Comments 112
Путь 1 - анб не нужно читать трафик "Саши из Минска" он просто запросит его у "google" стоимость - нулевая.
Да ну, статья не о "опсек кали тор и2п анонимность" а о сертификатах :3
к тому же google.com просто пример ^-^ хоть tuta.io
к тому же google.com просто пример ^-^ хоть tuta.io
Тогда можно спросить у CloudFlare/AWS/Oracle/etc. - там где терминируется SSL
Тогда можно спросить у CloudFlare/AWS/Oracle/etc. - там где терминируется SSL
А если не поделятся, и мы тут теоризируем, то можно на этапе создания RSA и УЦ заранее сделать закладки, которые понижают вероятность рандома при генерации ПК корневого центра до нужного им диапазона. И вот CloudFlare/AWS/Oracle/etc могут честно отвечать что никому ничего не передавали, но им и не надо - просто бесплатно расшифровывают любой трафик.
Сложность: Запредельная.
Превращается в:
Сложность: Средняя. Никто в мире тоже об этом даже не узнает, что идеально для такого рода атак.
Вы проецируете собственный опыт (как ФСБ может прийти в любую компанию и та бахнется в коленно-локтевую позу перед ними) на весь мир. Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде. И если гугловским юристам что-то не понравится АНБ пойдёт домой к себе, маме жаловаться со всеми своими плохо заполненными бумажками.
Так уже было не раз с тем же Эпплом, который просто отказался вскрывать телефоны людей, которые уже сидели в тюрьме, уже были обвинены в терроризме или наркотрафике, но даже при этом всё равно юридических оснований пришить именно эти телефоны у них изъятые именно к этому делу не было.
Именно в этом и заключается идея разделения власти - когда нет той самой "вертикали", где всегда найдётся верхний способный пнуть нижнего не смотря на любые законы.
PS. Пожалуйста не надо вываливать в качестве ответа все эти конспирологические теории "ах вы такой наивный, вы ничего не понимаете, просто придут и никого не спросят и никто не узнает! всё везде одинаково, везде как в России, только на пёсьих языках говорят"
Что-то вспомнилось, как лет 10 назад всплыло, что когда американская полиция ищет преступников, первое что они делали - слали запрос в гугл с требованием скинуть список пользователе, кто по геолокации был в такой-то области в такой-то промежуток времени и те им скидывали естественно
Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде.
Это не так. Как раз трафик Саши из Москвы АНБ может запросить и без дела/ордера, и любая компания бахнется в коленно-локтевую позу перед ними, т.к. всякие штуки типо Executive Order 12333 или Privacy Act защищают только римских американских граждан (или резидентов), а FISA Section 702 как раз работает только по иностранцам.
Отсюда.
Именно в этом и заключается идея разделения власти - когда нет той самой "вертикали", где всегда найдётся верхний способный пнуть нижнего не смотря на любые законы.
Ага, но зато всегда есть законный способ пнуть кого угодно из другого государства. Я не осуждаю, в целом это вроде рационально.
Сливы Сноудена вроде бы поставили достаточно хорошую точку в технических возможностях АНБ. Тем более странно читать ваши утверждения про всякие юридически запросы при существовании программы PRISM, которая тот же СОРМ в американском исполнении. А если гугловским юристам что-то не понравится, то их дата-центр просто не подключат к сети - не получит сертификацию некоторых ведомств и всё.
Вы проецируете собственный опыт (как ФСБ может прийти в любую компанию и та бахнется в коленно-локтевую позу перед ними) на весь мир. Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде. И если гугловским юристам что-то не понравится АНБ пойдёт домой к себе, маме жаловаться со всеми своими плохо заполненными бумажками.
Это вы проецируете опыт просмотра американских фильмов, в которых адвокат с ноги открывает дверь в кабинет начальника АНБ, хлещет его по щекам судебным постановлением, потом швыряет ему бумаги в лицо, харкает на пол, и, презрительно цедя "грёбаные федералы" покидает кабинет под эпичную музыку, шлёпнув по попке симпатичную секретаршу у входа, пока начальник спецслужбы в истерике звонит поплакаться своей мамочке.
То, что вы рисуете картину, будто любой запрос от ФСБ / СК заставляет организацию мочиться от страха, говорит лишь о том, что вы никогда в жизни обработкой таких запросов не занимались, и не знаете, как это устроено, и что запросы даже от самых "страшных" вопрошателей, оформленные не по закону, прекрасно разворачиваются типовыми формулировками.
Если у государства будут серьёзные основания принять серьёзные меры, то оно их примет. Любое государство, США в том числе.
АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде
А Гугл может ответить, что трафик не хранит ибо им это не нужно, а закона обязывающего хранить - нет.
Google с самого основания тесно сотрудничают с АНБ на взаимовыгодных условиях. Вопрос с трафиком уровня как из одного кармана переложить в другой.
Непонятно что вы хотели сказать, приводя ссылку на гайд для сисадминов по внедрению политик безопасности kubernetes кластеров, основанном на гайде по настройке безопасности, разработанным АНБ, описывающем понятные лишь этим сисадминам (девопсам) логичные вещи типа запрета запуска контейнеров от рута, использование файловой системы с монтированием только на чтение и т.п.
