Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане

    image

    Ну во-первых, все мобильные телекоммуникационные компании в Казахстане стали квази-государственными. А по факту, в руках одной правящей семьи, узурпировавшей власть в Республике. Кроме возможно Билайна, но который тоже, видимо, поделился доходами, как это принято в азиатских сатрапиях.

    А теперь сегодня вечером приходит СМС

    image

    Специальный сертификат попросили установить на смартфоны казахстанцев

    «Есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности. Этот сертификат разработан компетентными органами, который необходимо установить на все устройства, которые выходят в Интернет», — рассказал директор по корпоративным коммуникациям «Beeline Казахстан» Алексей Бендзь.


    Под видом защиты самих пользователей, а по факту — слежка за гражданами. Очень четкий сигнал свободным и умным людям, которые еще остались в КЗ — уезжать из страны туда, где их права будут уважать больше.
    Еще один шаг к тоталитаризму. Полное пренебрежение правами человека, описанными в уставе ООН.

    Bug 1567114
    MITM on all HTTPS traffic in Kazakhstan
    bugzilla.mozilla.org/show_bug.cgi?id=1567114

    #MITM, #наплевательствонаправачеловека, #поросенокпетр, #казахстан
    Поделиться публикацией

    Комментарии 475

      –69
      ммм, а в европе и сша не следят?
        +54
        Если и следят, то не так топорно, и не за всеми, и со стороны соответствующих сервисов(благо они все под юрисдикцией англосаксов ходят, и им можно послать order на выдачу конкретно нужной их службам инфы). А такой наглый подход в лоб ни в одном государстве никто пока вроде до Казахстана не испытывал.

        Тут, как я понимаю, они гонят весь HTTPS трафик любого пользователя через свои прокси, использующие этот самый левый «государственный» серт, и могут просматривать данные из любой HTTPS -сессии. Что плохо даже не из соображений приватности(я не большой её поборник), плохо это из элементарных соображений безопасности.

        Где гарантии, что люди, что заправляют проскированием и имеющие доступ к данным, передающимся по HTTPS, не начнут использовать возможности этой системы в своих, корыстных, целях? Прознают что у кого-то есть «лишие» деньги и отожмут их? Или узнают как работает определённый бизнес, окажут на него давление в чувствительной области, и отожмут часть бизнеса, а то и весь? Или используют доступ к прокси для незаконной слежки, с фальсификацией улик? К примеру отдадут местному оппозиционеру вместо запрошенного видосика с котиками что-то другое со своего прокси, не совсем законное в Казахстане. И что будет делать этот оппозиционер, если «факты» будут против него?

        Вы забываете, что шифрование трафика нужно не только для обеспечения определённой приватности(когда провайдер знает к какому хосту вы подключились, но не знает что именно вы получаете или передаёте этому хосту), но и как гарантия, что между клиентом и сервером нет прокладки, способной смотреть что передаётся по каналу, и даже изменять передаваемое содержимое. Это защита от MITM, какая-никакая, но лучше чем ничего.

        Я бы, к примеру, не стал бы пользоваться онлайн-банкингом не использующем HTTPS, или использующим не валидный серт. И дело тут не в соображениях приватности, дело в том, что Plain HTTP — это очень не безопасно. А не валидный серт — с большой долей вероятности говорит о том, что или с серваком сервиса что-то не то(не стоит таким пользоваться, вдруг его хакнули и что-то левое там творится), или между вами и сервисом уже работает MITM, юзающий не валидный серт.
          +8
          Где гарантии, что люди, что заправляют проскированием...

          Это как раз и есть один из аргументов в пользу приватности
            0
            А ведь цель такого проксирования будет — вести логи для последующего анализа… Кто знает что будет в этих логах и где они будут храниться… (как-то вспомнился внезапно закон Яровой и параллели с этим)
              +1
              Отвечаю на Ваш комментарий, чтобы мой специально был выше. Это не ответ на Ваше сообщение, простите за беспокойство.
              Если кому-то был бы полезен рассказ, как мы уехали в Канаду с местным аналогом гринкарда, пишите в личку. Так же мы жили год в Нидерландах с рабочей визой.
            +4
            Зачастую такие MITM-сертификаты прикрывают реальные проблемы с сертификатами сайтов. Такое уже было с касперычем, когда его сертификат в KIS, используемый для «защиты» браузинга посредством прокси на localhost, скрывал реальные проблемы с сертификатами сайтов (попадание в списки отзыва сертификатов, протухание по дате, и т.п.), т.е. прокси аксептила всё подряд и не передавала информацию о проблеме в браузер. Х.з. пофиксили ли они это сейчас.
              +10
              Ну, пользоваться антивирусом с встроенным прокси — не нормально как-то. А к KIS у меня что-то давно доверия нет. Может это одно из проявлений моей паранойи, кто его знает…
                  +18
                  И это не единственный их зашквар. Меня больше даже напрягает то, как они реализовали своё облачное сканирование. Если они нашли интересующий их интересный сэмпл, они быстренько закачивают его себе в облако. Израильские специалисты говорят, что так они могут скачать любой файл с вашего ПК, в том числе и секретные документы, не имеющие вредоносов, но имеющие потенциальную ценность для конкурентов, или образец нового ПО, что ещё не вышло на рынок. Где гарантия, что их сканнер заодно и исходники этого ПО не анализирует в «облаке»? Если антивирус имеет доступ к любым файлам, и шлёт их в облако для анализа, по желанию своей левой пятки — это очень стрёмный антивирус. Обычно так работает шпионское ПО, которое не пытается себя выдать за антивирус…
                    +3
                    «Все девушки делают это». Все антивирусы, включая windows defender
                    «When Windows Defender Antivirus is turned on, or is running because Limited Periodic Scanning is enabled, it will automatically send reports to Microsoft that contain data about suspected malware and other unwanted software, and it may also send files that could contain malware. » (https://privacy.microsoft.com/en-US/privacystatement)
                      +1
                      Ещё один довод против винды
                        +2
                        а причем тут винда?)
                          0
                          Существует две точки зрения на windows 10 — она и должна быть безопасной, 10 шпионит за пользователями.
                            0
                            А в чем проблема рубить на корню подключения ко всем «шпионским» и не очень облакам? Конечно, файлы без моего ведома передавать третьим лицам то еще свинство, но вдруг там мои персональные данные замешаны? А с нашим законодательством это наводит на ряд вопросов, например: А где эти сэмплы малварь в конечном итоге хранятся? Какова вероятность заражения различных файлов, где могут содержатся персональные данные граждан РФ? Не будет ли это нарушать закон «О персональных данных»?
                              0
                              Это нужно делать не на самой винде, так как следующее обновление может удалить мой патч, нужно знать к каким именно облакам подключение запрещать, нужно отличать обновления от загрузки какого-то файла. Короче говоря — требует много внимания.
                        0
                        Значит не стоит использовать и Defender, тут всё просто. Я не доверяю антивирусам, которые берут то, что не следует трогать, и отсылают себе на серваки.
                          0
                          В обычной винде можно навсегда отключить антивирус, чтобы он не включался?
                          0
                          Если ты хочешь АВ защиту которая бы быстро тебя защищала — ты должен доверять этому АВ.
                          Если ты не хочешь доверять Антивирусу- или твои данные слишком ценны — ок. Есть настройки, есть изолированные контейнеры, есть сети с воздушным зазором…
                            0
                            Вот с доверием с чужим конторам у меня беда.

