it-swarm-eu.dev

Come può il Kazakistan eseguire attacchi MITM su tutto il traffico HTTPS?

Ora c'è MITM sul traffico HTTPS in Kazakistan .

Ma affinché MITM funzioni, oltre all'installazione del certificato, deve esserci qualcuno che sta inoltrando la richiesta, giusto? Tale ruolo sarà svolto dagli ISP?

Di 'che voglio collegarmi a Facebook. Il proxy falsifica il certificato di Facebook? Come funziona?

Accedendo a Facebook con lo schema MITM e guardando i certificati dal browser, il certificato MITM sarebbe visibile?

73
microwth

Come funziona?

Sembrano usare un proxy Bump SSL nel mezzo.

  • Innanzitutto, funziona come proxy trasparente, il che significa che reindirizzerà silenziosamente tutto [~ # ~] https [~ # ~] traffic to Server proxy SSL Bump.
  • Devi installare e accettare il proxy Certificate Authority cert per farlo funzionare.
  • Una volta fatto, ogni connessione SSL viene stabilita dal tuo Host al SSL Bump Proxy con un certificato generato al volo che riproduce le proprietà del certificato reale. Dai un'occhiata a ![KazakMitm From https://bugzilla.mozilla.org/show_bug.cgi?id=1567114 (E attenzione al certificato emittente e inizio validità data e ora)
  • Quindi, il proxy finge di essere il sito Web di destinazione (Facebook) per ricevere la tua richiesta,
  • riproduce la tua richiesta (fingendo di essere te stesso) sul vero sito web
  • Riceve una risposta dal sito Web reale.
  • Ora, il proxy è in grado di memorizzare la richiesta e/o la risposta se creato per farlo.
  • Quindi inoltra la risposta al tuo browser.

Tale ruolo sarà svolto dagli ISP?

Probabilmente sì, ma potrebbe trovarsi ovunque prima che il traffico lasci il Paese.

Il certificato MITM sarebbe visibile?

Sì, poiché questi certificati sono principalmente generati al volo, dai un'occhiata a "Validità Non prima "(in questo caso circa 1 giorno prima della richiesta) e" Emittente certificato "(in questo caso: No data anziché DigiCert Inc).

Per controllare questo, vai su diversi siti Web e controlla ogni certificato. Se vedi sempre lo stesso Issuer e per ogni sito che raggiungi vedi sempre un Not before con lo stesso intervallo dalla prima richiesta ...

Prendi alcuni riferimenti: l'emittente di Google è Google Trust Services, Facebook usa DigiCert Inc E così via ... Prendi i tuoi riferimenti.

Per un sito Web che conosci bene (ovvero sai se e quando è possibile aggiornare il certificato SSL), puoi utilizzare fingerprints per verificare i certificati.

Cosa fare

Vai al tuo browser config/preference -> security -> show/manage SSL certificates e delete/drop/untrust certificati indesiderati (in questo caso, cerca No data o KZ).

Naturalmente, una volta eliminato, non sarai in grado di raggiungere Internet attraverso la rete this!

Potresti provare a utilizzare alcune VPN (pubbliche o private), ma non so come siano trattate altre connessioni diverse da quelle HTTP. Anche VPN over HTTP (s) potrebbe funzionare fino a quando i proxy ufficiali sysadmin vedranno il tuo flusso crittografato ...

È possibile connettersi a Internet in modi alternativi (satellite, frequenze radio, fili privati ​​...).

Usa hardware alternativo e fai attenzione alle tue attività mentre sei connesso a questa rete.

Circa l'immagine:

Questa immagine è stata trovata su https://bugzilla.mozilla.org/show_bug.cgi?id=1567114 e modificata per sottolineare

  • In blu: in alto, data dell'immagine, suppongo vicino alla connessione e allo screenshot. A destra, il Not before che sembra esistere solo 24 ore prima dello screenshot. (Suppongo che l'intera immagine sia stata fatta alcuni minuti dopo l'ultimo screenshot del certificato, che è stato fatto alcuni secondi dopo la connessione, ma non ne sono sicuro.)
  • In arancione: il certificate issuer - sul lato sinistro, il reale emittente e sul lato destro, c'è No data che è più che sospetto!
  • In rosso: questo segno era già presente prima della mia modifica - potresti vedere KZ invece di US, ma questo anche il campo potrebbe essere falso!

Pertanto, assicurarsi che lo stesso Autorità di certificazione non venga utilizzato su domini radicalmente diversi è una buona indicazione. (IE: Se vedi lo stesso emittente quando raggiungi Microsoft, come Google o Facebook, allora c'è qualcosa che non va!)

76
F. Hauri