Лучше уж почитайте https://policies.google.com/terms/information-requests?hl=ru где рассказывается, что и как гугл будет предоставлять в ответ на запросы от правительства.
Четвертая поправка к Конституции США и закон США "О защите информации, передаваемой с помощью электронных систем связи" (ECPA) ограничивают возможность государства принуждать поставщиков услуг к раскрытию информации пользователей.
Я напоминаю ещё раз, что Google совершенно не обязан хранить трафик своих пользователей и может предоставить лишь те данные, которые собирает согласно пользовательскому соглашению, так как сбор других данных незаконен.
может предоставить лишь те данные, которые собирает согласно пользовательскому соглашению, так как сбор других данных незаконен.
Разумеется это не так. Требования со стороны законодательства имеют больший приоритет над любыми пользовптельскиии соглашениями.
Четвёртая поправка распространяется только на граждан США. Ко всем остальным она не имеет отношения. Вы же прочитали там же пункт ниже?
Если расследование затрагивает национальную безопасность, то для того, чтобы обязать Google предоставить данные пользователей, правительство США может отправить письмо-запрос по делам, касающимся национальной безопасности (National Security Letter, NSL), или использовать одно из полномочий, предоставленных в рамках закона США "О контроле деятельности иностранных разведок" (FISA).
Ну а про FISA здесь уже было.
Сервисы для правительственных организаций это серьезная часть бизнеса Google https://cloud.google.com/gov. Они сотрудничают министерством обороны войны, CIA и прочими. Рекомендации по настройкам безопасности являются лишь одним из публичных артефактов такого сотрудничества. Я не знаю откуда у вас иллюзии о том, что Google чем-то дополнительно себя ограничивает. Какой им от этого профит?
Разумеется это не так. Требования со стороны законодательства имеют больший приоритет над любыми пользовптельскиии соглашениями.
Разумеется это так. Незаконное получение пользовательских данных не может осуществляться даже по запросу из каких либо органов. Тем более незаконна передача таких незаконных данных. Ведь в США всё-таки законы работают.
Четвёртая поправка распространяется только на граждан США. Ко всем остальным она не имеет отношения. Вы же прочитали там же пункт ниже?
Вот этот?
Иногда Google LLC получает запросы на раскрытие данных от органов государственной власти других стран. В таких случаях мы можем предоставить данные пользователя, если это не противоречит перечисленным ниже законам и нормам.
Перечисление содержит так же
Международные нормы. Это означает, что мы предоставляем данные только в ответ на запросы, которые соответствуют принципам свободы самовыражения и конфиденциальности, сформулированным организацией Global Network Initiative, и связанному с ними руководству по реализации.
Правила Google. Они включают все действующие условия использования и политики конфиденциальности, а также правила, которые касаются защиты свободы самовыражения.
Если местечковые правовые нормы идут в разрез с международными - местечковые запросы пролетают мимо. Пример - запросы РФ. да-да, те самые, по которым РФ выставила штраф за их невыполнение, доросший до астрономической суммы уже.
Я не знаю откуда у вас иллюзии о том, что Google чем-то дополнительно себя ограничивает.
Вы пропустили ссылку выше на https://globalnetworkinitiative.org/gni-principles/ ? Те самые принципы свободы самовыражения и конфиденциальности, которых Google, как заявляют, придерживаются.
Никто не может быть подвергнут произвольному или незаконному вмешательству в его частную жизнь, семейную жизнь, жилище или переписку, а также незаконным посягательствам на его честь и репутацию.
Каждый имеет право на защиту закона от такого вмешательства или посягательств.
Верховенство права: система прозрачных, предсказуемых и доступных законов, а также независимых правовых институтов и процессов, которые уважают, защищают, поощряют и реализуют права человека.
Какой им от этого профит?
Удерживать клиентуру. Никто не захочет пользоваться непрозрачным сервисом, не уважающие его права.
Незаконное получение пользовательских данных не может осуществляться даже по запросу из каких либо органов
В принципе - может. Просто такие данные будет сложно использовать в суде (illegal evidence). Но зная где копать, потом можно собрать и с соблюдением всех церемоний.
Если местечковые правовые нормы идут в разрез с международными - местечковые запросы пролетают мимо
Это касается прямых запросов из других стран. Здесь описан лишь один из протоколов, чтот не отменяет существование других. Например, запросы могут быть направлены извне и конвертированы во внутренние через такие каналы как Интерпол.
Те самые принципы свободы самовыражения и конфиденциальности, которых Google, как заявляют, придерживаются
Приринципы тем и хороши, в отличие от законов, что ими можно пользоваться когда удобно, и не пользоваться - когда не очень. Как SOLID, KISS, YAGNI - Google же софтовая компания в конце-концов.
Удерживать клиентуру. Никто не захочет пользоваться непрозрачным сервисом, не уважающие его права.
Да ладно, вы серьёзно идеалист? Всех бесит реклама на ютубе, но посещаемость только растёт. Пользователям, по большому счету, не дела. Многие вообще не читали ни каких privacy notice, а кто читал - тот старался незамечать неудобных моментов. Единственное право, которое их на самом деле интересует, это то, которое открывает возможность думскроллить контент.
