?

Log in

No account? Create an account
Зачем вам подорожная, хамы? Вы же неграмотны! - Журнал Витуса.
[Друзья] [Свежие записи] [Dreamwidth] [Фото] [Тексты] [Друзья Ирины] [Матерные писатели] [Сообщества] [3 круг]
October 31st, 2013
10:20 am
[User Picture]

[Link]

Previous Entry Share Next Entry
Зачем вам подорожная, хамы? Вы же неграмотны!
Спросил дон Румата Эсторский у остановивших его на дороге серых штурмовиков.

И правда, зачем неграмотному проверяющему письменный документ? Он же не сможет ни сопоставить список особых примет со стоящим перед ним человеком, ни убедиться что подписан документ тем, кто имеет право такие документы подписывать. Конечно, требуется чтобы у проверямого был хоть какой казеный документ. Герой "Золоченых лбов" Шергина в этой ситуации "квитанцию старую показыват, а они неграмотны, думают диплом".

Так вот распространившиеся нынче по интернету вопли насчет некриптованного траффика во внутренней сети гугля и прочие попытки совать SSL куда ни попадя, вызывают у меня аналогичное ощущение. "Зачем вам SSL, ламеры, если вы неграмотны в области PKI?"

Для того чтобы читать ваш SSL-траффик АНБ совершенно не нужен доступ во внутреннюю сеть Гугля. Конечно, иметь доступ туда им удобно. Но непринципиально. Достаточно иметь контроль над Verisign.

Приходит агент АНБ в Verisign и приносит постановление секретного суда с требованием с целью прослушки электронной почты страшного-террориста Будь-Он-Не-Ладен выдать АНБ сертификат X.509 на домен google.com (на публичный ключ, секретную часть которого само АНБ и сгенерировало). Что не выдадут? Выдадут, куда денутся. Я подозреваю, что и без судебного постановления выдадут, но это уже конспирология.

Главное, установив этот сертификат на любом подконтрольном роутере между вами и гуглем, АНБ может успешно выдать себя за гугль, расшифровывать ваш запрос, а потом передавать его в настоящий гугль уже от своего имени. Получать ответ, расшифровывать его и после этого передавать вам зашифровав на ключах "поддельной" сессии.

И ваш браузер этому сертификату поверит. Ведь сертификат выдан удостоверяющим центром, который у браузера в доверенные прописан.
Ну и что, что сертификаты гугль покупает у GeoTrust, а не у Verisign. Если ваш траффик почему-либо решит почитать китайская разведка, и у них есть контроль над каким-то роутером между вами и гуглем, они запросто подсунут вам сертифмкат, выданный China Network Information Center. И браузер его молча проглотит.

Я видел только один браузер, который при установлении SSL-соединения сообщает пользователю, каким именно удостоверяющим центром удостоверена подлинность сервера. Это Microb в Maemo 5.

Эта технология давным давно используется во всяких корпоративных файрволлах. В корпоративном домене адмнистратор запросто может при помощи доменных политик включить в список доверенных свой собственный сертификат УЦ. И пропускать весь ваш https-траффик через DLP систему, антивирус или что угодно, генерируя свои сертификаты на любое доменное имя на лету. Конечно, корпоративная система скорее всего обломается на сайте, использующем клиентский сертификат. Потому что сервер-то которому вы предъявляете клиентский сертификат не под контролем вашего корпоративного сисадмина. Но от АНБ не спасет даже это.

Вообще в современном интернете самоподписанные сертификаты обеспечивают большую безопасность, чем честно купленные у коммерческих CA. Потому что браузер предупредит о ЛЮБОМ изменении самоподписанного сертификата, но молча сожрет смену сертификата с подписью доверенного УЦ, и даже замену сертификата с подписью одного УЦ на сертификат с подписью другого УЦ, потому что валидные сертификаты он не кэширует.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/913732.html. Please comment there using OpenID. Now there are comment count unavailable comments

Tags:

(47 comments | Leave a comment)

Comments
 
[User Picture]
From:leotsarev
Date:October 31st, 2013 06:41 am (UTC)
(Link)
И ваш браузер этому сертификату поверит. Ведь сертификат выдан удостоверяющим центром, который у браузера в доверенные прописан.
Вообще насколько я понимаю, в Google Chrome сертификат гугла и еще нескольких крупных сайтов прилеплен жестко.
В смысле «доверять только сертификату от GeoTrust и только если хеш строго равен константному значению». SSL certificate pinning.

В Firefox эту фичу тоже собирались перенести.

Но для взятого с потолка сайта это конечно работает
[User Picture]
From:rblaze
Date:October 31st, 2013 09:15 am (UTC)
(Link)
Невозможно, гугл постоянно меняет сертификаты туда-сюда. Подписывающий сертификат можно прицепить, а финальный не выйдет. Из-за этого даже perspectives то и дело ругаются на гугль.
[User Picture]
From:leotsarev
Date:October 31st, 2013 06:42 am (UTC)
(Link)
Ну и конкретно Google и конкретно АНБ с этим морочиться смысла нет — думаю, там просто аналог нашего СОРМ подключен внутри корпоративной сети.
[User Picture]
From:vitus_wagner
Date:October 31st, 2013 07:34 am (UTC)
(Link)
Ну собственно, это и было поводом для данного поста. Что весь интернет сейчас мусолит вот эту картинку;

[User Picture]
From:zhuk_s
Date:October 31st, 2013 06:51 am (UTC)
(Link)
Витус, все проще. 90%, если не больше, пользователей и не почешутся, даже если браузер скажет что сертификат неправильный, просто ткнут кнопку "открыть все равно".
[User Picture]
From:vitus_wagner
Date:October 31st, 2013 06:56 am (UTC)
(Link)
Девять из десяти солдат и не почешутся остановить благородного дона, который куда-то скачет по своим делам. Профита с этого никакого, а нагайкой или ножнами от меча по морде схлопотать запросто можно.
[User Picture]
From:kant_elz
Date:October 31st, 2013 07:19 am (UTC)
(Link)
Витус, прошу извинить за оффтоп. Вы не знаете случайно почему журнал.либ.ру заблокирован? Это же самиздат. Какое там может быть нарушение авторских прав? Или это уже по закону Мизулиной?
[User Picture]
From:bal
Date:October 31st, 2013 07:24 am (UTC)
(Link)
>почему журнал.либ.ру заблокирован? Это же самиздат. Какое там может быть нарушение авторских прав?

http://lenta.ru/news/2011/02/24/samlib/
[User Picture]
From:kouzdra
Date:October 31st, 2013 07:50 am (UTC)
(Link)
Приходит агент АНБ в Verisign и приносит постановление секретного суда с требованием с целью прослушки электронной почты страшного-террориста Будь-Он-Не-Ладен выдать АНБ сертификат X.509 на домен google.com (на публичный ключ, секретную часть которого само АНБ и сгенерировало). Что не выдадут? Выдадут, куда денутся. Я подозреваю, что и без судебного постановления выдадут, но это уже конспирология.

Дело в том, что NSA этого недостаточно - оно не то, чтобы не занимается индивидуальной прослушкой, но занимается ей мало - это скорее FBI/CIA занимаются, по конкретным людям в основном они работают.

А NSA работает "по площадям" - ему надо "слушать всех", а тут этот метод в таком виде не срабатывает
[User Picture]
From:vitus_wagner
Date:October 31st, 2013 08:31 am (UTC)
(Link)
Так суд выдает предписание по поводу одного террориста, а Verisign по этому предписанию выдает сертификат, позволяющий перехватывать траффик всех пользователей Google.

Тут не зря kant_elz про Самиздат вспомнил. Можно еще Dreamwidth.org вспомнить. Схема та же самая - докопавшись до одного идиота получаем разрешение на силовые меры в отношении всех миллионов пользователей сервиса.
[User Picture]
From:otstavnov.com
Date:October 31st, 2013 08:03 am (UTC)
(Link)
Ну вот кеширование номинально валидных сертификатов и распределенный анализ кешей кажется мне гораздо более здоровой идеей, чем ламентации по поводу компьютерной неграмотности. В конце концов, как мы знаем, давление со стороны государственных органов вовсе не единственная причина, по которой могут появляться поддельные сертификаты с подписью УЦ.
[User Picture]
From:alll
Date:October 31st, 2013 08:23 am (UTC)
(Link)
Ну и будет как с тором - сеть распределённого анализа будет чуть менее чем полностью состоять из узлов, подконтрольных всяким мутным конторам.
[User Picture]
From:arkanoid
Date:October 31st, 2013 10:26 am (UTC)
(Link)
Если Verisign запалят на выдаче АНБ фальшивого сертификата гугля (а его непременно запалят), последствия будут очень интересные. Несмотря на то, что Verisign это вам не Diginotar, это "too big to fail".
[User Picture]
From:vitus_wagner
Date:October 31st, 2013 11:16 am (UTC)
(Link)
Verisign уже палили на подделке DNS аль-Джазиры во время иракской войны. Никаких последствий.
[User Picture]
From:arkanoid
Date:October 31st, 2013 10:27 am (UTC)
(Link)
Браузеры сравнительно недавно, кстати, научились правильно кэшировать самоподписанные сертификаты, да и то не все. И об этом я уже писал не раз.
[User Picture]
From:amarao_san
Date:October 31st, 2013 06:28 pm (UTC)
(Link)
Подмена самоподписанного сертификата на "типа доверенный" пройдёт молча.

Цвет заголовка поменяется.

О, в стиле исторических анекдотов. Как немецких шпионов ловили по нержавеющим скрепкам в вторую мировую.

Аналогично: "он понял, что его ssl-трафик прослушивается АНБ потому, что ранее невалидный, просроченный самоподписанный сертификат заменился на новый, сияющий, подписанный verison с максимальным уровнем доверия".
[User Picture]
From:beldmit
Date:October 31st, 2013 08:46 pm (UTC)
(Link)
Вот тебе моя статья на эту тему: http://нетоскоп.рф/ru/daytheme/200/

Я верю в Certificate Transparency как решение.
[User Picture]
From:vitus_wagner
Date:October 31st, 2013 08:59 pm (UTC)
(Link)
Идея transparency - вообще-то здравая и давно пропагандируется как альтернатива privacy. В смысле - вместо того чтобы защищать данные, позволить их субъектун контролировать все возможные обращения к ним.

Но в данной постановке задачи она скорее вредна. Потому что это очередное "чтоб разъединить их всех, чтоб лишить их воли". Переход на PGP-шную ключевую систему был бы более здравым решением.
[User Picture]
From:qkowlew
Date:November 2nd, 2013 07:07 am (UTC)
(Link)
Почти в тему и этого, и поста про программирования под windows - http://habrahabr.ru/post/200370/

И кто сказал, что скачанная по указанной йотой ссылке
программа не содержит закладки-кейлоггера и не капчурит ещё и дамп памяти какого-нибудь процесса?
[User Picture]
From:_iga
Date:November 5th, 2013 02:28 pm (UTC)
(Link)
CertPatrol?
My Website Powered by LiveJournal.com