Что вы ощущаете, когда видите замок на окне браузера, указывающий на то, что ваше общение с банком или адресатом электронной почты происходит по безопасному каналу? Вы считаете, что защищены, когда работаете в сети через защищенное соединение?
В криптографии есть такое понятие, как MITM-атака (человек-в-середине-атака), которая является одной из форм активного подслушивания, когда злоумышленник может проводить независимую связь с жертвами и передавать сообщения между ними, заставив их поверить, что они говорили друг с другом напрямую через защищенную связь, в то время как на самом деле вся цепочка находилась под контролем злоумышленника, Но что делать, если правительство вместо того, чтобы бороться с MITM-хакерами, само стало таким «человеком-в-середине»?
* Обратите внимание, что информация о стране (США в данном примере), показанная браузерами, относится к корпорации, которая получила сертификат («Бэнк оф Америка»), а не к расположению Центра Сертификации (ЦС).
«Extended Validation» сертификаты (EV) (сертификаты, подтверждающие, что сайт прошел специальный аудит), обозначаются зеленой полосой в большинстве современных браузеров. В чисто гипотетическом примере, правительство может заставить инфраструктуры открытых ключей (PKI) (современная система управления криптографической защитой) выдать им доверенный сертификат, скажем сертификат сайта www.amazon.com. Затем оно перенаправит трафик с www.amazon.com на подконтрольный сайт, на котором уже установлены поддельные сертификаты. Ваш браузер после этого сообщит, что все хорошо, зеленая полоса и маленький замочек успокоят вас, покажут, что на этом сайте надежно и безопасно.
Исследователи Крис Согоян и Сид Штамм сообщили о том, что правительства в скором времени могут получить законное право на использование фальсифицированных сертификатов.
Это означает, что перехватчики, которые будут иметь возможность получать поддельные сертификаты от любых ЦС, смогут успешно выдавать себя за любой зашифрованный сайт, который вы захотите посетить. И у вас не будет возможности узнать, что вы находитесь совсем не там, куда собирались. Большинство браузеров молча примут новые сертификаты от любой действующей власти. Перехватчик с поддельными сертификатом сможет получить доступ к информации пользователя, вести переговоры от его имени, наблюдение и запись всего зашифрованного трафика, пока пользователь пребывает в полном неведении о том, что происходит.
Есть много поставщиков товаров, помогающих правительствам шпионить, но «HACKING TEAM» и «Packet Forensics” – наиболее значимые.
Вот обзор HACKING TEAM:
Система дистанционного управления V6 (RCS) является ведущим комплексом, включающим OS платформы для дистанционного нападения, заражения и установления контроля над целевыми компьютерами и мобильными телефонами. RCS полностью поддерживает XP, Vista, 7, MacOS, iPhone и Symbian, RCS невидим для большинства систем защиты, доступных на рынке. RCS используется правоохранительными органами по всему миру с 2003 года для мониторинга разговоров в Skype, чатов, почты, Интернета, съемных носителей, зашифрованных сообщений, PGP, GSM ГЭП-слежения, GPS ГЭП-слежения, голосовых звонков и т.д.
Теперь обратим внимание на «Packet Forensics». Предлагаемое устройство 5-й серии, размером в 4 квадратных дюйма, перехватывает TLS и SSL с помощью MITM. Это устройство создано для правоохранительных органов и разведывательных служб в США и других странах, и предназначено для сбора зашифрованного SSL трафика на основе сфальсифицированных сертификатов, полученных от ЦС.
Вот отрывок из рекламы «Packet Forensics»: "устройства предназначены для подключения к любым сетям, при этом они не вызывают никаких заметных прерываний, что позволяет перехватывать электронную почту, VoIP (интернет-телефония), и другие виды трафика, даже если трафик передается по защищенному каналу. Для использования нашего продукта пользователи имеют возможность импортировать копии любых законных ключей (возможно, полученных во внесудебном порядке), либо они могут генерировать `Двойников[...]« Ваши следователи будут собирать свои лучшие доказательства, в то время как пользователи будут убаюкивать себя ложным чувством безопасности Интернета, электронной почты или VOIP шифрования[...] Устройство может быть установлено и настроено в течение пяти минут, к тому же оно одноразовое – то есть меньше риска для персонала».
Как это влияет на нас? Многие правительства регулярно заставляют компании оказывать им помощь в наблюдении. От интернет-провайдеров и телекоммуникационных компаний часто требуется нарушать неприкосновенность частной жизни своих клиентов путем предоставления правительству сообщений их электронной почты, телефонных звонков, отчетов о запросах поисковых систем, финансовых операций и информации о месторасположении.
В связи с опасностью появления Большого Брата в вашем браузере, старший технолог EFF (Electronic Frontier Foundation) Сет Шон советует: «HTTPS не устраняет этой угрозы. Мы провели исследования, чтобы разобраться в этой проблеме и выяснили, что есть несколько плагинов Firefox, которые используют не только ЦС-сертификаты для проверки ключей веб-сайтов, а также другую доступную информацию — например,Monkeysphere, CertPatrol и Petnames. Общая проблема заключается в том, что сейчас эти решения зачастую требуют значительных усилий со стороны пользователя. Но при определенных обстоятельствах это может оказаться неизбежным».
Электронная слежка, возможно, идет и за вами. Ведь если такие устройства, как «Packet Forensics» доступны сотрудникам правоохранительных органов и национальных спецслужб, то можете быть уверены, кибер-преступники тоже используют их. Можно сказать, что эти устройства используются как плохими парнями, так и хорошими, если только шпионов можно назвать «хорошими».
По данным Cisco сейчас 35 миллиардов устройств подключены к Интернету. Сколько из них в настоящее время на прослушивании?
В следующий раз, когда вы увидите замочек в вашем браузере, не будьте столь доверчивы.
http://www.networkworld.com/community/node/64074
