерами на службе у Кремля», поэтому Россию решено было наказать.
Еще раз: SSL - это сертификат, удостоверяющий подлинность сайта.
Проблема заключается в том, что Россия не входит в так называемый «клуб», который выпускает сертификаты, признанные всеми производителями браузеров, поэтому любая компания использует либо бесплатные ключи Let’s Encrypt, либо платные от западных производителей.
Так вот, по информации Талана, руководство США настолько «устало» от нашего поведения, что отозвало сертификаты у 35 официальных российских организаций, по мнению американцев, «управляющих страной».
В качестве примера одного из последних отключений от SSL-сертификации, Талан привёл официальный сайт Президента РФ и сайт ФСБ России.
Теперь они доступны пользователю по стандартному протоколу //, сохраняя сообщение в браузере о том, что эти сайты небезопасны, иначе говоря, трафик не зашифрован.
По информации бизнесмена, США намерены также отозвать сертификаты SSL и у таких российских IT-гигантов, как Яндекс и «Mail.Ru».
Точно знаю, что в прошлом году была попытка лишить SSL-сертификата сайт Общественной палаты России. Да и, думаю, про другие попытки мы просто не знаем.
Талан добавил, что такой шаг - это беспрецедентная демонстрация того, на что готов пойти Вашингтон, если «Москва не выполнит требования США».
Интересно, о чем вообще идёт речь? Что мы должны сделать, чтобы нас «простили»?!
alexsword: Как выяснилось, там и не было SSL версии, то есть "отнимать" было особо нечего.
западная цензура в интернете добралась и до российских сайтов ... что скажут защитники западной "свободы" слова и "демократии"?
Комментарии
Не совсем так. Если вы заявите, что вы что-то там шифруете и гарантируете - да, ГОСТ обязателен.
Если вы напишите, что применяете "технические меры, позволяющие снизить вероятность несанкционированного доступа к информации" (и особенно если явно пропишите, что гарантий по надёдности вы не даёте) - то можно спокойно и https применять.
Более того, если найдёте на https://web.archive.org/web/20200820234329/https://fsb.ru/ то увидите, что 20 с лишним лет как-то никакой закон не мешал это делать... а тут вдруг начал работать. С чего бы это?
С того что благодоря событиям последних лет - гаечки закрутили очень сильно. И начали - именно с тех "кому положенно", спецслужбы, армия, госаппарат, военка...
Ну и в августе... кое-что произошло, очередной санкционный "подарочек" от наших дорогих партнеров, в результате чего... блин, ладно - не уверен что NDA мне позволяет писать об этом... :) Вообщем вполне достаточно чтоб наши обозлились и решили в очередной раз подкрутить гайки до того как это успеют сделать наши дорогие партнеры... Нет, это не Нахальный!
Думается мне что следующие шаги - очевидны и я их жду с нетерпением если честно. Да-да, наши удостоверяющие центры с выдачей сертификатов для вебя, с ГОСТ-ом и необходимые плагины к браузерам... Скорей всего - только к яндекс-браузеру (по умолчанию) как я подозреваю...
Ну... будем посмотреть.
Вот что мешало это проделать лет 10-15 назад? То, скорее всего, можно было бы продавить поддержку ГОСТ в Chrome (который не был ещё монополистом и отчаянно боролся за долю рынка) чисто чтобы "ублажить этих прикольных русских".
А сейчас - то же самое придётся делать со скрипом, с шумом, гамом, громкими судебными баталиями...
Дурдом.
Ну както так... смысла не видели денег на это тратить видимо:
Пруф - https://habr.com/ru/post/357422/
Ну и если верить нижеприведенным статьям - года три-четыре назад и начали, видимо - сейчас мы наблюдаем завершающий этап сего процесса.
https://iz.ru/636884/sertifikat-dlia-gosuslug-i-sputnika
https://www.kommersant.ru/doc/2916742
Ну если так и отключили сами ФСБшники, то тогда, скорее всего, через "IT-бизнесмена из США Талана" была провёрнута классическая операция эпохи пост-правды... то есть Россия научилась-таки использовать Интернет правильно и грамотно.
