Просмотров: 13963

Почему наша приватность обречена


В сущности, сегодня продолжение этого моего давнего поста: Прогресс не остановить -> почему ваша приватность обречена.

Мне забавно слышать озвучивание схемы того, как будет заблокирован интернет (Рунет) в РФ в самые ближайшие годы. И хотя это гротескно подается гуманитариями под видом некоего откровения, но я писал ровно об этом ещё два года тому назад. Очень часто бубнели тогда о клонировании Великом Китайском Файрволле как о главной угрозе, но фишка в том, что я исходил еще тогда из того, что вечный бардак (сиречь «Российская Федерация») не способен технологически создать нечто хотя бы близко сопоставимое технически с Великим Китайским Файрволлом. И поэтому РФ будет вынужден снова действовать ассиметрично (это, кстати, любимое слово наших политиков — из-за своей архаичности они не могут ответить врагу равнозначно, поэтому на все вызовы всегда отвечают типа как «асимметрично» за сбитый самолет запрещают ввоз помидоров). Таким образом, техническое бессилье и отсутствие кадров будет скомпенсировано «гибридными технологиями» на базе замеса из технических решений и административно-силовых мероприятий.

Так вот эти этапы, которые очень похожи на нынешнюю тактику постепенного регулирования VPN в Китае:

  • Создание отечественных центров сертификации SSL.
  • Законодательное принуждение использования в качестве шифрования только отечественных сертификатов и ГОСТ’ов на территории РФ. Все браузеры и производители не поддержавшие это веяние юридически выдавливаются с рынка РФ. Далее идет тотальный транспарентный mitm всего транзитного трафика со стороны социальной группы «siloviki» а-ля Казахстан.
  • При этом наблюдается безусловная блокировка всех пакетов и соединений подписанных зарубежными натовскими ключами и сертификатами на пограничном шлюзе.
  • И хотя закукливания избежать отчасти получится, но все ваши ползания по каналу за рубеж будут под непрерывным наблюдением «настоящих патриотов своей страны».

Под катом популярное видео, где девушка-гуманитарий (зовут, Марина, кстати) бодро разъясняет этот подход. Хотя и с некоторыми техническими ошибками, но, не вдаваясь в детали, в целом последовательность шагов и общая логика правдоподобна.

Я же всегда подчеркивал в своих материалах: бороться будут не против ещё большего уровня шифрования и децентрализации (как думают многие айтишники, педалируя очередные супер-мега-p2p-сети), но играть будут на административно-законодательной поляне, на корню запретив сам факт шифрования и использования независимых (сиречь «запретных») пиндосских технологий, постепенно двигаясь в сторону фильтрования по белым спискам, например из SSL-сертификатов.

Поэтому через пять лет ты, %username%, будешь ходить забугор либо по импортно-замещенному виртуальному каналу, либо — вообще никак. При таком подходе всякие Торы и подобные технологии скурвятся отомрут на 1/6 суши сами собой. Посему советую начинать уже прямо сейчас запасаться запретным свободным интернетом, заливая его в банки-закрутки на предстоящую долгую зиму.

Как в России запретят интернет

Вот карточки Медузы, о которых постоянно упоминает тетенька, и которые позволяют понять отчего вообще весь сыр бор, тем, кто не следит за новостями: Власти хотят контролировать интернет-сертификаты. За мной будут следить?

Вячеслав Журавлев, инженер Unix систем, в комментариях исправляет мелкие огрехи в сказанном в видео:

Не совсем (точнее, совсем не) правильно описали схему врезки в пользовательский трафик. Предлагаемый российский УЦ ни коим образом в трафик не вмешивается, его задача в одном — заставить браузеры установить их сертификат в доверенные (а иначе данный браузер можно запретить на территории РФ, с них станется), после чего простым врезанием в трафик пользователя на уровне провайдера (а для этого много сил не требуется, всё примитивно) ему на любой коннект по HTTPS подменяется публичный ключ отвечающей стороны, т.е. например не ключ Google, а ключ ФСБ, у которых есть его приватная часть и которые таким образом могут расшифровать весь трафик.

У пользователя к тому моменту уже установлен в браузере нужный корневой CA (от РФ) и ключ проходит валидацию — браузер не узнает, что ему подменили ключ Гугла. Такие атаки не то, чтобы маловероятны... Они уже применяются полным ходом, в частности — корпоративный сектор, где на все служебные компьютеры устанавливается этот самый специальный доверенный сертификат. То же самое проворачивает Казахстан — это уже mitm на уровне государства. И тем же самым хочет заняться ФСБ.