Требования со стороны законодательства имеют больший приоритет над любыми пользовптельскиии соглашениями
Зависит от юрисдикции. В континентальном (Европа, включая РФ) праве всё так.
В островном (англосаксы) — нет, в договоре можно писать любую херь, пока она не противоречит уголовному кодексу.
Примеры:
а) договор "вы должны убить мистера X за Y денег" в любом случае незаконен;
б) договор "я вам продам товар за $300000, но если что-то пойдёт не так, то моя гарантия не может превышать $5 (именно так составлена EULA Microsoft) — вполне законен. Не нравится — не покупай.
В островном (англосаксы) — нет, в договоре можно писать любую херь, пока она не противоречит уголовному кодексу
В законодательстве US есть закладки. Такие как, например, волшебное заклинание NSA (обеспечение национальной безопасности), которое открывает режим sudo root для спецслужб. Нет, их может потом и пожурят в суде, но это будет потом, может быть.
Канарейка сдохла в Google уже несколько раз. В 2015 они отказались от своего девиза Don't be evil, заменив его на Do the right thing. В 2020, среди прочих провайдеров облачных услуг подписали многомиллионный контракт C2E с CIA (ЦРУ) на 15 лет вперёд. Сейчас они активно участвуют и продвигают FedRAMP (Federal Risk and Authorization Management Program) https://cloud.google.com/security/compliance/fedramp.
В законодательстве US есть закладки. Такие как, например, волшебное заклинание NSA (обеспечение национальной безопасности), которое открывает режим sudo root для спецслужб
sudo не даст вам возможности совершить невозможное, например запустить программу которой нет или прочитать файл который отсутствует. Спецслужбы при всём желании не могут ни получить данные от Google или кого либо ещё, которые они не собирают и не хранят, ни заставить эти данные собирать и хранить. До вас это всё никак не дойдёт. Гуглу проще легче и надёжнее дать ответ "мы не собираем и не хранит такие данные", чем заморачиваться этим в угоду госорганам, когда ничто этого не обязывает делать - бизнес не любит тратить деньги на то, что его не интересует.
В 2015 они отказались от своего девиза Don't be evil, заменив его на Do the right thing.
И в чём разница, можете пояснить? Как по мне, это синонимы.
В 2020, среди прочих провайдеров облачных услуг подписали многомиллионный контракт C2E с CIA (ЦРУ) на 15 лет вперёд.
Ну, бизнес как бизнес, ничего незаконного. Надеюсь вы хотя бы знаете, о чём контракт? Напомню:
В конце ноября 2020 года Центральное разведывательное управление заключило контракт на создание коммерческого облачного предприятия с Amazon Web Services, Microsoft, Google, Oracle и IBM.
С 2013 года потребности ЦРУ в облачных вычислениях удовлетворяются с помощью технологий Amazon Web Services, при этом поставщик облачных услуг также обслуживает большую часть других агентств, относящихся к ЦРУ. В рамках контракта C2E ЦРУ будет самостоятельно выбирать лучшего облачного провайдера для конкретных рабочих задач. ЦРУ также будет подбирать облачных провайдеров для других спецслужб.
Такой подход кардинально отличается от стратегии Министерства обороны США, которое решило отдать свою инфраструктуру в руки одной единственной компании. Microsoft Azure получила возможность реализовать проект JEDI еще в октябре 2019 года, но AWS пытается оспорить законность этого контракта под предлогом политического вмешательства.
Всё логично -- не нужно ЦРУ складывать все яйца в одну корзину.
Сейчас они активно участвуют и продвигают FedRAMP (Federal Risk and Authorization Management Program) https://cloud.google.com/security/compliance/fedramp.
Хорошая программа по безопасности систем авторизации. Хорошо, что хоть в США госорганы не только гайки закручивать умеют, а и реально стараются повысить безопасность в Интернете. Впрочем всё логично - госорганы и сами заинтересованы в безопасности своих данных.
Гуглу проще легче и надёжнее дать ответ "мы не собираем и не хранит такие данные", чем заморачиваться этим в угоду госорганам, когда ничто этого не обязывает делать - бизнес не любит тратить деньги на то, что его не интересует.
По-вашему Google одной рукой заключает контракты с госами, а другой вставляет им палки в колеса?
Вот придумали госы санкции в 2022, а Google такие сразу дали простой и надёжный ответ: ой, что вы, у нас же соглашения с пользователями, договоры, контракты, глобалнетвокинишиейтив - и послали всех лесом. Так же все было, да?
проект JEDI еще в октябре 2019 года, но AWS пытается оспорить законность этого контракта под предлогом политического вмешательства
Нормально там все у них. Раз уж решили противоречить, пользуйтесь актуальными источниками, что-ли. В 2022 DoD уже всех примирили, закинув 9 миллиардов на 5 лет https://www.war.gov/News/News-Stories/Article/Article/3345260/dod-makes-headway-on-cloud-computing/. Там среди прочего и требования к соответствующей подготовке персонала. Теперь все стало совершенно безопасно. Подумаешь, инфраструктура, как утверждают Google, у всех общая - так же для всех удобнее https://blog.alphabravo.io/google-cloud-platforms-government-capabilities-a-comprehensive-guide-to-gcps-public-sector-offerings/
Всё логично -- не нужно ЦРУ складывать все яйца в одну корзину.
