Комментарии 482
ммм, а в европе и сша не следят?
Где гарантии, что люди, что заправляют проскированием...
Это как раз и есть один из аргументов в пользу приватности
Зачастую такие MITM-сертификаты прикрывают реальные проблемы с сертификатами сайтов. Такое уже было с касперычем, когда его сертификат в KIS, используемый для «защиты» браузинга посредством прокси на localhost, скрывал реальные проблемы с сертификатами сайтов (попадание в списки отзыва сертификатов, протухание по дате, и т.п.), т.е. прокси аксептила всё подряд и не передавала информацию о проблеме в браузер. Х.з. пофиксили ли они это сейчас.
«Все девушки делают это». Все антивирусы, включая windows defender
«When Windows Defender Antivirus is turned on, or is running because Limited Periodic Scanning is enabled, it will automatically send reports to Microsoft that contain data about suspected malware and other unwanted software, and it may also send files that could contain malware. » (https://privacy.microsoft.com/en-US/privacystatement)
«When Windows Defender Antivirus is turned on, or is running because Limited Periodic Scanning is enabled, it will automatically send reports to Microsoft that contain data about suspected malware and other unwanted software, and it may also send files that could contain malware. » (https://privacy.microsoft.com/en-US/privacystatement)
Ещё один довод против винды
а причем тут винда?)
Существует две точки зрения на windows 10 — она и должна быть безопасной, 10 шпионит за пользователями.
А в чем проблема рубить на корню подключения ко всем «шпионским» и не очень облакам? Конечно, файлы без моего ведома передавать третьим лицам то еще свинство, но вдруг там мои персональные данные замешаны? А с нашим законодательством это наводит на ряд вопросов, например: А где эти сэмплы малварь в конечном итоге хранятся? Какова вероятность заражения различных файлов, где могут содержатся персональные данные граждан РФ? Не будет ли это нарушать закон «О персональных данных»?
В обычной винде можно навсегда отключить антивирус, чтобы он не включался?
Если ты хочешь АВ защиту которая бы быстро тебя защищала — ты должен доверять этому АВ.
Если ты не хочешь доверять Антивирусу- или твои данные слишком ценны — ок. Есть настройки, есть изолированные контейнеры, есть сети с воздушным зазором…
Если ты не хочешь доверять Антивирусу- или твои данные слишком ценны — ок. Есть настройки, есть изолированные контейнеры, есть сети с воздушным зазором…
По другому и быть не могло: сам Касперский открыто выступал за тотальный государственный контроль над интернетом, причём задолго до принятия соответствующих законов.
Ну, HMA VPN, которым я по работе пользуюсь, поступил проще: полностью ушёл с Российского рынка и отказал в продлении подписки.
Так что не волнуйтесь, взялись за всех, за кого-то раньше, за кого-то позже. Поднятый на рабочем сервере VPN ещё сколько-то протянет, наверное. Но это не решение проблемы, а оттягивание последствий.
Тут самоподписанный корневой сертификат через HTTP раздают, мне кажется их прокси будет сильно хуже, чем разработанная спецами в Касперском. И согласен, MITM прокси в этом плане ужасна, там скорее всего не будет многих проверок, которые делают современные браузеры (например certificate pinning), будут пропускать старые версии TLS с непонятно какими ciphersuites. А вишенкой на торте будут уязвимости самой прокси, которую в итоге или хакнут или сольют приватный ключ от этого корневого сертификата (30 лет валидности хехе)
Немного оптимизма внушает только то, что внедрение root CA поддерживается далеко не везде, особенно в мире нативных приложений (не бразуеров), а с внедрением TLS1.3 может вообще сойти на нет, хотя подозреваю что корпоративные политики будут до последнего использовать фильтрующие прокси с TLS MITM.
Немного оптимизма внушает только то, что внедрение root CA поддерживается далеко не везде, особенно в мире нативных приложений (не бразуеров), а с внедрением TLS1.3 может вообще сойти на нет, хотя подозреваю что корпоративные политики будут до последнего использовать фильтрующие прокси с TLS MITM.
Следить можно по-разному. В данном случае по-факту сделали дыру, через которую гос-во может следить. И, если кто-то очень захочет, не только гос-во… и не только следить.
Добро пожаловать на хабр
Это моё личное оценочное суждение. Имею на него полное право.
А что, тебя это обижает? Ты видишь в этом оскорбление своих религиозных чувств?
Эта истеричная заметка, не содержащая никаких технических деталей, заканчивается выводом «пора валить». И поэтому вопрос «а в других местах намного лучше?» вполне уместен.В любой стране, где нет mitm. Пока что мне не известны другие страны, в которых государства пытаются засунуть свой сертификат.
Готовьтесь..
Заголовки тоже нужно без ошибок писать.
готовьтесь
вы, россияне,…
готовьтесь
вы, россияне,…
Думаю, Мозилле, Apple и Гуглу стоит заблэклистить этот сертификат в файрфоксе, хроме, ios и андроиде, тогда он 80% случаев станет бесполезен (и даже вреден) для установки на устройствах конечных пользователей
ну да, только провайдеры, очевидно, будут дропать трафик.
А правительство получит орду злых граждан, у которых намертво сломались браузеры без возможности «починить». Именно в этом и смысл блокировки сертификата. Если не начать давление и оставить всё как есть («кто хочет — пусть ставит сертификат»), то дурной пример заразителен.
Орде злых граждан будет предложен исправно работающий «безопасный национальный браузер», собранный из исходников хрома. А те браузеры, которые сломались, были иностранными, их сломали внешние враги, чтобы навредить.
А что, идея. В новом супербраузере сертификат уже «из коробки» будет.
Скачал — и всё работает, удобно даже для домохозяек.
А спустя некоторое время можно ещё и зарабатывать на поисковиках по-умолчанию и закладках.
Скачал — и всё работает, удобно даже для домохозяек.
А спустя некоторое время можно ещё и зарабатывать на поисковиках по-умолчанию и закладках.
Это ещё полбеды. А если обяжут продавать новые устройства с уже внедренным сертификатом? Для технически неграмотных в этом плане людей (их большинство, имхо) скачать и установить — дело одно, а если тебе всунули заранее — дело другое.
Отличный прогноз.
Телевизор объяснит, что все работает и легко починить. Никто доступ к гуглу не блокировал. Просто вот эту штучку надо поставить для отказоустойчивости работы рунета. А то ведь зарубежные центры сертификации могут нас «отключить от гугла».
А может борьбой с педофилией объяснят, кто его знает.
А может борьбой с педофилией объяснят, кто его знает.
Недавно телевизор пытался объяснить, что регистрация телефона сильно нужна его пользователям, а тем, кто этого не сделает, отключат газ связь. Когда же за месяц до дедлайна выяснилось, что большинство просто забило, сдали назад и стали привязывать IMEI в авторежиме, что убило всю идею.
Если блокировка сертификата уложит Гугл-плэй, то никакого «легко починить» для большинства домохозяек не получится. «Правильный браузер» нужно будет еще правильно засунуть в телефон.
не знаю, насколько трафик в плей легко опознать. Если это возможно, для него сделают исключение и будут пропускать. Если тяжело — будут просить гугл пойти навстречу и помочь. Реакцию гугла предсказать сложно. с Китаем он покочевряжился, потом поколебался туда-сюда, да и решил сотрудничать. Если бы не протесты сотрудников, был бы спец. поисковик для китая
Ну вы сравнили, Китай с больше чем миллиардом населения, 12$ триллионами ВВП и Казахстан.
В Китае, очевидно, можно хорошо заработать. Настолько хорошо, что руководство даже решило поступится моральными принципами и достоинством компании (у гугла с китаем давние трения).
руководство даже решило поступится моральными принципами и достоинством компанииА они, были, принципы? Или только слоган про корпорацию добра?
кто его знает, чужая душа потемки.
Но в начале конфликта гугл повел себя так:
«Ипполит Матвеевич преобразился. Грудь его выгнулась, как
Дворцовый мост в Ленинграде, глаза метнули огонь, и из ноздрей, как показалось Остапу, повалил густой дым. Усы медленно стали приподниматься.
— Никогда,-- принялся вдруг чревовещать Ипполит
Матвеевич,-- никогда Воробьянинов не протягивал руки. „
Но в начале конфликта гугл повел себя так:
«Ипполит Матвеевич преобразился. Грудь его выгнулась, как
Дворцовый мост в Ленинграде, глаза метнули огонь, и из ноздрей, как показалось Остапу, повалил густой дым. Усы медленно стали приподниматься.
— Никогда,-- принялся вдруг чревовещать Ипполит
Матвеевич,-- никогда Воробьянинов не протягивал руки. „
Пока не будут. Министр пояснил, что это пилотный проект для одного города с добровольным участием:
Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать
Вреден? Если сертификат в чёрном списке, то его установка никак не навредит. Браузер его проигнорирует.
Это игра в кошки-мышки. Они выпустят очередной серт, или вообще приложения, насильно втыкающие серты по необходимости, и вендоры рано или поздно сдадутся. Блэклистить же вручную установленные сертификаты они не очень хотят, т.к. это ударит и по корпоративным юзкейсам. Подозреваю, что в итоге вендоры на это просто забьют. Конечные пользователи ан-масс не будут бузить, а голоса специалистов не будут услышаны достаточно массово. Хорошей концовки у этой истории, ИМХО, нет.
Не совсем. Я считаю, что бороться с такими явлениями нужно хотя бы потому, что реализация таких инициатив тормозит как прогресс так и экономические отношения, в конечном итоге уменьшая конкурентоспособность общества на мировом рынке. Мой «пессимизм» заключается скорее в том, что цена этой борьбы будет очень высокой в силу инертности и пофигизма массовых пользователей. Другими словами, Пиррова победа — это тоже плохая концовка.
Запросто могут раз в неделю выпускать новый. Простой пример на «прокладке» для работы портала электронных счетов-фактур. 31 марта закончился срок действия лицензии для этой фиговины, 1 апреля все бухи страны начали названивать всем сисадминам страны. Новую версию, с новой лицензией, выпустили 2-го поздно вечером. Плюс программа, естественно, требует администраторских прав для установки. Так что пока эта прокладка до всех дошла, прошло 2-3 дня. Кое-кто попал на штрафы из-за этого факапа (там есть сроки подачи документов, которые нужно выдерживать).
Новая программа с новой лицензией работала до 1 июля. Угадайте, когда разрабы выкатили новую версию с продленной лицензией? Хотя бы за пару-тройку дней, чтобы все успели обновиться? Щас прям, ага. 31-го июня поздно вечером.
И вот так вот у них все.
И ничего, бухи поворчали, эникейщики утерли пот, и все окей. А это ведь как минимум десятки тысяч человек по всей стране и ВСЕ бизнесы до единого, ну кроме совсем мелких.
Так что не думаю, что кто-то будет возмущаться. Сейчас, вон, ютуб ежедневно по вечерам блочат на час, и норм, привыкли все…
Новая программа с новой лицензией работала до 1 июля. Угадайте, когда разрабы выкатили новую версию с продленной лицензией? Хотя бы за пару-тройку дней, чтобы все успели обновиться? Щас прям, ага. 31-го июня поздно вечером.
И вот так вот у них все.
И ничего, бухи поворчали, эникейщики утерли пот, и все окей. А это ведь как минимум десятки тысяч человек по всей стране и ВСЕ бизнесы до единого, ну кроме совсем мелких.
Так что не думаю, что кто-то будет возмущаться. Сейчас, вон, ютуб ежедневно по вечерам блочат на час, и норм, привыкли все…
Кстати, а что такое «заблеклистить»?
Это их дело, потому что оно касается безопасности работы их пользователей.
Постирония?) Это международные корпорации с огромным влиянием и оборотом денег, работающие с информацией, — на этой планете нет ничего, что бы было не их делом — от этого размер их прибыли зависит. Политика здесь играет одну из первых ролей.
Яндекс Браузер продолжит работать…
Cisco уже
Без этого сертификата не получится скачать обновление которое блокирует этот сертификат
А по сути.
Меня всегда удивляло «хахаха, мы тут сейчас VPN поставим и плевать хотели на слежку». Окончательное оружие связьнадзоров — гос. сертификат. Я думаю, еще и по паспорту со временем получать придется.
Меня всегда удивляло «хахаха, мы тут сейчас VPN поставим и плевать хотели на слежку». Окончательное оружие связьнадзоров — гос. сертификат. Я думаю, еще и по паспорту со временем получать придется.
Во времена начала расцвета выделенных линий была куча извращений вида «proxy over email/icmp/dns/whatthefsckis и прочего», никаких проблем возродить это нет. В самых диких реалиях почти тотального чебурнета(оформите разрешение на доступ к google.com на 18.05.2072 c 15:20 по 15:22) — остаётся совершенно нелегальный даже сейчас вариант с proxy over shortwave radio/sstv и всякими wifi мостами в приграничных областях.
А что в нём нелегального сейчас?
На радиолюбительских диапазонах запрещено использование шифрования. Не только в РФ, если что.
С чего бы? А как по вашему работают все эти устройства, типа счётчиков воды/газа с подключение по радиоканалу? Думаете, без шифрования?
Вероятно, там все сильно зависит от мощности передатчика.
Кстати, да. Скорее всего без шифрования.
Думаете, без шифрования?
Кстати, да. Скорее всего без шифрования.
Я не знаю как в других странах, но в США запрещено шифрование любительского трафика только в том смысле, в котором его нельзя расшифровать кому угодно. Модуляция (в том числе фазовые преобразования сигнала) и тому подобные вещи широко известны, и несмотря на то, что они меняют сигнал, их может разобрать любая принимающая сторона (другими словами, там нет «пароля» или «ключа»). Как только мы вводим в систему секрет, доступность которого ограничена искусственно, это становится запретно в любительской связи.
Скремблер голоса в аудиотракт и говорить шифрами, или белый шум передавать, пускай расшифровывают.
Другое требование для каждой любительской станции на соответствующих частотах — самоидентификация с помощью позывного каждые 10 минут или чаще, ЕМНИП. Не будет позывных — рано или поздно обратят внимание и триангулируют местоположение. У нас тут один умник по хайвеям возил глушилку GSM, не нравилось ему, как народ за рулем по телефонам трещит. Отловили за несколько дней (!), впаяли штраф в 48 килобаксов (очень примерно 20% стоимости среднего дома в тех краях, если что). Т.е. вопрос отлова если и есть, то он не в технической стороне, а в желании искать.
В РФ скремблеры запрещены в рамках радиолюбительской связи.
пативэн выедет по пеленгу передатчика…
Вы не поверите...
На самом деле все ну очень сильно зависит от конкретного примененного решения. GSM-сети шифруются by design, в каком-нибудь 6lowpan тоже есть ключ сети, а вот самопальные 433МГц и иже с ними — ой не факт
GSM-сети
Вы где-нибудь видели [легальную] радиолюбительскую GSM-сеть ?
Да, на chaos communication congress в Германии :-)
Это не радиолюбительская сеть в строгом понимании.
Организаторы запрашивали у немецкого роскомнадзора федерального сетевого агентства лицензию на использование частот для тестовой эксплуатации
https://www.youtube.com/watch?v=ZKa86zAWmQY&feature=youtu.be&t=860
Это да. Но моё удивление не знало границ, когда я на 34c3 спрашивал Юлиуса:
— Слушайте, а как вы разворачиваете GSM-сеть на конфе? Ну это же регулиремые частоты, аэропорт рядом, тут 15 000 человек…
— Ну как. Мы же немцы. У нас есть немецкая бюрократия. И она работает. Если бы нам отказали в разрешении, мы бы попросту подали в суд.
