о проекте

войти | регистрация

 
 

 

 
 

персоны

 
   
 

тема

 
   
 

топ блоги

 
 

Экспертное мнение

126.60

Сейчас скажу

73.87

Активный отдых

59.33

IT-баранки

48.50

Выборы. Конкурсы. Розыгрыши.

46.71

Вкусная жизнь

43.03

Додыр

39.58

Полит просвет

35.49

Выборы мэра Тольятти-2012

34.76

Развитие Тольятти

33.03


Все блоги

 
 
 
 

IT-баранки

 
Блог о мучных изделиях в Информационных Технологиях.
 

Казахстан собирается контролировать и прослушивать весь HTTPS-трафик - «Хакер»


Начиная с 1 января 2016 года, правительство Казахстана собирается прослушивать весь пользовательский трафик, включая зашифрованные HTTPS-соединения. Для этого были внесены соответствующие поправки в закон «О связи». Для реализации глобальной прослушки будет выпущен специальный корневой сертификат, который создаст Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.

Новость о внедрении «национального сертификата безопасности» была опубликована на сайте АО «Казахтелеком», однако позже загадочным образом оттуда исчезла. Но кэш Google все помнит.



Как можно заметить, технических подробностей пока мало, но в целом схема работы «национального сертификата безопасности» ясна. Пользователей обяжут загрузить и установить на все устройства правительственный сертификат, через который будет проходить весь защищенный трафик зарубежных веб-сайтов. Можно предположить, что дешифровке подвергнется не только весь HTTPS-трафик, но и прочие TLS-соединения.

Фактически, это означает, что во время установки SSL-соединения настоящий сертификат сайта будет подменяться фальшивкой, сгенерированной на лету. Такой подставной сертификат будет завязан на «национальный сертификат безопасности», который всех пользователя страны заставят добавить в список доверенных корневых сертификатов. В результате браузер сочтет фальшивку доверенной.

Без установки корневого сертификата браузеры будут пугать пользователей предупреждениями о том, что сертификат недействителен. Чтобы не возникло паники, «Казахтелеком» обещает провести разъяснительную работу с пользователями в декабре 2015 года и опубликовать соответствующие инструкции и пояснения на официальном сайте.

Если все пройдет именно так, как запланировано, начиная с января 2016 года, власти страны действительно получат полный доступ к трафику пользователей, и наступит эра «Великого казахского файрвола». Однако ни одно защищенное соединение в стране после этого не сможет считаться по-настоящему защищенным. Соединение с банком или платежной системой, сессия с iCloud или Dropbox, всё будет как на ладони.

Похожие схемы использует правительство Китая и «Великий китайский файрвол» он же «Золотой щит». Так, в апреле текущего года Google забанила в удостоверяющем центре Chrome китайский корневой сертификат, созданный с аналогичной целью. Реакции от других компаний на действия Поднебесной, впрочем, не последовало.
упоротость

Комментарии (16)

+
+2
Да была уже статья вроде об этом способе. Технари если какие интересуются можете почитать:
avatar

LazyCat

  • 3 декабря 2015, 13:36
+
+2
avatar

LazyCat

  • 3 декабря 2015, 13:36
+
0
Любой посредник (MitM), по-моему, может сделать с трафиком все, что хочет (в том числе, прочитать и, даже, подменить), кроме того, что может сделать сам клиент единосубъектно. Ну, то есть, подпись может подменить своей, а подделать подпись клиента не может.
Но пока есть зарубежные прокси, и они меняют адреса, можно использовать других посредников, если внешний интернет не блокируют. А если кто-то заблокирует, то их люди будут развиваться медленнее, а значит, их зохватют, ранаелепозна.
avatar

jagg

  • 5 декабря 2015, 23:25
+
+1
:-) А что вы знаете о владельцах зарубежного прокси-сервера? Наши спецслужбы или иностранные вполне себе могут открыть зарубежный прокси-сервер, разрекламировать его как пиратский и спокойно собирать весь проходящий через него трафик. Мало того, вы же все равно через провайдера нашего выходите в интернет, а он сейчас обязан хранить в течение суток полный лог сетевой активности.
avatar

