Kasachstan ist ein Testfeld für die neue nukleare Option, die unsere gesamte Web-Sicherheit sprengen könnte

In den letzten Jahren wurden konzertierte Anstrengungen unternommen, um die Sicherheit und den Datenschutz von Internetbenutzern zu verbessern, indem Websites ermutigt wurden, auf HTTPS umzusteigen. Das bedeutet, dass der gesamte Internetverkehr zwischen der Website und dem Benutzer verschlüsselt ist. Dies bedeutet, dass Internetdienstanbieter zwar wissen können, welche Websites Sie besuchen, sie haben jedoch keinen Zugriff auf die Informationen, die zwischen der Website und den Endbenutzern ausgetauscht werden.

Google war einer der Hauptakteure hinter diesem Schritt, indem es Websites in ihren sehr wichtigen Suchergebnissen herabgestuft hat, die keine HTTPS-Verschlüsselung verwenden. Sowohl Firefox als auch Google markieren derzeit Websites, die kein HTTPS verwenden, als „nicht sicher“. Dies hat Regierungs- und Sicherheitsbehörden auf der ganzen Welt frustriert; Aber die ehemalige russische Republik Kasachstan hat einen Weg gefunden, die Sicherheit zu umgehen, indem sie Internetnutzer zwingt, ihr Stammzertifikat zu installieren.

Wie in Bugzilla am 18. Juli berichtet wurde, sendet der kasachische ISP MITM SMS-Nachrichten an mobile Benutzer und leitet sie auf eine Website weiter, auf der sie aufgefordert werden, das schändliche Zertifikat zu installieren. Danach wird der gesamte verschlüsselte Datenverkehr zu Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com und Tamtam.chat an Regierungsserver geleitet, bevor er an die Hosts weitergeleitet wird. Endbenutzer berichten, dass dies auch dazu geführt hat, dass einige Websites und Seiten auf Facebook blockiert wurden und 403-Fehler anzeigten.

Einwohner Kasachstans, die den Bugzilla-Thread kommentieren, haben die kasachische Regierung als autoritär und diktatorisch beschrieben und ermutigen Mozilla, die Schöpfer von Firefox, entschlossen gegen diesen Sicherheitsangriff vorzugehen. Einige Vorschläge, die angeboten werden, umfassen: Endbenutzern nicht erlauben, Zertifikate zu installieren, und Endbenutzer zu warnen, dass die Installation eines Zertifikats ihre Privatsphäre und Sicherheit explizit gefährden würde – etwas, das der Browser derzeit nicht tut. Alternativ können gezieltere Maßnahmen ergriffen werden, wie beispielsweise das Sperren des Zertifikats. Derzeit scheint es keine konkrete Einigung darüber zu geben, wie weiter vorgegangen werden soll.

Während Probleme, die die 18.6 Millionen Menschen in Kasachstan betreffen, für den Rest von uns vielleicht nicht sehr bedeutsam erscheinen; ein solcher Angriff wäre leicht von westlichen Regierungen wie den USA, Australien und Großbritannien zu wiederholen, die alle ihre eigenen Motive haben, ihre Bürger genauer im Auge zu behalten, die von Terrorismus über Pornografie bis hin zu Urheberrechtsverletzungen reichen.

Verfolgen Sie die Debatte zu diesem sehr wichtigen Thema unter Bugzilla .