» »

A1 MITM

A1 MITM

jukoz ::

Zdravo,

Matthai očitno še ni spisal članka, ampak mene je tole tako na rit vrglo da ne morem verjet:

https://telefoncek.si/2020/05/18/nenava...
https://telefoncek.si/2020/05/12/prestr...

Pri nas sicer nismo na A1 z mobiteli, ampak ene stranke so. In kot kaže se bo vpeljal VPN za vse.

Tele neumnosti so pa preveč.

PrimoZ_ ::

A1 šalabajzerji.
Prodajajo "varnost" na kile pa sploh ne vedo kaj prodajajo potem pa se delajo glupe.

McNato ::

Ali gre samo za mobilno mrežje ali tudi stacionarni internetni dostop ?

jukoz ::

Kot kaže za mobilno omrežje, kjer so vklopili "A1 Protekt" vsem uporabnikom.

MrStein ::

Če sem prav razumel, v primeru da je spletna stran (po njihovi oceni) "ne-varna", uporabniku izpišejo "stran je nevarna, če želite nadaljevati, kliknite sem, sicer pa tja".

S tem, da je to za HTTPS strani "malo težko" izpisati.
Potrebovali bi neki standard za to.

PS: Na FFTH omrežju pa promet uporabnikov pošiljajo drugim uporabnikom...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jukoz ::

V članku je razloženo kaj so delali s HTTPS =)

Lahko kaj več poveš o dogajanju na optiki?

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

jukoz ::

Ah ja, GPON.

Priporočam branje:
https://pierrekim.github.io/blog/2016-1...

boldleaf ::

Ne vem, zakaj se cudite glede A1. Prodajajo lokacijske podatke telefonov za zeleno lokacijo, baje jih sicer anonimizirajo ampak vseeno (https://www.a1.si/mobility-insight/dogo.... Je trenutno zadnja firma, kjer bi uporabljal telefon, kdorakoli ima ideje, da bi podatke o narocnikih prodajal, se bo hitro povampiril in pocel se kaj drugega.

Je pa nujno, da se tole razve in se naredi maksimalno slabe publicitete (in masovno zapusca omrezje A1), sicer se bo razpaslo tudi na ostale operaterje.

Kot sem ze n krat povedal, ce uporabniki A1 ne boste ukrepali, boste ziveli v prihodnosti v svetu, kjer vam bojo spremljali kompletno vsebino prenosa.

boldleaf ::

boldleaf je izjavil:

Kot sem ze n krat povedal, ce uporabniki A1 ne boste ukrepali, boste ziveli v prihodnosti v svetu, kjer vam bojo spremljali kompletno vsebino prenosa.


Da bo bolj jasno, premikanje kakrsnihkoli mej v smeri izkoriscanja uporabnika, je treba kaznovati takoj, premikajo se malo po malo, kuhanje zabe pac in ce to dovolite dobite kar se je zgodilo z googlom... iz search engina, ki je bil relativno nenevaren, ste dobili masovno sledenje vsem. Tu se bo zgodilo enako, zal nisem uporabnik, sicer bi jih hebal mater ampak tako boste protestirati morali sami, ne zato, ker vas morda moti prodaja lokacijskih podatkov, prestrezanja prometa, ampak zato, ker bo sicer cez leto dve se mnogo slabse.

boldleaf ::

Prebral se njihov odgovor, zadeva hudo nemarno spominja ne "think of the children" salabajzerske izgovore, ki so bili videni preteklih letih. Skrbimo za vaso varnost, bla bla. Ponudnik internetnih storitev se ne sme vtikati v vaso komunikacijo, kaj sele, da bi jo poskusal dekriptirat, kar A1 vsekakor pocne, verjetno se niti ne zavedajo kako deluje MITM na https povezavah, zato se branijo z neumnostmi ampak dejstvo je:

A1 poizkusa dekriptirati in brati vaso https komunikacijo, skratka gledati vsebino vseh vasih google searchov, vseh vasih facebook pogovorov, vseh posiljanj gesel, skratka vse kar pocnete na internetu bojo videli tudi sami. In temu je namenjena enkripcija, da vam preverjati ali skrbeti ni treba, kar pa poizkusajo zaobiti in dekriptirati vas promet.