Разумеется, теперь их личинки разложены во всех основных клауд провайдерах.
Хорошая программа по безопасности систем авторизации.
Google в принципе так и заявляет - не переживайте, досуп к вашим данным у нас есть только у ограниченного круга специально обученных безопасности людей. Нет причин не доверять профессионалам.
Если угроза будет национальной безопасности, то вообще никто ничего не узнает и как правило не знает ))
В эту опасность людям просто не хочется верить (в независимости от того реальна ли угроза или нет). Многие мне смеются в лицо на то, что я отказался от ВК много лет назад. Сами пользуются аргументируя это тем, что "я ничего такого не делаю и не пишу, я никому не нужен, мне ничего не будет". Просто упускают из вида то, что если взять сегодня и день 5 лет назад, тогда тоже казалось, ну что я такого делаю. А сейчас это уголовка. И неизвестно что будет завтра с твоей сегодняшней историей просмотра и лайками.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
Отдельная виртуалка где настроено все по скрепно-импортозамещённому?
Проблема не в том, что «я сегодня занимаюсь чем‑то нехорошим», а в том, что неизвестно, что из того, чем я занимаюсь сегодня, будет признано нехорощим завтра. Утрируя, чморить негров в США в 1940 году было вполне себе норм.
(Если хотите что-то поближе во времени и пространстве — то вспомните, что за свои репортажи с чеченского конфликта Невзоров сейчас бы отъехал чалиться за дискредитауцию.)
Да, и ещё пресловутые извинения перед бессменным главой известной республики. Поэтому в том же ВК действительно лучше не постить чего-то "на грани дозволенного" из своего личного аккаунта. Небезопасно...
Помнится случай этак 2017 года, когда человека чуть не упекли в тюрьму за фото в личном альбоме. Именно после этого ВК их сделала по умолчанию скрытыми
«Товарищ, знай:
пройдёт она —
и демократия, и гласность,
и вот тогда госбезопасность
припомнит наши имена!» © почти Пушкин (АС)
Как вариант - отдельная копия Firefox’а, он позволяет добавлять сертификаты непосредственно в сам браузер.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
В яндекс.браузере он встроен по умолчанию. Попробуйте через него работать. Это проще чем виртуалка.
Современные браузеры (на базе Chromium) отключают строгие проверки CT для сертификатов, добавленных вручную в локальное доверенное хранилище.
Пользуемся Safari, Firefox и всё, атака не работает?
Сашу из Минска
Зачем Саше из Минска ставить сертификаты Миницифры?
Саше сказали, что нужную ему справку надо делать через запрос на Госуслугах, а они не открываются, т.к. браузер не доверяет сертификату Минцифры.
А откуда у Саши из Минска аккаунт на Госуслугах?
А откуда у Саши из Минска аккаунт на Госуслугах?
Из Минска!
Иностранные граждане могут использовать портал Госуслуги для получения государственных услуг, включая миграционный учёт, оформление патента, запись на приём в МВД и получение информации о ВНЖ, РВП и гражданстве.
Минск — деревня в Большемуртинском районе Красноярского края (Россия)
Жмякаете "сознаю риск, продолжить" или как его там.
Вообще говоря, идея ограничить добавленные вручную корневые сертификаты списком доменов - вроде бы выглядит как решение. И вполне разумное. Другое дело, что по прочтении статьи складывается четкое ощущение - то, в чем пытаются обвинить "Товарища Майора" в реальной жизни активно используется "Кровавым Энтерпрайзом" для контроля над своими рабами, а вот тут убивать курицу, несущую золотые яйца точно не будут. Так что браво, Товарищ Майор - отлично разыгранная партия.
По факту же, получается что выходов не много. Отдельный телефон строго для Макса (а рано или поздно это точно понадобится), отдельный ПК строго для Госуслуг (если вдруг телефона окажется мало).
Почему ПК то? Ещё отдельный город для него постройте?
Отдельный браузер с отдельным профилем для банкинга и госуслуг у нормальных людей использовался ещё до всего вот этого.
Степень паранойи у каждого своя. Думаю, найдутся люди готовые и город построить. Были бы ресурсы. Так что нормальность - понятие относительное. Кому-то достаточно отдельного профиля в браузере, кому-то отдельной учетной записи в системе, кому-то отдельной системы... И далее по списку. Вплоть до города (если это физически осуществимо), или полнейшей смены локации и забыть как о страшном сне.
Отдельный телефон строго для Макса
Как вариант https://f-droid.org/packages/net.typeblog.shelter/
Отдельный телефон строго для Макса
С чехлом из фольги для полной изоляции.
Разве не в том же хроме настройки типа "проверять SCT для всех сертификатов"? Это было бы логично сделать такую настройку.
А что делать то, если у тебя есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП? Без установки сертификата, ЭЦП работать не будет. Иметь для этого отдельный ПК или запускать виртуалку - это слишком.
Docker/настройте отдельный профиль Firefox с сертификатами минцифр (не в коем случае не Yandex тк это Spyware) :3
Попробуй использовать отдельный профиль браузера.
