id: Гость   вход   регистрация
текущее время 22:15 20/11/2017
Автор темы: Гость, тема открыта 07/02/2013 11:00 Печать
Категории: политика, законодательство, атаки, человек посередине
https://www.pgpru.com/Форум/Офф-топик/РостелекомПерехватываетHttpsЗапросыКСайтамИзРеестра
создать
просмотр
ссылки

Ростелеком перехватывает SSL запросы к блоченым сайтам


Собственно сабж. Проверить можно так. Если бы правильный сертификат, то было бы ещё красивей. Работает через любой прокси или напрямую (почему на пути лежит ростелеком для адреса из lv при доступе из de, кстати?)


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (07/02/2013 11:51)   <#>
de это Германия? Тоже самое из Белоруссии, пишет "Вход для России заблокирован", хотя ip Белорусский.
— Гость (07/02/2013 13:51)   <#>
de это Германия?

Угу.

Появление ростелекома при доступе к сайту снаружи обусловлено тем, что хостинг на мощностях оператора который с 2008 года входит в группу компаний «Ростелеком». Блокируют родственный хостинг, бывает. Но MitM атаку это не извиняет.
— Гость (07/02/2013 14:23)   <#>
Судя по всему это не целенаправленный mitm, просто так получилось. У них весь трафик идущий на заблокированные ip заворачивается на фронтенд который отдает сообщение о блокировке. Фронтенд в том числе обслуживает сайт ростелекома rt.ru и на нем включен https. Полагаю ни о каких mitm там никто и не думал, просто завернули трафик одной строчкой в iptables.
— neverever (08/05/2013 15:16)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0
Видел уже много примеров вот таких заблокированных РТ сайтов, и они уже в этом состоянии месяцы, отсюда вопрос: почему хозяева сайтов упорно не меняют хостинг. Просто я бы это сделал в течении первой же недели. Даже регистратора сменить не проблема если что.
— Гость (08/05/2013 15:59)   <#>

Толку, роскомнадзор используя астрал периодически просматривает заблокированное и чистит список или обновляет адреса, хотя по закону их никто не обязывает. Есть толпы пользователей которые постукивают на один и тот-же ресурс, хоть заменяйся адресов. Кроме того, РТ сам заявлял что они обновляют адреса для блокировки на основе доменных имен из реестра. Но возможно инженегры РТ надругались над своей пресс службой, а служба надругалась над журналистами, и это всё не так.
— neverever (08/05/2013 19:51)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0
да я не про это, что мешает купить хостинг в эквадоре за три копейки и в жизни ты не заблокируешь сайт? Но увы и ах хостинг у них прямо на РТ. Глупость.
— Гость (08/05/2013 20:44)   <#>
и в жизни ты не заблокируешь сайт?

Уже полгода в РФ действует обязательная внесудебная система блокировок любых IP-адресов. Бежать серверам некуда, если только вместе с посетителями.
— neverever (08/05/2013 20:53)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0
вкурсе. Для ясности конечно же берем ситуацию упомянутую выше, заходим с анонимного|иностранного|затореного айпишника. Вы все-таки думаете что они блокируют пакеты Тор вынимая из них ip запроса? Ну это было-бы невероятной, новой и смертельной атакой на анонимность. :)
— Гость (08/05/2013 22:03)   <#>

Нет, журнал.либ хостится на площадке РТКом, который тесно связан с Ростелекомом. Почти все маршруты к РТКом проходят через РТ, за исключением прямых пиров с провайдерами внутри РФ. Поэтому все зарубежье видит заставку РТ, а некоторые счастливые пользователи РФ не видят.

У этого журнала.либ есть другое имя и адрес, но у того же хостера и всё содержимое видно всем.

Речь шла про "перехват" ssl трафика ростелекомом, а журнал.либ был лишь как пример доступный для проверки практически всем.
— Гость (02/12/2014 21:52)   <#>
Провайдеры в РФ нашли способ подменять сертификаты в целях фильтрации контента без возможности это обнаружить в большинстве случаев. Возможно нашелся CA готовый им помогать. Детектирует подмену только хром/хромиум в котором особо важные сертификаты зашиты в код.
твиттер временно и дальше будет ругаться. Браузер Opera легко игнорирует это. Опять же проблема с SSL-сертификатами – временная и уже решается. Операторы связи обязаны исполнять распоряжения роскомнадзора и следовать законодательству РФ. Мы обязаны блокировать контент, который присутствует в едином реестре запрещённых сайтов (а в нём присутствуют и ссылки на ресурсы с поддержкой SSL).

