Bor i Kina. Vem kan se vad jag gör på nätet?

Om du använder dig av en vpn så kan ingen i ditt nät se vad du gör. Mer än möjligen den server som du ansluter vpnen till. ISP kan bara se några få saker för att din dator ska kunna koppla upp sig (normalt sett, kanske skiljer lite på här å Kina). Men själva trafiken är det ingen i ditt lan/wifi/isp som kan se mer än ovan.

Om du använder en VPN-service så kan ju de göra det.

Skickades från m.sweclockers.com

All traffik går genom stadskontrollerade great firewall of china, de kan se, och gör det aktivt, på allt du surfar.

När vi åker över gränsen visas webbsido besök, med samma laptop, som IE7 när man är i kina, men som chrome i vanliga fall. Rätt coolt och otroligt obehagligt

Det funkar inte när det finns en man in the middle

Jag har inte missat någonting. Kryptering fungerar bara om du verifierar mot mottagaren, men om mottagaren inte är den du tror den är, lämnar du över din nyckel till fel mål, och de kan nu vidarebefodra dig, samtidigt som de läser din traffik. Om man styr DNS servrarna är det ju busenkelt. Är ju en rätt vanlig, och framgångsrik attackvektor. Du tror du går mot https://säker.se, men du tittar egentligen mot http://säker.se, etc

Det är otroligt enkelt när du har full kontroll över hela ekosystemet och lägger mer än Sveriges GDP på att övervaka all kommunikation. Mängder av fungerande VPN i kina är honeypots för att bedriva industrispionage. Som sagt, ingen traffik lämnar kina utan att gå igenom brandväggen, de har koll på rubbet.

De är väl förmodligen olagliga till att börja med, och där jobbar de väl förmodligen snarare med att blockera tjänsterna (är väl en evig katt-och-råtta-lek så det är väl inget de lyckas med totalt sett) eftersom de inte kan ha koll på trafiken.

@evil penguin: Ja det kan jag köpa men det jag undrade var grunden till påståendet om att all trafik även genom skyddade VPNer var kontrollerad. Gissningsvis har de flesta västerländska bolag intranet vilket basically är VPN och Ambasader m.m. så var nyfiken på om det fanns något vikt vid påståendena.

Jag är lite nyfiken på hur man lyckas köra en redirect från https till http med hjälp av fejk-dns (förutsatt att ett root-cert inte är installerat av Kina i användarens OS/browser).
DVS, hur kan Kina få en användare hamna på http://säker.se när den skriver in https://säker.se i sin webbläsare?

Jag ser ju bara problemen på vår sida av gränsen så att säga. Kinesiska företag får ju bara lagra sin data inom kinas gränser, så man måste hosta deras data på plats via kinesiska bolag. Sen när man ska dit finns det massa regler om vad man får och inte får göra för staten, men också regler från "vår sida", vilka säger använd inte VPN, öppna bara mail via företagets nät, surfa inte där CCTV kamerorna kan se, dölj skärmen när du matar in lösenord, anslut aldrig till wifi, etc etc.

https traffik inifrån kina till utsidan har manipulerade headers och sker alltid genom en proxy, som fram till 2018 visade som att du körde win XP, IE7. Nu tror jag headern säger nåt annat.

Det finns massa föreläsningar om det här, är ingen hemlighet precis

Du behöver ju inte ens redirecta om du kontrollerar hela kedjan. Peka DNS mot din egen burk, peta in ett cert, skaka, kör själv vidare mot riktiga målet, skaka själv.

Jag är ingen säkerhetsperson, men det synes ju rätt trivialt att göra och inte ovanligt på något sätt.

https://blog.cloudflare.com/monsters-in-the-middleboxes/amp/

https://crypto.stanford.edu/ssl-mitm/

Lämna landet

Fram till 2018 var det ju väldigt enkelt, finns säkert andra vägar, precis som Stuxnet gjorde. Sina med nåt random Cert man kapat

https://www.zdnet.com/article/microsoft-dumps-notorious-chine...

Nu vet jag inte hur de faktiskt gör, men om de nu kör det där spåret så är väl förutsättningarna i praktiken att inget fungerar utan myndigheternas cert. (Om man inte använder något olagligt VPN eller liknande.)
Då kan man ju föreställa sig att de flesta inte ens är medvetna om detaljerna och har kvar certet.

Spoofa ett (vanligt) DNS-svar är ju inte speciellt svårt om man kan terminera trafiken innan och servera sitt egna svar.
Men att "peta in ett cert" är värre. Därför att användarens browser måste kunna följa hela kedjan från root-cert till utfärdat cert för att browsern inte ska klaga. Och om det är så att en certifikatutgivare ger ut felaktiga certifikat så kommer (och har) browsers och OS sluta installera deras root-cert och vips så har dessa företags kunder försvunnit från dem.
ELLER så har det petats in ett root-cert från Kina som gör att de kan utfärda och avkryptera vad som helst.

Ja, sen har vi ju proxys. Som Cloudflare är. Men där laddar du upp certs eller har din domän ompekad till dem så de kan generera cert.
Om Cloudflare skulle missbruka detta så kommer den "trust" som byggts upp försvinna och deras cert kommer bli verkningslösa.

Så, ja det är plättlätt att skapa ett cert för valfri domän. Att få valfri webbläsare att godkänna det är värre.

Bra inlägg! (oavsett om det är så det fungerar i kina eller inte) I mitt huvud var det viktiga att poängtera att om man har koll på saker blir man inte blir MITM:ad utan att veta om det, men om enda vägen till servern är via Kinas proxy har man ju bara valen att inte ansluta eller låta sig bli övervakad. Då sitter man ju lite i skiten oavsett.

Om du är säker kan du ju alltid åka dit och engagera dig lite i himmelska fridens torg, falun gong eller uigurer från ditt hotellrum över https och se hur bra skyddad du är. Det är nog lugnt, du har helt rätt.

Jo det gör det. Du får nog läsa på lite om kryptering.

Om inte VPN-klienten använder certificate pinning så är det enligt mig ingen seriös VPN-aktör. Cert bin verifierar alltså serversidans public key (fingerprint) mot det förväntade; bara innehavaren av den privata nyckeln kan ge ett korrekt svar. På så sätt kan man avgöra om det är rätt endpoint i andra änden eller om det sitter en proxy mellan.