![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Казахстанская гэбня жидко обосралась
2019-08-21 09:07 pmПопытка Казахстана ввести глобальное государственное наблюдение за действиями своих граждан в сети (путём добровольно-принудительной установки самоподписанного сертификата и заворачивания всего https-трафика на контролируемый правительством MitM-прокси) не увенчалась успехом:
https://www.linux.org.ru/news/security/15119047
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
https://www.linux.org.ru/news/security/15151647
https://ru.reuters.com/article/topNews/idRUKCN1VB1NG-ORUTP
https://techcrunch.com/2019/08/21/google-mozilla-kazakhstans-browser-spying/
Что самое плохое, этот вручную установленный самоподписанный сертификат мог обходить HSTS preload list, потому что именно так проводится наблюдение за работниками в корпоративной среде (https MitM proxy + вход в операционную систему через домен + group policy в этом домене для добавления самоподписанного сертификата в trusted root).
В качестве ответной реакции на этот инцидент, Mozilla, Apple и Google просто забанили этот сертификат в обновлениях своих браузеров. Браузеры этих компаний теперь не доверяют сертификату от казахстанской гэбни, даже если пользователь установил его вручную. Не помогло даже нытьё покупных троллей о том, какой ниибаццо большой рынок потеряют эти компании в Казахстане.
Это станет хорошим прецедентом, чтобы власти всевозможных бантустанов впредь как собака палку выучили, что любая попытка запустить свои шаловливые ручки в https автоматически повлечёт быстрый и чёткий удар палкой со стороны настоящих "хозяев интернета". Ну а если властям бантустанов в этой политике что-то не нравится, тогда они вольны выпускать свои браузеры, свои ОС, свои телефоны и компьютеры, умные телевизоры и далее по списку. Начинать придётся очень издалека, со своего сертификата для UEFI Secure Boot или даже со своей прошивки для материнской платы.
https://www.linux.org.ru/news/security/15119047
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
https://www.linux.org.ru/news/security/15151647
https://ru.reuters.com/article/topNews/idRUKCN1VB1NG-ORUTP
https://techcrunch.com/2019/08/21/google-mozilla-kazakhstans-browser-spying/
Что самое плохое, этот вручную установленный самоподписанный сертификат мог обходить HSTS preload list, потому что именно так проводится наблюдение за работниками в корпоративной среде (https MitM proxy + вход в операционную систему через домен + group policy в этом домене для добавления самоподписанного сертификата в trusted root).
В качестве ответной реакции на этот инцидент, Mozilla, Apple и Google просто забанили этот сертификат в обновлениях своих браузеров. Браузеры этих компаний теперь не доверяют сертификату от казахстанской гэбни, даже если пользователь установил его вручную. Не помогло даже нытьё покупных троллей о том, какой ниибаццо большой рынок потеряют эти компании в Казахстане.
Это станет хорошим прецедентом, чтобы власти всевозможных бантустанов впредь как собака палку выучили, что любая попытка запустить свои шаловливые ручки в https автоматически повлечёт быстрый и чёткий удар палкой со стороны настоящих "хозяев интернета". Ну а если властям бантустанов в этой политике что-то не нравится, тогда они вольны выпускать свои браузеры, свои ОС, свои телефоны и компьютеры, умные телевизоры и далее по списку. Начинать придётся очень издалека, со своего сертификата для UEFI Secure Boot или даже со своей прошивки для материнской платы.