что делать то, если у тебя есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП?
Не срорите там, где кушаете — поставьте отдельный браузер и в него ЭЦП (а лучше — отдельную виртуалку или вообще отдельный компьютер).
есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП
Очевидно, это влечет за собой КриптоПро CSP. У последних есть Браузер Chromium-Gost. Вот для ЭЦП и прочего КриптоПро я использую Chromium-Gost, для всего остального ФФ.
запускать виртуалку - это слишком.
Это не слишком, а очень даже норма. Если совсем на жизнь отмучали оперативки 16Гб – то изучайте, как развёртывается Windows Sandbox, его можно настроить, чтобы он по ярлыку открывался и в него копировался портабельный софт и запускался там.
Когда мне надо было чего-то подать в налоговую (я не помню уже что, может 3НДФЛ), это надо было делать раз в полгода-год, у них есть сертификаты, которые надо хранить и выписываются они на год. Так вот, когда надо было чего-то сделать, я создавал виртуалку и на налоге помечал текущий сертификат как недоверенный и выписывал новый на виртуалке, после подачи бумаг удалял виртуалку. Ну вот теперь бы я виртуалку не удалял бы.
Вы все правильно написали, но не учитываете одного, что шила в мешке не утаить. Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет. Т.е. если решат провести такую атаку массово, то браузер того, у кого сертификат не установлен, сразу же оповестит о том, что сайт гугла вдруг прислал какой-то левый сертификат. Ну и достаточно скоро эта новость сначала разойдется по техническим форумам, а потом и в новости просочится. Понятно, что ни к какому скандалу это не приведет, но дальше слушать чужой трафик будет уже сложнее...
Насколько я помню, в Казахстане пытались серт насильно пропихнуть и его просто в чёрные списки добавили.
Но шило не шило, а вот Яндекс браузер, кажется, вполне можно задетектить без https и только для него включать массово подмену.
Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет.
Чисто теоретически проверить это не сложно. При запросе какой-нибудь неважной (маленькой) картинки или иконки посредник может попытаться провести хэндшэйк со своим сертификатом, в надежде, что одна иконка из сотни не вызовет аларма. Картинка не загрузится, ну будет предупреждение в консоли браузера - но вы туда вообще часто смотрите? На достаточно большом сайте и так куча варнингов в консоли.
Другой вопрос насколько это реально сделать массово и хранить актуальный реестр клиентов с этим признаком. С одного и того же адреса роутера может ходить ноутбук с сертификатом и телефон без.
Атака должна состоять из 2 этапов:
Заставить жертву установить себе сертификат Минцифры.
Отловить сессию жертвы на ТСПУ и караулить коннект к целевому ресурсу, например gmail.
Мне кажется, тут истерия из-за ничего. У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA. А возможность mitm - ну очень притянута, итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего, в браузере это прекрасно видно. Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата при соединении с каким-нибудь иностранным сайтом, тогда это бы уже было интересно.
С одной стороны вы правы. Действительно, на месте государства, даже без санкций и врагов, не хотелось бы зависеть от иностранной (коммерческой!) компании, когда нужно предоставлять доступ к государственным ресурсам для своих граждан.
Это очень удобное объяснение и вполне правдоподобное. Но вы же не будете спорить что ловить педофилов, шпионов и террористов проще, если подсматривать через плечо, правда? Тем более что уже почти всё для этого есть. Классика.
итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего
Ну только ключи от этого самоподписанного сертификата не покидают устройство.
Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата
В интересах минцифры этого не делать, пока этот сертификат массово не установлен. Например, пока не введено обязательное его использование для .ru-сайтов.
В интересах минцифры этого не делать, пока этот сертификат массово не установлен. Например, пока не введено обязательное его использование для .ru-сайтов.
Так для этого один шаг остался, ну почти.
https://cryptopro.ru/sites/default/files/docs/csp/fns/Установка сертификатов.pdf
Сертификат Минцифры обязателен всегда. Сохраните файл на диск, по файлу кликните правой кнопкой мыши и выберите «Установить», затем в мастере в качестве хранилища сертификатов выберите «Доверенные корневые Центры сертификации».
У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA
Тот же Сбер, у которого основной владелец - государство, и который по уши под санкциями, вполне себе имеет валидный и нормально доверенный сертификат у своего online.sberbank.ru. Так что было бы желание.
В целом, незаметно провести ковровый mitm сложно все ещё, но вот адресно делать уже сильно проще с сертификатом от минцифры. Пользователю достаточно как нибудь спалится, что у него есть этот сертификат в доверенных.
Да и в целом, есть же такой термин как цифровая гигиена, вот сертификат от минцифры просто по вайбу ощущается как грязный, не хочется с ним связываться, даже если они и не станут проводить mitm, это все же довольно опасное для них развлечение.
Пользователю достаточно как нибудь спалится, что у него есть этот сертификат в доверенных.
При заходе на какой-нибудь подконтрольный ресурс подсовываем клиенту скрипт с домена с таким сертификатом - если загрузился и выполнился, значит сертификат есть в доверенных. Или даже не скрипт, а прозрачную гифку 1x1.