                            Проще от новой вирусни защититься самостоятельно(иногда отловленные сэмплы я даже по доброте душевной передаю на virustotal, или антивирусным компашкам, если у них нет таких), чем доверять каким-то товарищам файлы, к которым им свои лапки тянуть не следует…
                              0
                              У каждого своя модель угроз и доверия, что тут скажешь.
                      +19
                      По другому и быть не могло: сам Касперский открыто выступал за тотальный государственный контроль над интернетом, причём задолго до принятия соответствующих законов.
                        0

                        Ну, HMA VPN, которым я по работе пользуюсь, поступил проще: полностью ушёл с Российского рынка и отказал в продлении подписки.
                        Так что не волнуйтесь, взялись за всех, за кого-то раньше, за кого-то позже. Поднятый на рабочем сервере VPN ещё сколько-то протянет, наверное. Но это не решение проблемы, а оттягивание последствий.

                      +1
                      Тут самоподписанный корневой сертификат через HTTP раздают, мне кажется их прокси будет сильно хуже, чем разработанная спецами в Касперском. И согласен, MITM прокси в этом плане ужасна, там скорее всего не будет многих проверок, которые делают современные браузеры (например certificate pinning), будут пропускать старые версии TLS с непонятно какими ciphersuites. А вишенкой на торте будут уязвимости самой прокси, которую в итоге или хакнут или сольют приватный ключ от этого корневого сертификата (30 лет валидности хехе)
                      Немного оптимизма внушает только то, что внедрение root CA поддерживается далеко не везде, особенно в мире нативных приложений (не бразуеров), а с внедрением TLS1.3 может вообще сойти на нет, хотя подозреваю что корпоративные политики будут до последнего использовать фильтрующие прокси с TLS MITM.
                    +1
                    Следить можно по-разному. В данном случае по-факту сделали дыру, через которую гос-во может следить. И, если кто-то очень захочет, не только гос-во… и не только следить.
                      +4
                      Вам за этот комментарий карму слили почти на 30 пунктов?
                        0
                        Добро пожаловать на хабр
                          +10
                          «А у них негров линчуют» здесь не очень любят.
                            +5
                            «А у них негров линчуют» здесь не очень любят.
                            Эта истеричная заметка, не содержащая никаких технических деталей, заканчивается выводом «пора валить». И поэтому вопрос «а в других местах намного лучше?» вполне уместен. Позволю себе процитировать комментарий yleo.
                            Но меня несколько забавляет другой набор фактов:
                            Вот правительство Казакстана предложило (предполагаю что в соответствии со своими законами) поставить свой сертификат. Решение сомнительное по многим критериям, но озвучено явно и открыто. «Прогрессивная общественность» возмутилась и даже назвала это «атакой».

                            Примерно та же общественность: Не хотела замечать публикации о backdoor-е в генераторе NIST примерно до публикаций Сноудена и мягко замяла скандал по самому факту скрытой преднамеренной установки backdoor-а и прочей информации о преднамеренном внесении ошибок во всяческие openssl-и. Более 10 лет не замечала «Патриотического акта» и сейчас примерно не замечает «Investigatory Powers Act». Упрямо не замечает, что всяческие гуглы и фейсбуки читают и перепродают все их данные, а также обязаны выдать всю инфу без какой-либо реальной защиты для не-граждан США. Ну и т.д. и т.п.

                            Я, конечно, не хочу сказать, что всё это хорошо (хотя, может и неизбежно). Но смешно смотреть на вой и битье казахов за их открытые действия. При том, что с другой стороны «прогрессивной общественности» давно вставили по самые гланды, и дрючат в полную силу уже несколько десятилетий ;)


                            И напоследок. pprometey, причем тут россияне в заголовке и почему вы называете мою страну лубянским урканатом?
                              –1

                              Это моё личное оценочное суждение. Имею на него полное право.
                              А что, тебя это обижает? Ты видишь в этом оскорбление своих религиозных чувств?

                                +2
                                Я вижу в этом инфантильность.
                                  0
                                  Это твое оценочное суждение, на которое, по моему мнению, ты имеешь полное право.
                                +2
                                Эта истеричная заметка, не содержащая никаких технических деталей, заканчивается выводом «пора валить». И поэтому вопрос «а в других местах намного лучше?» вполне уместен.
                                В любой стране, где нет mitm. Пока что мне не известны другие страны, в которых государства пытаются засунуть свой сертификат.
                          +3

                          Готовьтесь..

                            +5
                            Заголовки тоже нужно без ошибок писать.
                            готовьтесь
                            вы, россияне,…
                              +5
                              прочитал первый абзац — пропущен миллион запятых.
                              Знаете, проверить ошибки — это не занудство. Это скорость чтения ваших читателей. Кроме того, неправильные запятые часто меняют смысл.
                                0
                                Спасибо. Это же новости, тут спешил опубликовать, да поздно ночью. Обычно в Word проверял когда статьи для хабра делал.
                                0
                                Яволь!
                                Спасибо за то что помогли исправить ошибку
                                  –3

                                  Вы троллите, что ли? Комментарии в ворде не пробовали проверять?

                                +31
                                Думаю, Мозилле, Apple и Гуглу стоит заблэклистить этот сертификат в файрфоксе, хроме, ios и андроиде, тогда он 80% случаев станет бесполезен (и даже вреден) для установки на устройствах конечных пользователей
                                  +3
                                  ну да, только провайдеры, очевидно, будут дропать трафик.
                                    +40
                                    А правительство получит орду злых граждан, у которых намертво сломались браузеры без возможности «починить». Именно в этом и смысл блокировки сертификата. Если не начать давление и оставить всё как есть («кто хочет — пусть ставит сертификат»), то дурной пример заразителен.
                                      +24
                                      Орде злых граждан будет предложен исправно работающий «безопасный национальный браузер», собранный из исходников хрома. А те браузеры, которые сломались, были иностранными, их сломали внешние враги, чтобы навредить.

                                        +1
                                        А что, идея. В новом супербраузере сертификат уже «из коробки» будет.
                                        Скачал — и всё работает, удобно даже для домохозяек.
                                        А спустя некоторое время можно ещё и зарабатывать на поисковиках по-умолчанию и закладках.
                                          +6
                                          Еще один довод не использовать «факерфокс с поиском яндекса уже внутри» и прочие «амиго»
                                          +1
                                          Это ещё полбеды. А если обяжут продавать новые устройства с уже внедренным сертификатом? Для технически неграмотных в этом плане людей (их большинство, имхо) скачать и установить — дело одно, а если тебе всунули заранее — дело другое.
                                            +4
                                            А кто еще не слышал, что депутаты уже утвердили законопроект об обязательной установке российского ПО на смартфоны? А вдруг это ПО будет вот таким «касперским» со встроенным сертификатом «безопасности», вшитым намертво в прошивку?
                                              +9

                                              что значит "вдруг"? разве есть еще какие-то варианты?

