[О блоге] [наверх] [пред] [2023-11-01 13:34:25+03:00] [8fafe32b1788cb579e357c4fad54ec039d600677]
Темы: [dns][hate][web]

Доверие к CA после MitM-а на jabber.ru/xmpp.ru

https://dxdt.ru/2023/11/01/11377/
http://stolyarov.info/node/404
https://mjg59.dreamwidth.org/66907.html
В 62233ed8f4fd2f9625cde5f3058b33eb36dc99b6 упоминал о нашумевшем
обнаруженном факте MitM-а на jabber.ru/xmpp.ru серверы. Я известный не
сторонник PKI и всего подобного, но даже я не говорю что Let's Encrypt
тут был чем-то виноват. Верно автор первой статьи замечает, что:

    “система хорошо известных УЦ” и раньше должна бы “вызывать доверие”
    равно в пределах разумной модели угроз, то есть – доверять ей можно
    только в сугубо определённых, узких случаях

Преобладающая часть X.509 сертификатов в WWW это так называемые "DV"
(domain validated). Что они (или УЦ) аутентифицируют? То, что трафик до
заданного домена (до заданных resolved IP) идёт и автор имеет над ними
какой-то контроль. Это не исключает наличия влияния хостера/провайдера
или подмены DNS записей.

Много говорили что многое чего решает Certificate Transparency. А что он
решает? Ну вот благодаря нему мы увидели что были выпущены как-бы не
легитимные сертификаты MitM-ом. Обнаружили это. Дальше то что? Более
того, это обнаруживает сам CA и типа почти случайно, из-за протухшего
сертификата. Но конечный пользователь не предполагается что должен
лазать в CT журнал для проверок. Экосистема CT не дружелюбна к тому
чтобы у себя сделать полную синхронизацию локально -- я пробовал, они
официально не советуют это. А лазать в CT каждый раз -- значит сливать
данные о том, куда ты ходишь и что посещаешь. В итоге от наличия CT
конечному пользователю ни холодно, ни горячо, а владельцу домена
предлагают постоянно следить за журналами CT? Следить за костылём
априори ущербной задумки?

Где-то помогла бы DNSSEC-подписанная CAA-запись в CA, говорят. То есть
зависеть от ещё одной вообще централизованной PKI системы, чтобы хоть
как-то сделать получше? Тогда почему бы сразу в ней и не хранить
аутентифицирующую DV информацию в виде DANE записей? Но нет, форум
броузеров не принимает это решение. Да и невозможно требовать DNSSEC
наличия, ибо, насколько помню, даже не все корневые зоны его вообще
начали использовать, не говоря про крайне малое количество вообще
подписанных зон. Ну и я молчу про то, что тут вообще единственный якорь
доверия (полностью управляемый НАТО).

Вообще-то изначально PKI задумывался как нечто, куда приходят с кипой
документов, информация из которых прописывается в сертификате. И
Столяров в своей заметке верно говорит, что это означает что нам бы
приходилось ездить, грубо говоря, в США, чтобы получать EV-grade
сертификаты. Чего, очевидно, никто (ну кроме банков там и подобных
серьёзных организаций) делать не будет. Поэтому будут оставаться
DV-grade сертификаты. Поэтому MitM прекрасно даже на уровне хостера
будет возможен. Поэтому на кой чёрт все эти свистопляски с Let's Encrypt
и прочими DV-grade CA? Ну да, чтобы не нажимать лишний раз на кнопочку
"всё равно доверить данному сертификату". Но только не надо заливать и
бросаться словами про безопасность.

    [оставить комментарий]
    комментарий 0:
    From: kmeaw
    Date: 2023-11-02 06:09:27Z
    
    > Ну вот благодаря нему мы увидели что были выпущены как-бы не
    > легитимные сертификаты MitM-ом. Обнаружили это. Дальше то что?
    
    Дальше надо остановить работу сервиса, выяснить, какие пользователи
    пострадали, уведомить их и сбросить им пароли, а потом выяснять у CA,
    почему произошёл certificate misissue.
    
    > А лазать в CT каждый раз -- значит сливать
    > данные о том, куда ты ходишь и что посещаешь.
    
