Prijavi se z GoogleID

» »

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

vir: Vice
Vice - Kazahstanska vlada si želi nadzor nad internetnimi komunikacijami svojih državljanov, pri čemer se ne želijo ubadati z zapletenimi ali celo prikritimi metodami za dosego tega cilja. Kitajci imajo veliki požarni zid, a to je drago početje. Zato so se v Kazahstanu odločili, da bodo uporabnikom interneta preprosto predpisali, da jim morajo to dovoliti. Od 1. januarja bodo morali uporabniki obvezno namestiti vladni certifikat, ki bo omogočal branje nešifriranih in šifriranih komunikacij. Sporočilo so v angleščini objavili na spletnih straneh državnega telekoma, a je po nekaj dneh skrivnostno izginilo.

Spomnimo, da je Lenovo na svoje računalnike nameščal certifikat s sumljivimi nameni, Dell pa je po neumnem uporabnike ogrozil, in to prav tako s certifikatom. Kaj točno bo kazahstanski "nacionalni certifikat za varnost na internetu", še ni jasno. Bo pa kazahstanski certifikat verjetno omogočal izvedbo napadov MITM (man-in-the-middle) na uporabnikovo sejo med šifriranim brskanjem po spletnih straneh, njegova namestitev pa bo obvezna na vse naprave, ki imajo dostop do interneta in poganjajo Windows, Mac OS X, iOS ali Android. O Linuxu za zdaj še ni govora.

Vladni certifikati načeloma niso nič nenavadnega, če se uporabljajo normalno. Slovenski overitelj SIGOV-CA recimo zagotavlja istovetnost strani državnih organov v Sloveniji. Obvezna namestitev certifikatov za namene prestrezanja komunikacij, kot je napovedano za Kazahstan, pa je seveda povsem drug problem. Več bo znanega do konca leta.

Če bo Kazahstan resnično izvedel ta načrt, pa se utegne zgoditi, da bodo Google, Mozilla in ostali v svojih brskalnikih blokirali kazahstanske overitelje certifikatov. Podobno se je leta 2011 zgodilo DigiNotarju, ko so hekerji po vdoru vanj izdali na desetine lažnih certifikatov. Novejši brskalniki pa podpirajo tudi public key pinning, ki omejuje overitelje, ki lahko izdajo certifikate za določeno stran, saj ni prav nobene potrebe, da bi za Googlovo stran jamčil kazahstanski overitelj.

16 komentarjev

vostok_1 ::

Škoda. Pa taka dobro razvijujoča se in lepa dežela.

Vlayke ::

Ambiciozen in zanimiv eksperiment.

Veliko težav se tu pojavi z izvedbo. Če pustimo po strani zasebne uporabnike, bo zanimivo videti, kako se bodo na to odzvala podjetja. Težko je verjeti, da bodo multinacionalke na široko odprle svoje komunikacije vladnemu vohljanju.

Poleg tega pa če je Linux izpuščen, ima potem vsak dokaj legalen izgovor, zakaj iz njegovega javnega IP-ja prihaja šifrirana komunikacija. Ali si bojo pa hitro vsi nabavili pametne TV-je in od tam varno brskali :-D

Zanimivo bi pa tudi bilo vedeti kake so potencialne posledice, če si tega certifikata ne namestiš...

SeMiNeSanja ::

Kakšna bo posledica?

Še vedno bodo lahko gledali kaj komuniciraš, samo vsakič posebej te bo brskalnik opozarjal, da povezava ni varna - ali pa jo že v osnovi ne bo hotel vzpostaviti.

LeQuack ::

Zakaj je oblast vedno največji sovražnik države? A je to psihološko ali je kaj drugega?
Quack !

tikitoki ::

Inštaliraš Linux in je problem rešen. Yay za vse zagovornike Linuxa:)

SeMiNeSanja ::

tikitoki je izjavil:

Inštaliraš Linux in je problem rešen. Yay za vse zagovornike Linuxa:)

Če gre ves promet skozi DPI, ne boš popolnoma nič profitiral, če boš na Linuxu.

Razlika med nameščenim in nenameščenim certifikatom je zgolj v tem, da ti v prvem primeru ne blokira dostopa do strani, oz. ti ne meče stalno ven varnostna opozorila zaradi neustreznih certifikatov. Dejansko bi si želel namestiti certifikat, da bi vedel, ali še kdo tretji vleče na uhlje, ne samo država. Ali si pri tem na Linuxu ali Windows-ih, sploh ne igra nobene vloge.

Vlayke ::

SeMiNeSanja je izjavil:

Če gre ves promet skozi DPI, ne boš popolnoma nič profitiral, če boš na Linuxu.


DPI ne pomaga prav dosti, če je tvoj promet kriptiran. Če grem naprimer na Amazon.com bo to vse kar bodo lahko videli. Ne bodo pa imeli vpogleda v to kaj kupujem ali pa v številko moje kreditne kartice.
Lahko da sicer narobe razumem, ampak poanta tega državnega certifikata naj bi bila prav to, da bo država lahko odšifrirala tvoj zaščiten promet.

Zakaj bi ti nenameščen državni varnostni certifikat onemogočal dostop do Amazona? Imel boš verjetno probleme z državnimi stranmi. Ampak za te si lahko narediš kako virtualko, pa preko nje komuniciraš z njimi.

