Sys-Admin Forum

О внедрении национального SSL сертификата безопасности

Сама новость.

В связи с данной новостью предлагаю в этой теме обсудить для чего и каким образом это работает, как это может повлиять на пользователей интернета, чем грозит неустановка этого сертификата и самое главное как можно обойти данную неприятность.

up
Билайн уже внедряет:
https://www.beeline.kz/ru/press_centers/news_items/home_internet/11669

Привет, превое что хотелось бы сказать - тему бы по хорошему переименовать, на что то подобное - Просмотр (прослушка) шифрованного трафика инетрнет абонентов Казахтелеком (или что то в этом роде)…
Второе
: Пока мы стали обсуждать вопрос, странцу уведомление об этом с сайта КТ удалили, но есть заметка об этом на Хабре - http://habrahabr.ru/post/272207/

В краце - весь TLS / SSL трафик будет прослушиваться, т.е. будут прослушиваться в том числе - Ваши покупки, данные Вашего ХоумБанкинга, передеча фалоф по TLS FTP (FTPS), а так же IMAP, SMTP и т.д. и т.п.

Со своей стороны, как правомерному гражданину страны - мне не жалко, пусть прослушивают, но есть пару НО:

  • Кто гарантирует конфиденциальность биллинговых данных (мы уже знаем как легко данные могут утечь из той или иной компании) и где гарант того, что Ваш или чей либо номер той же MasterCard не пойдет гулять по белому свету, что в итоге может привести к различным последствиям
  • При таких условиях, можно считать системы оплат, системы продаж, тот же хоумбанкинг заведомо скомпроментированными
  • Опять же, есть 18 статья закона Конституции РК о тайне личной жизни, пункт 2 к примеру - http://www.pavlodar.com/zakon/?dok=00004&uro=080018 что делать с этим, ведь там четко сказано - Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
  • Кто будет это все настраивать, ведь подразумевается, что конечный пользователь должен будет “что то” и “куда то” установить, про сертификаты НУЦ мы уже знаем как это все работает и сколько бубнов надо стрясти, что бы все поднялось, про Linux и iOS вообще промолчу

Вообщем интересует мнение каждого на этот счет, все понятно, это может быть в рамках той же борьбы с терроризмом, но как же все остальное? Палка о двух концах…


Лично я ожидаю кучу звонков по поводу “не работающего” интернета. Как это у нас всегда бывает - на первых этапах кривую реализацию и как следствие глюки. Мне не нравится сам факт того, что может утечь сертификат из гос. органов (зная как у них организована безопасность) и потом получить доступ по сути к трафику всего Казахстана. Я думаю ничего ставить себе не буду, посмотрю как это будет работать. Тем более, что я давно уже юзаю впн и прочее.
P.S. Кстати очень интересно почему исчезла новость с сайта.

Вот именно, инетересно, почему убрали? )) На счет установки, повторюсь - не факт что встанет в том же iOS к примеру… т.е. здесь не только имеет место желание но и возможности ))

Кстати в законе о связи уже есть соответствующие изменения которые вступают в силу с 1 января. И ни на какой билайн тут переходить смысла нет. Закон касается всех провайдеров.

Ссылки нет под рукой на закон или его статью?

Да там такой бардак с кучей ссылок. “Внести изменение в такой пункт, убрать тот” и т.д. Например добавляется пункт “36-1) сертификат безопасности - набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование;”
Вот ссылка

Вот что им неймётся :facepalm: :dash2:

Да о чем тут говорить, если даже на TheHackersNews об этом пишут :sarcastic: :sarcastic:

  • ко всему на Тенгри чиновники разъснили ситуацию. Вы только вчитайтесь в этот бред
    http://tengrinews.kz/kazakhstan_news/chinovniki-razyyasnili-situatsiyu-kontrolem-trafika-285220/
    В общем, у нас хотят легализовать MiTM на уровне государства, и если корневой сертификат будет скомпрометирован, то это будет шыздец.
    Тут невольно возникает вопрос, сколько появится желающих завладеть корневым сертификатом?)) :spiteful:

В продолжение темы прикрепляю скриншот удаленной страницы с офф. новостью… Аналогичный скриншот, на русском присутсвует в новости на том же тенгри:


Понравился комментарий от Securitylab:

Наличие такого сертификата на системе/устройстве позволит спецслужбам осуществлять MitM-атаки на любого пользователя региона и расшифровывать любые данные, передаваемые по зашифрованным каналам. Таким образом, любое подключение с использованием протокола SSL может быть расшифровано, а все данные - перехвачены.

На счет слежки на Хабре - Казахстан внедряет свой CA для прослушивания всего TLS-трафика (скриншот во вложении на всякий случай)


новость будто из вики скопирована :facepalm:
Казахстанцы смогут заходить на иностранные сайты без установки сертификата

У нас начинают постепенно внедрятьжелезный зановес, взяли пример Китая. :facepalm:

Для рядового пользователя страшно даже не то что его траффик могут расшифровать, ведь 80% полная чепуха, а то что получается безопасное использование интернет банкингов, почты с личной перепиской, использование онлайн хранилищь и т.п. сводится на нет… стоит только расшифровать или украсть корневой сертификат

Билайн уже внедряет:
https://www.beeline.kz/ru/press_centers/news_items/home_internet/11669

Спасибо MFlyagin за ссылку

Интересно, почему новость пропала на сайте Казахтелекома.

Потому что безопасностью тут и не пахнет :sarcastic:

Это точно…

Пару недель назад от 2Day пришло. (Во вложении)
Все-таки интересно, раз сертификат есть и билайн уже потихоньку выныждает его юзать, то как это дело реализовывают/реализовали в КТ?
Ведь если бы траф. слушали, то наши браузеры бы ругались на сертификат, разве нет?


Сканировать20001.pdf (37.4 KB)

чтобы не потерять

С учетом изложенного просим по техническим вопросам предустановки использования казахстанского сертификата безопасности обращаться в Гостехслужбу. Контактное лицо от Гостехслужбы начальник лаборатории безопасности – Жумабеков Ерден ([email protected], [email protected], тел.: +7 7172 559999 вн. 219 моб: +7 701 7707742). Кроме того, по организационным вопросам просим обращаться в Комитет связи информатизации и информации Министерства. Контактное лицо Мустагулов Талгат (тел. 741013 [email protected]