Я и легальную радиолюбительскую пейджинговую сеть видел. Ну, как видел… Сам делал :)
Как вариант — берём пагер, перестраиваем на 433 (замена кварцев либо программатор, у кого как), у передатчика скручиваем мощность до разрешённой, POCSAG сам по себе не шифрован, и вуаля — легальная пейджинговая сеть в пределах квартиры-двух.
А чего там легализовывать? Частота радиолюбительская, протокол не шифрованный, под определение «автоматической цифровой станции» вполне подпадает. А чтобы не попасть под горячую руку при показательных порках, производимых РЧЦ, все передатчики строго по регламенту раз в 10 минут передают морзянкой позывной.
А это, как бы странно не звучало, либо не радиолюбительские и к нему не относящиеся (газ/вода/таксофон), либо нелицензируемые (433мгц/2.4ггц, но мощность 10 мвт).
все эти устройства, типа счётчиков воды/газа не имеют ни малейшего отношения к радиолюбительству.
По диапазонам очень сильные ограничения, какие-то частоты доступны только для голосовой связи, какие-то для телеграфной, где-то можно и то и то, плюс всякие модуляции тоже ограничены, цифра кстати тоже не везде разрешена. Ну и полный запрет на шифрование/скремблинг, плюс даже без этого, на любительских диапазонах можно только связаться, проверить качество связи, максимум обсудить конструкцию трансивера. Если вы вздумаете спеть под гитару свою собственную песню — на вас совершенно спокойно могут в роскомнадзор настучать и за это вам влепят выговор/лишат категории/изымут оборудование, если захотите попросить жену приготовить сегодня борщ… ну тоже самое.
А с wifi и компанией — тоже облом, ограничения по мощности + всякие indoor use only.
А с wifi и компанией — тоже облом, ограничения по мощности + всякие indoor use only.
Если вы вздумаете спеть под гитару свою собственную песню — на вас совершенно спокойно могут в роскомнадзор настучать и за это вам влепят выговор/лишат категории/изымут оборудование
Прошу пруф. Насколько мне известно. по действующему в РФ законодательству в настоящее время таких ограничений нет.
/RN4HGX
О, таки приняли, надо же. Впрочем, есть только рекомендация разговаривать на радиолюбительские темы, и запрет на именно аудиозаписи, так что песню под гитару можно, и посторонние беседы тоже. На КВ, конечно, не поймут, но локальная УКВ-помойка и не такое стерпит (и терпит уже очень давно).
Пошёл по ссылке:
Эти правила для другой страны написаны.
Эти правила для другой страны написаны.
Пф… Сделать бота, который будет надиктовывать поток данных в base64 :)
извольте голосом или известными протоколами без шифра
прикрутить скринридер бгг
или окей гуголь
или окей гуголь
Приказ Минкомсвязи России от 26.07.2012 N 184
Пункт 4.13.ж
Запрещается ведение радиообмена:
с использованием шифров и кодов, скрывающих содержание передаваемой информации (передачаконтрольного номера в соревнованиях по радиоспорту, а также управляющих команд и телеметриилюбительских радиостанций наземного и космического базирования не относится к передачам сиспользованием кодировки сигнала);
с использованием шифров и кодов, скрывающих содержание передаваемой информации (передачаконтрольного номера в соревнованиях по радиоспорту, а также управляющих команд и телеметриилюбительских радиостанций наземного и космического базирования не относится к передачам сиспользованием кодировки сигнала);
Лучше не base64 (слишком заметно). Лучше стеганографией — например, через музыку в фоне. Ну а голос пусть будет синтезированный и зачитывает какую-нибудь детскую книжку.
В крайнем случае можно этим же синтезированным голосом зачитывать base64, где биты закодированы, например, стихами Омара Хайяма, Пушкина и других. Медленно, но надёжно.
В крайнем случае можно этим же синтезированным голосом зачитывать base64, где биты закодированы, например, стихами Омара Хайяма, Пушкина и других. Медленно, но надёжно.
ну это как-то мрачно. Большие пляски с бубном за хилую связь.
да и годится только для маленькой кучки. государство будеи быстрее мосты обрубать, чем население о них узнавать.
да и годится только для маленькой кучки. государство будеи быстрее мосты обрубать, чем население о них узнавать.
wifi мостами в приграничных областях
тут вам не Европа, за границей РФ и Китай:)
Ещё есть спутниковый интернет
Окончательное оружие связьнадзоров — гос. сертификат.
На vpn (технологию, а не конкретную реализацию) госсертификат особого влияния не окажет. Никто не мешает уйти на уровень глубже: ну хочется майорам что-то расшифровать — пусть расшифровывают: сняли своим сертификатом tls, а внутри уже настоящий криптотуннель траффик видеоконференции с синтактически верными битстримами vp9, чтоб dpi зубы сломал.
Белые списки, вот где засада.
еще и по паспорту со временем получать придется
При чем здесь паспорт и сертификат левого УЦ ?
Каждому гражданину выдавать индивидуальный «национальный сертификат безопасности»?
Как вы себе технически это представляете? Не клиентский сертификат, а именно индивидуальный левый УЦ «национальный сертификат безопасности».
Ага. С электронной цифровой подписью уже облажались:
habr.com/ru/news/t/452292
habr.com/ru/news/t/453208
Теперь дальше надо углУбить… При таком бардаке некий провокатор от спецлужб, имеющий доступ к госпрокси напишет от имени заказанного гражданина нехороший пост. Гражданина посадят ( «У суда нет оснований не доверять… Подтверждается индивидуальным сертификатом… виновен») а провокатор получит денюжку от заказчика.
Просто смотря на то, как легко утекают всякие личные данные нужным людям (из банков/госслужб/провайдеров связи) и как вольготно себя чувствуют мошенники, как-то вот ещё одна дыра в безопасности радости не вызывает.
habr.com/ru/news/t/452292
habr.com/ru/news/t/453208
Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент и без труда выполнили эту операцию. Как оказалось, любой разбирающийся в налоговых процедурах человек может без проблем завладеть не только чужой квартирой, но и чужой компанией.
Теперь дальше надо углУбить… При таком бардаке некий провокатор от спецлужб, имеющий доступ к госпрокси напишет от имени заказанного гражданина нехороший пост. Гражданина посадят ( «У суда нет оснований не доверять… Подтверждается индивидуальным сертификатом… виновен») а провокатор получит денюжку от заказчика.
Просто смотря на то, как легко утекают всякие личные данные нужным людям (из банков/госслужб/провайдеров связи) и как вольготно себя чувствуют мошенники, как-то вот ещё одна дыра в безопасности радости не вызывает.
На vpn (технологию, а не конкретную реализацию) госсертификат особого влияния не окажет.
Давайте я выскажусь чуть развернутее и аккуратнее.
Прямо и непосредственно госсертификат на VPN не повлияет, ведь VPN вовсе не обязаны опираться на PKI. И поэтому сам по себе левый госсертификат не страшен.
Но он становится страшен как ключевой элемент некоей системы мер.
Например, такой вариант. Провайдер дропает весь шифрованный трафик за исключением трафика с ключом, полученным через левый сертификат. В том числе дропает все vpn без разбору (массового недовольства это не вызовет). Ну кроме корпоративных, которые нужно будет зарегистрировать. Пользователям говорится, что интернет по-прежнему работает (вот тут как раз иначе могло бы начаться массовое недовольство), ходите сколько хотите на свои любимые сайты, только поставьте госсертификат.
TLS снимается, переписка читается. Если после снятия TLS на следующем уровне оказывается шифрованный не тем, чем надо трафик, он посылается в корзину. Мне кажется, все примерно о таком сценарии думают, когда обсуждают госсертификаты.
При чем здесь паспорт и сертификат левого УЦ ?
Вы правы, я ерунду написал. Мысль перескочила, я это не отразил, получилась ерунда. А перескочила она на авторизацию пользователей интернета через индивидуальные сертификаты, выдаваемые по паспортам.
>Провайдер дропает весь шифрованный трафик
как отличить шифрованный трафик от какого-либо малоизвестного протокола? или ты имел ввиду «дропать весь шифрованный tls трафик»? ну пострадают только tls-based реализации впн.
как отличить шифрованный трафик от какого-либо малоизвестного протокола? или ты имел ввиду «дропать весь шифрованный tls трафик»? ну пострадают только tls-based реализации впн.
whitelist, как. Если товарищ майор не может расшифровать, то -j DROP.
Во-первых, по стат. характеристикам.
Во-вторых, малоизвестные протоколы можно спокойно дропать. Если шум пойдет — разбираться пропускать дальше или нет.
Во-вторых, малоизвестные протоколы можно спокойно дропать. Если шум пойдет — разбираться пропускать дальше или нет.
В том числе дропает все vpn без разбору
SSH?
Интересно, а что будет если спрятать туннель в туннель. Скажем поднять на хосте VPN соединение и на хосте же установить сертификат, потом поставить виртуальную машину и в ней поднять еще одно VPN соединение, но сертификат не устанавливать. Дропнет их фаервол такое соединение или нет?
И умеет ли он отслеживать нестандартное шифрование?
Но на самом деле тенденция отвратительная, если у Казахстана проканает, то потом и в других авторитарных странах введут, в том числе и у нас.
И умеет ли он отслеживать нестандартное шифрование?
Но на самом деле тенденция отвратительная, если у Казахстана проканает, то потом и в других авторитарных странах введут, в том числе и у нас.
Не совсем.
Что мешает наложить перед гос. сертификатом — еще один уровень шифрования?(или вообще не делать вид что используем https, если выход по якобы-нешифрованному протоколу возможен еще).
Да, DPI придется все это анализировать и понимать где все же зашифрованный трафик.
Придется изучать опыт Китая. И китайских граждан по обходу всего этого. Но Китаю сильно проще — вся основная инфраструктура — внутри страны, отключение внешних каналов вообще — большая часть населения врядли заметит. А у Казахстана что с этим? -:)
Что мешает наложить перед гос. сертификатом — еще один уровень шифрования?(или вообще не делать вид что используем https, если выход по якобы-нешифрованному протоколу возможен еще).
Да, DPI придется все это анализировать и понимать где все же зашифрованный трафик.
Придется изучать опыт Китая. И китайских граждан по обходу всего этого. Но Китаю сильно проще — вся основная инфраструктура — внутри страны, отключение внешних каналов вообще — большая часть населения врядли заметит. А у Казахстана что с этим? -:)
Но Китаю сильно проще — вся основная инфраструктура — внутри страны
Привет закону о суверенном рунете
Есть разница — населению вообщем то и не особо надо внешние ресурсы и населению они таки нужны а значит — будут массово стараться обойти.
Правда с рунетом в этом плане лучше(или хуже? с учетом темы) — хотя бы потому что Вконтакт и Яндекс — в рунете и если что — можно сказать что 'а зачем вам Гугл — вот Яндекс есть'.
Правда с рунетом в этом плане лучше(или хуже? с учетом темы) — хотя бы потому что Вконтакт и Яндекс — в рунете и если что — можно сказать что 'а зачем вам Гугл — вот Яндекс есть'.
qaznet умер лет 10 назад.
Кроме сми (с регистрацией по мобильному номеру), госсайтов и одностраничники бизнеса ничего практически нету.
Кроме сми (с регистрацией по мобильному номеру), госсайтов и одностраничники бизнеса ничего практически нету.
Сам переехал из Казахстана давно, как сетевому спецу было давно понятно, что там делать нечего. Но в данном разрезе меня сильно веселит то, что корневой сертификат безопасности надо скачать с HTTP(!!!)//qca.kz Уровень гос спецов, внезапно, не изменился. Кому надо, делайти MITM на сайт и распространяйте свой корневой сертификат.
Все нормально с HTTP. Именно так публичные сертификаты и распространяются. Их надежность подкреплена тем, что они всем известны. Если кто-то себе не тот сертификат поставит, он это легко сможет, во-первых, заметить, во-вторых, проверить.
Разверните пожалуйста ответ, при подмене трафика с этого сайта, как именно это заметить или проверить? Если страницу (с возможными инструкциями по проверке) и сам сертификат можно подменить, а после расшифровать любой трафик этого юзера если он идёт через мой раутер (например в офисе)?
Сам сертификат просто песня:
Самоподписанный, безотзывной, валиден 30 лет, имеет право подписывать сертификаты. (У тех кто владеет приватными ключами огромный оптимизм и вера в то что ключ не утечёт)
PS: интересно кому сказать «спасибо» за карму и комментарии в пять минут. На хабре стало опасно выражать своё мнение…
Сам сертификат просто песня:
Самоподписанный, безотзывной, валиден 30 лет, имеет право подписывать сертификаты. (У тех кто владеет приватными ключами огромный оптимизм и вера в то что ключ не утечёт)
...
Issuer: C = KZ, CN = Qaznet Trust Network
Validity
Not Before: Feb 2 05:41:00 2016 GMT
Not After : Feb 2 05:41:00 2046 GMT
Subject: C = KZ, CN = Qaznet Trust Network
...
X509v3 Key Usage: critical
Non Repudiation, Certificate Sign, CRL Sign
...
PS: интересно кому сказать «спасибо» за карму и комментарии в пять минут. На хабре стало опасно выражать своё мнение…
Не нужна никакая страница с инструкциями. Открываешь сертификат, смотришь его fingerprint, сравниваешь с тем, что у друзей, родственников или случайных прохожих. Если совпадает, значит, у тебя правильный сертификат. Если сомневаешься, то идешь пешком на телеграф и пишешь телеграмму лично "елбасы": "Прошу подтвердить, что гос. сертификат имеет отпечаток FF:CC:DE: и т. д., ответ телеграфируйте." Это как проверить.
А заметить тоже несложно. Как только атака MITM закончится, сразу некорректный сертификат перестанет валидировать все нормальные ресурсы. Чтобы жертва ничего не заметила, этот сертификат должен подсовываться ей везде и всегда.
Что и требовалось доказать. После того как атака будет проведена (пароли перехвачены и сменены, а деньги например переведены куда надо), атакующего будет мало волновать что вы поймёте что сертификат не тот. Да и сколько людей в процентном соотношении способны проверить/сравнить сертификат?
https://sectigo.com/legal Вот, пожалуйста. Можете убедиться, что корневые сертификаты sectigo, которыми подписаны yandex.ru и habr.com, распространяются по HTTP.
Попробую дать немного более развёрнутый ответ.
Во-первых, это очевидно, что сами корневые сертификаты крупных Certification Authorities будут распространяться в открытом виде, так как это решает проблему курицы и яйца (нелогично отдать новый Root CA по HTTPS с тем же новым chain of trust, так как эта цепочка еще не является доверенной).
Во-вторых, вся эта информация всё-таки лежит на сайте доступном через HTTPS (https://sectigo.com) вместе с инструкциями как проверить эти сертификаты. Нужно учитывать, что эта информация предназначается для крупных игроков (Application Providers), и никакие конечные пользователи оттуда сертфикаты сами устанавливать не будут. (Не зря страница по ссылке называется Sectigo Legal Repository). То есть спецы из Mozilla или Google прежде чем взять и добавить оттуда что-то в trust store, получат это по юридическим каналам с подписями и десять раз перепроверят.
В третьих, habr.com подписан не корневым сертификатом Comodo, а Intermediate CA (COMODO RSA Domain Validation Secure Server CA), что является общеприянтой практикой, так как корневой сертификат такого уровня и его ключ хранятся в сейфе на выключенном из сети HSM. А это очень важно, так как если Intermediate CA будет взломан, его всё-таки можно быстро отозвать с помощью корневого сертификата через CRL или аналогичные механизмы.
