MITM على مستوى المزود: خيار أوروبي

نحن نتحدث عن مشروع قانون جديد في ألمانيا ومبادرات سابقة ذات تركيز مماثل.

/unsplash/ فابيو لوكاس

كيف يمكن أن تبدو

وفي وقت سابق من هذا الشهر، قدمت السلطات الألمانية مشروع قانون يسمح لوكالات إنفاذ القانون باستخدام البنية التحتية لمقدمي خدمات الإنترنت لتثبيت أنظمة المراقبة على أجهزة المواطنين. كيف تقارير المنشور Privacy News Online، المملوكة لمزود VPN Private Internet Access والمتخصصة في أخبار أمن المعلومات، من المفترض أنها تستخدم برنامج FinFly ISP من FinFisher لتنفيذ MITM. اقرأ المزيد عنها بالفعل تكلم في حبري كجزء من أخبار مماثلة.

ما الذي نكتب عنه أيضًا في حبري:

• عمل المزود: مجموعة مختارة من المواد حول البروتوكولات وتكنولوجيا المعلومات والبنية التحتية للشبكة
• يُطلب من مقدمي الخدمات الأمريكيين إزالة عتبات تنزيل البيانات - ما هي النتيجة
• عوامل غير عادية وواضحة تمامًا تؤثر على حركة مرور شبكات الشركات وعمل مقدمي الخدمة

ويشير الكتيب الذي قدمته ويكيليكس إلى أن برنامج FinFly ISP مصمم للعمل في شبكات مزودي خدمة الإنترنت، وهو متوافق مع جميع البروتوكولات القياسية ويمكن تثبيته على الكمبيوتر المستهدف مع تحديث البرنامج. أحد سكان Hacker News في الموضوع الموضوعي اقترحتأنه يمكن استخدام النظام لتنفيذ هجوم QUANTUMINSERT. كما لوحظ في سلكي, لها مستعمل في وكالة الأمن القومي في عام 2005. يسمح لك بقراءة معرفات طلبات DNS وإعادة توجيه المستخدم إلى مورد مزيف.

ممارسة قديمة جدا

مرة أخرى في عام 2011، خبراء من نادي الكمبيوتر الفوضى (CCC) - مجتمع الهاكر الألماني - قال حول البرامج المستخدمة من قبل سلطات إنفاذ القانون في ألمانيا. هذا هو حصان طروادة قادر على تثبيت الأبواب الخلفية وإطلاق البرامج عن بعد. كان يعرف أيضًا كيفية التقاط لقطات الشاشة وتشغيل كاميرا الكمبيوتر والميكروفون. وحتى ذلك الحين تعرض النظام لانتقادات شديدة.

في عام 2015 هذا الموضوع ثانية مطروحة للمناقشة. وقد أثيرت مسألة دستورية هذا الشكل من المراقبة. كيف كتبت وعارضت هيئة الإذاعة الألمانية الدولية DW وممثلون عن منظمة “حزب الخضر” السياسية هذا النظام. وأشاروا إلى أن "غاية تطبيق القانون لا تبرر الوسيلة".

/unsplash/ توماس بيورنستاد

بدأت قصة MITM على مستوى مزود خدمة الإنترنت في المناقشة على نطاق واسع في موضوع على Hacker News. أثار العديد من السكان تساؤلات حول الوضع مع خصوصية البيانات الشخصية ككل.

تحدثنا أيضًا عن التزامات تخزين البيانات من جانب مزودي الإنترنت، حتى أن أحدهم تذكر حالة ما Crypto_AG. وهي شركة تصنيع عالمية لمعدات التشفير التي كانت مملوكة سرا لوكالة المخابرات المركزية الأمريكية. شاركت المنظمة في تطوير الخوارزميات وقدمت تعليمات لتضمين الأبواب الخلفية. هذه القصة مفصلة أيضًا مغطاة على حبري.

ما هي الخطوة التالية

ولم يتم اتخاذ القرار النهائي بشأن مشروع القانون الجديد بعد، ويبقى أن نرى. ولكن من الواضح بالفعل أن مشكلة انتحال مواقع الويب قد تصبح أكثر حدة. ولكن من سيكون بالتأكيد قادرًا على الاستفادة من هذا الوضع هم مزودو خدمة VPN. لقد تم ذكرهم بالفعل في كل موضوع أو منشور تقريبًا بموضوع مماثل.

ما يجب قراءته على مدونة شركتنا:

• كيفية توفير خدمة الواي فاي المجانية وفقا للقانون
• طلقة في القدم أم أخطاء فادحة في بناء شبكات مشغلي الاتصالات
• تنفيذ IPv6 - الأسئلة الشائعة لمزودي خدمة الإنترنت

المصدر: www.habr.com