Ali to uporabljajo za varnost ali pa malo preusmerijo pipico v oglasevalske vode, morda na terminal informatika, ki bi rad videl joske vase punce, pa ne boste sposobni niti vedeti niti preveriti.

Tole niso prakse, pri katerih bi bili tiho ali skomignili z rameni.

Zgodovina sprememb…

  • spremenilo: boldleaf ()

jukoz ::

Glede mobility insight sem si dopisoval z njimi ko so ga zagnali. Trdijo, da če je premalo uporabnikov na bazni postaji in bi se dalo posameznika identificirati, podatkov ne posredujejo.
Niso pa posredovali točnega podatka, koliko uporabnikov bi to moralo biti.

"Tole niso prakse, pri katerih bi bili tiho ali skomignili z rameni."

In tudi ne bomo =)

jukoz ::

veteran ::

Tole pa je sranje... Kaj pa Hofer (HoT), ki tudi gostuje v A1??

starfotr ::

Pri bobu ne gre za operaterja, pač pa je to blagovna znamka podjetja A1. Kot je blagovna znamka izi od telekoma. Pred tem je bil izimobil samostojna firma, ki so gostovali v telekom omrežju, katero je telekom nato kupil.

jukoz ::

jukoz je izjavil:

Nadaljevanje - bob:

https://telefoncek.si/2020/05/24/posega...


A je komu uspelo ponoviti?

Meni včeraj ob času prvotne objave ni uspelo, danes prav tako ne. Ne na Firefox, ne ne default Chromu - na Android 9.

Dag ::

Ali se šalabajzerji na A1 spet grejo MITM?

Če poksusim dostopati do hofer.si prek telefona iz omrežja A1, mi javi, da je certifikat neveljaven: https://imgur.com/a/eJd08Wt

Na telefonu, ki uporablja operaterja HOT (omrežje A1) ne javi nobene napake.

Na desktopu (T-2) ne javi nobene napake.

black ice ::

Za HOT lahko potrdim izjavo predhodnika.

misek ::

boldleaf je izjavil:

Je pa nujno, da se tole razve in se naredi maksimalno slabe publicitete (in masovno zapusca omrezje A1), sicer se bo razpaslo tudi na ostale operaterje.
Za prvi del se strinjam. Drugi del pa se ne bo nikoli zgodil (mislim masovno zapuščanje). Ker roko na srce: uporabnikov, ki jih take stvari sploh ne motijo oz. se jih sploh ne zavedajo, je daleč, daleč več kot onih drugih.

Dag ::

No, lepo. A1 s svoje FB strani briše objave uporabnikov z vprašanji o MITM napadih v njihovem omrežju.

Zanimivo, da mediji ne pograbijo zgodbe. Je A1 prevelik oglaševalec?

Miha 333 ::

Ampak točno to počnejo tudi nekateri antivirusni programi, pa se ne zganja vik in krik.

Karen ::

K zadnjemu, je velika razlika. Antivirusni program si inštaliraš sam, lahko ga tudi odinštaliraš... A1 pa ne moreš odinštalirat... nimajo kaj dr*at po tvoji komunukaciji če jim sam ne plačaš za to.

Zgodovina sprememb…

  • spremenil: Karen ()

Poldi112 ::

In kateri antivirus ti dela DPI ter zakaj ti bo rabil, če se itak nahaja na koncu komunikacijske poti?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

techfreak :) ::

Brskalnik je na koncu komunikacijske poti, ne AV. Ce nimas ravno plugina za brskalnike, ki jih uporabljas, potem je MITM edini nacin, da prestreza promet.

Miha 333 ::

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

Dag ::

Miha_333, primerjaš jabolka in podmornice. Kot je že nekdo napisal - antivirus si namestiš sam in s tem sprejmeš njegov način delovanja. A1 je mobilni operater in brez uporabnikovega naročila (privolitve) nima kaj posegati v vsebino komunikacije.

BTW, bi se strinjal s tem, da na pošti odprejo vsako pismo, ki je naslovljeno nate, tudi če jim tega nisi naročil?

sbawe64 ::

Dag je izjavil:

Ali se šalabajzerji na A1 spet grejo MITM?

Če poksusim dostopati do hofer.si prek telefona iz omrežja A1, mi javi, da je certifikat neveljaven: https://imgur.com/a/eJd08Wt

Na telefonu, ki uporablja operaterja HOT (omrežje A1) ne javi nobene napake.