Теперь попробуйте это сравнить с ситуацией когда а) конечных пользователей без опыта в IT вообще просят скачать и установить в систему корневой сертификат с сайта по HTTP и b) Этот сертификат стопроцентно находится на включенных в интернет прокси вместе со своим приватным ключом, так как он используется для того, чтобы на лету генерировать и подписывать сертификаты для всех доменов которые вы посещаете (любой MITM так устроен). Надеюсь разница в подходах к безопасности очевидна. Достаточно один раз персонально поучаствовать в физической разлочке Root CA чтобы понять насколько серьезно к этому должны относиться.
Во-первых, это очевидно, что сами корневые сертификаты крупных Certification Authorities будут распространяться в открытом виде, так как это решает проблему курицы и яйца (нелогично отдать новый Root CA по HTTPS с тем же новым chain of trust, так как эта цепочка еще не является доверенной).
Во-вторых, вся эта информация всё-таки лежит на сайте доступном через HTTPS (https://sectigo.com) вместе с инструкциями как проверить эти сертификаты. Нужно учитывать, что эта информация предназначается для крупных игроков (Application Providers), и никакие конечные пользователи оттуда сертфикаты сами устанавливать не будут. (Не зря страница по ссылке называется Sectigo Legal Repository). То есть спецы из Mozilla или Google прежде чем взять и добавить оттуда что-то в trust store, получат это по юридическим каналам с подписями и десять раз перепроверят.
В третьих, habr.com подписан не корневым сертификатом Comodo, а Intermediate CA (COMODO RSA Domain Validation Secure Server CA), что является общеприянтой практикой, так как корневой сертификат такого уровня и его ключ хранятся в сейфе на выключенном из сети HSM. А это очень важно, так как если Intermediate CA будет взломан, его всё-таки можно быстро отозвать с помощью корневого сертификата через CRL или аналогичные механизмы.
Теперь попробуйте это сравнить с ситуацией когда а) конечных пользователей без опыта в IT вообще просят скачать и установить в систему корневой сертификат с сайта по HTTP и b) Этот сертификат стопроцентно находится на включенных в интернет прокси вместе со своим приватным ключом, так как он используется для того, чтобы на лету генерировать и подписывать сертификаты для всех доменов которые вы посещаете (любой MITM так устроен). Надеюсь разница в подходах к безопасности очевидна. Достаточно один раз персонально поучаствовать в физической разлочке Root CA чтобы понять насколько серьезно к этому должны относиться.
Этот сертификат стопроцентно находится на включенных в интернет прокси вместе со своим приватным ключом, так как он используется для того, чтобы на лету генерировать и подписывать сертификаты для всех доменов которые вы посещаете
Зачем? Им можно подписать дочерние сертификаты, которые в свою очередь уже будут подписывать трафик.
Я мельком глянул на тестовый сайт этого сертификата и если не ошибаюсь там не увидел Intermediate CA. Технически это возможно, да. Но меняет только срок уязвиомсти. Даже если эти сертификаты сделают Intermediate CA и валидными несколько месяцев, у админов этих проксей соблазн будет огромен. Плюс эти прокси будут генерить логи с какими-то частями расшифрованных данных для последующего анализа.
Оставлю тут ссылку на видео про DNSSEC Key Ceremony, кому интересно посмотреть как это выглядит для рута DNS всея интернета www.youtube.com/watch?v=b9j-sfP9GUU
Тут даже похоже, что это не толпа, а отдельная группа людей с какими-то своими интересами. В любом случае это меня удивило и (пользуясь случаем) спасибо тем кто это поправил. Надеюсь мои комменты по процедурам CA были кому-то полезны.
У меня вот например почти нет заминусованных комментов, а большинство заплюсованно, но карма отрицательная. Причем минусы всегда в большом количестве появляются после заплюсованного комментария с выражением невосторженного отношением к действиям текущей власти. Как будто где-то в высокой башне сидят люди на зарплате и прям слетаются на такое. Crazy talk, конечно же.
воистину :(
Немного поправил карму, но это вполне реальный сценарий. Я не удивляюсь уже такому.
Вы еще не видели комментариев к 5+ летней давности статьям, когда тебе приходит на почту оповещение что твое сообщение прокомментировали, открываешь его а там в после 2014 года с твоим комментарием этого же года, кто-то 3 минуты назад написал ответ и у этого ответа 3-х минутной давности уже плюсы стоят(в статье 2014 года).
Значит можно сделать вывод, что на хабре появилась ячейка политических троллей. Которые повышают карму друг другу и занимаются отслеживанием неугодных в их политическом контексте пользователей и комментариев. Я бы на месте администрации хабра с этим разобрался
Проблема есть и она налицо.
Политические тролли минусуют сразу в карму, ограничивая мою свободу слова (от кармы, например, зависит частота написания комментариев).
Политические тролли минусуют сразу в карму, ограничивая мою свободу слова (от кармы, например, зависит частота написания комментариев).
Кстати, очень интересная задачка. Нарисовать графы сообществ «минусователей» и «плюсователей». Даже если теория «фабрики» не подтвердится, результат будет интересный. Есть ли «кланы», каково их поведение, как зарождаются и т.п.
Есть варианты такую задачу решить на открытых данных?
Есть варианты такую задачу решить на открытых данных?
Меня один из пользователей критиковал, что я касаюсь политики, обсуждая технические вопросы. Но политика уже давно на хабре, причём в явными ура-патриотическими уклоном. Яркий пример посты про сериал Чернобыль от HBO
Я бы как-нибудь аккуратнее отделял мух от котлет.
То, что называется провластным дискурсом (а в вашей терминологии, видимо, ура-патриотическим), на хабре примерно за последний год действительно усилилось, но ни о каком его доминировании речи пока не идет. Доминирующим здесь по прежнему является дискурс либеральный в широком понимании, от социал-демократов до анархо-либертарианцев. Есть и третий, наименее многочисленный, про который все благополучно забывают: его носители искренне ненавидят как либеральные ценности, так и текущую российскую власть, очень часто объединяя первое со вторым.
[/мамкин социолог]
То, что называется провластным дискурсом (а в вашей терминологии, видимо, ура-патриотическим), на хабре примерно за последний год действительно усилилось, но ни о каком его доминировании речи пока не идет. Доминирующим здесь по прежнему является дискурс либеральный в широком понимании, от социал-демократов до анархо-либертарианцев. Есть и третий, наименее многочисленный, про который все благополучно забывают: его носители искренне ненавидят как либеральные ценности, так и текущую российскую власть, очень часто объединяя первое со вторым.
[/мамкин социолог]
Ну вот в корне не согласен. Ура-патриотический уклон явно преобладет во всяких ВК и Одногашниках. Сильно лезет в ЛицоКнигу. Но Хабр в этом плане всегда был моей отдушиной.
Шутка ли, я при событиях 14 года, когда начинал сомневаться в достоверности информации с нашей стороны, или что ваш маховик пропаганды не способен генерировать такое количество фейков, заходил сюда в статьи/коменты с увереностью, что здесь же умные люди умеющие фильтровать и анализировать информацию. Где же еще больший шанс понять что правда, а что нет?
Как видите, я все еще сюда захожу.
З.Ы. А вот, как Вы в соседней ветке заметили, прилитеть минусов в карму может легко. Даже если просто как-то намекнуть в какой стране я проживаю.
У тех кто владеет приватными ключами огромный оптимизм и вера в то что ключ не утечёт
Все проще: им просто пофигу
Таки я вас умоляю. Сертификаты, которые используются на всех госпорталах (egov.kz, cabinet.salyk.kz, stat.gov.kz, esf.gov.kz… тысячи их) уже сто лет лежат на pki.gov.kz (тоже http). Так что — ничего нового. Там же и «криптопровайдер» ncalayer, который официально представляет собой прокладку для java, а что это такое реально — никто не знает. Но все устанавливают, куда деваться…
Открытый ключ сертификата конечно по открытым каналам распространять, а как ещё? В этом же смысл открытых ключей
В статье упущен один очень важный момент. MITM позволяет не только читать, но и писать от имени человека все что угодно.
Расшифрованный трафик осел на сервере, берем из него логины/пароли/куки/sessionid и делаем с ними все что хотим. 2FA не поможет.
Это гораздо страшнее чем просто чтение.
Расшифрованный трафик осел на сервере, берем из него логины/пароли/куки/sessionid и делаем с ними все что хотим. 2FA не поможет.
Это гораздо страшнее чем просто чтение.
Вот пускай эти умники рассказывают, как мне на сонерике сертификаты обновить :/ Лет пять уже пытаюсь — не принимает ни в какую. Хотя древние, которые по форумам гуляли — закидываются, и в них обычный DEP. Без новых сертификатов плохо, даже smtp.ukr.net уже давно без SSL не пускает.
Скорее всего ваш древний сонерик просто уже не умеет играть в современные протоколы.
Протоколы здесь определённо ни при чём — сбой возникает на этапе установки сертификата. С версиями TLS/SSL-то понятно, что проблемы будут. Сейчас даже чтобы с MidpSSH подключиться к серверу — надо явно на нём старые алгоритмы и шифры включать.
Совершенно при чем: от версии протокола зависят как минимум допустимые алгоритмы хэширования и подписи сертификатов. TLS 1.1 знать не знает о ECDSA и SHA256/512. А TLS 1.3 запрещает применение SHA1
Спасибо за пинок в нужном направлении, сертификат с SHA1 подошёл — уже что-то.
Не только.
Вот скажем так я как разработчик одно приложение для Андроид пишу… оно правда для России хотя клиенты могут и в Казахстан приехать (и наверно ездят). Так вот — от наличие такого сертификата все сразу станет колом. И Андроид и iOS клиенты там доверяют только и исключительно зашитому в них сертификату, при этом приложение должно еще и клиентским (вшитым) сертификатом авторизоваться. А уже после всего этого начинается авторизация пользователя. Никакие установки ничего левого — не спасут. Убрать ограничение — безопасники сожрут(и вообщем то правы). При попытке подмены — будет сообщение что нет интернета.
Скинуть чтоли службе техподдержке эту статью с комментарием почему в Казахстане не будет работать?
Вот скажем так я как разработчик одно приложение для Андроид пишу… оно правда для России хотя клиенты могут и в Казахстан приехать (и наверно ездят). Так вот — от наличие такого сертификата все сразу станет колом. И Андроид и iOS клиенты там доверяют только и исключительно зашитому в них сертификату, при этом приложение должно еще и клиентским (вшитым) сертификатом авторизоваться. А уже после всего этого начинается авторизация пользователя. Никакие установки ничего левого — не спасут. Убрать ограничение — безопасники сожрут(и вообщем то правы). При попытке подмены — будет сообщение что нет интернета.
Скинуть чтоли службе техподдержке эту статью с комментарием почему в Казахстане не будет работать?
При попытке подмены — будет сообщение что нет интернета.
А нужно писать не про отсутствие интернета, а как есть, чтобы обычные люди понимали что происходит.
А нужно писать не про отсутствие интернета, а как есть, чтобы обычные люди понимали что происходит.
Пробовать левые сертификаты отдельно ловить и писать что-то вроде «Обнаружена попытка несанкционированного вмешательства в обмен информаций с <официальное термин как называется контора>, попробуйте подключится к другой сети»?
Для страны это вывод всех международных компаний и активов. Стоит оно того?
Если выбор между жопой в экономике, запредельной бедностью населения с одной стоны и сохранением власти с другой, то диктаторы всегда выбирают второе.
Собственно, это и происходит.
А всегда ли?
Пиночет — диктатор или таки нет для данной задачи?
Власть отдал. Правда позаботился его не повесили сразу после. И жил спокойно пока не решил на лечение в демократичные страны слетать. Вот тут то и настигло его.
Для диктаторов ж чаще всего с другой стороны не сохранение власти а сохранение жизни.
Пиночет — диктатор или таки нет для данной задачи?
Власть отдал. Правда позаботился его не повесили сразу после. И жил спокойно пока не решил на лечение в демократичные страны слетать. Вот тут то и настигло его.
Для диктаторов ж чаще всего с другой стороны не сохранение власти а сохранение жизни.
Мммм, ну компьютеры, положим, понятно. А вот всякие SmartTv, сервисы игровых приставок, какие-нибудь домашние сервис-хабы как будут работать? Я не уверен, что большинство обычных (не подкованных технически) граждан осилят пляски с бубном
Игры от ниантика вообще не работают с перехватом трафика таким, судя по всему в игре уже зашит верный сертификат сервера и игра проверяет его.
Это очень частое явление в не-браузерном мире, когда клиент и сервер контролируется одной организацией. Мы, например, делаем то же самое для VPN клиента, что гарантирует то, что никто кроме нас не сможет подписать наши сертификаты (а историй про факапы с доверенными certificate authority было уже предостаточно). Так что это даже секьюрнее.
Кто захочет оставаться в стране, выпустят update прошивки.
Скажите мне как пользователю как будет ну например Bookfusion (читалка под андроид и iOS) работать?(там привязка сертификата) и готовы ли провайдеры в Казахстане отвечать на эти вопросы?
Представляю, как же будет радостно операторам и властям от того, что у пользователей, сделавших все "как надо" все равно не начнут работать относительно современные Android приложения (target API >= 24), не начнут работать.
https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html?m=1
Хм, так вот чего расшифровка трафик на 5 андроиде работала отлично, а на 9 уже не могу через фиддлер его также расшифровать, только для нескольких приложений типа хрома вышло настроить… А как-то с рутом это можно решить?
Да, надо лишь добавить ваш CA в список системных.
Например, через модуль Magisk, который выполняет банальнейший код.
Банальнейший код
mkdir -p $MODDIR/system/etc/security/cacerts
rm $MODDIR/system/etc/security/cacerts/*
cp -f /data/misc/user/0/cacerts-added/* $MODDIR/system/etc/security/cacerts/Можно через Frida на рутовоном устройстве.
Да, ботофермы тоже развели, не без помощи российского опыта.
А вы уверены, что это российский опыт? ))
Да, была информация что казахстанские силовики перенимают опыт в этом направлении. Так что почти уверен. Ну и лично столкнулся сначала с российскими ботофермами. А потом значительно позже уже начали и казахстанские.
Ну вы столкнулись с последователями, а не первопроходцами ))
Первые ботофермы что я видел были одесские, это был еще по моему 2011год. SEOшники выросшие из форумного/ЖЖшного спама до политических заказов в виде «формирования общественного мнения». Лахту (и что-то там было еще до лахты) собственно пришлось делать когда случился крымнаш, когда украинских сеошников оказалось сложно/дорого уговаривать топить против своего же государства.
Ну там есть некая грань, по мне ботоферма это что-то масштабное на аутсорсе.
Так-то нужные комментарии и местные журналисты на госконтрактах и мунициальные служащие оставляли, но это мелочь, что называется «своими силами» (я региональный околополитический портал админил, приходилось разбираться со всем этим). А вот когда новости на региональном портале массово комментируют одноразовые (зарегался, комментнул и исчез) пользователи с IP-адреса из Одессы или СПБ это нечто другое.
Так-то нужные комментарии и местные журналисты на госконтрактах и мунициальные служащие оставляли, но это мелочь, что называется «своими силами» (я региональный околополитический портал админил, приходилось разбираться со всем этим). А вот когда новости на региональном портале массово комментируют одноразовые (зарегался, комментнул и исчез) пользователи с IP-адреса из Одессы или СПБ это нечто другое.
