Η Ρωσία προωθεί νόμο απαγόρευσης των proxies, Tor και VPNs

[Kootoomootoo]

Π@π@ριά! και πως θα βλέπουμε survivor και Ραδιο Αρβύλα??

Με IPTV

[lewton]

Π@π@ριά! και πως θα βλέπουμε survivor και Ραδιο Αρβύλα??

Ράδιο Αρβύλα τα καλύτερα τα έχει και στο Youtube.
Το άλλο που είπες, χάρη σου κάνει που σου το κόβει (αν το κόβει) η Ρωσία.

[exop001]

Θέλεις να το εξηγήσεις λίγο περισσότερο πως το εννοείς ..το MITM ..? Με proxy ..γιατί δεν θα παίζει ..τίποτα ...

- - - Updated - - -

Πάντως η ανακοίνωση μίλαγε για γενικό μπλόκο αδιακτρίτος....

χοντρικά:

το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.

[Φανερός Πράκτωρ]

χοντρικά:

το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.

To HTTPS δεν βασίζεται πάνω σε SSL/TSL;
Δλδ δεν υπάρχει ένα public & ένα private key;
Δεν εγγυάται ότι ότι είναι encrypted με το public μπορεί να γίνει decrypt με το private key και μόνο;

[exop001]

φυσικά ναι.
αν το HTTPS session τερματίσει πάνω στο μηχάνημα και το μηχάνημα φτιάξει άλλο session προς το destination και όλα αυτά χωρίς να "φαίνεται", (το FG το κάνει seamlessly-δεν φαίνεται κάποια αλλαγή ούτε στον client ούτε στο server) τότε έχουμε MITM.
Αν δεν το έκανε έτσι, θα φαινόταν η "επέμβαση" στο certificate.

[fadasma]

με MITM είναι εφικτό χωρίς να μπλοκάρει τίποτε - μόνο ότι επιθυμούν μπορεί να κόβεται

Μιλάμε για deep packet inspection σε μια χώρα με τεράστιο πληθυσμό και οπτικές ίνες στα σπίτια. Δεν είναι εφικτό.
Εκτός κι αν εφαρμόσουν μια λύση σαν της Τουρκίας που μπλοκάρει το twitter και αλλάζεις dns και μπαίνεις. Θα γίνουν ρεζίλι παγκοσμίως.

[SfH]

χοντρικά:

το -όποιο - firewall (μίλησα για fortigate που ξέρω οτι το κάνει) τερματίζει πάνω του το HTTPS request και δημιουργεί ένα νέο με το destination
στο σημείο αυτό έχεις σε σχεδόν clear text τα requests (μπορείς σε real time να διαβάσεις μέχρι και IM) - εκεί είναι το MITM
με ένα rule κάνεις abort ότι θες να "κοπεί" - ο client θα δει ένα μήνυμα του τύπου destination unreachable (αν δεν θές να "φανείς") ή ότι άλλο

με content filter (πάνω στο ίδιο rule) μπορείς να "κόψεις" ότι άλλο - proxies, tor, porn κλπ

για vpn αρκεί να "κόψεις" κάποιο "ενδιάμεσο" route - το target δεν θα είναι reachable και το vpn δεν θα γίνει established ποτέ.

Δεν είναι τόσο απλό να γίνει στο Internet κάτι τέτοιο, ούτε είναι ακριβώς καθαρό ακόμα κι όταν συμβαίνει σε εταιρικά δίκτυα. Όταν εγώ πάω να ανοίξω π.χ. το adslgr.com με https , πίσω από firewall που είναι ρυθμισμένο για ssl mitm, λειτουργεί όπως είπες. Το δικό μου https connection τερματίζει πάνω στον firewall. Συνεπώς, ο firewall μου κάνει present ένα certificate για το adslgr.com το οποίο δεν είναι signed από κάποιο globally trusted CA. Συνήθως σε τέτοιες περιπτώσεις ρυθμίζεται ο client ( με domain policy/κτλ ) να εμπιστεύεται τον τοπικό CA που έκανε sign το certificate του firewall και ο broswer δεν κράζει. Επίσης, θεωρούμε ότι σε εταιρικό περιβάλλον οι συνδέσεις είναι κατά ένα βαθμό προβλέψιμες και κάνουμε mitm μόνο ότι θεωρούμε ότι δεν γνωρίζουμε ( κυρίως κίνηση προς Internet, η οποία όμως καλύπτεται από AUP ).