Na desktopu (T-2) ne javi nobene napake.

Ste kaj štrikali po https://slo-tech.com zadnje čase ?
Na telefonu (samsung s3, kitkat os) imam enako ? napako, preko chrome (v81.0.4044.138) ne morem dostopati do slotecha, preko firefoxa (v68.8.1) dela bp.
Omrežje tu nima veze, ker preko vpnja v chrome javi enako napako kot brez vpnja.

Vidim da ST uporablja HSTS :D.

napaka:

Your connection is not privateAttackers might be trying to steal your information from slo-tech.com (for example, passwords, messages, or credit cards). 
Learn more
NET::ERR_CERT_AUTHORITY_INVALID



Edit
Če tapnem zgoraj v trikotnik levo pri url na Details, Certificates Information, vidim da so v uporabi 3 različni (certificate viewer):
slo-tech.com, serijska 00 8f ab 91... aug 29,2019 -> sep 27, 2021
setcigo ecc, serijska 00 f3 64 4e... nov 2,2018 -> jan 1, 2031
usertrust ecc certification authority, serijska 76 d8 b7 86..., may 30,2000 -> may 30,2020 //tale je očitno danes zapadel ??
https://www.tbs-certificates.co.uk/FAQ/...
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

sbawe64 ::

edit2:
Dodal https://www.tbs-certificates.co.uk/FAQ/... , samo ga doda v Settings, Security, Trusted credentials pod Users in ne v System, zato mi sedaj android javlja zgoraj v "trayu" trikotnik s klicajem (Network may be monitored , by an uknown third party).
Poleg tega moram izbrati password oz pin za display lock.
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

MrStein ::

Zna biti, da ima tvoj stari OS zastareli root certifikat oziroma nima novejših. Verjetno nima veze s to temo, tako da je najbolje novo odpreti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

starfotr ::

Dag je izjavil:

Miha_333, primerjaš jabolka in podmornice. Kot je že nekdo napisal - antivirus si namestiš sam in s tem sprejmeš njegov način delovanja. A1 je mobilni operater in brez uporabnikovega naročila (privolitve) nima kaj posegati v vsebino komunikacije.

BTW, bi se strinjal s tem, da na pošti odprejo vsako pismo, ki je naslovljeno nate, tudi če jim tega nisi naročil?


Jaz se ne strinjam, da na pošti vedo, da hočem poslat baterije in mi zaradi vsebine zavrnejo pošiljko. Prav tako se ne strinjam, da mi odpirajo pošiljko na carinski pošti, vendar tak je sistem, posegajo v vsebino mojega paketa/pisma. Tu je pa isto. Ne rečem, da je to prav, kar delajo, vendar tako je. Jim bo moral kdo to povedat na uraden način, da se tako ne dela.

Ales ::

Ne tu ni isto, ker ni "tak sistem".

SeMiNeSanja ::

starfotr je izjavil:

Dag je izjavil:

Miha_333, primerjaš jabolka in podmornice. Kot je že nekdo napisal - antivirus si namestiš sam in s tem sprejmeš njegov način delovanja. A1 je mobilni operater in brez uporabnikovega naročila (privolitve) nima kaj posegati v vsebino komunikacije.

BTW, bi se strinjal s tem, da na pošti odprejo vsako pismo, ki je naslovljeno nate, tudi če jim tega nisi naročil?


Jaz se ne strinjam, da na pošti vedo, da hočem poslat baterije in mi zaradi vsebine zavrnejo pošiljko. Prav tako se ne strinjam, da mi odpirajo pošiljko na carinski pošti, vendar tak je sistem, posegajo v vsebino mojega paketa/pisma. Tu je pa isto. Ne rečem, da je to prav, kar delajo, vendar tako je. Jim bo moral kdo to povedat na uraden način, da se tako ne dela.


Če hočeš na stvar gledat tako poenostavljeno, potem imaš prav.

Lahko pa gledaš tudi malo bolj 'globinsko' kjer se pa potem odpirajo vprašanja, katera, če nič drugega puščajo preveč dvoma in možnosti za nezaupanje v ponudnika.

Pošta ti ne bo odpirala pisma/paketa, če za to ni zakonske podlage. Tudi ne bo za neznan čas beležila vse naslove, s katerimi si si dopisoval. Hranijo se izključno naslovi, za katere obstaja zakonska podlaga (carinski podatki).