Почему наша приватность обречена-2 анонимность слежение

Ещё один коммент оттуда:

Не совсем верно в технической части. Трафик шифруется не ключом сертификата, а уникальным сеансовым ключом, который генерируется по схеме Диффи-Хеллмана при каждом соединении, а SSL-сертификат нужен только для того, чтобы сервер мог надёжно подтвердить своё доменное имя цифровой подписью, которая тоже создаётся и проверяется при каждом соединении. Кроме того, пункт № 3 в видео в хитром плане выглядит крайне сомнительно. Можно обязать пользователей добавить корневой сертификат российского УЦ в список доверенных, но вряд ли получится заставить все сайты в интернете установить себе российский SSL-сертификат.

Автор последнего коммента не до конца догоняет тонкости, и, чтобы не лить воду по сотому кругу, хочу посоветовать, во-первых, почитать FAQ на эту тему, а вторых, свою серию статей Это СОРМ, детка, где в том числе описан пример того, как один левый французский СА, владеющий мастер-ключом, невозбранно выдавал валидные сертификаты для доменов Gmail спецслужбам своей страны.

А когда его совершенно СЛУЧАЙНО за руку словили за этим постыдным делом, он неразборчиво промычал прессе что-то типа: «Наш сотрудник явно там что-то напутал, но он уже уволен». Конец истории. Кстати, этот французский центр сертификации мутит существует и поныне.

Вот картинка диалога с того моего поста по существу вопроса:

Почему наша приватность обречена-2 анонимность слежение

Ещё один полезный диалог для развития темы в сторону «бабки есть — ума не надо»:

— А вообще от таких перспектив нас защищает тоже, что и от изготовления ядерной бомбы обычными террористами — сложность технологий. Свой интернет не смогла построить даже компартия Китая (их ресурсы и уровень контроля населения несравнимо выше наших), максимум что они смогли сделать — свой фаерволл встроенный в интернет. Так что это все — антиутопия...
— У некоторых мексиканских наркокартелей, Los zetas например, по слухам уже есть тактическое ядерное оружие. Так что террористы могут его и купить, и уж тем более при наличии стран покровителей-изгоев.

Почему наша приватность обречена-2 анонимность слежение

SSL-бонус

И собственно, кому интересно, вот текущая и свежая как лесная ягода статистика положения дел на TLS/SSL-рынке в российских доменных зонах. Оттуда выковырял, или что у нас сейчас админы местные больше всего предпочитают:

Почему наша приватность обречена-2 анонимность слежение
Статистика по TLS в Рунете на январь 2016 —
Распределение по длинам ключей

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , , , , ,
Эта запись опубликована: Понедельник, 22 февраля 2016 в рубрике ЛитдыбрНовости.

5 комментариев

Следите за комментариями по RSS
  1. Меня запретят? :0

  2. tcpip, заменят на Aquinas.

  3. Вообще в школах уже несколько месяцев ростелеком осуществляет такую MITM атаку при https соединении c разными интернет сайтами (например на сервера гугл,яндекс итд) подменяя сетификаты этих компаний на ростелекомовские. Браузеры видят подмену и отказывают работать, а ростелеком требует, чтобы на всех школьных компьютерах был установлен в довереные центры их самопальный ростелекомовский сертификат.

    Как поисковую системы в ростелекоме есть уже спутник.ру с церковной тематикой в качестве фоновой картинки, браузер какой-то у них тоже скорей всего есть...

  4. Любой человек, хоть сколько-нибудь в теме, скажет, что тотальный SSL Bump (Эта технология именно так называется):

    1. Требует очень некислого сопровождения просто чтобы работать

    2. Чтобы не палиться, требуется на порядок более крутое сопровождение

    3. Бампать мессенджеры один фиг невозможно, хотят этого silovki или нет

    4. Любое приложение с SSL pinning или OCSP stapling бампнуть невозможно. От слова "совсем". Соединение просто не устанавливается и трындец. Что само по себе приводит к п.2. Однако п.2 не опровергает п.4. На данный момент.

    Казахстан, кстати, хлестанулся - однако же соснул. Кто-то умный им внушил мысль, что, собственно, они затевают и с каким выхлопом. 1 января 2016 года миновало - а все осталось на кругах своя.

    Аффтар, изучи вопрос - паникуете зря. В корпоративном секторе это - реально. В масштабах даже пизденышного государства типа КЗ - сосать тырмыз.

    SSL бампать - это вам не в Минобороне откаты распиливать!

  5. Так что, правильный ответ:

    Ни сы - что в переводе с китайского означает: будь спокоен как цветок лотоса у подножия храма истины.

    Это я тебе как действующий сисадмин, реально свыше 3 лет применяющий SSL Bump, говорю.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз