Здравствуйте, vsb, Вы писали:
vsb> BE>Собственно сабж. vsb> BE>Есть где-нибудь толковое описание mitm атаки владельцем впн?
vsb> Это невозможно в условиях повсеместного https.
Ты ведь слышал о внедренных сертификатах? Это не обязательно даже на уровне ОС делать, у браузеров свои списки корневиков. При очередном обновлении браузер может установить "правильный" сертификат, чтобы там где нужно могли все мониторить.
Здравствуйте, rudzuk, Вы писали:
vsb>> BE>Собственно сабж. vsb>> BE>Есть где-нибудь толковое описание mitm атаки владельцем впн?
vsb>> Это невозможно в условиях повсеместного https.
R>Ты ведь слышал о внедренных сертификатах? Это не обязательно даже на уровне ОС делать, у браузеров свои списки корневиков. При очередном обновлении браузер может установить "правильный" сертификат, чтобы там где нужно могли все мониторить.
"Там где нужно" != "Владелец ВПН". Если ты преступник уровня Саддама Хусейна и за тобой охотится АНБ, я рекомендаций давать не буду, там могут и сертификат внедрить, и у гугла попросить выпустить специально для них отдельный. Если ты обычный Джо и пользуешься обычным protonvpn, то этого не произойдёт. Максимум, что может произойти — владелец VPN подменит сертификат и у тебя браузер откажется открывать сайт. Пользы в этом действии примерно ноль, а репутационные потери максимальны, поэтому этого тоже не произойдёт.
Здравствуйте, vsb, Вы писали:
vsb> "Там где нужно" != "Владелец ВПН".
Владелец VPN находится на вполне конкретной территории и подчиняется ее законам. Некоторые территории входят в разведовательный альянс "Пять глаз", например. Зачем охотиться за каждым по отдельности, когда можно просто контролировать крупные узлы обмена трафиком, и пылесосить все, что попадется. Ну а дальше с этой "бигдейтой" будут работать аналитические алгоритмы.
vsb> Максимум, что может произойти — владелец VPN подменит сертификат и у тебя браузер откажется открывать сайт. Пользы в этом действии примерно ноль, а репутационные потери максимальны, поэтому этого тоже не произойдёт.
Если тебе интересно, можешь погуглить, как, позиционировавшие себя анонимными, VPN сервисы спокойненько ведут логи. И выяснилось это только в результате утечки, этих самых логов. Репутация? Ну да, ну да...
Здравствуйте, rudzuk, Вы писали:
vsb>> "Там где нужно" != "Владелец ВПН".
R>Владелец VPN находится на вполне конкретной территории и подчиняется ее законам. Некоторые территории входят в разведовательный альянс "Пять глаз", например. Зачем охотиться за каждым по отдельности, когда можно просто контролировать крупные узлы обмена трафиком, и пылесосить все, что попадется. Ну а дальше с этой "бигдейтой" будут работать аналитические алгоритмы.
Пылесосить это одно, осуществлять активную атаку это другое.
vsb>> Максимум, что может произойти — владелец VPN подменит сертификат и у тебя браузер откажется открывать сайт. Пользы в этом действии примерно ноль, а репутационные потери максимальны, поэтому этого тоже не произойдёт.
R>Если тебе интересно, можешь погуглить, как, позиционировавшие себя анонимными, VPN сервисы спокойненько ведут логи. И выяснилось это только в результате утечки, этих самых логов. Репутация? Ну да, ну да...
Логи содержат только метаданные. Считать, что впн-сервис не будет логгировать — наивно. Считать, что впн-сервис не будет осуществлять активную MITM-атаку в кооперации с АНБ, ставящую под удар многомиллиардную корпорацию — разумно.
Здравствуйте, vsb, Вы писали:
vsb> Логи содержат только метаданные. Считать, что впн-сервис не будет логгировать — наивно.
Сервисы, как бы, мамой клялись, что ни-ни (они же анонимные). Это к вопросу о репутации.
vsb> Считать, что впн-сервис не будет осуществлять активную MITM-атаку в кооперации с АНБ, ставящую под удар многомиллиардную корпорацию — разумно.