    Никто не мешает Certificate Transparency Monitor забирать всю
    информацию. Или можно применить тот же подход, что используется для Safe
    Browsing у Google - конечный пользователь получает состояние bloom
    filter, по которому определяет, попадает ли домен в список "опасных", не
    сливая историю посещений.
    
    комментарий 1:
    From: Sergey Matveev
    Date: 2023-11-02 12:52:16Z
    
    *** kmeaw [2023-11-02 06:07]:
    >Дальше надо остановить работу сервиса [...]
    
    То есть, речь не про предотвращение и недопускание атаки, а про
    разгребание последствий. И я понимаю что Let's Encrypt в случае с
    jabber.ru не делал ничего неправильного и просто just did his job,
    как и сама суть DV-сертификатов. Но это, опять же, как и большинство
    security measures толкаемых простым смертным, защищает от соседа Васи,
    но не от, банально, Интернет-провайдеров.
    
    >Никто не мешает Certificate Transparency Monitor забирать всю
    >информацию.
    
    Я использовал какие-то родные Google инструменты на Go для этого и в
    итоге через несколько дней так и не дождался получения хоть какого-то
    полного слепка их дерева CT. Деталей совсем не помню, но тянуть логи
    пытался не только с одного какого-то сервера. Репликация проходила так
    медленно, что это с натяжкой можно назвать юзабельным вариантом.
    Возможно речь только про initial bootstrap, начальное получение этой БД,
    а дальше всё наверняка сильно шустрее -- но у меня за несколько дней
    возможно и половины не среплицировалось, насколько смутно помню.
    
    >Или можно применить тот же подход, что используется для Safe
    >Browsing у Google - конечный пользователь получает состояние bloom
    >filter, по которому определяет, попадает ли домен в список "опасных", не
    >сливая историю посещений.
    
    То есть, кто-то ещё за меня решает кто есть опасный/подозрительный? Нет
    уж, спасибо. Это уже не то, чем должны CA/PKI заниматься.
    
    комментарий 2:
    From: kmeaw
    Date: 2023-11-02 14:57:05Z
    
    > Это уже не то, чем должны CA/PKI заниматься.
    
    Safe Browsing это отдельная от CA/PKI система, которой пользуются
    браузеры на основе Chromium и Firefox. При попытке зайти на сайт,
    замеченный в атаках на машины пользователей, появляется предупреждение.
    И примерно как в случае с TLS, пользователь может (если не испугается)
    всё равно принудительно продолжить работу. В Google Chrome и Mozilla
    Firefox эта возможность включена по-умолчанию, но легко отключается из
    диалога настроек.
    
    комментарий 3:
    From: Dmitriy Zubko
    Date: 2023-11-04 23:08:50Z
    
    Что мешает противнику PKI организовать кампанию против PKI?
    
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 4:
    From: Sergey Matveev
    Date: 2023-11-05 15:59:22Z
    
    *** Dmitriy Zubko [2023-11-05 01:49]:
    >Что мешает противнику PKI организовать кампанию против PKI?
    
    Лично я противник global-scale PKI. На уровне предприятия PKI то вполне
    себе рабочее решение. А смысл кампании против? Почти все люди-пользователи
    не то что удовлетворены сложившейся ситуацией, а им просто пофиг и их не
    заботит безопасность. А кому она важна -- и так использует дополнительные
    или другие решения.
    
    комментарий 5:
    From: Dmitriy Zubko
    Date: 2023-11-05 21:48:58Z
    
    На уровне предприятия у меня тоже нет вопросов к PKI. На глобальном же уровне имеет место быть абсурдная ситуация, выраженная необходимость по умолчанию доверять УЦ лишь на том основании что он УЦ, не задаваясь вопросами о том, кому принадлежит УЦ, кем возглавляется, кем финансируется, как УЦ ведёт свои дела.
    
    Обыватель не озаботиться безопасностью, пока не будет знать о гипотетических последствиях своей беспечности. В рамках кампании против PKI можно было бы обнажить недостатки PKI и предложить другие решения.
    
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 6:
    From: Sergey Matveev
    Date: 2023-11-05 22:10:32Z
    
    *** Dmitriy Zubko [2023-11-06 00:47]:
    >На глобальном же уровне имеет место быть абсурдная ситуация [...]
    
    Всё так, всё так.
    
    >Обыватель не озаботиться безопасностью, пока не будет знать о гипотетических последствиях своей беспечности.
    
    Мне мама, обычный пользователь ПК, уже в 1990-х говорила что нельзя
    просто так брать и запускать непойми откуда скачиваемые .exe, ибо вирусы
    и прочее. Текущий современный обыватель, грубо говоря, ничего не делает
    кроме как качает и исполняет .exe, просто это делает прозрачно за него
    его броузер. Это по сути равносильно полной компрометации компьютера.
    Если этот факт сказать большинству людей, то они только пожмут плечами,
    повторят мантру "да кому я нужен", "мне нечего скрывать" и на этом всё.
    
    >В рамках кампании против PKI можно было бы обнажить недостатки PKI и предложить другие решения.
    
    Альтернативы можно предложить типа web-of-trust, хотя бы public key
    pinning, но если при этом для пользователя появляется дополнительное
    окошко, дополнительный вопрос, то на его чаше весов эта безопасность
    никогда не перевесит простоту использования. Никто из обывателей не
    готов менять свои приоритеты в сторону безопасности. Все хотят "просто
    сделайте мне хорошо", "одну кнопочку максимум". Такого же простого, но
    более безопасного решения мне не известно.
    
    И даже если его и придумать, то... это по факту надо протолкнуть в
    Google Chrome, либо сделать альтернативу ему на которую все пересядут.
    Это технически невозможно. Современный Web полностью монополизирован
    Google -- только они решают и диктуют как и что должно быть в этой
    системе автоматического прозрачного скачивания программ на компьютеры
    пользователей. И они не заинтересованы в хоть какой-либо потере контроля
    над пользователями. Тот же DANE никто не захотел внедрять из броузеров,
    хотя это полезный шаг с моей точки зрения.
    
    "Борьба" с global-scale PKI это как борьба свободного ПО с
    проприетарным: можно рассказывать о недостатках и ужасе проприетарного,
    не свободного, закрытого ПО, типа Windows/macOS, демонстрировать и
    говорить о тьмище рисков, даже предложить альтернативу и решение в виде
    свободных ОС, но на практике мы видим что это бесполезно.
    
    Нет, безусловно движение за свободное ПО многое поменяло в жизни многих
    людей, но это всё доли процента. Это здорово, но о глобальных изменениях
    речи не идёт даже отдалённо. Кто пользуется якобы свободным Android --
    использует его не из-за (якобы) свободности, а просто выбора другого
    (кроме iOS) и нет. Кто использует ради свободности: на деле не проверял
    и не пытался хотя бы собрать его из исходников и убедиться что это не
    известно выполнимо ли. А кто использует смартфоны с вычищенным Google?
    Опять же, доли процента. Кто использует GNU/Linux: преобладающая часть
    не из-за свободности или заботе о безопасности, а исключительно просто
    из-за отсутствия выбора или просто из-за того, что "какая разница где
    мне запускать Chrome?".
    
    Невозможно обывателей пересадить не на централизованные решения, ибо они
    всегда будут чуть-чуть проще, хотя бы даже отсутствием необходимости
    указывать адрес сервера какого-нибудь. И это для преобладающего
    большинства всегда будет в выигрыше. Вот и сейчас у нас почти все (90%+
    вроде бы было уже) HTTPS на централизованном USA/NATO-based решении. В
    лучшем случае можно только этот центр поменять в пределах страны (как у
    нас заставляют (насколько читал в новостях) какое-то ПО
    предустанавливать для всех импортируемых смартфонов). Это происходит
    прозрачно для пользователя. Но надеяться что он будет париться с WoT,
    pinning, или дорабатывать country-specific решения добавляя хотя бы
    какой-нибудь DANE -- задача для крупных корпораций, а они на это пойдут
    только если будет прибыль какая-то или profit. В лучшем случае
    пользователя может парить только безопасность доступа до банков
    каких-нибудь, где его кровные управляются -- эта задача например для РФ
    решена УЦ Минцифры и предустановкой онного сертификата в Яндекс.Броузер.
    
    комментарий 7:
    From: Dmitriy Zubko
    Date: 2023-11-06 23:48:26Z
    
    > повторят мантру "да кому я нужен"
    Для злоумышленника может представлять интерес совершение юридически значимых действия от имени жертвы путём эксплуатации фиктивной электронной подписи. Модель PKI благоприятствует этому. С удивлением для себя и совершенно случайно недавно обнаружил, что некто оформил "электронную подпись" на моё имя в аккредитованном российском УЦ.
    
    > "мне нечего скрывать"
    При всём желании жертве нечего будет скрыть, кроме своих гениталий кленовым листом, когда злоумышленник завладеет движимым и недвижимым имуществом жертвы на основании подписанного от имени жертвы документа.
    
    Вообрази себе, что злоумышленник гипотетически может подписать от имени жертвы:
    
    * Голос в поддержку кандидата в президенты.
    * Дарственную на имущество.
    * Раскаяние в преступлении.
    * Предсмертную записку. Лучше всего подписывать вместе с "раскаянием" или "дарственной".
    * Заявление на эвтаназию.
    
    Эвтаназия пока не разрешена в России, но, думается, это вопрос времени. После законодательного одобрения эвтаназии не исключаю такую схему: жертва приходит в больницу на капельницу по назначению врача и получает следом смертельную инъекцию на основании имеющегося в информационной системе подписанного ранее заявления, которое будет позже предъявлено родственникам покойника.
    
    > "Борьба" с global-scale PKI это ... бесполезно.
    Вряд-ли Циммерман или Столман обременяли себя пессимистичными мыслями о бесперспективности своих идей/решений. Они просто делали то, что считали нужным и правильным. Я призываю поступать аналогично, пренебрегая коньюктурой.
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 8:
    From: Sergey Matveev
    Date: 2023-11-07 06:17:54Z
    
    *** Dmitriy Zubko [2023-11-07 02:47]:
    >С удивлением для себя и совершенно случайно недавно обнаружил, что некто оформил "электронную подпись" на моё имя в аккредитованном российском УЦ.
    
    С нашими УЦ всё ещё хуже: насколько я понял, преобладающая часть людей
    использует "облачную подпись", когда и генерация и хранение приватного
    ключа ведётся в этом самом третьем лице, а человеку только доступ в
    личный кабинет предоставляется. То есть, не надо даже создавать ничего
    фиктивного: приватный ключ и так находится в руках УЦ.
    
    >Вообрази себе, что злоумышленник гипотетически может подписать от имени жертвы:
    
    Я то это всё понимаю. Но людям -- плевать на всё это, они не верят что
    против них кто-то что-либо будет делать и что это возможно. Об этом
    начинают задумываться только после того, как гром грянет.
    
    >Вряд-ли Циммерман или Столман обременяли себя пессимистичными мыслями о бесперспективности своих идей/решений. Они просто делали то, что считали нужным и правильным.
    
    Именно: они делали что, в первую очередь, должно было закрыть их
    собственные задачи и потребности. Лично я написал
    http://www.tofuproxy.stargrave.org/ для работы с TLS как мне надо, как
    мне видится (public key pinning, вменяемая TLS библиотека, и т.д.). А
    компания разъясняющая принципы PKI, риски, опасности, абсурдность
    "облачных подписей" -- это должен делать кто-то с ораторскими
    способностями, умением объяснять, умеющим внушать доверие (привести
    (казалось бы, очевидные) факты -- для людей это роли не играет). Чем
    более опасные вещи/риски описывать людям, тем меньше они в них поверят,
    ведь "не может же быть всё настолько плохо то".
    
    комментарий 9:
    From: Dmitriy Zubko
    Date: 2023-11-07 21:32:14Z
    
    >> С удивлением для себя и совершенно случайно недавно обнаружил, что некто оформил "электронную подпись" на моё имя в аккредитованном российском УЦ.
    > С нашими УЦ всё ещё хуже: насколько я понял, преобладающая часть людей использует "облачную подпись", когда и генерация и хранение приватного ключа ведётся в этом самом третьем лице, а человеку только доступ в личный кабинет предоставляется. То есть, не надо даже создавать ничего фиктивного: приватный ключ и так находится в руках УЦ.
    Если это так, то мы стоим на пороге чудовищных злоупотреблений. Они потенциально могут ударить по каждому.
    Я подразумевал именно российский УЦ, в частности АО "Почта России".
    
