»

Rusija bo izdajala svoje certifikate TLS

Slo-Tech - Ker zaradi zahodnih sankcij ruske spletne strani ne morejo dobiti novih certifikatov oziroma obnavljati starih po izteku - nekateri izdajatelji so jim celo preklicali še veljavne certifikate -, je Rusija ustanovila centralnega overitelja (CA), ki bo stranem izdajal lastne certifikate. Ministrstvo za digitalni razvoj ponuja brezplačno domačo alternativo za potekle certifikate, ki jo lahko lastniki ruskih domen po zaprosilu dobijo v petih dneh, so zapisali na uradnem portalu.

To je sicer res, vendar pa to še vedno ni rešitev, dokler ti certifikati niso v verigi zaupanja, zato bodo brskalniki še vedno prikazovali opozorila. Rusija zato svoje državljane poziva, naj v brskalnike ročno dodajo novega overitelja, ali pa naj presedlajo na lokalna brskalnika Yandex ali Atom, ki jih podpirata že tovarniško. Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne. Nekatere spletne strani so nove certifikate že začele uporabljati, denimo Sberbank, VTB...

26 komentarjev

Naslednja država z velikim požarnim zidom: Kambodža

Slo-Tech - Kot piše The New York Times, bo Kambodža naslednja država s popolnim državnim nadzorom nad internetom po zgledu Kitajske. V Kambodži je svoboda na internetu že sedaj sorazmerno omejena, a se bo sutacija še bistveno poslabšala zaradi novega vladnega odloka, da mora od 16. februarja ves internetni promet potekati skozi državni portal, o katerem so govorili že lani. Uporaba portala bo za vse ponudnike dostopa do interneta obvezna, njegov obstoj pa utemeljujejo z blokado povezav, ki vplivajo na nacionalni dohodek, varnost, javni red, moralo, kulturo, navade in običaje.

Že sedaj poteka nadzor nad dogajanjem na internetu, ki ga izvajajo ministrstva. Kršitelji, ki objavljajo vsebine, s katerimi se vlada ne strinja, so lahko obtoženi in tudi obsojeni. Toda če je bil doslej nadzor omejen na spremljanje, bodo s preusmeritvijo prometa skozi državni portal zelo enostavno aktivno cenzuriranje in blokiranje dostopa. Državni portal bo de facto le centraliziral nadzor, ki je trenutno razdrobljen...

37 komentarjev

Proizvajalci brskalnikov proti kazahstanskemu prestrezanju šifriranega prometa

Slo-Tech - V Kazahstanu se ponavlja leto 2019, ko so oblasti skušale prisluškovati internetnemu prometu tako, da so državljane prisilile v namestitev državnega certifikata, kar je v praksi omogočalo izvedbo napadov MITM. Kakor tedaj, so se tudi letošnjem poizkusu odločno uprli proizvajalci brskalnikov.

Google, Mozilla, Apple in Microsoft, torej vsi najpomembnejši proizvajalci brskalnikov, so sporočili, da bodo naredili vse, da preprečijo kazahstanske nakane. Podjetja so že izdala posodobitve brskalnikov, ki kazahstanski korenski samopodpisani certifikat, ki ga oblasti vsiljujejo uporabnikom, uvrščajo na seznam preklicanih. Dodajajo, da je tako početje v nasprotju s standardi, saj ima lahko zasebne ključe certifikata le upravljavec domene, za katero je certifikat izdan.

Certifikat se je pojavil 6. decembra, z njim pa želijo šifrirati promet do vseh najpomembnejših zahodnih strani, med njimi Google, YouTube, Facebook, Gmail in tudi nekaj drugih, denimo VK in OK.ru. Vsem uporabnikom zato...

1 komentar

Kazahstan vnovič poizkuša prestrezati šifrirani promet

ZDNet - Še tretjič v zadnjih petih letih poizkušajo kazahstanske oblasti prisluškovati internetnemu prometu državljanov. V okviru vaje iz kibernetske varnosti so prebivalce prestolnice Nursultan (nekdanja Astana) prisilile v namestitev vmesnega certifikata, če želijo dostopati do storitev v tujini. Namestitev certifikata, ki ga izda vlada in za katerega ima zasebne ključe, pa seveda pomeni, da čeprav je povezava šifrirana, lahko z napadi MITM oblasti prisluškujejo. Poleg prisluškovanja pa napadi MITM omogočajo tudi manipulacijo, torej vrivanje in spreminjanje poslanih zahtevkov. Oblasti zatrjujejo, da je vaja posledica več kot dvakratnega povečanja internetnega prometa zaradi epidemije, ko so ljudje doma, in zanikajo kakršnokoli prisluškovanje.

