Comments 85
Путь 1 - анб не нужно читать трафик "Саши из Минска" он просто запросит его у "google" стоимость - нулевая.
Да ну, статья не о "опсек кали тор и2п анонимность" а о сертификатах :3
к тому же google.com просто пример ^-^ хоть tuta.io
к тому же google.com просто пример ^-^ хоть tuta.io
Тогда можно спросить у CloudFlare/AWS/Oracle/etc. - там где терминируется SSL
Тогда можно спросить у CloudFlare/AWS/Oracle/etc. - там где терминируется SSL
А если не поделятся, и мы тут теоризируем, то можно на этапе создания RSA и УЦ заранее сделать закладки, которые понижают вероятность рандома при генерации ПК корневого центра до нужного им диапазона. И вот CloudFlare/AWS/Oracle/etc могут честно отвечать что никому ничего не передавали, но им и не надо - просто бесплатно расшифровывают любой трафик.
Сложность: Запредельная.
Превращается в:
Сложность: Средняя. Никто в мире тоже об этом даже не узнает, что идеально для такого рода атак.
Вы проецируете собственный опыт (как ФСБ может прийти в любую компанию и та бахнется в коленно-локтевую позу перед ними) на весь мир. Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде. И если гугловским юристам что-то не понравится АНБ пойдёт домой к себе, маме жаловаться со всеми своими плохо заполненными бумажками.
Так уже было не раз с тем же Эпплом, который просто отказался вскрывать телефоны людей, которые уже сидели в тюрьме, уже были обвинены в терроризме или наркотрафике, но даже при этом всё равно юридических оснований пришить именно эти телефоны у них изъятые именно к этому делу не было.
Именно в этом и заключается идея разделения власти - когда нет той самой "вертикали", где всегда найдётся верхний способный пнуть нижнего не смотря на любые законы.
PS. Пожалуйста не надо вываливать в качестве ответа все эти конспирологические теории "ах вы такой наивный, вы ничего не понимаете, просто придут и никого не спросят и никто не узнает! всё везде одинаково, везде как в России, только на пёсьих языках говорят"
Что-то вспомнилось, как лет 10 назад всплыло, что когда американская полиция ищет преступников, первое что они делали - слали запрос в гугл с требованием скинуть список пользователе, кто по геолокации был в такой-то области в такой-то промежуток времени и те им скидывали естественно
Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде.
Это не так. Как раз трафик Саши из Москвы АНБ может запросить и без дела/ордера, и любая компания бахнется в коленно-локтевую позу перед ними, т.к. всякие штуки типо Executive Order 12333 или Privacy Act защищают только римских американских граждан (или резидентов), а FISA Section 702 как раз работает только по иностранцам.
Отсюда.
Именно в этом и заключается идея разделения власти - когда нет той самой "вертикали", где всегда найдётся верхний способный пнуть нижнего не смотря на любые законы.
Ага, но зато всегда есть законный способ пнуть кого угодно из другого государства. Я не осуждаю, в целом это вроде рационально.
Сливы Сноудена вроде бы поставили достаточно хорошую точку в технических возможностях АНБ. Тем более странно читать ваши утверждения про всякие юридически запросы при существовании программы PRISM, которая тот же СОРМ в американском исполнении. А если гугловским юристам что-то не понравится, то их дата-центр просто не подключат к сети - не получит сертификацию некоторых ведомств и всё.
Вы проецируете собственный опыт (как ФСБ может прийти в любую компанию и та бахнется в коленно-локтевую позу перед ними) на весь мир. Это не так. АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде. И если гугловским юристам что-то не понравится АНБ пойдёт домой к себе, маме жаловаться со всеми своими плохо заполненными бумажками.
Это вы проецируете опыт просмотра американских фильмов, в которых адвокат с ноги открывает дверь в кабинет начальника АНБ, хлещет его по щекам судебным постановлением, потом швыряет ему бумаги в лицо, харкает на пол, и, презрительно цедя "грёбаные федералы" покидает кабинет под эпичную музыку, шлёпнув по попке симпатичную секретаршу у входа, пока начальник спецслужбы в истерике звонит поплакаться своей мамочке.