                                                0
                                                так вроде же отозвали этот проект
                                            +16
                                            Телевизор объяснит, что все работает и легко починить. Никто доступ к гуглу не блокировал. Просто вот эту штучку надо поставить для отказоустойчивости работы рунета. А то ведь зарубежные центры сертификации могут нас «отключить от гугла».
                                            А может борьбой с педофилией объяснят, кто его знает.
                                              +2
                                              Недавно телевизор пытался объяснить, что регистрация телефона сильно нужна его пользователям, а тем, кто этого не сделает, отключат газ связь. Когда же за месяц до дедлайна выяснилось, что большинство просто забило, сдали назад и стали привязывать IMEI в авторежиме, что убило всю идею.
                                                +2
                                                Если блокировка сертификата уложит Гугл-плэй, то никакого «легко починить» для большинства домохозяек не получится. «Правильный браузер» нужно будет еще правильно засунуть в телефон.
                                                  0
                                                  не знаю, насколько трафик в плей легко опознать. Если это возможно, для него сделают исключение и будут пропускать. Если тяжело — будут просить гугл пойти навстречу и помочь. Реакцию гугла предсказать сложно. с Китаем он покочевряжился, потом поколебался туда-сюда, да и решил сотрудничать. Если бы не протесты сотрудников, был бы спец. поисковик для китая
                                                    +2

                                                    Ну вы сравнили, Китай с больше чем миллиардом населения, 12$ триллионами ВВП и Казахстан.


                                                    В Китае, очевидно, можно хорошо заработать. Настолько хорошо, что руководство даже решило поступится моральными принципами и достоинством компании (у гугла с китаем давние трения).

                                                      0
                                                      руководство даже решило поступится моральными принципами и достоинством компании
                                                      А они, были, принципы? Или только слоган про корпорацию добра?
                                                        +1
                                                        кто его знает, чужая душа потемки.
                                                        Но в начале конфликта гугл повел себя так:
                                                        «Ипполит Матвеевич преобразился. Грудь его выгнулась, как
                                                        Дворцовый мост в Ленинграде, глаза метнули огонь, и из ноздрей, как показалось Остапу, повалил густой дым. Усы медленно стали приподниматься.
                                                        — Никогда,-- принялся вдруг чревовещать Ипполит
                                                        Матвеевич,-- никогда Воробьянинов не протягивал руки. „
                                              +1
                                              Пока не будут. Министр пояснил, что это пилотный проект для одного города с добровольным участием:
                                              Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать
                                                +4
                                                Ну это закинули удочку, теперь смотрят реакцию. Теперь уже начали назад сдавать.
                                                  +2
                                                  Он похоже в своем разъяснении вводит людей в заблуждение, относительно свойств предлагаемого сертификата.
                                                    +2

                                                    Какую забористую траву он курит...

                                                      +1
                                                      Пока добровольно, но интернет толком не работает, пока не установишь.
                                                    0
                                                    Вреден? Если сертификат в чёрном списке, то его установка никак не навредит. Браузер его проигнорирует.
                                                      +3
                                                      Это игра в кошки-мышки. Они выпустят очередной серт, или вообще приложения, насильно втыкающие серты по необходимости, и вендоры рано или поздно сдадутся. Блэклистить же вручную установленные сертификаты они не очень хотят, т.к. это ударит и по корпоративным юзкейсам. Подозреваю, что в итоге вендоры на это просто забьют. Конечные пользователи ан-масс не будут бузить, а голоса специалистов не будут услышаны достаточно массово. Хорошей концовки у этой истории, ИМХО, нет.
                                                        +4
                                                        У вас заранее пораженческая позиция. Вы не можете знать, чем это закончится, пока не попробуете. Телеграм мог просто сдаться и не менять подсети, все равно же не получится. Можно было не выходить за сквер в ЕКБ, все равно снесут и построят храм. И т.д.
                                                          +3
                                                          Не совсем. Я считаю, что бороться с такими явлениями нужно хотя бы потому, что реализация таких инициатив тормозит как прогресс так и экономические отношения, в конечном итоге уменьшая конкурентоспособность общества на мировом рынке. Мой «пессимизм» заключается скорее в том, что цена этой борьбы будет очень высокой в силу инертности и пофигизма массовых пользователей. Другими словами, Пиррова победа — это тоже плохая концовка.
                                                            +2
                                                            Согласен. Но пока неизвестно, насколько далеко они готовы зайти. Будут ли они постоянно выпускать новый сертификат, если вендоры заблокируют этот? Каждую неделю что ли будут присылать смс-ки про установку сертификата? Будет выглядеть забавно. Если у народа отвалится половина интернета (на телефонах в основном), будет недовольство, и могут откатить назад. Могут и не откатить, конечно, смотря насколько они там упоротые.

                                                            Просто на данном этапе вендорам едва ли составляет труда ответить, например, блокировкой сертификата. Понятно, что если игра в кошки-мышки будет продолжаться, то каждый раз будет сложнее и сложнее, и кто-то в итоге сдастся, но пока неизвестно, кто.
                                                              +1
                                                              Запросто могут раз в неделю выпускать новый. Простой пример на «прокладке» для работы портала электронных счетов-фактур. 31 марта закончился срок действия лицензии для этой фиговины, 1 апреля все бухи страны начали названивать всем сисадминам страны. Новую версию, с новой лицензией, выпустили 2-го поздно вечером. Плюс программа, естественно, требует администраторских прав для установки. Так что пока эта прокладка до всех дошла, прошло 2-3 дня. Кое-кто попал на штрафы из-за этого факапа (там есть сроки подачи документов, которые нужно выдерживать).
                                                              Новая программа с новой лицензией работала до 1 июля. Угадайте, когда разрабы выкатили новую версию с продленной лицензией? Хотя бы за пару-тройку дней, чтобы все успели обновиться? Щас прям, ага. 31-го июня поздно вечером.
                                                              И вот так вот у них все.
                                                              И ничего, бухи поворчали, эникейщики утерли пот, и все окей. А это ведь как минимум десятки тысяч человек по всей стране и ВСЕ бизнесы до единого, ну кроме совсем мелких.
                                                              Так что не думаю, что кто-то будет возмущаться. Сейчас, вон, ютуб ежедневно по вечерам блочат на час, и норм, привыкли все…
                                                        +1
                                                        Кстати, а что такое «заблеклистить»?
                                                          0
                                                          внести в т.н. «черный список»
                                                            0
                                                            значение слова я понимаю)
                                                            я имел в виду, в браузерах это есть разве? и как работает?
                                                            Мне казалось, браузеры полагаются на списки центров сертификации.
                                                              +2

                                                              На уровне исходного кода — почему нет?

