Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями. В сети, которая обслуживает подотчетные Минобразованию учреждения, весь трафик проходит через датацентр Областного центра информационных технологий. Пользователю предлагается использовать SSL-сертификаты, выпущенные именно этим центром и сохраняющие в том числе все настройки безопасности пользователя, включая его пароли. Без согласия использовать эти SSL-сертификаты невозможно получить доступ к большинству известных интернет-сайтов. Автор публикации предполагает, что таким же образом можно достаточно легко обеспечить фильтрацию трафика пользователей Рунета в рамках исполнения антитеррористического закона Яровой.
Как легко расшифровать SSL-трафик на примере учебных заведений Новосибирска
Развитие событий: ФСБ приспособит DPI для анализа трафика россиян (21 сентября 2016)
Добавить 27 комментариев
Роем! открыл для себя MITM? Поздравляю!
На самом деле они писали, что в Казахстане, если я правильно понял, точно такой же MITM на государственном уровне уже якобы полгода работает. По крайней мере, это была новость конца 2015 года про то, что будет в 2016-м. Вот со мной ссылкой делились: https://roem.ru/02-12-2015/214136/kz/ Интересно, а как у них по факту, удалось им этот финт ушами провернуть?
В Казахстане так и неизвестно ни одного случая чтобы провайдер включил подмену сертификата. Дальше объявления об этом в ноябре прошлого года дело так и не зашло. И даже объявления провайдеры сняли со своих сайтов.
Блокируют некоторые сайты и сервисы «по старинке» — по IP-адресам. Получается, что работают «по площадям», иногда задевая соседей заблокированных ресурсов. Особенно неприятно бывает, когда IP используется CDN вроде CloudFlare.
Не новость.
В нашей школе контент фильтровали на уровне единого школьного краевого провайдера, ресурсы с SSL фильтровать по URL же нельзя, поэтому администраторами сети ещё три года назад был выпущен доверенный сертификат, который требовалось установить на все устройства в школьной сети, чтобы иметь доступ к ресурсам по HTTPS. Понятное дело, что любой трафик после этой процедуры стал доступен провайдеру.
Изредка для передачи приватной информации домой использовал VPN-туннели, но ведь заблокировать их тоже не составит труда…
Как говорится, все познается в сравнении: сегодня школьники, а завтра все…
> Изредка для передачи приватной информации домой использовал VPN-туннели, но ведь заблокировать их тоже не составит труда…
Не совсем. Приходилось использовать туннелирование поверх HTTP — вот его заблокировать можно только вместе с протоколом. Можно еще поверх DNS, но медленно будет.
Мой провайдер в подмосковье действует именно так: сайты, заблокированные роскомнадзором, блокирует по IP, а отдельным сайтам с HTTPS пытается всунуть свой сертификат. К счастью, не всем, но не только к тем, кто попал в черный список. Например, rublacklist.net доступен по HTTP, но блокируется по HTTPS.
Установить свой сертификат пока не предлагали.
Блокирование CDNок достает неимоверно, особенно когда с них раздается не сам сайт, а какие-то его ресурсы. Верстка разваливается, а иногда все выглядит нормально, но не работает — JS не подгрузился.
>Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями.
Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?
MITM в конкретном случае предназначен для расшифровки результатов поисковых выдач, блокировки контента по ключевым словам. Эти прокси-сервера ( usergate, например) помимо прочего осуществляют фильтрацию dns-запросов, поэтому в качестве dns в школьной сети можно указать любой публичный адрес. Дополнительная антивирусная проверка облегчает, надеюсь, жизнь немногочисленным ит-специалистам в школах.
За отсутствие фильтрации несет персональную ответственность директор школы, поэтому я понимаю и приветствую централизованные решения операторов связи. Еще нехватало, чтобы кроме ремонта и канцелярии пришлось на ИТ с родителей собирать.
Те, кому свою активность от властей скрывать нужно (мошенники, террористы, оппозиционеры) и дальше будут вертеть глупых чиновников на известном месте. А остальных пупок надорвется изучать, даже после записи всего и вся на экзабайтных хранилищах)
Как говорится, все познается в сравнении: сегодня школьники, а завтра все…
Давайте попробуем познать в сравнении. Вот у вас это работает три года. И?
Расскажите нам о чудовищных негативных эффектах, об ужасных кейсах и сломанных судьбах. Ну чтобы мы это примерили к себе.
