Может, вам повезёт?

Category: Сетевые соединения

  • Зловредные сертификаты

    Завершая цикл публикаций об атаках на интернет-трафик, стоит также рассказать о несколько более простом, но гораздо более популярном методе перехватить соединение TLS (HTTPS) — зловредный корневой сертификат.

    Начнем с основ. Для установления доверия во враждебной среде, коей является интернет, используются сертификаты — грубо говоря, это знак «подлинности», который используется для уменьшения шанса перехвата соединения. На каждом современном устройстве по умолчанию установлено определённое количество публичных корневых сертификатов «авторитетных» центров доверия.

    Как следует из названия, данные сертификаты используются для верификации всей последующей «цепочки» — от какого-нибудь промежуточного центра до конечного сервиса. Соответственно, если подобный центр решит «подорвать» образовавшуюся «цепочку доверия», выпустив ложные сертификаты для какого-либо сервиса, клиенты не заметят «подвоха», ведь все будет подписано «правильно». Далее их можно использовать в атаках «человек посередине» и прочих.

    Подобные атаки особо любят реализовывать государственные доверительные центры; хорошим примером послужит Казахстан, который сначала объявил необходимость устанавливать государственный корневой сертификат «QazNet», а потом выпустил ложные сертификаты для популярных сервисов вроде Google, YouTube, и прочих.

    Тогда подобную «наглость» быстро загасили как и браузеры, так и операционные системы, просто занеся казахское «недоразумение» в чёрный список. Можно уверенно сказать, что если бы этого не произошло, надзорные органы Казахстана с «радостью» бы перехватывали значительную часть трафика своих граждан.

    Некое подобие такого государственного «центра» сейчас содержит российское Минцифры — мол, для защиты от размыто определённых «санкций». Предложения установить российские государственные сертификаты, например, уже несколько лет висят на платежных шлюзах того же «Сбера».

    Стоит отметить, что Минцифры пока что не занимается выпуском «ложных» сертификатов по казахскому примеру, но техническая возможность для этого существует — причём, в любой данный момент. Если частные центры от подобного «хулиганства» ограничивает потеря доверия к ним, и как следствие — прибыли, то у государственных структур подобных «ограничителей» нет.

    В заключение ресурс «Может, вам повезёт?» рекомендует отказаться от использования любых государственных сертификатов, в том числе и российских. Вне зависимости от мифических «санкций», всегда существовали независимые центры доверия, которыми, кстати, сейчас тот же «Сбер» и пользуется.

  • Могут ли интернет-провайдеры осуществлять «перехват» сетевых соединений?

    Большинство современных законодательных актов, так или иначе затрагивающих «надзор» за содержанием интернет-коммуникаций, требуют нарушения фундаментальных «правил», по которым «работает» интернет. «Отечественный» пример — закон об административной ответственности за «поиск экстремистских материалов».

    Так как шифрование HTTPS (TLS) не позволяет любым «третьим сторонам» просовывать свой «нос» в содержание трафика, применять подобные законы на «практике» крайне сложно.

    Для «переноса» подобных инициатив из мира «сферического коня в ваккуме» необходимо «подорвать» данный «слой». Наиболее уязвимая часть соединения HTTPS — обмен ключей, а не данные, передаваемые после него. Именно с помощью «перехвата» обмена ключей можно различные «органы» обеспечивают для своих «носов» необходимый доступ.

    С появлением устройств глубокой фильтрации трафика (DPI) данная «задача» стала масштабируемой. Кроме возможности заблокировать адреса какого-либо VPN-провайдера или сайт с пресловутым «опасным контентом», данные «коробки» также могут быть использованы для «перехвата», вмешательства, и прочих атак на интернет-трафик.

    В случае с государственными «фильтрами», их можно легко «обратить» во враждебную «сторону», которая, в отличии от гражданской «коробки», имеет привилегированную позицию. Так как «начинка» подобных устройств часто носит определённый уровень секретности, никто не может сказать, когда этот «фильтр» блокирует сайт с условной порнографией, а когда перехватывает обмен ключей дипломатических устройств.

    Интернет-провайдера же «напрягать» попросту незачем — достаточно дать указание «коробке», которая стоит на его узлах связи, и получить все необходимые «манипуляции».