                                                          –21
                                                          Не думаю, что эти компании захотят вмешиваться во внутреннюю политику суверенного государства. Это не их дело.
                                                            +19
                                                            Это их дело, потому что оно касается безопасности работы их пользователей.
                                                              +3
                                                              Постирония?) Это международные корпорации с огромным влиянием и оборотом денег, работающие с информацией, — на этой планете нет ничего, что бы было не их делом — от этого размер их прибыли зависит. Политика здесь играет одну из первых ролей.
                                                              +8
                                                                +4
                                                                Хехе, и там уже русские в комментариях топят за то, чтобы ничего не делать, а то вдруг Mozilla потеряет казахский рынок браузеров :) Попутно объясняют, что Спутник — это просто бизнес-проект частной компании, заурядный форк Хрома.
                                                                  –4
                                                                  русские портянки?
                                                                0
                                                                Яндекс Браузер продолжит работать…
                                                                  +10
                                                                  Cisco уже
                                                                  image
                                                                    0
                                                                    Без этого сертификата не получится скачать обновление которое блокирует этот сертификат
                                                                    +6
                                                                    А по сути.
                                                                    Меня всегда удивляло «хахаха, мы тут сейчас VPN поставим и плевать хотели на слежку». Окончательное оружие связьнадзоров — гос. сертификат. Я думаю, еще и по паспорту со временем получать придется.
                                                                      +4
                                                                      Во времена начала расцвета выделенных линий была куча извращений вида «proxy over email/icmp/dns/whatthefsckis и прочего», никаких проблем возродить это нет. В самых диких реалиях почти тотального чебурнета(оформите разрешение на доступ к google.com на 18.05.2072 c 15:20 по 15:22) — остаётся совершенно нелегальный даже сейчас вариант с proxy over shortwave radio/sstv и всякими wifi мостами в приграничных областях.
                                                                        0
                                                                        А что в нём нелегального сейчас?
                                                                          +7

                                                                          На радиолюбительских диапазонах запрещено использование шифрования. Не только в РФ, если что.

                                                                            –1
                                                                            С чего бы? А как по вашему работают все эти устройства, типа счётчиков воды/газа с подключение по радиоканалу? Думаете, без шифрования?
                                                                              +1
                                                                              Вероятно, там все сильно зависит от мощности передатчика.
                                                                              Думаете, без шифрования?

                                                                              Кстати, да. Скорее всего без шифрования.
                                                                                0
                                                                                Я не знаю как в других странах, но в США запрещено шифрование любительского трафика только в том смысле, в котором его нельзя расшифровать кому угодно. Модуляция (в том числе фазовые преобразования сигнала) и тому подобные вещи широко известны, и несмотря на то, что они меняют сигнал, их может разобрать любая принимающая сторона (другими словами, там нет «пароля» или «ключа»). Как только мы вводим в систему секрет, доступность которого ограничена искусственно, это становится запретно в любительской связи.
                                                                                  0
                                                                                  Скремблер голоса в аудиотракт и говорить шифрами, или белый шум передавать, пускай расшифровывают.
                                                                                    +3
                                                                                    Другое требование для каждой любительской станции на соответствующих частотах — самоидентификация с помощью позывного каждые 10 минут или чаще, ЕМНИП. Не будет позывных — рано или поздно обратят внимание и триангулируют местоположение. У нас тут один умник по хайвеям возил глушилку GSM, не нравилось ему, как народ за рулем по телефонам трещит. Отловили за несколько дней (!), впаяли штраф в 48 килобаксов (очень примерно 20% стоимости среднего дома в тех краях, если что). Т.е. вопрос отлова если и есть, то он не в технической стороне, а в желании искать.
                                                                                      +1
                                                                                      В РФ скремблеры запрещены в рамках радиолюбительской связи.
                                                                                        0
                                                                                        пативэн выедет по пеленгу передатчика…
                                                                                    0

                                                                                    Вы не поверите...


                                                                                    На самом деле все ну очень сильно зависит от конкретного примененного решения. GSM-сети шифруются by design, в каком-нибудь 6lowpan тоже есть ключ сети, а вот самопальные 433МГц и иже с ними — ой не факт

                                                                                      0
                                                                                      GSM-сети

                                                                                      Вы где-нибудь видели [легальную] радиолюбительскую GSM-сеть ?

                                                                                        +2

                                                                                        Да, на chaos communication congress в Германии :-)

                                                                                          +2

                                                                                          Это не радиолюбительская сеть в строгом понимании.
                                                                                          Организаторы запрашивали у немецкого роскомнадзора федерального сетевого агентства лицензию на использование частот для тестовой эксплуатации
                                                                                          https://www.youtube.com/watch?v=ZKa86zAWmQY&feature=youtu.be&t=860

                                                                                            +7

                                                                                            Это да. Но моё удивление не знало границ, когда я на 34c3 спрашивал Юлиуса:
                                                                                            — Слушайте, а как вы разворачиваете GSM-сеть на конфе? Ну это же регулиремые частоты, аэропорт рядом, тут 15 000 человек…
                                                                                            — Ну как. Мы же немцы. У нас есть немецкая бюрократия. И она работает. Если бы нам отказали в разрешении, мы бы попросту подали в суд.

                                                                                              +6
                                                                                              Удобно, когда есть работающий суд.
                                                                                          +1
                                                                                          Я и легальную радиолюбительскую пейджинговую сеть видел. Ну, как видел… Сам делал :)
                                                                                            +1
                                                                                            Интересно было бы узнать про легализацию этого добра.
                                                                                              0

                                                                                              Как вариант — берём пагер, перестраиваем на 433 (замена кварцев либо программатор, у кого как), у передатчика скручиваем мощность до разрешённой, POCSAG сам по себе не шифрован, и вуаля — легальная пейджинговая сеть в пределах квартиры-двух.

                                                                                          0
                                                                                          del
                                                                                          +1
                                                                                          А это, как бы странно не звучало, либо не радиолюбительские и к нему не относящиеся (газ/вода/таксофон), либо нелицензируемые (433мгц/2.4ггц, но мощность 10 мвт).
                                                                                            +1
                                                                                            все эти устройства, типа счётчиков воды/газа не имеют ни малейшего отношения к радиолюбительству.
                                                                                          0
                                                                                          По диапазонам очень сильные ограничения, какие-то частоты доступны только для голосовой связи, какие-то для телеграфной, где-то можно и то и то, плюс всякие модуляции тоже ограничены, цифра кстати тоже не везде разрешена. Ну и полный запрет на шифрование/скремблинг, плюс даже без этого, на любительских диапазонах можно только связаться, проверить качество связи, максимум обсудить конструкцию трансивера. Если вы вздумаете спеть под гитару свою собственную песню — на вас совершенно спокойно могут в роскомнадзор настучать и за это вам влепят выговор/лишат категории/изымут оборудование, если захотите попросить жену приготовить сегодня борщ… ну тоже самое.
                                                                                          А с wifi и компанией — тоже облом, ограничения по мощности + всякие indoor use only.
                                                                                            +4
                                                                                            Если вы вздумаете спеть под гитару свою собственную песню — на вас совершенно спокойно могут в роскомнадзор настучать и за это вам влепят выговор/лишат категории/изымут оборудование

                                                                                            Прошу пруф. Насколько мне известно. по действующему в РФ законодательству в настоящее время таких ограничений нет.
                                                                                            /RN4HGX
                                                                                              0
                                                                                              srr.ru/radiooperatoram/pravila-radioobmena

                                                                                              4.4, 4.8 что можно
                                                                                              4.13.д — музыку нельзя
                                                                                                0
                                                                                                О, таки приняли, надо же. Впрочем, есть только рекомендация разговаривать на радиолюбительские темы, и запрет на именно аудиозаписи, так что песню под гитару можно, и посторонние беседы тоже. На КВ, конечно, не поймут, но локальная УКВ-помойка и не такое стерпит (и терпит уже очень давно).
                                                                                                  0
                                                                                                  Ну в шестёрках пираты и веселее развлекались, пока не прижали.
                                                                                                  +1
                                                                                                  Пошёл по ссылке:

                                                                                                  image

                                                                                                  Эти правила для другой страны написаны.
                                                                                              +3
                                                                                              ЕМНИП, передача кодированных сообщений радиолюбителям запрещена (за некоторыми известными исключениями вроде нешифрованного телетайпа и SSTV). То есть вообще, ивольте голосом или известными протоколами без шифра, чтобы все всё слышали и понимали. Да и по передаваемой информации там какие-то ограничения, хотелось бы, чтобы кто-нибудь пояснил.
                                                                                                +1
                                                                                                Пф… Сделать бота, который будет надиктовывать поток данных в base64 :)
                                                                                                  0
                                                                                                  извольте голосом или известными протоколами без шифра
                                                                                                    0
                                                                                                    Ну так никакого шифра в аудиотракте нет, сообщение передаётся голосом. А про «чтобы понимали» — это что, нельзя обмениваться кодовыми фразами или говорить на малопопулярных языках?
                                                                                                      +2
                                                                                                      В продолжение идеи, можно вживлять в голос неслышимые волны, кодируя биты секретных данных.
                                                                                                        0
                                                                                                        Слегка дёргать несущую? Хм…
                                                                                                    0
                                                                                                    прикрутить скринридер бгг
                                                                                                    или окей гуголь
                                                                                                      +1
                                                                                                      Приказ Минкомсвязи России от 26.07.2012 N 184

                                                                                                      Пункт 4.13.ж
                                                                                                      Запрещается ведение радиообмена:
                                                                                                      с использованием шифров и кодов, скрывающих содержание передаваемой информации (передачаконтрольного номера в соревнованиях по радиоспорту, а также управляющих команд и телеметриилюбительских радиостанций наземного и космического базирования не относится к передачам сиспользованием кодировки сигнала);
                                                                                                        0
                                                                                                        управляющих команд и телеметриилюбительских радиостанций наземного и космического базирования

                                                                                                        Вот и ответ — просто сделать две любительских радиостанции, и оптравлять телеметрию в обе стороны. А что там в телеметрии — не ваше собачье дело.

                                                                                                          0
                                                                                                          Вариант, но в этом случае от скорости 9600-2400 (экран текста 80х25 за секунду) бод мы свалимся в полный тормоз, который и этого не обеспечит.
                                                                                                            0

                                                                                                            В чебурнете и пять байт в секунду Playboy в ASCII патчей к последнему LTS линукса будет за счастье.

                                                                                                        0
                                                                                                        Лучше не base64 (слишком заметно). Лучше стеганографией — например, через музыку в фоне. Ну а голос пусть будет синтезированный и зачитывает какую-нибудь детскую книжку.

                                                                                                        В крайнем случае можно этим же синтезированным голосом зачитывать base64, где биты закодированы, например, стихами Омара Хайяма, Пушкина и других. Медленно, но надёжно.
                                                                                                        0
                                                                                                        уточнение: Телетайп и SSTV разрешены далеко не всем (по категории радиолюбителя?), а вот телеграф с кодом Морзе вполне используется. Ну ещё работа со спутниками и «Земля‑Луна‑Земля», но тут вообще не знаю.
                                                                                                      +1
                                                                                                      ну это как-то мрачно. Большие пляски с бубном за хилую связь.
                                                                                                      да и годится только для маленькой кучки. государство будеи быстрее мосты обрубать, чем население о них узнавать.
                                                                                                        +2
                                                                                                        Если других путей нет — то и 9600 бод это рай.
                                                                                                        +3
                                                                                                        с proxy over shortwave radio/sstv и всякими wifi мостами в приграничных областях
                                                                                                        Медленно, дорого, ненадёжно, увы. И точно так же вычисляется-наказывается в случае массового использования.
                                                                                                          +2
                                                                                                          Это да, 9600 бод наше всё.
                                                                                                            +3

                                                                                                            9600 с КВ радио это очень, очень большой оптимизм

                                                                                                              –1
                                                                                                              2400 на одной частоте работает нормально, можно вполне себе на 4 частоты вещать.
                                                                                                            +1
                                                                                                            В рамках бюджета 5к долларов можно с десяток технологий найти, которые гигабит за границу протащат
                                                                                                            Но это похоже на «в пятницу очередь занимать, чтобы в субботу пораньше освободиться», вспоминая известный анекдот
                                                                                                            0
                                                                                                            wifi мостами в приграничных областях

                                                                                                            тут вам не Европа, за границей РФ и Китай:)
                                                                                                              0
                                                                                                              Ну я про гипотетический случай в РФ говорил. Тут за границей много интересного, особенно в Калининграде.
                                                                                                                0
                                                                                                                IMHO, контроль за таким сравнительно небольшим эксклавом, как Калиниградская обл., особых проблем не составит.
                                                                                                              +1
                                                                                                              Ещё есть спутниковый интернет
                                                                                                                +2
                                                                                                                О ввозе оборудования которого уже позаботились и готовят запреты.
                                                                                                                  0
                                                                                                                  Есть ещё и классический — у которого только нисходящий канал. И когда-то была популярна, например, «радиорыбалка»
                                                                                                                  Точнее, нисходящий канал с геостационарного спутника был сравнительно дешев, а симметричный — весьма недёшев. Но это про скорости чуть меньше адсл, если память не изменяет
                                                                                                              +6
                                                                                                              Окончательное оружие связьнадзоров — гос. сертификат.

                                                                                                              На vpn (технологию, а не конкретную реализацию) госсертификат особого влияния не окажет. Никто не мешает уйти на уровень глубже: ну хочется майорам что-то расшифровать — пусть расшифровывают: сняли своим сертификатом tls, а внутри уже настоящий криптотуннель траффик видеоконференции с синтактически верными битстримами vp9, чтоб dpi зубы сломал.


                                                                                                              Белые списки, вот где засада.


                                                                                                              еще и по паспорту со временем получать придется

                                                                                                              При чем здесь паспорт и сертификат левого УЦ ?

                                                                                                                +1
                                                                                                                Каждому гражданину выдавать индивидуальный «национальный сертификат безопасности»?
                                                                                                                  0

                                                                                                                  Как вы себе технически это представляете? Не клиентский сертификат, а именно индивидуальный левый УЦ «национальный сертификат безопасности».

                                                                                                                    0
                                                                                                                    да, глупость.
                                                                                                                    +2
                                                                                                                    Ага. С электронной цифровой подписью уже облажались:
                                                                                                                    habr.com/ru/news/t/452292
                                                                                                                    habr.com/ru/news/t/453208
                                                                                                                    Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент и без труда выполнили эту операцию. Как оказалось, любой разбирающийся в налоговых процедурах человек может без проблем завладеть не только чужой квартирой, но и чужой компанией.


                                                                                                                    Теперь дальше надо углУбить… При таком бардаке некий провокатор от спецлужб, имеющий доступ к госпрокси напишет от имени заказанного гражданина нехороший пост. Гражданина посадят ( «У суда нет оснований не доверять… Подтверждается индивидуальным сертификатом… виновен») а провокатор получит денюжку от заказчика.

                                                                                                                    Просто смотря на то, как легко утекают всякие личные данные нужным людям (из банков/госслужб/провайдеров связи) и как вольготно себя чувствуют мошенники, как-то вот ещё одна дыра в безопасности радости не вызывает.
                                                                                                                    +3
                                                                                                                    На vpn (технологию, а не конкретную реализацию) госсертификат особого влияния не окажет.