    > Но людям -- плевать на всё это, они не верят что против них кто-то что-либо будет делать и что это возможно. Об этом начинают задумываться только после того, как гром грянет. Чем более опасные вещи/риски описывать людям, тем меньше они в них поверят, ведь "не может же быть всё настолько плохо то".
    "Делай, что можешь, тем, что у тебя есть и там, где ты находишься".- Рузвельт.
    
    > А компания разъясняющая принципы PKI, риски, опасности, абсурдность "облачных подписей" -- это должен делать кто-то с ораторскими способностями, умением объяснять, умеющим внушать доверие.
    К тому же компетентный и информированный. У тебя есть все эти качества. Надеюсь, свободным временем тоже располагаешь.
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 10:
    From: Sergey Matveev
    Date: 2023-11-08 07:58:38Z
    
    *** Dmitriy Zubko [2023-11-08 00:30]:
    >Если это так, то мы стоим на пороге чудовищных злоупотреблений.
    
    Пока только возможностей злоупотреблений.
    
    >Я подразумевал именно российский УЦ, в частности АО "Почта России".
    
    Когда я вообще искал какие у нас есть УЦ (коих не мало в иерархии), то
    облачные попадались куда ни плюнь. А другие принципиально работают
    только с собственноручно выданными PKCS#11 ключами, которые, конечно же,
    не будут работать без установки несвободного ПО. Но так в целом везде по
    миру для простых смертных физических лиц. Безусловно должны быть
    нормальные и вменяемые, но попробуй их найди среди остальных.
    
    В любом случае, я не верю в разумность людей, которые самостоятельно
    (никто их не заставляет) выбирают использование банковских карт и
    смартфонов в личной жизни (вне профессиональной деятельности). Уж о чём
    о чём, но до УЦ и всех этих юридических вещей им дела точно не будет.
    
    комментарий 11:
    From: Dmitriy Zubko
    Date: 2023-11-08 15:20:20Z
    
    > я не верю в разумность людей, которые самостоятельно (никто их
    > не заставляет) выбирают использование банковских карт и
    > смартфонов в личной жизни (вне профессиональной деятельности).
    > Уж о чём о чём, но до УЦ и всех этих юридических вещей им дела
    > точно не будет.
    
    Сюда же можно отнести дисконтные карты, как способ сбора
    информации за некоторую скидку на товар для последующего слива
    информации третьим лицам: когда отоварился, чем отоварился, на
    какую сумму денег, интенсивность траты денег, предпочитаемые
    товары. В этой же категории персонифицированные транспортные
    карты. Аккумулируемая одним и тем же третьим лицом информация в
    совокупности позволяет узнать многое о владельце карт. Вместе с
    тем, владелец карт почти ничего не знает о третьем лице.
    
    Разумеется, об этом мало кто задумывается. В основном из-за
    собственной неинформированности о процессах собора и
    последствиях. В свою очередь, неинформированность обуславливает
    беспечность и бездействие. Даже для меня явилось ошеломительным
    открытием описанная тобой практика генерирования и эксплуатации
    секретного ключа, цитирую:
    
    > С нашими УЦ всё ещё хуже: насколько я понял, преобладающая
    > часть людей использует "облачную подпись", когда и генерация и
    > хранение приватного ключа ведётся в этом самом третьем лице, а
    > человеку только доступ в личный кабинет предоставляется. То
    > есть, не надо даже создавать ничего фиктивного: приватный ключ
    > и так находится в руках УЦ.
    
    Подобная информация заслуживает распространения любыми способами.
    Бюллетень, FAQ, кампания, петиция.
    