А вот это — наивно. Многомиллиардная Lenovo поставляла буки с собственным установленным корневиком. И таки що? Та ни що. Когда за руку поймали, они что-то промямлили невнятно, и попросили понять и простить. Репутация, ага.
Здравствуйте, rudzuk, Вы писали:
vsb>> Логи содержат только метаданные. Считать, что впн-сервис не будет логгировать — наивно.
R>Сервисы, как бы, мамой клялись, что ни-ни (они же анонимные). Это к вопросу о репутации.
Я не про репутацию сервиса. Я про репутацию того, кто будет выписывать фейковые сертификаты. Там уже репутация другого порядка.
vsb>> Считать, что впн-сервис не будет осуществлять активную MITM-атаку в кооперации с АНБ, ставящую под удар многомиллиардную корпорацию — разумно.
R>А вот это — наивно. Многомиллиардная Lenovo поставляла буки с собственным установленным корневиком. И таки що? Та ни що. Когда за руку поймали, они что-то промямлили невнятно, и попросили понять и простить. Репутация, ага.
Они же не скрывали это ни от кого. Я сейчас работаю в компании, которая свой корневой ставит при установке ПО, ну так вот у нас софт работает, что поделаешь. Я даже подозреваю, зачем леново это делала. Не очень понимаю твоей логики, если честно. При чём тут леново, впн и тд. Сертификат леново не является доверенным во всех браузерах. У всех доверенных центров есть определённые правила, за нарушение которых есть большие шансы вылететь из доверенных и прецеденты уже были.
Здравствуйте, rudzuk, Вы писали:
R>А вот это — наивно. Многомиллиардная Lenovo поставляла буки с собственным установленным корневиком. И таки що? Та ни що.
Здравствуйте, vsb, Вы писали:
vsb> R>А вот это — наивно. Многомиллиардная Lenovo поставляла буки с собственным установленным корневиком. И таки що? Та ни що. Когда за руку поймали, они что-то промямлили невнятно, и попросили понять и простить. Репутация, ага.
vsb> Они же не скрывали это ни от кого.
Что значит не скрывали? Они пользователей предупредили об этом? Нет. Значит скрывали.
vsb> Я сейчас работаю в компании, которая свой корневой ставит при установке ПО, ну так вот у нас софт работает, что поделаешь. Я даже подозреваю, зачем леново это делала.
Когда установка сертификата происходит с согласия пользователя, это одна ситуация (правда, тут как-то нужно быть уверенным, что пользователь вообще в курсе чем ему это может угрожать). Когда же это делается не явно, это организация бэкдора. Lenovo это делала для:
...прослушивает трафик, анализирует поисковые запросы пользователя и вставляет рекламу на страницы сторонних сайтов.
vsb> Не очень понимаю твоей логики, если честно. При чём тут леново, впн и тд. Сертификат леново не является доверенным во всех браузерах.
Логика проста. Если бы компании заботились о репутации, то не занимались бы подобными вещами т.к. в случае огласки это серьезные репутационные потери. Однако, штука в том, что сейчас основная масса пользователей просто не в состоянии понять всех угроз подобных действий, а от бурления в уголке айтишной тусовки ни холодно ни жарко. То есть, репутационные потери минимальны.
vsb> У всех доверенных центров есть определённые правила, за нарушение которых есть большие шансы вылететь из доверенных и прецеденты уже были.
Угу. А еще есть патриотический акт обязывающий компании сотрудничать с разведкой и запрещающий разглашать факт сотрудничества. Насколько тесным может быть это сотрудниество можно только догадываться, но я бы ничего не исключал.
Здравствуйте, Sharov, Вы писали:
S> R>А вот это — наивно. Многомиллиардная Lenovo поставляла буки с собственным установленным корневиком. И таки що? Та ни що.
S> Об чем речь, ссыль можно?
r> Логика проста. Если бы компании заботились о репутации и считали подобные приемы наносищими урон, то не занимались бы подобными вещами т.к. в случае огласки это серьезные репутационные потери. Однако, штука в том, что сейчас основная масса пользователей просто не в состоянии понять всех угроз подобных действий, а от бурления в уголке айтишной тусовки ни холодно ни жарко. То есть, репутационные потери минимальны.
