Email or username:

Password:

Forgot your password?
kurator88's posts Post Back to profile
Top-level
Umnik

@max
Установкой своих сертификатов, когда в приложении нет запрета на использование юзерских сертификатов
@kurator88

27 March at 13:11 | Wall-to-wall | Open on lor.sh
10 comments
Alexey Skobkin

@umnik @max @kurator88
Какие разрешения нужны на установку кастомных сертификатов в систему?

27 March at 13:20 | Open on lor.sh
Ostap Bender

@skobkin @umnik @max @kurator88 плохой вопрос.
Правильный вопрос: какие разрешения нужны были на устрановку кастомных сертификатов в систему в 2016 году?

27 March at 13:45 | Open on lor.sh
Umnik

@skobkin явное подтверждение пользователя. Будет вопрос ОС и пользователь должен согласиться или отвергнуть @max @kurator88

27 March at 13:45 | Open on lor.sh
Alexey Skobkin

@umnik @max @kurator88
Учитывая, что это публичный сервис - такое отличие от других VPN-сервисов должны были бы достаточно быстро заметить те, кто имеет некоторую степень грамотности в теме.

Я вангую, что если начать знакомиться с документами - окажется, что VPN собирал только метаданные.

Слишком уж палевную хуйню заявляют в статье.

Я имею в виду, что скорее всего такое бы вскрылось не на суде, а сильно раньше.

27 March at 13:48 | Open on lor.sh
kurator88

@skobkin @umnik @max в источнике есть ссылка на документ с коротким описанием инцидента
27 March at 13:55 | Open on soc.kurator.tech
Alexey Skobkin

@kurator88 @umnik @max
Занятно.

Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.

Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.

Интересно теперь куда эта история разовьётся.

Жду каких-нибудь лулзов вроде того, что в EULA VPN-сервиса было указано, что компания оставляет за собой право разбора трафика для анализа 🤣

@kurator88 @umnik @max
Занятно.

Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.

Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.

27 March at 14:03 | Open on lor.sh
Max

@skobkin
Может в ответе сервера понижали версию HTTPS (и передавали не самые защищенные алгоритмы как поддерживаемые сервером), за счет чего трафик и легко поддавался расшифровке?
@kurator88 @umnik

27 March at 14:50 | Open on lor.sh
🅴🆁🆄🅰 🇷🇺
@Max какой из них? RC2, IDEA, Triple DES?
они все достаточно стойкие были, чтобы вскрывать в лоб ради массовой слежки.

для взлома таких алгоритмов должна быть утечка бит секретного ключа из ядра ОС по side channel. или надо инжектироваться в процесс того приложения, которое snapchat, чтобы получить доступ к ключу.
27 March at 15:09 | Open on hub.hubzilla.de
Шуро
@skobkin @umnik @kurator88 @max Там перехват был на конкретные технические домены для аналитики. Я бы скорее предположил, что сами приложения слали туда данные без проверки сертификата вообще, как это порой в таких случаях бывает.
27 March at 15:31 | Open on friends.deko.cloud
Go Up