Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане

pprometey 19.07.2019 23:43 | Общество 179

MITM — man in the middle attack
хакерская схема просмотра всего трафика, когда есть хакер-посредник при обмене данными в интернете. Теперь в лице такого «хакера» выступают госслужбы Казахстана.

Ну во-первых, все мобильные телекоммуникационные компании в Казахстане стали квази-государственными. А по факту, в руках одной правящей семьи, узурпировавшей власть в Республике. Кроме возможно Билайна, но который тоже, видимо, поделился доходами, как это принято в азиатских сатрапиях.

А теперь сегодня вечером приходит СМС

image

Специальный сертификат попросили установить на смартфоны казахстанцев

«Есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности. Этот сертификат разработан компетентными органами, который необходимо установить на все устройства, которые выходят в Интернет», — рассказал директор по корпоративным коммуникациям «Beeline Казахстан» Алексей Бендзь.

Под видом защиты самих пользователей, а по факту — слежка за гражданами. Очень четкий сигнал свободным и умным людям, которые еще остались в КЗ — уезжать из страны туда, где их права будут уважать больше.
Еще один шаг к тоталитаризму. Полное пренебрежение правами человека, описанными в уставе ООН.

Bug 1567114
MITM on all HTTPS traffic in Kazakhstan
bugzilla.mozilla.org/show_bug.cgi?id=1567114

Комментарии к статье:

    • +15
      Если и следят, то не так топорно, и не за всеми, и со стороны соответствующих сервисов(благо они все под юрисдикцией англосаксов ходят, и им можно послать order на выдачу конкретно нужной их службам инфы). А такой наглый подход в лоб ни в одном государстве никто пока вроде до Казахстана не испытывал.

      Тут, как я понимаю, они гонят весь HTTPS трафик любого пользователя через свои прокси, использующие этот самый левый «государственный» серт, и могут просматривать данные из любой HTTPS -сессии. Что плохо даже не из соображений приватности(я не большой её поборник), плохо это из элементарных соображений безопасности.

      Где гарантии, что люди, что заправляют проскированием и имеющие доступ к данным, передающимся по HTTPS, не начнут использовать возможности этой системы в своих, корыстных, целях? Прознают что у кого-то есть «лишние» деньги и отожмут их? Или узнают как работает определённый бизнес, окажут на него давление в чувствительной области, и отожмут часть бизнеса, а то и весь? Или используют доступ к прокси для незаконной слежки, с фальсификацией улик? К примеру отдадут местному оппозиционеру вместо запрошенного видосика с котиками что-то другое со своего прокси, не совсем законное в Казахстане. И что будет делать этот оппозиционер, если «факты» будут против него?

      Вы забываете, что шифрование трафика нужно не только для обеспечения определённой приватности(когда провайдер знает к какому хосту вы подключились, но не знает что именно вы получаете или передаёте этому хосту), но и как гарантия, что между клиентом и сервером нет прокладки, способной смотреть что передаётся по каналу, и даже изменять передаваемое содержимое. Это защита от MITM, какая-никакая, но лучше чем ничего.

      Я бы, к примеру, не стал бы пользоваться онлайн-банкингом не использующем HTTPS, или использующим не валидный серт. И дело тут не в соображениях приватности, дело в том, что Plain HTTP — это очень не безопасно. А не валидный серт — с большой долей вероятности говорит о том, что или с серваком сервиса что-то не то(не стоит таким пользоваться, вдруг его хакнули и что-то левое там творится), или между вами и сервисом уже работает MITM, юзающий не валидный серт.

      • +3

        Где гарантии, что люди, что заправляют проскированием…

        Это как раз и есть один из аргументов в пользу приватности

        • +3
          Зачастую такие MITM-сертификаты прикрывают реальные проблемы с сертификатами сайтов. Такое уже было с касперычем, когда его сертификат в KIS, используемый для «защиты» браузинга посредством прокси на localhost, скрывал реальные проблемы с сертификатами сайтов (попадание в списки отзыва сертификатов, протухание по дате, и т.п.), т.е. прокси аксептила всё подряд и не передавала информацию о проблеме в браузер. Х.з. пофиксили ли они это сейчас.
          • +3
            Ну, пользоваться антивирусом с встроенным прокси — не нормально как-то. А к KIS у меня что-то давно доверия нет. Может это одно из проявлений моей паранойи, кто его знает…
          • 0
            Тут самоподписанный корневой сертификат через HTTP раздают, мне кажется их прокси будет сильно хуже, чем разработанная спецами в Касперском. И согласен, MITM прокси в этом плане ужасна, там скорее всего не будет многих проверок, которые делают современные браузеры (например certificate pinning), будут пропускать старые версии TLS с непонятно какими ciphersuites. А вишенкой на торте будут уязвимости самой прокси, которую в итоге или хакнут или сольют приватный ключ от этого корневого сертификата (30 лет валидности хехе)
            Немного оптимизма внушает только то, что внедрение root CA поддерживается далеко не везде, особенно в мире нативных приложений (не браузеров), а с внедрением TLS1.3 может вообще сойти на нет, хотя подозреваю что корпоративные политики будут до последнего использовать фильтрующие прокси с TLS MITM.

     

    Сейчас на главной
    Статьи по теме