MITM در سطح ارائه دهنده: نسخه اروپایی

ما در مورد یک لایحه جدید در آلمان و ابتکارات قبلی با تمرکز مشابه صحبت می کنیم.

/Unsplash/ فابیو لوکاس

چگونه ممکن است به نظر برسد

در اوایل ماه جاری، مقامات آلمان لایحه‌ای را ارائه کردند که به سازمان‌های مجری قانون اجازه می‌دهد از زیرساخت ارائه‌دهندگان اینترنت برای نصب سیستم‌های نظارتی بر روی دستگاه‌های شهروندان استفاده کنند. چگونه این نشریه را گزارش می دهد Privacy News Online، متعلق به ارائه دهنده VPN Private Internet Access و متخصص در اخبار امنیت اطلاعات، ظاهراً از نرم افزار FinFly ISP FinFisher برای پیاده سازی MITM استفاده می کند. قبلاً در مورد آن بیشتر بخوانید به زبان هابره صحبت کرد به عنوان بخشی از یک خبر مشابه

چه چیز دیگری در هابره می نویسیم:

• کار ارائه دهنده: مجموعه ای از مواد در مورد پروتکل ها، فناوری اطلاعات و زیرساخت شبکه
• از ارائه دهندگان آمریکایی خواسته می شود که آستانه های بارگیری داده ها را حذف کنند - نتیجه چیست
• عوامل غیرمعمول و کاملا مشهود مؤثر بر ترافیک شبکه های شرکتی و کار ارائه دهندگان

بروشور ارائه شده توسط ویکی لیکس بیان می کند که نرم افزار FinFly ISP برای کار در شبکه های ارائه دهنده خدمات اینترنت طراحی شده است، با تمام پروتکل های استاندارد سازگار است و می تواند همراه با به روز رسانی نرم افزار بر روی رایانه مورد نظر نصب شود. یکی از ساکنان هکر نیوز در موضوع موضوعی پیشنهادیکه می توان از سیستم برای اجرای حمله QUANTUMINSERT استفاده کرد. همانطور که در Wired، او اشاره شد استفاده شده در NSA در سال 2005. این به شما امکان می دهد شناسه های درخواست DNS را بخوانید و کاربر را به یک منبع جعلی هدایت کنید.

تمرین بسیار قدیمی

در سال 2011، کارشناسان Chaos Computer Club (CCC) - انجمن هکر آلمان - گفت در مورد نرم افزار مورد استفاده توسط مجریان قانون در آلمان. این یک تروجان است که قادر به نصب درهای پشتی و راه اندازی برنامه ها از راه دور است. او همچنین می دانست که چگونه اسکرین شات بگیرد و دوربین و میکروفون کامپیوتر را روشن کند. حتی در آن زمان نیز سیستم مورد انتقاد شدید قرار گرفت.

در سال 2015 این موضوع دوباره برای بحث مطرح شد مسئله قانون اساسی بودن این نوع نظارت مطرح شد. چگونه نوشت تلویزیون بین المللی آلمان دوی دبلیو و نمایندگان سازمان سیاسی «حزب سبز» با این سیستم مخالفت کردند. آنها خاطرنشان کردند که "هدف اجرای قانون ابزار را توجیه نمی کند."

/Unsplash/ توماس بیورنستاد

داستان MITM در سطح ISP به طور گسترده در یک موضوع در Hacker News مورد بحث قرار گرفت. چند تن از ساکنان در مورد وضعیت با حریم خصوصی داده های شخصی به طور کلی

ما همچنین در مورد تعهدات برای ذخیره داده ها در سمت ارائه دهندگان اینترنت صحبت کردیم، و حتی شخصی یک مورد را به خاطر آورد Crypto_AG. این یک تولید کننده جهانی تجهیزات رمزنگاری است که به طور مخفیانه متعلق به سازمان اطلاعات مرکزی ایالات متحده بود. این سازمان در توسعه الگوریتم‌ها مشارکت داشت و دستورالعمل‌هایی برای تعبیه درب‌های پشتی ارائه کرد. این داستان نیز کاملاً مفصل است پوشیده شده در Habré.

بعدی چیست؟

هنوز تصمیم نهایی درباره لایحه جدید گرفته نشده و باید منتظر ماند. اما از قبل واضح است که مشکل جعل وب سایت ممکن است حادتر شود. اما کسانی که قطعاً می توانند از این وضعیت سود ببرند، ارائه دهندگان VPN هستند. آنها قبلاً تقریباً در هر موضوع یا هابراپست با موضوع مشابه ذکر شده اند.

آنچه در وبلاگ شرکتی ما بخوانید:

• نحوه ارائه وای فای رایگان طبق قانون
• ضربه به پا، یا اشتباهات مهم در ساخت شبکه اپراتورهای مخابراتی
• پیاده سازی IPv6 - پرسش های متداول برای ISP ها

منبع: www.habr.com