Ответ на все эти вопросы сформулирован еще в СССР. В виде анекдота 'в Советском Союзе я тоже могу крикнуть "Долой президента Буша!" и мне за это ничего не будет'
Если публичный УЦ выпустит левый сертификат, он обязан попасть в публичные логи CT. Браузеры всего мира (и ваш тоже) проверяют наличие этих записей (SCT).
Это не так. Certificate Transparency (CT) – полезная технология, но не следует преувеличивать её роль и возможности. CT – это полностью «реактивный» инструмент, который ничего не гарантирует.
Во-первых, «левый сертификат» – он на то и «левый», чтобы в CT-логи не попадать. SCT-метки проверяются в сертификате. SCT-метка это не запись в CT-логе. УЦ, чтобы получить метку SCT, нужно, максимум, показать сертификат оператору лога. Но показать сертификат – это не то же самое, что опубликовать сертификат. Технически, для формирования корректной SCT-метки – требуется только секретный ключ того или иного доверенного CT-лога (есть ключ – сгенерировать валидную SCT-метку можно без участия оператора лога); факт включения в лог – это лишь соглашение, а для получения валидной SCT-метки – включать сертификат в лог технически не требуется.
Во-вторых, не так давно приключилась показательная история: для целого 1.1.1.1 было без санкции Cloudflare выпущено несколько TLS-сертификатов; они, конечно, попали в CT-логи, в том числе, в CT-лог, оператором которого является непосредственно Cloudflare, но никому не было до этого дела больше года (ещё раз: больше года записи об этих сертификатах находились в публично доступных CT-логах – и никакого шума не было).
В-третьих, логи Certificate Transparency – есть для российских сертификатов: precert.ru. Насколько это, в данном случае, необходимо – вопрос, мягко говоря, дискуссионный, но публичные CT-логи есть, в том числе, в них отправляет (пре)сертификаты УЦ ТЦИ.
Спасибо за коммент. "И не выиграл, а проиграл", да.
Особенно за первый пункт. Я всё думал, в чём же тут подвох и зачем это гуглу. Ну, теперь всё понятно, это реакция на ту историю с выпуском поддельного серта google.com. Подприжали СА, а то чо они без надзору.
Для юзеров, разумеется, ничего не меняется, просто вместо Symantec и Comodo теперь предлагается безоговорочно доверять ещё и Google, Cloudflare и паре десятков других нонеймов. Впрочем, что первые, что вторые автоматически сотрудничают с АНБ / ФБР / ИТД, так что для тащ майора господина колонеля ничего не меняется.
Не согласен с изложенным. Не такая уж и дорогая\сложная атака для спецслужб. Начну с "козырей". В случае BGP-hijacking (подробней про атаку в статье) можно и выпустить сертификат (обманув провайдера сертификатов), и заставить пользователя попасть на подконтрольный сервер, где будет этот сертификат (легитимный для браузера). Например, можно посмотреть ссылки из моей статьи Перехват трафика как вектор атаки на пользователей блокчейн-проектов. Инциденты, связанные с BGP, никуда не делись и продолжаются и по сей день (а в 2024 был и рост инцидентов). Не нашёл в открытых источниках про стоиомсть атаки. Но, судя по частоте таких атак - не такая уж и малодоступная вещь.
Решить вопрос чтения\перенаправления трафика западным спецслужбам не так уж и сложно, учитывая их возможности по доступу к сетевому оборудованию. И их большой интерес к этому (и опыт в таких вещах):
Вот цитата из статьи Crypto AG. Троянский конь ЦРУ (дело было в 1980-х)
Аппаратура неплохо продавалась в более чем 30 стран мира и это способствовало тому, что спецслужбы спокойно читали до 90% всего трафика сообщений стран
Вот из статьи Опубликована коллекция хакерских инструментов ЦРУ (в 2017)
Атаками на инфраструктуру Интернета и веб-серверы занимается отдел сетевых устройств Network Devices Branch (NDB).
Если поискать по "Vault 7", то выяснится, что у спецслужб были 0day эксплоиты к сетевому оборудованию Cisco (статья 318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ), MikroTik (Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен). А ещё была утечка 0day для Fortinet и Cisco. Вот цитата из этой статьи:
кибергруппировка The Shadow Brokers выложила на продажу архив данных, украденных у другой хакерской группы Equation Group. Последнюю многие наблюдатели и эксперты по безопасности связывают с АНБ
Ну, и до кучи - статья Reuters: бэкдорами АНБ в продуктах Juniper пользовались другие государства.
Спецслужбы уже давно потратили (и наверняка до сих пор тратят) кучу бабла на поиск\встраивание уязвимостей в сетевые продукты, криптографию. И теперь могут позволить себе "собирать урожай".
А если вспомнить уязвимости, позволяющие удалённо отравлять DNS-кеш (свежая история с BIND или уязвимость в MikroTik от 2019). Наверняка у спецслужб есть и подобные 0day.
Вы не понимаете -- это другое!
Это все, конечно, замечательно, но автор неспроста добавил в статью еще и раздел «Юрисдикция (Фактор «Стук в дверь»)».
