Как легко расшифровать SSL-трафик на примере учебных заведений Новосибирска

Развитие событий: ФСБ приспособит DPI для анализа трафика россиян (21 сентября 2016)

Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями. В сети, которая обслуживает подотчетные Минобразованию учреждения, весь трафик проходит через датацентр Областного центра информационных технологий. Пользователю предлагается использовать SSL-сертификаты, выпущенные именно этим центром и сохраняющие в том числе все настройки безопасности пользователя, включая его пароли. Без согласия использовать эти SSL-сертификаты невозможно получить доступ к большинству известных интернет-сайтов. Автор публикации предполагает, что таким же образом можно достаточно легко обеспечить фильтрацию трафика пользователей Рунета в рамках исполнения антитеррористического закона Яровой.

Конец эпохи

Добавить 27 комментариев

  • Ответить
    Владимир Мяу и компания

    На самом деле они писали, что в Казахстане, если я правильно понял, точно такой же MITM на государственном уровне уже якобы полгода работает. По крайней мере, это была новость конца 2015 года про то, что будет в 2016-м. Вот со мной ссылкой делились: https://roem.ru/02-12-2015/214136/kz/ Интересно, а как у них по факту, удалось им этот финт ушами провернуть?

  • Ответить

    В Казахстане так и неизвестно ни одного случая чтобы провайдер включил подмену сертификата. Дальше объявления об этом в ноябре прошлого года дело так и не зашло. И даже объявления провайдеры сняли со своих сайтов.

    Блокируют некоторые сайты и сервисы «по старинке» — по IP-адресам. Получается, что работают «по площадям», иногда задевая соседей заблокированных ресурсов. Особенно неприятно бывает, когда IP используется CDN вроде CloudFlare.

  • Ответить

    Не новость.

    В нашей школе контент фильтровали на уровне единого школьного краевого провайдера, ресурсы с SSL фильтровать по URL же нельзя, поэтому администраторами сети ещё три года назад был выпущен доверенный сертификат, который требовалось установить на все устройства в школьной сети, чтобы иметь доступ к ресурсам по HTTPS. Понятное дело, что любой трафик после этой процедуры стал доступен провайдеру.

    Изредка для передачи приватной информации домой использовал VPN-туннели, но ведь заблокировать их тоже не составит труда…

    Как говорится, все познается в сравнении: сегодня школьники, а завтра все…

  • Ответить

    > Изредка для передачи приватной информации домой использовал VPN-туннели, но ведь заблокировать их тоже не составит труда…

    Не совсем. Приходилось использовать туннелирование поверх HTTP — вот его заблокировать можно только вместе с протоколом. Можно еще поверх DNS, но медленно будет.

  • Ответить

    Мой провайдер в подмосковье действует именно так: сайты, заблокированные роскомнадзором, блокирует по IP, а отдельным сайтам с HTTPS пытается всунуть свой сертификат. К счастью, не всем, но не только к тем, кто попал в черный список. Например, rublacklist.net доступен по HTTP, но блокируется по HTTPS.
    Установить свой сертификат пока не предлагали.

    Блокирование CDNок достает неимоверно, особенно когда с них раздается не сам сайт, а какие-то его ресурсы. Верстка разваливается, а иногда все выглядит нормально, но не работает — JS не подгрузился.

  • Ответить

    >Один из пользователей закрытой сети для образовательных учреждений Новосибирска рассказал, как можно достаточно легко автоматически заставить пользователей поделиться своими паролями с компетентными инстанциями.
    Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?
    MITM в конкретном случае предназначен для расшифровки результатов поисковых выдач, блокировки контента по ключевым словам. Эти прокси-сервера ( usergate, например) помимо прочего осуществляют фильтрацию dns-запросов, поэтому в качестве dns в школьной сети можно указать любой публичный адрес. Дополнительная антивирусная проверка облегчает, надеюсь, жизнь немногочисленным ит-специалистам в школах.
    За отсутствие фильтрации несет персональную ответственность директор школы, поэтому я понимаю и приветствую централизованные решения операторов связи. Еще нехватало, чтобы кроме ремонта и канцелярии пришлось на ИТ с родителей собирать.

  • Ответить

    Те, кому свою активность от властей скрывать нужно (мошенники, террористы, оппозиционеры) и дальше будут вертеть глупых чиновников на известном месте. А остальных пупок надорвется изучать, даже после записи всего и вся на экзабайтных хранилищах)

  • Ответить
    Игорь Ашманов Сам себе компания

    Как говорится, все познается в сравнении: сегодня школьники, а завтра все…

    Давайте попробуем познать в сравнении. Вот у вас это работает три года. И?