                                                                                                                    Давайте я выскажусь чуть развернутее и аккуратнее.
                                                                                                                    Прямо и непосредственно госсертификат на VPN не повлияет, ведь VPN вовсе не обязаны опираться на PKI. И поэтому сам по себе левый госсертификат не страшен.
                                                                                                                    Но он становится страшен как ключевой элемент некоей системы мер.
                                                                                                                    Например, такой вариант. Провайдер дропает весь шифрованный трафик за исключением трафика с ключом, полученным через левый сертификат. В том числе дропает все vpn без разбору (массового недовольства это не вызовет). Ну кроме корпоративных, которые нужно будет зарегистрировать. Пользователям говорится, что интернет по-прежнему работает (вот тут как раз иначе могло бы начаться массовое недовольство), ходите сколько хотите на свои любимые сайты, только поставьте госсертификат.
                                                                                                                    TLS снимается, переписка читается. Если после снятия TLS на следующем уровне оказывается шифрованный не тем, чем надо трафик, он посылается в корзину. Мне кажется, все примерно о таком сценарии думают, когда обсуждают госсертификаты.

                                                                                                                    При чем здесь паспорт и сертификат левого УЦ ?

                                                                                                                    Вы правы, я ерунду написал. Мысль перескочила, я это не отразил, получилась ерунда. А перескочила она на авторизацию пользователей интернета через индивидуальные сертификаты, выдаваемые по паспортам.
                                                                                                                      0
                                                                                                                      Инициатива регистрации VPN в РФ — не для того ли внедрялась? Очень пессимистично как-то получается…
                                                                                                                        0
                                                                                                                        >Провайдер дропает весь шифрованный трафик
                                                                                                                        как отличить шифрованный трафик от какого-либо малоизвестного протокола? или ты имел ввиду «дропать весь шифрованный tls трафик»? ну пострадают только tls-based реализации впн.
                                                                                                                          +1
                                                                                                                          whitelist, как. Если товарищ майор не может расшифровать, то -j DROP.
                                                                                                                            0

                                                                                                                            Либо не дроп, а обрезание скорости до черепашьей, как это сейчас делается в Китае.

                                                                                                                              +3
                                                                                                                              Что значит «расшифровать»? Неужто, обмен, скажем, с игровыми серверами, идет plain text? Как узнать, шифровка это или какое-то двоичное взаимодействие?
                                                                                                                                0
                                                                                                                                «А во что это мы тут играем, м?»
                                                                                                                                  0

                                                                                                                                  Узнать по энтропии потока. В тех же сетевых протоколах игр наличие/отсутствия шифрования в блоках видно невооружённым глазом через hex-редактор.

                                                                                                                                    0
                                                                                                                                    А разве сейчас не всё шифруется?
                                                                                                                                      0
                                                                                                                                      Сжатие тоже увеличивает энтропию потока, если не ошибаюсь.
                                                                                                                                  0
                                                                                                                                  Во-первых, по стат. характеристикам.
                                                                                                                                  Во-вторых, малоизвестные протоколы можно спокойно дропать. Если шум пойдет — разбираться пропускать дальше или нет.
                                                                                                                                  0
                                                                                                                                  В том числе дропает все vpn без разбору

                                                                                                                                  SSH?
                                                                                                                                    0

                                                                                                                                    В Китае его шейпят до черепашьей скорости, например. В консоли работать хоть как-то можно, серфить через прокси или передавать файлы уже нет.

                                                                                                                                      0
                                                                                                                                      Приятного мало, но хотя бы так.
                                                                                                                                        0
                                                                                                                                        В Китае лимит на соединение или лимит на пользователя?
                                                                                                                                          0
                                                                                                                                          Лимит на внешний канал для всех походу.
                                                                                                                                  +2
                                                                                                                                  Интересно, а что будет если спрятать туннель в туннель. Скажем поднять на хосте VPN соединение и на хосте же установить сертификат, потом поставить виртуальную машину и в ней поднять еще одно VPN соединение, но сертификат не устанавливать. Дропнет их фаервол такое соединение или нет?

                                                                                                                                  И умеет ли он отслеживать нестандартное шифрование?

                                                                                                                                  Но на самом деле тенденция отвратительная, если у Казахстана проканает, то потом и в других авторитарных странах введут, в том числе и у нас.
                                                                                                                                    +1
                                                                                                                                    А такими умными можно заниматься уже в ручном режиме. Отслеживать весь нестандартный траффик и внимательно к нему приглядываться.
                                                                                                                                    0
                                                                                                                                    Не совсем.
                                                                                                                                    Что мешает наложить перед гос. сертификатом — еще один уровень шифрования?(или вообще не делать вид что используем https, если выход по якобы-нешифрованному протоколу возможен еще).
                                                                                                                                    Да, DPI придется все это анализировать и понимать где все же зашифрованный трафик.
                                                                                                                                    Придется изучать опыт Китая. И китайских граждан по обходу всего этого. Но Китаю сильно проще — вся основная инфраструктура — внутри страны, отключение внешних каналов вообще — большая часть населения врядли заметит. А у Казахстана что с этим? -:)

                                                                                                                                      +1
                                                                                                                                      Но Китаю сильно проще — вся основная инфраструктура — внутри страны

                                                                                                                                      Привет закону о суверенном рунете

                                                                                                                                        0
                                                                                                                                        Есть разница — населению вообщем то и не особо надо внешние ресурсы и населению они таки нужны а значит — будут массово стараться обойти.
                                                                                                                                        Правда с рунетом в этом плане лучше(или хуже? с учетом темы) — хотя бы потому что Вконтакт и Яндекс — в рунете и если что — можно сказать что 'а зачем вам Гугл — вот Яндекс есть'.

                                                                                                                                        +3
                                                                                                                                        qaznet умер лет 10 назад.
                                                                                                                                        Кроме сми (с регистрацией по мобильному номеру), госсайтов и одностраничники бизнеса ничего практически нету.
                                                                                                                                      +31
                                                                                                                                      Сам переехал из Казахстана давно, как сетевому спецу было давно понятно, что там делать нечего. Но в данном разрезе меня сильно веселит то, что корневой сертификат безопасности надо скачать с HTTP(!!!)//qca.kz Уровень гос спецов, внезапно, не изменился. Кому надо, делайти MITM на сайт и распространяйте свой корневой сертификат.
                                                                                                                                        –24

                                                                                                                                        Все нормально с HTTP. Именно так публичные сертификаты и распространяются. Их надежность подкреплена тем, что они всем известны. Если кто-то себе не тот сертификат поставит, он это легко сможет, во-первых, заметить, во-вторых, проверить.

                                                                                                                                          +42
                                                                                                                                          Разверните пожалуйста ответ, при подмене трафика с этого сайта, как именно это заметить или проверить? Если страницу (с возможными инструкциями по проверке) и сам сертификат можно подменить, а после расшифровать любой трафик этого юзера если он идёт через мой раутер (например в офисе)?
                                                                                                                                          Сам сертификат просто песня:

                                                                                                                                          Самоподписанный, безотзывной, валиден 30 лет, имеет право подписывать сертификаты. (У тех кто владеет приватными ключами огромный оптимизм и вера в то что ключ не утечёт)

                                                                                                                                          ...
                                                                                                                                          Issuer: C = KZ, CN = Qaznet Trust Network
                                                                                                                                          Validity
                                                                                                                                          Not Before: Feb 2 05:41:00 2016 GMT
                                                                                                                                          Not After : Feb 2 05:41:00 2046 GMT
                                                                                                                                          Subject: C = KZ, CN = Qaznet Trust Network
                                                                                                                                          ...
                                                                                                                                          X509v3 Key Usage: critical
                                                                                                                                          Non Repudiation, Certificate Sign, CRL Sign
                                                                                                                                          ...