BGP-hijacking, эксплуатация уязвимостей в прошивках роутеров, и т.д. - это все мало играет роли, когда у тех, в чьих руках все это, мало причин для интеркса к вам, и что гораздо важнее - нет возможности этими самыми руками дотянуться до вас физически.
мало причин для интеркса к вам, и что гораздо важнее - нет возможности этими самыми руками дотянуться до вас физически
Вспомнилась фраза "Мозг может найти тысячу причин, чтобы подтвердить свою сформировавшуюся радикальную политическую точку зрения."
Как определяете уровень "причин интереса" и наличие возможности дотянуться физически? Чисто интуитивно? Или прям в курсе особенностей работы силовиков (интересно - откуда)? Или формула какая-то есть? Можете посчитать эти вероятности для ситуаций с Легкодымовым (см Как программисты становятся террористами. Взгляд изнутри на историю Bitzlato), Перцевым (см Разбор вердикта суда в отношении разработчика Tornado Cash)? А про дело Павла Дурова (см Дуров добился снятия с него мер судебного контроля, ограничивавших его выезд из Франции)? А кто может без страха поехать в Азербайджан (см "Опознан еще один из задержанных в Баку россиянhttps://dzen.ru/a/aGWW8btX9mePTHEtПрограммист, предприниматель, психолог и путешественник. Что известно об арестованных в Баку россиянахПрограммист, предприниматель, психолог и путешественник. Что известно об арестованных в Баку россиянах")? Наконец, что скажете насчёт спикеров Positive Hack Days 2024, которые попали в список частной разведывательной компании Treadstone 71? Этим спикерам безопасно поехать в какой-нибудь Тайланд?
Дмитрий Скляров вполне себе посидел в американской тюрьме.
ключевой вопрос: нужно или нет. по сути можно так:
рабочее - только на рабочем, включая использование серт, но ! только для рабочих вопросов
лично - на личном, но! только легальное, т.е. госуслуги, налоги, банки, коммуналка и т.п.
совсем-личное - на отдельно личном.
и чтобы точно не копипастить ссылки и случайно не открыть "не то и не там" - физически разделять рабочие места.
выглядит как 3 ноута, между собой НИКАК не связанные, ни облаков общих, ни сетей, ни-фи-га
Во всей этой прекрасной статье за всё хорошее пропущен маленький нюанс: после появления Lets Encrypt всё это не имеет смысла. Через этот CA облачные, хостинг- и интернет-провайдеры, а также их сотрудники в частном порядке, могут выпустить сертификат на любой сайт на их серверах или подсетях, тупо перенаправив трафик с одного айпишника на другой на свой прозрачный прокси. В логах и прочих SCP всё будет выглядеть так, что админ сам обновил свой сертификат LE, как вы смеете подозревать хетцнер или кто там спалился на подделке xmpp.ru?
Хм, кстати, теоретически могут, интересная идея.. Типа, временно поменять записи в DNS, чтобы выпустить сертификат и перенаправить трафик через свой прокси?
А практически - вряд ли. В более-менее крупном провайдере или хостинге, не говоря уж о гигантах типа AWS - один скрытный сотрудник ничего не сможет сделать. Просто потому что процедура любых изменений на продакшене всегда затрагивает больше одного человека, а часто десятки. И любое изменение на серверах мониторится и логируется.
Если предположить, что это делается по секретной команде начальства, то скрыть такую операцию тоже будет непросто. В России РКН и ФСБ, возможно, берут строгие подписки о неразглашении, да и пытаются идейных сотрудников держать (наверное). А в коммерческой организации по-любому кто-нибудь сольёт такой план, особенно если он не одноразовый.
временно поменять записи в DNS
зачем? хостер и ближайшие провайдеры могут и так пускать "ваш" трафик через свои прокси. Защиты от всяких там дудосов так и работают...
Что касается "практически", то так атаковали, например, jabber.ru
Да, перечитал пример с jabber, спасибо. Пример хороший, вижу что вы совершенно правы. We all doomed. All your base are belong to us.
Впрочем, вы правы насчёт того, что DNS хостинг это ещё один простой и убойный вектор атаки на LE.
Подмена айпишников в ns-записях штука достаточно стрёмная. Даже если поставить на поддельном айпишнике слепой байтовый ретранслятор, клиент заметит, что на время атаки все коннекты к нему идут с одного айпишника.
Однако, специально для DNS хостинов даже сделали проверку через DNS (когда нужно добавить в зону TXT записи _acme_challenge). И если у вас нет паранойи, вы вряд ли будете постоянно мониторить эти записи в своей зоне, особенно если не пользуетесь Lets Encrypt.
Остается вспомнить по какой причине у Минцифры возникла необходимость выпуска собственных сертификатов. И о чем думали те люди, которые принимали решение из-за которого организации в РФ "потеряли возможность покупки и продления сертификатов от зарубежных УЦ." Товарищ майор хоть честно делает свою работу. В отличие от этих лицемерных ...
Сертификаты Минцифры 2 — вы уже в опасности
Получился интересный цикл статей, который позволил читателям в комментариях самостоятельно прийти если не к противоположным выводам, то как минимум к "всегда там были, и?". Интересно, это ли на самом деле было целью?
По сути вы описываете проблему доверия, а она не техническая.