Ну там в комплексе все. По сути обычно есть некий медиаменеджер (например тот же соловьев/киселев/канделаки или на региональном уровне — как правило владелец одного или нескольких СМИ), который берется за пиар лица или продвигаемой темы. Дальше он либо сам набирает штат (вернее он у него обычно есть), либо берет аутсорс из студентов или сеошников (если заказ масштабный), разрабатывает основную линию (тн методичку) и продвигает ее в комментах и в материалах на своих ресурсах, собирая отчеты.
«активисты» не так организованы да и не так умны чтоб гнуть куда надо, они могут быть идеологически заинтересованы и потерять контроль над беседой из-за эмоций, им и не платят ничего, но и толку от них мало.
В общем смысл такой что комментарии — это просто еще один способ публикации. Раньше джинсу у себя за деньги публиковали, теперь еще и за нужные комментарии на других сайтах деньги берут.
«активисты» не так организованы да и не так умны чтоб гнуть куда надо, они могут быть идеологически заинтересованы и потерять контроль над беседой из-за эмоций, им и не платят ничего, но и толку от них мало.
В общем смысл такой что комментарии — это просто еще один способ публикации. Раньше джинсу у себя за деньги публиковали, теперь еще и за нужные комментарии на других сайтах деньги берут.
«Не читать советских газет» — первая из методик, от классика :)
Собственно как и со спамом — не покупать то что рекламируют в спаме.
Не читать комменты незнакомцев, не читать статьи с ангажированных сайтов. Не знаю легко ли это среднему человеку.
Есть еще вариант — читать всё, тк все новости везде ангажированы, а потом среднее арифметическое выводить из этого, думать кому выгодна эта или иная публикация и почему (опасно, можно скатиться в конспирологию).
Я однажды предпочел первый вариант, тк иначе голова опухнет(стресс, депрессия) разбираться в этой ерунде и держать ее на контроле.
Собственно как и со спамом — не покупать то что рекламируют в спаме.
Не читать комменты незнакомцев, не читать статьи с ангажированных сайтов. Не знаю легко ли это среднему человеку.
Есть еще вариант — читать всё, тк все новости везде ангажированы, а потом среднее арифметическое выводить из этого, думать кому выгодна эта или иная публикация и почему (опасно, можно скатиться в конспирологию).
Я однажды предпочел первый вариант, тк иначе голова опухнет(стресс, депрессия) разбираться в этой ерунде и держать ее на контроле.
например kremlebot.rip
А еще толпы комментариев с решением вопросов связанных с государственным произволом техническими средствами
Иногда мне кажется что они вместе с ними заодно
Иногда мне кажется что они вместе с ними заодно
Прошел по ссылке https://bugzilla.mozilla.org/show_bug.cgi?id=1567114, оттуда https://atlas.ripe.net/measurements/22372655/#!probes (почему нельзя было прямую ссылку дать?), и увидел следующее:
- MITM на фейсбуке имеет корневой сертификат CN=Security Certificate.
- Корневой сертификат, предлагаемый к установке по ссылке http://qca.kz, имеет CN=Quaznet Trust Network.
Прошу добавить в статью эту информацию.
Хорошо бы еще убрать из текста эмоции, оценочные суждения и политику, неуместные на профессиональном ресурсе, но тогда от статьи вообще ничего не останется.
Я дал личную свою оценку. Имею же на нее право.
Если ты не занимаешься политикой, то политика займется тобой, как и произошло в этом случае, когда узурпировшие власть лезут в твою личную жизнь.
Если ты не занимаешься политикой, то политика займется тобой, как и произошло в этом случае, когда узурпировшие власть лезут в твою личную жизнь.
Очень мило, сначала вы притащили в интернет откровенных шизофреников-радикалов(например, один из них то требует увеличить пенсионный возраст, то требует его снизить), а потом начали ныть, что политика пришла в интернет.
да-да, именно pprometey лично тащил всех радикалов в интернет
Они не только лезут в личную жизнь, они лезут под одеяло, в туалет. Даже в штаны готовы залезть лишь бы контролировать тебя, тебе, то есть себе, во благо. И мантру в головы миллионов вбивают «послушный гражданин — хороший гражданин». И ИТ тут очень даже причём (всем кто поёт песни про чисто технический ресурс). В современном мире средством коммуникации стал интернет и государственная машина, задача которой контроль, просто не могла обойти такую нужную ей технологию. Контроль значит власть и контроль автоматически означает ограничения, то есть ухудшение качество жизни человека
См. https://bugzilla.mozilla.org/show_bug.cgi?id=1567114#c21
Вы перепутали корневой и промежуточный сертификаты в цепочке.
Объясните мне, пожалуйста, в чем проблема? Смотрю в хранилище сертификатов Windows. Там 52 каких-то сертификата лежит. Я ни один из них не устанавливал. Почему никто в связи с этим не призывает покинуть планету Земля, чтобы переселиться туда, где права человека больше уважают?
И еще я иногда прошу своих коллег поставить на свои девайсы сертификаты, чтобы они могли заходить на некоторые тестовые ресурсы. Пока еще ни один в ООН не пожаловался.
Я понятия не имею, что задумали казахстанские власти, но пока это выглядит, как попытка сделать местные госуслуги и, возможно, банки на своем собственном CA с блэкджеком.
Да-да гос. услуги, но по всем сми подносится под соусом «сертификат для безопасности», а билайн так вообще честно написали «Целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации.»
archive.is/R1GOk
archive.is/R1GOk
Уважаемые клиенты!
Настоящим уведомляем вас о том, что в соответствии с Правилами выдачи и применения сертификата безопасности операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов для возможности установки сертификата безопасности на технических средствах, имеющих доступ к Интернету.
Сертификат безопасности — это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование.
Целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации.
Инструкцию по установке сертификата безопасности на средства связи с различными типами программного обеспечения Вы можете посмотреть здесь.
Для установки сертификата безопасности перейдите по ссылке.
Семь раз повторяется «сертификат безопасности», только не уточняют для чьей именно безопасности этот сертификат…
Сертификат безопасности режима Назарбаева. Вот это правильное замечание)
Это не сертификат безопасности, это SSL-сертификат. Его безопасность зависит от Вашего доверия к конторе — с какой вероятностью она может выпустить поддельный обманный сертификат на чужой домен. Даже 1 такой случай серьёзно подрывает доверие. В данном случае вся эта контора существует ради обмана, т. к. кроме выпуска поддельных сертификатов на чужие домены она ничем больше не занимается.
Можно было бы даже подать в суд за обман в формулировках (да и законность подделки документов и сертификатов тоже под вопросом), но это Казахстан.
PS. Конечно можно и самому выпустить поддельный сертификат, но подделка становится подделкой, только когда ты пытаешься выдать её за оригинал. Если на документе будет написано, что это фейк, ничего страшного в этом нет.
Можно было бы даже подать в суд за обман в формулировках (да и законность подделки документов и сертификатов тоже под вопросом), но это Казахстан.
PS. Конечно можно и самому выпустить поддельный сертификат, но подделка становится подделкой, только когда ты пытаешься выдать её за оригинал. Если на документе будет написано, что это фейк, ничего страшного в этом нет.
А кто подменил трафик фейсбука?
Да, мне в мозилле фактуру подогнали. https://gist.github.com/darkk/8356d84eabeb472120a92b7e10626cf4
Действительно подменяют фейсбук. А на госуслугах у них другой CA. Почему-то его поставить не просят.
Один и тот же ключ в сертификате сайта и в самом CA.
Интересно, не повлияет ли это на криптостойкость?
Интересно, не повлияет ли это на криптостойкость?
X509v3 Subject Key Identifier: F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
X509v3 Authority Key Identifier: keyid:F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
Это значит, что приватный ключ уже покинул периметр безопасности инфраструктуры Root CA. Ждём, когда его будут писать на заборах и будет знать каждая собака.
Точно значит?
Вроде они только сэкономили время на генерации нового ключа.
Взяли тот же.
Если ключомм CA подписываются только сертификаты, то ключом сертификата подписывается каждое TLS соединение.
Черт его знает, чем это грозит.
Возможно, можно при установке TLS соединения попросить сервер подписать НЕЧТО своим приватным ключом, тем самым подписав новый сертификат.
Вроде они только сэкономили время на генерации нового ключа.
Взяли тот же.
Если ключомм CA подписываются только сертификаты, то ключом сертификата подписывается каждое TLS соединение.
Черт его знает, чем это грозит.
Возможно, можно при установке TLS соединения попросить сервер подписать НЕЧТО своим приватным ключом, тем самым подписав новый сертификат.
Это какие-то расширения, скорее всего, от балды заполненные. Сами ключи во всей цепочки имеют разные размеры, 4096, 2048 и 1024 бит.
Не, эти расширения важны, их нельзя от балды.
Лучше их вообще убрать, чем от балды заполнять.
Иначе свеженький серт не принимается.
Тестировал сам на Андроид.
Вы правы, я затупил :)
Единственное, что — RSA 1024 бита в MITM-сертификате это слабенько.
Лучше их вообще убрать, чем от балды заполнять.
Иначе свеженький серт не принимается.
Тестировал сам на Андроид.
Вы правы, я затупил :)
Единственное, что — RSA 1024 бита в MITM-сертификате это слабенько.
Я думаю, эти филькины грамоты никто не примет. Промежуточные сертификаты, если я не ошибаюсь, тоже в трастсторе должны лежать.
Единственное, что — RSA 1024 бита в MITM-сертификате это слабенько.
Ну это неспроста — все-таки расшифрование RSA вычислительно довольно-таки дорогая операция и если они действительно планируют перехватывать весь траффик, то их оборудованию может резко поплохеть.
Им не нужно расшифровывать RSA. Им нужно генерировать фейковые сертификаты на каждый посещаемый HTTPS сайт и подписывать его этим рутом. Чтобы браузеры, доверяющие этому руту, не ругались.
Именно так всё и происходит, TLS MITM прокси получает из SNI домен на который направляется пользователь, на лету генерит липовый сертификат на этот домен и подписывает его с помощью ключа Root CA, таким образом выстраивая цепочку доверия. Затем получает от юзера чистый незамутнённый шифрованием HTTP, и сам прокси создаёт второе подключение по реальному HTTPS уже до реального домена. Туда и отправляется HTTP полученный от юзера. Чужие приватные ключи оно получить не может.
Как показывает практика, в добавок к полной возможности читать и модифицировать трафик от/до юзеров, такие прокси имеют кучу неочевидных багов ломающих безопасность, не говоря уже о том, что на уровне государства приватные ключи моментально утекут.
Как показывает практика, в добавок к полной возможности читать и модифицировать трафик от/до юзеров, такие прокси имеют кучу неочевидных багов ломающих безопасность, не говоря уже о том, что на уровне государства приватные ключи моментально утекут.
Да ладно приватные ключи, их можно будет использовать только чтобы встать вторым митмом где-нибудь.
А вот поставить на этот казахский СОРМ сниффер на номера кредиток и кредов от гугла — это будет клондайк.
И тут уже думай, то ли прохачат и поставят такое, то ли заплатят и поставят.
А вот поставить на этот казахский СОРМ сниффер на номера кредиток и кредов от гугла — это будет клондайк.
И тут уже думай, то ли прохачат и поставят такое, то ли заплатят и поставят.
Огромная вероятность, что прохачат. А еще один больной момент — что именно будет вытаскиваться с этого plaintext траффика и куда логироваться — слить или использовать эти данные соблазн будет просто огромен — а ведь, как я понимаю, это не прописано официально ни в каком местном законе. Тут даже закон Яровой померк.
Не нужно расшифровывать RSA? Э-э-э… стесняюсь спросить, а сертификат — это по-вашему тогда что такое?) Открою страшный секрет: сертификат — это не что иное как открытый ключ RSA с некоторыми метаданными и цифровой подписью (ну или без нее) удостоверяющего. И в зависимости от выбранного шифронабора во время установления соединения он используется для обмена ключами — клиент шифрует пре-мастер ключ публичным ключом (сертификатом) и отправляет серверу, а сервер, соотвественно, расшифровывает это сообщение. Если же шифронабор использует протокол Диффи-Хеллмана, то история немного другая, но вычилительная сложность тоже приличная.
Видимо имелось в виду, что с RSA в наше время происходит только verify, а не дешифрование чего-либо (так как море известных padding oracle атак на шифрование RSA). А MITM прокси еще и подписывать надо на лету. Вот подписывание действительно сильно дороже верификации и поэтому сгенерённые на MITM сертификаты обычно кэшируют. По этой же причине на проксе будет короткоживущий сертификат с коротким ключом.
А тех, кто в наше время сесионные ключи шифрования через ассиметричное шифрование RSA создаёт надо сдавать на опыты. Как раз хорошая статья недавно попадалась blog.trailofbits.com/2019/07/08/fuck-rsa. Я уже сто лет не вижу ничего кроме E/C/DHE для сессионных ключей.
А тех, кто в наше время сесионные ключи шифрования через ассиметричное шифрование RSA создаёт надо сдавать на опыты. Как раз хорошая статья недавно попадалась blog.trailofbits.com/2019/07/08/fuck-rsa. Я уже сто лет не вижу ничего кроме E/C/DHE для сессионных ключей.
sign verify sign/s verify/s
rsa 512 bits 0.000046s 0.000003s 21622.4 338579.6
rsa 1024 bits 0.000101s 0.000006s 9889.4 157314.6
rsa 2048 bits 0.000663s 0.000022s 1509.4 45480.0
rsa 3072 bits 0.002180s 0.000043s 458.8 23342.1
rsa 4096 bits 0.004457s 0.000071s 224.4 14053.0
rsa 7680 bits 0.046729s 0.000232s 21.4 4313.8
rsa 15360 bits 0.218085s 0.000918s 4.6 1089.1
Я уже сто лет не вижу ничего кроме E©DHE для сессионных ключей.
А разницы в вычислительном плане особо нет. Ведь сам по себе DH защищает только от прослушивания, активный же атакующий может вмешаться в обмен и подменить вам ключи. Поэтому DH-хэндшейк подписыватся сервером с помощью своего ключа, а для создания подписи он вычисляет все то же m^d mod n.
Не думаю, что они прямо на лету генерят сертификаты. Проще сгененерить в первый раз при обращении к сайту, а потом уже выдавать из кэша.
Те MITM что я видел генерят и кэшируют. Хранят недолго, тк ключ короткий (генерить надо быстро). Если используется ограниченный список для MITM как в этом случае, то возможны оба подхода. Я бы всегда выбирал короткоживущие, если их вытащат с прокси, то окно применения будет минимальным.
Разница RSA->/EC/DHE самая главная в том, что ключи эфемеральные если MITM не делался в этот момент и получив RSA pkey постфактум расшифровать сессии не получится. А с RSA можно будет восстановить все записанные ранее сессии. По CPU всё верно, обычный DH так и есть, на эллиптических кривых быстрее.
Разница RSA->/EC/DHE самая главная в том, что ключи эфемеральные если MITM не делался в этот момент и получив RSA pkey постфактум расшифровать сессии не получится. А с RSA можно будет восстановить все записанные ранее сессии. По CPU всё верно, обычный DH так и есть, на эллиптических кривых быстрее.
Кстати, было бы интересно посмотреть какие шифронаборы предоставляет их mitm-прокси.
На шифронаборы в сторону сервера можно посмотреть в pcap'е. Соответствующего ServerHello у меня нет.
Справедливости ради, тот 1024-битный ключ используется при TLS key exhange.
А коротенький он скорее всего потому, что так быстрее генерить сертификат на лету.
