Il Kazakistan è un banco di prova per la nuova opzione nucleare che potrebbe spazzare via tutta la nostra sicurezza web

Negli ultimi anni, c'è stato uno sforzo concertato per migliorare la sicurezza e la privacy degli utenti di Internet incoraggiando i siti Web a passare a HTTPS; il che significa che tutto il traffico Internet tra il sito Web e l'utente è crittografato. Ciò significa che, sebbene i fornitori di servizi Internet possano sapere quali siti Web visiti, non hanno accesso alle informazioni scambiate tra il sito Web e gli utenti finali.

Google è stata una delle principali forze dietro la mossa, declassando i siti Web nei loro risultati di ricerca molto importanti che non utilizzano la crittografia HTTPS. Sia Firefox che Google, attualmente, contrassegnano i siti Web che non utilizzano HTTPS come "non sicuri". Ciò ha frustrato il governo e le agenzie di sicurezza in tutto il mondo; ma l'ex repubblica russa, il Kazakistan, ha trovato un modo per ottenere un giro finale intorno alla sicurezza costringendo gli utenti di Internet a installare il proprio certificato di radice.

Come riportato su Bugzilla il 18 luglio, l'ISP MITM del Kazakistan sta inviando messaggi SMS agli utenti mobili, indirizzandoli a un sito Web in cui è richiesto loro di installare il nefasto certificato. Al termine, tutto il traffico crittografato diretto a Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com e Tamtam.chat, viene indirizzato ai server del governo, prima di essere trasferito agli host. Gli utenti finali segnalano che ciò ha comportato anche il blocco di alcuni siti Web e pagine su Facebook e l'offerta di 403 errori.

I residenti del Kazakistan commentando il thread di Bugzilla hanno descritto il governo kazako come autoritario e dittatoriale e stanno incoraggiando Mozilla, i creatori di Firefox, a intraprendere un'azione decisa contro questo attacco alla sicurezza. Alcuni suggerimenti offerti includono: non consentire agli utenti finali di installare certificati e avvertire gli utenti finali che l'installazione di un certificato comprometterebbe esplicitamente la loro privacy e sicurezza, cosa che il browser non fa al momento. In alternativa, possono essere intraprese azioni più mirate, come la revoca del certificato. Allo stato attuale, non sembra esserci alcun accordo specifico sulla linea di condotta da seguire.

Anche se i problemi che riguardano i 18.6 milioni di persone in Kazakistan potrebbero non sembrare molto significativi per il resto di noi; un simile attacco sarebbe facile da replicare da parte dei governi occidentali, come USA, Australia e Regno Unito, che hanno tutti i propri motivi per tenere d'occhio i propri cittadini, dal terrorismo alla pornografia alla violazione del copyright.

Segui il dibattito su questo tema molto importante su Bugzilla