id: Гость   вход   регистрация
текущее время 06:28 11/12/2019
Автор темы: Гость, тема открыта 07/02/2013 11:00 Печать
Категории: политика, законодательство, атаки, человек посередине
https://www.pgpru.com/Форум/Офф-топик/РостелекомПерехватываетHttpsЗапросыКСайтамИзРеестра
создать
просмотр
ссылки

Ростелеком перехватывает SSL запросы к блоченым сайтам


Собственно сабж. Проверить можно так. Если бы правильный сертификат, то было бы ещё красивей. Работает через любой прокси или напрямую (почему на пути лежит ростелеком для адреса из lv при доступе из de, кстати?)


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (05/12/2014 12:48)   <#>
Провайдер RUNNet (Федеральная университетская компьютерная сеть России), будущие мозги РФ учат принимать сертификаты по первому щелчку.
— Гость (05/12/2014 15:30)   <#>
Небольшого провайдер рассказывает как фильтрует https
Система с nginx проходила проверку на прочность неделю назад, когда в данный список был внесен один ролик с youtube.com. Кроме повышенного расхода памяти побочных эффектов замечено не было. С расходом памяти удалось побороться отключив keep-alive соединения с клиентами. А вот с удобством для пользователей вышло, конечно, не очень: просмотр и загрузка роликов на youtube.com в целом работала, но многие ролики были внедрены в другие страницы с помощью https, а с подмененным сертификатом браузеры их отображать не хотели. Волевым решением руководства провайдера домены google.com, google.ru, youtube.com были вынесены в список исключений, а еще один из сайтов был внесен в список «исключений наоборот»: по нему есть давнее решение блокировать целиком, однако в данном реестре он выгружается только с двумя запрещенными URL.

Игры с нулевой суммой по провайдерски, если где-то вынесли, значит в другом месте занесли.
Мелкие провайдеры, мелкие гадости:
И все же, если действительно буквоедствовать: как работают настоящие, дорогие DPI системы? Как они проверяют HTTPS трафик, если это необходимо? Объясните принцип и мы с удовольствием уйдем от технологии MITM.
— Гость (05/12/2014 15:52)   <#>
Провайдер учит других, и гордится своей перверсией.
Если Вы все сделали без ошибок и поняли идею, Вы получили работающий полностью в автоматическом режиме сервер фильтрации трафика, синхронизированный с реестром Роскомнадзора, фильтрующий ВСЕ (!) ресурсы внесенные в реестр, в том числе URI написанные на русском языке и URI на защищенных SSL ресурсах.
— Гость (05/12/2014 16:33)   <#>
Баран даже нормально оформить своё "достижение" может, такую простыню накатал.

Кстати вопрос с аутентификацией по клиентскому сертификату уместен, т.к. если он используется, то проводящий атаку с подменой УЦ ворует аутентификационные данные клиента. При этом клиент может обращаться к странице, которая не запрещена. В Apache mod_ssl вроде позволяет установить SSL-аутентификацию только для части сайта.
— Гость (05/12/2014 16:34)   <#>
s/своё "достижение" может/своё "достижение" не может/
— Гость (05/12/2014 17:19)   <#>

Разве это возможно?? Это же будет атака "человек посредине"!
— Гость (05/12/2014 20:11)   <#>
Разве это возможно?? Это же будет атака "человек посредине"!

Это и есть атака, с любым сертификатом, даже когда провайдер хочет показать только свою заглушку. Некоторые провайдеры утверждают, что и "правильный" сертификат для них не будет помехой, а значит об атаке многие пользователи даже не узнают.
— unknown (05/12/2014 20:57, исправлен 05/12/2014 20:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Любители активизма могут поставить себе плагин "HTTPS everywhere", не пользоваться тором и в самом плагине поставить опцию "SSL observatory". Вся активность по вашим https-соединениям будет отсылаться в EFF. Возможна анонимная отсылка через тор, но не очень понятно — не нарушит ли это чистоту эксперимента. Организация EFF собирает статистику по нарушению использования SSL-сертификатов по всему миру, можно и как-то особо сорганизовать на выявление злоупотреблений российскими властями в рунете. С фактами нарушения на руках они могут организовать кампанию по давлению на IT-организации, способствующие выдаче злонамеренных сертификатов, потребовать внесения изменения в ведущие браузеры и т.д. Может ещё и пресловутый госдеп с санкциями и гуманитарными бомбардировками подключат.