V A1 primeru pa že kot prvo nimajo zakonske podlage za vtikanje nosa v vsebino 'pošiljk'. Ravno tako nimajo zakonske podlage za beleženje s kom si 'dopisuješ'.
Seveda jim lahko v okviru neke storitve 'varna komunikacija' dovoliš vpoglede in beleženje podatkov. Toda v tem primeru bi pričakoval, da je jasno definirano KATERE podatke se beleži in za KOLIKO ČASA se jih hrani. Ravno tako bi moralo biti definirano kdo in pod katerimi pogoji sploh ima dostop do teh podatkov.

Že dolgo stvari niso tako preproste, ko se gre za 'osebne podatke', sploh ker se podatki naših komunikacij že lep čas smatrajo za osebne podatke.

Recimo, da je vse na A1 strani 'neoporečno', da so ustrezno poskrbeli za varovanje podatkov, pa da so podatki varni pred kakršnimikoli nepooblaščenimi posegi oz. vpogledi - še vedno ostaja en velik problem: podrto zaupanje.

Kot kaže, je A1 v zadnjem času imel nekaj presneto ponesrečenih 'akcij', s katerimi so pri marsikaterem uporabniku porušili zaupanje.

Moramo pa ostati realni: 'marsikateri' uporabnik je tu morda števka v velikosti 10% - ostalih 90% tudi če jim narišeš, nebi razumeli za kaj se gre in v čem bi lahko bil problem - saj stvari vendar 'delajo'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

d4vid ::

A A1 kaj čara po omrežju? Občasno imam poln 4G signal, pa izgleda kot bi bil DNS mrtev. Messenger in podobno mi dela, chrome/brskalnik pa ne najde strani....

Moram najti način, da odplacam telefon in se spokam k drugem operaterju....
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

starfotr ::

SeMiNeSanja, se strinjam.

Vendar tudi pri poštnih pošiljkah ne odprejo vseh, jih pa pregledajo z rentgenom. Ravno tako vsakega na letališču spustijo skozi detektor kovin in vso prtljago pregledajo preko rentgena, ter zavržejo vse šampone, ki so v večjih pakiranjih.

Gre se za nesorazmernost.

Kot se gre tudi v tem primeru za nesorazmernost.

Komu je danes mar za zaupanje in dolgoročno delovanje? Nikomur, ker vsak gleda samo na kratkoročni dobiček.

Ales ::

Ne razumem, zakaj enačiš to dvoje. Carinski pregled ima zakonsko podlago, "pregled" prometa pri A1 pa prav obratno, ni zakonit.

starfotr ::

Oboje je poseg v zasebnost. Eno se dogaja na fizicnem, drugo na virtualnem nivoju. Nima veze.

SeMiNeSanja ::

Ales je izjavil:

Ne razumem, zakaj enačiš to dvoje. Carinski pregled ima zakonsko podlago, "pregled" prometa pri A1 pa prav obratno, ni zakonit.

Nič ni samo po sebi nezakonitega ČE si naročil takšno storitev oz. dobil ponujeno možnost za Opt-IN.

A hudir se butlni lotijo zadeve na način, da se slabše nebi mogli - da na koncu (če je verjeti nekim posameznikom) še Opt-OUT ne deluje. Dvakratni zelo hud fail, četudi so morda hoteli le najboljše za svoje uporabnike.

Ko se ti zgodi tak dvojni fail - kako boš potem uporabnike prepričal, da ti lahko vseeno zaupajo brez pomislekov?
Na mestu A1 bi uporabnikom spisal eno dolgo opravičilo in VSEM izklopil tisto 'dobronamerno' varnostno storitev. Nato pa bi lahko ponudil možnost za Opt-IN - za tiste, ki jim še nisi do konca poteptal zaupanja.