Ведь если заработает пакет Яровой, это всё придётся испытать нам всем.
Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?
После самоубийства, например, начинают внимательно читать переписку и каменты.
>>Ведь если заработает пакет Яровой, это всё придётся испытать нам всем.
а это не важно, заработает он или нет. Тут по пакету ( как и по любой затее ценой в триллионы) — только и надо понять Cui prodest? А продест — хуавей. Говоря проще: кто продаст нам это оборудование ненужное? Теперь понятно кто. Тогда зачем? Видимо, вся затея — чтоб дать кактоето обеспечение под кредит, который, видимо, китайтся готовы дать незаметно. Земля или газ — им нафиг особо не нужны ( да и как под эти будущие поставки кредитовать, коли по воде вилами? да и цены падают на все это) а под пластинки кремниевые — другое дело. Какбы купля-продажа, на деле — просто возврат кредита.
Игорь, а зачем это читать ПОСЛЕ? Чтобы было, кого посадить?
ну чо вы пристали к человеку? ежу ясно, что рационального объяснения нету у затеи. Еслиб оно было — ужеб хоть гдето ктото это объяснил. Надо просто понять, что это не стоит пытаться понять)))
Конкретно на прокси-серверах для школ никто ничего не читает и задачи собирать пароли там нет. Все работает на самоходе и в редких случаях, когда не работает какой-то сайт, привлекается администратор и разработчики.
Есть пара ФЗ и смысла обсуждать их нет. Вот цитата http://www.consultant.ru/document/cons_doc_LAW_108808/9083b03e61777d3fe172fb3ef707a10e10688262/
Потому что ДО вы никому неинтересны. Нет состава.
> Игорь, а зачем это читать ПОСЛЕ? Чтобы было, кого посадить?
Потому что до родители думают, что свобода для подростка, вольное развитие и не мешать — это главное, а после они думают, кто виноват, кто подтолкнул, нет ли педофилии, и чтоб посадить.
Я был в такой ситуации, я знаю.
это былоб хорошобы, но чтото я скептически отношусь. Кстати, вот те самые бигдата — посмотреть бы статистику, сколько и каких видов преступлений было предотвращено\раскрыто с помощью анализа данных, а следовательно — имеется скажем на периоде 5-10 лет резкое снижение такого типа удельное.
Все преступления в самой айти сфере ( взломы аккаунтов, кредитки, атаки) — это не в счет, это понятно.
Уж сша, уж передовики вроде в данном вопросе и занитересованы и т.п. — не особо похоже, что чтото снизилось там у них всерьез.
> Конкретно на прокси-серверах для школ никто ничего не читает и задачи
> собирать пароли там нет.
Это ровно до того момента, пока там не заведется излишне любопытный сисадмин.
Учитывая их з/п — они любопытны ровно настолько, чтобы не отказаться от возможности получать к ней некоторую прибавку…
Как излечиться от паранойи самостоятельно? Давайте попробуем разобраться.
Вас кто-то заставляет пользоваться *школьным* интернетом в личных целях на завирусованных школьных ПК на скоростях до 512кбит/с? Нет. Все то же самое доступно на смартфоне.
Пароль к почте что-нибудь даст? Нет. У параноиков настроена двухфакторная аутентификация.
Можно свести, конечно, всё к аналогу уязвимости солонки в студенческой столовой, но это не тот случай.
> Все то же самое доступно на смартфоне.
Вы так говорите, как будто всем школьникам родители оплачивают безлимитный пакет данных (сюрприз — не оплачивают). И да, двухфакторная авторизация ничем не поможет против MITM сидящего на вашем канале.
Но вы, разумеется, игнорируете суть.
Эта история не о школьниках, а о том, что будет реализовано по первому свистку в масштабах страны. Я выше уже писал: у моего провайдера все подготовлено, не хватает маленького шага — мне не предложили установить сертификат, который пытаются использовать на MITM (возможно, надеются, что сам догадаюсь), и блокируют не весь https траффик, а пока только небольшую избранную часть (по каким критериям сделан выбор я даже предположить не могу; например, по https я не могу зайти на сайт Merriam-Webster, который никаким боком не попадает ни в один из списков Роскомнадзора).
