Email or username:

Password:

Forgot your password?
All posts Alexander's posts Post Back to profile
Alexander Ivanov

Гики, активисты и федерачане рассуждают о том насколько бесполезны и опасны сертификаты МинЦифры. Как это плохо и чем это можно обойти.

Тем временем глубинный (в прямом смысле) народ их спокойно ставит на личные устройства при первом же принуждении от банка/госорганов/итд. В качестве примера можно привести тред, созданный @kurator88, что сводится к "мне нечего скрывать, я схавал".

14 Feb 2023 at 18:19 | Open on c.im
29 comments
Google is EVILL

@saiv46 а впрочем не плевать ?
поставил чел сертификат и пускай

лично я его не буду ставить,но и орать не буду что не надо ставить. все индивидуально. но по возможности постараюсь обходить его юзание. если все туго то виртуальная машина чисто под определенные сайты с этим сертификатом и никуда больше. только для спербанка надо пока что его мне

@kurator88

14 Feb 2023 at 18:22 | Reply | Open on mas.to
Ваня

@dox а я везде буду при возможности говорить о том, что межнациональные организации за время своей работы сделали больше для интернета в целом и меньше ошибок за всю историю чем русское правительство за один месяц делает постоянно.

Поэтому вопрос не в том, что надо людей ограждать от использования, надо объяснять к чему это может привести. Индивидуально может быть только если у тебя в голове есть понимание как это работает и к чему может привести. Без этого понимания никакого индивидуального нет, есть только манипулятивное

@saiv46 @kurator88

@dox а я везде буду при возможности говорить о том, что межнациональные организации за время своей работы сделали больше для интернета в целом и меньше ошибок за всю историю чем русское правительство за один месяц делает постоянно.

Поэтому вопрос не в том, что надо людей ограждать от использования, надо объяснять к чему это может привести. Индивидуально может быть только если у тебя в голове есть понимание как это работает и к чему может привести. Без этого понимания никакого индивидуального нет,...

14 Feb 2023 at 18:54 | Reply | Open on mastodon.ml
Kurator Peaceful

@bano @dox @saiv46

>надо объяснять к чему это может привести

к чему ? вот бы кто-то составил адекватную модель рисков что может случится

14 Feb 2023 at 19:06 | Reply | Open on toot.io
Vad fan?

@kurator88 @bano @dox @saiv46 Как вариант, чтение всего https траффика внутри РФ и более широкие возможности для Роскомпозора. Например, додумаются поставить триггер на слово “хуйло” в пакетах и ты можешь потом очень долго доказывать, что совсем другое хуйло имел в виду. Могут замутить honeypots с подменой реальных сайтов на поддельные для либерах. Кто-то может замутить подобное для банков, бирж или еще чего-то.

Когда у людей есть возможности (а в мобильных операторах, банках, провайдерах, госах и т. д. работает масса всякого говна), что угодно может быть, а VPN и хотя бы базовые навыки сетевой безопасности есть очень далеко не у каждого.

Ну и вообще, чем больше возможностей у государства, тем хуже людям. Исключений нет.

@kurator88 @bano @dox @saiv46 Как вариант, чтение всего https траффика внутри РФ и более широкие возможности для Роскомпозора. Например, додумаются поставить триггер на слово “хуйло” в пакетах и ты можешь потом очень долго доказывать, что совсем другое хуйло имел в виду. Могут замутить honeypots с подменой реальных сайтов на поддельные для либерах. Кто-то может замутить подобное для банков, бирж или еще чего-то.

14 Feb 2023 at 19:20 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

Могу в соседней от тебя квартире поставить специальное устройство, которое будет слушать через стену какие ты клавиши нажимаешь. Есть такая атака, и она эффективна, это не я сейчас на ходу выдумал.

Слушать всех всех будут ? Каждый каждый пакет на каждый каждый сервер ? Каждый каждый день ?

14 Feb 2023 at 19:23 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox

Могу в соседней от тебя квартире поставить специальное устройство, которое будет слушать через стену какие ты клавиши нажимаешь. Есть такая атака, и она эффективна

Не можешь, ты даже не знаешь, где я живу)) Не говоря о расходах на оборудование, да еще и надо очень сильно напрячься, чтобы его достать. А тут халява, весь траффик как на ладони.

Когда конкретно ты попадешь под раздачу, тот факт, что сработала вероятность в 0.01% тебя вряд ли утешит. Закон больших чисел: кто-то неизбежно попадет и нет никаких гарантий, что это будешь не ты.

@kurator88 @saiv46 @bano @dox

Могу в соседней от тебя квартире поставить специальное устройство, которое будет слушать через стену какие ты клавиши нажимаешь. Есть такая атака, и она эффективна

Не можешь, ты даже не знаешь, где я живу)) Не говоря о расходах на оборудование, да еще и надо очень сильно напрячься, чтобы его достать. А тут халява, весь траффик как на ладони.

14 Feb 2023 at 19:27 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

>А тут халява, весь траффик как на ладони.

А трафик прозрачно без специального оборудования раскладывается ?
А каждый пакет проверить это тоже очень очень легко делается ?

14 Feb 2023 at 19:28 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox Если ты работаешь там где надо — абсолютно прозрачно. А говна “там где надо” хватает и затраты для них будут околонулевые. Я, естественно, не про Васю с wireshark на кулхацкерском Kali Linux говорю))

14 Feb 2023 at 19:31 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

так кто-то специально будет меня разрабатывать, и этим специальным органам будет легче меня посадить потому что у меня есть сертификат ? А так бы им сложно меня было посадить, или как ?

14 Feb 2023 at 19:32 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox Еще раз: конкретно тебя никто не будет разрабатывать, но случайно попасть под руку можешь. Что-то может триггернуть и на начало разработки (не факт даже, что это не будет ложное срабатывание).

А от того, что в отношении конкретно тебя реализовалась довольно низкая вероятность будет даже обиднее))

14 Feb 2023 at 19:36 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

в стране, в условиях нехватки денег и ресурсов начнут слушать КАЖДЫЙ пакет КАЖДОГО человека чтобы найти там слово _хуйло_ и этого человека посадить ? Я правильно понял твой посыл ?

14 Feb 2023 at 19:37 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox

Нет. Написанная кривыми руками недоучки-фрилансера (ибо все деньги попилили и осталось только на него) будет слушать хер пойми как рандомные пакеты, увидит в каком-то из них слово “жопа”, прочтет его как “хуйло” и подаст сигнал товарищу майору, который если надо будет и до членства в ИГ дело доведет. Устраивает такой сценарий, хочется участвовать в такой лотерее?

Вполне реальный вариант, кстати.

14 Feb 2023 at 19:42 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

ты когда последний раз здоровье проверял ? Онкомаркеры \ узи внутренних органов итд ?

14 Feb 2023 at 19:42 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox

Намек понял, но на хера еще и дополнительные факторы риска?

14 Feb 2023 at 19:44 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

Я надеюсь, что это не слишком личный вопрос. У меня тетя врач. Вот она почти каждый день людям говорит что у них рак. У кого-то хорошая выживаемость, у кого-то плохая. Мне всегда интересно, люди которые боятся выдуманного оборудования которое начнет их слушать - они о своем здоровье заботятся вообще или нет ?

Это все просто очень сильно похоже на невроз, когда от страха хочется чтобы от тебя хоть что-то зависело. Ну хоть сертификаты.

14 Feb 2023 at 19:46 | Reply | Open on toot.io
Vad fan?

@kurator88 @saiv46 @bano @dox

Да мне насчет прослушки траффика не страшно, кстати. И я тоже в домике с VPN, DNS-запросами через DoT и т. п.

Я лишь о том, что говорить о том, что риски, связанные с возможной прослушкой https-траффика пренебрежимо малы для всех примерно то же самое, что отрицать возможность в один прекрасный день обнаружить себя в онколечебнице в то время как в ней почти каждый день кто-то себя обнаруживает. Так что да, хорошая аналогия на самом деле.

14 Feb 2023 at 19:53 | Reply | Open on pl.starnix.network
Kurator Peaceful

@VikingKong @saiv46 @bano @dox

Я таки нашел эту картинку, наконец.
Я примерно так вижу истерику вокруг сертификатов.

Люди крутят пальцем у виска, удивляясь отчего я не боюсь терроризма.
14 Feb 2023 at 19:59 | Reply | Open on toot.io
Alexey Skobkin

@kurator88 @VikingKong @saiv46 @bano @dox
Сначала хотел бустануть о боязни терроризма, а потом весь тред почитал.

Помню прост как народ радовался что РКН Telegram заблочить не мог нормально и кричали какие безрукие в госорганах работают.
А потом через через пень-колоду, но выкатили ТСПУ. Ну чтобы внешним угрозам противодействовать. Не очень было понятно зачем для этого оборудование у местных провайдеров, а не на границах, но безопасность же.

А потом чот твиттер стал тормозить. И гуглодоки в один день перестали работать.

И эти железки уже сейчас судя по спекам частично трафик разбирают.
Можно, конечно, сказать, что "ну так сейчас все разобрать не могут". Но когда государство чего-то хочет - оно часто этого добивается. И тех же РДПру тоже ведь купили Ростелекомом уже.

Так что я бы сильно не удивлялся если через несколько лет частично (скажем, до интересных неподконтрольных ресурсов) трафик будут разбирать в случае если MITM удался.

Тем более у нас есть замечательный пакет поправок Яровой-Озерова (второму повезло, что про него забыли), который обязывает трафик писать каким бы он ни был. И пусть три года не осиливают, но частично уже, вроде, исполняют.

Так что такая себе перспектива.

Терроризма бояться правда странно, но государственный зонд во все свои коммуникации вставлять не хочется.

@kurator88 @VikingKong @saiv46 @bano @dox
Сначала хотел бустануть о боязни терроризма, а потом весь тред почитал.

Помню прост как народ радовался что РКН Telegram заблочить не мог нормально и кричали какие безрукие в госорганах работают.
А потом через через пень-колоду, но выкатили ТСПУ. Ну чтобы внешним угрозам противодействовать. Не очень было понятно зачем для этого оборудование у местных провайдеров, а не на границах, но безопасность же.

14 Feb 2023 at 22:23 | Reply | Open on lor.sh
Kurator Peaceful

@skobkin @VikingKong @saiv46 @bano @dox

Заголовки ip пакетов писали в логи и хранили 2 года ещё в далёких 2000 году, я тогда студентов работал у провайдера локального. Но я не знаю историй когда за это кого-то посадили.

Ты боишься что твой трафик до сбера расшифруют и запишут или что конкретно ради тебя будут мутить сложную схему с подделкой сертификатов на все домены чтобы ты не узнал правду о ядерной войне ( есть и такая версия в ветке ).

14 Feb 2023 at 22:40 | Reply | Open on toot.io
Alexey Skobkin

@kurator88 @VikingKong @saiv46 @bano @dox
К счастью, у меня нет трафика до Сбера.

Тем не менее, я не хочу добровольно вставлять себе анальный зонд.

Стоит вспомнить ту самую фразу о том, что не бывает бэкдоров только для хороших парней.

Я могу относительно доверять сущности, существование которой зависит от того, что она не позволит себе выпустить кому-то серт для MITM. Но вот государственной службе я доверять не хочу. Их за факапы-то никто не тронет, а за умышленные действия - тем более.

И к политанам, например, в той же UK, которые очень не любят шифрование я так же отношусь.

@kurator88 @VikingKong @saiv46 @bano @dox
К счастью, у меня нет трафика до Сбера.

Тем не менее, я не хочу добровольно вставлять себе анальный зонд.

Стоит вспомнить ту самую фразу о том, что не бывает бэкдоров только для хороших парней.

Я могу относительно доверять сущности, существование которой зависит от того, что она не позволит себе выпустить кому-то серт для MITM. Но вот государственной службе я доверять не хочу. Их за факапы-то никто не тронет, а за умышленные действия - тем более.

14 Feb 2023 at 22:50 | Reply | Open on lor.sh
Kurator Peaceful

@skobkin @VikingKong @saiv46 @bano @dox

Ты сейчас это пишешь с полностью свободного компьютера ? Где исходники ОС и все схемы плат в открытом доступе ? Последний раз в x86 наличие бэкдоров лет 8 назад достоверно доказывали, если я правильно помню.

Это условный вопрос привычки - приувеличивать одни риски и приуменьшать другие.
Скан твоего пасспорта стоит 5000 рублей, и моего тоже.

Я нахожу боязнь сертификатов проф.деформацией айтишников.

14 Feb 2023 at 23:01 | Reply | Open on toot.io
Alexey Skobkin

@kurator88 @VikingKong @saiv46 @bano @dox
Тем не менее во-первых эти бэкдоры если есть, то скорее у того, кому я практически совсем не интересен и их применение скорее всего не очень дешево.
А вот раскатывание массовой (пусть даже выборочной) слежки на своей территории в пересчёте на пользователя и возможность использовать ее в любой момент уже вполне себе не так невероятно.

Я не преувеличиваю риски. Я не хочу упрощать вставку мне зонда.

Например, если предположить, что у меня есть переписка о том как я люблю дрочить: стоя или вприсядку, то шантажировать меня этим не получится. Тем не менее не понимаю почему я должен хотеть чтобы те же переписки читал кто угодно.

@kurator88 @VikingKong @saiv46 @bano @dox
Тем не менее во-первых эти бэкдоры если есть, то скорее у того, кому я практически совсем не интересен и их применение скорее всего не очень дешево.
А вот раскатывание массовой (пусть даже выборочной) слежки на своей территории в пересчёте на пользователя и возможность использовать ее в любой момент уже вполне себе не так невероятно.

14 Feb 2023 at 23:11 | Reply | Open on lor.sh
Digitual :ablobcatwave:

@kurator88 @skobkin @VikingKong @saiv46 @bano @dox например у меня в последнее время усилился спам трафик, а ещё за январь месяц позвонили два майора полиции, которых я послал.

15 Feb 2023 at 0:23 | Reply | Open on lor.sh
Kurator Peaceful

@Parabrando @skobkin @VikingKong @saiv46 @bano

Не до конца понял как это связано с сертификатами. Звонки майоров это про то как активно твой номер светится в базах.

15 Feb 2023 at 6:11 | Reply | Open on toot.io
ChE

@kurator88 в нельзяграмме был популярный звук для рилс той весной: «Да боже мой, кому вы обосрались». Прастити.

15 Feb 2023 at 0:23 | Reply | Open on mastodon.ml
hardworm ☭

@VikingKong @saiv46 @bano @dox @kurator88 каждый пакет каждого абонента в РФ и так пишется по закону яровой уже пару лет. Даже уже документация к этому оборудованию утекала в wikiLeaks (или на wikiLeaks лежит документация по новому сорм...). Что поменялось то?

14 Feb 2023 at 20:18 | Reply | Open on lor.sh
Kurator Peaceful

@hardworm @VikingKong @saiv46 @bano @dox

Раньше не знали что я пишу мутин пуйло а теперь узнают ( я не могу все ещё решить для себя дидему ругательства в сети, приличные люди все же )

14 Feb 2023 at 20:23 | Reply | Open on toot.io
hardworm ☭

@kurator88 @VikingKong @saiv46 @bano @dox и что? Не возьмут на гос. службу? Не возьмут в ряды ФСБ? Не позволят от имени императора бороться с ересью?

В РФ наверное доли процентов людей, которым такое как-то может навредить. Если конечно вообще может такое навредить.

Легкой палкой не назвать - проще VK за экстремистский трек кого-то за жопу взять.

14 Feb 2023 at 20:31 | Reply | Open on lor.sh
Ваня

@kurator88 модель рисков такова: при установке русского рутого сертификата он становится равным со всеми другими сертификатами. То есть один и тот же сайт сможет быть доступен по 2м цепям сертификатов. И все DoH идут лесом и больше ни от чего не защищают. Последней линией защиты остаются pinned сертификаты и прошивка отпечатков ключей по dns. А dns прекрасным образом оказывается нешифруемым и не верифицируемым протоколом, в котором тебе буквально может ответить любой.

В такой модели ты шифрованию канала доверяешь только если доверяешь создателю сертификата. И если европейскому сертификату я могу доверять по причине "они потеряют кучу денег и репутации". В России же ни о какой репутации речи не идёт. Поэтому любой приказ от "следить за всем https трафиком в тихую" до "пересылать все запросы с Google.com на православное зеркало" может быть выполнен вообще без каких-либо проблем.

Поэтому себе я сертификат ставить не буду.

@dox @saiv46

@kurator88 модель рисков такова: при установке русского рутого сертификата он становится равным со всеми другими сертификатами. То есть один и тот же сайт сможет быть доступен по 2м цепям сертификатов. И все DoH идут лесом и больше ни от чего не защищают. Последней линией защиты остаются pinned сертификаты и прошивка отпечатков ключей по dns. А dns прекрасным образом оказывается нешифруемым и не верифицируемым протоколом, в котором тебе буквально может ответить любой.

14 Feb 2023 at 19:21 | Reply | Open on mastodon.ml
Go Up