Kazahstan je pokusna stanica za novu nuklearnu opciju koja bi mogla uništiti svu našu web sigurnost
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Tijekom posljednjih nekoliko godina uloženi su zajednički napori za poboljšanje sigurnosti i privatnosti korisnika interneta poticanjem web-mjesta na prelazak na HTTPS; što znači da je sav internetski promet između web stranice i korisnika šifriran. To je značilo da iako pružatelji internetskih usluga mogu znati koje web stranice posjećujete, oni nemaju pristup informacijama koje se razmjenjuju između web stranice i krajnjih korisnika.
Google je bio jedna od glavnih sila iza tog poteza, snizivši rang web stranica u svojim vrlo važnim rezultatima pretraživanja koje ne koriste HTTPS enkripciju. I Firefox i Google trenutno označavaju web stranice koje ne koriste HTTPS kao "nesigurne". To je frustriralo vladine i sigurnosne agencije diljem svijeta; ali bivša ruska republika, Kazahstan, pronašla je način za postizanje krajnjeg cilja oko sigurnosti prisiljavajući korisnike interneta da instaliraju svoj root certifikat.
Kao što je objavljeno u Bugzili 18. srpnja, kazahstanski ISP MITM šalje SMS poruke mobilnim korisnicima, usmjeravajući ih na web stranicu gdje se od njih traži da instaliraju podli certifikat. Nakon što se to učini, sav šifrirani promet koji ide na Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com i Tamtam.chat, usmjerava se na vladine poslužitelje, prije nego što se prosljeđuje na hostove. Krajnji korisnici izvještavaju da je to također rezultiralo blokiranjem nekih web-mjesta i stranica na Facebooku te nude 403 pogreške.
Stanovnici Kazahstana komentirajući temu o Bugzili opisali su kazahstansku vladu kao autoritarnu i diktatorsku te ohrabruju Mozillu, kreatore Firefoxa, da poduzmu snažne mjere protiv ovog sigurnosnog napada. Neki prijedlozi koji se nude uključuju: nedopuštanje krajnjim korisnicima da instaliraju certifikate i upozorenje krajnjih korisnika da bi instalacija certifikata eksplicitno ugrozila njihovu privatnost i sigurnost - nešto što preglednik trenutno ne radi. Alternativno, mogu se poduzeti ciljanije radnje, kao što je opoziv certifikata. Čini se da trenutačno ne postoji nikakav poseban dogovor o tome koji smjer djelovanja slijediti.
Iako se problemi koji utječu na 18.6 milijuna ljudi u Kazahstanu možda neće izgledati previše značajni za nas ostale; Zapadne vlade, poput SAD-a, Australije i Ujedinjenog Kraljevstva, takve bi napade lako mogle ponoviti, koje sve imaju svoje motive da pomnije drže svoje građane, od terorizma preko pornografije do kršenja autorskih prava.
Raspravu o ovom vrlo važnom pitanju pratite na Bugzilla ovdje.