                                                                                                                                          PS: интересно кому сказать «спасибо» за карму и комментарии в пять минут. На хабре стало опасно выражать своё мнение…
                                                                                                                                            –12

                                                                                                                                            Не нужна никакая страница с инструкциями. Открываешь сертификат, смотришь его fingerprint, сравниваешь с тем, что у друзей, родственников или случайных прохожих. Если совпадает, значит, у тебя правильный сертификат. Если сомневаешься, то идешь пешком на телеграф и пишешь телеграмму лично "елбасы": "Прошу подтвердить, что гос. сертификат имеет отпечаток FF:CC:DE: и т. д., ответ телеграфируйте." Это как проверить.


                                                                                                                                            А заметить тоже несложно. Как только атака MITM закончится, сразу некорректный сертификат перестанет валидировать все нормальные ресурсы. Чтобы жертва ничего не заметила, этот сертификат должен подсовываться ей везде и всегда.

                                                                                                                                              +12
                                                                                                                                              Что и требовалось доказать. После того как атака будет проведена (пароли перехвачены и сменены, а деньги например переведены куда надо), атакующего будет мало волновать что вы поймёте что сертификат не тот. Да и сколько людей в процентном соотношении способны проверить/сравнить сертификат?
                                                                                                                                                0

                                                                                                                                                https://sectigo.com/legal Вот, пожалуйста. Можете убедиться, что корневые сертификаты sectigo, которыми подписаны yandex.ru и habr.com, распространяются по HTTP.

                                                                                                                                                  +16
                                                                                                                                                  Попробую дать немного более развёрнутый ответ.

                                                                                                                                                  Во-первых, это очевидно, что сами корневые сертификаты крупных Certification Authorities будут распространяться в открытом виде, так как это решает проблему курицы и яйца (нелогично отдать новый Root CA по HTTPS с тем же новым chain of trust, так как эта цепочка еще не является доверенной).

                                                                                                                                                  Во-вторых, вся эта информация всё-таки лежит на сайте доступном через HTTPS (https://sectigo.com) вместе с инструкциями как проверить эти сертификаты. Нужно учитывать, что эта информация предназначается для крупных игроков (Application Providers), и никакие конечные пользователи оттуда сертфикаты сами устанавливать не будут. (Не зря страница по ссылке называется Sectigo Legal Repository). То есть спецы из Mozilla или Google прежде чем взять и добавить оттуда что-то в trust store, получат это по юридическим каналам с подписями и десять раз перепроверят.

                                                                                                                                                  В третьих, habr.com подписан не корневым сертификатом Comodo, а Intermediate CA (COMODO RSA Domain Validation Secure Server CA), что является общеприянтой практикой, так как корневой сертификат такого уровня и его ключ хранятся в сейфе на выключенном из сети HSM. А это очень важно, так как если Intermediate CA будет взломан, его всё-таки можно быстро отозвать с помощью корневого сертификата через CRL или аналогичные механизмы.

                                                                                                                                                  Теперь попробуйте это сравнить с ситуацией когда а) конечных пользователей без опыта в IT вообще просят скачать и установить в систему корневой сертификат с сайта по HTTP и b) Этот сертификат стопроцентно находится на включенных в интернет прокси вместе со своим приватным ключом, так как он используется для того, чтобы на лету генерировать и подписывать сертификаты для всех доменов которые вы посещаете (любой MITM так устроен). Надеюсь разница в подходах к безопасности очевидна. Достаточно один раз персонально поучаствовать в физической разлочке Root CA чтобы понять насколько серьезно к этому должны относиться.
                                                                                                                                                    0
                                                                                                                                                    Этот сертификат стопроцентно находится на включенных в интернет прокси вместе со своим приватным ключом, так как он используется для того, чтобы на лету генерировать и подписывать сертификаты для всех доменов которые вы посещаете

                                                                                                                                                    Зачем? Им можно подписать дочерние сертификаты, которые в свою очередь уже будут подписывать трафик.
                                                                                                                                                      +1
                                                                                                                                                      Я мельком глянул на тестовый сайт этого сертификата и если не ошибаюсь там не увидел Intermediate CA. Технически это возможно, да. Но меняет только срок уязвиомсти. Даже если эти сертификаты сделают Intermediate CA и валидными несколько месяцев, у админов этих проксей соблазн будет огромен. Плюс эти прокси будут генерить логи с какими-то частями расшифрованных данных для последующего анализа.
                                                                                                                                                      0
                                                                                                                                                      Оставлю тут ссылку на видео про DNSSEC Key Ceremony, кому интересно посмотреть как это выглядит для рута DNS всея интернета www.youtube.com/watch?v=b9j-sfP9GUU
                                                                                                                                                +6
                                                                                                                                                На хабре стало опасно выражать своё мнение…

                                                                                                                                                Если мнение не совпадает с мнением толпы, то карму сливают на раз.
                                                                                                                                                  +7
                                                                                                                                                  Тут даже похоже, что это не толпа, а отдельная группа людей с какими-то своими интересами. В любом случае это меня удивило и (пользуясь случаем) спасибо тем кто это поправил. Надеюсь мои комменты по процедурам CA были кому-то полезны.
                                                                                                                                                    +9
                                                                                                                                                    У меня вот например почти нет заминусованных комментов, а большинство заплюсованно, но карма отрицательная. Причем минусы всегда в большом количестве появляются после заплюсованного комментария с выражением невосторженного отношением к действиям текущей власти. Как будто где-то в высокой башне сидят люди на зарплате и прям слетаются на такое. Crazy talk, конечно же.
                                                                                                                                                      +3
                                                                                                                                                      воистину :(
                                                                                                                                                        +1
                                                                                                                                                        Немного поправил карму, но это вполне реальный сценарий. Я не удивляюсь уже такому.
                                                                                                                                                          +1

                                                                                                                                                          Спасибо, помогло

                                                                                                                                                            +1
                                                                                                                                                            поправила тоже(обоим), надеюсь поможет
                                                                                                                                                            +2
                                                                                                                                                            Вы еще не видели комментариев к 5+ летней давности статьям, когда тебе приходит на почту оповещение что твое сообщение прокомментировали, открываешь его а там в после 2014 года с твоим комментарием этого же года, кто-то 3 минуты назад написал ответ и у этого ответа 3-х минутной давности уже плюсы стоят(в статье 2014 года).
                                                                                                                                                              +1

                                                                                                                                                              Просто оповещай модераторов об аномальной активности. Им тут помойка с ботами тоже не нужна.

