BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: О внедрении национального SSL сертификата безопасности  (Прочитано 1594 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн MFlyagin

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 135
  • Karma: +17/-1
  • Пол: Мужской
    • Share Post
Сама новость.

В связи с данной новостью предлагаю в этой теме обсудить для чего и каким образом это работает, как это может повлиять на пользователей интернета, чем грозит неустановка этого сертификата и самое главное как можно обойти данную неприятность.

up
Билайн уже внедряет:
https://www.beeline.kz/ru/press_centers/news_items/home_internet/11669
« Последнее редактирование: Март 03, 2016, 11:08:20 am от sysadmin »

 

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Привет, превое что хотелось бы сказать - тему бы по хорошему переименовать, на что то подобное - Просмотр (прослушка) шифрованного трафика инетрнет абонентов Казахтелеком (или что то в этом роде)...
Второе
: Пока мы стали обсуждать вопрос, странцу уведомление об этом с сайта КТ удалили, но есть заметка об этом на Хабре - http://habrahabr.ru/post/272207/

В краце - весь TLS / SSL трафик будет прослушиваться, т.е. будут прослушиваться в том числе - Ваши покупки, данные Вашего ХоумБанкинга, передеча фалоф по TLS FTP (FTPS), а так же IMAP, SMTP и т.д. и т.п.

Со своей стороны, как правомерному гражданину страны - мне не жалко, пусть прослушивают, но есть пару НО:
  • Кто гарантирует конфиденциальность биллинговых данных (мы уже знаем как легко данные могут утечь из той или иной компании) и где гарант того, что Ваш или чей либо номер той же MasterCard не пойдет гулять по белому свету, что в итоге может привести к различным последствиям
  • При таких условиях, можно считать системы оплат, системы продаж, тот же хоумбанкинг заведомо скомпроментированными
  • Опять же, есть 18 статья закона Конституции РК о тайне личной жизни, пункт 2 к примеру - http://www.pavlodar.com/zakon/?dok=00004&uro=080018 что делать с этим, ведь там четко сказано - Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
  • Кто будет это все настраивать, ведь подразумевается, что конечный пользователь должен будет "что то" и "куда то" установить, про сертификаты НУЦ мы уже знаем как это все работает и сколько бубнов надо стрясти, что бы все поднялось, про Linux и iOS вообще промолчу
Вообщем интересует мнение каждого на этот счет, все понятно, это может быть в рамках той же борьбы с терроризмом, но как же все остальное? Палка о двух концах...
« Последнее редактирование: Декабрь 03, 2015, 11:10:25 am от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн MFlyagin

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 135
  • Karma: +17/-1
  • Пол: Мужской
    • Share Post
Лично я ожидаю кучу звонков по поводу "не работающего" интернета. Как это у нас всегда бывает - на первых этапах кривую реализацию и как следствие глюки. Мне не нравится сам факт того, что может утечь сертификат из гос. органов (зная как у них организована безопасность) и потом получить доступ по сути к трафику всего Казахстана. Я думаю ничего ставить себе не буду, посмотрю как это будет работать. Тем более, что я давно уже юзаю впн и прочее.
P.S. Кстати очень интересно почему исчезла новость с сайта.
« Последнее редактирование: Декабрь 03, 2015, 11:26:02 am от MFlyagin »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Вот именно, инетересно, почему убрали? )) На счет установки, повторюсь - не факт что встанет в том же iOS к примеру... т.е. здесь не только имеет место желание но и возможности ))

Оффлайн MFlyagin

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 135
  • Karma: +17/-1
  • Пол: Мужской
    • Share Post
Кстати в законе о связи уже есть соответствующие изменения которые вступают в силу с 1 января. И ни на какой билайн тут переходить смысла нет. Закон касается всех провайдеров.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ссылки нет под рукой на закон или его статью?

