当前位置: > 华宇总代理 > 正文 正文

主要浏览器阻止哈萨克斯坦政府伪造的安全证书

 

 
周三,谷歌、Mozilla和苹果封杀了哈萨克斯坦政府颁发的伪造根证书,以监视该国公民的在线活动。
 
据F5 Labs称,政府要求市民在所有设备上安装证书,并为Android、iOS、Chrome、Firefox和Internet Explorer Web浏览器提供了单独的说明。
 
当安装证书的用户试图使用Chrome、Firefox或Safari访问网站时,他们现在将看到一条错误消息,说明“Qaznet信任网络”证书不应该被信任。
 
据Chrome安全部门的Andrew Whalley称,谷歌已经将证书添加到CRLSet中,并将在其他基于Chrome的浏览器中屏蔽它。
 
Mozilla认证中心的项目经理Wayne Thayer说:“我们认为这是一个适当的回应,因为哈萨克斯坦的用户没有得到是否安装证书的有意义的选择,因为这种攻击破坏了一个关键的网络安全机制的完整性。”
 
据报道,苹果公司也采取了行动,以确保Safari不相信证书。
 
雷德蒙沉默
 
微软尚未就此事公开表态。
 
微软发言人在TechNewsWorld上由公司代表Katie Schick提供的一份声明中说:“问题中的证书颁发机构不是我们可信根程序中的可信CA。”
 
微软“很可能与政府有大量的合同,如果政府想要收购他们,他们的风险敞口通常要大得多,所以他们会更加谨慎,”Enderle集团的首席分析师Rob Enderle说。
 
他告诉《科技新闻世界》(TechNewsWorld),苹果和谷歌在政府中没有多少影响力。
 
善意吗?
 
伪造的根证书允许哈萨克斯坦政府通过中间人(MITM)攻击,绕过加密,访问公民的在线流量。
 
经过审查的Planet发现,伪造的证书在将流量转发到目的地之前,先对流量解密,然后用自己的密钥进行加密。
 
政府官员表示,此举旨在保护哈萨克斯坦用户免受网络威胁。
 
伪造的证书必须手动安装,因为浏览器默认不相信它。
 
经过审查的Planet于7月17日首次通过证书机制观察到对在线流量的拦截,华宇1956代理并于7月20日开始跟踪。拦截不是连续的,开始和停止了几次。
 
探测攻击
 
经过审查的Planet使用一种名为“HyperQuack”的技术检测到攻击,该技术涉及连接到TLS服务器,并发送握手,其中包含服务器名称指示(SNI)扩展中可能经过审查的域。
 
如果响应不同于正常的握手响应,则域被标记为潜在的审查。
 
至少有37个域名受到影响:
 
google.com、docs.google.com、mail.google.com等谷歌网站;
 
youtube.com;
 
android.com及相关Android网站;
 
instagram.com和相关的Instagram网站;
 
twitter.com;和
 
不同的Facebook网站。
 
只有当连接路径通过了拦截系统,连接才会被拦截。
 
但是,不管连接沿路径的方向如何,都会发生侦听。这使得拦截行为可以通过连接到哈萨克斯坦境内的TLS服务器来触发。
 
暴风雨在茶杯吗?
 
审查行星有两个虚拟私人服务器(VPS)客户在哈萨克斯坦。他们能够访问受影响的网站,而没有任何HTTPS拦截,这表明它不是通用的。
 
该组织指出,许多客户端甚至在连接到已知受影响的域时也没有收到注入的证书。
 
通过审查Planet的VPS客户端访问的6700多台TLS主机中,约有1600台被注入了证书,而从美国访问的TLS主机中,只有459台被注入证书。
 
哈萨克斯坦政府本月早些时候表示,正在测试的一项新安全系统导致该国首都努尔苏丹(nuru - sultan)居民的互联网接入中断。
 
政府表示,该市三分之一的交通受到了检查,并补充说测试已经完成,安装了国家证书的市民可以删除它。如果需要的话,市民必须重新安装。
自由之家(Freedom House)称,连接全部1600台服务器的路径是9198——哈萨克电信(Kazakhtelecom),该公司实际上垄断了主干基础设施,并建立了哈萨克斯坦的互联网交换站(Internet Exchange Point),这是国内通信的一个对等中心。
 
如果一开始你没有成功
 
2015年,哈萨克斯坦政府首次试图发起一场假的CA攻击。
 
它在Mozilla程序中申请成为受信任的证书颁发机构(CA),但是请求被拒绝了,因为Mozilla有证据表明政府计划通过强制用户在bug中安装根证书来拦截流量。
 
最新的攻击使用了一个不同的bug。哈萨克斯坦称此次攻击是对其网络系统的一次测试。
 
Mozilla封锁了Qaznet证书,因为一些用户已经安装了它,而且该组织认为政府将来可能会再次依赖它。
 
如果政府切换到新的证书,Mozilla承诺采取类似的措施来保护Firefox用户的安全和隐私。
 
浏览器制造商以前曾封锁过数字证书。2015年,谷歌和Mozilla封杀了中国互联网络信息中心(CNNIC)发布的所有新数字证书。
 
他们采取这一行动是为了应对针对Gmail和其他谷歌域发出的未经授权的凭据。
 
然而,微软限制自己发布安全更新,华宇1956代理而苹果没有对中国互联网络信息中心采取任何行动。

 

版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/1017/311.html

相关文章