Kazahsztán az új nukleáris lehetőség próbapadja, amely felrobbanthatja webes biztonságunkat

Az elmúlt néhány évben összehangolt erőfeszítések történtek az internetfelhasználók biztonságának és magánéletének javítására azáltal, hogy a webhelyeket HTTPS-re való átállásra ösztönözték; Ez azt jelenti, hogy a webhely és a felhasználó közötti összes internetes forgalom titkosított. Ez azt jelenti, hogy bár az internetszolgáltatók tudhatják, hogy Ön mely webhelyeket látogatja meg, nem férnek hozzá a webhely és a végfelhasználók között cserélt információkhoz.

A Google volt az egyik fő erő a lépés mögött, mivel a nagyon fontos keresési eredmények között lejjebb helyezte azokat a webhelyeket, amelyek nem használnak HTTPS-titkosítást. Jelenleg a Firefox és a Google is „nem biztonságosként” jelöli azokat a webhelyeket, amelyek nem használnak HTTPS-t. Ez frusztrálta a kormányt és a biztonsági szerveket szerte a világon; de az egykori orosz köztársaság, Kazahsztán megtalálta a módját, hogy elérje a biztonságot azáltal, hogy az internetezőket gyökértanúsítvány telepítésére kényszeríti.

Amint arról július 18-án a Bugzillában beszámoltunk, a kazahsztáni internetszolgáltató MITM SMS-eket küld a mobilfelhasználóknak, és egy webhelyre irányítja őket, ahol felkérik őket a rosszindulatú tanúsítvány telepítésére. Miután ez megtörtént, a Twitterre, a YouTube-ra, a Facebookra, a Gmailre, a Mail.ru-ra, a VK.com-ra és a Tamtam.chatre irányuló összes titkosított forgalom a kormányzati szerverekre lesz irányítva, mielőtt átadnák a gazdagépeknek. A végfelhasználók arról számoltak be, hogy ennek következtében egyes webhelyek és oldalak a Facebookon blokkolva lettek, és 403-as hibát kínáltak.

A Bugzilla-szálhoz kommentáló kazah lakosok tekintélyelvűnek és diktatórikusnak minősítették a kazah kormányt, és arra biztatják a Mozillát, a Firefox készítőit, hogy tegyenek határozott lépéseket ez ellen a biztonsági támadás ellen. Néhány felkínált javaslat a következőket tartalmazza: a végfelhasználók ne telepítsenek tanúsítványokat, és figyelmeztessék a végfelhasználókat, hogy egy tanúsítvány telepítése kifejezetten veszélyeztetné a magánéletüket és a biztonságukat – amit a böngésző jelenleg nem tesz meg. Alternatív megoldásként célzottabb intézkedés is megtehető, például a tanúsítvány visszavonása. Jelenleg úgy tűnik, nincs konkrét megállapodás arról, hogy milyen lépéseket kell követni.

Bár a 18.6 millió kazahsztáni lakost érintő problémák nem tűnnek túl jelentősnek a többiek számára; egy ilyen támadást könnyen megismételhetnének a nyugati kormányok, például az Egyesült Államok, Ausztrália és az Egyesült Királyság, amelyeknek megvannak a saját indítékai, hogy jobban szemmel tartsák állampolgáraikat, a terrorizmustól a pornográfián át a szerzői jogok megsértéséig.

Kövesse a vitát erről a nagyon fontos kérdésről a címen Bugzillából itt.