Pa še potem - tudi če gospodom brezmejno zaupaš, ni nujno, da v enaki meri zaupaš
rešitvi, s katero izvajajo to storitev.
Par let nazaj so raziskovalci testirali različne rešitve, vključno z AV proizvodi in ugotovili celo kopico pomanjkljivosti v njihovih implementacijah. V zadnjem času je ena od najbolj kritičnih pomanjkljivosti degradacija povezav iz TLS 1.3 na stare nižje variante TLS-a, ker številne rešitve še ne podpirajo TLS 1.3 (med njimi tudi takšne, za katere to nebi pričakoval!). Pa poskusite uganiti, koliko ponudnikov tovrstnih rešitev opozori svoje uporabnike, da (še) ne podpirajo zadnje varnostne standarde... Običajno je ravno obratno - kljub temu, da ne podpirajo aktualnih standardov, se hvalijo, da so njihove rešitve najboljše, kar lahko kupite!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Ales ::

SeMiNeSanja je izjavil:

Ales je izjavil:

Ne razumem, zakaj enačiš to dvoje. Carinski pregled ima zakonsko podlago, "pregled" prometa pri A1 pa prav obratno, ni zakonit.

Nič ni samo po sebi nezakonitega ČE si naročil takšno storitev oz. dobil ponujeno možnost za Opt-IN.

Če bi čebulček... pa to... pred zakonom pač ne zdrži.

Njihovo početje je nezakonito, pika.

Mirno lahko namreč režeš človeka in mu odstraniš levo nogo, ČE... ane? Ko pa te nek debil na ulici podi z kirurško žago in ti reže ude, verjetno ne boš šel razpravljati, da je to lahko legalno ČE...?

Zgodovina sprememb…

  • spremenil: Ales ()

SeMiNeSanja ::

Ales je izjavil:

SeMiNeSanja je izjavil:

Ales je izjavil:

Ne razumem, zakaj enačiš to dvoje. Carinski pregled ima zakonsko podlago, "pregled" prometa pri A1 pa prav obratno, ni zakonit.

Nič ni samo po sebi nezakonitega ČE si naročil takšno storitev oz. dobil ponujeno možnost za Opt-IN.

Če bi čebulček... pa to... pred zakonom pač ne zdrži.

Njihovo početje je nezakonito, pika.

Mirno lahko namreč režeš človeka in mu odstraniš levo nogo, ČE... ane? Ko pa te nek debil na ulici podi z kirurško žago in ti reže ude, verjetno ne boš šel razpravljati, da je to lahko legalno ČE...?

Pa kaj si se zdaj zapičil v mene? Ali sem kje zapisal, da pri celi zadevi ni morebitnih težav z zakonitostjo? Nisem pa jaz zakonodajalec ali inšpektor, še manj pa sodišče, da bom sodil o tem ali so bili v prekršku ali so 'zabredli' še huje. Nočem namreč špekulirati o tem, ali so ravnali 'v dobri veri', ampak zasrali vse ostalo, ali pa so imeli 'bolj črne' namere in načrte. Za to obstajajo ustrezni organi, kateri upam, da se s tem ukvarjajo.

Nebi pa bil tak kot tisti, ki so tam na divjem zahodu skandirali ob vislicah, ko so linčali nekega zlikovca.

Dokler neka uradna inštitucija ne objavi, da se je dejansko šlo za zlorabo osebnih podatkov, ne pa 'zgolj' za grdo šlamparijo, sicer z dobrim namenom, bi bilo prav, da vsi to zadevo tako jemljemo.

Nekako moraš ločiti med zadevami, podobno kot pri uboju in umoru - končni rezultat je sicer isti, vendar je v enem primeru bil vzrok v malomarnosti, v drugem primeru pa je bila stvar naklepna.

Enako se v IT dogajajo bedarije ... in svinjarije. V katero kategorijo zadeva z A1 spada, pa mislim, da ne moreva soditi ne ti ne jaz, ker imava bistveno premalo podatkov - poznava samo končni 'izid' - kako je do njega prišlo, zakaj in kaj vse se je ob tem še dogajalo, pa lahko le ugibava.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

A1 Slovenija (strani: 1 2 3 4 5 6 7 )

Oddelek: Mobilne tehnologije
34282608 (1247) Peon
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
12327408 (17740) poweroff
»

Undelivered Mail Returned to Sender

Oddelek: Pomoč in nasveti
384041 (3205) SeMiNeSanja
»

Predplačniški paket, rabim malo vaše pomoči

Oddelek: Mobilne tehnologije
224116 (3256) FrRoSt
»

Znane cene Hoferjeve mobilne telefonije HoT (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
9035313 (23622) AštiriL

Več podobnih tem