image

Kazachstaanse providers onderscheppen https-verkeer

vrijdag 19 juli 2019, 10:38 door Redactie, 23 reacties

Kazaachstaanse internetproviders zijn begonnen om al het https-verkeer van hun gebruikers te onderscheppen, zo blijkt uit een melding op Mozillas Bugzilla. Providers hebben hun klanten via sms en hun eigen websites gevraagd om op elk apparaat met internettoegang een door de overheid uitgegeven certificaat te installeren waarmee het https-verkeer kan worden onderschept.

Volgens de providers is dit noodzakelijk om de verspreiding van door de wet verboden informatie tegen te gaan. Gebruikers die niet meewerken kunnen met "technische beperkingen" te maken krijgen wat betreft de toegang tot internet. Door de installatie van het rootcertificaat kunnen de providers al het https-verkeer onderscheppen zonder dat gebruikers in hun browser een foutmelding te zien krijgen. Op deze manier is er sprake van een man-in-the-middle.

Verschillende Kazachstaanse burgers hebben Google en Mozilla opgeroepen om het betreffende certificaat te blacklisten. Mozillas Wayne Thayer laat in een Google Group weten dat het blokkeren van het certificaat geen goed idee lijkt. Daarnaast laat Firefox nu zien wanneer er een certificaat wordt gebruikt dat standaard niet door de browser wordt vertrouwd.

Verder maakt Firefox gebruik van public key pinning. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer door de browser vertrouwd. "Hierdoor mislukt de man-in-the-middle voor die sites", aldus Thayer.

Image

Reacties (23)
19-07-2019, 10:45 door Anoniem
Zo veilig was het nog nooit in Kazachstan. Een voorbeeld voor de rest van de wereld!
19-07-2019, 10:47 door Anoniem
Dank. Heb het certificaat voor alle zekerheid geblokkeerd.
19-07-2019, 10:57 door Anoniem
Zeer kwalijk omdat de gemiddelde gebruiker meent met https een veilige "verbinding" te hebben.
19-07-2019, 11:35 door Anoniem
Wanneer gaat dit komen "naar een plaats bij jouw in de buurt"?

Echter welke commerciele jongens monitoren nu al al jouw https verkeer reeds
en met wie werken zij vervolgens weer samen.

We leven in een complete surveillance maatschappij.
Dat feit moeten we met z'n allen maar eens goed onder ogen willen zien.

Doen we er niets aan, hebben we ons ermee solidair verklaard.
Dat we er iets tegen kunnen doen, betwijfel ik zeer,
behalve dan meedoen in een soort van kat en muisspel,
als een soort van algemeen achterhoede gevecht.

#sockpuppet
19-07-2019, 12:06 door Reinder
Ik weet zeker dat al die boosaardige "verspreiders van verboden informatie" nu allemaal "Drommels drommels drommels" aan het mompelen zijn onder hun baard omdat hiermee een dikke streep door hun snode plannetjes is gehaald. Zomaar informatie verspreiden, dat moeten we niet willen natuurlijk met z'n allen, goed dat de overheid aldaar wel degelijke waterdichte maatregelen treft tegen dat soort subversieve elementen.
19-07-2019, 12:54 door Anoniem
Laat Ferdinand Grapperhaus (CDA) dit maar niet lezen, voor je het weet vindt hij ook dit een fantastisch idee.
19-07-2019, 12:59 door Anoniem
Door Reinder: Ik weet zeker dat al die boosaardige "verspreiders van verboden informatie" nu allemaal "Drommels drommels drommels" aan het mompelen zijn onder hun baard omdat hiermee een dikke streep door hun snode plannetjes is gehaald. Zomaar informatie verspreiden, dat moeten we niet willen natuurlijk met z'n allen, goed dat de overheid aldaar wel degelijke waterdichte maatregelen treft tegen dat soort subversieve elementen.
Exact, en bij iedere parkeerplaats hebben ze ook twee mannetjes neergezet met richtmicrofoons. Daarnaast is de Kazachstaanse veiligheidsdienst iedere woning afgegaan om in stopcontacten microfoontjes te plaatsen.
Alles voor de veiligheid! *boekt direct vakantie naar Kazachstan*.
19-07-2019, 13:26 door Bitwiper - Bijgewerkt: 19-07-2019, 13:27
Door Anoniem: Zeer kwalijk omdat de gemiddelde gebruiker meent met https een veilige "verbinding" te hebben.
Je bedoelt, naar ik aanneem: "... een veilige verbinding te hebben met de bedoelde website".

Maar dat is niet het enige probleem: met zo'n rootcertificaat kunnen ook code signing en document signing certificaten worden ondertekend (uitgegeven). Daardoor kunnen bijv. aan automatische updates van software op je PC backdoors worden toegevoegd (tenzij de betreffende software van certificate pinning gebruik maakt, maar als er maar één product is dat dit niet doet ben je niet veilig). Een "vertrouwd" rootcertificaat van een onbetrouwbare uitgever is de doodsteek voor alle beveiliging op devices.

Naar verluidt (https://docs.mitmproxy.org/stable/howto-ignoredomains/) maakt o.a. Windows Update gebruik van certificate pinning. Ik weet niet precies waar, de feitelijke download van Microsoft updates (uitvoerbare binaries) vindt plaats via http, waarbij die bestanden digitaal ondertekend zijn. Ook weet ik niet of voor die signatures gebruik wordt gemaakt van certificate pinning.

Ik ben benieuwd of de Kazachstaanse providers uitzonderingen gaan maken, bijv. voor Microsoft Updates (want als die niet meer werken, ontstaan er vanzelf nog meer problemen).
19-07-2019, 13:45 door Anoniem
Dank. Heb het certificaat voor alle zekerheid geblokkeerd.

Overheid van Kazachstan zal vast heel erg in jouw geinteresseerd zijn, en MiTM uitvoeren, via jouw NL provider ;)
19-07-2019, 14:45 door Bitwiper - Bijgewerkt: 19-07-2019, 15:07
Het kan zijn dat je je genoodzaakt voelt om toch een onvertrouwd rootcertificaat te installeren om te kunnen surfen. Ik denk hierbij aan inwoners/bezoekers van Kazachstan, maar ook aan de situatie dat een klant dit vereist (vaak gasten-netwerk, WiFi of bedraad) of op vakantie (zie bijvoorbeeld https://www.security.nl/posting/617583/Fortinet_Fortigate+https+websites).

In dat geval raad ik aan om een speciaal gebruikersprofiel daarvoor aan te maken in Firefox en het rootcertificaat alleen in dat profiel te installeren - en dus NIET in de Windows certificate store. Het voordeel is dat je dan slechts dat Firefox profiel ermee "vervuilt".

Desgewenst wil ik wel aanvullende tips geven hoe je dit zo veilig mogelijk kunt doen.

Aanvulling: bij het schrijven hiervan ging ik ervan uit dat Firefox, indien elevated geïnstalleerd (met admin rechten), er per gebruikersprofiel een database met aanvullende certificaten bijhoudt - maar dat weet ik even niet helemaal zeker meer. Ik zal dat, als iemand meer info wil, onderzoeken.
19-07-2019, 14:57 door Bitje-scheef
Door Anoniem: Laat Ferdinand Grapperhaus (CDA) dit maar niet lezen, voor je het weet vindt hij ook dit een fantastisch idee.

Hahaha. Dacht gelijk hetzelfde inderdaad.
19-07-2019, 15:21 door Anoniem
Tja ook zo een massasurvilance land,net als China.
19-07-2019, 15:42 door Anoniem
Door Anoniem: Zeer kwalijk omdat de gemiddelde gebruiker meent met https een veilige "verbinding" te hebben.
Tja dit was te verwachten natuurlijk. Het is indirect het gevolg van het "laten we alles gaan encrypten of het nou
relevant is of niet" beginsel wat de laatste jaren gangbaar is. Kortzichtig lijkt het even een goed idee voor de privacy
van de burger, maar breder gezien zorgt het alleen maar voor dit soort dingen. En voor devaluatie van de vermeende
veiligheid.
19-07-2019, 15:50 door Anoniem
Prima plan, moeten we hier in Nederland ook doen eindelijk veiligheid!

Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!
19-07-2019, 21:55 door Anoniem
Door Anoniem: Prima plan, moeten we hier in Nederland ook doen eindelijk veiligheid!
Hier in Nederland kan dat veel simpeler en effectiever, want wij hebben al een rootcertificaat van de Nederlandse staat
in onze browser! Dus hier kan men simpelweg meekijken zonder dat je het merkt, althans op sites die niet een of andere
vorm van certificaatpinning hebben. "je moet even dit certificaat vertrouwen" dat hoeft hier helemaal niet, dat kan
Grapperhaus gewoon voor je doen.
19-07-2019, 22:43 door Anoniem
Doen de amerikanen toch al veel langer. Waarom denk je dat chrome het certificate heeft gepinned voor google.com? Betekend maar een ding, google vertrouwd alle certificate providers niet.
19-07-2019, 22:48 door Anoniem
Door Anoniem: we zijn schapen vergeet dat niet!

inderdaad
20-07-2019, 09:08 door Anoniem
De pinning-bescherming van Wayne Thayet klopt niet. Default wordt pinning uitgeschakeld bij certificaten die door de gebruiker worden geinstalleerd. Wayne geeft dat in een latere post ook toe. Verder is certificate pinning ouderwets (certificate transparency is de opvolger maar ook dat mechanisme beschermt niet bij zelf-geinstalleerde certificaten).
20-07-2019, 10:19 door Anoniem
De natte droom vaneens de Stasi Demoludow landen,
nu gerealiseerd via de EU pendant, die verschoven werd naar onze contreien.
Alles blijft bij hetzelfde, alleen verschuiven de systemen wel eens wat over de aarde.

Daarboven zijn ze het echt wel allemaal met elkander eens hoor,
maak je daar maar geen zorgen over.
Alleen jij die het niet wil (in)zien. Immers het motto luidt: DIVIDE ET IMPERA.
Alleen wij komen nooit uit de submods file ;)


#sockpuppet
20-07-2019, 11:04 door Bitwiper
Door Anoniem: Doen de amerikanen toch al veel langer. Waarom denk je dat chrome het certificate heeft gepinned voor google.com? Betekend maar een ding, google vertrouwd alle certificate providers niet.
Of Chrome voor *.google.* een uitzondering maakt, weet ik niet, maar support voor HPKP is deels uitgezet in recente browsers.

Onderaan https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning:
Firefox and Chrome disable pin validation for pinned hosts whose validated certificate chain terminates at a user-defined trust anchor (rather than a built-in trust anchor). This means that for users who imported custom root certificates all pinning violations are ignored.
Met andere woorden, alleen als een andere door besturingssystemen/browsers vertrouwde certificaatuitgever dan voor *.google.* gebruikt wordt, onterecht daar een certificaat voor uitgeeft (zoals destijds DigiNotar), wordt er alarm geslagen.

Als een *.google.* MitM (lokale antivirus, bedrijfsproxy of land-breed zoals in Kazachstan) een vals certificaat stuurt met een trust chain naar een standaard niet meegeleverd rootcertificaat dat later is toegevoegd aan de gebruikte certificate store, slaan browsers geen alarm.
20-07-2019, 17:54 door Anoniem
Door Anoniem: Prima plan, moeten we hier in Nederland ook doen eindelijk veiligheid!

Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!

Er zijn partijen die dat willen maar ze moeten eerst een precedent scheppen.

Als ze nou ook eens je buren tapten als je getarget wordt dan konden ze misschien nog vreemde uplinks, ook via 3g/4g waarnemen. Dit heet counter-intelligence. Dit brengt pas echt veiligheid.
20-07-2019, 18:14 door Anoniem
@Bitwiper,

Dank weer voor je deskundige uitdiepende reactie. Ik ga er weer op door bij security stackexchage etc.

Waar is dan volgens jou die hele certificeringsoorlog om & over uitgebroken met Symantec o.a.,
die prompt zijn certificeringspoot liet vallen samen met de volop promotie van Let's Encrypt
en vervolgens de browser developer (re)acties?

Waar gaat het om? Waar wil men heen? De grote spelers, de grote cloud-jassers etc.
En tenslotte het "gemauw" van Europol etc. over 5G en daardoor verminderde tapmogelijkheden.

Juist nog een SSL stripper toegevoegd aan mijn Intellitamper tool versie
en inderdaad er zijn nogal wat beveiligingsslagen te maken naast de weak cgi en weak php woordenboeken.

Waarom de alerts bij het installeren van leaf-browser extensie binnen chrome?

luntrus
22-07-2019, 08:25 door Anoniem
Prima plan, moeten we hier in Nederland ook doen eindelijk veiligheid!

Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!
Onzin, de meeste mensen deugen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.