Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

[dbalabanov]

как всегда притянули безопасность

[0xf0a00]

«Вы что хотите как в Беларуси?!!» (с)

[sybersky]

Эм… да.

[dewil]

"хоть что-то у нас в безопасности"

[vindy123]

Ну нравится людям ходить по граблям, Гугл с мозиллой снова заблочат сертификат, и учения в очередной раз закончатся.

[bgBrother]

Судя по информации с opennet, прошлый сертификат добавили в список отозванных аж через месяц.

[vindy123]

Это довольно оперативно, на мой взгляд. Надеюсь, что и сейчас произойдет то же самое.

[bgBrother]

Это довольно оперативно, на мой взгляд

Вероятно, не могу сказать ничего против. Но прошу учесть, что всё это время трафик будет перехватываться.

Надеюсь, что и сейчас произойдет то же самое.

И что им помешает через месяц ещё один сертификат выпустить?

[vindy123]

Трафик будет перехватываться у меньшинства, установившего сертификат (до его отзыва). Большинство, далёкое от этого, будет делать мозг за неработающий интернет своим провайдерам, а те — кураторам из структур, которые заставили провайдеров нагнуться. Схема изначально нежизнеспособна на мой взгляд, и отзыв сертификата — это просто такой финальный шаг, который не даёт никакому дурачку в погонах продолжать водить за нос политическое руководство. Оно бы и так не взлетело, но без сертификата все однозначнее.

[doctorw]

Наверное, могут забанить и УЦ, выпускающий такие сертификаты?

[Areso]

У Казахстана есть свой УЦ (и даже не один).
Один принадлежит egov.kz (правительство для граждан, электронное правительство, корпорация чего-то там), второй принадлежит налоговой (комитету госдоходов).
Выпускались эти серты провайдерами или вот этими институтами — это вопрос.

[Mi7teR]

Эти УЦ не используются для выпуска сертификатов MITM

[cpcat]

То, что каждый раз нужно будет по новой склонять всех пользователей его устанавливать.

[vadimk91]

Интересно, а с отечественными сертификатом CA Root Social Objects такого (отзыв) не может случиться?

[salnicoff]

Может. Любой сертификат можно отзвать. В конце концов, заблокировать в браузере.

[remzalp]

В импортозамещенном отечественном ПО — Яндекс.Браузере! %(

[vindy123]

Нене, речь не о том, что каждый юзер должен блокировать или не устанавливать. Гугл как и в прошлый раз поместит сертификат в черный список для хрома, и на этом все закончится глобально для всех. До следующей попытки. Другие приложульки с SSL pinning впрочем не требуют дополнительных усилий, они просто сразу не работают с этим говном) Поэтому идея властей провальная заранее в любом случае.

[salnicoff]

Нет, речь шла о блокировке таких сертификатов разработчиками браузеров.

[kasiopei]

Учения по безопасности:
1. Разослать спам.
2. Посчитать сколько повелось.

[ar2rsoft]

Ага, учения будут признаны успешными если никто или очень малая часть поставит этот сертификат)

[Loggus66]

Ну кстати, однажды коллега-безопасник так сделал перед увольнением, пользуясь тем, что для офисной сети были отключены проверки отправителя. Не то чтобы он хотел указать на ошибку, но воспользовался возможностью для проверки реакции сотрудников на фишинг. Повелась где-то четверть людей, ещё и кляузы писали вида «мне кажется, я знаю, кто это сделал, он такой человек...»
В общем, рекомендую в качестве одной из метрик грамотности, как минимум.

[vmkazakoff]

Да даже больше того — есть несколько фирм, которые это продают как услугу. Они делают письма, рассылают их по разным группам сотрудников. Вкладывают разные вложения или добавляют ссылки на фишинг сайты… Короче все как у реальных фишеров/хакеров только ИБ проверяет что реальные пароли сайт не сохраняет и во вложениях нет настоящего шифровальщика.

