Раді Вас бачити! » Увійти » Створити новий профіль

Казахи уже слушают криптованній трафик. Когда будет в рашке?

https://habrahabr.ru/post/303736/
    Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
   
Российские оппозиционные деятели Георгий Албуров и Олег Козловский 29 апреля сообщили, что неизвестные получили несанкционированный доступ к их учетным записям в Telegram, а значит - к истории всех сообщений.

По их словам, взлом осуществляли следующим образом: сначала оператор связи ("МТС Россия") отключил услугу доставки SMS-сообщений на телефонные номера атакуемых. После этого кто-то сделал запрос на авторизацию в Telegram нового устройства.

Сервис отправил на телефонный номер SMS с кодом авторизации, однако владелец аккаунта сообщение не получил, так как доставка SMS для него была отключена. Однако это сообщение каким-то образом прочитал хакер. После того, как злоумышленники получили доступ к учетным записям, оператор снова запустил услугу доставки SMS.

Олег Козловский утверждает, что причину отключения и включения сервиса оператор назвать отказался, предложив написать письменный запрос.

Технический директор Newcaster.TV Владислав Здольник считает, что эта спецоперация была организована и частично выполнена именно ФСБ. По его мнению, никакая больше организация не имеет возможности ночью отключать и включать услугу SMS через отдел технической безопасности федерального оператора связи.

"В связи с этим можно порекомендовать пользователям Telegram - особенно тем, кто беспокоится о своей безопасности, - включить двухфакторную авторизацию. Тогда для входа в аккаунт нужно будет вводить не только код авторизации, но и статический пароль", - говорится в сообщении.
   
А як вони то технічно збираються реалізувати?
   
А як вони то технічно збираються реалізувати?
ну в статье там какбы описано
   
А як вони то технічно збираються реалізувати?

атака man-in-the-middle
Имеем доверенный государственный рутовый сертификат
Хотим слушать трафик на paypal.com
В ДНС провайдера вносим изменения, где paypal.com указывает на наш прокси.
На прокси устанавливаем сертификат,  подписанный ключем от доверенного государственного сертификата.
Бровзер воспринимает соединение с проксиком как истинное соединение с paypal.com, т.е. он отдает правильный сертификат.

Все, весь трафик у нас
   
А як вони то технічно збираються реалізувати?
банальний MitM на державному рівні
державний сертифікат треба поставити шоб браузери не матюгалися на підміну сертифікату
   
банальний MitM на державному рівні
державний сертифікат треба поставити шоб браузери не матюгалися на підміну сертифікату

пользователь о подмене сертификата может узнать?
   
А як вони то технічно збираються реалізувати?

Никаких проблем сейчас нет.
   
пользователь о подмене сертификата может узнать?
в стрічці браузера все буде як звично зелене, але по кліку буде видно що з"єднання з гуглом криптується не сертифікатом, виданим гуглу, а тов. майору
   
А яким чином будуть заставляти це ставити в браузерах?
   
Взагалі, це нескладно обійти, я думаю
   
А яким чином будуть заставляти це ставити в браузерах?
якщо не поставити, то при https браузери кричатимуть про підміну сертифікату, доведеться кожного разу тиснути "так, відкрийте сайт" і таке інше
енівей, це не заважатиме тов. майору читати вашу переписку, державний сертифікат потрібно ставити лише щоб заспокоїти браузери
   
Взагалі, це нескладно обійти, я думаю
поки що нескладно - VPN
але, думаю, доберуться і до нього
   
А яким чином будуть заставляти це ставити в браузерах?

Ви б хоч по посиланню сходили, чи шо
На підставі відповідного закону. Прямий доступ буде закритий
   
і так, сайти з HSTS не будуть працювати ні в якому разі скільки державних сертифікатів не став
   
А шо ви думали - ФУП ніхто не слухає? :K
   
А шо ви думали - ФУП ніхто не слухає? :K
а хулє його слухать, тут все як на долоні
   
якщо не поставити, то при https браузери кричатимуть про підміну сертифікату, доведеться кожного разу тиснути "так, відкрийте сайт" і таке інше
енівей, це не заважатиме тов. майору читати вашу переписку, державний сертифікат потрібно ставити лише щоб заспокоїти браузери

ну так можуть і заблокувати https без держ сертіваката, а це значить що не зможеш залогинитися на жоден сайт поки не отримаєш держ сертифікат
а значть держава буде бачити весь твій зашифрований трафік
   
ну так можуть і заблокувати https без держ сертіваката, а це значить що не зможеш залогинитися на жоден сайт поки не отримаєш держ сертифікат
а значть держава буде бачити весь твій зашифрований трафік
Тор, нє?
   
Тор, нє?
весь tls трафік який не вдалося розшифрувати буде дропатись
впн, тор і іже с німі в прольоті
   
весь tls трафік який не вдалося розшифрувати буде дропатись
впн, тор і іже с німі в прольоті

а як вони збираються відрізняти tls від звичайного некриптованого бінарного трафіку?
Чи по характерним сігнатурам зміни ключів сесії?
   
а як вони збираються відрізняти tls від звичайного некриптованого бінарного трафіку?
Чи по характерним сігнатурам зміни ключів сесії?
DPI ж
   
Назар срёт кирпичами, в Ростов не хочет.
Скоро незаметно жён в постели будет ночью подменять, а вдруг там запрещённые разговоры?
Плохо кончит товарисч. Мементо кыргыз революсьон.
   

Цю тему переглядають:

0 Користувачів і 1 гість
 
Повна версія