А коротенький он скорее всего потому, что так быстрее генерить сертификат на лету.
Один и тот же ключ в сертификате сайта и в самом CA.
Так и должно быть, это же самоподписанный сертификат.
>уезжать из страны туда, где их права будут уважать больше
Зачем же уезжать… TOR можно использовать в таких условиях?
Зачем же уезжать… TOR можно использовать в таких условиях?
TOR не панацея. Он не безопасен с той точки зрения что пароли (если их вводить) могут осесть на промежуточных нодах. У меня кстати так было, от одного не очень важного сайта ввел пароль — и тут же был взломан.
Могут осесть на выходной ноде, промежуточные ноды данные просмотреть не могут.
Ага, при выходе из TOR нужен еще слой шифрования, в частности, TLS.
Но TLS тоже такое себе.
При установке TLS соединения шлется ваш timestamp и список поддерживаемых cipher suite.
Если ваше время чуть сбито, то это уже неслабый fingerprinting.
Ну и временная зона тоже сразу утекает.
Пруфлинк:
isc.sans.edu/forums/diary/Browser+Fingerprinting+via+SSL+Client+Hello+Messages/17210
Но TLS тоже такое себе.
При установке TLS соединения шлется ваш timestamp и список поддерживаемых cipher suite.
Если ваше время чуть сбито, то это уже неслабый fingerprinting.
Ну и временная зона тоже сразу утекает.
Пруфлинк:
isc.sans.edu/forums/diary/Browser+Fingerprinting+via+SSL+Client+Hello+Messages/17210
Ну, я не сказал что это очень много уж.
1. Циферы в TLS 1.3 сильно порезали, их осталось всего ничего. Так что по ним фингерпринтить не особо продуктивно. Да и с TLS 1.2 можно просто рандомно добавлять в этот список какие-нибудь suite ненужные в конец. Либо TOR Browser это уже делает, либо надо фичреквест :)
2. Про таймзону не понял. Там же unix timestamp летит, а он у всех одинаковый плюс-минус. Ну и опять же в 1.3 это выпилили.
1. Циферы в TLS 1.3 сильно порезали, их осталось всего ничего. Так что по ним фингерпринтить не особо продуктивно. Да и с TLS 1.2 можно просто рандомно добавлять в этот список какие-нибудь suite ненужные в конец. Либо TOR Browser это уже делает, либо надо фичреквест :)
2. Про таймзону не понял. Там же unix timestamp летит, а он у всех одинаковый плюс-минус. Ну и опять же в 1.3 это выпилили.
У меня по ссылке написано «local time».
Какой смысл слать unix timestamp, если он и так всем известен?
Типа не пришло ли TLS соединение из прошлого? Тогда включаем особую логику legacy? Ахаха.
Короче, я не знаю, какой в этом смысл. Хорошо, что выпилили.
TOR Browser наше все, ага.
Жаль только, что он на firefox основан.
У меня есть тяжкие думы по поводу огромного числа дырей в нем.
Какой смысл слать unix timestamp, если он и так всем известен?
Типа не пришло ли TLS соединение из прошлого? Тогда включаем особую логику legacy? Ахаха.
Короче, я не знаю, какой в этом смысл. Хорошо, что выпилили.
TOR Browser наше все, ага.
Жаль только, что он на firefox основан.
У меня есть тяжкие думы по поводу огромного числа дырей в нем.
У меня по ссылке написано «local time».Они двоечники просто :)
Какой смысл слать unix timestamp, если он и так всем известен?Там это время вообще никому нафиг не надо. Там есть 32 байта рандома и первые 4 из них по стандарту должны быть unix timestamp, якобы чтобы делать рандом более рандомным при наличии кривого ГСЧ. Но как таймштамп может улучшить ГСЧ мне совсем не ясно, учитывая что он монотонно-увеличивающийся.
Есть такое вот мемо tools.ietf.org/html/draft-mathewson-no-gmtunixtime-00 которое говорит что как раз из-за фингерпринтинга этого делать не надо.
Current versions of the TLS protocol, dating back to the SSL 3.0,
describe a gmt_unix_time field, sent in the clear, as part of the TLS
handshake. While the exact format of this field is not strictly
specified, typical implementations fill it with the time since the
Unix epoch (Jan 1, 1970) in seconds. This practice is neither
necessary nor safe.
Далеко не факт, что тор просто так заработает — для коннекта к релеям тоже TLS используется и скорее всего тору не понравится, что кто-то ему подозрительный сертификат пытается подсунуть.
Там порты другие. Тут вопрос есть ли у казахов дипиай который ищет TLS везде или они тупо 443 порт только перенаправляют.
Мне думается что последнее...
Нет, ближе к первому.
Запрос на нерелевантный IP с TCP Proxy DPI'ится в зависимости от SNI. На www.facebook.com приходит левый сертификат, а на darkk.net.ru нормальный (пока).
Интересно насколько продвинута прокся, ведь по TLS1.3 SNI тоже пойдёт в шифрованном виде. Если TLS установить на IP фейсбука без SNI, что отдаёт?
openssl s_client -connect 31.13.93.35:443Без SNI пропускает, c SNI выдаёт обезопашеный серт. См. пробник 6308.
В TLS 1.3 нет шифрованного SNI.
Шо, правда? А мужики из Cloudflare-то не знают :) /sarcasm off Может оно и не вошло в финальный стандарт (не проверял если честно еще), но уже используется. tools.ietf.org/html/draft-ietf-tls-esni-03 (и да, я знаю, что это extension, но он для TLS1.3)
Правда. Как вы сами прислали — это драфт расширения. Стабильный хром, к примеру, в него не умеет. Лиса тоже.
С этим ESNI куча подводных камней вроде необходимости пихать публичный ключ в DNS, а для этого хотелось бы DNSSEC, которого нифига нигде толком нет.
С этим ESNI куча подводных камней вроде необходимости пихать публичный ключ в DNS, а для этого хотелось бы DNSSEC, которого нифига нигде толком нет.
Без проблем настроил для своего сайта с ru доменом и cloudflare. Домен у реселлера reg.ru.
Ну что драфт это ясно, просто cloudflare уже с ним работает. И во-вторых, SNI это необязательное расширение, TLS работает и без него. Если на одном IP не хостятся несколько доменов, то он и не нужен для балансировки на правильные бэкенды. Видны подвижки чтобы скрыть из TLS максимум открытых данных и процесс с тем же cloudflare уже пошёл.
SNI это необязательное расширение, TLS работает и без него
В теории работает. На практике последние лет 5 клиентов работающих без SNI не осталось и абсолютно все его посылают в своем ClientHello.
Я не против ESNI, просто он прибит гвоздями к DNS/DNSSEC что сильно усложняет внедрение. Многие просто HTTPS то еле осилили, а тут для какой-то «мифической приватности» еще в DNS что-то пихать… не взлетит.
Мне тоже видится эта затея бесполезной, но немного по другой причине, даже для IP к которым подключились без SNI, делается параллельно скан через «openssl s_client -connect» и сервер радостно отдаёт свой CN и сертификат, который замечательно сохраняется в map'e FQDN-IP, и тут же можно дропать задержанное соединение от юзера. Вот пока это в корне не изменится, в отсутствии или шифровании SNI смысла нет. Такой скан конечно не работает там где на одном IP много доменов, но такие на грани погрешности и они обычно цензоров не интересуют.
Ну так то IP, а я про порты. Практически весь HTTPS в WWW сидит на 443 порту. И ловя SNI на нем они уже в зависимости от домена MITMят думается мне.
А слушать все порты и искать в траффике TLS больно дорого.
А слушать все порты и искать в траффике TLS больно дорого.
Зависит от количества трафика на :443. Поматчить 4 первых байта из client hello или два из TCP хэдера — на мой вкус не велика разница пока весь Client Hello в одном пакете идёт.
А цедить TLS заголовки по байтику пробовали?
Не пробовал, времени не было :-(
Ну а потом, кажется, MITM то ли выключили, то ли просто пробник мой больше его не видел.
Блин жаль.
Еще проверить бы качество их ГПСЧ.
Нужно 100500 сертов.
Еще проверить бы качество их ГПСЧ.
Нужно 100500 сертов.
Серты, кажется, кэшируются — при повторных тестах тот же зонд видел тот же тест. А доменов ограниченное количество.
Тот же Squid при реализации точно такой же схемы кеширует их на диске. Подозреваю что у казахов кальмаровая ферма где-то стоит… :)
На непатченного кальмара по ряду признаков не очень похоже. TLS-fingerprint от соединения ни на что известное не похож, да и TCP / IP заголовки тоже не оч.
Так что если и кальмар, то после глубокой переработки.
А на несуществующие домены?
Ну так там по 443 идет допустим 10% траффика, а 80% дует какой-нибудь торрент рядом. И вместо того чтобы парсить 10% тебе придется парсить 100% чтобы найти там TLS на нестандартных портах. Сомневаюсь что они это делают.
А есть какой-нибудь свежий источник про цифры? А то можно так же предположить, что по 443 идёт допусти 50% порнхаба и ютуба, и ещё немного QUIC. Ну и 5% каких-нибудь торрентов рядом. Тогда и нет никакой разницы :-)
В свежем посте в RIPE Labs я вообще не вижу p2p трафика в чарте (он только про web), поэтому цифры беру с потолка :-)
Тор здесь уже давно не работает без диких плясок с бубном.
I think both Mozilla and Google should intervene into this situation because it can create a dangerous precedent, nullifying all the efforts of encofcing HTTPS.Это какой-то эталон инфантильности — «нас тут прослушивают, пусть дядя за океаном им как-то помешает!».
Завтра вам очередная квазигосударственная IT-контора сделает национальный браузер с вшитым сертификатом и придет SMS с указанием им пользоваться. Куда вы будете жаловаться — в спортлото?
Проблемы жителей Казахстана могут решить только жители Казахстана.
Отчасти согласен. Копится подспудно гнев народа. Еще сейчас гайки позакручивают…
Да в том то и дело что если медленно гайки крутить то ничего не копится, привыкают.
Когда-то например машины были без номеров и прав водительских не надо было и даже пьяным можно было ездить, а потом потихоньку зарегулировали до нынешнего состояния, с госрегистрацией, ОСАГО и техосмотром :) Однажды примут закон что на учет машину можно поставить только имея гараж/парковочное место и никуда не денутся водители, пойдут покупать — потому что уже все зарегулировано до упора
Когда-то например машины были без номеров и прав водительских не надо было и даже пьяным можно было ездить, а потом потихоньку зарегулировали до нынешнего состояния, с госрегистрацией, ОСАГО и техосмотром :) Однажды примут закон что на учет машину можно поставить только имея гараж/парковочное место и никуда не денутся водители, пойдут покупать — потому что уже все зарегулировано до упора
Это называется поиск третьей силы, вам если что-то тяжелое сдвинуть надо вы же импользуете рычаг и ничего, ни о каком инфантилизме речь не идет...
Тем не менее, у браузеров здесь есть выбор: помочь жуликам и ворам, противодействовать или стоять и смотреть в сторону. Логичным решением было бы затруднить установку означенного сертификата. Чтобы для его установки требовалось лезть в конфиг и отключать запрет, а также чтобы при попытке установки выводилось правдивое предепреждение о последствиях установки сертификата.
Эти меры затруднят установку сертификата, снизят число пользователей с ним. И тогда правительство скорее всего пойдет на попятный, чтобы не отключать Интернет всем.
А если вы будете стоять смотреть в сторону и не мешать, тогда пользователей, установивших сертификат, будет много и внедрить отключение шифрования становится проще.
Если вы против цензуры, то думайте, что можно сделать для затруднения внедрения этой технологии. Хотя бы достоверную информацию распространять, что это за сертификат и что он делает.
Выше пишут:
Когда-то например машины были без номеров и прав водительских не надо было и даже пьяным можно было ездить, а потом потихоньку зарегулировали до нынешнего состояния, с госрегистрацией, ОСАГО и техосмотром :) Однажды примут закон что на учет машину можно поставить только имея гараж/парковочное место и никуда не денутся водители, пойдут покупать — потому что уже все зарегулировано до упора
Это не имеет никакого отношения к цензуре. Машина — это опасное средство, создающее огромный риск для окружающих, а также неудобства. Нецензурированный интернет не создает никакого риска, так как вы не можете кого-то убить через Интернет (впрочем, производители Интернета вещей, стремящиеся все к нему подключить вместо того чтобы подключать устройства к автономным локальным сетям, могут сделать это реальностью). Единственное, что хочет правительство — убирать негативную информацию про себя и бороться с проектами вроде умного голосования (что доказывается его включением в реестр).
Нецензурированный интернет не создает никакого риска, так как вы не можете кого-то убить через Интернет
А как же «Синий кит» и прочие, призывающие детей к суициду и все такое?
Только цензура, только хардкор.
И тогда правительство скорее всего пойдет на попятный, чтобы не отключать Интернет всем.
Ну я даже не знаю, что сказать…
Другое дело, что для браузеров-то ладно, сертификат можно установить. И браузером на какой-нибудь Яндекс.Диск заходить можно будет. Но с клиентом Яндекс.Диска такой номер не пройдет. И еще куча сервисов отвалится напрочь.
Атоматически фоточки не получится синхронизировать…
Про мобильные приложения молчу, их уже упоминали…
И тогда правительство скорее всего пойдет на попятныйБлажен, кто верует.
Правительство может пойти на попятный только в одном случае — если оно хочет законно остаться на следующий срок, а текущий курс не пользуется популярностью у избирателей (это, однако, подразумевает наличие честных выборов, сменяемости власти и других концепций, напрямую не относящихся к тематике этого ресурса).
«браузеры» это не люди, это просто программы, они ничего не решают.
то что правительство не обязывает устанавливать браузер (государственный хромиум собранный уже с нужным сертификатом), а обязывает установить только сертификат — всего лишь мелкий нюанс. Причем госбраузер, (возможно собирающий содержимое файлов и отправляющий куда надо), при этом обновляющийся раз в год — гораздо большая засада чем просто сертификат
политику можно победить только политикой.
то что правительство не обязывает устанавливать браузер (государственный хромиум собранный уже с нужным сертификатом), а обязывает установить только сертификат — всего лишь мелкий нюанс. Причем госбраузер, (возможно собирающий содержимое файлов и отправляющий куда надо), при этом обновляющийся раз в год — гораздо большая засада чем просто сертификат
политику можно победить только политикой.
Такое уже есть в Московском метро, как-то писал об этом. Они заменяют сертификаты на свой собственный со сроком истечения на 10 лет (или около того). В итоге все исходящие соединения, однажды принятые, будут прослушиваемыми.
Не понял, поясните, пожалуйста, подробнее
«В Московском метро предлагают фальшивые сертификаты по вай фай — пакет Яровой в движении! Учтите это, если решите их принимать — Ваши действия в Интернете потом можно будет легко отследить обычной подменой, и вы ничего не заметите т.к запрос на их принятие только в первый раз, а истекают они 2025 года — вот так то..»
По сути это подмена корневых сертификатов своими в Московском метро — можете протестировать и пойти по HTTPS где раньше не были.
Это было выяснено в 2017 году, вероятно что-то поменялось, но осадок остался и сегодня я, побывав в Москве, даже и не подумал воспользоваться WiFi в метро.
По сути это подмена корневых сертификатов своими в Московском метро — можете протестировать и пойти по HTTPS где раньше не были.
Это было выяснено в 2017 году, вероятно что-то поменялось, но осадок остался и сегодня я, побывав в Москве, даже и не подумал воспользоваться WiFi в метро.