То, что вы рисуете картину, будто любой запрос от ФСБ / СК заставляет организацию мочиться от страха, говорит лишь о том, что вы никогда в жизни обработкой таких запросов не занимались, и не знаете, как это устроено, и что запросы даже от самых "страшных" вопрошателей, оформленные не по закону, прекрасно разворачиваются типовыми формулировками.
Если у государства будут серьёзные основания принять серьёзные меры, то оно их примет. Любое государство, США в том числе.
АНБ "запросит" у гугла трафик Саши из Москвы, и приложит к этому все юридические обоснования этого - открытое дело, обвинения предъявленные, и обоснование что именно вот этот вот трафик является уликой по этому делу рассматриваемому в суде
А Гугл может ответить, что трафик не хранит ибо им это не нужно, а закона обязывающего хранить - нет.
Google с самого основания тесно сотрудничают с АНБ на взаимовыгодных условиях. Вопрос с трафиком уровня как из одного кармана переложить в другой.
Непонятно что вы хотели сказать, приводя ссылку на гайд для сисадминов по внедрению политик безопасности kubernetes кластеров, основанном на гайде по настройке безопасности, разработанным АНБ, описывающем понятные лишь этим сисадминам (девопсам) логичные вещи типа запрета запуска контейнеров от рута, использование файловой системы с монтированием только на чтение и т.п.
Лучше уж почитайте https://policies.google.com/terms/information-requests?hl=ru где рассказывается, что и как гугл будет предоставлять в ответ на запросы от правительства.
Четвертая поправка к Конституции США и закон США "О защите информации, передаваемой с помощью электронных систем связи" (ECPA) ограничивают возможность государства принуждать поставщиков услуг к раскрытию информации пользователей.
Я напоминаю ещё раз, что Google совершенно не обязан хранить трафик своих пользователей и может предоставить лишь те данные, которые собирает согласно пользовательскому соглашению, так как сбор других данных незаконен.
может предоставить лишь те данные, которые собирает согласно пользовательскому соглашению, так как сбор других данных незаконен.
Разумеется это не так. Требования со стороны законодательства имеют больший приоритет над любыми пользовптельскиии соглашениями.
Четвёртая поправка распространяется только на граждан США. Ко всем остальным она не имеет отношения. Вы же прочитали там же пункт ниже?
Если расследование затрагивает национальную безопасность, то для того, чтобы обязать Google предоставить данные пользователей, правительство США может отправить письмо-запрос по делам, касающимся национальной безопасности (National Security Letter, NSL), или использовать одно из полномочий, предоставленных в рамках закона США "О контроле деятельности иностранных разведок" (FISA).
Ну а про FISA здесь уже было.
Сервисы для правительственных организаций это серьезная часть бизнеса Google https://cloud.google.com/gov. Они сотрудничают министерством обороны войны, CIA и прочими. Рекомендации по настройкам безопасности являются лишь одним из публичных артефактов такого сотрудничества. Я не знаю откуда у вас иллюзии о том, что Google чем-то дополнительно себя ограничивает. Какой им от этого профит?
Разумеется это не так. Требования со стороны законодательства имеют больший приоритет над любыми пользовптельскиии соглашениями.
Разумеется это так. Незаконное получение пользовательских данных не может осуществляться даже по запросу из каких либо органов. Тем более незаконна передача таких незаконных данных. Ведь в США всё-таки законы работают.
Четвёртая поправка распространяется только на граждан США. Ко всем остальным она не имеет отношения. Вы же прочитали там же пункт ниже?
Вот этот?
Иногда Google LLC получает запросы на раскрытие данных от органов государственной власти других стран. В таких случаях мы можем предоставить данные пользователя, если это не противоречит перечисленным ниже законам и нормам.
Перечисление содержит так же
Международные нормы. Это означает, что мы предоставляем данные только в ответ на запросы, которые соответствуют принципам свободы самовыражения и конфиденциальности, сформулированным организацией Global Network Initiative, и связанному с ними руководству по реализации.
