Прослушивание TLS-трафика

[Q100]

Предлагаю к обсуждению следующую новость:

 

Цитата

2 декабря в 18:35

Казахстан внедряет свой CA для прослушивания всего TLS-трафика

Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz

Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов.

Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.

 

[Нуржан]

Интересно как они обойдут ст.18 Конституции или снова забили на все.

[Q100]

Снова.

Но самое смешное в этом то, что провайдерам второго уровня нацсертификаты не дают, и последние, не в силах выполнить требования СТ 2267-2012, попадают сначала на адмштрафы и приостановление деятельности, после на отзыв лицензии.

[validator]

Приехали, я так понял теперь соединение с внешними ресурсами только через  httpS, посредством сертификата выданным "Казахтелекомом" конторой

Вот пояснение Министерства по инвестициям.

Разбор последствий на Хабре, статья "Казахстан внедряет свой CA для прослушивания всего TLS-трафика"

[Маркиз]

В 08.12.2015 at 16:18, validator сказал(а):

Приехали, я так понял теперь соединение с внешними ресурсами только через  httpS, посредством сертификата выданным "Казахтелекомом" конторой

Неправильно поняли. Просто при входе на зарубежный сайт (за исключением сайтов, использующих свою защиту - например онлайн банкинг) браузер/антивирус будет выдавать сообщение такого рода:

"Ваше подключение не защищено

Cертификат безопасности относится к kazahtelekom.kz

Подробности                                        назад к безопасности

Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные

Все равно перейти на сайт habrhabr.ru (небезопасно)"

https означает, что трафик зашифрован ssl/tls (что по сути одно и то же)

В 04.12.2015 at 08:28, Q100 сказал(а):

Предлагаю к обсуждению следующую новость:

А что тут обсуждать. Теперь нашим конторам будет не нужно запрашивать содержание вашей переписки в мэйл.ру у сайта.

Судя по всему, будет использована схема, по которой трафик перехватывается до шифрования (расшифровка перехвата после шифрования проблематична, но возможна в процентах 30%).

Изменено 5 Января 2016 пользователем Маркиз

[Nigilist]

Видимо на серверах нацбезопасности будут писаться арк-файлы, иначе объемы такого огромного количество пользователей за год будут занимать слишком много гигабайтов. А из арк-файлов в принципе выудить информацию кто куда залазил, кто какие письма и куда отправлял технически возможно, даже как бы не соврать, но часть данных жесткого диска пользователя также пишется в арк-файлы. Отныне такое понятие как аноним в Казахстане существовать перестанет и распространение слухов в инете, распространение идей джихадизма, сепаратизма и иных форм терроризма  не останется безнаказанным. Но есть и минусы, блокировка зловредной информации, противоречащей сладким речам Хабара станет вполне реальной. Почему-то вспомнился Джордж Оруэлл и его "Скотный двор".

Изменено 6 Января 2016 пользователем Nigilist

[validator]

5 часов назад, Маркиз сказал(а):

Неправильно поняли. Просто при входе на зарубежный сайт (за исключением сайтов, использующих свою защиту - например онлайн банкинг) браузер/антивирус будет выдавать сообщение такого рода:

"Ваше подключение не защищено

Cертификат безопасности относится к kazahtelekom.kz

Чета все сложно. Сразу поясню что я слаб в шифровании.

Про SSL я так понял, что это криптографический протокол, который шифрует мое соединение, например с почтовым сервером. По сути при отправке данных на сервер у меня есть ключ как зашифровать данные. На сервере есть ключ - как их расшифровать.

Вот например при входе на гугл почту мое соединение защищено при помощи сертификата выданного Гугл.

Вопросы от чайника:

теперь этот сертификат будет выдаваться Казахтелекомом?

а как расшифровать данные переданные при соединении будут храниться в конторе?

Если там будет коммерческая информация она случайно не утечет в плохие руки?

А как теперь будет с Телеграмм или Вотсап?

Иностранные сервисы упадут?

Заранее спасибо за ответы))

[Маркиз]

 

2 часа назад, Nigilist сказал(а):

 Почему-то вспомнился Джордж Оруэлл и его "Скотный двор".