Ваши действия в Интернете потом можно будет легко отследить обычной подменой
Что, даже потом, уже за пределами сети метрополитена? Или это только в рамках подключения к интернету через них?
Понятно, это не своим сотрудникам (что дело обычное), а пассажирам.
Без согласия пользователя корневой сертификат не установить. Но сама попытка пахнет плохо, это да.
Без согласия пользователя корневой сертификат не установить. Но сама попытка пахнет плохо, это да.
Нет, там это обычный Captive портал, никто не просит устанавливать сертификат, просто заходите в интернет через http сайт что бы они смоги сделать редирект к себе.
Ахахах, какое веселье ждет жителей KZ.
Более того, Android, начиная с 7 версии не доверяет user CA в приложениях с настройками по умолчанию.
То есть, CA и не пропишешь для того же YouTube App.
YouTube App из Google Play работать не будет и еще много чего.
Более того, Android, начиная с 7 версии не доверяет user CA в приложениях с настройками по умолчанию.
То есть, CA и не пропишешь для того же YouTube App.
YouTube App из Google Play работать не будет и еще много чего.
из статьи по ссылке:
очень интересно.
По его словам, просьба касается лишь жителей столицы.
очень интересно.
Интересно, что пока что в KZ без этого самого «сертификата безопасности» не открывается только небольшая часть внутренних ресурсов.
Пока да, еще не ясны технические последствия. Пока без этого самозаверенного сертификата не получится пользоваться сайтами электронного правительства, налогового комитета ну и всех в принципе сайтов, направленных на взаимодействие гражданина и государства. Я использую виртуальную машину для этих целей.
Мне кажется нужно кинуть инициативу по запрету въезда в эту страну под предлогом защиты ПД граждан других стран.
Ведь при использовании такой ИС ПД осядут в другой стране без ведома и согласия гражданина РФ
Значит ждите и в России...
Внезапно, пошли отмазки:
tengrinews.kz/kazakhstan_news/mojete-ustanavlivat-vitse-ministr-sertifikate-bezopasnosti-374265
Можете не устанавливать — вице-министр о сертификате безопасности
tengrinews.kz/kazakhstan_news/mojete-ustanavlivat-vitse-ministr-sertifikate-bezopasnosti-374265
Хотелось бы услышать комментарий yleo по этому поводу.
Он умеет красноречиво поддерживать отечественную криптографию.
Или РФ просто озаботилась включением своего CA в system store и давно решила этот вопрос?
Тогда все ок :) Точнее нет :)
Он умеет красноречиво поддерживать отечественную криптографию.
Или РФ просто озаботилась включением своего CA в system store и давно решила этот вопрос?
Тогда все ок :) Точнее нет :)
Не вижу связи с "отечественной криптографией".
Но меня несколько забавляет другой набор фактов:
Вот правительство Казакстана предложило (предполагаю что в соответствии со своими законами) поставить свой сертификат. Решение сомнительное по многим критериям, но озвучено явно и открыто. "Прогрессивная общественность" возмутилась и даже назвала это "атакой".
Примерно та же общественность: Не хотела замечать публикации о backdoor-е в генераторе NIST примерно до публикаций Сноудена и мягко замяла скандал по самому факту скрытой преднамеренной установки backdoor-а и прочей информации о преднамеренном внесении ошибок во всяческие openssl-и.
Более 10 лет не замечала "Патриотического акта" и сейчас примерно не замечает "Investigatory Powers Act". Упрямо не замечает, что всяческие гуглы и фейсбуки читают и перепродают все их данные, а также обязаны выдать всю инфу без какой-либо реальной защиты для не-граждан США. Ну и т.д. и т.п.
Я, конечно, не хочу сказать, что всё это хорошо (хотя, может и неизбежно). Но смешно смотреть на вой и битье казахов за их открытые действия. При том, что с другой стороны "прогрессивной общественности" давно вставили по самые гланды, и дрючат в полную силу уже несколько десятилетий ;)
Окей, спасибо за ответ. Стиль выдержан, я доволен :)
Можете сказать что-нибудь по поводу того, что используется одна и та же пара RSA ключей в CA и в генерируемых MITM-сертификатах?
Не будет ли это уязвимостью?
Например, можно ли при установке TLS соединения попросить MITM-прокси подписать НЕЧТО своим приватным ключом, тем самым подписав нам новый MITM-сертификат?
Или заставить MITM-прокси подключиться к нашему TLS-серверу снаружи KZ, скачать наш сертификат, сгенерить новый, подписать его, тем самым подписав что-то нужное нам?
gist.github.com/darkk/8356d84eabeb472120a92b7e10626cf4
X509v3 Subject Key Identifier: F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
X509v3 Authority Key Identifier: keyid:F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
Вопрос снимается, я затупил :)
Можете сказать что-нибудь по поводу того, что используется одна и та же пара RSA ключей в CA и в генерируемых MITM-сертификатах?
Не будет ли это уязвимостью?
Например, можно ли при установке TLS соединения попросить MITM-прокси подписать НЕЧТО своим приватным ключом, тем самым подписав нам новый MITM-сертификат?
Или заставить MITM-прокси подключиться к нашему TLS-серверу снаружи KZ, скачать наш сертификат, сгенерить новый, подписать его, тем самым подписав что-то нужное нам?
gist.github.com/darkk/8356d84eabeb472120a92b7e10626cf4
X509v3 Subject Key Identifier: F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
X509v3 Authority Key Identifier: keyid:F4:94:BF:DE:50:B6:DB:6B:24:3D:9E:F7:BE:3A:AE:36:D7:FB:0E:05
Вопрос снимается, я затупил :)
А почему вас удивляет, что корневой сертификат самоподписан? Это разве не стандартная схема?
Самоподписанность вроде как это нечто другое.
Тут они сэкономили время на генерации пары ключей RSA для нового MITM-сертификата.
Используют ту же пару ключей, что сгенерена для CA.
Тут они сэкономили время на генерации пары ключей RSA для нового MITM-сертификата.
Используют ту же пару ключей, что сгенерена для CA.
Насколько я вижу, пара ключей CA используется для подписи промежуточного CA, а уже промежуточным подписан facebook. Я где-то ошибаюсь?
Ой все, я затупил :)
Единственное, что — RSA 1024 бита в MITM-сертификате это слабенько.
Единственное, что — RSA 1024 бита в MITM-сертификате это слабенько.
Может лучше RTFM?
The identification MAY be based on either the
key identifier (the subject key identifier in the issuer's
certificate) or the issuer name and serial number.
The keyIdentifier field of the authorityKeyIdentifier extension MUST
be included in all certificates generated by conforming CAs to
facilitate certification path construction.
Казахам не опасны всякие гуглы и цру. Им опасны родные доморощенные «защитники отечества» от граждан.
Ну да, многие сходятся во мнении что это направлено в первую очередь против достаточно эффективной в некоторых рамках пропаганды Аблязова.
как раз таки Аблязов не так страшен и давно уже себя полностью скомпрометировал и показал свою несостоятельность. И властям это наруку, потому что пользуются этой дурной славой в своих собственных целях. Аблязов стал козлом отпущения, на которого сейчас спускают всех собак и муссируют мнение, что это из-за него, а народ и ведется. А на самом деле причины и внешние силы совершенно иные.
«Прогрессивная общественность» думаю больше доверяет американской демократии с ее стабильными правовыми институтами, чем диктатору, узурпирующему власть в стране 30 лет, и монополизировавшему экономику на более чем 146% процентов, с катастрофической бездной между богатыми и бедными.
Прогрессивная общественность (без кавычек) — это Сноуден и Ассанж, оба объявлены преступниками от лица американской демократии дерьмократии с ее стабильными правовыми институтами.
А "прогрессивная общественность" (в кавычках) наслаждается божьей росой из под своих любимых соросов и кидается на всех кто с ними плохо делится или пытается выгнать ;)
«Государство» всегда будет объявлять преступниками тех, кто против маклей «государства». По граждане не поймут, что это всего лишь обслуга, и не бывает «интересов государства», «национальной безопасности» и тому подобных химер.
И все же, пока что — американская демократия при всей ее полицещине — это лучшее, что есть в мире. наиболее приближено к единственно верной либертарианской модели. казахстан и россия рядом не валялись.
И все же, пока что — американская демократия при всей ее полицещине — это лучшее, что есть в мире. наиболее приближено к единственно верной либертарианской модели. казахстан и россия рядом не валялись.
американская демократия при всей ее полицещине — это лучшее, что есть в мире. наиболее приближено к единственно верной либертарианской моделиМир ограничивается Россией, Казахстаном и США? Где данные по всем остальным странам?
лучшее
Вы видимо сошли с ума.
единственно верной либертарианской модели
Верна тут только ваша глупость.
Да, согласен. Американская демократия тоже «не ангел». Согласен.
Но если выбирать из двух зол… то лубянский урканат с чайками и ихтамнетами и рядом не валялся…
Но если выбирать из двух зол… то лубянский урканат с чайками и ихтамнетами и рядом не валялся…
Но как сказал Черчиль — демократия это конечно дерьмовый способ управления обществом. Но лучшего способа пока не придумано. Демократия уж лучше, чем жить по уркаганским закомплексованным понятиям, по которым живут люди, управляющие Россией.
Повторюсь: "правительство Казахстана предложило (предполагаю что в соответствии со своими законами) поставить свой сертификат. Решение сомнительное по многим критериям, но озвучено явно и открыто."
В США, при необходимости послушать и/или получить данные какого-нибудь подозреваемого, есть протокол получения санкции (упрощенно: прокурор запрашивает, судья рассматривает), причем критерии и процедура разные для граждан и не-граждан. Далее это решение обязательно к исполнению всеми американскими компаниями (де-факто не только американскими).
Пока забудем про справедливость и подлинную обоснованность. Суть в том, что в США и для США этот механизм работает хорошо (во многом потому, что почти все "фейсбуки" и "вотсапы" гнездятся в США).
Для РФ этот механизм (видимо) работает с приемлемой эффективностью — подозреваемых в терроризме нам (видимо) сдают, а "павленсиких" и оппозицию никто не трогает (начиная с "Эха Москвы").
А для условного "Казахстана" это не работает на нужном им уровне, поэтому происходят (и будут продолжаться) подобные "закидоны". Рассуждать насколько хорошо/плохо делает их правительство я не хочу (озвучил в самом начале).
…
Но почему аборигены съели Кука?
За что — неясно, — молчит наука.
Мне представляется совсем простая штука:
Хотели кушать — и съели Кука.
…
Кому-то под руку попался каменюка, — Метнул, гадюка, и нету Кука.
А дикари теперь заламывают руки,
Ломают копья, ломают луки,
Сожгли и бросили дубинки из бамбука, — Переживают, что съели Кука.
/ Владимир Высоцкий, 1976
Вы постоянно передергиваете.
Акты, на которые вы ссылаетесь, не действуют. Один заблокирован судом, второй давно отменен.
Слежка за гражданами США возможна только через суд, иначе это преступление. И получить такую санкцию совсем не просто. Ну может только санкции на отслеживание самого факта телефонного разговора (без содержания, только номера) получить несложно (но тоже через суд).
Нарушают ли службы безопасности закон? Да наверняка. Только всплывшее нарушение — это скандал. Ситуация очень далека от «слушаю кого хочу».
То, что гуглы и фейсбуки собирают и перепродают пользовательские данные, все замечают, и это много обсуждается.
плюс правоприменительная практика в САШ и Казахстане сильно разная.
И в любом случае, даже если бы Акты действовали, всему этому очень далеко до Казахского варианта.
Вы предвзяты.
Акты, на которые вы ссылаетесь, не действуют. Один заблокирован судом, второй давно отменен.
Слежка за гражданами США возможна только через суд, иначе это преступление. И получить такую санкцию совсем не просто. Ну может только санкции на отслеживание самого факта телефонного разговора (без содержания, только номера) получить несложно (но тоже через суд).
Нарушают ли службы безопасности закон? Да наверняка. Только всплывшее нарушение — это скандал. Ситуация очень далека от «слушаю кого хочу».
То, что гуглы и фейсбуки собирают и перепродают пользовательские данные, все замечают, и это много обсуждается.
плюс правоприменительная практика в САШ и Казахстане сильно разная.
И в любом случае, даже если бы Акты действовали, всему этому очень далеко до Казахского варианта.
Вы предвзяты.
Вы постоянно передергиваете.
Акты, на которые вы ссылаетесь, не действуют. Один заблокирован судом, второй давно отменен.
Нет.
Перечитайте комментарий и поправьтесь, иначе дискуссия теряет смысл.
Ссылки были даны именно для корректности, а смысл не в том "как сейчас", а в разнице реакции.
Слежка за гражданами США возможна только через суд, иначе это преступление.
Да, но в случаях Сноудена и Ассанжа прямо и явно преступниками названы люди раскрывшие "скандалы", а о судах и приговорах для организаторов я не слышал.
Для меня этих примеров действий (а не слов) достаточно чтобы оценить "качество" суда и "правоприменительной практики" США (это не считаю остальных off-topic-ов: Сербии, Гуантанамо, Ирака, Ливии, пробирки в СБ ООН и т.д.).
Вы предвзяты.
Имею мнение и не мечу в судьи.
Нет.
Перечитайте комментарий и поправьтесь, иначе дискуссия теряет смысл.
Ссылки были даны именно для корректности, а смысл не в том «как сейчас», а в разнице реакции.
Ну смотрите — на каждый из Актов общественность отреагировала отрицательно. Поэтому, наверное, у них и судьба такая.
Если же вы имеете в виду народ на хабре, то тут сказать затрудняюсь. давно было, да и не читаю тут все подряд.
Слежка за гражданами США возможна только через суд, иначе это преступление.
Да, но в случаях Сноудена и Ассанжа прямо и явно преступниками названы люди раскрывшие «скандалы», а о судах и приговорах для организаторов я не слышал.
Насколько я помню, скандалы скандалы касались действий развед. служб по отношению к гражданам других государств. Может я что-то упустил, тогда скажу отсторожнее — почти все скандалы.
это не считаю остальных off-topic-ов: Сербии, Гуантанамо, Ирака, Ливии, пробирки в СБ ООН
не буду спорить, т.к. другая тема с потенциалом занять весь остаток воскресенья. Но советую проверить факты про пробирку и ирак. Остальное оценки.
Вы предвзяты.
Имею мнение и не мечу в судьи.
Я не об этом. Конечно, вы имеете мнение. Я только призываю вас не позволять мнению слишком уж фильтровать факты. Про любого человека, страну, явление культуры можно набрать совершенно противоположные факты. Достаточно поставить на вход своего сознания фильтр информации — и готово. Как показывает ваша реплика, вы не любите америку. Это нормально, кто-то любит, кто-то нет. Но ваша нелюбовь сильно и предвзято фильтрует информацию. Это моя оценка, конечно, можете не обращать внимание.
Чтобы не видеть, что правоохранителям США сложнее следить за гражданам, чем в Казахстане, это надо зажмуриться. Американскому следователю, чтобы получить разрешение на прослушку, нужно получить согласование начальства на высоком уровне, согласование прокураторы на высоком уровне и сделать серьезное обоснование для суда.
Хотя, конечно, вы можете привести примеры, как в США сажают не за что. Я и сам такие примеры могу привести. Как прокуроры (кажется, даже Мюллер замешан был) сажали невиновных, чтобы скрыть свои огрехи в работе.
