Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz
Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.telecom.kz/news/view/18729 (новость удалена, ссылка на архив)
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов.
Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.
Комментарии (142)
SarganSaor
02.12.2015 18:53+10Только бы наши законодатели не наткнулись на эту новость.
Fr3nzy
02.12.2015 19:23+1Пусть натыкаются. Все равно уже приходится пользоваться VPN'ом, так как провайдеры подменяют сертификаты.
Ivanhoe
02.12.2015 21:42В смысле — подменяют сертификаты? Они же подписаны CA.
Fr3nzy
02.12.2015 22:53+12Ну так это и не происходит «прозрачно». Браузеры честно говорят «Сертификат не подходит». На что поддержка провайдера говорит «А вы не парьтесь, это наш сертификат! Просто добавьте его в доверенные».
Kolonist
03.12.2015 10:32+5Что за провайдер? Страна должна знать своих «героев».
Fr3nzy
03.12.2015 12:42+2Конвекс, Екатеринбург. Еще Дом.РУ вроде подобным страдает.
Причем, иногда, «по-ошибке», подменяются сертификаты yandex/google/akamaihd. Скажем, при подмене google сертификатов, самое плохое — для андроида. Google Play и прочие сервисы просто перестают работать.
madkite
03.12.2015 13:07-2Так добавить сертификат в Android — плёвое дело. ИМХО, с десктопным браузером сложнее, они вроде частенько не юзают системные (из /etc/ca-certificates), в итоге это для каждого браузера надо разбираться отдельно.
PaulWeb
02.12.2015 19:00+3Решили не париться как АНБ, им кто-то показал Cain & Abel, придется включать мозг и решать проблему, сегодня точно не первое апреля? (вопрос риторический)
MacIn
02.12.2015 23:02При чем здесь C&A (сто лет назад им пользовался, тогда он не был связан с обсуждаемой темой)?
PaulWeb
03.12.2015 05:19ну как не связан www.oxid.it/ca_um/topics/apr-https.htm
первый абзац
APR-HTTPS enables the capture and the decryption of HTTPS traffic between hosts. It works in conjunction with Cain's Certificate Collector to inject fake certificates into SSL sessions, previously hijacked by mean of APR. Using this trick it is possible to decrypt encrypted data before it arrives to the real destination performing a what so called Man-in-the-Middle attack.
Be warned that clients will notice this kind of attack because the server's certificate file injected into the SSL session is a fake one and although it is very similar to the real one it is not signed by a trusted certification authority. When the victim client starts a new HTTPS session, his browser shows a pop-up dialog warning about the problem.
seregamorph
02.12.2015 19:02+5А не выйдет ли так, что этот серт будет добавлен в блек-листы популярных браузеров?
iborzenkov
02.12.2015 19:07+2выйдет, но еще до этого все крупные сайты с HSTS, то-есть по сути почти все которых активно хотят слушать пошлют далеко и надолго
BasicXP
02.12.2015 19:10+4У сайтов с HSTS проблем не будет, а вот HPKP вызовет определённые трудности.
phaoost
03.12.2015 12:36А разве нельзя порезать хедеры используемые для HPKP?
BasicXP
03.12.2015 12:41Можно, но вся фишка в том, что браузер кеширует данные об HPKP точно так же, как он это делает для HSTS (в случае, если домен не зашит в список заранее). Если первый заход был с нормальным сертификатом, то в кеше пин останется, даже если заголовка в последующих ответах нет, на время max-age, которое обычно выставляют большим (по рекомендациям, минимум полгода). «Поможет» только полная очистка кеша.
inkvizitor68sl
02.12.2015 21:36-4Google раскатывает в Chrome обновления с блэклистами сертификатов для своего домена (к тому же там ещё и пиннинг есть, так что даже добавленность сертификата локально не поможет).
msuhanov
02.12.2015 22:04+4Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.
khim
03.12.2015 01:18+2К огромному сожалению технологию, которую использует Казахстан не он придумал: куча компаний во вполне себе «свободных» странах её использует для контроля над тем что делают сотрудники на работе. Так что большинство браузеров после добавления сертификата «куда нужно».
Да и нет там цели всё сделать «прозрачно»: в законе написано — значит исполняйте. Всё. Точка.
Borz
02.12.2015 19:08может они этого и хотят? Эдакая форма "итальянской забастовки"
seregamorph
02.12.2015 19:21Имеется в виду перекладывание ответственности за недоступность сайтов с «КазКомНадзора» на разработчиков браузеров?
Muxlevator
02.12.2015 19:22+9в ключницы
Вас что, Мицгол покусал?
ValdikSS
02.12.2015 21:17+15А что не так, разве это устаревшее слово?