Αν πάμε να το εφαρμόσουμε στο Internet όμως έχουμε 2 σοβαρά προβλήματα. Το πρώτο έχει να κάνει με το γεγονός ότι η Ρωσσία δεν είναι globally trusted CA, ούτε θα μπορούσε να γίνει, αν δεν ακολουθεί τις διαδικασίες που απαιτούνται ( => να μη βγάζει certificate για ότι θέλει ). Το δεύτερο είναι ότι έχουμε σπάσει τελείως το https ακόμα και για εφαρμογές που θεωρούμε ότι το χρειάζονται. Π.Χ, ας πούμε ότι αναγκάζουν τους πολίτες να εμπιστευτούν το CA. Τη στιγμή που θα λαμβάνω το ίδιο ακριβώς certificate όταν θέλω να συνδεθώ στην τράπεζά μου και όταν θέλω να συνδεθώ σε κάποιον που προσποιείται ότι είναι η τράπεζά μου, γίνεται πολύ πιο δύσκολο να διακρίνω τον δεύτερο.

Πέρα αυτού, έχω περιέργια να δω πως και πόσο θα κάνει scale οποιαδήποτε λύση επιλέξουν.

[Φανερός Πράκτωρ]

φυσικά ναι.
αν το HTTPS session τερματίσει πάνω στο μηχάνημα και το μηχάνημα φτιάξει άλλο session προς το destination και όλα αυτά χωρίς να "φαίνεται", (το FG το κάνει seamlessly-δεν φαίνεται κάποια αλλαγή ούτε στον client ούτε στο server) τότε έχουμε MITM.
Αν δεν το έκανε έτσι, θα φαινόταν η "επέμβαση" στο certificate.

Μα πως ο ενδιάμεσος θα κάνει decode το περιεχόμενο για να το αναλύσει και για να το ξαναπακετάρει αν δεν έχει το private key;

[zoxir]

Μα πως ο ενδιάμεσος θα κάνει decode το περιεχόμενο για να το αναλύσει και για να το ξαναπακετάρει αν δεν έχει το private key;

Αυτό που γίνεται σε εταιρίες αλλά δεν μπορεί να γίνει σε μια ολόκληρη χώρα είναι το εξής μπαίνει ο reverse proxy στη μέση κάνει decode τη πληροφορία από το site βλέπει ότι θέλει να δει και μετά το κάνει encrypt με δικό του κλειδί και στο στέλνει εσένα τον χρήστη. μέσω υποδομών της εταιρίας πχ gpo κάνω trust το reverse proxy ως certificate authority και δεν σου βγάζει https warnings. Σίγουρα όμως κάτι τέτοιο θα ήταν πανάκριβο και χαζό σε μια χώρα με τέτοιο πληθυσμό.

[Φανερός Πράκτωρ]

Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...

[sdikr]

Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...

Αν στον Browser βάλεις σαν root certificate και trusted σαν certificate authority την συσκευή αυτή τότε ο browser Θεωρεί πως είναι όλα οκ.

[XTCgr]

Ράδιο Αρβύλα τα καλύτερα τα έχει και στο Youtube.
Το άλλο που είπες, χάρη σου κάνει που σου το κόβει (αν το κόβει) η Ρωσία.

στα σοβαρά τώρα, ξέρω πολύ κόσμο που χρησιμοποιεί vpn για το linkedin μιας και είναι (το μόνο έως σήμερα) κομμένο στην Ρωσία

[zoxir]

Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...