Правила Google. Они включают все действующие условия использования и политики конфиденциальности, а также правила, которые касаются защиты свободы самовыражения.
Если местечковые правовые нормы идут в разрез с международными - местечковые запросы пролетают мимо. Пример - запросы РФ. да-да, те самые, по которым РФ выставила штраф за их невыполнение, доросший до астрономической суммы уже.
Я не знаю откуда у вас иллюзии о том, что Google чем-то дополнительно себя ограничивает.
Вы пропустили ссылку выше на https://globalnetworkinitiative.org/gni-principles/ ? Те самые принципы свободы самовыражения и конфиденциальности, которых Google, как заявляют, придерживаются.
Никто не может быть подвергнут произвольному или незаконному вмешательству в его частную жизнь, семейную жизнь, жилище или переписку, а также незаконным посягательствам на его честь и репутацию.
Каждый имеет право на защиту закона от такого вмешательства или посягательств.
Верховенство права: система прозрачных, предсказуемых и доступных законов, а также независимых правовых институтов и процессов, которые уважают, защищают, поощряют и реализуют права человека.
Какой им от этого профит?
Удерживать клиентуру. Никто не захочет пользоваться непрозрачным сервисом, не уважающие его права.
В эту опасность людям просто не хочется верить (в независимости от того реальна ли угроза или нет). Многие мне смеются в лицо на то, что я отказался от ВК много лет назад. Сами пользуются аргументируя это тем, что "я ничего такого не делаю и не пишу, я никому не нужен, мне ничего не будет". Просто упускают из вида то, что если взять сегодня и день 5 лет назад, тогда тоже казалось, ну что я такого делаю. А сейчас это уголовка. И неизвестно что будет завтра с твоей сегодняшней историей просмотра и лайками.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
Отдельная виртуалка где настроено все по скрепно-импортозамещённому?
Проблема не в том, что «я сегодня занимаюсь чем‑то нехорошим», а в том, что неизвестно, что из того, чем я занимаюсь сегодня, будет признано нехорощим завтра. Утрируя, чморить негров в США в 1940 году было вполне себе норм.
(Если хотите что-то поближе во времени и пространстве — то вспомните, что за свои репортажи с чеченского конфликта Невзоров сейчас бы отъехал чалиться за дискредитауцию.)
Да, и ещё пресловутые извинения перед бессменным главой известной республики. Поэтому в том же ВК действительно лучше не постить чего-то "на грани дозволенного" из своего личного аккаунта. Небезопасно...
Помнится случай этак 2017 года, когда человека чуть не упекли в тюрьму за фото в личном альбоме. Именно после этого ВК их сделала по умолчанию скрытыми
«Товарищ, знай:
пройдёт она —
и демократия, и гласность,
и вот тогда госбезопасность
припомнит наши имена!» © почти Пушкин (АС)
Как вариант - отдельная копия Firefox’а, он позволяет добавлять сертификаты непосредственно в сам браузер.
Другой вопрос как не ставить этот сертификат, если ты пользуешься ЭЦП и тебе в любом случае нужна вся цепочка сертификатов.
В яндекс.браузере он встроен по умолчанию. Попробуйте через него работать. Это проще чем виртуалка.
Современные браузеры (на базе Chromium) отключают строгие проверки CT для сертификатов, добавленных вручную в локальное доверенное хранилище.
Пользуемся Safari, Firefox и всё, атака не работает?
Сашу из Минска
Зачем Саше из Минска ставить сертификаты Миницифры?
Саше сказали, что нужную ему справку надо делать через запрос на Госуслугах, а они не открываются, т.к. браузер не доверяет сертификату Минцифры.
А откуда у Саши из Минска аккаунт на Госуслугах?
А откуда у Саши из Минска аккаунт на Госуслугах?
Из Минска!
Иностранные граждане могут использовать портал Госуслуги для получения государственных услуг, включая миграционный учёт, оформление патента, запись на приём в МВД и получение информации о ВНЖ, РВП и гражданстве.
Жмякаете "сознаю риск, продолжить" или как его там.
