Názory k článku Krátké vlny: Ministerstvo financí prosazuje nesmysl, internet není krabička cigaret

Vrátit jinou adresu sice ISP může, ale pak nebude souhlasit certifikát s doménovým jménem, takže prohlížeč odmítne zobrazit tu falešnou stránku podle MFČR a místo ní zobrazí varování, že něco není v pořádku a někdo se možná pokouší o MitM útok. No a HTTP přesměrování použít nepůjde také, protože i to by bylo chráněné TLS.

Jedině že by si MFČR zřídilo vlastní autoritu, která by té jejich stránce generovala certifikáty pro všechna blokovaná doménová jména, a nařídilo její povinnou instalaci coby důvěryhodné do všech prohlížečů v zemích českých. Ne, počkat, to jsem asi neměl psát, ještě by někoho z vrchnosti mohlo napadnout to opravdu zkusit...

Davat dalsi pravomoce CTU je nesmysl. CTU nezvlada ani svou existujici agendu. Ceska posta ktera spada pod CTU je v zadely. Mobilni trh v CR je svetovy unikat diky CTU. A ted dalsi agendu? Ja bych je vsechny do jednoho vcetne vratneho vyhazel.

Rozdil je to pomerne podstatny - captive portal funguje prakticky na L2, kdy se wifi controller rozhoduje na zaklade (ne)znalosti klienta. Zadne sifrovani, zadne rozhodovani na zaklade URL, nic takoveho. Tohle by muselo fungovat na L7 a v ten okamzik do toho hodi vidle prave HTTPS.

Bud by musel ISP podvrhnout obsah webu (a tim rozbije HTTPS a browser rve) nebo by musel podvrhnout presmerovani (a tim rozbije HTTPS a browser rve) nebo by musel na urovni DNS presmerovat domenove jmeno na jinou IP (a tim rozbije HTTPS a browser rve).

Stejně to současné blokování funguje (má fungovat) na bázi DNS. Tzn. pokud uživatel chce na doménu, (url adresu), kterou využívá daný poskytovatel hazardní hry, tak operátor nevrátí správnou ()vrátí žádnou) odpověď.

Ofc pokud uživatel nepoužije DNS server operátora a použije např. google 8.8.8.8, tak toto "blokování" přemostí. Nemluvně o různých DNS over TLS apod.

Pokud však jako operátor blokuji na bázi DNS mohu klidně vrátit i jinou IP (kterou mi MF nadiktuje), tzn. přesměrovat uživatele na stránky, které jej varují vůči hazardu. A je úplně jedno jestli používá HTTP nebo HTTPS... tzn. zamyšlení hezké ale....

„Daná doména“ je ale doména toho hazardního webu. A na cizí doménu vám fakt žádná důvěryhodná certifikační autorita certifikát nevystaví.

pozor, adresa captive portálu může být i součástí odpovědi od DHCP, operační systém pak tu stránku otevře a zobrazí captive portál, teprve poté se vytvoří stabilní L2, L3 vrstvy na který běží už internetový provoz.

To jsme tu dokonce jeden cas i meli - certifikat Cesky Posty byl chvili soucasti browseru. Pak ale nezvladli projit bezpecnostnima proverkama coby duveryhodna CA a byli vyrazeni.

Teoreticky ano, ale bohužel to vypadá, že se do toho začal montovat jistý Zdeněk Zajíček z ODS, který razí zásadu, že bude lepší, když si to bude dál každý úřad bastlit po svém (tedy tak, jak to "fungovalo", když měl tuhle agendu na starosti on coby náměstek na vnitru). Takže uvidíme, jak se to vyvrbí.

to si asi nerozumíme, captive portal jako option DHCP odpovědi nemá nic společného s podvržením stránky při přístupu na jinou. OS dostane odpověď a otevře podle svých možností adresu captive portalu v nějakém webview, výchozím prohlížeči. To vůbec neznamená, že router na cestě bude dělat MitM na běžný provoz.

Špatně. HSTS neříká nic o certifikátu. To pouze říká, že web používá HTTPS a klient se nemá připojovat přes HTTP.

Tady se ale bavime o mitm reseni a to vam vystavi certifikat klidne pro *.google.com

Certifikát podepsaný autoritou, kterou mám ve svém prohlížeči jako důvěryhodnou? V tom případě se můžeme na celé HTTPS rovnou vykašlat...

A jakým způsobem donutíte to koncové zařízení, aby takovému certifikátu důvěřovalo?

Nejde o to, že nejde udělat mitm, jde o to, že nejde fejkovat SSL certifikáty pro cizí domény....

Zajímavé. Mám k tomu několik poznámek.

1. Má první Internetová přípojka se datuje do poloviny devadesátých let.
2. Tehdy jsem musel potvrdit kodex uživatele, který mj. zakazoval jakoukoli činnost, která by poškozovala ostatní uživatele Internetu.
3. Tato pravidla vylučovala připojení státní správy (mj.)

