Казахстан возобновил попытки перехвата HTTPS-трафика
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Казахстан предпринял третью попытку внедрения системы перехвата HTTPS-трафика, в которой осуществляется подмена используемого некоторыми сайтами TLS-сертификатов. Сегодня клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам, таким как Twitter и Facebook. Утверждается, что перехват трафика производится в рамках учений "Кибербезопасность Нур-Султан 2020".
Применяемый метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связаный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Напомним, что первая попытка перехвата HTTPS-трафика в Казахстане была предпринята в 2015 году. Правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla, но в ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. После этого в Казахстане были
приняты поправки к закону «О связи», предписывающие установку "национального сертификата безопасности" самими пользователями. Внедрение системы перехвата было запланировано на 1 января 2016 года, но намерение не было воплощено в жизнь.
Вторая попытка произошла в июле 2019 года. Система перехвата была введена в строй многими крупными провайдерами под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Через две недели перехват был прекращён с пояснением, что это было лишь тестирование технологии. Спустя месяц Google, Mozilla и Apple добавили применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL). После данного шага навязываемый сертификат потерял смысл из-за того, что Firefox, Chrome/Chromium, Safari и основанные на их коде браузеры начали выводить предупреждение о нарушении безопасности, независимо от ручной установки "национального сертификата безопасности".
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.gov.kz/memleket/en...)
- OpenNews: В Firefox, Chrome и Safari заблокирован внедряемый в Казахстане "национальный сертификат"
- OpenNews: В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
- OpenNews: В Казахстане внедряется система тотального перехвата HTTPS-трафика
- OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- OpenNews: В РФ намерены запретить протоколы, позволяющие скрыть имя сайта
Похожие новости:
- [Информационная безопасность, Администрирование доменных имен] Сайты региональных органов власти: все еще печальнее, чем у федералов
- [Firefox, Браузеры] В Firefox 83 внедрили режим «только HTTPS»
- [Информационная безопасность] Приглашение к обсуждению методики составления индекса HTTPS-защищенности сайтов
- [HTML, JavaScript] Ajax в обход Mixed Content
- [Информационная безопасность] Новое применение Captive Portal для проведения MiTM атак
- В Chrome для Android включена поддержка DNS-over-HTTPS
- [Информационная безопасность] Спутниковую связь по-прежнему легко прослушать. Перехват трафика кораблей и самолётов
- [Информационная безопасность, IT-инфраструктура, Законодательство в IT] «Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI
- Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- [Информационная безопасность] Российские госсайты: иллюзия безопасности
Теги для поиска: #_https, #_mitm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 04:37
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Казахстан предпринял третью попытку внедрения системы перехвата HTTPS-трафика, в которой осуществляется подмена используемого некоторыми сайтами TLS-сертификатов. Сегодня клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам, таким как Twitter и Facebook. Утверждается, что перехват трафика производится в рамках учений "Кибербезопасность Нур-Султан 2020". Применяемый метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связаный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик. Напомним, что первая попытка перехвата HTTPS-трафика в Казахстане была предпринята в 2015 году. Правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla, но в ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. После этого в Казахстане были приняты поправки к закону «О связи», предписывающие установку "национального сертификата безопасности" самими пользователями. Внедрение системы перехвата было запланировано на 1 января 2016 года, но намерение не было воплощено в жизнь. Вторая попытка произошла в июле 2019 года. Система перехвата была введена в строй многими крупными провайдерами под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Через две недели перехват был прекращён с пояснением, что это было лишь тестирование технологии. Спустя месяц Google, Mozilla и Apple добавили применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL). После данного шага навязываемый сертификат потерял смысл из-за того, что Firefox, Chrome/Chromium, Safari и основанные на их коде браузеры начали выводить предупреждение о нарушении безопасности, независимо от ручной установки "национального сертификата безопасности". =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 19-Май 04:37
Часовой пояс: UTC + 5