Muxlevator
02.12.2015 23:02+10Гугл по запросу «ключница сертификаты» не выдаёт ни одной релевантной ссылки. И есть технический термин «хранилище сертификатов».
Атмосферу тоже околоземицей некоторые называют.ValdikSS
02.12.2015 23:07Хм, похоже, вы правы. Я почему-то думал, что это довольно распространенное слово, но поиск действительно ничего не выдает.
janatem
03.12.2015 01:05+2Мне кажется, значение не подходит. В оригинале keyring, то есть связка ключей, а ключница — это человек, хранитель ключей. Если бы keyring был не файлом (мертвыми данными), а процессом, то его можно было бы анимировать, проассоциировав с кем-то живым (ср. демон).
Mithgol
06.12.2015 10:14Не кусал, но словоупотребление одобряю: говорить «ключница» вместо «хранилище сертификатов» попросту удобнее — примерно так же, как удобнее нам, например, говорить «компьютер» вместо «электронно-вычислительная машина», и притом совершенно по той же причине (куда короче произносить и записывать).
В своё время длину фразы «электронно-вычислительная машина» пытались обойти сокращением «ЭВМ», однако длину фразу «хранилище сертификатов» никто не будет обходить сокращением «ХС», вполне сознавая, что оно прежде всего будет восприниматься как символизирующее Христа Спасителя (например, сокращение «ХХС» почти повсеместно узнаётся в смысле «Храм Христа Спасителя» — не в одной только Москве, в которой расположен Храм).
ZoomLS
02.12.2015 19:46+2Это они так всех массово загоняют в Tor и i2p сети? ;)
Aclz
02.12.2015 20:04+2Их там тоже уже поэтапно запрещают.
mibori
02.12.2015 20:27А что конкретно делают?
Aclz
02.12.2015 21:10+3Это у казахов лучше спросить, в интернетах противоречивая информация. Как минимум, забанен сайт торпроджекта, также репортуется про попытки отдельных провайдеров банить трафик по DPI, а также про деятельность по поиску и закрытию входных нод.
gene4000
03.12.2015 05:28+1В Казахстане забенено уже куча сайтов. Ни одного дня не проходит, чтобы что-то не пришлось в список для прокси добавлять. Например сайт журнала максим, какие-то русскоязычные новости на .com домене. Про порнолабы даже и не говорю. Похоже херачат все без разбора, скоро останется только местный интернет.
strib
03.12.2015 00:32+1Пару лет назад в ходе эксперимента я понял у себя ноду Тор, товарищ пробовал подцепиться. В итоге трейсы показали что на этапе handshake пакетик просто уходил в никуда.
В тот же вечер на том же порту поднял веб сервер — все ок. Потом как-то забросили и не стал разбираться что это было.
Meklon
02.12.2015 19:58+5Твою мать. Шо делать-то? Кроме VPN все отпадает?
ankh1989
02.12.2015 23:51+7Что делать вообщем то понятно, но мало кому нравится такое решение.
korjik
03.12.2015 04:18+7Как иронично вы вызываете трактор.
owniumo
03.12.2015 08:44Трактор это не решение а обход проблемы. Не может быть всем доступен. ankh1989 имел ввиду, имхо, другое.
JC_Piligrim
03.12.2015 17:33+3Трактир — вот ещё один популярный в России способ обхода проблемы для тех, чей трактор не заводится по причине отсутствия соляры в баке.
Всё плохо? В трактир. И всё, вроде, норм на какое-то время.
dasty
03.12.2015 21:15+6Может он про этот трактор
ankh1989
04.12.2015 07:57Точно :)
khim
04.12.2015 13:14А что с этим трактором не так? Я ещё понимаю если бы речь шла про тот трактор, на котором Поросёлок Пётр ездит, там хотя бы смысл понятен: решение проблемы в рамках одного отдельно взятого поросёнка, а тут… Ну выбрал себе человек такой странный метод самоубийства, обновили пару дюжин построек в городке за счёт страховых фирм и всё. Какую проблему кроме наличия в природе сликом большого количества долбоёбов это решило?
Moskus
03.12.2015 01:57+4Как учит нас информационная безопасность, не любая угроза может быть принципиально устранена инженерно-техническими мерами, для некоторых требуются административные.
Надеюсь, что это значит в данном случае, расшифровывать не нужно.
miriarder
02.12.2015 20:17+4Нет слов. Одни эмоции. Конечно, защищенный канал все равно можно организовать, используя дополнительный уровень шифрования трафика, например, любым потоковым шифром.
Ну и стеганографию тоже никто не отменял.as1an
02.12.2015 23:10простите, а как стеганографию использовать для аутентификации на сайте gmail, чтобы прочитать почту?
owniumo
03.12.2015 08:45+5Верно, никак.
