Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Isp's Kazachstan moeten https-verkeer onderscheppen op last van overheid

Burgers in Kazachstan die internet willen gebruiken, krijgen de melding dat ze eerst een root-ssl-certificaat moeten installeren. Met dat certificaat kunnen providers al het https-verkeer onderscheppen, op last van de overheid.

Internetproviders in Kazachstan hebben van de overheid van het land opdracht gekregen om gebruikers te dwingen een rootcertificaat van de overheid zelf te installeren in de browser, als hun klanten het internet op willen. De providers sluizen internetters door naar pagina's met instructies hoe ze het 'Qaznet Trust Network'-certificaat moeten installeren en ze sturen sms-berichten naar klanten over de vereisten.

Als het rootcertificaat eenmaal geïnstalleerd en vertrouwd is, kunnen de providers als een man in the middle ssl/tls-verkeer ontsleutelen terwijl browsers aangeven dat de verbinding veilig en versleuteld is. Dit geeft de overheid inzage in het verkeer dat nodig zou zijn om 'de bescherming van burgers, overheden en bedrijven tegen aanvallen, internetfraude en andere dreigingen te verbeteren'.

Eind 2015 wilde de Kazachstaanse overheid eenzelfde plan ook al tot uitvoering brengen, schrijft ZDNet. Door verzet van providers, banken en andere landen zag de overheid daar toen vanaf. Ook Mozilla weigerde mee te werken aan een verzoek een rootcertificaat toe te voegen aan Firefox.

Ook nu is er verzet. Verschillende gebruikers kaarten het probleem aan bij Mozilla met het verzoek om certificaatautoriteit Qaznet Trust Network op de zwarte lijst te zetten. Dit zou betekenen dat de browser in Kazachstan niet tot nauwelijks meer te gebruiken zal zijn. Voorstanders hopen dat andere browsers dan volgen. Tegenstanders van dit plan wijzen erop dat de overheid een fork van een opensourcebrowserproject als Chromium kan uitvoeren met daarbij het man-in-the-middle-certificaat geïntegreerd. Ook gaan er stemmen op om een waarschuwing te geven aan gebruikers dat browsersessies via een non-standaard certificaat verlopen met mogelijke interceptie tot gevolg.

Door Olaf van Miltenburg

Nieuwscoördinator

19-07-2019 • 14:03

163 Linkedin Google+

Submitter: Mattashii

Reacties (163)

Wijzig sortering
Dit is een mooie use-case voor DANE en allerlei vormen van Certificate Pinning.
Certificate Pinning komt er op neer dat je op een andere manier doorgeeft welk certificaat bij een site hoort, zodat je alarm kan slaan als je een ander certificaat ziet.

In mijn ogen de mooiste vorm hiervan is DANE. DANE is een systeem om (fingerprints van) je certificaten in DNS te publiceren. Als je computer het IP-adres van een webserver opzoekt dan krijg je direct te horen welk SSL-certificaat je moet verwachten.
De nadelen zijn dat je wel DNSSEC nodig hebt, en dat je niet kan afdwingen dat de DANE/DNSSEC-records ook worden doorgegeven door de ISPs. Het is weliswaar niet mogelijk om ongemerkt data te blokkeren, maar dan weet je het in ieder geval.

HTTP-pinning is lastiger te blokkeren. Chrome komt zelfs met een ingebouwd lijstje van Google-sites en de bijhorende certificaten.

Ook voor HTTP-pinning en alle andere technieken geldt uiteindelijk dat het wel kan waarschuwen dat er iets mis gaat, maar niet kan voorkomen dat je verkeer geblokkeerd wordt als de ISP het niet kan decoderen.
HTTP pinning is niet effectief doordat er een loophole is in de standaard waar men hier gebruik van maakt.

Volgens de 'standaard' van het IETF (RFC 7469, paragraaf 2.6) is het toegestaan voor een browser om lokaal geïnstalleerde certificaten te gebruiken als valide trust anchor in plaats van een ingebouwde. Dat is ook het mechanisme wat hier door de Kazachstaanse overheid wordt gebruikt door de internetgebruikers lokaal een nieuw certificaat te laten installeren.
It is acceptable to allow Pin Validation to be disabled for some Hosts according to local policy.
For example, a UA may disable Pin Validation for Pinned Hosts whose validated certificate chain terminates at a user-defined trust anchor, rather than a trust anchor built-in to the UA (or underlying
platform).
https://tools.ietf.org/rfc/rfc7469.txt

Dit betekent dat alle HPKP mechanismes de deur uit gaan, omdat de user er 'zelf' (al dan niet verplicht) toestemming voor heeft gegeven om het certificaat waar de MITM mee wordt uitgevoerd te vertrouwen.

[Reactie gewijzigd door Swaptor op 19 juli 2019 16:17]

Dat is één, inderdaad.

Ook dacht ik dat voor secure DNS steeds meer gebruik gemaakt wordt van DNS over HTTPS, in plaats van DNSSEC. Daar schiet je dan natuurlijk ook niet veel mee op, aangezien je deze HTTPS verbinding ook kunt MitM'en.
DNSSEC is vooral validatie zodat jij weet dat de response klopt. DNS over HTTPS is vooral voor privacy.
HPKP gaat ook gedropt worden door Chrome. Sinds versie 68 al deprecated.
Certificate pinning in de browser zal wel werken, maar DANE komt de overheid nog wel omheen. Buitenlandse DNS-servers blokkeren op IP-niveu (Google, CloudFlare e.d.), en iedereen verplichten om DNS van de ISP te gebruiken. En dan die ISP natuurlijk verplichten om alle DNSSEC eruit te filteren en de signatures te vervalsen.
Dit is waarom dns over https succesvol kan zijn.
Als DNS servers niet meer van https servers te onderscheiden zijn, veel success met het monopolie op dns.
Maar als https onderschept wordt door het root certificaat, dan DNS over https ook....
Is dat niet vooral om gebruikers te waarschuwen dat er een MITM tussen jou en de website zit? Dat weten de Kazachstaanse gebruikers al, want ze hebben zelf de certificaten moeten installeren waardoor die er tussen kan zitten.
Of kan dit ook gebruikt worden door de sites zelf, om verbindingen te weigeren?
Ja, gebruikers zouden het kunnen weten doordat ze een root-certificaat moeten installeren. Ik vraag me alleen af hoe veel mensen doorhebben wat "dat programmaatje van de overheid om te kunnen internetten" doet. Hebben mensen in Kazachstan door hoe hard de overheid wil kunnen spioneren?
Ik denk dat de mensen voor wie het problemen op kan leveren dat wel weten.

Het lijkt me vrij onzinnig om alle internetgebruikers continu op deze manier te monitoren. Wil je dat doen, dan is kijken wie welke websites bezoekt voldoende en dat kunnen ze zonder dit root-certificaat verplicht te stellen ook al.
Het lijkt mij vooral bedoeld om alvast een deur open te hebben staan om mee te kunnen kijken wanneer internetgebruikers op de één of andere manier op de radar van de overheid verschijnen. Maar zo iemand is zich er meestal wel van bewust dat hij dingen doet waardoor hij in het oog kan lopen en zal maatregelen nemen om zich te beschermen, door bv. TOR of een VPN.
Een bijkomend doel zal een afschrikwekkende werking zijn. Wanneer je weet dat je overheid mee kan kijken zal je meer geneigd zijn om je 'netjes' te gedragen en verre te houden van controversiële sites. Maar als dat wil werken, dan zal de Kazachstaanse overheid heel duidelijk moeten maken voor iedereen dát ze meekijken.
Met steganografie? Het vermommen van gegevens als iets anders.
Dezelfde wanpraktijken als veel bedrijfsnetwerken erop na houden.
Echter in een heel land als Kazachstan heb je geen enkele keus. Enige wat je nog kunt doen is je verkeer tunnelen. En dat is weer voorbehouden aan de gevorderde gebruiker.
Hier een systeembeheerder die er zulke "wanpraktijken" op nahoudt.

PC's worden uitgerold met ons certificaat waarna onze firewall het verkeer decrypteert, scant op virussen, waar ik regelmatig wel een of andere cryptolocker tegenhoud, en ik blokkeer enkele categorieen zoals porno, hacking of virussen qua websites.