Всё может закончиться чучхенетом со своими духовными браузерами, но зато может кому-то будет легче от осознания сопричастности к страданиям всего мирного хомячкового населения, а не только любителей гитхабов.

— Гость (05/12/2014 22:16)   <#>
Так что, можно считать, что безопасный и надежный SSL по сути прекратил свое существование?
Ибо кто там из юзеров реально будет реально заниматься сверкой статистики с EFF, и забастовками и т.п...
— Гость (05/12/2014 22:36)   <#>
"правильный" сертификат для них не будет помехой, а значит об атаке многие пользователи даже не узнают

Привильный, т.е. не скомпрометированный гебней сертификат, будет помехой и об атаке пользователь обязательно узнает, если пользуется нормальным браузером, который выдаст сообщение. Просто большинству похеру на безопасность и что за ними кто-то подглядывает, на эту инфантильность хомячков и рассчитывают злоумышленники.
— Гость (06/12/2014 09:39)   <#>


SSL после POODLE однозначно не надежен, но его заменил и довольно давно TLS (суть тот же SSL, впрочем)

Проблема в модели доверия на которую опираются браузеры, а не в самом протоколе SSL/TLS Вот отсюда начинается волшебство.
— Гость (06/12/2014 14:14)   <#>

Сколько таких сертификатов нужно подделать? Как у взломщика отмычек на все случаи жизни?

Просто атака не 3-х копеечная, чтобы вот так, от делать нечего, просматривать трафик всех пользователей.
А ну если конечно есть свой Центр сертификации, который будет удостоверять любой сертификат, тогда все упрощается до 2-х пальцев в туалете.
— Гость (06/12/2014 16:56)   <#>
Просто атака не 3-х копеечная, чтобы вот так, от делать нечего, просматривать трафик всех пользователей.
Вполне возможно повысить стоимость атаки на стоимость мощности более-менее приличной видеокарты, помножив на количество пользователей это внезапно станет неприлично много. Подход немного напоминает биткоин, но это уже для другой темы.
— Гость (06/12/2014 20:16)   <#>
Сколько таких сертификатов нужно подделать?

Достаточно скомпрометировать из сертификатов УЦ, установленных в браузере. Тогда им можно подписывать сертификат любого сайта и пользователь ничего не заметит. Если учесть что доверенных УЦ десятки, а также возможность делегирования подписи дочерним УЦ, подкуп и сговор с одним из них не выглядит сложным. Для такой прожорливой конторы, как фсб, это копейки. Имеется в виду целевые атаки на определённые сайты, и возможно что в сорм они уже доступны. Расшифровывать трафик ко всем сайтам существенно дороже, хотя принципиальных ограничений нет. Но понятное дело, что если скомпромерированные УЦ существуют, то они держатся в секрете. Поэтому провайдеры до них не допущены и пытаются тупо подменить УЦ, что не может остаться незамеченным.

Возможно что гебня стоит перед диллемой. С одной строны, хочется взвалить расходы на расшифровку всего трафика на провайдеров, а через них в конечном счёте на пользователей. И расходы это заметные, т.к. требуют нового оборудования в виде всяких криптоакселераторов. С другой стороны, не может доверить провайдерам свои грязные секреты. При этом всё-равно полной прозрачности и скрытности не получится, т.к. использование единственного (скомпрометированного) УЦ для всех сайтов будет выглядеть подозрительно, а для нестандартных УЦ и самоподписанных сертификатов это вообще может не работать. Так что, если шабаш будет продолжаться дальше, то следующие шаги – заявления о необходимости единого государственного УЦ, который должен быть установлен в системе, если пользователь хочет получить доступ к ресурсу по SSL.
— Гость (06/12/2014 20:37)   <#>

Отчего ж? Кабнэты в АТС по сей день на месте и никто особо не стесняется сего факта.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3