Вообще говоря, идея ограничить добавленные вручную корневые сертификаты списком доменов - вроде бы выглядит как решение. И вполне разумное. Другое дело, что по прочтении статьи складывается четкое ощущение - то, в чем пытаются обвинить "Товарища Майора" в реальной жизни активно используется "Кровавым Энтерпрайзом" для контроля над своими рабами, а вот тут убивать курицу, несущую золотые яйца точно не будут. Так что браво, Товарищ Майор - отлично разыгранная партия.
По факту же, получается что выходов не много. Отдельный телефон строго для Макса (а рано или поздно это точно понадобится), отдельный ПК строго для Госуслуг (если вдруг телефона окажется мало).
Почему ПК то? Ещё отдельный город для него постройте?
Отдельный браузер с отдельным профилем для банкинга и госуслуг у нормальных людей использовался ещё до всего вот этого.
Степень паранойи у каждого своя. Думаю, найдутся люди готовые и город построить. Были бы ресурсы. Так что нормальность - понятие относительное. Кому-то достаточно отдельного профиля в браузере, кому-то отдельной учетной записи в системе, кому-то отдельной системы... И далее по списку. Вплоть до города (если это физически осуществимо), или полнейшей смены локации и забыть как о страшном сне.
Отдельный телефон строго для Макса
Как вариант https://f-droid.org/packages/net.typeblog.shelter/
Отдельный телефон строго для Макса
С чехлом из фольги для полной изоляции.
Разве не в том же хроме настройки типа "проверять SCT для всех сертификатов"? Это было бы логично сделать такую настройку.
А что делать то, если у тебя есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП? Без установки сертификата, ЭЦП работать не будет. Иметь для этого отдельный ПК или запускать виртуалку - это слишком.
Docker/настройте отдельный профиль Firefox с сертификатами минцифр (не в коем случае не Yandex тк это Spyware) :3
Попробуй использовать отдельный профиль браузера.
что делать то, если у тебя есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП?
Не срорите там, где кушаете — поставьте отдельный браузер и в него ЭЦП (а лучше — отдельную виртуалку или вообще отдельный компьютер).
есть ЭЦП и тебе необходимо пользоваться российскими госсервисами через эту ЭЦП
Очевидно, это влечет за собой КриптоПро CSP. У последних есть Браузер Chromium-Gost. Вот для ЭЦП и прочего КриптоПро я использую Chromium-Gost, для всего остального ФФ.
запускать виртуалку - это слишком.
Это не слишком, а очень даже норма. Если совсем на жизнь отмучали оперативки 16Гб – то изучайте, как развёртывается Windows Sandbox, его можно настроить, чтобы он по ярлыку открывался и в него копировался портабельный софт и запускался там.
Вы все правильно написали, но не учитываете одного, что шила в мешке не утаить. Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет. Т.е. если решат провести такую атаку массово, то браузер того, у кого сертификат не установлен, сразу же оповестит о том, что сайт гугла вдруг прислал какой-то левый сертификат. Ну и достаточно скоро эта новость сначала разойдется по техническим форумам, а потом и в новости просочится. Понятно, что ни к какому скандалу это не приведет, но дальше слушать чужой трафик будет уже сложнее...
Насколько я помню, в Казахстане пытались серт насильно пропихнуть и его просто в чёрные списки добавили.
Но шило не шило, а вот Яндекс браузер, кажется, вполне можно задетектить без https и только для него включать массово подмену.
Оборудование ТСПУ не знает установлен у вас сертификат минцифры или нет.
Чисто теоретически проверить это не сложно. При запросе какой-нибудь неважной (маленькой) картинки или иконки посредник может попытаться провести хэндшэйк со своим сертификатом, в надежде, что одна иконка из сотни не вызовет аларма. Картинка не загрузится, ну будет предупреждение в консоли браузера - но вы туда вообще часто смотрите? На достаточно большом сайте и так куча варнингов в консоли.
Другой вопрос насколько это реально сделать массово и хранить актуальный реестр клиентов с этим признаком. С одного и того же адреса роутера может ходить ноутбук с сертификатом и телефон без.
