Kazachstaanse providers onderscheppen https-verkeer
Kazaachstaanse internetproviders zijn begonnen om al het https-verkeer van hun gebruikers te onderscheppen, zo blijkt uit een melding op Mozillas Bugzilla. Providers hebben hun klanten via sms en hun eigen websites gevraagd om op elk apparaat met internettoegang een door de overheid uitgegeven certificaat te installeren waarmee het https-verkeer kan worden onderschept.
Volgens de providers is dit noodzakelijk om de verspreiding van door de wet verboden informatie tegen te gaan. Gebruikers die niet meewerken kunnen met "technische beperkingen" te maken krijgen wat betreft de toegang tot internet. Door de installatie van het rootcertificaat kunnen de providers al het https-verkeer onderscheppen zonder dat gebruikers in hun browser een foutmelding te zien krijgen. Op deze manier is er sprake van een man-in-the-middle.
Verschillende Kazachstaanse burgers hebben Google en Mozilla opgeroepen om het betreffende certificaat te blacklisten. Mozillas Wayne Thayer laat in een Google Group weten dat het blokkeren van het certificaat geen goed idee lijkt. Daarnaast laat Firefox nu zien wanneer er een certificaat wordt gebruikt dat standaard niet door de browser wordt vertrouwd.
Verder maakt Firefox gebruik van public key pinning. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer door de browser vertrouwd. "Hierdoor mislukt de man-in-the-middle voor die sites", aldus Thayer.
Echter welke commerciele jongens monitoren nu al al jouw https verkeer reeds
en met wie werken zij vervolgens weer samen.
We leven in een complete surveillance maatschappij.
Dat feit moeten we met z'n allen maar eens goed onder ogen willen zien.
Doen we er niets aan, hebben we ons ermee solidair verklaard.
Dat we er iets tegen kunnen doen, betwijfel ik zeer,
behalve dan meedoen in een soort van kat en muisspel,
als een soort van algemeen achterhoede gevecht.
#sockpuppet
Alles voor de veiligheid! *boekt direct vakantie naar Kazachstan*.
Maar dat is niet het enige probleem: met zo'n rootcertificaat kunnen ook code signing en document signing certificaten worden ondertekend (uitgegeven). Daardoor kunnen bijv. aan automatische updates van software op je PC backdoors worden toegevoegd (tenzij de betreffende software van certificate pinning gebruik maakt, maar als er maar één product is dat dit niet doet ben je niet veilig). Een "vertrouwd" rootcertificaat van een onbetrouwbare uitgever is de doodsteek voor alle beveiliging op devices.
Naar verluidt (https://docs.mitmproxy.org/stable/howto-ignoredomains/) maakt o.a. Windows Update gebruik van certificate pinning. Ik weet niet precies waar, de feitelijke download van Microsoft updates (uitvoerbare binaries) vindt plaats via http, waarbij die bestanden digitaal ondertekend zijn. Ook weet ik niet of voor die signatures gebruik wordt gemaakt van certificate pinning.
Ik ben benieuwd of de Kazachstaanse providers uitzonderingen gaan maken, bijv. voor Microsoft Updates (want als die niet meer werken, ontstaan er vanzelf nog meer problemen).
Overheid van Kazachstan zal vast heel erg in jouw geinteresseerd zijn, en MiTM uitvoeren, via jouw NL provider ;)
In dat geval raad ik aan om een speciaal gebruikersprofiel daarvoor aan te maken in Firefox en het rootcertificaat alleen in dat profiel te installeren - en dus NIET in de Windows certificate store. Het voordeel is dat je dan slechts dat Firefox profiel ermee "vervuilt".
Desgewenst wil ik wel aanvullende tips geven hoe je dit zo veilig mogelijk kunt doen.
Aanvulling: bij het schrijven hiervan ging ik ervan uit dat Firefox, indien elevated geïnstalleerd (met admin rechten), er per gebruikersprofiel een database met aanvullende certificaten bijhoudt - maar dat weet ik even niet helemaal zeker meer. Ik zal dat, als iemand meer info wil, onderzoeken.
Hahaha. Dacht gelijk hetzelfde inderdaad.
relevant is of niet" beginsel wat de laatste jaren gangbaar is. Kortzichtig lijkt het even een goed idee voor de privacy
van de burger, maar breder gezien zorgt het alleen maar voor dit soort dingen. En voor devaluatie van de vermeende
veiligheid.
Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!
in onze browser! Dus hier kan men simpelweg meekijken zonder dat je het merkt, althans op sites die niet een of andere
vorm van certificaatpinning hebben. "je moet even dit certificaat vertrouwen" dat hoeft hier helemaal niet, dat kan
Grapperhaus gewoon voor je doen.
nu gerealiseerd via de EU pendant, die verschoven werd naar onze contreien.
Alles blijft bij hetzelfde, alleen verschuiven de systemen wel eens wat over de aarde.
Daarboven zijn ze het echt wel allemaal met elkander eens hoor,
maak je daar maar geen zorgen over.
Alleen jij die het niet wil (in)zien. Immers het motto luidt: DIVIDE ET IMPERA.
Alleen wij komen nooit uit de submods file ;)
#sockpuppet
Onderaan https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning:
Als een *.google.* MitM (lokale antivirus, bedrijfsproxy of land-breed zoals in Kazachstan) een vals certificaat stuurt met een trust chain naar een standaard niet meegeleverd rootcertificaat dat later is toegevoegd aan de gebruikte certificate store, slaan browsers geen alarm.
Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!
Er zijn partijen die dat willen maar ze moeten eerst een precedent scheppen.
Als ze nou ook eens je buren tapten als je getarget wordt dan konden ze misschien nog vreemde uplinks, ook via 3g/4g waarnemen. Dit heet counter-intelligence. Dit brengt pas echt veiligheid.
Dank weer voor je deskundige uitdiepende reactie. Ik ga er weer op door bij security stackexchage etc.
Waar is dan volgens jou die hele certificeringsoorlog om & over uitgebroken met Symantec o.a.,
die prompt zijn certificeringspoot liet vallen samen met de volop promotie van Let's Encrypt
en vervolgens de browser developer (re)acties?
Waar gaat het om? Waar wil men heen? De grote spelers, de grote cloud-jassers etc.
En tenslotte het "gemauw" van Europol etc. over 5G en daardoor verminderde tapmogelijkheden.
Juist nog een SSL stripper toegevoegd aan mijn Intellitamper tool versie
en inderdaad er zijn nogal wat beveiligingsslagen te maken naast de weak cgi en weak php woordenboeken.
Waarom de alerts bij het installeren van leaf-browser extensie binnen chrome?
luntrus
Het is echt niet slim om te denken dat als we allemaal gewoon lief, aardig en eerlijk zijn we een veilige wereld krijgen. We hebben dit nodig... we zijn schapen vergeet dat niet!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