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 12:
    From: Sergey Matveev
    Date: 2023-11-08 16:33:19Z
    
    *** Dmitriy Zubko [2023-11-08 18:18]:
    >Сюда же можно отнести дисконтные карты [...]
    
    Во-во, и про них забыл тоже упомянуть. А магазины прям уже раздражают
    требованием предоставить им их карту, ведь её можно прямо сейчас же на
    месте завести в только что установленном приложении на смартфоне.
    
    >В свою очередь, неинформированность обуславливает беспечность и бездействие.
    
    Сложность для несведущего человека быть информированным ещё в том, что
    как он отличит красиво и ясно подготовленный marketing bullshit от прямо
    противоположной информации? Буквально сегодня вот заметку написал:
    3529cf4ce9a96e399aaf63b426bd320dc082cf68, где крупные и известные
    корпорации говорят что QWAC/whatever не безопасен, а им возражают другие
    квалифицированные специалисты, можно сказать целые государства, что
    наоборот оно безопаснее. И для каждой стороны можно найти точку с
    которой надо посмотреть на проблему и убедиться что доля правды у всех
    сторон имеется.
    
    Одни доказывают что iPhone гораздо безопаснее любого Android, ибо для
    последних куча атак, exploit-ов и прочего. И они зачастую правы. Но
    только эта безопасность достигается за счёт полного отсутствия контроля
    над устройством и даже запуск программ идёт с разрешения Apple. И
    Android может сказать что он более безопасен, ибо в принципе его можно
    отвязать от внешней управляющей корпорации типа Google, и использовать
    его без их надзора. И то и то безопасно -- просто смотря с какой стороны
    посмотреть. И вот поди разберись какая из сторон права. Даже, казалось
    бы, в простейших утверждениях: кто-то говорит что SSD надёжнее HDD --
    потому что механических воздействий не боятся. Кто-то скажет что HDD
    надёжнее, ибо SSD и изнашиваются (речь может идти о считанных месяцах
    жизни) и заряд утекает и долго они не пролежат без потерь данных.
    Очевидно что HDD надёжнее, в этом случае. Пароли, парольные фразы против
    криптоключей -- ещё один пример.
    
    >Даже для меня явилось ошеломительным
    >открытием описанная тобой практика генерирования и эксплуатации
    >секретного ключа [...]
    
    Более того, чтобы не разругаться с родителями (чёрт уж с имуществом,
    если потеряется), я и сам поучаствовал в этом балагане с облачными
    подписями: b327e8c3f7cc48f0d23b1169c8e914ded5b52fdf,
    459b87f9ada317817cdd92c4947d90c84fb2af2d, 71d4d1391ad542b1c2ae9d8c976ac4f769303abc
    От банка, еле-еле только через пару человек, можно было вообще узнать
    где именно и какие именно ключи используются -- никто, кроме какого-то
    top-менеджера нашего отделения, понятия не имел что за ключи, кем и как
    генерируются, как и где хранятся. На самом сайте, насколько помню,
    вообще никакой конкретики не нашлось.
    
    https://habr.com/ru/articles/444830/
    https://habr.com/ru/companies/roseltorg/articles/467891/
    
    >Подобная информация заслуживает распространения любыми способами.
    >Бюллетень, FAQ, кампания, петиция.
    
    Пускай, я только за. Но не мне этим заниматься: совершенно не моя
    компетенция, отсутствие способностей. Даже когда-то проходившие
    Криптопати (http://cryptoparty.ru/) никогда мною не организовывались.
    Я умею писать код, поэтому пишу код. И я был причастен к работам по
    важнейшим (в плане критичности) УЦ в нашей (и не только) стране. За них
    я спокоен. А просветительская (или тем более общественная, политическая
    или предпринимательская деятельность) это уже не ко мне.
    
    комментарий 13:
    From: Dmitriy Zubko
    Date: 2023-11-16 18:30:25Z
    
    Можно скопипастить описанный тобой балаган с подписями?
    
    --
    6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
    
    комментарий 14:
    From: Sergey Matveev
    Date: 2023-11-16 18:51:23Z
    
    *** Dmitriy Zubko [2023-11-16 21:28]:
    >Можно скопипастить описанный тобой балаган с подписями?
    
    Нет, так как там всё же куча личной имущественной информации, не публичной.