Мне кажется, тут истерия из-за ничего. У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA. А возможность mitm - ну очень притянута, итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего, в браузере это прекрасно видно. Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата при соединении с каким-нибудь иностранным сайтом, тогда это бы уже было интересно.
С одной стороны вы правы. Действительно, на месте государства, даже без санкций и врагов, не хотелось бы зависеть от иностранной (коммерческой!) компании, когда нужно предоставлять доступ к государственным ресурсам для своих граждан.
Это очень удобное объяснение и вполне правдоподобное. Но вы же не будете спорить что ловить педофилов, шпионов и террористов проще, если подсматривать через плечо, правда? Тем более что уже почти всё для этого есть. Классика.
итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего
Ну только ключи от этого самоподписанного сертификата не покидают устройство.
Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата
В интересах минцифры этого не делать, пока этот сертификат массово не установлен. Например, пока не введено обязательное его использование для .ru-сайтов.
В интересах минцифры этого не делать, пока этот сертификат массово не установлен. Например, пока не введено обязательное его использование для .ru-сайтов.
Так для этого один шаг остался, ну почти.
https://cryptopro.ru/sites/default/files/docs/csp/fns/Установка сертификатов.pdf
Сертификат Минцифры обязателен всегда. Сохраните файл на диск, по файлу кликните правой кнопкой мыши и выберите «Установить», затем в мастере в качестве хранилища сертификатов выберите «Доверенные корневые Центры сертификации».
У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA
Тот же Сбер, у которого основной владелец - государство, и который по уши под санкциями, вполне себе имеет валидный и нормально доверенный сертификат у своего online.sberbank.ru. Так что было бы желание.
В целом, незаметно провести ковровый mitm сложно все ещё, но вот адресно делать уже сильно проще с сертификатом от минцифры. Пользователю достаточно как нибудь спалится, что у него есть этот сертификат в доверенных.
Да и в целом, есть же такой термин как цифровая гигиена, вот сертификат от минцифры просто по вайбу ощущается как грязный, не хочется с ним связываться, даже если они и не станут проводить mitm, это все же довольно опасное для них развлечение.
Пользователю достаточно как нибудь спалится, что у него есть этот сертификат в доверенных.
При заходе на какой-нибудь подконтрольный ресурс подсовываем клиенту скрипт с домена с таким сертификатом - если загрузился и выполнился, значит сертификат есть в доверенных. Или даже не скрипт, а прозрачную гифку 1x1.
Ответ на все эти вопросы сформулирован еще в СССР. В виде анекдота 'в Советском Союзе я тоже могу крикнуть "Долой президента Буша!" и мне за это ничего не будет'
Если публичный УЦ выпустит левый сертификат, он обязан попасть в публичные логи CT. Браузеры всего мира (и ваш тоже) проверяют наличие этих записей (SCT).
Это не так. Certificate Transparency (CT) – полезная технология, но не следует преувеличивать её роль и возможности. CT – это полностью «реактивный» инструмент, который ничего не гарантирует.
Во-первых, «левый сертификат» – он на то и «левый», чтобы в CT-логи не попадать. SCT-метки проверяются в сертификате. SCT-метка это не запись в CT-логе. УЦ, чтобы получить метку SCT, нужно, максимум, показать сертификат оператору лога. Но показать сертификат – это не то же самое, что опубликовать сертификат. Технически, для формирования корректной SCT-метки – требуется только секретный ключ того или иного доверенного CT-лога (есть ключ – сгенерировать валидную SCT-метку можно без участия оператора лога); факт включения в лог – это лишь соглашение, а для получения валидной SCT-метки – включать сертификат в лог технически не требуется.
Во-вторых, не так давно приключилась показательная история: для целого 1.1.1.1 было без санкции Cloudflare выпущено несколько TLS-сертификатов; они, конечно, попали в CT-логи, в том числе, в CT-лог, оператором которого является непосредственно Cloudflare, но никому не было до этого дела больше года (ещё раз: больше года записи об этих сертификатах находились в публично доступных CT-логах – и никакого шума не было).
