Казахстан возобновил попытки перехвата HTTPS-трафика

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
07-Дек-2020 00:30

Казахстан предпринял третью попытку внедрения системы перехвата HTTPS-трафика, в которой осуществляется подмена используемого некоторыми сайтами TLS-сертификатов. Сегодня клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам, таким как Twitter и Facebook. Утверждается, что перехват трафика производится в рамках учений "Кибербезопасность Нур-Султан 2020".
Применяемый метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связаный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Напомним, что первая попытка перехвата HTTPS-трафика в Казахстане была предпринята в 2015 году. Правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla, но в ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. После этого в Казахстане были
приняты поправки к закону «О связи», предписывающие установку "национального сертификата безопасности" самими пользователями. Внедрение системы перехвата было запланировано на 1 января 2016 года, но намерение не было воплощено в жизнь.
Вторая попытка произошла в июле 2019 года. Система перехвата была введена в строй многими крупными провайдерами под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Через две недели перехват был прекращён с пояснением, что это было лишь тестирование технологии. Спустя месяц Google, Mozilla и Apple добавили применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL). После данного шага навязываемый сертификат потерял смысл из-за того, что Firefox, Chrome/Chromium, Safari и основанные на их коде браузеры начали выводить предупреждение о нарушении безопасности, независимо от ручной установки "национального сертификата безопасности".
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_https, #_mitm
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:07
Часовой пояс: UTC + 5