Оффлайн MFlyagin

  • Сообщество ИТ-Специалистов
  • Опытный пользователь
  • ***
  • Сообщений: 135
  • Karma: +17/-1
  • Пол: Мужской
    • Share Post
Да там такой бардак с кучей ссылок. "Внести изменение в такой пункт, убрать тот" и т.д. Например добавляется пункт "36-1) сертификат безопасности - набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование;"
Вот ссылка

Оффлайн sysroman

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 883
  • Karma: +39/-0
  • Пол: Мужской
  • Абра-Кадабра
    • Share Post
  • ЗВАНИЕ: Развивающийся айтишник
Вот что им неймётся  :facepalm: :dash2:
I5 4670k/Asus z87 pro/intg./16 gb ram/1TB+240ssd/600W
Не создавай проблем, и их не будет.
Не умеешь, УЧИСЬ!!! Не хочешь учиться, иди лесом не порть себе карму...

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 621
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Да о чем тут говорить, если даже на TheHackersNews об этом пишут :sarcastic: :sarcastic:
http://thehackernews.com/2015/12/kazakhstan-internet-spying.html
+ ко всему на Тенгри чиновники разъснили ситуацию. Вы только вчитайтесь в этот бред
http://tengrinews.kz/kazakhstan_news/chinovniki-razyyasnili-situatsiyu-kontrolem-trafika-285220/
В общем, у нас хотят легализовать MiTM на уровне государства, и если корневой сертификат будет скомпрометирован, то это будет шыздец.
Тут невольно возникает вопрос, сколько появится желающих завладеть корневым сертификатом?)) :spiteful:

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
В продолжение темы прикрепляю скриншот удаленной страницы с офф. новостью... Аналогичный скриншот, на русском присутсвует в новости на том же тенгри:
http://tengrinews.kz/kazakhstan_news/smi-opasayutsya-za-sudbu-interneta-v-kazahstane-285204/
Понравился комментарий от Securitylab:
http://www.securitylab.ru/news/477142.php
Цитировать
Наличие такого сертификата на системе/устройстве позволит спецслужбам осуществлять MitM-атаки на любого пользователя региона и расшифровывать любые данные, передаваемые по зашифрованным каналам. Таким образом, любое подключение с использованием протокола SSL может быть расшифровано, а все данные - перехвачены.

На счет слежки на Хабре - Казахстан внедряет свой CA для прослушивания всего TLS-трафика (скриншот во вложении на всякий случай)
« Последнее редактирование: Январь 11, 2016, 02:14:04 pm от sysadmin »

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 291
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
« Последнее редактирование: Декабрь 09, 2015, 04:35:07 pm от DaRoni »

Оффлайн Deonis

  • Опытный пользователь
  • ***
  • Сообщений: 215
  • Karma: +40/-0
  • Пол: Мужской
  • http://iptest.kz
    • Share Post
    • iptest.kz
У нас начинают постепенно внедрятьжелезный зановес, взяли пример Китая.  :facepalm:

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1181
  • Karma: +47/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Для рядового пользователя страшно даже не то что его траффик могут расшифровать, ведь 80% полная чепуха, а то что получается безопасное использование интернет банкингов, почты с личной перепиской, использование онлайн хранилищь и т.п. сводится на нет... стоит только расшифровать или украсть корневой сертификат
Одной мотивации недостаточно: если у вас есть идиот и вы его мотивировали, то в результате вы получите мотивированного идиота. Джим Рон

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8251
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Билайн уже внедряет:
https://www.beeline.kz/ru/press_centers/news_items/home_internet/11669

Спасибо MFlyagin за ссылку

Оффлайн ruzmat

  • Пользователь
  • **
  • Сообщений: 67
  • Karma: +4/-0
  • Пол: Мужской
    • Share Post
  • ЗВАНИЕ: Спонсор
Интересно, почему новость пропала на сайте Казахтелекома.


thumbup
Экспорт сертификата Exchange для ISA

Автор xck

0 Ответов
3119 Просмотров
Последний ответ Февраль 27, 2010, 07:00:40 pm
от xck
xx
Добавление SSL сертификата в ISP Manager

Автор sysadmin

0 Ответов
1896 Просмотров
Последний ответ Сентябрь 18, 2014, 12:43:40 pm
от sysadmin
clip
Google Chrome - просмотр SSL сертификата

Автор sysadmin

0 Ответов
116 Просмотров
Последний ответ Февраль 13, 2017, 05:10:28 pm
от sysadmin
clip
Java JWS ошибка / отключение проверки сертификата

Автор sysadmin

0 Ответов
612 Просмотров
Последний ответ Февраль 23, 2015, 10:26:33 am
от sysadmin