[]
ISP level SSL offloading without user certificate warning.
Selam,
Wikileaks'te gezerken memlekete ait bir şirketten Hacking Team'e giden mail'de geçen bir ifade.
Tam olarak ne yapmaya çalışmışlar?
ISP seviyesinde olması sakat, user certificate warning olmayacak olması da sakat...
Bu da tüm yazışma:
www.wikileaks.org
Wikileaks'te gezerken memlekete ait bir şirketten Hacking Team'e giden mail'de geçen bir ifade.
Tam olarak ne yapmaya çalışmışlar?
ISP seviyesinde olması sakat, user certificate warning olmayacak olması da sakat...
Bu da tüm yazışma:
www.wikileaks.org
anlayabildiğim kadarıyla SSL'i olan bir siteye girdiğin zaman servis sağlayıcın trafiği çözümleyerek anlayabileceği hale getirecek (bu sırada arşivleyecek tabi) ve tekrar şifreleyip -olması gerektiği gibi- karşı tarafa iletecek. bu sırada senin tarayıcın da olaya uyanmayacak.
Şifreli trafik yüzünden birçok telekom şirketinin nice planları yalan oldu, o yüzden araya girmeye çalışmak istemeleri çok normal.
okuduğumu yorumladım.
geçen hafta çokça ssl hatası aldım ben bazı sitelere bağlanırken.
LAN?
Şifreli trafik yüzünden birçok telekom şirketinin nice planları yalan oldu, o yüzden araya girmeye çalışmak istemeleri çok normal.
okuduğumu yorumladım.
geçen hafta çokça ssl hatası aldım ben bazı sitelere bağlanırken.
LAN?
- hayirsiz
(25.12.15 11:52:05 ~ 11:56:59)
Hayırsız doğru anlatmış. Bu zaten mümkün ve çalışan bir sistem, SSL-DPI olarak geçiyor. Şöyle anlatayım,
Roket, Firuz'un sunucusuna bağlanıyor. Bu sırada Roket'in sunucusu, bağlananın kesinlikle Roket olduğuna dair 3. parti bir firma tarafından imzalanmış bir sertifika, bir belge paylaşıyor. Dolayısıyla Firuz, gelen dataların Roket'ten değişmeden olduğu gibi geldiğine emin oluyor. Datadaki herhangi bir değişim, sertifikayı bozacağından karşıdaki vatandaşın browser'ında uyarı veriyor.
DPI-SSL ile sen bu sertifikayı bir nevi kaldırıyorsun, datayı inceleyebiliyorsun, değiştirebiliyorsun, ve ardından tekrardan SSL trafği olması için tekrardan mesela X marka senin sertifikan ile sertifikalandırıyorsun. Karşıdaki sunucu da diyor ki, "abi bu paketler roket'ten geliyor gibi görünüyor ama aslında bi yere daha uğramış, bak sertifikalar uyuşmuyor" diyor.
Bu noktada, sertifikan o browser'ın onaylı listesinde yoksa, SSL güven hatası veriyor. Sen istersen riskleri anladım diyerek devam edebilirsin, ya da hiç bağlanmazsın. Dolayısıyla her halükarda böyle bir durumdan haberin olur.
Browser warning'i olmadan bunu yapabilmek için, bağlanan her client'ın browser'larına o X marka 3. parti sertifikayı güvenilir sertifika provider'ları listesine eklemen lazım. O da şöyle olur mesela, TTnet der ki şu ufak yazılımı çalıştırıp şu sertifikayı yüklemezseniz internete çıkamazsınız, herkes de yükler, o zaman onlar her türlü takip ederler. Şu an öyle bir sistem bildiğim kadarıyla şu anda bizde yok. DPI SSL de genelde kurumsal ortamlarda kullanılır, mesela şirket ortamını düşün, her bilgisayara zaten istediğin gibi müdahalen vardır, dolayısıyla çatır çatır her türlü sertifikayı yükletirsin, o şekilde internete çıkarırsın, trafiği de takip edersin.
Roket, Firuz'un sunucusuna bağlanıyor. Bu sırada Roket'in sunucusu, bağlananın kesinlikle Roket olduğuna dair 3. parti bir firma tarafından imzalanmış bir sertifika, bir belge paylaşıyor. Dolayısıyla Firuz, gelen dataların Roket'ten değişmeden olduğu gibi geldiğine emin oluyor. Datadaki herhangi bir değişim, sertifikayı bozacağından karşıdaki vatandaşın browser'ında uyarı veriyor.
DPI-SSL ile sen bu sertifikayı bir nevi kaldırıyorsun, datayı inceleyebiliyorsun, değiştirebiliyorsun, ve ardından tekrardan SSL trafği olması için tekrardan mesela X marka senin sertifikan ile sertifikalandırıyorsun. Karşıdaki sunucu da diyor ki, "abi bu paketler roket'ten geliyor gibi görünüyor ama aslında bi yere daha uğramış, bak sertifikalar uyuşmuyor" diyor.
Bu noktada, sertifikan o browser'ın onaylı listesinde yoksa, SSL güven hatası veriyor. Sen istersen riskleri anladım diyerek devam edebilirsin, ya da hiç bağlanmazsın. Dolayısıyla her halükarda böyle bir durumdan haberin olur.
Browser warning'i olmadan bunu yapabilmek için, bağlanan her client'ın browser'larına o X marka 3. parti sertifikayı güvenilir sertifika provider'ları listesine eklemen lazım. O da şöyle olur mesela, TTnet der ki şu ufak yazılımı çalıştırıp şu sertifikayı yüklemezseniz internete çıkamazsınız, herkes de yükler, o zaman onlar her türlü takip ederler. Şu an öyle bir sistem bildiğim kadarıyla şu anda bizde yok. DPI SSL de genelde kurumsal ortamlarda kullanılır, mesela şirket ortamını düşün, her bilgisayara zaten istediğin gibi müdahalen vardır, dolayısıyla çatır çatır her türlü sertifikayı yükletirsin, o şekilde internete çıkarırsın, trafiği de takip edersin.
- roket adam
(25.12.15 12:23:25 ~ 12:25:21)
ISP seviyesinde olması çok kötü olurdu değil mi?
Yazışmalar da Türk olan bir de bizim hedefimiz unknown diyor. Sanki tüm sistemi bunun üzerine kurmak istemişler gibi?
Yazışmalar da Türk olan bir de bizim hedefimiz unknown diyor. Sanki tüm sistemi bunun üzerine kurmak istemişler gibi?
- firuz (25.12.15 12:26:58)
Olabilir, zaten polis teşkilatı wikileaks'ten sızan belgelere göre hacking team'in müşterileri arasında. Yani bilmeyen adam haklı olarak "sorun bakalım tüm sistemi nası dinleriz" demiş de olabilir. Teknik olarak çok karmaşık bi iş ama dediğim gibi pratikte mümkün. Atıyorum "bankacılık işlemleri için artık TürkTrust bilmemne sertifikasını sisteminize eklemek zorundasınız" deyip, sonra google.com'dan gelen istekleri bile açıp inceleyip modifiye edip türktrust sertifikası üzerinden devam ettirebilirler, ki yapılmıştı da benzer bir şey: eksisozluk.com
- roket adam (25.12.15 12:33:25 ~ 12:34:52)
1