Накидаю еще ссылок в англоязычном интернете по этой теме.
www.reddit.com/r/programming/comments/cew2xm/mitm_on_all_https_traffic_in_kazakhstan
news.ycombinator.com/item?id=20472179
И даже в английской википедии засветились en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
www.reddit.com/r/programming/comments/cew2xm/mitm_on_all_https_traffic_in_kazakhstan
news.ycombinator.com/item?id=20472179
И даже в английской википедии засветились en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack
В 2015 KZ пытались протащить свой CA в список доверенных.
Но они это делали открыто и поэтому не вышло.
В следующий раз аккуратно зарегают All Seeing Eye LLC, подождут годик-два, и пошлют вежливый запрос добавить их CA.
Но они это делали открыто и поэтому не вышло.
В следующий раз аккуратно зарегают All Seeing Eye LLC, подождут годик-два, и пошлют вежливый запрос добавить их CA.
Если еще не
Для этого гуглы и прочие придумали certificate pinning. Подозреваю что прецеденты были уже.
Вроде бы есть еще круче вещь.
Публичный список валидных сертификатов.
Вот если бы каждый серт проверять по этому списку… это было бы воплне решение.
Публичный список валидных сертификатов.
Вот если бы каждый серт проверять по этому списку… это было бы воплне решение.
Публичные списки всех выпущенных рядом CA сертификатов — Certificate Transparency Log (н. https://crt.sh/) — важен только для нормальных CA (для публичного отслеживания невыпуска дублирующих сертификатов для домена). Этот лог могли бы проверять браузеры (mozilla размышляет, chrome проверяет для свежих сертификатов), но у mitm никакого лога скорее всего не будет. (кроме того у CT log есть проблемы и есть желающие редактировать кусочки лога — https://wiki.mozilla.org/CA/CT_Redaction https://tools.ietf.org/html/draft-strad-trans-redaction-01)
От политической проблемы "MITM" с ручным добавлением недо-CA в доверенные технологическое решение "CT Log" не спасает, т.к. браузеры доверяют таким сертификатам ("your system administrator has installed local trust anchors"), отключая pinning и hsts (видимо не хотели терять корпоративный рынок с закупленными DLP) — https://chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md#why-does-chrome-show-a-green-lock_even-if-my-https-connection-is-being-proxied
Since you have allowed the trust anchor to be installed onto your computer, Chrome assumes that you have consented to HTTPS interception
Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.
The mechanism was deprecated by the Google Chrome team in late 2017 because of its complexity and dangerous side-effects. Google recommends using the Expect-CT as a safer alternative.
— https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
вроде уже не работает
Да какая это слежка?
Давно известный факт, еще с момента появления писем, телефона и телеграфа — не передавайте по сетям связи конфиденциальных данных. Встречайтесь лично и ведите переговоры.
Вот видеокамеры натыканные везде, и частниками и государством — это слежка.
А телефоны, мессенджеры, интернет — пользователь добровольно сливает свои данные, чего плакаться, то?
Давно известный факт, еще с момента появления писем, телефона и телеграфа — не передавайте по сетям связи конфиденциальных данных. Встречайтесь лично и ведите переговоры.
Вот видеокамеры натыканные везде, и частниками и государством — это слежка.
А телефоны, мессенджеры, интернет — пользователь добровольно сливает свои данные, чего плакаться, то?
Полагаю банковской карты у вас нет и электронной почтой в работе вы не пользуетесь? Почему бы вам не выложить прямо сюда пароль от аккаунта на хабре, раз вы всеравно отрицаете необходимость приватности данных в интернете.
Окей, как и для всех «мне нечего скрывать»:
[Шутки за 300]
Откройте свою wifi точку доступа и скажите где живёте. Мне что-то очень сильно захотелось картон повбивать, скачать парочку центральных процессоров и помочь в организации daeshfest-а
[/Шутки]
[Шутки за 300]
Откройте свою wifi точку доступа и скажите где живёте. Мне что-то очень сильно захотелось картон повбивать, скачать парочку центральных процессоров и помочь в организации daeshfest-а
[/Шутки]
Ну, чтобы это не называть слежкой, должно быть официально объявлено, что данные пользователя будут читаться. Чтобы это поняла любая домохозяйка. Навернйка ведь в конституции Казахстана есть что-то про тайну переписки.
И граждане вправе ожидать, что их сообщения не читаются.
Ну па если закон о чтении персональных данных примут, то может это и не слежка уже будет. Может, точнее будет сказать «открытая перлюстрация».
И граждане вправе ожидать, что их сообщения не читаются.
Ну па если закон о чтении персональных данных примут, то может это и не слежка уже будет. Может, точнее будет сказать «открытая перлюстрация».
Есть ли этот статья в фейсбуке хабра есть?
Власть, которая просит такое, должна быть свергнута
"— Вот так и умирает свобода — под гром аплодисментов " под звуки уведомлений об смс.
Шикарная цитата — но пришлось гуглить источник. Оставлю здесь для других.
Как на это реагируют в самом Казахстане? Кто-нибудь пытается объяснить обычным людям, как это работает и к чему приведёт? Кто-нибудь протестует?
Объясните как работают эти сертификаты.
Когда пользователь открывает в своём браузере facebook.com, то сервер facebook.com при создании защищённого канала между собой и пользователем предоставляет публичный ключ и сертификат, подписанный удостоверяющим центром, которому доверяет браузер пользователя. Если третья сторона (например, провайдер или работодатель) вмешается в соединение, заставив свой (перехватывающий) сервер отвечать на запросы вместо facebook.com, то возможны следующие сценарии:
1) перехватывающий сервер содержит копию сертификата, но его публичный ключ не совпадает с ключом facebook.com — браузер обнаружит несоответствие сертификата и ключа, заблокирует доступ;
2) перехватывающий сервер содержит копию и сертификата, и публичного ключа с facebook.com — браузер ничего не заметит, но и перехватчик не сможет расшифровывать трафик, ведь у него нет секретного ключа;
3) перехватывающий сервер содержит свою пару (публичный+секретный) ключей и свой (самоподписанный) сертификат — браузер не будет доверять удостоверяющему центру, выпустившему сертификат, поэтому доступ будет заблокирован.
Чтобы сценарий №3 устроил браузер, он должен доверять УЦ. Если пользователь скачает сертификат самого УЦ, и вручную добавит его в ОС и/или в браузер, то соединение будет установлено, а перехватчик сможет просматривать и даже модифицировать проходящий через него трафик. Такой приём используется системами предотвращения утечек информации, антивирусами, некоторыми инструментами для аудита безопасности.
1) перехватывающий сервер содержит копию сертификата, но его публичный ключ не совпадает с ключом facebook.com — браузер обнаружит несоответствие сертификата и ключа, заблокирует доступ;
2) перехватывающий сервер содержит копию и сертификата, и публичного ключа с facebook.com — браузер ничего не заметит, но и перехватчик не сможет расшифровывать трафик, ведь у него нет секретного ключа;
3) перехватывающий сервер содержит свою пару (публичный+секретный) ключей и свой (самоподписанный) сертификат — браузер не будет доверять удостоверяющему центру, выпустившему сертификат, поэтому доступ будет заблокирован.
Чтобы сценарий №3 устроил браузер, он должен доверять УЦ. Если пользователь скачает сертификат самого УЦ, и вручную добавит его в ОС и/или в браузер, то соединение будет установлено, а перехватчик сможет просматривать и даже модифицировать проходящий через него трафик. Такой приём используется системами предотвращения утечек информации, антивирусами, некоторыми инструментами для аудита безопасности.
подписанный удостоверяющим центром, которому доверяет браузер пользователя
Изначально тухлая тема, конечно.
Спасибо за разъяснения! (не все тут в IT работают)
Секретный ключ для каждого пользователя индивидуальный и генерируется на устройстве с помощью публичного ключа и сертификата (оба для всех одинаковы)? Или это по другому работает? Ведь наверное для расшифровки трафика нужен именно он.
Секретный ключ для каждого пользователя индивидуальный и генерируется на устройстве с помощью публичного ключа и сертификата (оба для всех одинаковы)? Или это по другому работает? Ведь наверное для расшифровки трафика нужен именно он.
На самом деле всё несколько сложнее.
Когда браузер использует https, то пара публичный/секретный ключ может находится либо только на сервере (обычно именно так и происходит), либо и на клиенте тоже — тогда не только клиент может проверить подлинность сервера, но и сервер может проверить подлинность клиента (в этом случае у каждого клиента есть своя пара ключей и свой сертификат).
Эти пары ключей используются только в самом начале установки соединения. Затем стороны договариваются об используемом шифронаборе и передают друг другу случайные числа, позволяющие им сформировать сеансовый (симметричный) ключ, которым и будут зашифрованы «полезные» данные.
Как правило не имеет смысла реализовывать сервер таким образом, чтобы ключи и сертификаты генерировались на сервере для каждого пользователя. Ведь для шифрования пользовательских данных всё равно используется сеансовый ключ, который случайный. Системы перехвата/проксирования трафика могут хотеть генерировать сертификаты «на лету» — ведь они не знают заранее, куда захочет пойти пользователь.
Протокол шифрования может быть устроен таким образом, что имея полную запись всего соединения и секреные ключи будет невозможно восстановить сеансовый ключ (если, конечно, одна из сторон не записала его или те случайные числа, с помощью которых он был сгенерирован). Поэтому для расшифровки трафика при MiTM приходится не только слушать обе стороны, но и активно вмешиваться — MiTM для клиента выглядит, как сервер, для сервера, как клиент, и занимается перешифровкой трафика. В этом случае перехватчик знает все случайные числа и сеансовый ключ, так как сам активно участвовал в их генерации.
Когда браузер использует https, то пара публичный/секретный ключ может находится либо только на сервере (обычно именно так и происходит), либо и на клиенте тоже — тогда не только клиент может проверить подлинность сервера, но и сервер может проверить подлинность клиента (в этом случае у каждого клиента есть своя пара ключей и свой сертификат).
Эти пары ключей используются только в самом начале установки соединения. Затем стороны договариваются об используемом шифронаборе и передают друг другу случайные числа, позволяющие им сформировать сеансовый (симметричный) ключ, которым и будут зашифрованы «полезные» данные.
Как правило не имеет смысла реализовывать сервер таким образом, чтобы ключи и сертификаты генерировались на сервере для каждого пользователя. Ведь для шифрования пользовательских данных всё равно используется сеансовый ключ, который случайный. Системы перехвата/проксирования трафика могут хотеть генерировать сертификаты «на лету» — ведь они не знают заранее, куда захочет пойти пользователь.
Протокол шифрования может быть устроен таким образом, что имея полную запись всего соединения и секреные ключи будет невозможно восстановить сеансовый ключ (если, конечно, одна из сторон не записала его или те случайные числа, с помощью которых он был сгенерирован). Поэтому для расшифровки трафика при MiTM приходится не только слушать обе стороны, но и активно вмешиваться — MiTM для клиента выглядит, как сервер, для сервера, как клиент, и занимается перешифровкой трафика. В этом случае перехватчик знает все случайные числа и сеансовый ключ, так как сам активно участвовал в их генерации.
Раз есть некая сущность, которая делает MiTM, значит происходит обработка информации какой-то программой. Допустим, пользователь установил себе сертификат, установил соединение с удалённым севером и отправил туда запрос, на который удалённый сервер ответил.
Пусть в процессе обработки ответа от удалённого сервера, программная реализация MiTM начала вести себя не так, как задумали её авторы — например, банально упала (или, хуже того, начала исполнять код, копирующий весь транзитный трафик куда-то).
Будет ли такое поведение нарушать закон, если ситуация не была результатом злого умысла и/или сговора между сторонами? Кто будет виноват с точки зрения закона — разработчик MiTM, оператор клиента, оператор сервера? Как изменится ситуация, если будет доказано, что ситуация возникает только из-за недостаточно совершенной «прозрачности» MiTM?
Пусть в процессе обработки ответа от удалённого сервера, программная реализация MiTM начала вести себя не так, как задумали её авторы — например, банально упала (или, хуже того, начала исполнять код, копирующий весь транзитный трафик куда-то).
Будет ли такое поведение нарушать закон, если ситуация не была результатом злого умысла и/или сговора между сторонами? Кто будет виноват с точки зрения закона — разработчик MiTM, оператор клиента, оператор сервера? Как изменится ситуация, если будет доказано, что ситуация возникает только из-за недостаточно совершенной «прозрачности» MiTM?
А у нас есть что-то похожее)) У МГТС и МТС. Без корневых сертификатов, правда…
Это шутка? У меня android 9 с DNS over TLS на 1.1.1.1 (вернее там на ipv6 посылается, но не суть). Тем более МГТС не модифицируют DNS запросы со своих серверов, а действует вот так: habr.com/ru/post/335436
root@kali:~# dig @62.112.113.170 rutracker.org
; <<>> DiG 9.11.5-P4-5.1-Debian <<>> @62.112.113.170 rutracker.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19816
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;rutracker.org. IN A
;; ANSWER SECTION:
rutracker.org. 220 IN A 195.82.146.214
;; Query time: 5 msec
;; SERVER: 62.112.113.170#53(62.112.113.170)
;; WHEN: Sat Jul 20 07:50:14 MSK 2019
;; MSG SIZE rcvd: 58туда
А куда? Туда, где, вроде как, недавно отменили magna carta и habeas corpus? Или туда, где последние лет 50 идет война? Где же этот рай на земле, где все права человека соблюдаются?
Куда? Ну хотя бы в первые 50 стран по этому рейтингу — РЕЙТИНГ СТРАН МИРА ПО УРОВНЮ ПОЛИТИЧЕСКИХ И ГРАЖДАНСКИХ СВОБОД по версии Freedom House.
Ну лично мой выбор — Нидерланды либо Канада. Австралия тоже — симпатичная страна.
Ну лично мой выбор — Нидерланды либо Канада. Австралия тоже — симпатичная страна.
Австралия тоже — симпатичная страна.habr.com/ru/company/globalsign/blog/432680
«Как это стало в Казахстане»
Шо таки уже стало? Google без сертификата не открывается?
Или так просто, заголовок ради просмотров и плюсиков?
Шо таки уже стало? Google без сертификата не открывается?
Или так просто, заголовок ради просмотров и плюсиков?
Да, фейсбук не открывается, ютуб. гугл. В целом интернет отказывается работать. Подключаешь VPN — все отлично.
А http-сайты? СМС пришла только вам, или знакомым тоже? Какой у вас регион?
Просто это я к чему. Кызылординская область, билайн — всё в порядке. Эта тема мусолится с 16-го года. И уведомления приходили, и в прессе писали, но на том всё и кончилось. Если решаете её поднять, то будьте добры технических деталей. Укажите провайдера (окей, судя по скриншоту, это Теле-2), регион, скриншоты заблокированного гугла, лог трафика, сам сертификат — вот это всё интересно. А сейчас это не статья, а одни эмоции — кто кому заплатил, и «пора валить» — провокация в чистом виде. На месте модераторов я бы отправлял такое в черновики на доработку. Не в обиду, я понимаю и тоже на эмоциях был, когда порносайты через Казахтелеком открываться перестали.
С того же сайта:
«Можете не устанавливать: вице-министр о сертификате безопасности»
Просто это я к чему. Кызылординская область, билайн — всё в порядке. Эта тема мусолится с 16-го года. И уведомления приходили, и в прессе писали, но на том всё и кончилось. Если решаете её поднять, то будьте добры технических деталей. Укажите провайдера (окей, судя по скриншоту, это Теле-2), регион, скриншоты заблокированного гугла, лог трафика, сам сертификат — вот это всё интересно. А сейчас это не статья, а одни эмоции — кто кому заплатил, и «пора валить» — провокация в чистом виде. На месте модераторов я бы отправлял такое в черновики на доработку. Не в обиду, я понимаю и тоже на эмоциях был, когда порносайты через Казахтелеком открываться перестали.
