Shamar @Shamar@qoto.org
Joined May 2019
Appunto, una CA firma e revoca certificati.
Quindi chi controlla una CA (e DNS o sufficienti AS intorno ad un obbiettivo) può intercettare (e anche alterare) il traffico (da/verso l'obiettivo).
Nel contesto di cui parlavamo (governo russo che distribuisce browser modificati/root certificates) questo significa poter registrare ed ispezionare il traffico degli utenti (in chiaro) tramite un MitM.
Poi sì, essere CA non basta per tirar su un MitM per HTTPS: è condizione necessaria ma non sufficiente.
No, è proprio un Man In The Middle.
E per inciso è anche uno dei metodi usati per tracciare il traffico all'interno di certe aziende: installo un root certificate nei portatili aziendali e faccio passare TUTTO il traffico da un transparent proxy che analizza (ed eventualmente sostituisce) le richieste.
Ma non fidarti di me: studiati i limiti del sistema di CA e scoprirai che o sanno tutti.
Qualsiasi CA può impersonare (fare un MitM) di qualsiasi sito sotto HTTPS anche quelli con certificati di altre CA, purché sia in grado di ottenerne le richieste.
No, è molto più semplice e diretto.
Qualsiasi Certification Authority può impersonare (o permettere l'impersonificazione di) qualsiasi sito web sotto HTTPS, rilasciando un certificato per il dominio.
Chi controlla una CA ha solo bisogno di riuscire a dirigere il traffico verso il server impostore, ad esempio attraverso DNS compiacenti (magari installati nel browser) o anche solo attraverso le rotte IP, possibile attraverso il controllo degli Autonomous Systems (AS) che determinano collettivamente le rotte attraverso il protocollo BGP.
Questo secondo metodo è alla base di molte grandi CDN: aziende come Google, Facebook, Amazon, Microsoft o Cloudflare usano questo sistema per avere diversi sever con lo stesso IP in diversi continenti.
Dunque controllare una CA riconosciuta dal browser significa poter impersonare qualsiasi sito.
You're right, my friend sent me the wrong url. I realized the error by looking at the wayback machine.
But the issue about Russian missing exit points is more serious.
Not sure.
I see #Tor can't select Russian exit node anymore. That's an interesting techno-political issue by itself.
No exit node in the whole Russia?
Sounds very unlikely.
However I'm afraid my friend gave me the wrong url as https://www.sputniknews.com is still reachable (even in normal http web browser).
Interesting enough.
A friend noticed that after the European ban of Sputnick media, the website is not accessible not even through #TorBrowser:
I was surprised: how is it possible?
Open #Tor Browser and tried several times to change the route, to select a Russian exit node with no success.
What's going on, @torproject ?
Also I remember a recent update of Tor Browser and I realized the route selection algorithm might have been changed in that occasion.
Non è così semplice anche se a molti fa comodo interpretare questo hack così.
https://nitter.net/giacomotesio/status/1505130962857996290
https://nitter.net/giacomotesio/status/1505125348249411590
@rik@mastodon.uno
Shamar
boosted
Trollata cosmica
(Cosmonauti russo con colori ucraini)
https://www.bbc.co.uk/news/world-europe-60804949
Shamar
boosted
per la tutela, sempre cavalcando l'onda delle notizie, forse sarebbe meglio indagare le pratiche commerciali di alcuni fornitori non della UE che spingono economicamente i titolari di loro licenze offline a migrare su loro servizi SAAS ...
Certo però che usare #GoogleAnalytics ora che è stato riconosciuto come illegale nell' Unione Europea è esso stesso un dark pattern.
@rik@mastodon.uno
Io sono solidale con tutti gli sviluppatori che finalmente prendono coscienza del potere politico (e militare) che hanno.
E della responsabilità che ne deriva.
http://www.tesio.it/2021/07/23/AIUCD2021_Lobbista_per_5minuti.html
Al contempo, spero che analoghi sabotamenti avvengano anche nella prossima guerra santa capitanata dagli USA.
Shamar
boosted
@lupantano
Perché, l'ecosistema di NPM e del mondo javascript aveva una reputazione da difendere?
@homegrown nevermind, found it...
@homegrown do you know the LibreServer fediverse account?
Shamar
boosted
@ThierryBreton@twitter.com 🇬🇧 Russia spies on Ukraine and peace activists. Still no support from EU Commissioner @ThierryBreton@twitter.com for a right to secure end-to-end encryption #E2EE in the #DigitalServicesAct #DSA as proposed by Parliament. This must change now!
https://peertube.european-pirates.eu/w/eTamhMxqcL2eo1cZU1JgH2
Hey @homegrown I've just seen your related project page and I noticed you did not mention #FreedomBone but then I realized its name changed to #LibreServer!
https://libreserver.org/
https://freedombone.net/
Good work! ;-)
@miriamgreco@mastodon.uno
Ho mai detto che Linux non contiene backdoor? 😉
Ne contiene meno, MOLTE meno, ma non è affatto esente.
E d'altro canto, chi credi che finanzi la stragrande maggioranza dello sviluppo del kernel Linux?
Sì beh, giusto per chiarire: io sviluppo software e NON vendo cybersecurity né consulenze sul tema.
Di mestiere sviluppo software finanziario per alcuni grandi gruppi bancari.
Nel mio tempo libero, oltre a sviluppare cose come http://jehanne.h--k.it/ e https://github.com/hermescenter/monitorapa mi occupo anche di educazione informatica e cibernetica ed insegno (sempre gratuitamente) a grandi e piccini concetti fondamentali che gli permettano di ragionare ed usare in maniera critica gli strumenti disponibili (ed anche di scegliere di NON usarli quando non valgono il costo che pagano in termini di autonomia).
Joined May 2019
