MITM au niveau du fournisseur : version européenne

Nous parlons d’un nouveau projet de loi en Allemagne et d’initiatives antérieures ayant un objectif similaire.

/Unsplash/ Fabio Lucas

À quoi cela pourrait ressembler

Plus tôt ce mois-ci, les autorités allemandes ont présenté un projet de loi qui permettrait aux forces de l'ordre d'utiliser l'infrastructure des fournisseurs d'accès Internet pour installer des systèmes de surveillance sur les appareils des citoyens. Comment informe l'édition Privacy News Online, propriété du fournisseur VPN Private Internet Access et spécialisé dans les actualités sur la sécurité de l'information, utilise soi-disant le logiciel FinFly ISP de FinFisher pour implémenter MITM. En savoir plus à ce sujet déjà a parlé en Habré dans le cadre d'une actualité similaire.

De quoi d’autre écrivons-nous sur Habré :

• Le travail du fournisseur : une sélection de documents sur les protocoles, l'infrastructure informatique et réseau
• Les fournisseurs américains sont invités à supprimer les seuils de téléchargement de données - quel est le résultat
• Facteurs inhabituels et assez évidents affectant le trafic des réseaux d'entreprise et le travail des fournisseurs

La brochure fournie par WikiLeaks indique que le logiciel FinFly ISP est conçu pour fonctionner dans les réseaux des fournisseurs de services Internet, est compatible avec tous les protocoles standards et peut être installé sur l'ordinateur cible avec une mise à jour logicielle. Un des résidents de Hacker News dans le fil thématique suggéréque le système peut être utilisé pour mettre en œuvre l’attaque QUANTUMINSERT. Comme indiqué dans Wired, elle utilisé à la NSA en 2005. Il vous permet de lire les identifiants de requête DNS et de rediriger l'utilisateur vers une fausse ressource.

Pratique très ancienne

En 2011, les experts du Chaos Computer Club (CCC) - Société allemande de hackers - dit sur les logiciels utilisés par les forces de l'ordre en Allemagne. Il s'agit d'un cheval de Troie capable d'installer des portes dérobées et de lancer des programmes à distance. Il savait également prendre des captures d’écran et allumer la caméra et le microphone de l’ordinateur. Même à cette époque, le système était soumis à de sévères critiques.

En 2015, ce sujet encore porté à la discussion. La question de la constitutionnalité de cette forme de surveillance s'est posée. Comment J'ai écrit La chaîne internationale allemande DW et les représentants de l'organisation politique « Parti Vert » se sont opposés à ce système. Ils ont souligné que « les fins de l’application de la loi ne justifient pas les moyens ».

/Unsplash/ Thomas Björnstad

L'histoire du MITM au niveau des FAI a commencé à être largement discutée dans un fil de discussion sur Hacker News. Plusieurs résidents ont soulevé des questions sur la situation avec confidentialité des données personnelles en général.

Nous avons également parlé des obligations de stockage des données du côté des fournisseurs d'accès Internet, et quelqu'un s'est même souvenu d'un cas Crypto_AG. Il s’agit d’un fabricant mondial d’équipements cryptographiques qui appartenait secrètement à la Central Intelligence Agency des États-Unis. L'organisation a participé au développement d'algorithmes et a fourni des instructions pour l'intégration de portes dérobées. Cette histoire est également assez détaillée couvert sur Habré.

Quelle est la prochaine

La décision finale sur le nouveau projet de loi n’a pas encore été prise et reste à voir. Mais il est déjà clair que le problème de l’usurpation d’identité de sites Web pourrait devenir encore plus aigu. Mais ceux qui pourront certainement profiter de la situation, ce sont les fournisseurs de VPN. Ils sont déjà mentionnés dans presque tous les fils de discussion ou habrapost traitant d'un sujet similaire.

Que lire sur notre blog d'entreprise :

• Comment fournir une connexion Wi-Fi gratuite conformément à la loi
• Un coup dans le pied, ou des erreurs critiques dans la construction des réseaux des opérateurs télécoms
• Implémentation d'IPv6 - FAQ pour les FAI

Source: habr.com