Уважаю.
P.S. Хотя, конечно, жаль немного "наивные нулевые", когда Интернет был всего лишь средством общения, а не полем боя...
Гаечки закрутили? вот несколько лет Телеграм гоняют, с истерикой про терроризм, всё как у учителей из США, и всё это время то там то здесь - "госорган такой-то заявил в своём официальном телеграм-канале..."
Госорганам наплевтаь на госзаконы, "кто его посадить, он же памятник?"
Классический взгляд демшизы... А по факту - всегда есть конкретное лицо, которое за что-то отвечает. И его - можно посадить. А если не посадить - то вынести выговор, лишить премии, понизить KPI, вызвать на ковер, уволить... методов много.
Можно, можно, можно, можно, можно
Это то самое, что начиная со "святых 90-х" говорится про отсутствие несвободы на Западе. Все госорганы и чиновники там честные, потому всегда есть принципиальная возможность сделать какое-нибудь журналистское расследование, создать свою партию и выиграть выборы. Можно, можно, можно, можно....
Вы просто это повторили применительно к российской власти
А просто очевидно что вы, в отличае от меня - не работаете с госсектором и не понимаете логику происходящих там процессов. Я не утверждаю что там все идеально, но вот логика происходящего в данном конкретном случае - мне совершенно понятна и очевидна.
Кратко - Большого Начальника спросили с Самого Верха "А как там у вас происходит Импортозамещение? К следующему месяцу - отчет на стол!"
Большой Начальник собрал Начальников Департаментов и задал им тот же вопрос...
Начальники Департаментов задали его Руководителям Отделов.
Те собрали Специалистов и сказали "Быстро накидайте отчет по Импортозамещению! Только конкретика нужна - что сделали?"
Специалисты "Да ну нафиг, мы не сможем работать без венды!!!"
Руководители Отделов "А без чего сможете?! Что вы не используете? Что вам для работы не нужно? То и импортозаместите!!! Чтоб завтра было!!!"
Специалисты почесали в затылки и решили "А давайте просто отрубим https на сайте, нафига он нужен? И отрапартуем что полностью импортозаместили криптографию и сертификаты - более иностранные не используем, только отечественные!"
Руководители Отделов "Молодцы! И СБ довольна, их тоже в отчет включим, они нам благодарны будут... А благодарность СБ - дорогого стоит"
Начальники Департаментов "Молодцы! На этот раз не уволю... Но смотрите у меня!!!"
Большой Начальник "Хорошо. Может премия и будет... Ибо от этого зависит мой KPI и мой бонус..."
На Самом Верху "Страна ударными темпами продолжать выполнять Программу Импортозамещения в самых критичных областях..."
> Кратко - Большого Начальника спросили с Самого Верха "А как там у вас происходит Импортозамещение? К следующему месяцу - отчет на стол!"
т.е. не закон (и даже, не Закон), а подзаконные акты в лучшем случае, либо просто телефонное право
> Специалисты почесали в затылки и решили "А давайте просто отрубим https на сайте, нафига он нужен? И отрапартуем что полностью импортозаместили криптографию и сертификаты - более иностранные не используем, только отечественные!"
А вот это уже служебным подлогом попахивает. По факту криптографию вообще не используют, а говорят, что используют отечественную.
....а когда основные браузеры начнут все ссылки сайты переводить на TLS самостоятельно то вообще смешно станет. Пока это делают "популярные плагины", но с такими тенденциями - станет обязаловкой раньше или позже. Вот, FTP уже убирают. Там, конечно, много причин, но до сих пор они не сильно мешали. А вот то, что FTP/S на практике "не взлетел" могло быть одной из причин. Так моя шапочка из фольги думает.