Ругается на сертификат только хром/хромиум.

Пока это рыночное преимущество только одного провайдера, но скоро будет доступно и другим.
— unknown (03/12/2014 09:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Т.е. или SSL будет блокироваться и на ресурс вы вообще не попадёте, или будет бракованный SSL, но пользователь обычно жрёт, что дают в таких тонкостях не разбирается. Интересно, можно сделать SSL-over-SSL? По типу HTTPS-прокси, снаружи — годный для роскомпозора, внутри — годный для пользователя.
— Гость (03/12/2014 13:01)   <#>
Для этого нужно чтобы сайт тоже поддерживал двойной SSL. Например, запустил обратный HTTPS-прокси на другом порту, но в этом случае в браузере настройки прокси должны меняться для каждого сайта с двойным SSL. Более удобный вариант – запустить stunnel в прозрачном режиме, тогда настройки браузера менять не нужно, т.к. все TCP-соединения, определённые в iptables (например идущие на заданный порт), будут перехватываться и заворачиваться в SSL.

Подмена SSL-сертификата это уже активная атака, подпадающая под статью о неправомерном доступе к информации, и возможно попытаться возбудить уголовное дело. Понятно, что перспективы наказать преступников малы, но обратить внимание общественности реально и кровь чекистам попортить.
— Гость (04/12/2014 18:34)   <#>
Ещё пример фильтрации. Из ссылки впрочем не понятно, митм ли это ради показа заглушки или митм ради фильтрации. Видимо пока там тестируют, используя самоподписанные и истёкшие сертификаты.
— Гость (05/12/2014 09:04)   <#>
Ещё один с фильтрацией
Добрый день!
Есть требование Роскомнадзора фильтровать трафик с целью ограничения доступа к ресурсам, которые содержат запрещенный контент. Пока будет ругаться, иначе не получается.

На вопрос, кто виноват, а главное что делать:
А не пробовали нажимать на надпись "I Understand the Risks"??

И закончили тему:
Товарищи, хочу прояснить ситуацию. Для фильтрации трафика по URL используется прокси. На данный момент проксируется только трафик к IP-адресам, на которых расположены запрещенные ресурсы, трафик к остальным IP маршрутизируется в обход прокси-сервера.
Для нас остается открытым вопрос, как фильтровать такие объемы трафика не нарушая SSL-сертификат. "Умные дяди" из Роскомнадзора, которые и придумали все это, на наши вопросы по поводу стандартов и протоколов пожимают плечами, зато грозят государевой "дубиной", если фильтрация работать не будет. В связи с этим у меня к вам два вопроса:

1. Есть ли у Вас на текущий момент вызванные проксированием реальные проблемы? (за исключением обоснованной обеспокоенности по поводу подмены SSL);
2. Есть ли у Вас идеи, как можно осуществить фильтрацию без подмены SSL? (За реально работающее предложение на free ПО "печеньки" гарантирую).

Выше товарищи писали про "некую криворукость", вот я их и попросил дать рекомендации по решению проблемы. Вдруг мы чего-то не знаем.

2) Банить ресурс по IP – слишком радикально. Это чревато тем, что недоступен будет весь ресурс, а не отдельные его страницы. Если строго следовать требованиям законодательства, то банить нужно по URL. Адрес Youtube попадает в список для проксирования, т.к. есть на нем запрещенные страницы https://antizapret.info/index.php?search=youtube.com. Крупные провайдеры, по-видимому, не нашли ничего лучшего, чем банить по IP. Соответственно, Youtube целиком забанить они не могут по вполне понятным причинам. Таким образом, можно предположить, что эти провайдеры не выполняют всех требований российского государства в отличие от нас.
— Гость (05/12/2014 09:38)   <#>
Чекисты сейчас с вожделением ждут, как отреагирует стадо на такое наглое вторжение. Если проглотят, то подменять сертификаты будут вообще на всё, кроме возможно белого списка для электронных платежей. Чтобы ходить на интернет-ресурсы по SSL будет "рекомендовано" установить в браузер сертификат УЦ от ркн. Далее подмену можно сделать для всех видов трафика, а не только HTTPS – почта, мессенджеры и т.д. Ведь педофилы и террористы могут по email совращать детей и готовить взрывы. Без установки государственного сертификата SSL ресурсы станут недоступны. Так будет решена проблема с львиной долей шифрованного трафика. Потом можно вплотную взяться за VPN и Tor.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3