Преступники (включая террористов) будут принимать необходимые меры для скрытия своих действий, им такая слежка не помешает. Глобальная слежка внедряется в разных странах не для борьбы с преступностью, а для укрепления власти (для подчинения большинства интересам меньшинства).?
madkite
03.12.2015 13:34Прям втупую и применять. Организовываете сайт с кошечками (на своём сервере в нормальной стране), или с чем-то другим невинным, что сложно забанить. Пишите хитрый клиент, который в каждый запрос будет добавлять немного того, чем вы хотите с гуглом поделиться. На сервере «расшифровывете» это дело, делаете запрос гуглу и обратно ответ передаете таким же макаром.
faiwer
02.12.2015 20:23+4Я тут всё на Let's Encrypt посматривал, для будущих клиентов, а тут на тебе. Они там совсем того, что-ли…
k0ldbl00d
02.12.2015 23:26+25Здравствуйте, я казахский MITM. По причине ужасной наглости моего создателя я не способен без действий с вашей стороны расшифровывать ваш SSL-трафик. Поэтому очень прошу Вас, пожалуйста, установите наш корневой сертификат, чтобы мы знали чем вы занимаетесь и какой у вас пароль от банк-клиента. Заранее благодарю за понимание и сотрудничество.
as1an
02.12.2015 23:32подмене подлежат, скорее всего, только сертификаты внешних ресурсов по отношению к Казахстану
owniumo
03.12.2015 08:49+2Если корневой импортирован, потом можно любой, в любое время подменять/не подменять.
«только внешних» это оксюморон.as1an
03.12.2015 11:36Так-то да, но в новости говорится
за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.
Ну захотят — все подменят. Что скрывать гражданину от государства на своей же территории, если он и зарубежом ничего не скрывает?
Areso
03.12.2015 06:21Как правило корневой сертификат установливается во время получения ЭЦП физиками, ИП или юриками (прямо по инструкции).
k0ldbl00d
03.12.2015 07:49Но у каждого УЦ он свой, по крайней мере в России. К тому же вряд ли у провайдера (даже у Казахтелекома) сможет оказаться приватный ключ. Так что если вас хочет слушать провайдер — придётся установить провайдерский сертификат.
as1an
02.12.2015 23:30+2Тут смотрите еще ирония в чем. Захочет человек, который по роду деятельности занимается PKI посмотреть как у людей строятся сертификаты (структура, оиды), а будет видеть родимый сертификат «великого казахского фаервола».
strib
03.12.2015 00:32+1Вот интересно, какой вендор такую гадость решился поставить?
egyp7
03.12.2015 08:02+2имя этого гнусного вендера hacking team :) они уже ранее поставляли эту гадость казахским (с. службам) провайдерам: https://github.com/hackedteam/vector-ipa
пруф:https://wikileaks.org/hackingteam/emails/emailid/436130
2012/12/1 Giancarlo Russo <g.russo@hackingteam.com>
Askar,
Yes, the TNI is a module of the RCS suite that embeds hardware and software. When connected to a LAN (both WIFI and Ethernet/cabled), the TNI can automatically deliver the RCS Agent to a windows pc connected to the same network by sniffing and on-the-fly modifying its HTTP traffic.
I hope this can help
Giancarlo
и еще очень много интересного тут: https://wikileaks.org/hackingteam/emails/?q=Kazakhstan+sniffing&mfrom=&mto=&title=¬itle=&date=&nofrom=¬o=&count=50&sort=0#searchresult
есть два варика:
1) фантазии и опыта хакинг тим больше ничего хватило как на унылый и наглый mitm.
2) они разорвали контракт с хакинг тим(что маловероятно) и решили заюзать свои средства, эдакий казахский DPI с патчером (https://github.com/secretsquirrel/BDFProxy) на python :)Deaddy
03.12.2015 08:36+1Есть еще третий вариант, ма-а-аленькая надежда на него остается:
3. Бабло попилят, проект загнется.
strib
03.12.2015 10:03Такой объем трафика подразумевает аппаратную реализацию шифрования… Это
1) Дорого;
2) Очень дорого;
3) Экспорт жестко регулируется;
egyp7
03.12.2015 11:34не согласен, мои аргументы:
1) Все хакинг тимовское ПО требует спец. оборудования с весьма высокими характеристиками (смотрите доки по софту которые утекли в 400 Гб архиве).
2) В Palantir релиализовывали качественную инспецию трафика при довольно низких затратах. Как показала практика алгоритмы используемые софтом не менее важны, чем железо на котором оно выполняется.
3) Спец. службам не обязательно контролировать всех подряд и снифать весь объем трафика проходящий через провайдера, обычно слушают траффик только у тех, кто мог попасть под подозрение, впервую очередь в IRL а не в сети. Наличие установленного сертификата гарантирует прослушку трафика не только в одноклассничках и мейл.ру, но и на защищенных сайтах например gmail или facebook. К тому же для прослушки трафика конкретного человека нужна санкция, без нее вас прослушивать никто не будет.