Ja, een goede gebruiker en werknemer moet bovenstaande dingen zeker kunnen bezoeken om zijn job goed te kunnen uitvoeren, dus eigenlijk wel een beetje schandalig dat we zo'n dingen doen... Lijkt me echt niet in vergelijking met een overheid die iets soortgelijk doet om burgers te bespioneren.

[Reactie gewijzigd door blinchik op 19 juli 2019 15:48]

Bij mij op kantoor werd er ook gebruik gemaakt van 'SSL inspection' van ZScaler ( https://help.zscaler.com/zia/about-ssl-inspection ). Het grote nadeel van zo een pakket is dat het alle websites ondertekend met zijn eigen certificaat. Helaas gebeurt dat bij dit pakket ook voor sites waarvan het certificaat niet goed is. De eindgebruiker krijgt dus netjes een groen slotje in zijn browser, terwijl zonder het pakket de site door de browser geblocked zou zijn.

Bij het openen van links op https://badssl.com/ waren en vrij veel groene slotjes te zien.

-edit: link gefixed

[Reactie gewijzigd door denxorz op 19 juli 2019 16:47]

Daarnaast kun je bank transacties inflight ombouwen ... en nog meer van die leuke geintjes.
De beheerder van het bedrijf als "bad guy"... kan snel veel ellende organiseren.
dergelijke oplossingen moet je niet willen...
Behalve dat je het HTTPS verkeer van banken in Nederland wettelijk gezien niet mag resignen. Nouja, ongeveer dan, volgens de wet moet de werkgever een balans vinden tussen haar eigen digitale veiligheid en de privacy van de werknemer. Bron

In de praktijk heb ik al bij meerdere corporates gewerkt waarbij het bankverkeer altijd uitgezonderd werd. Daar zag ik altijd netjes het EV certificaat van mijn bank. Dat maakt dit soort praktijken dan weer moeilijker.
Dat is derhalve dan ook een goede maatregel om te nemen. Bepaalde sites whitelisten en niet laten inspecteren. Mocht er dan wel malware doorheen komen dan heb je inderdaad een probleem, maar kun je het wel afschuiven door de bank aansprakelijk te stellen. Voor banken is dit namelijk een veel groter probleem dan alleen bedrijf X die ineens malware infecties heeft. Waarschijnlijk heeft half nederland dat dan.
Volgens mij werkt het beter om intern en extern af te schermen van elkaar. Hierbij vindt een fysieke scheiding plaats van deze 2 netwerken waardoor het interne netwerk niet benaderd kan worden met een computer bedoelt voor extern gebruik. Ik mag hopen dat de politie en AIVD ook op een dergelijke manier te werk gaat.
Besef dat die beheerder ook gewoon rootkits op jouw werk-PC kan installeren. Jij hebt toch geheel 0% bescherming tegen de sys-admin. Deze beveiligingen zijn dan ook bedoeld om hem/het werk tegen jou te beschermen. O-)

Tenslotte men vergeet dat het hier gaat om een werk-PC, en dus jij je privé zaken beter op een privé-PC kunt doen _/-\o_
En BYOD dan?

[Reactie gewijzigd door HenkEisjedies op 20 juli 2019 19:55]

BYOD, oftewel een privé-apparaat waar de werkgever niet de controle over heeft, gaat niet samen met goede interne security van een bedrijfsnetwerk, dat moet je gewoon niet willen als bedrijf.
Zodra het apparaat overgenomen wordt door management software, MDM profielen e.d., is het eigenlijk niet meer echt jouw apparaat, dan ben je zelf aan het betalen voor je zakelijke computer en dat is nogal idioot.

Ik loop tegenwoordig gewoon met twee laptops rond, een zakelijke die helemaal is dichtgetimmerd door het bedrijf en mijn eigen laptop waar 0 gegevens van het werk op staan.
Niet mee eens, maar je moet je beveiliging wel heel anders inrichten. Je moet er overal van uit gaan dat je het device in principe niet kan vertrouwen. (Tenzij geverifieerd met extra maatregelen.) Als je je hele security design daar op af stemt kan het uiteindelijk veiliger worden.

Je kan toch nooit 100% garanderen dat er alleen vertrouwde devices op je netwerk zitten. En als je daar wel van uit gaat en het gaat toch een keer mis dan zijn de poppen pas goed aan het dansen.

Bij veel bedrijven is BYOD inmiddels ook al niet meer weg te denken.
Het is wel lastig om iemand überhaupt toegang te geven tot interne bedrijfsaccounts/-servers (wat moet als mensen hun werk moeten kunnen doen) als je het apparaat zelf niet vertrouwt omdat jij niet degene bent die het ding beheert.

Alle apparaten die we niet zelf in beheer hebben mogen hooguit op het gastnetwerk.
Het is wel lastig om iemand überhaupt toegang te geven tot interne bedrijfsaccounts/-servers (wat moet als mensen hun werk moeten kunnen doen) als je het apparaat zelf niet vertrouwt omdat jij niet degene bent die het ding beheert.
Dat is dan ook niet voor niets het klassieke vraagstuk waar DRM zich mee bezig houdt. Hoe ga je 'jouw' data beschermen op een device waar je zelf geen controle over hebt.
Je moet er overal van uit gaan dat je het device in principe niet kan vertrouwen. (Tenzij geverifieerd met extra maatregelen.) Als je je hele security design daar op af stemt kan het uiteindelijk veiliger worden.

Exact, en daarin moet je dus automatisch aannemen dat een PC malware kan downloaden, en wil je die data liefst onderscheppen, voordat de virusscanner en andere beveiliging op de PC zelf eraan te pas komt.

Bij veel bedrijven is BYOD inmiddels ook al niet meer weg te denken.

Bij telefoons ja, maar bij PC's veel minder. Bij telefoons kun je als IT afdeling de BYOD ook gewoon inrichten met HTTPS-onderschepping en andere beveiliging zoals encryptie en minimale wachtwoorden etc. Plus remote wipe. Weten veel BYOD eigenaren waarschijnlijk niet, want anders zou men wellicht niet aan BYOD doen _/-\o_

Bij PC's is het meer vanaf thuis inloggen op die remote bedrijfs server via portaal.
Bij BYOD telefoons (en ook alle andere apparaten) is juist HTTPS onderschepping niet mogelijk! Althans, niet zonder de gebruiker zo ver te krijgen om een CA certificaat te installeren op het device. En als je dat doet is het jouw device niet meer...

Op een corporate device kan de beheerder de juiste CA certificaten voor de HTTPS onderschepping simpelweg installeren zonder dat de meest gebruikers dat merken. Die zien gewoon een slotje, als ze daar überhaupt al op letten. Maar dat het certificaat voor bankzusenzo.nl nu ineens door de interne bedrijfs CA is uitgegeven merken ze niet.

Vaak zitten de BYOD's daarom alleen op een guest netwerk, waarop je wel moet authenticeren, maar wat niet gekoppeld is aan het normale interne netwerk van het bedrijf. Daarna mag je vanaf je BYOD, via de guest WIFI, een secure VPN verbinding maken en een remote desktop op het interne netwerk overnemen of iets dergelijks. Of alleen verbinding maken met de mail server op een telefoon bijvoorbeeld (in een app die door het bedrijf verder beveiligd is).
Bij BYOD telefoons (en ook alle andere apparaten) is juist HTTPS onderschepping niet mogelijk! Althans, niet zonder de gebruiker zo ver te krijgen om een CA certificaat te installeren op het device. En als je dat doet is het jouw device niet meer...

Dat is toch wat ik schreef? En je legt het dan ook vervolgens uit:

Op een corporate device kan de beheerder de juiste CA certificaten voor de HTTPS onderschepping simpelweg installeren zonder dat de meest gebruikers dat merken

Dat is wat ik elder sook al schreef en bedoel met 'inrichten'. Certificaat push is immers inderdaad een standaard functionaliteit bij Android en iPhone voor talloze zaken via het bedrijfs IT management, en wil je op het bedrijfsnetwerk zul je dat moeten accepteren.