Machete ::

Vlayke je izjavil:

SeMiNeSanja je izjavil:

Če gre ves promet skozi DPI, ne boš popolnoma nič profitiral, če boš na Linuxu.


DPI ne pomaga prav dosti, če je tvoj promet kriptiran. Če grem naprimer na Amazon.com bo to vse kar bodo lahko videli. Ne bodo pa imeli vpogleda v to kaj kupujem ali pa v številko moje kreditne kartice.
Lahko da sicer narobe razumem, ampak poanta tega državnega certifikata naj bi bila prav to, da bo država lahko odšifrirala tvoj zaščiten promet.

Zakaj bi ti nenameščen državni varnostni certifikat onemogočal dostop do Amazona? Imel boš verjetno probleme z državnimi stranmi. Ampak za te si lahko narediš kako virtualko, pa preko nje komuniciraš z njimi.


Da, in 99,58% povprečnih uporabnikov bo to počelo, in potemtakem se lahko sprijaznijo s tem posilstvom zasebnosti?
Asrock-Z87Pro4|i5-4670K@4,3|4x4GB|GTX-1080|850EVO-250GB|WD2TB|W10Pro
Galaxy S10

Vlayke ::

Veliko in vedno več strani na internetu je privzeto šifriranih. Tako da 99,58% uporabnikom ni treba narediti nič posebnega, da bi imeli zaščiteno komunikacijo. Ravno tu je problem, ki ga očitno vidi Kazahtanska vlada.
Koliko strani, ki jih rutinsko obiskujete, nima privzeto vklopljene enkripcije?

tikitoki ::

SeMiNeSanja je izjavil:

tikitoki je izjavil:

Inštaliraš Linux in je problem rešen. Yay za vse zagovornike Linuxa:)

Če gre ves promet skozi DPI, ne boš popolnoma nič profitiral, če boš na Linuxu.

Razlika med nameščenim in nenameščenim certifikatom je zgolj v tem, da ti v prvem primeru ne blokira dostopa do strani, oz. ti ne meče stalno ven varnostna opozorila zaradi neustreznih certifikatov. Dejansko bi si želel namestiti certifikat, da bi vedel, ali še kdo tretji vleče na uhlje, ne samo država. Ali si pri tem na Linuxu ali Windows-ih, sploh ne igra nobene vloge.


damn, en folk ne razume sarkazma.

Matthai ::

Kaj pa tisti, ki uporabljajo Chrome oz. podobne brskalnike, ki podpirajo certificate pinning? V tem primeru se povezava sploh ne bo vzpostavila...
All those moments will be lost in time, like tears in rain...
Time to die.

darkolord ::

Matthai je izjavil:

Kaj pa tisti, ki uporabljajo Chrome oz. podobne brskalnike, ki podpirajo certificate pinning? V tem primeru se povezava sploh ne bo vzpostavila...
Smola pač :)

Sicer pa, AFAIK pinning še vedno dela samo, če prvo povezavo vzpostaviš preko nekompromitiranega kanala. Če browser pinov še nima v cachu, jih vladni MITM gladko odstrani iz headerjev in bo izgledalo vse OK.
spamtrap@hokej.si
spamtrap@gettymobile.si

stb ::

darkolord je izjavil:

Matthai je izjavil:

Kaj pa tisti, ki uporabljajo Chrome oz. podobne brskalnike, ki podpirajo certificate pinning? V tem primeru se povezava sploh ne bo vzpostavila...
Smola pač :)

Workaround: IE6 :D

darkolord je izjavil:


Sicer pa, AFAIK pinning še vedno dela samo, če prvo povezavo vzpostaviš preko nekompromitiranega kanala. Če browser pinov še nima v cachu, jih vladni MITM gladko odstrani iz headerjev in bo izgledalo vse OK.

Brez skrbi, brskalniki imajo nekaj pomembnejših pinov že vgrajenih, npr chrome, firefox...

Markoff ::

Jagšemaš! Certificate time!

In potem so se pritoževali nad Boratom.
Novorek idiokracije:
posebaj, skropucalo, inžinir, intiligenca/intelegenca, apsolutno, anEks.

Jupito ::

National point of failure. To se lahko samo dobro konča.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

ender ::

Matthai je izjavil:

Kaj pa tisti, ki uporabljajo Chrome oz. podobne brskalnike, ki podpirajo certificate pinning? V tem primeru se povezava sploh ne bo vzpostavila...
Glede na tisto izginulo stran je bilo videti, da moraš MITM certifikat namestiti ročno, pri tako nameščenih certifikatih pa Chrome potem ne preverja pinninga, ampak jim vedno zaupa.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Certifikat !

Oddelek: Informacijska varnost
276554 (1358) SeMiNeSanja
»

Napad na Kaspersky Lab prek Foxconnovih ukradenih certifikatov

Oddelek: Novice / Varnost
118874 (2336) levaky
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
266741 (4326) kunigunda
»

Še en nizozemski CA napaden

Oddelek: Novice / Varnost
113755 (2801) enadvatri
»

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

Oddelek: Novice / Varnost
93105 (2218) win64

Več podobnih tem