Εσένα σπίτι σου δεν μπορεί να σου δώσει κανείς να κάνεις trust certificate που δεν είναι signed από κάποια CA αλλά σε περιβάλλον εταιρίας μπορώ να το κάνω.

[lewton]

στα σοβαρά τώρα, ξέρω πολύ κόσμο που χρησιμοποιεί vpn για το linkedin μιας και είναι (το μόνο έως σήμερα) κομμένο στην Ρωσία

Στα σοβαρά, εφόσον η Ρωσία αποφάσισε (κακώς προφανώς) να κόψει την πρόσβαση στο LinkedIn, δε μπορείς να παραπονιέσαι αν δε σε αφήνουν να μπαίνεις μέσω VPN στο LinkedIn.
Τα παράπονά σου θα έπρεπε να στρέφονται στην απαγόρευση του LinkedIn.
Και δε θα έπρεπε να μη σέβεσαι τους νόμους της χώρας όπου βρίσκεσαι, εκτός αν εν γνώσει σου το κάνεις ως πράξη αντίστασης (στην οποία περίπτωση να είσαι έτοιμος να πληρώσεις το τίμημα).

[dkgr_ser]

Δλδ δεν υπάρχει κάποια δικλείδα ασφαλείας ότι αυτός που λέει ότι είναι κάποιος είναι όντως αυτός (ακόμα και αν αλλάξει τελείως το περιεχόμενο των σελίδων);
Πως δλδ στο SSH σε ρωτάει αν κάνεις trust το destination με το συγκεκριμένο hash την πρώτη φορά που συνδέεσαι;
Αυτό περίμενα να γίνεται αυτόματα με κάποιο certificate authority που είναι globaly trustable και available...

Το HTTPS υποτίθεται ότι υπάρχει για να εξαφανίσει το man in the middle attack και αυτό που περιγράφεις είναι το definition του...

Certificates μπορεί να εκδόσει ο οποιοσδήποτε, και εσύ ακόμη, πανεύκολα. Το ζήτημα είναι ότι αυτά τα certificates δε θα είναι trusted για κανένα client, είτε είναι browser, είτε οτιδήποτε άλλο. Φυσικά manually στο δικό σου client, πχ. τον εταιρικό browser, μπορείς να προσθέσεις τα δικά σου certificates, τα οποία ξέρεις ότι τα έχεις εκδόσει εσύ και τα εμπιστεύεσαι. Προκειμένου όμως οι clients να σε συμπεριλάβουν ως trusted CA, θα πρέπει να λειτουργείς και με τέτοιο τρόπο ακολουθώντας τους κανόνες. Η άλλη λύση είναι να παρέχεις δικούς σου clients ή από εταιρείες που συνεργάζονται μαζί σου, οι οποίοι θα είναι και οι μόνοι που θα σε έχουν περασμένο ως trusted CA και άρα οι μόνοι που θα λειτουργούν, πράγμα αδύνατο σε κλίμακα μιας χώρας, μιας και με HTTPS παίζουν όλες οι εφαρμογές εκεί έξω και δε μπορείς να αντικαταστήσεις κάθε κομμάτι λογισμικού με εγχώριο.

Ωστόσο το HTTPS δεν έχει καμία άμεση σύνδεση με proxies/VPNs/tor. Αυτά μπορούν να λειτουργήσουν πάνω σε όποιο πρωτόκολλο γουστάρεις, είτε παρέχει το ίδιο κρυπτογράφιση, είτε όχι, και μάλιστα να μην έχει ιδέα αυτός που κάνει DPI ότι αυτά που εσύ στέλνεις μέσα από το X πρωτόκολλο είναι όντως πχ. HTTP requests. Αυτό γίνεται κρυπτογραφόντας το πραγματικό traffic σου, το οποίο άμα θέλεις το στέλνεις και μέσω HTTP με ότι headers γουστάρεις δίχως να έχει ιδιαίτερη σημασία, αρκεί να έχεις ρυθμίσει την άλλη πλευρά να διαχειρίζεται σωστά αυτό που της στέλνεις.