В-третьих, логи Certificate Transparency – есть для российских сертификатов: precert.ru. Насколько это, в данном случае, необходимо – вопрос, мягко говоря, дискуссионный, но публичные CT-логи есть, в том числе, в них отправляет (пре)сертификаты УЦ ТЦИ.
Спасибо за коммент. "И не выиграл, а проиграл", да.
Особенно за первый пункт. Я всё думал, в чём же тут подвох и зачем это гуглу. Ну, теперь всё понятно, это реакция на ту историю с выпуском поддельного серта google.com. Подприжали СА, а то чо они без надзору.
Для юзеров, разумеется, ничего не меняется, просто вместо Symantec и Comodo теперь предлагается безоговорочно доверять ещё и Google, Cloudflare и паре десятков других нонеймов. Впрочем, что первые, что вторые автоматически сотрудничают с АНБ / ФБР / ИТД, так что для тащ майора господина колонеля ничего не меняется.
Не согласен с изложенным. Не такая уж и дорогая\сложная атака для спецслужб. Начну с "козырей". В случае BGP-hijacking (подробней про атаку в статье) можно и выпустить сертификат (обманув провайдера сертификатов), и заставить пользователя попасть на подконтрольный сервер, где будет этот сертификат (легитимный для браузера). Например, можно посмотреть ссылки из моей статьи Перехват трафика как вектор атаки на пользователей блокчейн-проектов. Инциденты, связанные с BGP, никуда не делись и продолжаются и по сей день (а в 2024 был и рост инцидентов). Не нашёл в открытых источниках про стоиомсть атаки. Но, судя по частоте таких атак - не такая уж и малодоступная вещь.
Решить вопрос чтения\перенаправления трафика западным спецслужбам не так уж и сложно, учитывая их возможности по доступу к сетевому оборудованию. И их большой интерес к этому (и опыт в таких вещах):
Вот цитата из статьи Crypto AG. Троянский конь ЦРУ (дело было в 1980-х)
Аппаратура неплохо продавалась в более чем 30 стран мира и это способствовало тому, что спецслужбы спокойно читали до 90% всего трафика сообщений стран
Вот из статьи Опубликована коллекция хакерских инструментов ЦРУ (в 2017)
Атаками на инфраструктуру Интернета и веб-серверы занимается отдел сетевых устройств Network Devices Branch (NDB).
Если поискать по "Vault 7", то выяснится, что у спецслужб были 0day эксплоиты к сетевому оборудованию Cisco (статья 318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ), MikroTik (Спецслужбы США атакуют вендоров. Теперь MikroTik. Патч уже доступен). А ещё была утечка 0day для Fortinet и Cisco. Вот цитата из этой статьи:
кибергруппировка The Shadow Brokers выложила на продажу архив данных, украденных у другой хакерской группы Equation Group. Последнюю многие наблюдатели и эксперты по безопасности связывают с АНБ
Ну, и до кучи - статья Reuters: бэкдорами АНБ в продуктах Juniper пользовались другие государства.
Спецслужбы уже давно потратили (и наверняка до сих пор тратят) кучу бабла на поиск\встраивание уязвимостей в сетевые продукты, криптографию. И теперь могут позволить себе "собирать урожай".
А если вспомнить уязвимости, позволяющие удалённо отравлять DNS-кеш (свежая история с BIND или уязвимость в MikroTik от 2019). Наверняка у спецслужб есть и подобные 0day.
Вы не понимаете -- это другое!
Это все, конечно, замечательно, но автор неспроста добавил в статью еще и раздел «Юрисдикция (Фактор «Стук в дверь»)».
BGP-hijacking, эксплуатация уязвимостей в прошивках роутеров, и т.д. - это все мало играет роли, когда у тех, в чьих руках все это, мало причин для интеркса к вам, и что гораздо важнее - нет возможности этими самыми руками дотянуться до вас физически.