НЕТ!!! Читайте внимательно - они говорят что не используют иностранные сертификаты!
К тому времени либо ишак, либо эмир, либо... В конце-концов - используйте Яндекс Браузер, он точно такой фигней страдать не будет!
Опять же - читайте рядом про российские центры выдачи сертификатов...
> импортозаместили криптографию и сертификаты - более иностранные не используем, только [используем] отечественные!"
как же "нет", когда "да" ?
Заместили - это запустили в производство и использование своё, а не просто взорвали и перепахали с солью чужое.
> К тому времени либо ишак, либо эмир, либо..
Обычно это говорят, подразумевая, что эмир - самодур, "не сказать ещё хужей"
Вот вы вроде бы во всю с госорганами РФ работаете и их политику "понимаете" - но сами сидите в интернете через Норвегию, а не "как все".
Хорошо хоть не требуете "ради войны забыть про удобства", как один германо-флажковый
Я хочу вас разочаровать - это ваше личное трактование термина и оно не совпадает с принятым в госорганах. Чтоб в этом убедиться - достаточно повнимательней изучить официальный реестр отечественного ПО.
На счёт прокси - а вы не думаете что у меня могут быть для этого совсем иные причины чем обход РКН или прятки от спецслужб? Внезапно, но на деле именно так...
В защищаемой вами сейчас трактовке "заместить импорт - это убрать функцию/службу/возможность вообще" - надо будет изучать не что есть в реестре, а чего там нет.
Тем более сегодня, когда из реестра пытаются сделать отраслевой список компенсаций за ковидный карантин.
Это не моя трактовка, она спущена с Самого Верха и спорить с ней - пустая трата времени. Приведет только к увольнению или потере контракта, в зависимости от того кто конкретно спорит. :)
тут бы не Telnet'ом, а LFT пробить, где именно сигнал режется, может быть РКН рубит :-)
вы-то не в России, но сайт ФСБ - таки тут, вроде как. Впрочем, гос-блокировки похоже есть уже везде, вспомнить хотя бы как pirate bay выдавили из Cкандинавии
правда для запуска LFT нужен либо линух, либо винда не новее xp sp2
Это говорит о вашем уровне понимания вопроса - вы даже не подумали что я могу использовать для браузера proxy/vpn, тот же tor... По куче всяких, самых разных причин, которые вас простите не касаются...
И чем вас не устроил nmap?
> я могу использовать для браузера proxy/vpn, тот же tor
я про телнет говорил.
>>> telnet kremlin.ru:443
>>> Подключение к kremlin.ru...Не удалось открыть подключение к этому узлу, на порт 443: Сбой подключения
Вот это конкретно вы через TOR и i2p запустили? или через socks5?
Это - непосредственно с компа, находящегося в РФ. То есть - все ваши построения из-за моего норвежского флажка - мимо. Норвежский флажек именно потому что я хожу в веб через проксю. И только в него.
Тем самым вы только усилили мой аргумент.
Если и клиент был в РФ, то тем более он подпадал под РКН, и если устраивать фактическое расследование - хорошо бы удостовериться что запрос, по конкретному интернет-протоколу и порту, дошёл до адресата, а не был срезан где-то на пол-пути
О! То есть запрос с компа в РФ на сайт ФСБ РФ был блокирован РКН? Отличная идея, вам с ней прям сюда - http://www.fsb.ru/fsb/webreception.htm
А почему бы нет? Достаточно любому врагу народа попасть на тот же IP или тот же блок. И готово - нешифрованный траффик проверяем MITM'ом и пропускаем. Шифрованный проверить не можем, поэтому чтобы не поймать штраф за игнор списка - рубим сразу.
Необычного в таком случае будет только одно - что в этот раз по раздачу попал fsb.ru, а в остальном типовой сценарий.
Вы тут написали очередную фигню.
