Говорим о новом законопроекте в Германии и более ранних инициативах с аналогичным уклоном.
/ Unsplash / Fabio Lucas
В начале месяца власти Германии внесли на рассмотрение законопроект, который позволит правоохранительным органам пользоваться инфраструктурой интернет-провайдеров для установки систем слежки на устройства граждан. Как сообщает издание Privacy News Online, принадлежащее VPN-провайдеру Private Internet Access и специализирующееся на новостях ИБ, для реализации MITM предположительно задействуют программное обеспечение FinFly ISP от компании FinFisher. Подробнее о нем уже говорили на Хабре в рамках аналогичной новости.
В брошюре, предоставленной WikiLeaks, сказано, что софт FinFly ISP предназначен для работы в сетях интернет-провайдеров, совместим со всеми стандартными протоколами и может быть установлен на целевой компьютер вместе с обновлением программного обеспечения. Один из резидентов Hacker News в тематическом треде предположил, что систему можно будет использовать для реализации атаки QUANTUMINSERT. Как отмечают в Wired, её использовали в NSA еще в 2005 году. Она позволяет прочитать идентификаторы DNS-запросов и перенаправить пользователя на поддельный ресурс.
Еще в 2011 году эксперты из Chaos Computer Club (CCC) — немецкого общества хакеров — рассказали о программном обеспечении, используемом правоохранителями в Германии. Это — троян, способный устанавливать бэкдоры и удаленно запускать программы. Также он умел делать скриншоты, включать камеру и микрофон компьютера. Уже тогда систему подвергли жесткой критике.
В 2015 году эту тему вновь вынесли на обсуждение. Встал вопрос конституционности подобной формы наблюдения. Как писала немецкая международная телерадиокомпания DW, представители политической организации «Зеленая партия» выступили против этой системы. Они отметили, что «цели правоохранительных органов не оправдывают средства».
/ Unsplash / Thomas Bjornstad
История с MITM на уровне интернет-провайдера начала широко обсуждаться в треде на Hacker News. Несколько резидентов подняли вопрос о ситуации с приватностью персональных данных в целом.
Речь зашла и об обязательствах хранить данные на стороне интернет-провайдеров, а кто-то даже вспомнил кейс Crypto_AG. Это — мировой производитель криптографического оборудования, которым тайно владело Центральное разведывательное управление США. Организация участвовала в разработке алгоритмов и давала указания по встраиванию бэкдоров. Довольно подробно эту историю также освещали на Хабре.
Окончательное решение по новому законопроекту еще не принято и его предстоит увидеть. Но уже сейчас понятно, что проблема подмены сайтов может стать еще более острой. Но кто уж точно сумет извлечь пользу из ситуации — это VPN-провайдеры. Они уже упоминаются практически в каждой ветке или хабрапосте с подобной тематикой.
/ Unsplash / Fabio Lucas
Как это может выглядеть
В начале месяца власти Германии внесли на рассмотрение законопроект, который позволит правоохранительным органам пользоваться инфраструктурой интернет-провайдеров для установки систем слежки на устройства граждан. Как сообщает издание Privacy News Online, принадлежащее VPN-провайдеру Private Internet Access и специализирующееся на новостях ИБ, для реализации MITM предположительно задействуют программное обеспечение FinFly ISP от компании FinFisher. Подробнее о нем уже говорили на Хабре в рамках аналогичной новости.
О чем еще мы пишем на Хабре:
В брошюре, предоставленной WikiLeaks, сказано, что софт FinFly ISP предназначен для работы в сетях интернет-провайдеров, совместим со всеми стандартными протоколами и может быть установлен на целевой компьютер вместе с обновлением программного обеспечения. Один из резидентов Hacker News в тематическом треде предположил, что систему можно будет использовать для реализации атаки QUANTUMINSERT. Как отмечают в Wired, её использовали в NSA еще в 2005 году. Она позволяет прочитать идентификаторы DNS-запросов и перенаправить пользователя на поддельный ресурс.
Очень старая практика
Еще в 2011 году эксперты из Chaos Computer Club (CCC) — немецкого общества хакеров — рассказали о программном обеспечении, используемом правоохранителями в Германии. Это — троян, способный устанавливать бэкдоры и удаленно запускать программы. Также он умел делать скриншоты, включать камеру и микрофон компьютера. Уже тогда систему подвергли жесткой критике.
В 2015 году эту тему вновь вынесли на обсуждение. Встал вопрос конституционности подобной формы наблюдения. Как писала немецкая международная телерадиокомпания DW, представители политической организации «Зеленая партия» выступили против этой системы. Они отметили, что «цели правоохранительных органов не оправдывают средства».
/ Unsplash / Thomas Bjornstad
История с MITM на уровне интернет-провайдера начала широко обсуждаться в треде на Hacker News. Несколько резидентов подняли вопрос о ситуации с приватностью персональных данных в целом.
Речь зашла и об обязательствах хранить данные на стороне интернет-провайдеров, а кто-то даже вспомнил кейс Crypto_AG. Это — мировой производитель криптографического оборудования, которым тайно владело Центральное разведывательное управление США. Организация участвовала в разработке алгоритмов и давала указания по встраиванию бэкдоров. Довольно подробно эту историю также освещали на Хабре.
Что дальше
Окончательное решение по новому законопроекту еще не принято и его предстоит увидеть. Но уже сейчас понятно, что проблема подмены сайтов может стать еще более острой. Но кто уж точно сумет извлечь пользу из ситуации — это VPN-провайдеры. Они уже упоминаются практически в каждой ветке или хабрапосте с подобной тематикой.
Что почитать в нашем корпоративном блоге:
ximaera
t.me/eternalseptember/74
ultrinfaern
У большинства сайтов нет certificate pining, поэтому подойдет LetsEncrypt сертификат на фейковом сайте. И только недавно озаботились шифрованием запросов dns, поэтому для dns mitm живее всех живых.
Поэтому подделать dns ответ (это mitm) и перенаправить на фейковый сайт с валидным сертификатом (это не mitm) спокйно можно даже сейчас.
janvarev
Не понял. Вроде LetsEncrypt проверяет при выдаче сертификата, что домен принадлежит тому, кто послал запрос. Файлом там или еще как-то. Как в таком раскладе получить фейковый сайт с валидным сертификатом? DNS-ответ вроде можно подделать для клиента, но не для LetsEncrypt-инфраструктуры.
ximaera
Это можно в принципе сделать, если вы можете сделать MITM между легитимным сайтом и всеми LE-речекерами сразу. Но речь здесь о другом.
ximaera
Certificate pinning как техника — где бы то ни было вне очень специфических корпоративных сред — больше не существует.
Подделать DNS-ответ для habr.com вы сможете (если клиент не использует DNS-over-TLS или DNS-over-HTTPS), но тот сервер, чей IP-адрес вы выдадите, валидного сертификата для habr.com не имеет. Всё, hard stop.
Gutt
Он не имеет валидного сертификата ровно до тех пор, пока целью не заинтересовались трёхбуквенные агентства. У меня нет вообще никаких сомнений, что почти все из них если и не влияют прямо на менеджмент хотя бы одного корневого или промежуточного CA, то уж точно имеют там завербованных людей, которые при большой необходимости выдадут сертификат. Конечно, всё это имеет смысл, если цель — фигура уровня Сноудена или другой очень вкусный политик.