Что касается обеспокоенных фильтрацией в школе родителей школьников, то им рекомендую поговорить с директором. Директор пояснит, что за фильтрацию он несет персональную ответственность перед проверяющими органами со всеми вытекающими последствиями.
Облцит не является монополистом в решениях фильтрации для школ. Вообще, работали они тогда только с федеральным оператором, который взялся лет 10 назад за выполнение нацпроекта «интернет в каждую школу». Сейчас школы самостоятельно оплачивают доступ в интернет и тут начинается всякое, что выходит за рамки обсуждения. Прошу обратить внимание, что у телекомов или их партнеров есть прокси сервер для школ, возможности которого ограничены производительностью и лицензиями. Через него нельзя пропустить трафик, например, более чем 100мбит/с. Ну никак не получится реализовать тоже самое для сотен гигабит абонентского трафика. Прокси стоит в операторской сети сбоку конкретно для VPN’а школ и NAT’ит конкретные сети. Количество этих сетей ограничено, так как оказывающие услуги фильтрации и разработчики тоже не дураки и хотят денег. Это конкретное решение под конкретную задачу и не более того.
У вас не работает сайт и вы думаете о аналогичном фильтре у вашего провайдера. Тут есть варианты и только один из них с MIT:
А)Есть около 20-30т ip-адресов в базе ркн. У оператора стоит сервер, который берет из базы ркн *ip-адреса*, отдает по протоколу BGP эти префиксы на маршрутизаторы оператора и тем самым замыкает необходимый трафик на себя. На сервере все пакеты дропаются без какой-либо проверки. Это простой и достаточный для соблюдения требований фильтрации вариант.
Б)В списке ркн есть доменные имена. Отсюда есть неправильный способ — попытаться разрезолвить такое доменное имя в адрес и полученный адрес далее маршрутизировать на свой сервер, где пакеты дропаются. Почему неправильный? Потому что владельцы зон могут вписать любой ip-адрес и тем самым заблокировать сайт ркн по ip, например. Говорят, такое бывает.
Вероятно, это ваш случай, т.к. такое возможно у небольших операторов. Попробуйте обратиться к нему для исправления ситуации или смените оператора. Уверен, что вам пойдут навстречу и исправят свой скрипт обработки бд ркн.
В) Тот же вариант с сервером и доменными именами. Отличие одно — инженер. Он борец за нашу и вашу свободу, живет не по лжи и т.д. Работает исключительно с доменными именами так как фильтрацию по ip категорически отвергает, но реализовать фильтрацию надо, деваться некуда. Ему необходимо смаршрутизировать адреса на свой прокси сервер и *расшифровать* урл в https запросе, сравнить со списком запрещенных доменных имен, урлов, дабы не заблокировать чего лишнего. Дальше рассказывать надо? Появляется MITM до всех адресов из базы ркн.
Такого никто никогда не требовал! В комментариях выше видел похожий случай, где оператор ссылается на ркн, как на причину вот такой реализации фильтрации. Я бы такого оператора самого послал в ркн.
Г) Есть современные отечественные решения, например, DPI СКАТ. Там предусмотрена возможность фильтрации, но MITM нет. Блокировка в случае https будет осуществляться по ip-адресу из списка ркн. DPI у *городских* операторов используется для организации «безлимитных» тарифов. Раньше ставили б/у Cisco SCE, к примеру, а теперь есть отечественная альтернатива для кого-то.
Д) Показывая заглушку о блокировке, оператор тем самым может решать какую-то свою проблему. Например, на прошлой неделе оператор (не мой, что и удивило) показывал такое при обращении на адреса CDN Akamai, которые ddos’или вероятно.
Спасибо за труды по ликбезу, но они излишни. Я хорошо разбираюсь в видах и способах блокировки (и методах их обхода). У меня никто ничего не дропает и никуда не маршрутизирует. При попытке установить HTTPS соединение, браузер получает ответ, подписанный сертификатом, выписанным на сайт block..ru (просроченным, кстати) и, разумеется, блокирует его.
Поменять провайдера — хорошая идея, но, к сожалению, в нашей деревне выбор небогат и мой нынешний — самый вменяемый.
«Пользователю предлагается использовать SSL-сертификаты, выпущенные именно этим центром и сохраняющие в том числе все настройки безопасности пользователя, включая его пароли.»
Это не принципиально — принципиально где генериться и хранится ключевая пара сертификата!