Nevím, kde se stala chyba, ale tento stát se na internetu snaží být "rulerem" a při tom, je tam jenom HOSTEM stejně jako Vy.

Ruler je na I(i)nternetu americké ministerstvo obrany.

Ze strany ČR je to taková donkichotština do které poněkud ostudně vstupuje i CZ.NIC

Hint: Komu patří root DNSs ?

No, on ten captive portal taky s HTTPS fungovat nemůže, nakonec je jedno, na jaké úrovni se to udělá, pokud mi na pokus navázat HTTPS spojení zkusí někdo hijacknout a podvrhnout mi něco jiného, tak to prohlížeč pozná. Tedy pokud mluvíme o tradičním pojetí toho captive portal, kdy se prostě místo správné stránky zobrazí nějaká od jeho provozovatele. Dnešní prohlížeče ale mají nějakou featuru, kdy se pokoušení tyhle portály detekovat (tak, že zkusí své známé URL a dívají se, co se stane) a vyjít jim vstříc. Já tuhle featuru ale ve Firefoxu zásadně vypínám, protože pravidelně způsobuje, že když zapomenu zapnout připojení, tak i když ho pak zapnu a všechno funguje, prohlížeč dál zarputile trvá na tom, že nejsem připojený, dokud ho neukončím a nepustím znovu.

Tak ten závěr je špatně. Je to tak jak píše Michal Kubeček.

Ale viděl jsem ISPka, který unášel standardní DNS dotazy. Tzn. že i pokud jste dali DNS server Googlu, tak jej unesl a nahradil jinou IP adresou.
Navíc blokoval DoH na známé servery, takže se prohlížeč na ně nepřipojil.

Takže to ne vždy musí být tak jednoduché.

To se samozřejmě stát může a HTTPS (nebo jakákoli jiná forma zabezpečeného spojení) z principu útočníkovi "na drátě", který může nejen poslouchat, ale do komunikace i zasahovat, nemůže zabránit v tom, aby bezpečnou komunikaci zablokoval. Ale může, při správné implementaci a použití, zabránit tomu, aby se uživateli zobrazila falešná stránka (ať už z jakýchkoli pohnutek) a on neměl šanci poznat, že se tak stalo. Samozřejmě je tu problém, že nepoučený uživatel, který na tu stránku moc chce, ochotně varování ignoruje, ale s tím už se moc dělat nedá, pokud zároveň chceme poučenému uživateli umožnit, aby je ignoroval ve chvíli, kdy ví co dělá a rozmyslel si, že žádné nebezpečí nehrozí.

Hlídá se to. Aby dnes prohlížeč věřil certifikátu od důvěryhodné autority, musí být certifikát evidován v některém z certificate transparency listu. Takže vlastníkovi domén stačí sledovat tyhle listy a ověřovat, zda se tam jeho domény vyskytují jenom u certifikátů, které si sám vyžádal.

uhozené to je, ale tak funguje řada captive portálů, prostě ti to zobrazí okno, kde musíš potvrdit podmínky či se přihlásit. Např. wifi v českých drahách.

Tohle ale není mechanismus, který by šel použít pro blokování, protože to zajišťuje router a pouze při připojení, pak nějakou dobu drží session.

PostSignum je ovšem normální komerční autorita, která si v žádném případě nemůže dovolit vydávat falešné certifikáty. Její certifikáty jsou zařazené ve Windows. Nejsou v úložišti důvěryhodných certifikátů ve Firefoxu, MacOS a Androidu, ale tam se pokud vím ani nikdy nesnažili dostat.

Nevím, jak tu nezávislost myslíš, ale Musk se samozřejmě musel jako podnikatel v elektronických komunikací nahlásit dohledovému úřadu (ČTU) a musí mít PO někde v EU, bez toho by tady nemohl nabízet připojení k internetu.

Co jsem koukal před Vánoci, kdy jsme dělali nějaké zhodnocení pro použití u klientů, Starlink využíval k odbavení v Čechách registrovaného ISP Google Fi, který mu odbavoval provoz, předpokládám, že na tomhle se nic nezměnilo.

Jak už jsem psal, něco takového vyžaduje aktivní spolupráci na straně prohlížeče. Kdyby to dělal jen OS, prohlížeč by měl pořád protestovat proti tomu, že certifikát nesouhlasí s URL. Tak či onak se mi taková představa ani trochu nelíbí, protože taková featura umožňuje šikovnému a vybavenému útočníkovi provést MitM útok způsobem, který půjde snadno přehlédnout.

Třeba byl hodně vyděšený z možnosti, že mu BFU obejde jednoduchou změnou DNS serveru (nebo překliknutím "používej DoH" ve svém prohlížeči, což jsem snad někde četl že i bude v prohlížečích default) to blokování, a MF mu napálí likvidační pokutu.

Ale po odsouhlasení varování se tam dostane, tj vlk se nažral a koza zůstala celá (to že to nikdo odsouhlasovat nebude je vedlejší)

"Ale viděl jsem ISPka, který unášel standardní DNS dotazy. Tzn. že i pokud jste dali DNS server Googlu, tak jej unesl a nahradil jinou IP adresou.
Navíc blokoval DoH na známé servery, takže se prohlížeč na ně nepřipojil."

tohle zni bez jmena firmy jako uplnej blabol, co by z toho mel?

Upřímně nevidím tak velký rozdíl mezi tímto a captive portál na wifi které vyžadují přihlášení / zaplacení na příštup k internetu. Nikdo přece neříká že to fyzicky musí vypadat jako něčí doména, stačí to přesměrovat.

Ne, u současného blokování není řečeno, jakým způsobem se má provádět. MF deklarovalo, že pokud to někdo dělá na bázi DNS, je to za ně OK – ale neříká, že je to jediná správná možnost.

Pokud domena nepouziva hsts a uzivatel na ni jde po prve, tak u presmerovani na urovni DNS prohlizec nezobrazi zadne varovani protoze informaci o certifikatu na domene nema k dispozici a MitM reseni mu da k dispozici certifikat vygenerovany pro danou domenu.

Máte pravdu asi oba.
To DHCP jsem netušil, ale dává to smysl.

Ale např. iPhone zkouší "captive.apple­.com".

OS dostane odpověď a otevře podle svých možností adresu captive portalu v nějakém webview, výchozím prohlížeči.

To zní jako dost uhozený nápad, ale dokážu si představit, že Windows nebo tabletové/smar­tphonové OS (obecně OS založené na premisách "nic jiného než GUI neexistuje" a "Internet = web") by něco takového opravdu provádět mohly. Aspoň je šance, že si v takovém případě uživatel všimne, že se mu otevřelo další okno (případně se to stane ještě předtím, než vůbec zkusí zobrazit nějakou stránku), což by mohlo být trochu varováním.

Mate pravdu.

Neměl by toto koordinovat dredovaný a jeho nový úřad?

Jistěže existují zahraniční služby, umožňující přístup k těmto "zakázaným" webům. Být provozovatel IT kasína, tak si je budu aktivně zajišťovat. Na ně naši opičáci nedosáhnou, a tak mají smůlu Z hazardních her jsem naposled hrál "čáru" někdy v 8. třídě ZŠ, aby bylo jasno.
Pan Musk poskytuje satelitové připojení, zcela nezávislé na našich providerech.

Tady se ale bavime o mitm reseni a to vam vystavi certifikat klidne pro *.google.com

6. 4. 2023, 17:35 editováno autorem komentáře

Tak pokud se bavime o statem prosazovanem zajmu tak ta CA muze byt stejna jako treba u DS nebo neceho jineho statniho co jste si jako uzivatel uz patrne povolil. Samozrejme pokud danou CA nemate trusted tak prohlizec zobrazi varovani.

To by CA musela někomu podepsat certifikát pro cizí doménu, horší varianta je, že by podepsala někomu vlastní CA a pak by mohl dělat MITM na všechny weby.

Těžko říct jestli se to nějak hlídá. Minimálně existují CAA záznamy do DNS, kde vlastník může definovat kdo mu může podepsat certifikát. Tak by se snad na nějaké nepravosti přišlo.

Jako trochu problém vidím, že práce s certifikáty v prohlížečích není více intuitivní a nelze lehce aktivovat/deak­tivovat certifikáty.,
Např. hodně dávno jeden firemní produkt měl u všech certifikátu vlaječku země a přepínač pro deaktivaci důvěry. Navíc byly rozděleny i po kontinentech, které šlo také deaktivovat.

Jj. Viz https://www.lupa.cz/aktuality/satelitni-pripojeni-ze-starlinku-miri-do-cr-firma-nahlasila-zahajeni-cinnosti-ctu/

https://www.ctu.cz/vyhledavaci-databaze/evidence-podnikatelu-v-elektronickych-komunikacich-podle-vseobecneho-opravneni-od-2022?form_build_id=form-J6kt_tsrL4g4DKJBSNeWRwyhM9y3LpfTpIZUSBVaroc&form_id=evidence_podnikatelu_podle_vseobecneho_opravneni_search_2022_form&name=&ico=&city=&street=&public_com_network=0&public_com_service=0&private_com_service=0&certificate_number=4773&search_fieldset_submit=Hledat&sort=asc&order=Provozovatel%2CP%C5%99edm%C4%9Bt%20podnik%C3%A1n%C3%AD%2C%20kter%C3%BD%20byl%20ozn%C3%A1men%20podle%20%C2%A7%2013%20ZEK%2C%20Pozn%C3%A1mka