4) Экспорт врочем как и все правовые/нормативные акты и законы устанавливает само государство. Как показала практика в случае хакинг тим многие гос-ва делали исключения для «обеспечения безопасности собственной страны».strib
03.12.2015 11:501) Тут не расходимся.
2) Посмотрю, но с учетом специфики рынка такие решения не дешевые. Ну и процедуры закупки ни разу не прозрачные.
3) Тут речь идет о суверенном интернете, если рассматривать вкупе с другими действиями, например о запрете размещения .kz на зарубежных DNS и прочее. Особенно с политикой фильтрации неугодных ресурсов…
4) В Казахстане такое оборудование не производят, а те, где производят, далеко не всегда разрешают экспорт криптосредств аппаратных
BeLove
08.12.2015 13:213 пункт уже запрещен, хостинг для .kz доменов должен быть только в Казахстане. Этому правилу много лет (но не все его исполняют).
strib
08.12.2015 13:51Кстати да, спасибо за напоминание, давно уже не занимался этой темой.
Мои исследования закончились на «требования к физическому расположению серверов на территории Казахстана для интернет-ресурсов, находящихся в доменной зоне KZ не распространяются на доменные имена, зарегистрированные до введения в действие приказа» и я про это забыл )
vikarti
03.12.2015 09:07+1припоминаю свою попытку в полудомашних условиях сделать тотальный перехват https в условиях зоопарка девайсов и и софта… и
я правильно понимаю что они собираются:
— повесить на свою техподдержку поддержку тех программ у кого встроенные https-клиенты не использующие системную базу сертификатов (вроде той же SecondLife, там далеко не только для встроенного браузера этот клиент используется).
— обновить ВСЕ девайсы с Android 2.x (там же нельзя без рута поставить свой сертификат CA насколько помню а инструкция обещана же).
— убедить всех авторов приложений под iOS/Android кто использует pinning как часть проверки корректности покупки что надо их новый суперсертификат считать корректным а не MITM-атакой.
Deaddy
03.12.2015 09:21+8Исходя из собственного опыта общения с техподдержками банков и налоговых, отвечу за них:
1. Пользуйтесь программами, которые используют только системную базу сертификатов.
2. Купите новый смартфон.
3. Обратитесь к разработчикам, пусть добавят наш сертификат в доверенные.
И краткое резюме: «У нас все блокируется и слушается как надо, это же у вас что-то не работает, выкручивайтесь как хотите.»vikarti
03.12.2015 09:25>1. Пользуйтесь программами, которые используют только системную базу сертификатов.
посоветуйте аналог (которого в данном случае нет)
>2. Купите новый смартфон.
товарищь полицейский но они сами сказали что надо новый смартфон а деньги на него давать отказались!
> краткое резюме: «У нас все блокируется и слушается как надо, это же у вас что-то не работает, выкручивайтесь как хотите.»
если я весь трафик заверну в хитрый VPN(допустим) вы претензий иметь не будете? пожалуйста бумагу выдайте
Deaddy
03.12.2015 09:44+31. Не наша проблема.
2. Не наша проблема.
3. Претензии будут, не переживайте вы так.
Я, конечно, немного утрирую. Ответы будут красивые и официальные. Но пока что все именно так. Ну вот пара простых примеров:
— Ваш криптопровайдер рушит Хром, а я в нем работаю!
— Используйте другой браузер.
— Ваша программа работает только под админом! Так нельзя!
— А в чем проблема? Выдайте бухгалтерам админские права, это ведь несложно!
— На вашем сайте для авторизации используется флэш. Это небезопасно.
— Скачайте и установите антивирус.
Те, кто в КЗ и те, кто в теме, без труда узнали, о каких программах я говорю. Ну я уж и не говорю, что все инструкции по использованию сайтов госуслуг начинаются с фразы «добавьте наш сайт в список доверенных».
HomoLuden
03.12.2015 12:18— Ваша программа работает только под админом! Так нельзя!
— А в чем проблема? Выдайте бухгалтерам админские права, это ведь несложно!
В публичных транснациональных корпорациях очень может быть по полисям запрещено выдавать админские права бухгалтерам. Я не уверен, но думаю что где-нибудь в ISO есть указание к информационной безопасности.
Кроме того, админские права внутри корпорации отождествляются с дополнительными расходами. За каждую дополнительную фишку конечного пользователя в ведомостях проходят дополнительные копеечки. У корпорации с 10К пользователями это может вылиться в кругленькую сумму.Aclz
03.12.2015 13:54+7Это всё из разряда «проблемы негров шерифа не интересуют».
