22.06.2016, 15:08
Казахстан внедряет свой CA для прослушивания всего TLS-трафика
Народные новости
8 845
Aizhar777
Доброго времени суток пользователи интернета.
Многие ли из вас заметили проблемы с интернетом, и недоступностью некоторых сайтов?
Я тоже это заметил. И на мой взгляд это возможно связано с тем что Казахстан внедряет свой сертификат для прослушивания трафика.
Многие знают, что на таких сайтах как: lada.kz, google.com, YouTube.com, vk.com; в браузере рядом с адресом сайта расположен зеленый замочек.
Который означает что у сайта есть сертификат, благодаря которому соединение с сайтом зашифровано и не может быть перехвачено третьими лицами.
Подлинность сертификата подтверждает “ CA ”
Сертификационный центр (CA) — центр, которому все доверяют как надежной третьей стороне, подтверждающей подлинность ключей шифрования с помощью сертификатов электронной подписи.
Казахтелеком пишет:
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
Это значит, что будут расшифровывать, уже зашифрованный трафик. Получать все что вы получаете или отправляете через интернет. Зашифровывать своим сертификатом и отдавать вам.
А по сути это MITM: Атака посредника или атака «человек посередине».
Ссылка на википедию: https://ru.wikipedia.org/wiki/Атака_посредника
Так же, этот сертификат нужно будет устанавливать на все устройства, которые имеют доступ в интернет. Иначе при отсутствии установленного сертификата на Вашем устройстве, сайты, использующие шифрование по HTTPS-протоколу (mail.ru, google и т.д.), могут быть недоступны.
Технические детали
Следует иметь в виду следующее. Речь идет о технологии SSL Bump, которая прозрачным для пользователя образом позволяет дешифровать большинство SSL-туннелей (следует читать TLS, конечно), перлюстрировать их содержимое, и зашифровывать обратно. Особенно уязвимы системы с однослойным шифрованием, т.е. большинство социальных сетей, часть IM, все интернет-банкинги с веб-доступом, и тому подобное. Системы с многослойным шифрованием, с высокой вероятностью, будут просто блокироваться. Отдельный вопрос заключается в возможности использования VPN и SSH. Данная технология не позволяет расшифровывать данные туннели, а блокирование подобного трафика может оказаться фатальным для бизнеса и безопасности администрирования.
Оригинальная новость на сайте Казахтелекома была удалена (сейчас происходит перенаправление на главную страницу) telecom.kz/news/view/18729
Однако можно прочитать в веб-архиве: https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729
Так же была новость об этом:
http://www.computerworld.kz/news/9466/ (тоже удалена) но доступна в веб-архиве: https://web.archive.org/web/20160205070013/http://www.computerworld.kz/news/9466/
Об этом сертификате на сайте Билайн: https://www.beeline.kz/ru/mobile_help/sertificatofsecurity
Сам национальный сертификат: http://telecom.kz/certificate
Мнение людей, на этот счет (хорошо разбирающихся в IT):
Юрий Воинов IT - профессионал с большим опытом практической работы.
http://yvoinov.blogspot.nl/2015/12/blog-post.html
Гуменюк Иван - Linux администратор и пользователь сайта habrahabr.ru
https://habrahabr.ru/post/303736/
Мне как законопослушному гражданину скрывать нечего, но также и не хочется, что бы читали мою переписку или электронную почту. Я сам за то, чтобы у органов была возможность получить доступ к электронной почте или переписке. Так как это может помочь раскрыть или предотвратить преступление, или найти пропавшего человека. Но это должно делаться цивилизованным способом, с постановлением суда.
Подпишись на наш канал в Telegram
– быстро, бесплатно и без рекламы
Подписаться
Комментарии
9 комментарий(ев)Опять кто-то расшатывает народ
Закон уже вышел, и думаю внедрение уже идет полным ходом.
umma,
На самом деле провайдеру будут доступны код карточки и код безопасности карты CSV(если вы делаете покупки в интернете) все логины и пароли которые человек вводит, в том числе и от интернет-банкинга.
Вопрос в другом как будут хранить и распоряжаться этими данными.
Даже если провайдер не будет передавать информацию третьим лицам, кто угодно может взломать сервера и заполучить доступ к этим данным.
Если пару лет назад была новость о том что школьник взломал сайт Казкоcмоса, точно не помню но такая новость была...
Хотелось бы еще уточнить. Если пользователь сам не будет устанавливать данный сертификат как доверенный, то браузер сразу скажет что вам пытаются подменить сертификат.
Врядли будут в ближайшее время внедрять подобное, смысла в этом очень мало