В конце периода отчёт: Уважаемый ФИО в вверенном вам подразделении работает 133 дятла, которые не знают что нельзя открывать письма от незнакомых отправителей (с картинками), 85 выхухолей которые в таких письмах ещё и по ссылкам ходят не проверив, 13 беспозвоночных которые там ещё и пароли вводят. Ну и ещё 50 бурундуков которые непонятные вложения себе сохраняют и запускают. Настоятельно просим к следующему отчетному периоду сократить показатели в два раза. Вот ссылка на dpf по политике информационной безопасности на 485стр — необходимо выучить. Проверочное тестирование будем проводить совместно с начальником департамента. Благодарим за сотрудничество!

Шикарно работает. Проверено!)

[BugM]

И правильно. Больше таких проверок — меньше реальных утечек.

Открывать любые письма и ходить по любым ссылкам должно быть безопасно с любого офисного компа. Пароли не вводить, софт не запускать и ты в безопасности.
Если на ваших компах эти действия вызывают опасения, то стоит сменить всех безопасников и половину админов.

[v1000]

сертификат безопасности

сертификат госбезопасности

[Bakuard]

Тонко

[alex_shpak]

Конечно, я понимаю, что bee.gg — это домен казахстанского Билайна, но всё равно это выглядит как кибер-атака со стороны правительства Гернси. Они, чисто теоретически, могут передать домен bee.gg кому угодно, и тут даже нефильтрованный HTTPS не спасёт. Куда смотрят власти Казахстана?! </sarcasm

[tmin10]

Только даже ксли поставить сертификат, почти всё всё равно отвалится. Даже в исследовательских целях довольно сложно сделать, чтобы все приложения доверяли своему стороннему сертифткату, часть приложений нужно распаковывать и менять сертификат на свой. Т.е. в итоге там останется только браузер...

[vindy123]

Совершенно верно, идея дохлая с самого начала, браузеры поработают сколько-то, пока Гугл с мозиллой не забанят снова сертификат, все остальное сразу работать не будет. Надеюсь, если не со второго, то с третьего раза до прапорщиков-эникеев там дойдет, что ловить нечего.

[trueMoRoZ]

Астрологи объявили эпоху соревнования в глупости на постсоветском пространстве.

[firedragon]

Забавно, вы не находите что в руках одной корпорации слишком много власти.

[vindy123]

Мент из Гугла меня не придет в тюрьму сажать за неправильный пост, а из МВД Казахстана — может и прийти. Сколько бы претензий по любым другим вопросам не было у кого-либо к Гуглу — глупо не хотеть, чтобы этот серт был ими добавлен в черный список как можно быстрее.

[vikarti]

Интересно, а авторы этих идей как будут реагировать на «из-за вашего требования про рут у меня самсунг пей отвалился с концами и даже полный сброс аппарата чего то там про кнокс пишет а сервис говорит что не чинится» ?-:)

[arctic-fox]

Покупайте импортозамещенные телефоны.

[Areso]

В Казахстане при покупке телефона нужно явиться в госорганы и сдаться властям, чтобы власти переписали человека IMEI.
За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса.
Что-то подобное есть в Турции.
Ничего не мешает в этот бизнес-процесс встроить установку сертификата.
Шагом больше, шагом меньше?

[vis_inet]

За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса

А что, есть казахские телефоны???

[Areso]

Есть ввезенные официально, с них уже уплачено (НДС 12%, как минимум), а есть всё остальное. И вот если кто-то импортозаместил официальную поставку на неофициальную, то это можно, но за небольшую пошлину.
Хотя, возможно, что не приняли этот момент. Точно помню, что обсуждали.

[vikarti]

Эта фича с knox — широко известна и если тикнет — будет предупреждение+не будет работать спей(гпей — может).
Производитель скажет что нарушение условий эксплуатации (и как бы большая часть функционала — работает по прежнему — телефоном можно пользоватся).
При этом способ получения рута — вполне документирован (в отличии от многих других).

[FDsagizi]

Я так понимаю, что они и смогут читать весь трафик, с шифрованием от браузера. Те это уровень 0. Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?

И открыв уровень 0, уровень 1 они уже открыть не смогут, так же ?

Да это доп работа, но я думаю, Казахстан может и первый, но скорее всего не последний в данном начинании.

[bgBrother]

Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?