HomoLuden
04.12.2015 13:27Как раз шерифа это и заденет, т.к. у негра в данном случае есть четкое указание, что если конкретная страна не дает возможности вести бизнес по правилам для публичных корпораций, вышедших на IPO, то корпорация («негр») не должна вести бизнес в данном регионе.
Я знаю, что в Казахстане работают несколько международных игроков, подвергающихся постоянному аудиту на предмет соответствия международным нормам в сфере инфо. безопасности и менеджмента. Для них данный вопрос куда более серьезен, чем для совковых конторок а-ля «Рога и Копыто».khim
04.12.2015 13:33И? Что конкретно потеряет Казахстан если какая-то западная компания «психанёт» и уйдёт? Google, вон, ушёл из Китая громко хлопнув дверью, но теперь всё равно возращается.
satellight
04.12.2015 14:10Казахстан не настолько большой рынок, чтобы за него держаться руками и ногами.
HomoLuden
07.12.2015 11:46Именно! Для крупной транснациональной кампании рынок этот мелок, а для страны уход крупного инвестора будет чувствительным ударом.
HomoLuden
07.12.2015 11:44Наличие иностранных инвесторов сильно влияет на национальную валюту. Например, правительство РФ «бьет себя пяткой в грудь», мол, они «из кожи вон лезут», чтоб привлечь и удержать инвесторов. При массовом сливе иностранных кампаний в ту же дыру сливается и рубль.
Думаю Казахстан тоже очень сильно заинтересован в них.khim
07.12.2015 13:43+1Все эти рассказы без цифр — ничего не стоят. Да, бегство иностранного капитала обрушивает валюту, но в этом есть как плюсы, так и минусы. А главное: «сбежать» компания может только один раз. Не нужно эту угрозу преувеличивать.
Руководство страны вполне может посчитать, что это — приемлемая плата за возможность просматривать почту своих граждан.
Важно ещё учесть вот какой фактор: если XX век — это борьба за рынки, то XXI век — это борьба за ресурсы. «Правила игры» потихоньку меняются и вместе ними меняется и отношение к странам и компаниям.
stAndrew
09.12.2015 12:59> XXI век — это борьба за ресурсы
За какие именно ресурсы?khim
09.12.2015 14:36За все: нефть, газ, воду, редкоземельные металлы и прочее.
Всё это, так или иначе, будет в дефиците бо?льшую часть XXI века.
Посмотрите на Европу, которая уже много лет рассказывает сказки на тему энергетической безопасности, но всё равно не может отказаться от газа из России — и это пока только локальные проблемы, связанные с логистикой, дальше будет хуже.
Казахстан во-первых сам обладает изрядными запасами, а во-вторых — очень удобно расположен. Так что главная опасность для него — это не что какая-то там западная компания уйдёт и обрушит тенге, а что в Казахстане произойдёт очередная цветная революция и страна «обретёт демократию». С чем он и борется. Насколько успешно — будущее покажет.stAndrew
09.12.2015 14:48Вы в курсе динамики мировых цен на нефть? Что она подешевела раза в три? Это называется борьба?
Или вот например железная руда стоила $191,7 за тонну, сейчас стоит $39,06 за тонну. Где борьба-то?
http://www.rosbalt.ru/business/2015/12/08/1469196.html
PS: сейчас в цене совсем другие ресурсы: идеи, технологии, знания. Сравните капитализацию Apple и Газпрома.khim
09.12.2015 15:48+1Вы тут рассказываете про то, как «белые люди» выменивают у «аборигенов» оные ресурсы. Если в стародавние времена золото обменивали хотя бы на стекляшки, то сейчас процесс усовершенствован: даже и стекляшек не нужно, если можно выдавать вместо этого цифирьки в какой-то базе данных! Гораздо выгоднее.
Я же говорю о другом: о процессах из-за которых в XX веке произошли две мировых войны, а в XXI веке были вбомблены в каменный век несколько стран.
Если хотите — живите в своём виртуальном мире, пока он не исчезнет, это ваше дело. Но вот правительство Казахстана, похоже, хочет оставаться в мире реальном. Потому как существование виртуального мира — оно, знаете ли, не гарантировано: пока в реальном мире всё хорошо — там могут быть какие угодно воздушные замки. Но как только отключают свет — тут же и выясняется что цифирьки из базы данных чайник не запитают. Киловатты нужны, да. Реальные, а не воображаемые.
