קזחסטן היא מיטת ניסוי לאופציה הגרעינית החדשה שעלולה לפוצץ את כל אבטחת האינטרנט שלנו

במהלך השנים האחרונות, היה מאמץ משותף לשפר את האבטחה והפרטיות של משתמשי האינטרנט על ידי עידוד אתרי אינטרנט לעבור ל-HTTPS; כלומר כל תעבורת האינטרנט בין האתר למשתמש מוצפנת. זה גרם לכך שספקי שירותי אינטרנט יכולים לדעת באילו אתרים אתה מבקר, אך אין להם גישה למידע המוחלף בין האתר לבין משתמשי הקצה.

גוגל הייתה אחד הכוחות העיקריים מאחורי המהלך, על ידי הורדת דירוג אתרים בתוצאות החיפוש החשובות מאוד שלהם שאינם משתמשים בהצפנת HTTPS. הן פיירפוקס והן גוגל, כיום, מסמנות אתרים שאינם משתמשים ב-HTTPS כ"לא מאובטחים". זה תסכל סוכנויות ממשלתיות וביטחון בכל רחבי העולם; אבל הרפובליקה הרוסית לשעבר, קזחסטן, מצאה דרך להשיג ריצה סופית סביב האבטחה על ידי אילוץ משתמשי אינטרנט להתקין את תעודת השורש שלהם.

כפי שדווח ב-Bugzilla ב-18 ביולי, ISP קזחסטן MITM שולח הודעות SMS למשתמשים ניידים, ומפנה אותם לאתר אינטרנט שבו הם מתבקשים להתקין את התעודה המרושעת. לאחר ביצוע פעולה זו, כל התעבורה המוצפנת העוברת לטוויטר, YouTube, Facebook, Gmail, Mail.ru, VK.com ו-Tamtam.chat, מופנית לשרתים ממשלתיים, לפני שהיא מועברת למארחים. משתמשי קצה מדווחים שהדבר גרם גם לכך שכמה אתרים ודפים בפייסבוק נחסמו, והציעו שגיאות 403.

תושבי קזחסטן שהגיבו בשרשור בוגזילה תיארו את ממשלת קזחסטן כסמכותנית ודיקטטורית, ומעודדים את Mozilla- יוצרי פיירפוקס, לנקוט בפעולה חזקה נגד מתקפת אבטחה זו. כמה הצעות המוצעות כוללות: אי מתן אפשרות למשתמשי קצה להתקין אישורים, ואזהרה למשתמשי קצה שהתקנת אישור תפגע באופן מפורש בפרטיות ובאבטחתם - דבר שהדפדפן אינו עושה כעת. לחילופין, ניתן לנקוט בפעולה ממוקדת יותר, כמו ביטול האישור. נכון לעכשיו, לא נראה שיש הסכמה ספציפית באיזו דרך פעולה יש לפעול.

בעוד שבעיות המשפיעות על 18.6 מיליון האנשים בקזחסטן אולי לא נראות משמעותיות במיוחד לכולנו; מתקפה כזו תהיה קלה לשכפל על ידי ממשלות מערביות, כמו ארה"ב, אוסטרליה ובריטניה, שלכולן יש את המניעים שלהן לפקוח עין מקרוב על אזרחיהן, החל מטרור לפורנוגרפיה ועד הפרת זכויות יוצרים.

עקוב אחר הדיון בנושא חשוב זה ב- Bugzilla כאן.