Ponudniki dostopa do interneta Beeline, Tele2 in Kcell od včeraj uporabnike ob dostopu do tujih strani preusmerjajo na lokalno stran z navodili za namestitev omenjenega certifikata. Prebivalci glavnega mesta so prav tako prejeli kratka sporočila...

3 komentarji

Bodo SSL-certifikati veljavni le leto dni?

vir: ZDNet
ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni,...

19 komentarjev

Kazahstan: bil je test, nadzora interneta ne bo

Slo-Tech - Potem ko je minuli mesec veliko prahu dvignila napoved kazahstanski oblasti, da bodo začeli prestrezati in analizirati ves internetni promet v državi, je retorika sedaj v spravljivejših tonih. Ukrep, ki so ga številni pravniki označevali kot nezakonitega, je sedaj odpravljen. Kazahstanski Komite za nacionalno varnost je v torek sporočil, da je bila namestitev certifikatov preizkus, zato jih lahko uporabniki sedaj mirno odstranijo. Kazahstanski predsednik Kasim-Žomart Tokajev je na Twitterju izjavil, da je šlo za preizkus, ki ga je odredil sam, a da ne bo več vznemirjal uporabnikov interneta.

Kazahstanske oblasti so namreč zahtevale, da ponudniki dostopa do interneta in mobilni...

9 komentarjev

Kazahstan začenja napad MITM na ravni celotne države

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

25 komentarjev

Lenovo jo je za vsiljevanje reklam odnesel zelo dobro

Slo-Tech - Od septembra 2014 do januarja 2015 je Lenovo na svoje računalnike nameščal program VisualDiscovery podjetja Superfish, ki je uporabnikom med brskanjem po spletu prikazoval reklame. Kadar so uporabniki z miško lebdeli nad podobnim izdelkom, kot ga prodajajo partnerji oglaševalca, se jim je odprlo pojavno okence z reklamo. Da pa je VisualDiscovery na enak način lahko manipuliral tudi strani, obiskane prek šifrirane povezave HTTPS, je VisualDiscovery na računalnik namestil lasten korenski certifikat (root). Potem je brskalnik zamenjal legitimne certifikate spletnih strani s tem lastnim, da je lahko stregel reklame. Lenovo je tako dvojno pokvaril HTTPS - program ni preverjal,...

26 komentarjev

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

201 komentar

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

vir: Vice
Vice - Kazahstanska vlada si želi nadzor nad internetnimi komunikacijami svojih državljanov, pri čemer se ne želijo ubadati z zapletenimi ali celo prikritimi metodami za dosego tega cilja. Kitajci imajo veliki požarni zid, a to je drago početje. Zato so se v Kazahstanu odločili, da bodo uporabnikom interneta preprosto predpisali, da jim morajo to dovoliti. Od 1. januarja bodo morali uporabniki obvezno namestiti vladni certifikat, ki bo omogočal branje nešifriranih in šifriranih komunikacij. Sporočilo so v angleščini objavili na spletnih straneh državnega telekoma, a je po nekaj dneh skrivnostno izginilo.

Spomnimo, da je Lenovo na svoje računalnike nameščal certifikat s sumljivimi nameni, Dell pa je po neumnem uporabnike...

16 komentarjev

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Trustwavov javni ključ je vključen v skoraj vse brskalnike, zato ti zaupajo vsem certifikatov, ki jih izda Trustwave, njihov reseller ali posvečeno podjetje.

vir: The Register
The Register - Ameriški overitelj Trustwave se je zapletel v neprijeten indicident, ker so še neimenovanemu ameriškemu podjetju izdali začasni CA certifikat z možnostjo nadaljnje izdaje certifikatov za poljubne domene.

Tovrstni certifikati (subordinate root certificates) seveda niso na voljo v "prosti prodaji" in služijo zelo specifičnim namenom, predvsem nadzoru zaposlenih. Če podjetje sumi, da ti s pomočjo interneta ven pošiljajo poslovne skrivnosti, lahko začne preverjati vsebino njihove spletne komunikacije (prikrito prisluškovanje oz. sniffing), kar je mogoče, ker zaposlenemu zagotavljajo internetno povezavo in ves njegov promet gre čez njihove usmerjevalnike. Širšim rešitvam za omenjeni problem se pravi Data Loss Prevention sistemi oz. DLP sistemi.

Takšno...

26 komentarjev

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino...

13 komentarjev