1. Не сложно будет это детектировать и блокировать, если % такого трафика будет низким и будет затрагивать исключительно сайты.
2. Это может показаться изобретением методов стеганографии с шифрованным соединением. Проще взять что-то готовое и работающее не столь высоко как JavaScript.
3. Любые подобные инициативы могут пресекаться штрафами, что уже пытаются делать относительно телекомов и дата-центров.

UPD: Случайно не в ту ветку попал. Прошу прощения…

[xakep666]

А между тем, тикет в багзилле уже завели

[Alert1234]

Не тот подход они выбрали. Надо бесплатный сертификат включать в услугу по доступу к интернет, типа как логин/пароль выдают, еще и сертификат будет, можно даже персональный.

[Wexter]

Если рассуждать с точки зрения тех кто творит эту дичь очень даже нужно, при этом каждому выдавать сертификат с индивидуальным УЦ + менять их периодически, чтобы гугл/мозилла задолбались банить бесчисленное количество левых УЦ. Главное не потерять у себя эти сертификаты когда понадобится трафик читать

[salnicoff]

Персональный — много мороки, потому что надо тогда будет генерировать поддельные серты для каждого пользователя отдельно.

[Areso]

Зачем поддельные? Большинство граждан Республики пользуются Электронным правительством для граждан, а значит, так или иначе, сертификаты у них есть (ЭЦП).

[salnicoff]

Я о поддельных сертификатах для сайтов, на которые пытаются зайти граждане РК.

[vis_inet]

Вспомнается «Молдавский вирус» )

[apachik]

>Компьютерно-безграмотные люди не поставят, потому что не смогут — сложно
ну значит у них не будет работать ютуб, воцап и т.д. по списку.
А припрет и будет нужно — станут грамотными :), или будут по салонам операторов скикаться, где им специально обученные люди все прокликают

[SergeyMax]

Скорее всего они понимают что его внесут в black lists

Осталось всего-то заблокировать или подменить доступ к «black lists».

[tester12]

Ничего, скоро в каждой мобиле будет спутниковый интернет Маска, спутники заглушить малость труднее.

[dewil]

Будут натягивать сетку Фарадея над городом :)

[tester12]

Со временем, терминалы уменьшатся до размеров мобилы (с уменьшением скорости связи, разумеется). Их будут провозить всякие фарцовщики. Или будет «неофициальная» прошивка терминалов, обходящая «станции сопряжения».

[arctic-fox]

… казачьи патрули

[chupasaurus]

А Бокова и Клишас в прошлом году внесли законопроект который быстро одобрили

в первом чтении, больше года никакого движения по нему не было.

[cpcat]

Скорее всего, без лицензии от государства спутники не будут ничего передавать на его территорию.

[Lure_of_Chaos]

Не одобряю идею, но...:

1. Технически отрубят остальной интернет
2. Законом запретят препятствовать
3. Распишут "плюсы", убеждая не верить воплям браузеров и иных средств

И даже гос-митм лучше, чем запрет использовать шифрование вообще.

Всё же продолжаю надеяться, что ни эта попытка, ни последующие не "взлетят" и при этом не сломают интернет

[amarao]

certificate pinning! Bingo! Специально, против таких.

[cpcat]

Следующий шаг — учения по установке КазГосБраузера.

[bgBrother]

В России уже продвигают предустановку ПО, одним из которых является Яндекс.Браузер… Да и кроме этого есть не мало людей, целенаправленно использующих Яндекс.Браузер…

[cpcat]

Браузер как браузер. Яндекс не гос.контора.

[vis_inet]

И даже гос-митм лучше

Вы уверены?

[Lure_of_Chaos]

Сравните "вас прослушивает государство" и "вас прослушивают все кому не лень"

[bgBrother]

Имхо, «вас прослушивают все кому не лень» условно безопаснее, т.к. не будет ложного чувства безопасности, которое может возникнуть при «вас прослушивает государство» (для людей потенциально менее очевидное) и заставит в хотя бы немного большей мере обезопаситься шифрованием.

[salnicoff]

«Вас прослушивает государство» = «Вас прослушивают все, кому не лень». Просто потому что из первого вытекает незашифрованность канала связи.