P.S. А если хотите порассуждать о капитализациях и об их влиянии на реальный мир — советую начать с Донбасса. Согласно всем теориям, построенным на рассуждениях о том как «капитализация» рождает из воздуха реальные предметы, Донбасс был глубого убыточным, дотационным, регионом — но почему-то его «выключение» из процесса не привело к резкому росту уровня жизни на остальной Украине. Сначала поймите — почему так, а уж потом рассуждайте о «капитализации Apple и Газпрома».Aclz
09.12.2015 23:03-2Это всего лишь ваше мнение. Есть другое. Что потребность в углеводородах к середине века практически полностью сойдет на нет, будучи полностью замещенными возобновляемыми источниками энергии. У многих стран/регионов это уже получилось по потреблению электроэнергии промышленными и бытовыми потребителями. Переход транспорта на электротягу — тоже вопрос лишь времени. В итоге в цене останутся лишь редкоземельные элементы, за которые никаких войн никто устраивать не будет. Просто потому, что гораздо беспроблемнее обменять их на те же айфоны. И даже такие ресурсы, как пресная вода, при наличии денег, неплохо генерируются из моря, так что в некоторых городах аравийского полуострова посреди самой сухой пустыни мира по утрам стоят туманы от тотального полива.
Согласно всем теориям, построенным на рассуждениях о том как «капитализация» рождает из воздуха реальные предметы, Донбасс был глубого убыточным, дотационным, регионом — но почему-то его «выключение» из процесса не привело к резкому росту уровня жизни на остальной Украине.
Забавно, что вы про это упомянули. Года эдак 2-3 назад в кое-каких кругах стоял страшный визг о том, что Донбасс — чуть ли не единственный донор-кормилец дотационный западэнской Украины.hungry_ewok
09.12.2015 23:34+5> за которые никаких войн никто устраивать не будет.
/криво усмехаясь/
Обожаю эту цитату:
«Лучшие умы Европы строят оптимистичные прогнозы о благотворности прогресса и умягчении нравов человечества! Уже сейчас можно с уверенностью утверждать, что человечество в двадцатом столетии полностью откажется от войн и междоусобных притязаний, силами науки будут побеждены изнурительные болезни, а, может быть, и сама Смерть, права человека и гражданина Российской империи будут гарантированы мудрым монархом, из лексикона наших внуков исчезнут отвратительные слова «голод», «проституция», «революция», «насилие». Резко снизится и вовсе исчезнет, не позднее 1997 года, преступность в любом своем уродливом лике, на карте мира больше не останется «белых пятен» и неразвитых областей»А.Суворин, 1900, ЧСХ, год.
khim
10.12.2015 00:09+2Что потребность в углеводородах к середине века практически полностью сойдет на нет, будучи полностью замещенными возобновляемыми источниками энергии. У многих стран/регионов это уже получилось по потреблению электроэнергии промышленными и бытовыми потребителями.
И какие же это страны, извините? Исландия? А ничего, что в Германии, скажем, до этого ещё далеко, а ветряки ставить уже некуда? А если вы проложите куда-нибудь в Сахару кабель, то долго ли он останется работающим в условиях непрерывных войн на севере Африки? Или думаете Америка их там устроила потому что действительно верит в то, что арабская весна несёт туда демократию? Ага, щаз.
Переход транспорта на электротягу — тоже вопрос лишь времени.
Крутой поворот, да. Вот только… много вы видели самолётов на батарейках? Или океанских контейнеровозов?
А на суше, знаете ли, рельеф есть. Посмотрите на карту и подумайте — как ваш чудесный «переведённый на электроэнергию» транспорт будет ездить от Китая в Германию, к примеру. Сразу поймёте почему Казахстан не слишком озабочен уходом «западных компаний»: сегодня уйдут — завтра вернутся, причём соглашаться им придётся на куда худшие условия.
В итоге в цене останутся лишь редкоземельные элементы, за которые никаких войн никто устраивать не будет.
Ну это уж зависит от того, как к этому Китай подготовится, да.
Просто потому, что гораздо беспроблемнее обменять их на те же айфоны.
А это, я извиняюсь, как? Китай добывает редкоземельные элементы, делает айфоны и обменивает их на «фантики»? Ну какое-то время, наверное, да, но в конечном итоге это ему может и надоесть…
И даже такие ресурсы, как пресная вода, при наличии денег, неплохо генерируются из моря, так что в некоторых городах аравийского полуострова посреди самой сухой пустыни мира по утрам стоят туманы от тотального полива.
И всё-таки для этого нужны, в первую очередь, не деньги, а энергия. А с ней чичас — весьма и весьма напряг.
С одной стороны — вы, скорее всего, правы: на 100 лет углеводородов явно не хватит. Но вот дальше — большой ворос, что будет. Может быть возобновляемые источники, а может быть — ториевые реакторы. Чего точно не будет — так это выработки энергии из денег. Такой технологии наука ещё не изобрела :-)
Забавно, что вы про это упомянули. Года эдак 2-3 назад в кое-каких кругах стоял страшный визг о том, что Донбасс — чуть ли не единственный донор-кормилец дотационный западэнской Украины.