Echter zoals Sphynx schreef: "Zodra het apparaat overgenomen wordt door management software, MDM profielen e.d., is het eigenlijk niet meer echt jouw apparaat, dan ben je zelf aan het betalen voor je zakelijke computer en dat is nogal idioot."

Ik schreef dus ook al: "Weten veel BYOD eigenaren waarschijnlijk niet, want anders zou men wellicht niet aan BYOD doen" _/-\o_

Maar ja, die gratis WiFi op het werk om je Facebook te kunnen checken is zo onweerstaanbaar.

Ikzelf zou als bedrijf altijd een gast-netwerk regelen zoals jij aangeeft, maar HTTPS-intercept is in bepaalde bedrijfstakken gewoon een slimme oplossing in het groter geheel.
En BYOD dan?

Die mogen dan niet, of worden zodanig 'overgenomen' door IT dat het we veilig kan. Zo worden bij ons op een BYOD automatisch certificaten geinstalleerd O-) Verder is de kans dat via een iPhone malware het bedrijfsnetwerk binnen komt kleiner dan een PC of Mac omdat die meer gesloten is.

Hangt geheel af van de veiligheidswensen van het bedrijf. En bedrijf dat in militaire geheimen handeld, zal BYOD waarschijnlijk verbieden omdat ze 100% zeker en dagelijks doelwit van hackers zijn. Een bedrijf dat suikerbieten verscheept zal waarschijnlijk geheel niet aan HTTPS-onderschepping doen. Andere bedirjven zullen er tussen in zitten.
Door dit soort trucjes leren mensen niet meer naar SSL certificaten te kijken of een site veilig is, op het werk zien ze er anders uit dan thuis. EV certs kunnen namelijk niet op die manier aangemaakt worden.

Je ziet dus geen verschil meer tussen een malafide Rabobank site of de echte want “bij ons op het werk zien de certificaten er altijd anders uit”

Ook werken Apps niet meer die gebruik maken van cerificate pinning
EV certs kunnen namelijk niet op die manier aangemaakt worden.

Hangt van de browser af. Bij Internet Explorer vormt een intranet server dan de EV validator voor de intranet certificaten.
Tja als je nog met IE bezig bent dan snap ik dat je dit soort middeleeuwse praktijken gebruikt. Daarnaast Certificate pinning werkt nog steeds niet
Om bepaalde types websites te blokkeren moet je wel helemaal geen ssl trucjes uithalen natuurlijk.

Dat kan ook perfect met dns/ip based blacklisting.
Dit soort appliances komen 9 van de 10 keer met abo's om websites op basis van categorie te blokkeren.

Gewoon heel hacking, adware, porno, wapens, discriminatie en nog wat van die categorieen blokkeren scheelt al een hoop. Als je ze wilt bezoeken kun je dat thuis vrij doen, niet op het werk.

Dit betreft echter een heel land. Vind dergelijke overheden nogal gestoord. Hoop dat er dermate veel weerstand op komt dat het zo weer van de baan is.
IP blocking werkt tegenwoordig belabberd doordat het halve internet achter een CDN hangt, en dus IP adressen deelt. Kijk bijvoorbeeld naar het recente bericht over EZTV en TPB.
DNS filtering is ook maar in beperkte mate bruikbaar.
Dat is zwaar overroepen, met een deftige DNS/ip based filter + antivirus oplossing kom je al heeel ver qua web security.

Bron: wij doen het zelf zo, bij een 5000 werknemers tellend IT bedrijf. Zonder deep packet inspection.
Als je tijd over hebt kan dat natuurlijk. Maar dan weet je niet wat je werknemers van thuis uit binnenhalen bijvoorbeeld
Tijd over? Er zijn massas oplossingen die dit volledig automatisch voor je doen. Elke grote vendor heeft wel zo'n dns based oplossing, naast deep packet inspection.
Tsjah, mijn file server staat niet op die Blacklist hoor. Dan val je inderdaad terug op DPI - en dan heb je SSL decryption nodig zoals gesteld.

Blacklist is wel handig, maar het is eigenlijk altijd te laat. En Whitelisten kost veel tijd
Het ging dan ook over websites ;-)
Op een ip kunnen meerdere websites gehost worden, daarom moet je niet al die websites blokkeren :)

Niet alleen moet je je clients beschermen, over SSL kan je ook vanalles tunnelen wat niet hoort.

Zonder DPI kan je gewoon niet meer in een serieuze coorporate omgeving.
Zoals ik al hierboven zij:

Dat is zwaar overroepen, met een deftige DNS/ip based filter + antivirus oplossing kom je al heeel ver qua web security.

Bron: wij doen het zelf zo, bij een 5000 werknemers tellend IT bedrijf. Zonder deep packet inspection.
Geen idee wat voor een bedrijf jullie zijn, maar wij zitten in de medische sector en stellen vrij hoge eisen aan beveiliging. Patientgegevens mogen absoluut niet lekken. Sommige mensen vinden een gordel dragen in een auto ook zwaar overroepen, en zijn ook nog nergens tegen gereden, dat wil niet zeggen dat het een goed idee is om de gordel niet te dragen.

IP based is leuk om botnets enzo te blokkeren, daar worden live-lijsten van bijgehouden.

Waarschijnlijk scannen jullie je http verkeer wel op virussen. Wat dan eigenlijk nutteloos is want tegenwoordig gaat alles bijna over https. Je wil echt niet enkel en alleen op een virusscanner op de client alleen vertrouwen.

En zoals ik al zei: je blokt tunneling ook niet af. Een beetje developer, tweaker of cryptolocker die bij een botnet behoort doet op jouw netwerk dus gewoon alles wat hij wil.

Daarenboven werkt je IPS ook bijna quasi meer (servers wil je echt wel absoluut achter DPI zetten, zodat dingen zoals sql injection of zero day exploits al op firewall niveau worden tegengehouden, vooraleer ze de server bereiken). Ik ken de cijfers niet uit mijn hoofd maar schrik er altijd van hoeveel attacks er daar al niet worden tegengehouden.
"Waarschijnlijk scannen jullie je http verkeer wel op virussen" , nee hoor.

Je kan het gewoon niet echt veralgemenen, bij ons als bedrijf valt voor mogelijke hackers weinig interessants te rapen,

Bij jou in de medische sector is dat anders, dat is een veel logischer doelwit. IT security is mijn insziens ook een afweging kosten/baten. Bij ons zou het overdreven zijn om alles uit de kast te halen op dat gebied.
Je kan het gewoon niet echt veralgemenen, bij ons als bedrijf valt voor mogelijke hackers weinig interessants te rapen
Dat mag je zeker niet denken. Gerichte aanvallen gebeuren niet zo heel vaak, meestal scant men gewoon een paar miljoen ip adressen, en wie iets niet is vergeten te patchen heeft prijs.

Misschien is jouw bedrijf niet heel interessant voor een hacker, maar het is wel interessant om een anonieme proxy te installeren (zodat men verkeer anoniem via jou kan omleiden), een of andere fake visa of bank site te installeren, etc etc.

Maar het effect van een gerichte aanval is natuurlijk nog veel erger, dan heeft men al een echt doel op het oog....
DPI is in de regel niet nodig om categorieën te blocken toch? Dat gaat meestal op basis van DNS...
Hoe weten je gebruikers vervolgens dat hun eigen informatie niet bekeken wordt? Is het midden niet erger dan de kwaal? Je praat bijna goed dat de Kazachse regering deze zaken blokkeert in het kader van misbruik.

Virussen kun je op andere manieren ook perfect buiten de deur houden. De meeste virusscanners hebben hier voldoende middelen voor.
Op mijn werk draait ook zo'n appliance. Toen ik eens een opmerking kreeg van de beheerder waarom ik op tweakers.net forum zat te surfen (zonder dat er naar mijn scherm gekeken werd), keek ik wel raar op.
Daar heb je geen dpi voor nodig toch? Urls zijn duidelijk genoeg.
Hoe weten je gebruikers vervolgens dat hun eigen informatie niet bekeken wordt?

Dat weten ze niet, anders dan dat de werkgever in sommige landen (waaronder Nederland) soms de privacy wetgeving kan overtreden. Net zoals jij er dus op moet vertrouwen dat je werkgever geen camera's op het toilet hangt zeg maar.

Een heel impopulaire oplossing trouwens, maar wel doeltreffend is werknemers die hun eigen informatie-afhandeling gewoon enkel thuis doen, of op een apart gast netwerk. Zo heeft mijn werkgever het opgelost.

[Reactie gewijzigd door Armin op 19 juli 2019 22:21]

Zit je zelf ook achter deze wall? Valt me vaak op dat die "veiligheid" niet hieft te gelden.voor de beheerders.
Uiteraard. Ik ben niet gek. Die policy geldt voor iedereen. Waarom zou ik in godsnaam willen dat mijn verkeer niet wordt gescanned op virussen, phishing en dat er IPS gebeurt om mijn werkstation te beschermen?

Zo werk ik ook onder een gewone gebruikers account, en gebruik ik alleen mijn admin account als ik dat nodig heb.
Hier een systeembeheerder die er zulke "wanpraktijken" op nahoudt.

PC's worden uitgerold met ons certificaat waarna onze firewall het verkeer decrypteert, scant op virussen, waar ik regelmatig wel een of andere cryptolocker tegenhoud, en ik blokkeer enkele categorieen zoals porno, hacking of virussen qua websites.

Ja, een goede gebruiker en werknemer moet bovenstaande dingen zeker kunnen bezoeken om zijn job goed te kunnen uitvoeren, dus eigenlijk wel een beetje schandalig dat we zo'n dingen doen... Lijkt me echt niet in vergelijking met een overheid die iets soortgelijk doet om burgers te bespioneren.
Hacking tegenhouden? Ik mag hopen dat jullie geen R&D afdeling hebben? Geen in-house web app ontwikkeling? R&D is zowat hetzelfde als de hele brede term hacking.

Hacking blokkeren = Arduino blokkeren, websites over internet veiligheid en 0-days blokkeren, websites over de laatste javascript misbruiken blokkeren, problemen over encryptie blokkeren, websites over cross side scripting attacks blokkeren, enz.

Hacking blokkeren = er zeker van zijn dat je producten niet veilig zullen zijn. Je engineers mogen immers niets opzoeken over hoe ze hun ontwerp veilig kunnen maken en kunnen beschermen tegen de laatste lekken.

Wel lekker voor het personeel: er wordt weinig van ze verwacht en als er een beveiligingsfout in de ontwikkelde software zit, kunnen ze de schuld daarvan terecht afschuiven op het IT beheer die alle websites over beveiliging/hacking blokkeert.
Met de categorie hacking bedoel ik hier uiteraard wel inbraak tools, verkoop van gestolen paypal accounts of fake facebook accounts, e.d. Arduino wordt hier echt niet door geblokkeerd, noch websites over veiligheid of stackoverflow.

Tools die we hebben aangekocht zoals bv. nessus, worden uiteraard ook niet geblokkeerd. Maar die draaien zelfs in-house.
Met de categorie hacking bedoel ik hier uiteraard wel inbraak tools, verkoop van gestolen paypal accounts of fake facebook accounts, e.d. Arduino wordt hier echt niet door geblokkeerd, noch websites over veiligheid of stackoverflow.

Tools die we hebben aangekocht zoals bv. nessus, worden uiteraard ook niet geblokkeerd. Maar die draaien zelfs in-house.
Dan kun je beter zeggen dat je online zwarte markten blokkeert? Dat is iets anders dan sites over online hacking blokkeren. ;)

[Reactie gewijzigd door GeoBeo op 20 juli 2019 11:20]

In bedrijfsnetwerken valt er nog iets voor te zeggen. Daar gaat de bescherming van het netwerk voor op jouw wens om private data te versturen naar websites die niets met je werkgever te maken hebben. Want een goede werkgever doet dat niet met sites die nodig zijn voor je dagelijks werk goed te kunnen utivoeren.
Het levert een gat op in de chain of trust van tussen de gebruiker en de site die hij gebruikt. De mogelijke juridische implicaties hiervan worden vaak nogal onderschat door de it afdeling. Bij mijn vorige werkgever is het uiteindelijk hierdoor niet uitgerold (bedrijf deed oa healthcare oplossingen)
En aan wat voor juridische implicaties moet ik dan denken? Een werknemer die z'n privé-bankzaken doet, gehackt wordt en de werkgever wordt dan aansprakelijk gesteld ofzo?
Dat je op je werk uiteraard nog steeds privacy hebt. Misschien heb je wel een hele goede reden om voor je werk op een bepaalde website te zitten. Of moest je per se privé even wat regelen. Kan allemaal. Je werkgever heeft niet ineens een vrijkaart om jou in de gaten te houden omdat je toevallig op zijn netwerk zit. Ja als bescherming tegen allerlei virussen mag je bepaalde zaken monitoren of blokkeren, maar een volledige browse geschiedenis bijhouden mag bijvoorbeeld niet zomaar.
Raadplegen van zorggevens om maar eens wat te noemen. Of het downloaden van een zorgcertificaat. Als ICT afdeling zijn er genoeg zaken die je niet eens zou willen kunnen zien imho.

[Reactie gewijzigd door BCC op 19 juli 2019 21:55]

Nee dit is nooit goed te praten en je leert je gebruikers om certificaat fouten te negeren. Op het werk zien ze dus een ander certificaat dan thuis waar ze wel netjes een EV certificaat krijgen bij het internet bankieren.

Als je het personeel niet vertrouwt dan moet je ze niet aannemen
Als je het personeel niet vertrouwt dan moet je ze niet aannemen
Zo simpel is het niet. En als werknemer die zich netjes aan de regels houdt en privezaken gescheiden houdt, heeft ook nergens last van.
Gelukkig werk ik niet voor bedrijven waar je niet even iets privé mag opzoeken
Mijn werkgever had er last van dat het overgrote deel van het dataverbruik van YouTube kwam, voornamelijk voor het luisteren van muziek tijdens het werk. Daarom hebben ze middels een extra rootcertificaat het verkeer zo afgevangen dat alleen lage videoresoluties mogelijk zijn. Op zich niets mis met deze benadering en veel vriendelijker dan gewoon YouTube blokkeren, maar met dat extra certificaat ben ik natuurlijk niet blij om eerdergenoemde redenen.
Of je vraagt gewoon netjes of mensen minder YouTube willen gebruiken, je zal versteld staan hoeveel mensen iets doen als je het gewoon netjes vraagt.

Daarnaast zou ik een snellere verbinding nemen
Of je vraagt gewoon netjes of mensen minder YouTube willen gebruiken, je zal versteld staan hoeveel mensen iets doen als je het gewoon netjes vraagt.
Dan moet je 't echt persoonlijk vragen als leidinggevende (en dan wordt 't ook niet gezien als vragen, maar als eisen). Het via een algemeen bericht rondsturen, werkt volgens mij niet of nauwelijks. En als je weer nieuwe medewerkers krijgt, moet je het wéér vertellen.
Waarom niet gewoon een externe 1-8mbit limiet per werkplek? Meer heb je voor de meeste kantoortaken niet nodig.
Of je QoS zo instellen dat verkeer van YouTube de ALLERlaagste prioriteit krijgt? Als het rustig is kunnen mensen muziek luisteren, als het druk is niet. Core business (Office 365 ofzo) en IP-telefonie hoog, afleidende zaken laag.
Ook een goed idee :)
Waarom niet gewoon een externe 1-8mbit limiet per werkplek? Meer heb je voor de meeste kantoortaken niet nodig.
Werkt dus alleen als je DPI doet? Want je documenten staan tegenwoordig vaak verplicht in de cloud; en de werking daarvan is van nature al erg traag in je browser. Dat wil je echt niet ook nog eens knijpen.
Als jij tijdens werktijd sites wilt bezoeken waar ik mijn bedrijfsnetwerk niet toe wil lenen is dat geen 'wanbeleid' maar een bewuste keuze. Een werknemer die dat tracht te omzeilen kan een andere werkgever zoeken.
Alleen heb je helemaal geen MITM aanval nodig om die sites te kunnen blokkeren. Dat sommige IPs of domeinen geblokkeerd worden op het werk netwerk is natuurlijk prima. Dat er invalide certificaten geinstalleerd worden zodat je al het netwerk verkeerd kan afluisteren en manipuleren, waaronder bank gegevens en andere privacy gevoelige informatie is natuurlijk erg fout.

Ik geloof niet dat dat te verantwoorden is voor de GDPR, buiten dat het immoreel beleid is.
Alleen heb je helemaal geen MITM aanval nodig om die sites te kunnen blokkeren.

Het gaat niet om blokkeren, maar analyseren van data. Ofwel een site die je werknemers best mogen of wellicht zelfs bedrijfsmatig moeten bezoeken, kan opeens malware bevatten. Via een advertentie, een gerichte aanval op jouw bedrijf, etc.

Sites blokkeren kan immers inderdaad veel makkelijker.
Zelfs dan vraag ik me af of je dat kan verantwoorden voor de GDPR. Je creeert namelijk doelbewust een groot gat in de beveiliging van de persoonsgegevens van je personeel. Terwijl je ook diezelfde virus scanners die je in je deep packet inspection doet, lokaal kan draaien op de PC van je werknemers. Dan bereik je hetzelfde zonder de MITM. Daarnaast kan je adblockers op alle PC's forceren of zelfs met Pi-hole achtige toepassing op je bedrijfs DNS een hoop daarvan afvangen. Allemaal alternatieven om je doel te bereiken en tegelijkertijd rekening te houden met de beveiliging van persoonsgegevens.

Daarnaast worden sites met een fout SSL certificaat opeens goed gekeurd door je MITM root certificate, waardoor je de veiligheid van het internet alleen maar verslechterd.

[Reactie gewijzigd door lappro op 20 juli 2019 23:27]

Zelfs dan vraag ik me af of je dat kan verantwoorden voor de GDPR. Je creeert namelijk doelbewust een groot gat in de beveiliging van de persoonsgegevens van je personeel

Dat personeel met bedrijfsmateriaal eigen persoonsgegevens gaan delen tegen bedrijfsbeleid in, is niet het bedrijf zijn schuld. Er is dus geen gat in behandeling persoonsgegevens want er zijn in principe geen persoonsgegevens, anders die personeel er illegaal in plaatst. Ook wordt er niks opgeslagen, en niet geanalyseerd buiten een beoogd doel. De GDPR legt hier dus niets in de weg.

Uiteraard moet het bedrijfsbeleid wel duidelijk zijn dat privegebruik niet mag, en dat het gemonitord wordt. En als het bedrijf netjes is, biedt het een gescheiden prive netwerk aan. Hierover bestaat in diverse landen jurisprudentie in de zin van wat redelijk is, en wat niet en een bedirjf moet zich daar natuurlijk wel houden.

Tenslotte ging dit bericht niet over NL of zelfs de EU, dus GDPR is vaak niet eens van wettelijke toepassing.

Daarnaast worden sites met een fout SSL certificaat opeens goed gekeurd door je MITM root certificate, waardoor je de veiligheid van het internet alleen maar verslechterd.

Dat is een mythe. Enkel indien de proxy slecht geconfigureerd is en dit toestaat. De proxy kan juist zelfs strenger zijn door extra checks te doen, die bijvoorbeeld Chorme browser zelf niet doet, zoals revocation checks.
Maar ik beweer toch niet dat wij dat doen? De reactie was op het commentaar dat bedrijfsnetwerken wanpraktijken gebruiken om te verhinderen dat gebruikers ergens heen gaan wat je niet wil. Ik vind dat zeer te verdedigen. Toen ik zag dat er meer dan 500 bezoeken per dag aan funda waren van een afdelingen vond ik het hoog tijd om daar iets aan te doen. Natuurlijk wel wat gepiep maar ik zie verdomme dat de productie gewoon hoger is.

Geen enkel probleem als je wilt weren wat voor weer het word, als je snel even een mail doet etc. Tuurlijk niet. Maar er zijn grenzen.
Dat je funda blokkeert vind ik nog te verantwoorden. Alleen zoals ik al zei daarvoor hoef je geen MITM aanval te doen, wat zo'n root certificaat installeren eigenlijk is. Je kan gewoon de DNS + IP adressen van Funda blokkeren en je bereikt hetzelfde resultaat zonder de privacy van je personeel op het spel te zetten.

Oftewel het is heel belangrijk om te kijken of het middel wat je inzet om je doel te bereiken wel toegespitst genoeg is of dat je te veel de privacy te grabbel gooit. Precies iets wat de GDPR probeert te beperken en dat je de minste privacy impact kiest om je doel te bereiken.
Wat @lappro volgens mij bedoelt is dat men onder de noemer van veiligheid iets doet waar men eigenlijk hele andere bedoelingen mee heeft. Veel bedrijfsnetwerken hebben eenzelfde stukje software draaien en dat is niet per se om er voor te zorgen dat je ergens niet bij kunt, maar vaak om te voorkomen dat er malware binnen komt. Helaas zijn die filters vaak veel te algemeen. Zo had ik laatst een oplossing voor een probleem gevonden op een forum van een gaming gerelateerde groep. Blocked wegens gaming. HElaas was dat de enige plek waar ik het antwoord kon vinden (enige hit). Blij dat ik een leuke 4G bundel heb. Anders had ik een dag niet verder kunnen werken
Dan doen jullie niet, totdat je gehacked wordt en de hacker wel misbruik gaat maken van dat certificaat waarmee hij alle verkeer op je netwerk kan ontsluiten. Wat als iemand even iets met digid moest regelen en nu ineens onbewust genoeg info inzichtelijk gemaakt heeft voor identiteitsfraude? Neem je als bedrijf daarvoor aansprakelijkheid?
Wellicht is de Tor browser hierbij ook nuttig? Die kun je eigenlijk als een gewone browser installeren, daar hoef je dus niet echt een gevorderde gebruiker voor te zijn. Tenzij verbindingen hiervan ook geblokkeerd worden, als dat kan?
Tenzij verbindingen hiervan ook geblokkeerd worden, als dat kan?
Landen kunnen dat kan zeker in hun land blokkeren. Gewoon het rijtje Tor-servers blokkeren; dat zijn er niet eens zoveel.
Dezelfde wanpraktijken als veel bedrijfsnetwerken erop na houden.
Ik werkte bij een bedrijf dat zulke dingen deed. Althans; blokkeerde specifieke websites zoals gokken, torrents en porno ivm virussen. Werken deed je op je werk pc/laptop en porno doe je maar thuis op je eigen pc.

Is iets voor te zeggen toch?? Je gaat geen risico nemen met miljardenbusiness omdat er 1 gokverslaafde rukker rond loopt.
Vanwaar komt dit plots? Heeft Kazachtstan één of ander oppressief regime aan de macht?
Het is een vrij opressief regime ja. Ze hebben net 30 jaar semi-dictatuur achter de rug met Nursultan Nazarbayev die niet vies was van wat mensenrechtneschendingen hier en daar, en zijn opvolger (Kassym-Jomart Tokayev) is aan de macht gekomen bij verkiezingen die niet eerlijk verlopen zijn.

Dus heel verassend is dit nu ook weer niet, hoe triest de ontwikkeling ook is. Slechte zaak voor de Kazakse burgers en hun vrijheden en privacy. Het wordt natuurlijk op deze manier ook wel een stuk makkelijker voor de overheid om oppositieleden te volgen...
Nursultan Nazerbayev blijft voorlopig nog wel voorzitter van de veiliheidsraad (en blijft daarmee de machtigste man in Kazachstan, ondanks dat hij als president afgetreden is). Dit lijkt me een maatregel die bij uitstek bij een dergelijk orgaan vandaan komt.
Dat. En de buurlanden hebben een probleem met fundamentalistische moslims, wat tot nu toe grotendeels aan Kazachstan voorbij gaat. Dat laatste willen ze graag zo houden en ze denken dat o.a. te kunnen doen door iedereen in de gaten te houden, of door in ieder geval de indruk te wekken dat ze dat zeer actief doen.
Aangezien er weinig georganiseerde oppositie van betekenis is (de weinige oppositie die er is kan hierdoor ook meteen veel beter in de gaten gehouden worden) kan zo'n maatregel er makkelijk doorgedrukt worden.
Installeer je een root ssl certificaat, mooi.. Maar als je een VPN dienst neemt en je drukt al het verkeer over de tunnel kunnen ze je verkeer toch niet bekijken, lijkt me?
Maar als je een VPN dienst neemt en je drukt al het verkeer over de tunnel kunnen ze je verkeer toch niet bekijken, lijkt me?
Deze maatregel van de overheid zal ook alleen echt effectief zijn in geval ze VPN ook gaan blokkeren. Dat kan later ten uitvoering worden gebracht natuurlijk.
Aangezien je SSL certificaat is vervangen voor een uit KZ, is het dan niet zo dat je ook dot certificaat gebruikt als je naar je VPN verbind? Dan is jou link tussen computer en VPN ook te onderscheppen.
Dan nog gebruiken de meeste VPN protocollen niet default certificaten voor encryptie, hooguit default voor identificatie van de client en server, dat valt hiermee dus niet direct af te tappen.
Ook zou de overheid dan al het VPN verkeer moeten omleiden door een MITM, iets wat met aardig wat moderne VPN protocollen toch erg lastig gemaakt wordt.
Waarschijnlijk volgt over een paar weken het nieuws dat VPN's verboden zijn en zoveel mogelijk geblokkeerd worden, samen met bijv. Tor en andere diensten/tools waarmee deze MITM omzeild kan worden.
Dat hangt er van af wie de VPN servers beheerd. Als die in Kazachstan staan acht ik die kans best wel groot ja.

Afhankelijk van het type VPN, waarschijnlijk niet. De meeste VPN soorten, een OpenVPN server bijvoorbeeld, om even een populair voorbeeld te noemen heeft z'n eigen certificaten en hoeven niets met die van de overheid te maken te hebben. Als zo'n server in Nederland staat en ik verbind er mee vanuit Kazachstan ziet de Kazachstaandse overheid alleen maar versleutelde data over de lijn gaan en daar kunnen ze niets mee.

De Kazachstaanse overheid moet al controle hebben over de VPN server willen ze mee kunnen kijken, en als jij voordat dat gebeurde verbinding hebt gehad met die server gaat jouw OpenVPN client sowieso zeuren dat er aan de server kant met de certificaten gerommeld is, dus dan weet je genoeg.
Aangezien je SSL certificaat is vervangen voor een uit KZ, is het dan niet zo dat je ook dot certificaat gebruikt als je naar je VPN verbind? Dan is jou link tussen computer en VPN ook te onderscheppen.
Als je een SSL-based VPN gebruikt met publieke CA, en je runt het over tcp-443, dan ja, kan me voorstellen dat je nergens komt. Als je je SSL-VPN met eigen CA gebruikt en niet de system trust store gebruikt waar dat CA cert in staat, dan wordt je waarschijnlijk geblokkeerd en detecteert je VPN een niet-vertrouwde verbinding (zoals het hoort).

Mocht je een heel andere soort verbinding maken dan TLS/SSL, dan kan je hier waarschijnlijk geheel aan voorbij.

Trouwens, OpenVPN werkt dan wel met TLS (meestgebruikte config, kan ook zonder), maar standaard op UDP met eigen reliability layer, met in het control channel daarin een eigen wrapper om TLS te doen. Daarom ziet het verkeer er van de buitenkant van de tunnel er niet direct uit als TLS/HTTPS, maar het is wel herkenbaar als OpenVPN en daarmee blokkeerbaar.
Griezelig zeg dit, het gaat de regering niks aan wat ik doe als ik binnen de wet blijf, weer een stapje dichterbij Dictatuur, waar de regering ALLES uitmaakt en beslist wat je doe, in plaats dat de regering de bevolking hoort te dienen.
Kazachstan is ook een dictatuur. De bevolking dient de regering.
Ja erg triest, erg voor de mensen daar, helemaal al die mensen die niet weg kunnen.
Dat is het. De wereld is vol slachtoffers van dictaturen.
Deze maatregel van de regering van Kazachstan is ook wel erg grof en bij mijn weten niet eerder vertoond.
Nou ik ben bang (en weet bijna zeker) dat andere regeringen straks dit ook gaan doen, en in China gebeurd dit al veel langer, daar kan je helemaal niks meer doen zonder dat de regering dat weet, zelfs buiten de internet, als je alleen al verkeerd de weg oversteekt kost het je al punten, en te veel minpunten en je verliest HEEL veel van je vrijheid die nog een beetje had.

[Reactie gewijzigd door AmigaWolf op 19 juli 2019 22:30]

Waarom denk je dat er in Nederland nu een verbod is op gezichtsbedekkende kleding?
Precies!
Ja daar zit ook zeker wat in.
Ik spreek uit ervaring:
De straat oversteken waar het niet mag in China Shanghai geeft niemand wat om, behalve wanneer het nieuwe agenten in opleiding zijn, dan kost het je 50 RMB, oftewel omgerekend pakweg 7 euro.

Edit: China is groot, nuance toegevoegd

[Reactie gewijzigd door bramvandeperre op 20 juli 2019 23:00]

Ik spreek uit ervaring:
De straat oversteken waar het niet mag in China Shanghai geeft niemand wat om, behalve wanneer het nieuwe agenten in opleiding zijn, dan kost het je 50 RMB, oftewel omgerekend pakweg 7 euro.

Edit: China is groot, nuance toegevoegd
Heb je ervaring met dit systeem dat het op volle toeren draait, en niet net echt begonnen is??

Wat ik begrijp is dat je daar geweest ben of gewoond heb of woont, maar het is allemaal nog in de begin stadium, en het zal alleen maar erger woorden, mark my words.
Ik heb geen glazen bol, dus dat kan ik niet zeggen. Maar momenteel kan je gewoon de straat oversteken waar het niet mag.

De politie is verder zo corrupt als wat, dus met een beetje geld kan je heel veel bereiken.
Ik heb geen glazen bol, dus dat kan ik niet zeggen. Maar momenteel kan je gewoon de straat oversteken waar het niet mag.

De politie is verder zo corrupt als wat, dus met een beetje geld kan je heel veel bereiken.
Ja en laat nou een hoop mensen niet veel geld hebben in China, en je hoef geen glazen bol te hebben om te weten dat dit 10x erger gaat woorden, dat heet logica.
Maar het leuke is dat VPN op zoveel manieren (en poorten) mogelijk is, zal lastig gaan worden om dit alles 100% te blokkeren.
Ik denk dat een telefoontje naar de ICT afdeling van China de blokkade kans zeer zal vergroten.
True. China's 'Great Firewall' is al behoorlijk geavanceerd geworden.
Ik was laatst in China en moet zeggen dat hun firewall niet echt zo dicht staat als wordt beweerd. Geen enkel probleem gehad om via VPN gelijk welke dienst dan ook te consulteren. Met een buitenlandse simkaart in je gsm kun je tegenwoordig (als je eigen data gebruikt) gewoon alle diensten gebruiken die je wilt, inclusief Facebook etc.

That being said, iemand die daar al jaren woont en werkt vertelde dat bij grote evenementen VPN's wel degelijk niet meer werken maar dat de verbinding nadien altijd wordt "hersteld".
Als buitenlander wordt je in de meeste gevallen niet blootgesteld aan het volledige euvre aand blokkademiddelen. Vooral in bijvoorbeeld de grotere hotels merk je vrijwel niets. Zodra je bij bezoek aan een plaatselijk bedrijf via hun guest WIFI even je Gmail wil checken werkt het ineens 'niet zo goed'. Dan denk je meestal eerst aan onstabiele WIFI maar ... "Think again";o).
Moet/kan ik bevestigen. Soms lukte de handshake niet en dan paar minuten/uren later wel, en soms lukte her wel op 1 device en niet op het andere op dezelfde locatie, maar ik heb eigenlijk nooit echt last gehad met VPN over 4G bij China Mobile.
Mijn VPN-verbinding via VyprVPN doet het niet in Kazachstan. Ik kan geen verbinding krijgen met de servers.In andere vrij autoritaire staten als Iran, Uzbekistan en China was dit een aantal jaar geleden nog geen probleem.
NordVPN doet het vooralsnog prima.
Moet je wel in het buitenland installeren, want de website wordt geblokkeerd.
Nee, maar hoeveel mensen doen dat? En misschien blokkeren ze de poorten wel zodra het verkeer het land uit gaat. Alles kan en niks moet, maar als die overheid het zo speelt, kunnen ze het "probleem" van VPN's ook ondervangen.
haha, ik zou je vertellen hoe mijn openVPN vrij goed werkt in China.
Ik gebruik port 80 voor mijn OpenVPN server.
Dat is geen garantie; ik draai t zelf op port 443 en toch wordt dit door sommige netwerken geblokkeerd omdat ze via deep packet inspection kunnen zien dat het VPN-verkeer is. Je kunt wel met iets als stunnel het maskeren als https verkeer maar dat vereist ook wat meer aanpassingen op je device zelf.
De reden voor poort 80 is dat 443 geknepen werdt door de great wall.
En poort 80 heel veel gebruikt werd ( verandert nu dus ) en ze hadden meer dan ~1.5 uur voor nodig om het te vinden en te blokkeren. Een simpel reboot van de telefoon gaf me weer een nieuwe IP en weer ~1.5uur. Voor volgende week moet ik weer een VPN op zetten en zal een VPN opzetten over poort 80 en 443. Verwacht namelijk dat 443 nu meer gebruikt wordt. Het is gewoon verstoppertje spellen :-)
Nee, maar hoeveel mensen doen dat? En misschien blokkeren ze de poorten wel zodra het verkeer het land uit gaat. Alles kan en niks moet, maar als die overheid het zo speelt, kunnen ze het "probleem" van VPN's ook ondervangen.
Nee , je kan altijd uscurificeren.
en dan is het ruis wat er door heen komt.
je kan altijd een extra encryptie laag aan bregen.
Nee, dat kan niet altijd. In ieder geval niet in deze context. Dat is technisch ook te stoppen.
Nee, dat kan niet altijd. In ieder geval niet in deze context. Dat is technisch ook te stoppen.
tuurlijk wel hier een voorbeeld wat ik in t engels heb geschreven.
t komt er op neer dat je alles op iets anders kan laten lijken in t IT universum :)

Ethernet can carry protocols other than IPv4. IPv6 is one of them, but there were at one time a whole slew of them, like IPX and Appletalk. But ISPs don't carry them, so they're effectively blocked and have largely died out, and everything uses IPv4 or IPv6. Even if you want to use Appletalk today, you encapsulate in IPv4 or IPv6.

There are also a whole bunch of IP transport protocols other than TCP and UDP, but firewalls have a tendency to block them, so today people just encapsulate everything in TCP or UDP.

There are a lot of TCP and UDP ports too, with their own protocols, but those darn firewalls again, so now everything is increasingly using HTTP[S].

The things that get blocked never go away, they're just made to look like whatever is still allowed. Yes sir, Mr. Firewall, this is Hypertext Transfer Protocol over SSL on TCP port 443 using IPv4, which is approved for intercept.

Except that it's really email and games and file downloads and whatever else, with things added daily by everyone on the internet, and no reference for what all of that plaintext is even expected to look like.

So you say you're going to get a DPI classifier and try to distinguish all these different types of HTTP. Except that whatever you exclude will soon be right back encoded as formats and protocols you allowed, because information theory says you can encode anything into anything.

And it gets harder to distinguish them with every iteration, because what you're really using to distinguish them is their encoding inefficiency -- it's the things that are always the same for a given class of data, even though the relevant part of the message is the things that are different. The end state of all of this is that the real entropy is all that's left and there is nothing there to distinguish with anymore
Ok, ik was niet helemaal duidelijk. Ja, je kan een hoop verbergen, zo niet alles. Maar in deze context heb je er niet zoveel aan. De regering wil verkeer kunnen inspecteren. Wanneer jij dat moedwillig gaat ontduiken, denk ik niet dat ze dat zomaar accepteren... Dus als dit stap 1 is, is stap 2 misschien dat alle e-mail via servers van de overheid moet lopen. En ja, dan kan je nog steeds informatie bijvoorbeeld in een plaatje stoppen. Dat zal niet (direct) opvallen. Maar dan is er van degene waarmee je communiceert ook actie vereist. Dit maakt het dus alleen in zeer specifieke gevallen geschikt om te gebruiken. In dit geval heb je er niet zoveel aan. Dit gaat om de grote massa die aan banden gelegd wordt. Die weten niks van encryptie of obfuscatie.
Ok, ik was niet helemaal duidelijk. Ja, je kan een hoop verbergen, zo niet alles. Maar in deze context heb je er niet zoveel aan. De regering wil verkeer kunnen inspecteren. Wanneer jij dat moedwillig gaat ontduiken, denk ik niet dat ze dat zomaar accepteren... Dus als dit stap 1 is, is stap 2 misschien dat alle e-mail via servers van de overheid moet lopen. En ja, dan kan je nog steeds informatie bijvoorbeeld in een plaatje stoppen. Dat zal niet (direct) opvallen. Maar dan is er van degene waarmee je communiceert ook actie vereist. Dit maakt het dus alleen in zeer specifieke gevallen geschikt om te gebruiken. In dit geval heb je er niet zoveel aan. Dit gaat om de grote massa die aan banden gelegd wordt. Die weten niks van encryptie of obfuscatie.
hide in plane site... er zijn genoeg opties...
zoals DRM video protocolen etc....
wat ze willen kan niet je kan niet alles zichbaar hebben.
daar gaan ze dan hard achter komen.

[Reactie gewijzigd door bluegoaindian op 20 juli 2019 15:24]

Nog steeds: in deze context heb je er niet veel aan.
Vraag eens aan mensen zonder IT kennis of zij ooit al gehoord hebben van VPN. Kans is heel groot dat ze nee gaan antwoorden.
En even het internet op om uit te zoeken hoe je dat moet instellen zit er ook niet in, om maar niet te bedenken wat er gebeurt als Kazakse Stasi merkt dat ze jouw verkeer niet kunnen uitlezen nadat het je eenmaal wel gelukt is...
Ik weet niet wat de exacte eisen zijn maar het is de bedoeling dat je het certificaat gebruikt om het internet op te kunnen. Zover ik weet (en kan vinden) is het daar niet verboden om zelf al je informatie ook nog is te versleutelen.
Dan kan ook een goed ding zijn. Als ik even terugkijk naar mezelf?
Stiefpa die wat de klootzak uithing en toegang tot het internet bemoeilijkte
School waar ze proxy servers en gateways inzetten....
Jobs waar ik gelimiteerd werd door tekortkomende rechten.

Al die dingen hebben mij enorm veel doen bijleren over DPI, obfuscation, encryptie, privacy op het net in het algemeen.
Misschien dat de Kazachstaanse bevolking ineens ook een stuk meer IT-kennis gaat opdoen.
En vraag eens aan mensen met IT kennis hoeveel daarvan daadwerkelijk een VPN gebruiken?
In het kort: Ik zou er niet op rekenen.
In het lang: Dat ligt er een beetje aan.
Als we het nieuwsbericht letterlijk nemen en ze alleen iets met HTTPS doen dan ben je inderdaad veilig als je een VPN gebruikt, mits die VPN zelf niet over HTTPS loopt.
Als we iets verder denken, en bv kijken naar wat China doet, dan is het aannemelijk dat andere verbindingen ook onderschept dan wel geblokkeerd moeten worden.
De meeste VPN's maken uiteindelijk ook gebruik van SSL om de verbinding te beveiligen, en die kun je dan op dezelfde manier openbreken als HTTPS.
Wanneer de overheid al je HTTPS verkeer kan decrypten wordt het al heel lastig om je VPN configuratie en credentials aangeleverd te krijgen zonder dat zij die ook kunnen zien.
Ben niet zo in de wereld van network and security, maar stel dat je een VPN gebruikt kan je dan nog wel gebruik maken van websites zonder die rootcertificaat?

[Reactie gewijzigd door Erazher op 19 juli 2019 14:10]

Ja dat zou mogelijk zijn.
Nee dat zou niet mogelijk moeten zijn. Je kan wel een VPN en dat rootcertificaat gebruiken waardoor het nog steeds versleuteld is bij de ISPs, maar volgens alle nieuwsberichten is het niet meer mogelijk om het internet op te gaan zonder dat rootcertificate.
Op het moment dat er E2E encryptie in het spel is gaat dat dan weer niet op.

Ik ben echter bang dat “unknown” traffic gewoon in zijn geheel geblokkeerd wordt.

Kijk het probleem zit em er in dat ze opzich een punt hebben. Als je gewoon een beetje normaal interwebst is het geen enkel probleem en zal er ook niks gebeuren met die data. Als je dan VPN gaat gebruiken snap ik vanuit veiligheid dat je als overheid dan denkt, hee dat is verdacht. Misschien zijn ze wat aan het bekokstoven. En ja waarschijnlijk zullen mensen die een coup of aanslag aan het voorbereiden zijn wel een VPN gebruiken, alleen dan gaat zo’n root cert dus precies niet de juiste personen opleveren. Daarnaast werk je zo juist in de hand dat men standaard al met VPN gaat werken inder het motto, “ja dag, privacy en dingen”. Waarmee je dus direct een grotere target base hebt met heel veel false positives.

Een maatregel als dit gaat derhalve ook nooit om veiligheid of iemand moet heel slecht voorgelicht zijn op bestuursniveau en daardoor denken dat dit helpt. De enige reden om dit te kunnen is monitoren, censuur en dictatuur opbouwen. Je werkt hiermee de vrije informatievergaring namelijk tegen.

Dus hoewel ik de maatregel wel snap, weet ik ook dat het daar helemaal niet om gaat helaas. Ook in een land als nederland (zijn we de WiV alweer vergeten?) worden dit soort dingen gedaan onder het mom van veiligheid, maar wat als iemand anders aan de macht komt die het voor andere doeleinden wil gebruiken?

Precies, no go dit.
Ben niet zo in de wereld van network and security, maar stel dat je een VPN gebruikt kan je dan nog wel gebruik maken van websites zonder die rootcertificaat?
Dat ligt er aan, maar als je VPN ook met SSL is beveiligd, zoals de meeste VPN's, dan is er niks dat ze tegenhoudt om hetzelfde met je VPN te doen.
Hangt van de beveiliging af.

Zoals ik begrepen heb, is het meer zoals die gratis WiFi bij Starbucks. Je krijgt eerst een portal waar je de voorwaarden moet accepteren. Ofwel, je komt uberhaupt het internet niet meer op zonder het root-certificaat te accepteren.

Uiteraard is het goed mogelijk al je verkeer via een VPN naar buiten het land te sturen, via een VPN protocol dat niet gebaseerd is op TLS/SSL en ook dit rootcertificaat niet accepteerd op andere wijze.

Ook is het uiteraard mogelijk een tweede encryptie-laag te gebruiken in je TLS/SSL/HTTPS verbinding of een geheel ander protocol. WhatsApp is bijvoorbeeld nog steeds veilig.

Maar de gemiddelde gebruiker kan dit niet zomaar.
Ik zou het nooit accepteren, maar ik woon ook in een vrij land.
Lijkt een beetje op die actie in China waarbij mensen in een bepaalde provincie verplicht een tooltje van de regering moeten installeren in hun telefoon.
Dit om de mensen te "beschermen".
Hoe zou je het dan nooit accepteren ? Je hebt immers geen keuze - of als enige andere keuze, geen internet meer gebruiken.

Als tweaker zou je nog een VPN kunnen opzetten die niet over http / https gaat, maar voor een gewone burger gaat dat waarschijnlijk veel te ver.

Als je het root certificaat van de overheid niet installeert, en toch verder surft, dan wordt het verkeer immers ook gewoon ontsleuteld.
Ik zou dan geen internet meer gebruiken, had ik even erbij moeten zeggen.
Mischien anders nog ouderwets met een modem connecten naar een adres in buitenland?
Wel erg omslachtig.

Ik ben gewoon even te koppig hiermee. Net als die vage acties dat encryptie verboden zou worden, ik zou gewoon encryptie extra verhogen.
Er was eens een nieuwsbericht over een land waar dat besproken werd.

[Reactie gewijzigd door fastbikkel op 19 juli 2019 16:10]

Dat is meestal lastig in zulke landen omdat ook het telefoonnetwerk onder overheids controle staat.
Satelliet internet is altijd een optie iirc.
We hoeven de hosting provider niet te gebruiken, zou kijken naar mogelijkheid voor een underground lan met de rest van mijn stad.
Lijkt een beetje op die actie in China waarbij mensen in een bepaalde provincie verplicht een tooltje van de regering moeten installeren in hun telefoon.
Dat gaat over bezoekers van die regio, niet de inwoners. Niet veel beter natuurlijk...
Oh ik kan me niet herinneren dat het over bezoekers ging.
Het was ook bedoeld om de locals in de gaten te houden, voornamelijk moslims.
Wat je ook nog kan doen is een virtuele desktop afnemen bij azure of een andere vendor, kan je alles bij elkaar internetten en 't enige wat ze zien in dat je connecties maakt voor beeld, muis en keyboard info. Probleem opgelost... 👍🏼
Wat je ook nog kan doen is een virtuele desktop afnemen bij azure of een andere vendor, kan je alles bij elkaar internetten en 't enige wat ze zien in dat je connecties maakt voor beeld, muis en keyboard info. Probleem opgelost... 👍🏼
Hoe ga je daar mee verbinden zonder dat die verbinding ook wordt open gebroken?
Encryptie ...

Probleem is natuurlijk authenticatie. Hoe weet je dat de verbinding met die azure server ook daadwerkelijk naar die azure server gaat tijdens het opzetten. Daarna zit je goed.

Maar mocht je dat oplossen, is het niet zo moeilijk.
Dan zien ze alsnog wat je typt, naar welke websites je gaat, en waarom zelfs niet gewoon jou live volgen, frame per frame zelfs./

[Reactie gewijzigd door Tokkes op 19 juli 2019 15:37]

Zeer slechte zaak dit. Maar als browser maker de stijd aangaan betekent alleen maar dat je marktaandeel verliest. Is er technisch niet iets mogelijk waardoor dit soort praktijken nooit kunnen werken. Websites weigeren dan gewoon te werken. Iets wat dat in de nieuwe tls standaard verwerkt kan worden.
Aan de andere kant kun je je als browsermaker afvragen of je aan dit soort praktijken wilt mee doen.
Ben benieuwd hoe ze dit gaan verkopen aan de FIA voor de komende GP. :D
En de teams die daardoor afgeluisterd kunnen worden, en de coureurs enzovoorts....
Zonder problemen. Maken gewoon een uitzondering voor de netwerken van die organisatie.

Zo werkt het ook voor veel buitenlandse bedrijven in China. Op kantoor heb je ‘ander’ internet dan de gewone chinees thuis.

Daarnaast, de FIA interesseert dit soort dingen geen moer, zolang Kazachstan maar betaalt.
Inderdaad een slechte ontwikkeling dit, maar inherent aan de machthebbers aldaar.
Sowieso, als browser leverancier zul je moeten voldoen aan de lokale wetgeving, dus het root certificaat op een blacklist plaatsen maakt het product onrechtmatig en dus mag je het dan niet langer aanbieden in dat land voor zover ik weet.

Ik kan er echter best naast zitten met bovenstaande, met onderstaande weet ik echter zeker dat dit in alle gevallen werkt, welke stricte company policy ik dan ook heb meegemaakt incl. deep packet inspection spul :+

Als dit stap stap 1 is van deze overheid, dan is een verbod/verplichting van een bepaalde browser ook wel af te dwingen.

VPN is echter erg moeilijk te blokkeren, die kun je prima over poort 80 draaien, of willekeurig elke andere poort welke een standaard dienst aanbied.
Het door de overheid niet kunnen decrypten van dat verkeer kan uiteraard wel de nodige alarmbellen doen afgaan.
Denk echter dat er in dit land ook wel X-Box/PS4/Google Home/Smart Thermostaat/etc. gebruikers zijn waarbij je wel gebruik kunt maken van die diensten, zonder dat je op dat device een root-cert kunt toevoegen.
Poortje lenen van die dienst voor je VPN servertje die je ergens host en je bent "relatief veilig" voor de mensenrechtenschendende (is dat een woord?) bemoeienis van de overheid.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True