ключевой вопрос: нужно или нет. по сути можно так:
рабочее - только на рабочем, включая использование серт, но ! только для рабочих вопросов
лично - на личном, но! только легальное, т.е. госуслуги, налоги, банки, коммуналка и т.п.
совсем-личное - на отдельно личном.
и чтобы точно не копипастить ссылки и случайно не открыть "не то и не там" - физически разделять рабочие места.
выглядит как 3 ноута, между собой НИКАК не связанные, ни облаков общих, ни сетей, ни-фи-га
Во всей этой прекрасной статье за всё хорошее пропущен маленький нюанс: после появления Lets Encrypt всё это не имеет смысла. Через этот CA облачные, хостинг- и интернет-провайдеры, а также их сотрудники в частном порядке, могут выпустить сертификат на любой сайт на их серверах или подсетях, тупо перенаправив трафик с одного айпишника на другой на свой прозрачный прокси. В логах и прочих SCP всё будет выглядеть так, что админ сам обновил свой сертификат LE, как вы смеете подозревать хетцнер или кто там спалился на подделке xmpp.ru?
Хм, кстати, теоретически могут, интересная идея.. Типа, временно поменять записи в DNS, чтобы выпустить сертификат и перенаправить трафик через свой прокси?
А практически - вряд ли. В более-менее крупном провайдере или хостинге, не говоря уж о гигантах типа AWS - один скрытный сотрудник ничего не сможет сделать. Просто потому что процедура любых изменений на продакшене всегда затрагивает больше одного человека, а часто десятки. И любое изменение на серверах мониторится и логируется.
Если предположить, что это делается по секретной команде начальства, то скрыть такую операцию тоже будет непросто. В России РКН и ФСБ, возможно, берут строгие подписки о неразглашении, да и пытаются идейных сотрудников держать (наверное). А в коммерческой организации по-любому кто-нибудь сольёт такой план, особенно если он не одноразовый.
временно поменять записи в DNS
зачем? хостер и ближайшие провайдеры могут и так пускать "ваш" трафик через свои прокси. Защиты от всяких там дудосов так и работают...
Что касается "практически", то так атаковали, например, jabber.ru
Да, перечитал пример с jabber, спасибо. Пример хороший, вижу что вы совершенно правы. We all doomed. All your base are belong to us.
Впрочем, вы правы насчёт того, что DNS хостинг это ещё один простой и убойный вектор атаки на LE.
Подмена айпишников в ns-записях штука достаточно стрёмная. Даже если поставить на поддельном айпишнике слепой байтовый ретранслятор, клиент заметит, что на время атаки все коннекты к нему идут с одного айпишника.
Однако, специально для DNS хостинов даже сделали проверку через DNS (когда нужно добавить в зону TXT записи _acme_challenge). И если у вас нет паранойи, вы вряд ли будете постоянно мониторить эти записи в своей зоне, особенно если не пользуетесь Lets Encrypt.
Остается вспомнить по какой причине у Минцифры возникла необходимость выпуска собственных сертификатов. И о чем думали те люди, которые принимали решение из-за которого организации в РФ "потеряли возможность покупки и продления сертификатов от зарубежных УЦ." Товарищ майор хоть честно делает свою работу. В отличие от этих лицемерных ...
Сертификаты Минцифры 2 — вы уже в опасности
Получился интересный цикл статей, который позволил читателям в комментариях самостоятельно прийти если не к противоположным выводам, то как минимум к "всегда там были, и?". Интересно, это ли на самом деле было целью?
По сути вы описываете проблему доверия, а она не техническая.
Если вы изначально предлагаете не доверять Минцифры, естественно вам не стоит доверять и их сертификатам. Но это тавтология: второе утверждение, несмотря на кучу текста, не несёт дополнительной информации, описывая то же самое лишь другими словами.
Проблемы доверия и безопасности не сводятся к простым "да" или" нет". Здесь много составляющих: что, кому, когда, при каких обстоятельствах, в чем value, какие риски, каков веротный ущерб и т.п. Поэтому все разумные решения будут по ситуации. Но этот вывод тоже не нов.
Сертификаты Минцифры 2 — вы уже в опасности