1984

3 минуты назад, validator сказал(а):

Заранее спасибо за ответы))

Не за что, потому что ответов не будет )) 

[KTNJ]

2 часа назад, validator сказал(а):

Чета все сложно. Сразу поясню что я слаб в шифровании.

Про SSL я так понял, что это криптографический протокол, который шифрует мое соединение, например с почтовым сервером. По сути при отправке данных на сервер у меня есть ключ как зашифровать данные. На сервере есть ключ - как их расшифровать.

Вот например при входе на гугл почту мое соединение защищено при помощи сертификата выданного Гугл.

Вопросы от чайника:

теперь этот сертификат будет выдаваться Казахтелекомом?

а как расшифровать данные переданные при соединении будут храниться в конторе?

Если там будет коммерческая информация она случайно не утечет в плохие руки?

А как теперь будет с Телеграмм или Вотсап?

Иностранные сервисы упадут?

Заранее спасибо за ответы))

Вы всё правильно понимаете, просто телеком хочет поставить между вашим компьютером и почтовым сервером свой сервер. В браузере есть список доверенных сертификатов. Пользователь может сам добавлять/удалять в него сертификаты сертификационных центров, которым он доверяет. Таким образом Ваш компьютер будет работать с сервером казахтелекома, с использованием национального сертификата безопасности, а сервер телекома будет работать с почтовым сервером, используя сертификат почтового сервера. Это просто https proxy, многие антивирусные компании поступают именно так для анализа содержимого данных, передаваемых с использованием шифрования. В случае, если у Вас не будет установлен национальный сертификат безопасности систему можно настроить так, чтобы Вам было отказано в доступе к запрашиваемому ресурсу. Хранить весь трафик совсем не обязательно, можно на лету анализировать на наличие запрещённых слов, а так-же вылавливать пароли к аккаунтам в соцсетях, зарубежным интернет банкингам, почтовым серверам.

 

Изменено 6 Января 2016 пользователем KTNJ

[validator]

19 минуту назад, KTNJ сказал(а):

Это просто https proxy

Понятно, значит скорость упадет. Чего то типа интернета в ОАЭ

[Nigilist]

3 часа назад, Маркиз сказал(а):

 

1984

Не за что, потому что ответов не будет )) 

Надо ли это понимать, что "Скотный двор" не читабелен? Впрочем соглашусь с Вами, с романом "1984" больше параллелей возникает.

[Николай Желтяков]

А если установить VPN подключение? 

Насколько я понимаю таким образом можно будет обойти серверы Казахтелеком?

Установил себе бесплатное подключение и читаю/смотрю все что угодно, любые заблокированные в РК  сайты, без каких - либо ограничений. 

[KTNJ]

Да, VPN здесь поможет. Можно ещё TOR использовать. Вот только на сколько это будет законно? Хотя я сомневаюсь, что это действительно будет реализовано. Технически это довольно сложный из затратный проект как на стадии внедрения, так и на стадии сопровождения.

Изменено 6 Января 2016 пользователем KTNJ

[Николай Желтяков]

41 минуты назад, KTNJ сказал(а):

Вот только на сколько это будет законно?

Ну на сегодня ответственности за использование  VPN не предусмотрено, устанавливайте и пользуйтесь. 

Цитата

это довольно сложный из затратный проект как на стадии внедрения, так и на стадии сопровождения.

Вот это ключевые слова, главное выбить бюджет и начать реализацию проекта и закупок. Если уж смотреть в глубь то блокирование сайтов - это борьба с ветряными мельницами, не имеющая каких-то серьезных результатов, но под которую выделяется серьезный бюджет. 

[validator]

Походу получили в итоге отключение TLS в почтовых сообщениях (наверное заметили что в некоторых письмах появился значок - разомкнутый замочек).

Для тех кто не в курсе TLS это криптографический протокол обеспечивающий шифрование передаваемых данных между разными e-mail ящиками. По умолчанию включен у большинства почтовых серверов.

Так что увеличился риск потери ключей, паролей и прочей секретной информации передаваемой посредством электронной почты. Причем VPN тут ничем не поможет, а наоборот передача незашифрованных данных, через левый VPN может повлечь их утрату.

Вот мошенникам это как раз на руку.

Изменено 2 Марта 2016 пользователем validator