Q100 Опубликовано 4 Декабря 2015 Жалоба Share Опубликовано 4 Декабря 2015 Предлагаю к обсуждению следующую новость: Цитата 2 декабря в 18:35 Казахстан внедряет свой CA для прослушивания всего TLS-трафика Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан. Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан. Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет. По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов. Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Нуржан Опубликовано 4 Декабря 2015 Жалоба Share Опубликовано 4 Декабря 2015 Интересно как они обойдут ст.18 Конституции или снова забили на все. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Q100 Опубликовано 4 Декабря 2015 Автор Жалоба Share Опубликовано 4 Декабря 2015 Снова. Но самое смешное в этом то, что провайдерам второго уровня нацсертификаты не дают, и последние, не в силах выполнить требования СТ 2267-2012, попадают сначала на адмштрафы и приостановление деятельности, после на отзыв лицензии. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
validator Опубликовано 8 Декабря 2015 Жалоба Share Опубликовано 8 Декабря 2015 Приехали, я так понял теперь соединение с внешними ресурсами только через httpS, посредством сертификата выданным "Казахтелекомом" конторой Вот пояснение Министерства по инвестициям. Разбор последствий на Хабре, статья "Казахстан внедряет свой CA для прослушивания всего TLS-трафика" Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Маркиз Опубликовано 5 Января 2016 Жалоба Share Опубликовано 5 Января 2016 (изменено) В 08.12.2015 at 16:18, validator сказал(а): Приехали, я так понял теперь соединение с внешними ресурсами только через httpS, посредством сертификата выданным "Казахтелекомом" конторой Неправильно поняли. Просто при входе на зарубежный сайт (за исключением сайтов, использующих свою защиту - например онлайн банкинг) браузер/антивирус будет выдавать сообщение такого рода: "Ваше подключение не защищено Cертификат безопасности относится к kazahtelekom.kz Подробности назад к безопасности Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные Все равно перейти на сайт habrhabr.ru (небезопасно)" https означает, что трафик зашифрован ssl/tls (что по сути одно и то же) В 04.12.2015 at 08:28, Q100 сказал(а): Предлагаю к обсуждению следующую новость: А что тут обсуждать. Теперь нашим конторам будет не нужно запрашивать содержание вашей переписки в мэйл.ру у сайта. Судя по всему, будет использована схема, по которой трафик перехватывается до шифрования (расшифровка перехвата после шифрования проблематична, но возможна в процентах 30%). Изменено 5 Января 2016 пользователем Маркиз Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Nigilist Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 (изменено) Видимо на серверах нацбезопасности будут писаться арк-файлы, иначе объемы такого огромного количество пользователей за год будут занимать слишком много гигабайтов. А из арк-файлов в принципе выудить информацию кто куда залазил, кто какие письма и куда отправлял технически возможно, даже как бы не соврать, но часть данных жесткого диска пользователя также пишется в арк-файлы. Отныне такое понятие как аноним в Казахстане существовать перестанет и распространение слухов в инете, распространение идей джихадизма, сепаратизма и иных форм терроризма не останется безнаказанным. Но есть и минусы, блокировка зловредной информации, противоречащей сладким речам Хабара станет вполне реальной. Почему-то вспомнился Джордж Оруэлл и его "Скотный двор". Изменено 6 Января 2016 пользователем Nigilist Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
validator Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 5 часов назад, Маркиз сказал(а): Неправильно поняли. Просто при входе на зарубежный сайт (за исключением сайтов, использующих свою защиту - например онлайн банкинг) браузер/антивирус будет выдавать сообщение такого рода: "Ваше подключение не защищено Cертификат безопасности относится к kazahtelekom.kz Чета все сложно. Сразу поясню что я слаб в шифровании. Про SSL я так понял, что это криптографический протокол, который шифрует мое соединение, например с почтовым сервером. По сути при отправке данных на сервер у меня есть ключ как зашифровать данные. На сервере есть ключ - как их расшифровать. Вот например при входе на гугл почту мое соединение защищено при помощи сертификата выданного Гугл. Вопросы от чайника: теперь этот сертификат будет выдаваться Казахтелекомом? а как расшифровать данные переданные при соединении будут храниться в конторе? Если там будет коммерческая информация она случайно не утечет в плохие руки? А как теперь будет с Телеграмм или Вотсап? Иностранные сервисы упадут? Заранее спасибо за ответы)) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Маркиз Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 2 часа назад, Nigilist сказал(а): Почему-то вспомнился Джордж Оруэлл и его "Скотный двор". 1984 3 минуты назад, validator сказал(а): Заранее спасибо за ответы)) Не за что, потому что ответов не будет )) Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
