Kazachstán je testovací základnou pro novou jadernou možnost, která by mohla zničit veškerou naši webovou bezpečnost
2 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Během posledních několika let došlo ke společnému úsilí o zlepšení bezpečnosti a soukromí uživatelů internetu povzbuzováním webových stránek k přechodu na HTTPS; což znamená, že veškerý internetový provoz mezi webovou stránkou a uživatelem je šifrován. To znamená, že poskytovatelé internetových služeb sice mohou vědět, které webové stránky navštěvujete, ale nemají přístup k informacím, které si webová stránka vyměňuje s koncovými uživateli.
Google byl jednou z hlavních sil stojících za tímto krokem tím, že snížil hodnocení webových stránek ve velmi důležitých výsledcích vyhledávání, které nepoužívají šifrování HTTPS. Firefox i Google v současnosti označují weby, které nepoužívají HTTPS, jako „nezabezpečené“. To frustrovalo vládní a bezpečnostní agentury po celém světě; ale bývalá ruská republika, Kazachstán, našla způsob, jak dosáhnout úplné bezpečnosti tím, že donutí uživatele internetu, aby si instalovali svůj kořenový certifikát.
Jak bylo uvedeno v Bugzille 18. července, kazašský ISP MITM posílá SMS zprávy mobilním uživatelům, které je přesměrovává na webovou stránku, kde jsou požádáni o instalaci hanebného certifikátu. Poté je veškerý šifrovaný provoz směřující na Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com a Tamtam.chat směrován na vládní servery a poté je předán hostitelům. Koncoví uživatelé hlásí, že to také vedlo k zablokování některých webů a stránek na Facebooku a nabízí 403 chyb.
Kazachstánští obyvatelé komentující vlákno Bugzilla popsali kazašskou vládu jako autoritářskou a diktátorskou a povzbuzují Mozillu – tvůrce Firefoxu, aby proti tomuto bezpečnostnímu útoku rázně zakročili. Některá nabízená doporučení zahrnují: neumožnění koncovým uživatelům instalovat certifikáty a varování koncovým uživatelům, že instalace certifikátu by explicitně ohrozila jejich soukromí a zabezpečení – něco, co prohlížeč v současnosti nedělá. Alternativně lze podniknout cílenější akci, jako je zneplatnění certifikátu. V současnosti se nezdá, že by existovala konkrétní dohoda o tom, jak postupovat.
Zatímco problémy týkající se 18.6 milionů lidí v Kazachstánu se nám ostatním nemusí zdát příliš významné; takový útok by bylo snadné zopakovat západními vládami, jako jsou USA, Austrálie a Spojené království, které všechny mají své vlastní motivy dávat pozor na své občany, od terorismu přes pornografii až po porušování autorských práv.
Sledujte debatu o tomto velmi důležitém tématu na Bugzilla zde.