Если вы изначально предлагаете не доверять Минцифры, естественно вам не стоит доверять и их сертификатам. Но это тавтология: второе утверждение, несмотря на кучу текста, не несёт дополнительной информации, описывая то же самое лишь другими словами.
Проблемы доверия и безопасности не сводятся к простым "да" или" нет". Здесь много составляющих: что, кому, когда, при каких обстоятельствах, в чем value, какие риски, каков веротный ущерб и т.п. Поэтому все разумные решения будут по ситуации. Но этот вывод тоже не нов.
У меня ровно один вопрос, причем он указан прямо в начале статьи: "А чего вы так боитесь родные государственные структуры?"
Если по каким-то признакам ФСБ решит, что я готовлю взрыв в метро, то пусть они посмотрят мою переписку и убедятся, что это не так.
И мне бы очень хотелось, чтобы это правило распространялось на всех, живущих в моем городе - ну не хочу я, чтобы у нас метро взрывали, а если кто-то реально собирается это сделать, то пусть его поймают до того, как он это сделает.
В чем проблема-то?
Если бы речь шла исключительно о поиске террористов, то проблемы бы не было. А проблема в том, что органы возбуждают дела и наказывают не только террористов, но и просто любых инакомыслящих, посмевших не согласиться с линией партии. Есть статья за «дискредитацию», под которую суды подтягивают почти любое неодобрение текущих событий и даже напоминание что «Родина - это не жопа президента». Есть статья за «фейки», при том что фейком по ней считается все что отрицают официальные власти, даже если это абсолютная правда с кучей свидетельств и доказательств. Теперь ещё есть статья за «поиск запрещенных материалов» (которых в списке много тысяч и в него постоянно добавляются новые), и удачи вам доказать потом что вы случайно на ссылку нажали. Уже есть возбужденные дела за высказывания в приватном разговоре (который был прослушан), за лайки под скриншотом исторического фильма, за картинки в закрытых приватных альбомах, и за очень и очень многое другое. И самое главное - то что было абсолютно законным N лет назад может легко в любой момент стать незаконным (а по таким делам срока действия нет, оно считается «длящимся нарушением» в интернете). В нынешних реалиях, с нынешним законодательством и нынешней судебной практикой преступником можно объявить почти любого, особенно если у этого человека есть совесть и какие-то моральные принципы. И далеко не всегда это будет кто-то, кого «пасли» или кто «засветился» - там достаточно просто случайно попасть под горячую руку. Реальных экстремистов и террористов может не найтись, а план выполнять надо.
Если по каким-то признакам ФСБ решит, что я готовлю взрыв в метро, то пусть они посмотрят мою переписку и убедятся, что это не так.
Ахаха, святая наивность.
Впрочем, не вижу смысла прождать что-то объяснять человеку с буквой «Z» в конце ника и к которого последние две страницы комментариев - это политота и пропаганда линии партии.
Буква Z в конце моего ника - это первая буква моей фамилии.
Если читать по французским правилам, а раньше, когда я этот ник себе взял, все документы оформлялись по ним, то мой ник: СтасЗ ;)
Столько текста, ради одной странной мысли: "у этого человека есть совесть и какие-то моральные принципы".
А что этот человек вкладывает в понятие "совесть и принципы"? Говорить всё что вздумается в интернете? В том самом интернете, где мы сейчас?
А может быть просто этому человеку не болтать языком и картинки не добавлять и не лайкать всё подряд. Тогда и прятаться не придётся. Просто жить свою жизнь с полной отдачей обществу и государству, как большинство граждан своей страны.
Ну, например, майор ФСБ может решить, что вам улыбалась его жена. Или что у вас подозрительно много денег. Пока это в рамках УПК с прокуратурой, адвокатами и судьями — это ок, вперёд. Когда этот обиженный майор нажал кнопочку и получил всю вашу жизнь от роддома - ну такое.
Если по каким-то признакам ФСБ решит, что я готовлю взрыв в метро, то пусть они посмотрят мою переписку и убедятся, что это не так.
А если на основании той же переписки они решат, что это так? Да и Вы потом сознаетесь, что не только в метро готовили, но и Ким Чен Ира (Ына, Сена - подставить нужное) тоже собирались отравить. (Не кидайте тапками, я специально довожу до абсурда)
Спросите у Бориса Кагарлицкого, например. У Даши Козыревой. У Кирилла Украинцева. У Антона Долгих. У Яна Кателевского. У сотен других "опасных террористов".
Про архиврага Навального, тьфу на него антихриста, я вообще молчу.
Это было бы нормально, если бы деятельность силовых структур контролировалась обществом и была прозрачна. А в текущих реалиях это приведёт только к большему закручиванию гаек.
Какой неприкрытый и неприятный глазу нейрослог...
В конечном счете вопрос в том, кого вы больше боитесь - фсб или фбр.
Многим в этой теме похоже нужен не сертификат, а психотерапевт. Интересно, что они делают, когда их на улице ГИБДД останавливает? Там у человека в кабуре пистолет, он вам не то что "статью за осуждение или мем", а дырку в голове может сделать. Любое государство имеет монополию на насилие, такова плата за процвктание, нравится это кому то или нет.
Сертификаты Минцифры 2 — вы уже в опасности