LazyCat

  • 6 декабря 2015, 06:08
+
0
В моем ответе будет две цитаты из комментария, на который Вы отвечали.
«Любой посредник (MitM), по-моему, может сделать с трафиком все, что хочет (в том числе, прочитать и, даже, подменить), кроме » MitM — Man in the Middle, посредник. Если у провайдеров будет выбор, то они выберут не вмешиваться, ибо это конкурентный плюс. А если у провайдеров страны выбора не будет, то «их люди будут развиваться медленнее, а значит, их зохватют, ранаелепозна.»
avatar

jagg

  • 6 декабря 2015, 22:43
+
0
Ну, то есть, ограничивать доступ к некоторым ресурсам тем, кто не способен воспользоваться иностранным прокси, может быть полезен (зависит от того, доступ к чему ограничивают). Раз уж в Интернете бегают и оставляют что-то сотни миллионов красноглазиков (c — lurkmore). Но вот доступ к lurkmore ограничили козлы.
Но если ограничить совсем, то люди будут развиваться в отрыве от мировой культуры (пусть и не всегда приемлемой), а значит отстанут.
avatar

jagg

  • 6 декабря 2015, 22:59
+
+2
нене, тут дело не в инъекции левого сертификата в пакет, а в подмене сертификата на свой.
avatar

Mefistofile

  • 3 декабря 2015, 13:44
+
+1
Суть то та же — создается национальный сертификат, у каждого провайдера прозрачная прокся, на клиентов сертификат ставится и вуаля — весь трафик ваш.
avatar

LazyCat

  • 3 декабря 2015, 13:46
+
+1
суть, пожалуй да, но вероятно половитна инотсранных сервисов будет недоступна/доступна не в полном объёме, бред вобщем какйто
avatar

Mefistofile

  • 3 декабря 2015, 13:53
+
+1
Ну, я еще пару лет назад интересовался, есть ли возможность (с юридической точки зрения) закупить иностранное оборудование спутникового двухстороннего интернета и провайдер тоже чтобы были иностранный. Но что-то толком так и не выяснил :) Но это дорогое удовольствием.
avatar

LazyCat

  • 3 декабря 2015, 14:00
+
+1
Юридически- всем равнозначно пофигу, если всё оборудование будет сертифицированно и вы не будите предоставлять услуг связи посторонним людям. но ценник… Только если на участке небольшая нефтяная скважина будет работать)
avatar

Mefistofile

  • 3 декабря 2015, 14:12
+
+1
Если только вскладчину тогда… хотя это уже предоставление доступа, наверное, квалифицируется…
avatar

LazyCat

  • 3 декабря 2015, 14:16
+
+1
По большему счеты всем пофиг что вы там качайте порнуху тоннами, для лёгкой анаонимизации можно каким нить фригейтом прикрыться.
avatar

Mefistofile

  • 3 декабря 2015, 14:18
+
+1
:-D давным давно не качаю уже, возраст всё-таки. Про анонимность я чисто теоретически рассуждаю. Я в принципе интернет могу использовать только чтобы в Стиме поиграть и аниме смотреть. Ну рецепты еще почитать.
avatar

LazyCat

  • 3 декабря 2015, 14:22
+
+1
симка на чужой паспорт, модем купленный с рук, как и ноутбук. Вот вам и анонимность. Я не говорю уж про ботнет из соседских wi-fi роутеров.
avatar

Mefistofile

  • 3 декабря 2015, 14:24
+
0
А у нас все проще. Читать можно только то, что разрешено. Вот, например Lurkmore читать нельзя. Но через немецкий прокси можно. Типа, на всякую хитрую найдется с резьбой. А кто-то относится к этому серьезно.
Граждане казахи. Советую Вам ходить в инет через анонимный прокси в Германии, например.
avatar

jagg

  • 5 декабря 2015, 04:04

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
 
 

 

Прямой эфир

 
 
 
 

Тэги

 
   

 

 
             
 

Войти

Регистрация

Разделы

Новости

Блоги
Персоны

Газета

Блоги

Коллективные

Персональные

Инфо

О сайте

Правила

Соглашение

Услуги

Реклама

Партнерская программа

         
             
 

Все права на материалы, находящиеся на сайте , охраняются в соответствии с законодательством РФ, в том числе, об авторском праве и смежных правах. При любом использовании материалов сайта, гиперссылка (hyperlink) на сайт обязательна. (Условия ограниченного использования материалов)

Разработка сайта:

   

Дизайн: Грасмик Александр

Движок: LiveStreet