    Расскажите нам о чудовищных негативных эффектах, об ужасных кейсах и сломанных судьбах. Ну чтобы мы это примерили к себе.

    Ведь если заработает пакет Яровой, это всё придётся испытать нам всем.

  • Ответить
    Игорь Ашманов Сам себе компания

    Школьник переживает за свои пароли в vk и одноклассниках? Кому они нужны?

    После самоубийства, например, начинают внимательно читать переписку и каменты.

  • Ответить

    >>Ведь если заработает пакет Яровой, это всё придётся испытать нам всем.

    а это не важно, заработает он или нет. Тут по пакету ( как и по любой затее ценой в триллионы) — только и надо понять Cui prodest? А продест — хуавей. Говоря проще: кто продаст нам это оборудование ненужное? Теперь понятно кто. Тогда зачем? Видимо, вся затея — чтоб дать кактоето обеспечение под кредит, который, видимо, китайтся готовы дать незаметно. Земля или газ — им нафиг особо не нужны ( да и как под эти будущие поставки кредитовать, коли по воде вилами? да и цены падают на все это) а под пластинки кремниевые — другое дело. Какбы купля-продажа, на деле — просто возврат кредита.

  • Ответить

    ну чо вы пристали к человеку? ежу ясно, что рационального объяснения нету у затеи. Еслиб оно было — ужеб хоть гдето ктото это объяснил. Надо просто понять, что это не стоит пытаться понять)))

  • Ответить

    Конкретно на прокси-серверах для школ никто ничего не читает и задачи собирать пароли там нет. Все работает на самоходе и в редких случаях, когда не работает какой-то сайт, привлекается администратор и разработчики.

  • Ответить
    Игорь Ашманов Сам себе компания

    > Игорь, а зачем это читать ПОСЛЕ? Чтобы было, кого посадить?

    Потому что до родители думают, что свобода для подростка, вольное развитие и не мешать — это главное, а после они думают, кто виноват, кто подтолкнул, нет ли педофилии, и чтоб посадить.
    Я был в такой ситуации, я знаю.

  • Ответить

    это былоб хорошобы, но чтото я скептически отношусь. Кстати, вот те самые бигдата — посмотреть бы статистику, сколько и каких видов преступлений было предотвращено\раскрыто с помощью анализа данных, а следовательно — имеется скажем на периоде 5-10 лет резкое снижение такого типа удельное.
    Все преступления в самой айти сфере ( взломы аккаунтов, кредитки, атаки) — это не в счет, это понятно.
    Уж сша, уж передовики вроде в данном вопросе и занитересованы и т.п. — не особо похоже, что чтото снизилось там у них всерьез.

  • Ответить

    > Конкретно на прокси-серверах для школ никто ничего не читает и задачи
    > собирать пароли там нет.

    Это ровно до того момента, пока там не заведется излишне любопытный сисадмин.

  • Ответить

    Как излечиться от паранойи самостоятельно? Давайте попробуем разобраться.
    Вас кто-то заставляет пользоваться *школьным* интернетом в личных целях на завирусованных школьных ПК на скоростях до 512кбит/с? Нет. Все то же самое доступно на смартфоне.
    Пароль к почте что-нибудь даст? Нет. У параноиков настроена двухфакторная аутентификация.
    Можно свести, конечно, всё к аналогу уязвимости солонки в студенческой столовой, но это не тот случай.

  • Ответить

    > Все то же самое доступно на смартфоне.
    Вы так говорите, как будто всем школьникам родители оплачивают безлимитный пакет данных (сюрприз — не оплачивают). И да, двухфакторная авторизация ничем не поможет против MITM сидящего на вашем канале.

    Но вы, разумеется, игнорируете суть.
    Эта история не о школьниках, а о том, что будет реализовано по первому свистку в масштабах страны. Я выше уже писал: у моего провайдера все подготовлено, не хватает маленького шага — мне не предложили установить сертификат, который пытаются использовать на MITM (возможно, надеются, что сам догадаюсь), и блокируют не весь https траффик, а пока только небольшую избранную часть (по каким критериям сделан выбор я даже предположить не могу; например, по https я не могу зайти на сайт Merriam-Webster, который никаким боком не попадает ни в один из списков Роскомнадзора).

  • Ответить

    Что касается обеспокоенных фильтрацией в школе родителей школьников, то им рекомендую поговорить с директором. Директор пояснит, что за фильтрацию он несет персональную ответственность перед проверяющими органами со всеми вытекающими последствиями.
    Облцит не является монополистом в решениях фильтрации для школ. Вообще, работали они тогда только с федеральным оператором, который взялся лет 10 назад за выполнение нацпроекта «интернет в каждую школу». Сейчас школы самостоятельно оплачивают доступ в интернет и тут начинается всякое, что выходит за рамки обсуждения. Прошу обратить внимание, что у телекомов или их партнеров есть прокси сервер для школ, возможности которого    ограничены производительностью и лицензиями. Через него нельзя пропустить трафик, например, более чем 100мбит/с. Ну никак не получится реализовать тоже самое для сотен гигабит абонентского трафика. Прокси стоит в операторской сети сбоку конкретно для VPN’а школ и NAT’ит конкретные сети. Количество этих сетей ограничено, так как оказывающие услуги фильтрации и разработчики тоже не дураки и хотят денег. Это конкретное решение под конкретную задачу и не более того.

    У вас не работает сайт и вы думаете о аналогичном фильтре у вашего провайдера. Тут есть варианты и только один из них с MIT:
    А)Есть около 20-30т ip-адресов в базе ркн. У оператора стоит сервер, который берет из базы ркн *ip-адреса*, отдает по протоколу BGP эти префиксы на маршрутизаторы оператора и тем самым замыкает необходимый трафик на себя. На сервере все пакеты дропаются без какой-либо проверки. Это простой и достаточный для соблюдения требований фильтрации вариант.
    Б)В списке ркн есть доменные имена. Отсюда есть неправильный способ — попытаться разрезолвить такое доменное имя в адрес и полученный адрес далее маршрутизировать на свой сервер, где пакеты дропаются. Почему неправильный? Потому что владельцы зон могут вписать любой ip-адрес и тем самым заблокировать сайт ркн по ip, например. Говорят, такое бывает.
    Вероятно, это ваш случай, т.к. такое возможно у небольших операторов. Попробуйте обратиться к нему для исправления ситуации или смените оператора. Уверен, что вам пойдут навстречу и исправят свой скрипт обработки бд ркн.
    В) Тот же вариант с сервером и доменными именами. Отличие одно — инженер. Он борец за нашу и вашу свободу, живет не по лжи и т.д. Работает исключительно с доменными именами так как фильтрацию по ip категорически отвергает, но реализовать фильтрацию надо, деваться некуда. Ему необходимо смаршрутизировать адреса на свой прокси сервер и *расшифровать* урл в https запросе, сравнить со списком запрещенных доменных имен, урлов, дабы не заблокировать чего лишнего. Дальше рассказывать надо? Появляется MITM до всех адресов из базы ркн.
    Такого никто никогда не требовал! В комментариях выше видел похожий случай, где оператор ссылается на ркн, как на причину вот такой реализации фильтрации. Я бы такого оператора самого послал в ркн.

  • Ответить

    Г) Есть современные отечественные решения, например, DPI СКАТ. Там предусмотрена возможность фильтрации, но MITM нет. Блокировка в случае https будет осуществляться по ip-адресу из списка ркн. DPI у *городских* операторов используется для организации «безлимитных» тарифов. Раньше ставили б/у Cisco SCE, к примеру, а теперь есть отечественная альтернатива для кого-то.

  • Ответить

    Д) Показывая заглушку о блокировке, оператор тем самым может решать какую-то свою проблему. Например, на прошлой неделе оператор (не мой, что и удивило) показывал такое при обращении на адреса CDN Akamai, которые ddos’или вероятно.

  • Ответить

    Спасибо за труды по ликбезу, но они излишни. Я хорошо разбираюсь в видах и способах блокировки (и методах их обхода). У меня никто ничего не дропает и никуда не маршрутизирует. При попытке установить HTTPS соединение, браузер получает ответ, подписанный сертификатом, выписанным на сайт block..ru (просроченным, кстати) и, разумеется, блокирует его.

    Поменять провайдера — хорошая идея, но, к сожалению, в нашей деревне выбор небогат и мой нынешний — самый вменяемый.

  • Ответить

    «Пользователю предлагается использовать SSL-сертификаты, выпущенные именно этим центром и сохраняющие в том числе все настройки безопасности пользователя, включая его пароли.»

    Это не принципиально — принципиально где генериться и хранится ключевая пара сертификата!