Компания Cloudflare ввела в строй сайт isBGPSafeYet.com, призванный привлечь внимание к проблеме с утечкой некорректных BGP-маршрутов и возможности совершения атак по перенаправлению трафика при помощи протокола BGP. Сайт позволяет проверить применение провайдерами технологии фильтрации некорректных маршрутов и оценить внедрение поддержки RPKI...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52757
Все новое это хорошо забытое старое!
Удивительно, как этот дремучий небезопасный протокол, держащийся исключительно на "мамой клянусь!", дожил до 2к20 года.
rостелеком негодуэ
скоро ркн забанит
И правильно сделает! )
а жаль, лучше бы тебя тут забанили наконец
В РКН уже забанен этот сервис проверки isbgpsafeyet.com, по IP.
Молодцы! Хоть какая-то польза, кроме вреда от них есть!
А ещё, раньше в https everywhere была проверка сертов, но потом её куда-то слили по тихому (вместе с поддержкой тора).Я подозрительно часто замечаю левые серты при доступе из стран второго и третьего мира. Есть ли какие-то подводные камни, если запилить проверку через https://www.grc.com/fingerprints.htm ?
> Я подозрительно часто замечаю левые серты при доступе из стран второго и третьего мира.Пруфы будут?
Лично можешь убедиться. Находишь сайт из списка ркн с хттпс, заблоченный не целиком, переходишь на него, далее либо твой провайдер дропает соединение, либо тебя дропают на том конце, либо твой провайдер подменяет серт, либо магистральный провайдер подменяет серт на левый, либо кто-то в цепочке подменяет на специальный валидный серт, который почему-то отдаётся только для РФ и ни для какой другой страны (проверил тогда больше 5 стран со всего глобуса), в частности несколько раз наблюдал очень странные серты комодо. Всё зависит от провайдера правда, на разных провайдерах происходило по-разному.
> далее либо твой провайдер дропает соединение, либо тебя дропают на том конце,это понятно
> либо твой провайдер подменяет серт, либо магистральный провайдер подменяет серт на левый, либо кто-то в цепочке подменяет на специальный валидный серт, который почему-то отдаётся только для РФ и ни для какой другой страныА вот с этого места поподробней.
Заходишь на какой-нибудь сайт через какой-нибудь американский прокси и с удивлением замечаешь, что сайт внезапно стал подписан сертом клаудфларе...
CloudFlare это своя тема, у них даже CAA запись хайжекается c CAA misclick.xyz 0 issue letsencrypt.org наmisclick.xyz. 3600 IN CAA 0 issue "comodoca.com"
misclick.xyz. 3600 IN CAA 0 issue "digicert.com"
misclick.xyz. 3600 IN CAA 0 issue "letsencrypt.org"
misclick.xyz. 3600 IN CAA 0 issuewild "comodoca.com"
misclick.xyz. 3600 IN CAA 0 issuewild "digicert.com"
misclick.xyz. 3600 IN CAA 0 issuewild "letsencrypt.org"Ты мне хайжекнутый серт Комодо покажи для этого домена.
>сайт из списка ркн с хттпс, заблоченный не целикомЧто значит "не целиком"?
Вот что пишет браузер при попытке зайти из РФ на заблокированный сайт:
zn.ua использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для MGTS Сертификат истёк 21.12.2019 21:14. Текущее время — 18.04.2020 1:41. (Код ошибки: sec_error_expired_issuer_certificate)
Это значит, что на сайте заблокирована только одна страница (https, при этом по http она же была доступна, лол). У вашего провайдера может быть другой MITM, или он может быть отключён в честь перегруженной сети. Я так понял, особой унификации там нет, и каждый городит кто во что горазд.
Этот сайт не открывается через http
При попытке зайти через этого провайдера на заблокированные сайты, открывающиеся только через https, всегда такая картина.
Если заблокированный сайт открывается через http, то появляется заглушка.
Проверил через европейский прокси: zn.ua - сертификат валиден до 14 мая 2020 года.
Посмотрите пожалуйста что за сертификат такой то у вас приходит?
>Проверил через европейский прокси: zn.ua - сертификат валиден до 14 мая 2020 года.У меня то же самое.
>Посмотрите пожалуйста что за сертификат такой то у вас приходит?
Когда браузер пишет: "zn.ua использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для MGTS Сертификат истёк 21.12.2019 21:14. Текущее время — 18.04.2020 14:26. (Код ошибки: sec_error_expired_issuer_certificate)", то сертификат он не показывает.
Как его посмотреть - не знаю.
Анон, не стесняйся, ты своим заявлением можешь порушить многомиллиардные структуры Комодо его ребренд в виде Sectigo, ничего, ты срубишь бабосов, а потом будешь сидеть с видом на Моховую и никуда не выходить как Сноуден!Только, умоляю, скажи кто делает MITM.
> кто делает MITM.Казахстан точно делал. что там сейчас, я уже не в курсе.
_Требовать_ поставить свой root CA это всё же не то же самое что _подделывать_ чужие сертификаты.
Так никто же не подделывает, их просто заменяют на свои. А то, что они доверенные, так это есть привилегия выпускать левые серты и подписывать их как доверенные, тем более на уровне государства (главное, всё отрицать). Хотя, конечно, тут скорее пахнет содействием со стороны цдн и магистральных провайдеров (точнее воняет). Как говорится, не нравится, чемодан-вокзал-Антарктида.
а по-моему смысл один и тот же - MITM. только методы разные.
лет 5-10 назад для фаерфокса был плагин (забыл его имя, может кто помнит?), он проверял каждый сертификат на трех географически разнесенных серверах под управлением автора плагина. сейчас это все как-то сдохло.если сейчас делать заново, то в виде 1ранговой сети p2p. каждый юзер плагина вполне может поработать сервером, и помочь другим с проверкой.
или через юзер-левел прокси типа privoxy что-то намутить.
вдогонку:> в виде 1ранговой сети p2p
в DHT можно ли эти сертификаты разместить ? или ссылки на них, с указанием: когда проверено и из какого региона ?
> был плагин (забыл его имя, может кто помнит?)Certificate Patrol. Закопан вместе с xul, к сожалению.
Если не чего не попутал и правильно помню. Так вроде, сопало или нет. Была мощная Dos атака через сервера тор кудато и большая часть ip с которы шла атака были из ru. Через какое-то время тор убрали.
Из ru на тор я так понял,помню.
неработающая малварь по ссылке. в печь.
> При использовании RPKI для автономных систем и IP-адресов строится цепочка доверия от IANA к региональным регистраторам (RIRs), а затем к провайдерам (LIR) и конечным потребителям, которая позволяет третьим лицам удостовериться, что операция с ресурсом была произведена его владельцем.Как я понимаю, основная идея состоит в централизации контроля за Интернетом, упрощающим ведение слежки и цензуры.
Сейчас требования IANA можно относительно безболезненно реагировать, особенно если завтра они скажут "а ну-ка отрубим интернет русским и китайцам, а то они своим коронавирусом травят честных американских людей". Да еще и многие незаинтересованные провайдеры могут поддержать "опальных", просто потому, что нефиг портить связность по надуманным причинам. А значит, и пытаться такое провернуть – бессмысленно.А вот когда хотя бы 80% провайдеров будут зависеть от цифровой подписи IANA, тогда можно будет и очебурнетить всяких недостаточно демократичных.
IANA эти самые адреса выдаёт, если что
США могут законодательно запретить всем американским компаниям маршрутизировать трафик в неугодную страну. А всем остальным пригрозить санциями, в результате чего американские компании обрубят с ними связь, банки заморозят счёта, а Cisco и Juniper откажутся продавать железо. И никакие цифровые подписи для этого не нужны.
Отличный план, хуавей одобряет.
И к кому будет подключатся железо хуавей? Google, Facebook, Twitter, Microsoft, англ. Wikipedia и большая часть русскоязычных сайтов находящихся на европейских серверах останутся в "демократическом" интернете. Потому, что выбор или услуги американских корпораций и всех кто согласился блокировать неугодных или доступ только к неугодным отщепенцам и их верным соратником.
Тем кому Cisco и Juniper откажутся продавать железо, очевидно же.
> США могут законодательно запретить всем американским компаниям маршрутизировать трафик в неугодную страну.Как вы себе это представляете? ;-)
> Как вы себе это представляете? ;-)А как сейчас действует запрет на работу в Крыму и сотрудничество с каждым, кто работает в Крыму? Есть федеральный закон, а сесть в тюрьму никто из директоров не хочет. Поэтому не то, что американские компании, крупные российские компании избегают Крыма как чумы.
Все это конечно круто и со стороны кажется нужным. Пока к тебе не приходит оператор со словами "давайте скорее включимся, у нас тут все прям уже плохо...но внести в RIPE информацию мы сможем чуть позже, потому что человек с паролями где-то далеко, а пока через кого-нибудь, но анонсы уйдут в мир". Прописать RPKI (клик-клик-и все!) - это уже прям фииик знает, "нам пока это не надо, давайте так, все равно никто не смотрит".
Ну вот и надо дрессировать.