1. Суть MITM не в конкретном шифровании или конкретной аутентификации, а что некое невидимое "третье лицо" работает между "Алисой" и "Бобом", которым кажется, что они говорят напрямую и вдвоём. Просто обычно термин привязывают к криптографии, потому что "а без крипто и ежу понятно" - но во времена бумажной почты тоже иногда письма тайно вскрывали, и запечатывали обратно. Чем не MITM, если без крипто-снобизма?
2. То, что РКН-MITM не может его расшифровать, пока. Соответственно и вмешаться может только "крупными мазками", сброс соединения выслать например, просто по маске IP. На всякий случай, незачем провайдеру себе находить штрафы на пустом месте.
> Проблема только в объемах, но это проблема не РКН, а ISP.
Ага, мощности реальных компьютеров не хватает, чтобы раскрыть все шифры всех сообщений, но это не проблема, потому, что один из миллиона мы всё же взломаем, и... Напишем красивый отчёт?
Но на практике, без казуистики, это и означает, что он не работает. Раз приходится тупо рубить соединение целиком, независимо от того, куда оно было направлено.
Вообще, взлом любого блочного шифра - "вопрос объёмов". При наличии неограниченного объема переписки с одним шифром и неограниченной мощности компьютеров - ломается всё. Хотя бы брутфорсом.
А про терминологию вместо сути - это уже фарисейством отдаёт. MITM - это тайное (для абонентов-жертв) подключение к якобы доверенному каналу. Если доверенный канал реализован с помощью несимметричного крипто - то на крипто, да. Но цель атаки и опасность атаки - не доклад на условном криптоконе, а чтение или подмена "письма".
Ты серьезно думаешь что сертификаты защищают от MITM?! facepalm.jpg
Запомни - защититься от MITM невозможно в принципе, вся эта система сертификатов только оповещает тебя о том что канал скомпроментирован, но не защищает от компроментации!
Посему делается просто - перехватываются и подменяются ключи/сертификаты. И расшифровать все сообщения - не проблема, ради смеха мы делали такую систему на бытовых видяхах, 4 видяхи без проблем тянули более 10к пользователей. Да юзвери получали мессагу что типа сертификат подменили... Ну у них был выбор - принять и установить наш сертификат и продолжать шариться в интернетах (там где им разрешили разумеется), либо вообще не использовать https и соотвественно - не иметь возможность попасть на сайты https-only.
Почему ради смеха? Ну потому что было временное решение, пока проходила сертификацию специализированная железка делающая тоже самое... И производительней нашей самоделки в несколько раз...
> Запомни - *защититься от MITM невозможно в принципе*, вся эта система сертификатов только оповещает тебя о том что канал скомпроментирован, но не защищает от компроментации!
Так в этом и есть защита. Зная, что "меня слушают", а может быть и "за меня говорят" - я буду "фильтровать базар", а возможно и оборву связь. В случае интернет-банка - НЕ БУДУ вводить пароли и СМСки. В случае "дяди майора" - начну говорить о цветочках и котиках, а потом поищу другой канал.
Та же военная цензура себя и не скрывала, что "канал скомпрометированный", даже наоборот, выпячивала, мол займитесь лучше самоцензурой для общего блага. Цель MITM - именно тайное подключение к каналу. Срыв этой цели - защита, во всяком случае в общепринятом смысле меня ,как потребителя канала.
> И расшифровать все сообщения
Не зная ключа и не встраиваясь в TLS-обмен, разумеется. Речь не про "казахстанский вариант", который по сути - отменяет шифрование.
> либо вообще не использовать https и соотвественно - не иметь возможность попасть на сайты https-only.
Вот-вот. "Военная цензура", а не "вскрытие дипломатической почты в поезде". Не "подслушиваем втихую", а "стой, кто идёт, стрелять буду". И вышки побольше, и пулемёт потолще - чтобы видели издалека и желания не возникало.