С того же сайта:
… проблемы с доступом к Интернету могут появиться у астанчан из-за «технических работ, направленных на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз» (...) В министерстве извинились за временные неудобства.
«Можете не устанавливать: вице-министр о сертификате безопасности»
Ты точно все прочитал, прежде чем написать комментарий?
В статье я дал ссылку, в ней написано что это «пилотный проект для жителей Нурсултана (Астаны)», так что да, готовься. Скоро и до Кызылорды доберется эта ущербная практика.
Насчет формы подачи материала и недостатка технических деталей. Технических деталей я дал достаточно по ссылке на багзиллу. (опять же к вопросу о прочтении статьи и ссылок к ней приложенных, прежде чем писать комментарии)
У меня такое ощущение, что ты как из берлоги вылез ей богу. Весь казнет на ушах стоит. Самая обсуждаемая тема. А ты тут делаешь вид, мол это я все придумал, истерю понапрасну, делаю их мухи слона.
В таких ситуациях обычно в интернете отпускают второсортные шутки из разряда мол «с подключением» или «я рад что до вашей деревни довели интернет» ну и все в таком роде.
В статье я дал ссылку, в ней написано что это «пилотный проект для жителей Нурсултана (Астаны)», так что да, готовься. Скоро и до Кызылорды доберется эта ущербная практика.
Насчет формы подачи материала и недостатка технических деталей. Технических деталей я дал достаточно по ссылке на багзиллу. (опять же к вопросу о прочтении статьи и ссылок к ней приложенных, прежде чем писать комментарии)
У меня такое ощущение, что ты как из берлоги вылез ей богу. Весь казнет на ушах стоит. Самая обсуждаемая тема. А ты тут делаешь вид, мол это я все придумал, истерю понапрасну, делаю их мухи слона.
В таких ситуациях обычно в интернете отпускают второсортные шутки из разряда мол «с подключением» или «я рад что до вашей деревни довели интернет» ну и все в таком роде.
Астана, Актив. С утра телефон на mailru, instagram, facebook, vk ругается на подмену сертификатов.
Интересно, а если позвонить оператору, прикинуться шлангом и попросить отключить эту "услугу"?)
ИМХО лучше наехать на то, что «инт0рнет поломали», без уточнения подробностей.
В киселе дурочку включают «а вы поставили сертификат безопасности… есть закон… и тп». На что просто отвечаю закон для вас, а я не обязан ставить ваш сертификат. На вопрос «как ваш сертификат обеспечивает мою безопасность?» — сливаются. )
приложения не работают или только браузер?
vpn по 443 порту будет работать интересно?
А вот очень интересно…
Что насчёт onion?
Внедрили mitm на верхнем уровне… А внутри очередной шифрованный трафик, в следующем слое.
Добавить затем ещё один слой (или лучше два, раз самый верхний уже ганантированно прослушивается) — и по сути tor выходит...
Весьма удивительно, на уважаемом IT ресурсе, читать про «готовьтесь» и «уезжать из страны». Вроде бы тут все IT-шники, такие умные статьи пишете, наполненные непонятными словами…
И это всё, что вы можете предложить от MITM?
Других достойных «лекарств», учёное хабрасообщество ни предложить, ни разработать не в состоянии?
Хотя казалось бы…
И это всё, что вы можете предложить от MITM?
Других достойных «лекарств», учёное хабрасообщество ни предложить, ни разработать не в состоянии?
Хотя казалось бы…
Организационные проблемы не решаются техническими методами. Можно с переменным успехом пытаться бороться с симптомами, но первопричина от этого нисколько не исчезнет.
Даже самый хитрый ответ в виде децентрализованных меш сетей с e2e шифрованием, полной анонимизацией и выходом в мир через лазерные каналы всегда можно просто напросто запретить. Все оборудование и софт объявить незаконными, устроить принудительные проверки всех устройств по субботам. Всех причастных попересажать.
Так что да — варианта всего 3. Смена власти, трактор или жить без интернета. Первый вариант маловероятен. Вот и остались "Уезжать из страны" и "Готовьтесь".
Расскажите об этом тем, кто Денуво взламывал. Она тоже неприступной считалась.
Всё с вами (хабром) понятно, снобизма хоть отбавляй, а толку ноль. Тоже мне, «IT сообщество»…
Всё с вами (хабром) понятно, снобизма хоть отбавляй, а толку ноль. Тоже мне, «IT сообщество»…
Денуво, кстати, это чисто техническое решение. Однако взлом денуво нисколько не помог тем, кого судят за пиратство.
Этот mitm — это не аналог денуво, который частники пилят сами себе для поднятия мифической недополученной прибыли, это государство лезет в квартиру к гражданам. Вы можете поствить более надежный замлк или более прочную дверь — от "откройте, полиция" это не спасет.
Взлом Денуво, это пример работы над проблемой, которую считали неразрешимой (в большей или в меньшей степени, не суть важно). И её решили. Так кому же ещё заняться проблемой нейтрализации MITM, как не айтишникам? Тем, кто знает информационные технологии изнутри и в мелких подробностях? Чтобы «открыли полиции» дверь, а та ничего не увидела.
Я вот не рассчитываю, что появится Честный и Порядочный Руководитель, который вдруг скажет — «Ой, зря мы это натворили, давайте уберём!». Скорее всего, MITM как зараза, распространится на весь остальной интернет. В том числе и на те страны, в которые сейчас предлагают уехать. И что тогда предложите делать? Расслабиться и получать удовольствие?
Может всё-таки стоит, озадачиться этим вопросом прямо сейчас?
Я вот не рассчитываю, что появится Честный и Порядочный Руководитель, который вдруг скажет — «Ой, зря мы это натворили, давайте уберём!». Скорее всего, MITM как зараза, распространится на весь остальной интернет. В том числе и на те страны, в которые сейчас предлагают уехать. И что тогда предложите делать? Расслабиться и получать удовольствие?
Может всё-таки стоит, озадачиться этим вопросом прямо сейчас?
MITM через установку CA — это часть существующей практики.
Так работают локальные прокси в бизнесе (конторы, банки, университеты, ...) и так далее.
Как вы предлагаете с этим бороться? Разрабатывать новый PKI? Отличная идея!
Что вообще за истеричная попытка сместить фокус с проблем KZ на IT-сообщество? :)
Так работают локальные прокси в бизнесе (конторы, банки, университеты, ...) и так далее.
Как вы предлагаете с этим бороться? Разрабатывать новый PKI? Отличная идея!
Что вообще за истеричная попытка сместить фокус с проблем KZ на IT-сообщество? :)
Взлом Денуво, это пример работы над проблемой, которую считали неразрешимой
Еще раз повторю: убивание интернета государством — это не техническая проблема и техническими методами она неразрешима. Я не говорю, что она неразрешима вообще. Через восстание, например — вполне.
Эти самые сертификаты и https — это как раз было техническое решение прошлых проблем, в том числе и любобытных правительств. Теперь мы пришли к тому, что вся эта система отменена одним росчерком пера.
В Казахстане и так катастрофическая статистика по миграции из страны, причем самых интеллектуально развитых слоев населения. Мозги утекают со страшно силой, и это общепризнанная проблема. Недавно только на несколько публикацией в прессе со стат. данными натыкался по этому поводу.
Власть достаточно топорно пытается бороться с усилением протестных настроений, и повышением протестной активности. Самый «опасный» для них в этом отношении регион — Астана (Нурсултан). Только недавно прокатилась волна митингов. Раньше такого не было. Узурпаторы и их подельники напряглись не на шутку. И судя по вектору атаки, это дурацкое решение направлено в первую очередь на каналы пропаганды Аблязова, который с переменной эффективностью выводит людей на улицы, которые уже доведенные до отчаяния нищетой и отсутствием нормальных условий жизни (минимальных). Которые уже устали бояться.
Но этот процесс такими методами не остановить, активность все равно будет расти, и чем больше будут пытаться перекрыть каналы пропаганды, тем более привлекательной ее сделают. Единственное чего добьются еще большей миграции «мозговых клеток» из Казахстана.
P.S. Вот откуда на самом деле растут ноги у этого сертификата
Люди кричат — «Бостандык». По казахски это значит «Свобода».
Власть достаточно топорно пытается бороться с усилением протестных настроений, и повышением протестной активности. Самый «опасный» для них в этом отношении регион — Астана (Нурсултан). Только недавно прокатилась волна митингов. Раньше такого не было. Узурпаторы и их подельники напряглись не на шутку. И судя по вектору атаки, это дурацкое решение направлено в первую очередь на каналы пропаганды Аблязова, который с переменной эффективностью выводит людей на улицы, которые уже доведенные до отчаяния нищетой и отсутствием нормальных условий жизни (минимальных). Которые уже устали бояться.
Но этот процесс такими методами не остановить, активность все равно будет расти, и чем больше будут пытаться перекрыть каналы пропаганды, тем более привлекательной ее сделают. Единственное чего добьются еще большей миграции «мозговых клеток» из Казахстана.
P.S. Вот откуда на самом деле растут ноги у этого сертификата
Люди кричат — «Бостандык». По казахски это значит «Свобода».
Похоже, что готовиться россиянам не надо, там уже давно в полный рост всё работает, правда не топорно через MITM, а более деликатно, что создаёт иллюзию безопасности. Вот, например: habr.com/ru/news/t/460791
Я, конечно, понимаю, что минусаторам обидно, однако тенденция следующая: электропочту в России хотят сделать по талонам. m.vz.ru/news/2019/7/23/988881.html
Не только готовиться, а уже принят. Готовиться теперь надо всем нам, кто за это будет платить своими деньгами и правами. Запрет зарубежных сайтов и всеобщий VPN: новые сюрпризы суверенного рунета
Ну в Казахстане про сертификат в 2016 году тоже так думали. Когда первый только ввели, и заговорили о том, что случилось в сабже.
Предупрежден, значит вооружен.
Предупрежден, значит вооружен.
habr.com/ru/news/t/460579/#comment_20416895
Астана, Актив. С утра телефон на mailru, instagram, facebook, vk ругается на подмену сертификатов.
собсна, если вы на хабре, фб, ок, вк, линке, это уже распривачивание
Министр цифрового развития, оборонной и аэрокосмической промышленности РК Аскар Жумагалиев в кулуарах заседания Правительства рассказал журналистам, почему нужно устанавливать сертификат безопасности на мобильное устройство:
- защищает детей (с козырей заходит, гад!)
- спасает от вирусов (внезапно!)
Ну можно сделать «единый национальный антивирусник» у того мужика посередине.
Про эксперимент с TOM Skype слышали? Так что национальный антивирусник, сливающий данные юзера и что он пишет на клавиатуре — уже тоже не будет новым :)
Последние новости по теме Согласно отчету Censored Planet, настоящее время в Казахстане перехватывается трафик 37 доменов, включая популярные социальные сети и web-сайты, в том числе Facebook, Twitter, Instagram, YouTube, Google и VK (полный список представлен в отчете).
Подробнее: www.securitylab.ru/news/500047.php?fbclid=IwAR09EB-760DUibANiPIUyGWAKyEU7iUoQA-wUYQ67z4zb4xNrNjxP2L7cBw
Подробнее: www.securitylab.ru/news/500047.php?fbclid=IwAR09EB-760DUibANiPIUyGWAKyEU7iUoQA-wUYQ67z4zb4xNrNjxP2L7cBw
Уже нет:
В Комитете национальной безопасности заявили об успешном завершении тестирования применения сертификата безопасности и создании системы по предотвращению киберугроз как в кибер, так и информационном пространстве, сообщает пресс-служба ведомства.
В комитете заявили о прекращении тестирования с 7 августа.
«В ближайшее время на официальном сайте будут размещены инструкции по удалению сертификата безопасности с личных устройств», – отметили в пресс-службе КНБ
Отыграли назад. Но по сути ничего не изменилось. Будут искать способ впарить этот сертификат всем. И так же глушить интернет, когда будет пахнуть жаренным.
Интересно, по какой реальной причине они вынуждены были приостановить MitM?
Есть слабая надежда, что по политической. Или я слишком оптимистичен?
Думаю они просто обосрались. И это главная причина. Никто не стал устанавливать этот сертификат добровольно. Единственный способ заставить людей устанавливать сертификат — это создавать проблемы в доступом в сети. Они периодически это делали, но не получилось должного эффекта. Люди все равно не устанавливали, а стали активно учиться пользоваться VPN. Плюс — это все деньги ведь. Скажем так — не взлетел. Тут было два пути — форсировать события — но слишком высока цена, как в политическом плане, так и экономическом. Пока отыграли назад. Но дела это сильно не меняет. Как отключали интернет при прямых эфирах Аблязова (это типа «главный оппонент режима») так и будут это делать. Как отключали интернет в местах проведения митингов, так и будут отключать. И будут дальше искать способы усиления цензуры. Пока будет править клептократический режим Назарбаева и других авторитарных говноедов, вектор развития казахстанского интернета не поменяется.
Но случай показательный — он отражает реальный уровень эффективности пропаганды. И этот случай показывает что эффективность — крайне низка. Люди не верят власти, и не спроста. Как говорится на ошибках учатся. Весной Назарбаев «зуб дает» что девальвации не будет, а в конце лета доллар взлетает на 100%. И как верить после этого узурпаторам?
А почему так важно не дать посмотреть именно _прямой_эфир_ оппонента? А через час-два запись на том же ютубе (прямой эфир на нем же?) уже всем можно смотреть? Неоднократно видел здесь чьи-то слова о борьбе почему-то именно с живой трансляцией выступления оппонента на ютубе.
Ну, если такие тормоза именно при прямом эфире (а это именно тормоза а не отключения: если ролик был открыт — он показывает до конца, даже если идёт 2 часа, если ролик не открыт то после десятка F5 само видео таки прогружается а дальше как в пункте 1) то есть мнение, что всё дело в DDoSе смотрящих: тупо не справляется оборудование/внешние каналы, которым помогают власти. Как-то так.
Т.е. возможно нехорошие люди именно в этом случае ни при чем?
Они могут усугублять. Потому как тормозит весь фронтент ютуба, в то же время потоки грузятся на скорости канала (у меня — 500Мбит/с). Возможно, тут ещё с DNS заруба есть дополнительная. Это нужно отдельно проверять. С другой стороны VPN помогает: с его помощью можно понаоткрывать страниц с роликами сразу кучу, а потом отключив VPN спокойно смотреть.
Потому что эфир интерактивный. На фоне отображается телеграмм, где люди задают Аблязову вопросы напрямую, а он на них отвечает.
Но согласен, глупость конечно несусветная со стороны властей Казахстана, хотя чего вы ожидали от совковских лидеров, они до сих пор в своей голове глушат Голос Америки.
Но согласен, глупость конечно несусветная со стороны властей Казахстана, хотя чего вы ожидали от совковских лидеров, они до сих пор в своей голове глушат Голос Америки.
Например можнор полностью отключать интернет на стороне сотового оператора для телефонов-планшетов, на которых не установлен этот сертификат, точнее включать только для телефонов с сертификатом. А следить за наличием сертификата и ежеминутно докладывать оператору может специальная программа в телефоне, предложенная для установки, как и сертификат, в целях безопасности. Доступ внтернет для конкретном устройстве без положительных докладов программы не включать, показывать в браузере страничку с просьбой установить, кто ее не установит, интернетом пользоваться не будет, даже прогноз погоды не посмотрит.
пизде...!!!
Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане