Slo-Tech

» »

Kazahstan začenja napad MITM na ravni celotne države

Kazahstan začenja napad MITM na ravni celotne države

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po SMS. Uradna utemeljitev kazahstanske vlade se sklicuje na varnost. Trdijo, da bo ukrep povečal varnost na internetu in prebivalstvo zaščitil pred hekerji, prevaranti in drugimi grožnjami.

To ni prvi tovrstni primer. Že decembra 2015 so v Kazahstanu skušali uporabnike prisiliti v namestitev korenskih certifikatov. Toda to se ni nikoli zgodilo, ker so se banke, ponudniki dostopa do interneta in tuje organizacije uprle, da bo to močno ošibilo varnost internetnega prometa. Kazahstanska vlada je tedaj skušala svoj certifikat spraviti v Firefox kot zaupanja vreden korenski certifikat, kar je Mozilla zavrnila. Glede trenutnega razvoja dogodkov pa med proizvajalci brskalnikov potekajo razprave, kako ukrepati in zaščititi Kazahstance.

25 komentarjev

jukoz ::

Kje je pa problem?
To je takoko kot z vsemi deep pocket inspection firewalli: moje omrežje, moja pravila.
Saj to vsi merežni varnostni strokovnjaki zagovarjajo =)

V konkretnem primeru Kazakstana: moja država, moja pravila.

Sej bomo drugje to tudi počasi videli. Think of the childrenz pa to =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

pegasus ::

"People should not be afraid of their governments, governments should be afraid of their people" ;)

Poldi112 ::

> Gre torej za klasični napad MITM.

Nope, gre za čisto navadni DPI. Tehnično precej enaki zadevi, ključna razlika je pa v tem, da ti Kazahstan pove za svojo politiko in ti dajo certifikat. Temu reči napad MITM je milo rečeno neprimerno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

jukoz ::

Poldi112 je izjavil:

> Gre torej za klasični napad MITM.

Nope, gre za čisto navadni DPI. Tehnično precej enaki zadevi, ključna razlika je pa v tem, da ti Kazahstan pove za svojo politiko in ti dajo certifikat. Temu reči napad MITM je milo rečeno neprimerno.


Pozno je bila objavljena novica, pa še na petek. Na kakšen torek ob 10ih bi se našli zagovorniki deep pocket inspection naprav že v 5 mimitah in ne še le po 8ih urah =)

Temu se reče prestrezanje prometa. Potem je pa tu filozofsko vprašanje, kdaj je to ok? Če si zagovornik človekovih pravic, potem nikoli.

Je na privat omrežju OK? Na korporativnem? V hotelskih omrežjih? Letališču? V celi državi?

Sama tehnologija prestrezanja prometa je nepomembna.

Poldi112 ::

Kolega, vaš sklep, da sem zaradi kritike zlorabe tehničnih pojmov (predvidoma za potrebe udarnega naslova) zagovornik DPI naprav, ne drži.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

DexterBoy ::

Nosem stručko, ampak, ko sem pri staršim, mi Avast vedno skače s pop-up, da se vse vidi, zatorej vprašanje;
Kako tukaj lahko pomaga VPN? Če sploh lahko, seveda...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

Lonsarg ::

@Dexter, resni VPN provider ti svoj certifikat vključi že v VPN in je neodvisen od drugih root certifikatov. Seveda ti pa tako povezavo lahko blokirajo in te z tem prisilijo da vzameš drug produkt, preko katerega pa lahko snifajo.

Rešitev je fajkanje navadnega HTTP requesta in znotraj "skriti" HTTPS povezavo, to bo morda z vedno bolj policijskimi državami ratalo popularno.

filip007 ::

Vse ni šifrirano, zakaj se na tisto ne spravijo in ojačajo varnost tam.
#Plejstejšon.

XLapse ::

tle pa samo slišiš jamranje kako je v sloveniji slabo. bi vidli vraga v kaki taki državi
alien technology

MrStein ::

Vedno je nekje slabše in vedno je nekje boljše.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

bbf ::

"Vedno je nekje slabše in vedno je nekje boljše. "
Ni res. Ta izjava ne ne drži sama sebe - nekje je ziher najsabše in ne more biti potem nekje še slabše.

SeMiNeSanja ::

Čeprav se marsikdaj ne strinjam z Poldijem, mu moram v tem primeru dati prav.

O NAPADU v tem primeru ni možno govoriti. Ko se uporabi izraz 'napad', se nakazuje na NEZAKONIT ali PRIKRIT poseg / vdor v zasebnost komunikacije.

Že samo z naznanitvijo nadzora komunikacije, ne moremo več govoriti o nekem 'napadu', kaj šele, ko neka država za take posege vzpostavi ustrezno pravno podlago.

Vse to nima nobene veze s samo tehnologijo in / ali kako je to komu všeč in / ali se strinja s takimi posegi nekoga/kogarkoli v zasebnost posameznika.

Lepo prosim, da v bodoče uporabljate izraz NAPAD izključno v primerih, ko se gre za nezakonite posege v zasebnost, saj sicer krivično blatite tehnologijo, brez katere je danes vse težje oz. nemogoče zagotavljati naprednega varovanja omrežja.

bbf ::

Enim pač dišijo izredne razmere in vojne..

          ::

Danes se to dogaja v Kazahstanu, jutri se bo v EU.

fikus_ ::

Cel svet gre v to smer nadzora komunikacij in ljudi. Verjetno najdlje in v največjem obsegu (dosledno za vsakega državljana) to delajo Kitajci. Kdor ima info, ima moč, lahko prepreči presenečenja, ki bi ga spravila z oblasti, . . . Korporacije si pa s tem utrjujejo položaj in povečujejo profite.

3p ::

jukoz je izjavil:

Temu se reče prestrezanje prometa. Potem je pa tu filozofsko vprašanje, kdaj je to ok? Če si zagovornik človekovih pravic, potem nikoli.


A je kriptirana komunikacija res človekova pravica?
(Svoboda izražanja, prost dostop do informacij, itd., to seveda razumem.)

Blesavo mi je posegati po tovrstnih argumentih, pa vseeno:
1) Kaj je s to pravico, če gre za kazniva dejanja?
-Kaj je s kriptiranim dogovarjanjem za razstrelitev NEK?
-Razširjanje pedo posnetkov po kriptiranih povezavah?
-Kaj s kriptiranimi posnetki snapchat debate tebi drage osebe X s tremi neznanci, od katerih jo je en najbrž ugrabil. Ali imajo "organi" pravico dekriptirati vse tri pogovore?

Je res tako enoznačno?

Poldi112 ::

Ja, je tako enoznačno. Nimajo nobene pravice dekodirati. Naj se nehajo čohati po riti in namesto, da se zanašajo na prisluhe, začnejo izvajati dejaske protiteroristične dejavnosti. Tele zgodbice o terorizmu, ki ga ne bo mogoče preprečiti, so pravljice. Prva naloga vsake države je poskrbeti za lastni obstoj. Robert Mueller je recimo kot šef FBI prisegel, da bo ščitil ustavo, pa je gladko dopuščal parallel construction (kjer NSA prosti vohuni za državljani in potem info o osebah, ki jih želi za zapahi, posreduje FBI). FBI potem tudi laže sodiščem kje je dobil podatke...

Kdo dlje in bolj intenizivno vohuni za lastnimi državljani je vprašanje. Ne vem, če bi upal dati kitajce pred USA. Po mojem so USA še vedno pred njimi, enostavno zato, ker so tehnološko bolj razviti. Edina relevantna razliak je, da kitajec to deja javno, USA pa prikrito.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

3p ::

Poldi112 je izjavil:

Ja, je tako enoznačno. Nimajo nobene pravice dekodirati. Naj se nehajo čohati po riti in namesto, da se zanašajo na prisluhe, začnejo izvajati dejaske protiteroristične dejavnosti.


No, razumem tvoje mnenje. Ampak od kod točno, bi naj ta človekova pravica izhajala?

Meni se večinoma ti sedanji "problemi" ne zdijo nič tako novega. Če si se včasih drl iz brega na breg so te pač vsi slišali. Seveda si se lahko drl v šifrah. Ampak nikomur ni padlo na pamet, da se mora pretvarjati, da ne vem kaj pomeni "hitro domov joža, piška je pečena".

Če tole poskušam prevesti na sodobne razmere: Sporočila, ki jih po javni infrastrukturi pošiljaš na daljavo, so tajna, kolikor pač so. Ne pravim, da bi država ali kdorkoli naj prisluškovala sporočilom kar povprek. Če pa je tehnično mogoče, pa se mi v določenih primerih (zakonska podlaga - sum kaznivega dejanja), ne zdi narobe, če se vsebino dešifrira. No, enkripcija sama se mi zdi prav da je dovoljena. Neumno pa je pričakovati, da če si dva dopisujeta preko grafitov v podhodu, in uporabljata Cezarjevo šifro, da ne bomo že iz firbca grafitov dešifrirali.

Kaj pa bi po tvojem bile "dejanske protiteroristične dejavnosti"? Odpiranje pošte, sledenje po ulicah zvečer in nastavljanje kamer in mikrofonov, tako kot včasih?

tikitoki ::

3p je izjavil:

jukoz je izjavil:

Temu se reče prestrezanje prometa. Potem je pa tu filozofsko vprašanje, kdaj je to ok? Če si zagovornik človekovih pravic, potem nikoli.


A je kriptirana komunikacija res človekova pravica?
(Svoboda izražanja, prost dostop do informacij, itd., to seveda razumem.)

Blesavo mi je posegati po tovrstnih argumentih, pa vseeno:
1) Kaj je s to pravico, če gre za kazniva dejanja?
-Kaj je s kriptiranim dogovarjanjem za razstrelitev NEK?
-Razširjanje pedo posnetkov po kriptiranih povezavah?
-Kaj s kriptiranimi posnetki snapchat debate tebi drage osebe X s tremi neznanci, od katerih jo je en najbrž ugrabil. Ali imajo "organi" pravico dekriptirati vse tri pogovore?

Je res tako enoznačno?


Se nisi slisal za pravico do zasebnosti?

Tomas 33 ::

Pri vsem skupaj me moti populistični način podaje informacij:
Kazahstan: MITM, Avtralija: zgolj prepoved šifriranja, čeprav gre več ali manj za isto zadevo.

3p ::

tikitoki je izjavil:

Se nisi slisal za pravico do zasebnosti?


Sem. Le da se ne strinjamo, ali se smem, če šlatam kolegovo ženo na tromostovju, turistom ki fotografirajo, pritoževati zaradi kršitve moje pravice do zasebnosti.

Poldi112 ::

Malo mešaš javni in zasebni prostor izgleda.

>No, razumem tvoje mnenje. Ampak od kod točno, bi naj ta človekova pravica izhajala?

https://www.un.org/en/universal-declara...

Article 12.
No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.

> Če si se včasih drl iz brega na breg so te pač vsi slišali.

Ne, slišalo te je zgolj par sosedov in če ni bilo med njimi udbovca država ni vedela, kaj delaš. Če ti prestrezajo elektronsko komunikacijo, je mejčkn drugače.

Zdaj sam tudi nimam problema s posegom v zasebnost po nalogu sodišča. Imam pa hud problem s prepovedjo šifriranja, oz. z idejo, da ima država dešifrirni ključ, ker je zgodovina polna zlorab informacij tega tipa. Dlje ko se bomo temu upirali, dlje bomo imeli demokracijo...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Lonsarg ::

Res globoke zasebne pogoovre, ki so jih včasih ljudje imeli striktno z šepetanjem se ima sedaj preko elektronskih komunikacij, ker se je pač medij spremenil.

Šifriranje ti torej zgolj omogoča enako zasebnost kot je bila pred elektronskimi komunikacijami. Namestiti na vse elektronske naprave državljanov dešifrirno napravo je torej dokaj analogno temu, da namesti v vse sobe vseh državljanov mikrofon. Mikrofon razkriva komunikacijo na star način, dešifrirani ključ pa vso komunikacijo preko informacijskih sistemov. Zgolj medij je drug, ukrep je podoben.

SeMiNeSanja ::

Lonsarg je izjavil:

Res globoke zasebne pogoovre, ki so jih včasih ljudje imeli striktno z šepetanjem se ima sedaj preko elektronskih komunikacij, ker se je pač medij spremenil.

Šifriranje ti torej zgolj omogoča enako zasebnost kot je bila pred elektronskimi komunikacijami. Namestiti na vse elektronske naprave državljanov dešifrirno napravo je torej dokaj analogno temu, da namesti v vse sobe vseh državljanov mikrofon. Mikrofon razkriva komunikacijo na star način, dešifrirani ključ pa vso komunikacijo preko informacijskih sistemov. Zgolj medij je drug, ukrep je podoben.

Šepetanje je tudi danes še vedno šepetanje, če nisi bil sam tak tepec in si navlekel Alexo in vključil nevem kater pogovorne asistente od Google pa do Jabka.

Vse ostalo pa.... včasih analogna telefonija, pisemski promet,... vse to je bilo velikemu bratu še 100x lažje nadzorovat, kakor današnje komunikacije.

Kljub vsemu pa sem dokaj skeptičen glede 'uporabnosti' tovrstnega množičnega 'nadzora'. Prej se mi zdi, da zadeva bolj služi zastraševanju in blokiranju dostopa do 'režimu nevšečnih' vsebin. Za konkreten 'nadzor' pa je vse skupaj uporabno le v ciljanih primerih, zlasti kadar imaš opravka z nadzorom osebe, ki se na tehniko ne spozna. Čim se nekdo vsaj malo spozna na tehniko, bo že našel take ali drugačne 'ovinke'.

Bistvo je, da 'Internet' ni ne http, niti https. Porti niso samo 80 in 443 ampak jih je še 'ene par', preko katerih se da vzpostavljati zelo uporabne komunikacije. Režim pa tudi ne more kar vse blokirat, kar ni na portu 80 ali 443, saj potem marsikaj na internetu zaide v težave.

Tudi sicer, če govorimo o https na portu 443, ni vse tako preprosto, da boš dal na voljo certifikat, potem bo pa kar vse 'delovalo', ko si ga boš namestil.
Kdor je kdaj imel opravka z HTTPS dekripcijo in Androidom bi moral vedeti, o čem govorim.
Na Androidu namreč nekatere aplikacije lepo upoštevajo sistemske certifikate, medtem ko se mnoge (tudi sistemske aplikacije!) enostavno požvigajo na certifikate, ki jih namestiš. Potem pa ne delujejo posodobitve, ne dela Firefox, ne dela vse živo.

Ampak nič se sekirat. Danes se pri Ciscu že hvalijo, da sploh ne rabijo dekriptirat prometa, češ da že iz 'slike' oz. 'odtisa' kriptiranega prometa znajo razbrati, kaj preko povezave pretakaš.
No, zagotovo (še?) ne znajo razbrati, kaj si nekam zapisal, se bodo pa trudili, da bi se temu čim bolj približali. Trenutno naj bi ta tehnologija služila temu, da naj bi prepoznali malware. Tako nekako, kot če gledaš senco in skušaš povedati, čigava senca je to.
Problem je, da tudi pritisk na posamezno tipko ustvari 'senco', ravno tako posamezne besede,....
Jaz se tolažim s tem, da je zadeva dokaj nezanesljiva, če je vzorec majhen (iz sence nosa, je težko uganiti osebo).
A kdo ve, kaj bo prinesla prihodnost.

Lonsarg ::

SeMiNeSanja je izjavil:

Lonsarg je izjavil:

Res globoke zasebne pogoovre, ki so jih včasih ljudje imeli striktno z šepetanjem se ima sedaj preko elektronskih komunikacij, ker se je pač medij spremenil.
Šepetanje je tudi danes še vedno šepetanje, če nisi bil sam tak tepec in si navlekel Alexo in vključil nevem kater pogovorne asistente od Google pa do Jabka.
Ok pustimo ekstreme kot je Alexa.

Grešil si mojo poanto ki je ravno to, da MORAMO najti ustrezni digitalni ekvivalent šepetanju, ker postaja vsa komunikacija digitalna. V kolikor tega ne najdemo pridemo do situacije ko se moraš v zameno za privatnost odreči tehnologijam, kar je izbira med dvema stvaremi ki ne bi smeli biti pogojeni ena z drugo!

Informacijske tehnologije bodo še napredovale, našim vnukom ali pravnukom tam nekje, se bo zdele smešno šepetati če pa namesto tega zgolj vstostavijo direktni miselni link med čipi ki jih imajo v glavi za privatno komunikacijo. No v kolikor tak privatni link ne bo mogoč boš imel razdor družbe, del planeta ki je žrtvoval privatnost in se bliža transcendenci in del človekšta ki se je delu tehnologije odrekel da je lahko ohranil privatnost. Skratka kar ti namiguješ "saj lahko še vedno šepetaš" je backwards.

Zgodovina sprememb…

  • spremenil: Lonsarg ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5810945 (7352) M.B.
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20145923 (20118) MrStein
»

V letu 2016 bistveno več šifriranega prometa

Oddelek: Novice / Zasebnost
254863 (2733) Lonsarg
»

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

Oddelek: Novice / Zasebnost
165265 (3663) ender
»

Napad na Border Gateway Protocol

Oddelek: Novice / Varnost
278006 (6184) AndraZK

Več podobnih tem