Гос-по-ди... Какая же у вас каша в голове... Путаете защиту и обнаружение инцидента... facepalm.jpg
спецы по интернету.. чем это грозит?блокировка или отключение в будущем?
Не. Это про другое.
Протокол SSL обеспечивает защищённый обмен данными за счёт двух следующих элементов:
С сайтом Президента никто обычно конфинфой не обменивается. А вот с Яндексом, да.
http://letters.kremlin.ru/ - обращения к Президенту.. как минимум персоналка там ручьем льется.
а дело не только в обмене и не только в конф-инфе
завтра на сайте президента "будет опубликовано" основными провайдерами рунета, что он тяжело заболел, лечится на даче в Форосе, а его функции выполняет правитнльство во главе с законным вице-президентом Медведевым
подмена информации провайдерами уже отработана, правда пока - с целью подсунуть свою рекламу и набить бабла
Ничем. Тупые курицы просто раскудахтались.
Тем, что США и другие страны потеряют влияние и очередной рынок.
Китай вообще их изначально на ... послал (пишется раздельно!).
Запретят в России продажу "надкусанных яблочков" и прочих несертифицированных устройств - и превед вам "наши партнёры", у вас ещё одна новая "ковидла". Сами себе в в яйца стреляют.
С другой стороны ненуачо, у них же выборы, любые средства хороши в борьбе за демократию.
при заходе на сайты указанных организаций браузер будет ругаться - ай яй яй, у них сертификат протух, вы уверены что хотите зайти и тп
т.е.стучать в фсб через незащищенные канал теперь небезопасно?)) вот засада!)
Ничего страшного ))) Будут работать по незащищенным каналам. Потом ответственные органы создадут комиссию или рабочую группу, туда войдет человек 200, потом еще 100, потом они попросят денег, потом потребуют еще столько же и через годик можно будет купить российский SSL-сертификат у российского центра сертификации тысяч за 5-10-20-30 в год ))) Попутно будут продвигать идею отказа от забугорных сертификатов и перехода на исключительно российские сертификаты своего ЦС.
Корневой сертификат придется в каждый браузер ставить ручками, как сертификаты Минкомсвязи, к примеру, но это просто и быстро.
И все, в общем-то )))
Нет. Это так не работает.
Аргументируйте.
Никто не мешает сделать свой сертификат и ручками добавлять.
Это то же, что и блочить DNS - шуму много, но лечится быстро и почти безболезненно.
Короче, у партнёров - истерика. Ну и война наверное близко. Я про горячую фазу.
Любой подписанный сертфикат они могут сразу же отозвать, автоматически, так как ключи для подписи - у них.
А самоподписной сертификат никакой ценности не имеет.
Так что, не все так просто.
Не усложняйте. Никто просто так ничего не отзовёт, если вы ручками сертификат поставите.
То есть вы предлагаете корневой сертификат установить в систему вручную?
Такое сделать можно, но это будет нетривиальной процедурой для большинства пользователей.
А в какие-то устройства, например, планшеты, телефоны, телевизоры, новый сертификат установить наверняка в принципе невозможно.
Для "большинства пользователей" даже отключить антивирус - тривиальная процедура, если заинтересованная программа красиво с картинками покажет где на что нажимать.
Главное - чтобы мозг включать не приходилось, все остальное - тривиально.
Вот баннерорезки - делают же на сайтах "доброжелательные подсказки" как именно их отключать? Причём к разным браузерам и разным резкам - разные картинки. Будет так же и с сертификатами.
Можно смело добавить: отключения
ИнДурнет, SWIFT, Процессоры, ПО. и т .д ( $ - сам рухнет )
с уважением,Оптимист,
ежели чего Яндекс браузер давно умеет ssl с шифрованием по ГОСТ
Но, если официально - сертификаты выдаёт не правительство США, а определённые организации. И отзывать, по идее, должны именно что только они.
Не?
Страницы