Да, трезвые умы про это уже давно говорили, но «исходя из капитализации» получалось, что кормит всех Киев, а Донбасс — весь в убытках. Что показала «проверка боем» — мы видим.
khim
03.12.2015 14:16Да, да, да, мне ваших админов очень жаль… сочувствую… хорошо, что это не наша проблема… спасибо за звонок.
А практически в этих случаях решение — создать «дочку» на одного-двух сотрудников, которая не будет обременена этими правилами, всё проводить через неё.
Это всё попадает под старое доброе: Dura lex, sed lex. Как хотите — так и выкручивайтесь. В ISO нет никаких указаний на то, кто кем кому должен быть админом, там про разделение ролей. Запрает на админа на компьютере — только один из способов соблюдения этих правил.
MyHabrahabr
03.12.2015 10:06+1telecom.kz/news/view/18729
Редирект на главную.
telecom.kz/en/news/view/18729 (английский)
404
telecom.kz/kz/news/view/18729 (казахский)
404
И что теперь?
nonname
03.12.2015 10:36Ага, я так понимаю их сертификат будет сделан по ГОСТу, поддержка ГОСТ шифрования есть только в IE, это как бы тоже не весело. Скорее всего будет собран свой фаерфокс\хромиум типа криптопрошного CryptoFox'а
с блекджекомбез блеклистов и проверки на MITM, а это уже простор для дальнейших фокусов со spyware.as1an
03.12.2015 11:27нет, ГОСТ прикручивать для мобильных вообще муторное дело. Тем более такой сертификат в стандартные хранилища не установить. Будет RSA
ShadowsMind
03.12.2015 12:20+5*здесь должен быть пост про то, как обстоят дела в Казахстане, но в связи с последними событиями(блогеру дали 5 лет за опрос в ВК) автор лучше промолчит*
ls1
03.12.2015 13:42https пока вроде как прежде работает, а вот паблик днс (гугла и яндекса к примеру) сегодня уже всё :(
По крайней мере через idnet
TimsTims
03.12.2015 15:45Еще не раскрыт вопрос срока действия такого сертификата?
Ведь через это время всей стране в один прекрасный день нужно будет снова обновляться, иначе у всей страны одновременно запестрят яркие «Соединение не защищено»
metaball
03.12.2015 17:55+2Думаю, не всё так драматично.
Изменения в законе, на которые ссылаются в статье:
3-1 статьи 26 изложить в следующей редакции:
«3-1. Операторы междугородной и (или) международной телефонной связи обязаны:
1) публиковать перечень стандартных точек присоединения (подключения);
2) обеспечить функционирование точек обмена интернет-трафиком и системы централизованного управления сетями телекоммуникаций Республики Казахстан за счет собственных средств;
3) обеспечить присоединение своих сетей к точке обмена интернет-трафиком и системе централизованного управления сетями телекоммуникаций Республики Казахстан в порядке, определяемом уполномоченным органом;
4) осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.»;
Текста, запрещающего все сертификаты кроме одобренных, я не нашёл. Или что провайдеры должны подменять сертификаты.
Также про сертификаты там«32-1) удостоверяющий центр — юридическое лицо, определяемое уполномоченным органом, выдающее в электронной форме сертификаты безопасности;
«36-1) сертификат безопасности — набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование;»;
в статье 8 (Компетенция уполномоченного органа и его территориальных подразделений ):
в пункте 1:
дополнить подпунктами 6-1), 6-2), 6-3), 6-4), 6-5), 6-6), 6-7), 6-8), 6-9), 8-5), 8-6) и 8-7) следующего содержания:
«6-1) утверждение правил присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком;
6-2) утверждение правил выдачи сертификата безопасности;
6-3) утверждение правил применения сертификата безопасности;
6-4) государственный контроль за применением сертификата безопасности операторами связи;
6-5) государственный контроль за порядком присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком;
6-6) определение удостоверяющего центра;
6-7) утверждение правил оказания услуг доступа к Интернету в пунктах общественного доступа к Интернету;
6-8) утверждение методик измерений технических параметров качества услуг связи;
6-9) утверждение правил взаимодействия государственных органов по вопросам соблюдения требований законодательства Республики Казахстан в сетях телекоммуникаций;»;ValdikSS
03.12.2015 18:06Спасибо! В новости на сайте, однако, было все иначе. Предполагаю, что в Казахтелекоме ошиблись, и после осознания ошибки убрали новость.
Alexeyslav
03.12.2015 18:18+2Думаю что не ошиблись. Проверяют внимательность народа и его реакцию на подобные нововведения.
tulskiy
03.12.2015 20:21При этом есть еще старое постановление: adilet.zan.kz/rus/docs/P100000246_#z5
10. Служебная информация об абоненте накапливается в Системе на оборудовании хранения информации.
Система обеспечивает:
1) хранение информации об абонентах и информации об оказанных абоненту услугах:
…
использованный пользователем вид связи, адреса переданного или полученного электронного сообщения, адреса электронной почты почтового сообщения, идентификатор Интернет-ресурса, дата и время начала и окончания изменений данных на Интернет-ресурсе с учетом временных поясов, а также IP-адрес, с которого происходило изменение;
идентификатор ресурса или адрес почты из шифрованного траффика можно вытащить без подмены сертификата?
ну и представленный Вами пункт 4 я так и не смог распарсить. По мне так это значит пропускать весь траффик через шифрованный канал, кроме внутреннего траффика.khim
03.12.2015 21:01Тут нужно смотреть на то, как в этом законе теперь трактуется понятие «сертификат безопасности». А то ведь могут учесть передовой европейский опыт и ограничить этим понятием только те сертификаты ключ от которых хранится у «компетентных органов». Хотя это уже скорее на американский опыт походит.
dasty
03.12.2015 21:19Кто-нибудь знает, это касается только Казтелекома или всех провайдеров?
m52
04.12.2015 13:56Ну как ты это себе представляешь? Злой-презлой провайдер решил нагнуть пользователей во имя Бога Зла? Закон пишется для одного злого-презлого провайдера? Разумеется если такой закон все же примут, то это будет касаться всех провайдеров.
UnixMaster
04.12.2015 12:13Думаю Alexeyslav со своим комментарием был прав. Сегодня официально на информационном ресурсе опубликовали своеобразное «опровержение» — www.inform.kz/rus/article/2846315. Ждем что будет дальше )
ValdikSS
04.12.2015 12:18+2Я мало что понял, к сожалению. Вроде и по-русски написано, а смысла особого нет, особенно в цитатах.
UnixMaster
04.12.2015 12:20Боюсь, что он сам мало что понял, пока говорил :) Но сам факт уже не может не радовать.
ls1
04.12.2015 13:26Я мало что понял, к сожалению. Вроде и по-русски написано, а смысла особого нет, особенно в цитатах.
Чел по ходу уже 1 января отмечает не первый день
as1an
05.12.2015 13:18Думал я один такой. Раз пять подряд перечитал цитаты.
Но в общем суть: «Подмена сертификатов для всех неказахстанских ресурсов будет, эти сертификаты „ничем“ не отличаются от тех же банковских (привел в пример https://homebank.kz), во всем мире это норма!».
Ну-ну, успокоили…
faiwer
04.12.2015 16:21+1Если я правильно «распарсил» речь этого чиновника, то всё плохо.
В любом случае, никаких проблем с доступом Интернета не будет. Операторы связи будут предоставлять ключ
Дескать, браузер будет ругаться, что мол караул, беда, MITM!!! Но вы запрашиваете «ключ» у оператора связи, внедряете его к себе и «никаких проблем с доступом интернета».
Во всех странах приняты подобные нормы, то есть регулирование данного шифрованного протокола
Понимать как, мы не первая страна, которая хочет прослушивать всё на свете, нам есть на кого равняться? По сути он говорит что правительство хочет регулировать TLS!
На те компании, которые оказывают услуги на территории Казахстана, данные нормы не распространяются
Самый непонятный момент во всей этой каше. Дескать если ресурс на территории РК, то можно использовать свой настоящий сертификат и прослушка не обязательна. Видимо имеется ввиду, что по требованию ресурс должен и без того выдать всю возможную и невозможную инфу. Дескать слежка не так необходима, вы уже в наших клещах.BeLove
08.12.2015 13:20Более того, в Казахстане есть закон, который обязывает все .kz домены хостить в Казахстане.
Это как раз сходится с тем, что для не .kz митмать трафик.
psvsoft
08.12.2015 14:35+1MitM в Казахстане говорите.
У вас установлен Касперский (Internet Security)?
Зайдите на любой https сайт и посмотрите кем выдан сертификат :)
Если, что отключается так:
Настройки Каспера -> Дополнительно -> Параметры сети и поставить галочку «Не проверять защищенные соединения».
Alexeyslav
08.12.2015 15:35+2Меня интересует такой интересный вопрос, а что если сертификат сайта окажется недействительным, но подобный сервис по ошибке соединение подпишет действительным? Ведь пользователь ничего и не узнает.
lolipop
mitm-ГОСТ
as1an
ГОСТ 34.310-2015 если быть точнее
egyp7
раньше это называлось: Статья 136 УК РФ — Нарушение равенства прав и свобод человека и гражданина ;)
lubezniy
Почему же? Слушать будут всех — все равны.