1. 威客安全首页
  2. 安全资讯

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信…

*本文并无任何影射,想歪的请自行面壁。



文前阅读


哈萨克斯坦,奉行大国平衡外交政策,与俄罗斯、美国和中国一直发展友好外交关系,经济实力居于中亚第一。

哈萨克斯坦的大国平衡外交政策充分动员其外交资源,以地理位置优势、能源优势为杠杆,巧妙在俄罗斯、美国与中国之间达到微妙的平衡,实现国家利益最大化。

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

按地图一比较,还是蛮大的


正文


关键点


  • 哈萨克斯坦政府要求其公民安装数字证书(HTTPS)

  • 这项要求是以改善国家安全为借口

  • 安装证书允许政府拦截和解密其所想要的任何网站的流量

  • 公民必须在拦截网络流量或面临阻止访问最受欢迎的网站(例如Google和Facebook)之间进行选择

  • 这种大规模监视策略将产生许多意想不到的负面后果,这些后果将在未来几年内得到体验。


目前,越来越多的企业在拦截其网络上的加密流量,但由于加密网络流量超过90%,因此必须检查所有流量,以确保不会有员工将恶意软件下载到公司笔记本电脑上。

虽然许多单位允许一些加密流量绕过安全过滤器(例如员工访问银行和医疗保健站点),但是由于恶意软件经常使用加密通信流量来逃避安全检测,因此拦截Web浏览器的流量过于影响用户体验。


在不解密Web流量的情况下,诸如防病毒扫描程序和数据泄漏防护(DLP)工具之类的产品几乎无用,因为无法解密流量。


最重要的是,无论是网络犯罪分子试图窃取数据还是国家政府试图进行大规模监视,直接控制终端用户设备(如笔记本电脑和手机)都比拦截加密流量要简单。


因此,为了能够合法地拦截加密流量,必须在相关设备上安装可信的数字证书,毕竟没有证书破译https流量太困难了。


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


而多年来,哈萨克斯坦国已要求Mozilla火狐将国家根证书添加到其的Firefox浏览器中的其他根证书列表中。


但由于担心政府过度使用和误用,Mozilla一直以充分的理由拒绝。毕竟许多根证书被用于攻击的例子很多,后果便是允许任何人窥探其他人的加密网络流量。


然而,上周,哈萨克斯坦放弃了这些要求,而是反其道而行之,我控制不了产品,我控制人不就得了,因此简单地指示其公民手动安装国家安全证书


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

▲由哈萨克斯坦安全证书签署的Google.com


你可能会惊讶地看到绿色锁子的标志,并问自己为什么没有显示安全警告。


现在的浏览器会去寻找流氓证书和并进行恶意拦截,但是,当有人安装根证书时,他们会明确告诉他们的浏览器他们信任新的根证书随后签署的任何证书。因此,浏览器没有理由不相信哈萨克斯坦根证书签署的www.google.com的中间证书。


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


What happen?


类似的行为首次发现于2019年7月18日,哈萨克斯坦的一些公民开始收到其ISP的通知,要求他们安装安全证书或面临网络流量中断。


欧洲电信运营商Tele2向其客户发送了SMS消息,并创建了一个网页来解释如何安装“安全证书”。

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

▲从Tele2发送到哈萨克斯坦的一个客户的SMS消息


可见http://qca.kz的网站提供了一个简单的页面,允许访问者自动或手动安装由Qaznet签名的所需根证书。虽然在撰写本文时该页面无法访问,但Google的缓存和翻译版本可以在下图中可看到。

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

▲在qca.kz上托管的原始站点(警告不支持IE)


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

网站的翻译版本,包含有关如何安装证书的基本说明


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

有关如何安装安全证书的Tele2说明


公民被告知他们必须在他们拥有的每台设备上手动安装证书。

并针对iOS和Android以及Chrome,Firefox和IE Web浏览器提供了单独的说明。

而每个ISP(互联网服务提供商)都负责联系自己的客户并提供如何安装证书的说明,如下

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

哈萨克斯坦电信提供商及其有关安装新根证书的说明的链接


* Activ似乎正在利用自己的根证书kcell-ca.crt来执行SSL拦截。


通过安装Qaznet根证书,每个公民的设备或Web浏览器都将信任任何中间证书颁发机构。在所有观察到的案例中,中间证书都被命名为“安全证书”。

而这些中间证书均被用于签署政府希望拦截的站点的伪造证书。


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

哈萨克斯坦政府的数字证书“证书信任链”


受影响的网站


并非所有网站都被哈萨克斯坦的互联网服务提供商拦截。实际上,该列表非常小。其他报告指出,只有该国首都的公民才能收集他们的流量。因此,确定目标列表上的确切位置并不容易。为了观察拦截,需要在受影响的ISP的网络上提出请求。为此,有几个选择:

  • 在本地云提供商中建立虚拟服务器

  • 寻找已被拦截的VPN

  • 找一个开放的网络代理,代替发送流量


这里进行了第三项:找到一个开放的代理(通常很慢且不可靠)。因此,在Alexa排名前1000位的网站以及在哈萨克斯坦托管的50个最受欢迎的新闻和社交媒体平台上,通过使用一些SSL / TLS测试工具,发现被截获的网站如下:

  • android.com

  • facebook.com

  • fb.com

  • g.co

  • goo.gl

  • google.com

  • instagram.com

  • googleusercontent.com

  • mail.ru

  • ok.ru

  • twitter.com

  • vk.com

  • vkontakte.ru

  • youtu.be

  • youtube.com

都是流行网站,并且其中截取google.com,android.com和mail.ru从而可以允许哈萨克斯坦政府拦截并阅读互联网上一些最受欢迎的消息服务。


奇怪的是,当执行扫描时,一些非常流行的消息传递和社交媒体网站,例如WhatsApp,Telegram和WeChat都没有被主动拦截。


哈萨克斯坦公民面临的威胁是,一旦他们安装了国家安全证书,政府就可以删除或添加网站到拦截列表,而不会向公民发出明显的通知。


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

▲由哈萨克斯坦安全证书拦截的Google


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

没有拦截的标准Google证书


随大流?


这不是政府第一次试图拦截其公民的加密通信,但这是第一次如此光明正大的尝试拦截。


据报道,2014年8月,xx支持从xx截获谷歌的SSL / TLS流量。这是在一年前拦截到Github的流量之后。 

然而,与最近哈萨克斯坦的举动相比,xx没有在最终用户的设备上安装根证书。因此,在发生拦截时始终存在安全警告,如图9所示。

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


根据哈萨克斯坦安全证书推广的成功情况,我们可能会看到世界上其他国家实施类似的政策。


自愿还是强制?


截至目前,每个哈萨克斯坦公民的将遵循个人决定是否安装此证书。选择不安装证书,或小白用户在试图访问政府希望窃听的任何站点时,将面临浏览器警告。


许多用户可能会点击他们看到的警告,而不知道该如何处理,最后导致国家允许访问他们的加密通信。


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


如果用户未安装政府控制的数字证书,则会显示错误的消息和并导致如下流程。

  1. 用户尝试浏览受控网站(例如google.com),并看到安全警告。

  2. 单击“高级”允许用户接受异常,从而忽略警告。

  3. 用户可以正常浏览网站,尽管ISP可以访问所有加密流量以及受到政府所有监控。


因此,对于HTTPS的构造和功效,实际上应该作为常识进行推广。


随便提一下,HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议,网站采用 HSTS 后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


因此最好你也检查一下自己的浏览器数字证书是否与真实网站证书指纹一致,防止被恶意替换从而导致流量被监听。

https://www.grc.com/fingerprints.htm

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


而当年,诺基亚就这么干过。。(鸡翻,大概意思差不多)

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...


在哈萨克斯坦安装这个根证书并不是法律规定,事实上,政府官员说用户根本不需要安装证书。

当然,大多数公民实际上不太可能具备在他们拥有的所有设备上,完成将证书导入的技术能力。那些理解的人也很可能理解它意味着什么。


但是当用户访问被拦截的网站而他们没有安装国家的数字证书时会发生什么?


嗯,用户将看到的第一件事是他们的浏览器提供的安全警告。


他们将被迫做出两种选择之一:

  1. 注意警告,不再继续

  2. 忽略警告(接受此不受信任的证书)并继续访问该网站

可以合理地假设大多数不具备相关技术能力的用户会忽略警告并继续进行网络浏览。

而此时,他们的所有网络流量仍然被拦截和监控。(大概是连别人家的证书都不让请求所以导致只能走http通道了然后可以拦截?不是很懂这个逻辑)


这带来了另外两个重要问题,首先这些用户连安全警告都无视,那么就别想指望他们认真对待任何安全警告。

其次,一旦安装了这个根证书,几乎肯定不会删除它。由于Qaznet证书的寿命很长(它在2046年到期),攻击者可能会窃取私钥并开始使用它来攻击哈萨克斯坦公民长达三十年。


最后最大的问题,这些举措还是不可能限制一些端对端,强加密的聊天软件。


如果哈萨克斯坦的领导者要引入一项法律,要求将其根证书安装到任何新设备上,这就不足为奇了,从而解决了如何在非技术用户的设备上加载证书的挑战。


看完我只想说,这类技术和规划,筹备肯定很久,只要别乱搞事,日后大概率不会出现。


哈萨克斯坦的国家数字根证书和中间证书请见参考链接:

https://www.f5.com/labs/articles/threat-intelligence/kazakhstan-attempts-to-mitm-itscitizens


下面是让科技公司开后门用于监听的,对比对比。(其实我觉得没法比)


详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

▲点击图片

详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信...

周末愉快👇

原文始发于微信公众号(黑鸟):详情:哈萨克斯坦要求公民安装国家级数字证书, 只为监听网络通信…

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X