                                                                                                                                                              +1
                                                                                                                                                              Значит можно сделать вывод, что на хабре появилась ячейка политических троллей. Которые повышают карму друг другу и занимаются отслеживанием неугодных в их политическом контексте пользователей и комментариев. Я бы на месте администрации хабра с этим разобрался
                                                                                                                                                                +1
                                                                                                                                                                Проблема есть и она налицо.
                                                                                                                                                                Политические тролли минусуют сразу в карму, ограничивая мою свободу слова (от кармы, например, зависит частота написания комментариев).
                                                                                                                                                                  +1
                                                                                                                                                                  Кстати, очень интересная задачка. Нарисовать графы сообществ «минусователей» и «плюсователей». Даже если теория «фабрики» не подтвердится, результат будет интересный. Есть ли «кланы», каково их поведение, как зарождаются и т.п.
                                                                                                                                                                  Есть варианты такую задачу решить на открытых данных?
                                                                                                                                                                    0
                                                                                                                                                                    Да, мне тоже такое интересно. Анализ данных, big data
                                                                                                                                                                +1
                                                                                                                                                                Меня один из пользователей критиковал, что я касаюсь политики, обсуждая технические вопросы. Но политика уже давно на хабре, причём в явными ура-патриотическими уклоном. Яркий пример посты про сериал Чернобыль от HBO
                                                                                                                                                                  0
                                                                                                                                                                  Я бы как-нибудь аккуратнее отделял мух от котлет.
                                                                                                                                                                  То, что называется провластным дискурсом (а в вашей терминологии, видимо, ура-патриотическим), на хабре примерно за последний год действительно усилилось, но ни о каком его доминировании речи пока не идет. Доминирующим здесь по прежнему является дискурс либеральный в широком понимании, от социал-демократов до анархо-либертарианцев. Есть и третий, наименее многочисленный, про который все благополучно забывают: его носители искренне ненавидят как либеральные ценности, так и текущую российскую власть, очень часто объединяя первое со вторым.
                                                                                                                                                                  [/мамкин социолог]
                                                                                                                                                              +2
                                                                                                                                                              У тех кто владеет приватными ключами огромный оптимизм и вера в то что ключ не утечёт

                                                                                                                                                              Все проще: им просто пофигу

                                                                                                                                                            +2
                                                                                                                                                            Таки я вас умоляю. Сертификаты, которые используются на всех госпорталах (egov.kz, cabinet.salyk.kz, stat.gov.kz, esf.gov.kz… тысячи их) уже сто лет лежат на pki.gov.kz (тоже http). Так что — ничего нового. Там же и «криптопровайдер» ncalayer, который официально представляет собой прокладку для java, а что это такое реально — никто не знает. Но все устанавливают, куда деваться…
                                                                                                                                                              0
                                                                                                                                                              Открытый ключ сертификата конечно по открытым каналам распространять, а как ещё? В этом же смысл открытых ключей
                                                                                                                                                              +21
                                                                                                                                                              В статье упущен один очень важный момент. MITM позволяет не только читать, но и писать от имени человека все что угодно.
                                                                                                                                                              Расшифрованный трафик осел на сервере, берем из него логины/пароли/куки/sessionid и делаем с ними все что хотим. 2FA не поможет.

                                                                                                                                                              Это гораздо страшнее чем просто чтение.
                                                                                                                                                                +1
                                                                                                                                                                Можно и не только куки воровать. Можно, например, скрипт на страничку внедрить, который сделает все, что нужно, ровно в тот момент, когда пользователь заходил на сайт (по логам провайдера). И пойди потом докажи кому-нибудь, что ты этого не делал.
                                                                                                                                                                  +2
                                                                                                                                                                  Вот все с кем я разговаривал, больше всего именно такого и опасаются. Нет доверия компетентным органом и их технической квалификации. (немного ошибся комментарием для ответа)
                                                                                                                                                                +3
                                                                                                                                                                Вот пускай эти умники рассказывают, как мне на сонерике сертификаты обновить :/ Лет пять уже пытаюсь — не принимает ни в какую. Хотя древние, которые по форумам гуляли — закидываются, и в них обычный DEP. Без новых сертификатов плохо, даже smtp.ukr.net уже давно без SSL не пускает.
                                                                                                                                                                  0

                                                                                                                                                                  Скорее всего ваш древний сонерик просто уже не умеет играть в современные протоколы.

                                                                                                                                                                    +2
                                                                                                                                                                    Протоколы здесь определённо ни при чём — сбой возникает на этапе установки сертификата. С версиями TLS/SSL-то понятно, что проблемы будут. Сейчас даже чтобы с MidpSSH подключиться к серверу — надо явно на нём старые алгоритмы и шифры включать.
                                                                                                                                                                      +6

                                                                                                                                                                      Совершенно при чем: от версии протокола зависят как минимум допустимые алгоритмы хэширования и подписи сертификатов. TLS 1.1 знать не знает о ECDSA и SHA256/512. А TLS 1.3 запрещает применение SHA1

                                                                                                                                                                  +2
                                                                                                                                                                  Не только.
                                                                                                                                                                  Вот скажем так я как разработчик одно приложение для Андроид пишу… оно правда для России хотя клиенты могут и в Казахстан приехать (и наверно ездят). Так вот — от наличие такого сертификата все сразу станет колом. И Андроид и iOS клиенты там доверяют только и исключительно зашитому в них сертификату, при этом приложение должно еще и клиентским (вшитым) сертификатом авторизоваться. А уже после всего этого начинается авторизация пользователя. Никакие установки ничего левого — не спасут. Убрать ограничение — безопасники сожрут(и вообщем то правы). При попытке подмены — будет сообщение что нет интернета.
                                                                                                                                                                  Скинуть чтоли службе техподдержке эту статью с комментарием почему в Казахстане не будет работать?
                                                                                                                                                                    +1
                                                                                                                                                                    При попытке подмены — будет сообщение что нет интернета.

                                                                                                                                                                    А нужно писать не про отсутствие интернета, а как есть, чтобы обычные люди понимали что происходит.
                                                                                                                                                                      0
                                                                                                                                                                      А нужно писать не про отсутствие интернета, а как есть, чтобы обычные люди понимали что происходит.

                                                                                                                                                                      Пробовать левые сертификаты отдельно ловить и писать что-то вроде «Обнаружена попытка несанкционированного вмешательства в обмен информаций с <официальное термин как называется контора>, попробуйте подключится к другой сети»?

                                                                                                                                                                        0
                                                                                                                                                                        Ну да, даже подробности из сертификата можно не доставать, главное чтобы человек понимал что проблема не в интернете, а в том, что кто-то по факту пытается перехватывать его данные.
                                                                                                                                                                  +1
                                                                                                                                                                  Для страны это вывод всех международных компаний и активов. Стоит оно того?
                                                                                                                                                                    +9

                                                                                                                                                                    Если выбор между жопой в экономике, запредельной бедностью населения с одной стоны и сохранением власти с другой, то диктаторы всегда выбирают второе.

                                                                                                                                                                      –1
                                                                                                                                                                      Собственно, это и происходит.
                                                                                                                                                                        –2
                                                                                                                                                                        А всегда ли?
                                                                                                                                                                        Пиночет — диктатор или таки нет для данной задачи?
                                                                                                                                                                        Власть отдал. Правда позаботился его не повесили сразу после. И жил спокойно пока не решил на лечение в демократичные страны слетать. Вот тут то и настигло его.

                                                                                                                                                                        Для диктаторов ж чаще всего с другой стороны не сохранение власти а сохранение жизни.