Comments 75
Ну нравится людям ходить по граблям, Гугл с мозиллой снова заблочат сертификат, и учения в очередной раз закончатся.
Это довольно оперативно, на мой взгляд. Надеюсь, что и сейчас произойдет то же самое.
Это довольно оперативно, на мой взглядВероятно, не могу сказать ничего против. Но прошу учесть, что всё это время трафик будет перехватываться.
Надеюсь, что и сейчас произойдет то же самое.И что им помешает через месяц ещё один сертификат выпустить?
Трафик будет перехватываться у меньшинства, установившего сертификат (до его отзыва). Большинство, далёкое от этого, будет делать мозг за неработающий интернет своим провайдерам, а те — кураторам из структур, которые заставили провайдеров нагнуться. Схема изначально нежизнеспособна на мой взгляд, и отзыв сертификата — это просто такой финальный шаг, который не даёт никакому дурачку в погонах продолжать водить за нос политическое руководство. Оно бы и так не взлетело, но без сертификата все однозначнее.
Один принадлежит egov.kz (правительство для граждан, электронное правительство, корпорация чего-то там), второй принадлежит налоговой (комитету госдоходов).
Выпускались эти серты провайдерами или вот этими институтами — это вопрос.
Нене, речь не о том, что каждый юзер должен блокировать или не устанавливать. Гугл как и в прошлый раз поместит сертификат в черный список для хрома, и на этом все закончится глобально для всех. До следующей попытки. Другие приложульки с SSL pinning впрочем не требуют дополнительных усилий, они просто сразу не работают с этим говном) Поэтому идея властей провальная заранее в любом случае.
1. Разослать спам.
2. Посчитать сколько повелось.
Ага, учения будут признаны успешными если никто или очень малая часть поставит этот сертификат)
В общем, рекомендую в качестве одной из метрик грамотности, как минимум.
Да даже больше того — есть несколько фирм, которые это продают как услугу. Они делают письма, рассылают их по разным группам сотрудников. Вкладывают разные вложения или добавляют ссылки на фишинг сайты… Короче все как у реальных фишеров/хакеров только ИБ проверяет что реальные пароли сайт не сохраняет и во вложениях нет настоящего шифровальщика.
В конце периода отчёт: Уважаемый ФИО в вверенном вам подразделении работает 133 дятла, которые не знают что нельзя открывать письма от незнакомых отправителей (с картинками), 85 выхухолей которые в таких письмах ещё и по ссылкам ходят не проверив, 13 беспозвоночных которые там ещё и пароли вводят. Ну и ещё 50 бурундуков которые непонятные вложения себе сохраняют и запускают. Настоятельно просим к следующему отчетному периоду сократить показатели в два раза. Вот ссылка на dpf по политике информационной безопасности на 485стр — необходимо выучить. Проверочное тестирование будем проводить совместно с начальником департамента. Благодарим за сотрудничество!
Шикарно работает. Проверено!)
Открывать любые письма и ходить по любым ссылкам должно быть безопасно с любого офисного компа. Пароли не вводить, софт не запускать и ты в безопасности.
Если на ваших компах эти действия вызывают опасения, то стоит сменить всех безопасников и половину админов.
сертификат безопасностисертификат госбезопасности
Только даже ксли поставить сертификат, почти всё всё равно отвалится. Даже в исследовательских целях довольно сложно сделать, чтобы все приложения доверяли своему стороннему сертифткату, часть приложений нужно распаковывать и менять сертификат на свой. Т.е. в итоге там останется только браузер...
Совершенно верно, идея дохлая с самого начала, браузеры поработают сколько-то, пока Гугл с мозиллой не забанят снова сертификат, все остальное сразу работать не будет. Надеюсь, если не со второго, то с третьего раза до прапорщиков-эникеев там дойдет, что ловить нечего.
За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса.
Что-то подобное есть в Турции.
Ничего не мешает в этот бизнес-процесс встроить установку сертификата.
Шагом больше, шагом меньше?
За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса
А что, есть казахские телефоны???
Производитель скажет что нарушение условий эксплуатации (и как бы большая часть функционала — работает по прежнему — телефоном можно пользоватся).
При этом способ получения рута — вполне документирован (в отличии от многих других).
Я так понимаю, что они и смогут читать весь трафик, с шифрованием от браузера. Те это уровень 0. Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?
И открыв уровень 0, уровень 1 они уже открыть не смогут, так же ?
Да это доп работа, но я думаю, Казахстан может и первый, но скорее всего не последний в данном начинании.
Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?
- Не сложно будет это детектировать и блокировать, если % такого трафика будет низким и будет затрагивать исключительно сайты.
- Это может показаться изобретением методов стеганографии с шифрованным соединением. Проще взять что-то готовое и работающее не столь высоко как JavaScript.
- Любые подобные инициативы могут пресекаться штрафами, что уже пытаются делать относительно телекомов и дата-центров.
UPD: Случайно не в ту ветку попал. Прошу прощения…
ну значит у них не будет работать ютуб, воцап и т.д. по списку.
А припрет и будет нужно — станут грамотными :), или будут по салонам операторов скикаться, где им специально обученные люди все прокликают
Будут натягивать сетку Фарадея над городом :)
А Бокова и Клишас в прошлом году внесли законопроект который быстро одобрилив первом чтении, больше года никакого движения по нему не было.
Не одобряю идею, но...:
- Технически отрубят остальной интернет
- Законом запретят препятствовать
- Распишут "плюсы", убеждая не верить воплям браузеров и иных средств
И даже гос-митм лучше, чем запрет использовать шифрование вообще.
Всё же продолжаю надеяться, что ни эта попытка, ни последующие не "взлетят" и при этом не сломают интернет
certificate pinning! Bingo! Специально, против таких.
И даже гос-митм лучше
Вы уверены?
Сравните "вас прослушивает государство" и "вас прослушивают все кому не лень"
Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку