mboost-dp1

Pixabay

Regeringen i Kasakhstan opsnapper al HTTPS-trafik: Vil kigge med

- Via ZDNet - , indsendt af arne_v

Kasakhstan er begyndt at blokere HTTPS-trafik i landet, medmindre brugeren har installeret et statscertifikat.

Den 17. juli begyndte internetudbydere i Kasakhstan på ordre fra landets regering at blokere al krypteret HTTPS-trafik i landet, hvis ikke brugeren har installeret et bestemt statscertifikat på alle deres enheder og browsere.

Når certifikatet er installeret er det muligt for regeringen at dekryptere borgeres HTTPS-trafik, se på indholdet og derefter kryptere trafikken igen, før indholdet når dets mål. 

Når kasakhstanske borgere forsøger at tilgå sider med HTTPS uden statscertifikatet, så vil de i stedet blive sendt videre til en side, hvor de kan downloade og installere certifikatet.

Ifølge den kasakhstanske regering er det kun nødvendigt at installere certifikatet i landets hovedstad, Nursultan, men brugere i hele landet melder at være blokeret fra sider med HTTPS.

Regeringen fortæller, at tiltaget er lavet for at beskytte borgere, statsorganer og private selskaber fra hackerangreb, internet-svindlere og andre cybertrusler.

Læs også Lov godkendt: Den russiske regering får fuld kontrol over landets internet.





Gå til bund
Gravatar #1 - Ufomekaniker
23. jul. 2019 03:36
Er de nu også gået hen og blevet bange for politisk påvirkning, terror, haclere og spioner?
Gravatar #2 - EmilKampp
23. jul. 2019 05:03
Der er ikke noget nyt i, at folk kigger med i https traffik. Det er helt almindeligt at bl.a. antivirus og virksomheder slutter https trafikken, krypterer den igen, og viser den til brugeren. Dette betyder, at den anden vej kan de gøre det samme.
Gravatar #3 - CBM
23. jul. 2019 06:10
My sister, She is Best xxxxxxxx in all of Kasakhstan

Gravatar #4 - fe950
23. jul. 2019 06:16
Det er for at bekæmpe ikke-statsgodkendte pæd0file.
Gravatar #5 - Tjalmann
23. jul. 2019 06:51
Tja skulle nok taenke nogen ville bruge fiddler paa denne maade :P
Gravatar #6 - Athinira
23. jul. 2019 07:42
EmilKampp (2) skrev:
Der er ikke noget nyt i, at folk kigger med i https traffik. Det er helt almindeligt at bl.a. antivirus og virksomheder slutter https trafikken, krypterer den igen, og viser den til brugeren. Dette betyder, at den anden vej kan de gøre det samme.

Det virker til gengæld kun på maskiner hvor disse ting er installeret. Hvis jeg sidder på en virksomheds Wi-Fi, men med min egen maskine, så kan de som udgangspunkt ikke kigge med. De kan højest blokere for det, eller forsøge at snyde min computer til at tilgå et site via HTTP i stedet. Sidstenævnte vil dog give udslag (være synligt) på min computer, samt kun virke hvis jeg taster webadressen, og ikke hvis jeg tilgår HTTPS-sider via. hyperlinks som allerede har HTTPS i dem.
Gravatar #7 - larsp
23. jul. 2019 08:46
Flot. Hvis der ellers var et marked for IT i Kazakhstan er det da for alvor blevet smadret. IT outsourcing og startups mm. kan være en fantastisk mulighed for tredjeverdenslande for at få noget økonomisk fremgang og komme på landkortet. Det kræver bare at der er en fornuftig internetadgang.

Kazakhstans regering har hermed smadret både befolkningens ytringsfrihed og ødelagt muligheden for et IT marked.
Gravatar #8 - Tjalmann
23. jul. 2019 08:58
Athinira (6) skrev:
EmilKampp (2) skrev:
Der er ikke noget nyt i, at folk kigger med i https traffik. Det er helt almindeligt at bl.a. antivirus og virksomheder slutter https trafikken, krypterer den igen, og viser den til brugeren. Dette betyder, at den anden vej kan de gøre det samme.

Det virker til gengæld kun på maskiner hvor disse ting er installeret. Hvis jeg sidder på en virksomheds Wi-Fi, men med min egen maskine, så kan de som udgangspunkt ikke kigge med. De kan højest blokere for det, eller forsøge at snyde min computer til at tilgå et site via HTTP i stedet. Sidstenævnte vil dog give udslag (være synligt) på min computer, samt kun virke hvis jeg taster webadressen, og ikke hvis jeg tilgår HTTPS-sider via. hyperlinks som allerede har HTTPS i dem.


De kan bruge en proxy uden at installere noget paa din maskine, det vil sige du laver HTTPS til proxy, og saa proxyen laver HTTPS til hjemmesiden du tilgaar.
Gravatar #9 - Brigadaus
23. jul. 2019 09:12
Næste uges nyheder "Center for Cybersikkerhed" indfører samme tiltag i DK... for vores sikkerheds skyld :)
Gravatar #10 - CBM
23. jul. 2019 09:43
Brigadaus (9) skrev:
Næste uges nyheder "Center for Cybersikkerhed" indfører samme tiltag i DK... for vores sikkerheds skyld :)

Naturligvis :-)

Vi skal jo beskyttes mod ulovlige kopier, BP og terror :-)
Gravatar #11 - Athinira
23. jul. 2019 11:24
Tjalmann (8) skrev:
De kan bruge en proxy uden at installere noget paa din maskine, det vil sige du laver HTTPS til proxy, og saa proxyen laver HTTPS til hjemmesiden du tilgaar.

Men det er et bevidst valg du laver så, og det kræver at du netop ikke direkte besøger den side du har tænkt dig at besøge, men bevidst går gennem proxy.

Skal du snyde selve computerens browser kræver det at du installerer (eller konfigurerer) noget eller at du kan skaffe et falsk certifikat for den pgl. side.
Gravatar #12 - arne_v
23. jul. 2019 12:06
Athinira (11) skrev:

Skal du snyde selve computerens browser kræver det at du installerer (eller konfigurerer) noget eller at du kan skaffe et falsk certifikat for den pgl. side.


Er det ikke kun hvis proxy'en skal kunen læse indholdet?

Hvis den ikke skal kunne det, så bør der ikke være et certifikat problem.

Gravatar #13 - Claus Jørgensen
23. jul. 2019 13:21
Hmm, ret smart af Kazakhstan. Jeg kan se andre diktature følge trop
Gravatar #14 - CBM
23. jul. 2019 13:54
Claus Jørgensen (13) skrev:
Hmm, ret smart af Kazakhstan. Jeg kan se andre diktature følge trop

Rusland har/havde vel allerede noget lignende
Gravatar #15 - Athinira
23. jul. 2019 15:13
arne_v (12) skrev:
Athinira (11) skrev:

Skal du snyde selve computerens browser kræver det at du installerer (eller konfigurerer) noget eller at du kan skaffe et falsk certifikat for den pgl. side.


Er det ikke kun hvis proxy'en skal kunen læse indholdet?

Hvis den ikke skal kunne det, så bør der ikke være et certifikat problem.


Som #9 beskriver det, så laver proxyen sin egen HTTPS-forbindelse til siden du besøger. Men ærligt, det er lidt uklart fra hans indlæg, som ikke er særligt godt formuleret.

En proxy kan sagtens bare shuffle data krypteret data rundt. Det er intet problem.
Gravatar #16 - arne_v
23. jul. 2019 20:51
#15

Jeg vil ikke mene at "du laver HTTPS til proxy, og saa proxyen laver HTTPS til hjemmesiden du tilgaar" nødvendigvis betyder 2 SSL handshakes.


Gravatar #17 - Athinira
24. jul. 2019 04:17
arne_v (16) skrev:
#15

Jeg vil ikke mene at "du laver HTTPS til proxy, og saa proxyen laver HTTPS til hjemmesiden du tilgaar" nødvendigvis betyder 2 SSL handshakes.

Det vil jeg. "laver HTTPS" betyder i min verden at man laver et SSL-handskake.
Gravatar #18 - larsp
24. jul. 2019 06:28
arne_v (12) skrev:
Er det ikke kun hvis proxy'en skal kunen læse indholdet?

Hvis den ikke skal kunne det, så bør der ikke være et certifikat problem.

Er historien ikke netop at de vil læse med på HTTPS trafik? SSL sikrer jo mod aflytning ved at man i handshaket opnår en fælles hemmelighed og kun de to parter kan dekryptere indholdet.

En https proxy der ikke kan læse indholdet kan vel godt laves ved bare at forwarde den krypterede kanal: https://stackoverflow.com/a/40885184 men det er vel ikke hvad #0 handler om?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login