KTNJ Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 (изменено) 2 часа назад, validator сказал(а): Чета все сложно. Сразу поясню что я слаб в шифровании. Про SSL я так понял, что это криптографический протокол, который шифрует мое соединение, например с почтовым сервером. По сути при отправке данных на сервер у меня есть ключ как зашифровать данные. На сервере есть ключ - как их расшифровать. Вот например при входе на гугл почту мое соединение защищено при помощи сертификата выданного Гугл. Вопросы от чайника: теперь этот сертификат будет выдаваться Казахтелекомом? а как расшифровать данные переданные при соединении будут храниться в конторе? Если там будет коммерческая информация она случайно не утечет в плохие руки? А как теперь будет с Телеграмм или Вотсап? Иностранные сервисы упадут? Заранее спасибо за ответы)) Вы всё правильно понимаете, просто телеком хочет поставить между вашим компьютером и почтовым сервером свой сервер. В браузере есть список доверенных сертификатов. Пользователь может сам добавлять/удалять в него сертификаты сертификационных центров, которым он доверяет. Таким образом Ваш компьютер будет работать с сервером казахтелекома, с использованием национального сертификата безопасности, а сервер телекома будет работать с почтовым сервером, используя сертификат почтового сервера. Это просто https proxy, многие антивирусные компании поступают именно так для анализа содержимого данных, передаваемых с использованием шифрования. В случае, если у Вас не будет установлен национальный сертификат безопасности систему можно настроить так, чтобы Вам было отказано в доступе к запрашиваемому ресурсу. Хранить весь трафик совсем не обязательно, можно на лету анализировать на наличие запрещённых слов, а так-же вылавливать пароли к аккаунтам в соцсетях, зарубежным интернет банкингам, почтовым серверам. Изменено 6 Января 2016 пользователем KTNJ Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
validator Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 19 минуту назад, KTNJ сказал(а): Это просто https proxy Понятно, значит скорость упадет. Чего то типа интернета в ОАЭ Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Nigilist Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 3 часа назад, Маркиз сказал(а): 1984 Не за что, потому что ответов не будет )) Надо ли это понимать, что "Скотный двор" не читабелен? Впрочем соглашусь с Вами, с романом "1984" больше параллелей возникает. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Николай Желтяков Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 А если установить VPN подключение? Насколько я понимаю таким образом можно будет обойти серверы Казахтелеком? Установил себе бесплатное подключение и читаю/смотрю все что угодно, любые заблокированные в РК сайты, без каких - либо ограничений. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
KTNJ Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 (изменено) Да, VPN здесь поможет. Можно ещё TOR использовать. Вот только на сколько это будет законно? Хотя я сомневаюсь, что это действительно будет реализовано. Технически это довольно сложный из затратный проект как на стадии внедрения, так и на стадии сопровождения. Изменено 6 Января 2016 пользователем KTNJ Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Николай Желтяков Опубликовано 6 Января 2016 Жалоба Share Опубликовано 6 Января 2016 41 минуты назад, KTNJ сказал(а): Вот только на сколько это будет законно? Ну на сегодня ответственности за использование VPN не предусмотрено, устанавливайте и пользуйтесь. Цитата это довольно сложный из затратный проект как на стадии внедрения, так и на стадии сопровождения. Вот это ключевые слова, главное выбить бюджет и начать реализацию проекта и закупок. Если уж смотреть в глубь то блокирование сайтов - это борьба с ветряными мельницами, не имеющая каких-то серьезных результатов, но под которую выделяется серьезный бюджет. Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
validator Опубликовано 2 Марта 2016 Жалоба Share Опубликовано 2 Марта 2016 (изменено) Походу получили в итоге отключение TLS в почтовых сообщениях (наверное заметили что в некоторых письмах появился значок - разомкнутый замочек). Для тех кто не в курсе TLS это криптографический протокол обеспечивающий шифрование передаваемых данных между разными e-mail ящиками. По умолчанию включен у большинства почтовых серверов. Так что увеличился риск потери ключей, паролей и прочей секретной информации передаваемой посредством электронной почты. Причем VPN тут ничем не поможет, а наоборот передача незашифрованных данных, через левый VPN может повлечь их утрату. Вот мошенникам это как раз на руку. Изменено 2 Марта 2016 пользователем validator Цитата Ссылка на комментарий Поделиться на других сайтах More sharing options...
Рекомендуемые сообщения
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.