Deszyfrują ruch HTTPS na poziomie całego kraju!

[Grandalf]

Narodowy certyfikat root CA w akcji (Kazachstan)

Alarmujący wątek można

Zaloguj lub Zarejestruj się aby zobaczyć!

„MITM on all HTTPS traffic in Kazakhstan”.

Wygląda to na zmasowaną akcję rządową w połączeniu z operatorami telekomunikacyjnymi. Ci ostatni

Zaloguj lub Zarejestruj się aby zobaczyć!

do użytkowników

Zaloguj lub Zarejestruj się aby zobaczyć!

o instalację w swoim systemie nowego (rządowego)

Zaloguj lub Zarejestruj się aby zobaczyć!

Jeśli się nie zastosujesz – prawdopodobnie stracisz dostęp do Internetu (a przynajmniej do ruchu https(s)).

Zauważmy że dostawca Internetu znajduje się pomiędzy Tobą a serwerem, z którym się łączysz. Może więc próbować podstawić Ci dowolny certyfikat SSL – dajmy na to przy połączeniu z bankiem, webmailem czy Facebookiem. Przeglądarka to wykryje i wyświetli stosowny alert (a w przypadku użycia przez dany serwis

Zaloguj lub Zarejestruj się aby zobaczyć!

– w ogóle nie pozwoli zaakceptować podstawionego certyfikatu!). Wygląda to mniej więcej tak:

Jeśli jednak zainstalujesz nowy certyfikat root CA (dostępny w omawianym przypadku tutaj:

Zaloguj lub Zarejestruj się aby zobaczyć!

), Twoja przeglądarka w sposób automatyczny poprawnie zweryfikuje podstawiony certyfikat (będzie on podpisany rządowym root CA) i nie wyświetli alertu:

Zobaczcie, jest zielona kłódka, ale po stronie podsłuchującego możliwe jest zobaczenie całego ruchu https w formie jawnej:

W skrócie – klasyczny atak klasy

Zaloguj lub Zarejestruj się aby zobaczyć!

bez świecących po oczach ostrzeżeń w przeglądarkach. Dopiero po kliknięciu na zieloną kłódkę mamy dość ukrytą dodatkową informację:

Poniżej cytujemy obszerne tłumaczenie treści dostarczanej użytkownikom przez jednego z operatorów:

In connection with the frequent cases of theft of personal and credential data, as well as money from bank accounts of Kazakhstan, a security certificate was introduced that will become an effective tool for protecting the country’s information space from hackers, Internet fraudsters and other types of cyber threats.

We draw the attention of users to the fact that the installation of a security certificate must be performed from each device that will be used to access the Internet (mobile phones and tablets based on iOS / Android, personal computers and laptops based on Windows / MacOS).

In the absence of a security certificate on subscriber devices, technical limitations may arise with access to individual Internet resources.

Cała akcja została zapoczątkowana

Zaloguj lub Zarejestruj się aby zobaczyć!

Później Kazachstan chciał go włączyć do

Zaloguj lub Zarejestruj się aby zobaczyć!

(wtedy nie musiałby prosić użytkowników o instalację czegokolwiek…). Co spotkało się z niezbyt pozytywnymi komentarzami i odmową:

I can not believe it. They not only forcing Kazakhstan citizens to install this ROOT CA to all their devices, but also asking Mozilla to include it as trusted in new browser builds. That’s really crazy.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!