MITM — man in the middle attack
хакерская схема просмотра всего трафика, когда есть хакер-посредник при обмене данными в интернете. Теперь в лице такого «хакера» выступают госслужбы Казахстана.
Ну во-первых, все мобильные телекоммуникационные компании в Казахстане стали квази-государственными. А по факту, в руках одной правящей семьи, узурпировавшей власть в Республике. Кроме возможно Билайна, но который тоже, видимо, поделился доходами, как это принято в азиатских сатрапиях.
А теперь сегодня вечером приходит СМС
Специальный сертификат попросили установить на смартфоны казахстанцев
«Есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности. Этот сертификат разработан компетентными органами, который необходимо установить на все устройства, которые выходят в Интернет», — рассказал директор по корпоративным коммуникациям «Beeline Казахстан» Алексей Бендзь.
Под видом защиты самих пользователей, а по факту — слежка за гражданами. Очень четкий сигнал свободным и умным людям, которые еще остались в КЗ — уезжать из страны туда, где их права будут уважать больше.
Еще один шаг к тоталитаризму. Полное пренебрежение правами человека, описанными в уставе ООН.
Bug 1567114
MITM on all HTTPS traffic in Kazakhstan
bugzilla.mozilla.org/show_bug.cgi?id=1567114
Комментарии к статье:
*Экстремистские и террористические организации, запрещенные в Российской Федерации: «Свидетели Иеговы», Национал-Большевистская партия, «Правый сектор», «Украинская повстанческая армия» (УПА), «Исламское государство» (ИГ, ИГИЛ, ДАИШ), «Джабхат Фатх аш-Шам», «Джабхат ан-Нусра», «Аль-Каида», «УНА-УНСО», «Талибан», «Меджлис крымско-татарского народа», «Мизантропик Дивижн», «Братство» Корчинского, «Тризуб им. Степана Бандеры», «Организация украинских националистов» (ОУН)
Источник:
glowingsword вчера в 23:26
+15
Если и следят, то не так топорно, и не за всеми, и со стороны соответствующих сервисов(благо они все под юрисдикцией англосаксов ходят, и им можно послать order на выдачу конкретно нужной их службам инфы). А такой наглый подход в лоб ни в одном государстве никто пока вроде до Казахстана не испытывал.
Тут, как я понимаю, они гонят весь HTTPS трафик любого пользователя через свои прокси, использующие этот самый левый «государственный» серт, и могут просматривать данные из любой HTTPS -сессии. Что плохо даже не из соображений приватности(я не большой её поборник), плохо это из элементарных соображений безопасности.
Где гарантии, что люди, что заправляют проскированием и имеющие доступ к данным, передающимся по HTTPS, не начнут использовать возможности этой системы в своих, корыстных, целях? Прознают что у кого-то есть «лишние» деньги и отожмут их? Или узнают как работает определённый бизнес, окажут на него давление в чувствительной области, и отожмут часть бизнеса, а то и весь? Или используют доступ к прокси для незаконной слежки, с фальсификацией улик? К примеру отдадут местному оппозиционеру вместо запрошенного видосика с котиками что-то другое со своего прокси, не совсем законное в Казахстане. И что будет делать этот оппозиционер, если «факты» будут против него?
Вы забываете, что шифрование трафика нужно не только для обеспечения определённой приватности(когда провайдер знает к какому хосту вы подключились, но не знает что именно вы получаете или передаёте этому хосту), но и как гарантия, что между клиентом и сервером нет прокладки, способной смотреть что передаётся по каналу, и даже изменять передаваемое содержимое. Это защита от MITM, какая-никакая, но лучше чем ничего.
Я бы, к примеру, не стал бы пользоваться онлайн-банкингом не использующем HTTPS, или использующим не валидный серт. И дело тут не в соображениях приватности, дело в том, что Plain HTTP — это очень не безопасно. А не валидный серт — с большой долей вероятности говорит о том, что или с серваком сервиса что-то не то(не стоит таким пользоваться, вдруг его хакнули и что-то левое там творится), или между вами и сервисом уже работает MITM, юзающий не валидный серт.
A1054 вчера в 23:37
+3
Где гарантии, что люди, что заправляют проскированием…
Это как раз и есть один из аргументов в пользу приватности
tbl вчера в 23:38
+3
Зачастую такие MITM-сертификаты прикрывают реальные проблемы с сертификатами сайтов. Такое уже было с касперычем, когда его сертификат в KIS, используемый для «защиты» браузинга посредством прокси на localhost, скрывал реальные проблемы с сертификатами сайтов (попадание в списки отзыва сертификатов, протухание по дате, и т.п.), т.е. прокси аксептила всё подряд и не передавала информацию о проблеме в браузер. Х.з. пофиксили ли они это сейчас.
glowingsword сегодня в 00:36
+3
Ну, пользоваться антивирусом с встроенным прокси — не нормально как-то. А к KIS у меня что-то давно доверия нет. Может это одно из проявлений моей паранойи, кто его знает…
foxyrus сегодня в 10:18
0
VPN-сервис от «Лаборатории Касперского» единственный начал блокировать запрещенные в России сайты
Cenzo сегодня в 03:35
0
Тут самоподписанный корневой сертификат через HTTP раздают, мне кажется их прокси будет сильно хуже, чем разработанная спецами в Касперском. И согласен, MITM прокси в этом плане ужасна, там скорее всего не будет многих проверок, которые делают современные браузеры (например certificate pinning), будут пропускать старые версии TLS с непонятно какими ciphersuites. А вишенкой на торте будут уязвимости самой прокси, которую в итоге или хакнут или сольют приватный ключ от этого корневого сертификата (30 лет валидности хехе)
Немного оптимизма внушает только то, что внедрение root CA поддерживается далеко не везде, особенно в мире нативных приложений (не браузеров), а с внедрением TLS1.3 может вообще сойти на нет, хотя подозреваю что корпоративные политики будут до последнего использовать фильтрующие прокси с TLS MITM.