Yvision.kzYvision.kz
kk
Разное
Разное
399 772 постов41 подписчиков
Всяко-разно
57
21:31, 03 декабря 2015

Ключ от всех дверей в казнете

Дошли слухи, что с первого января собираются подменять HTTPS-сертификаты и слушать весь трафик. Эта новость — из разряда «настолько плохо, что не хочется верить». Обыватели, далёкие от IT, наверное, думают, «ну и хрен с ним, меня лично это никак не коснётся». Коснётся. Это грозит скорой гибелью всей интернет-коммерции в Казахстане.

Что такое https

HTTPS — шифрованный HTTP-канал. HTTP — это протокол, посредством которого вы получаете инфу из сети. Объяснять все тонкости долго, если хотите — можете почитать вики. Проблема в том, что HTTP-канал могут прослушать. Кто? Любой, кто имеет доступ к проксирующим узлам сети. Если проще — любой, через чьи руки проходит ваш трафик. Например, ваши сисадмины. Или люди, работающие в компании, предоставляющей вам инет. Или транспровайдеры, вроде Казахтелекома.

HTTPS решает эту проблему. Он шифрует ваши запросы асимметричным алгоритмом на основе RSA, который в данный момент требует порядка 10 лет вычислений на всех компах мира для дешифровки. Если вы пользуетесь HTTPS — никто, кроме кейлоггеров (шпионские программы непосредственно на вашем компьютере) не может узнать, какой инфой вы обмениваетесь с сервером.

Казалось бы, такой уровень безопасности необходим только хакерам, параноикам и всяким политическим активистам. Словом, тем, кому есть что скрывать. Казалось бы...

Чем грозит прослушка https

Если коротко — можете раз и навсегда забыть о личном пространстве. Это как если бы у кого-то был ключ от всех дверей страны. Захотел — пошёл и порылся в твоём шкафчике. Захотел — залез в твоё банковское хранилище. Или к твоему нотариусу, прочесть твоё завещание. Куда угодно. Не хватает денег на новую яхту — просто подошёл к тебе, залез в твой кошелёк, и выгреб оттуда всё до последней копейки.

А теперь давайте остановимся на каждом пункте поподробней. Можете больше не придумывать сверхнадёжные и сверхсложные пароли, это бесполезно. Один фиг в любой момент у вас могут перехватить ключ сессии, и сделать с вашим аккаунтом что угодно. А если пароль передаётся нехешированным (как на юви, например), то могут перехватить и сам пароль.

Есть деньги на пейпале? Или на киви? На яндекс.деньгах? На вебмани? Да где угодно. Можете о них забыть раз и навсегда. Нет никаких гарантий, что какой-нибудь уволившийся сотрудник Казахтелекома не решит аккуратненько разбогатеть по-быстрому. И, самое главное, если он не будет идиотом, отследить его будет практически невозможно. Можете забыть об интернет-покупках. Вряд ли какой-нибудь интернет-магазин согласится принимать платежи на счёт, с которого в любой момент времени могут увести все деньги.

Кстати, вы пользуетесь интернет-банкингом? А зря. В общем, не удивляйтесь, если после утверждения HTTPS-прослушки у вас внезапно станут пропадать деньги со счетов.

Забудьте вообще о любой интернет-коммерции.

Я, как и другие программисты, смогу обойти эту хрень, смогу и дальше шифровать свои персональные данные, но люди других профессий больше не смогут.

И, самое главное, если человеку действительно потребуется передать что-нибудь незаконное, он сможет обратиться к нечистым на руку сисадминам/программистам или заморочиться сам, и запросто сможет коммуницировать с кем угодно по надёжно шифрованному каналу. То есть, про этот закон нельзя даже сказать, что у него две стороны. Одна его сторона совершенно бесполезна, а другая... просто жопа.

Я понимаю, что чиновники и гос. служащие слабо разбираются в механизмах работы интернета. Это не их профессия, они и не должны разбираться в этом. А вот тех «спецов», которые проконсультировали гос. служащих, нужно выкинуть на мороз, отобрать у них диплом и отправить их на переквалификацию.

 

Небольшой фак

В комментах срач разгорелся, так что считаю необходимым прояснить некие моменты заранее.

Q: Что делать?

A: Этот поезд в огне, и нам некуда больше бежать. Нет, серьёзно. Остаётся только надеяться, что сей недальновидный человек, которому в голову пришла такая «чудесная» идея, одумается. Если бы у нас был какой-либо легитимный способ отстаивать свои претензии, пусть даже с помощью петиций, всё было бы иначе. Но у нас ничего подобного нет.

Просто НЕ УСТАНАВЛИВАЙТЕ корневой сертификат, предложенный Казахтелекомом. Тогда вы будете хотя бы видеть, что канал ненадёжен, и сможете сами принять решение, доверить ли пересылаемые данные третьей стороне или нет.

Если имеете какие-то финансы на пейпеле или в киви-кошельке — НЕ ЗАХОДИТЕ на эти ресурсы, если сертификат в браузерной строке не подсвечен зелёным.

Q: Такое уже по всему миру, так везде делают, в Европе, в России...
A: Нет. Просто нет. В России и Европе практикуется блокировка по чёрному листу сайтов, но ни в одной стране мира, кроме Китая, нет массовой прослушки HTTPS. Ни в одной другой стране народ никогда не согласится на массовое прослушивание трафика. А, кстати, вы можете погуглить «https mitm china» чтобы увидеть к какому количеству массовых угонов аккаунтов от gmail и других почтовых сервисов это привело там. Как вы понимаете, провайдеры Китая гораздо опытней наших, и их законодательство в отношении недобросовестных гос. служащих гораздо, гораздо суровее. Но даже там эта политика привела к чудовищным по масштабам утечкам данных. Просто подумайте, что же будет у нас.

Q: Что такое MITM?
A: Хакерская атака на защищённое соединение. Man in the Middle, человек посередине. Именно её планирует использовать Казахтелеком для перехвата HTTPS-трафика. Да, речь идёт о хакерской атаке со стороны государства на всех своих граждан. Да здравствует киберпанк, что тут ещё сказать.

57