Kazachstan is een proeftuin voor de nieuwe nucleaire optie die al onze webbeveiliging zou kunnen wegvagen

De afgelopen jaren is er een gezamenlijke inspanning geleverd om de veiligheid en privacy van internetgebruikers te verbeteren door websites aan te moedigen over te stappen op HTTPS; wat betekent dat al het internetverkeer tussen de website en de gebruiker versleuteld is. Dit heeft ertoe geleid dat internetproviders kunnen weten welke websites u bezoekt, maar geen toegang hebben tot de informatie die wordt uitgewisseld tussen de website en eindgebruikers.

Google is een van de belangrijkste krachten achter de verhuizing geweest, door websites te verlagen in hun zeer belangrijke zoekresultaten die geen HTTPS-codering gebruiken. Zowel Firefox als Google markeren momenteel websites die geen HTTPS gebruiken als "niet veilig". Dit heeft regerings- en veiligheidsinstanties over de hele wereld gefrustreerd; maar de ex-Russische republiek Kazachstan heeft een manier gevonden om een ​​einde te maken aan de beveiliging door internetgebruikers te dwingen hun rootcertificaat te installeren.

Zoals gemeld in Bugzilla op 18 juli, stuurt de Kazachstaanse ISP MITM sms-berichten naar mobiele gebruikers, waarbij ze worden doorverwezen naar een website waar ze worden gevraagd om het snode certificaat te installeren. Nadat dit is gebeurd, wordt al het versleutelde verkeer dat naar Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com en Tamtam.chat gaat, naar overheidsservers geleid voordat het wordt doorgegeven aan de hosts. Eindgebruikers melden dat dit er ook toe heeft geleid dat sommige websites en pagina's op Facebook zijn geblokkeerd en 403-fouten hebben opgeleverd.

Inwoners van Kazachstan die commentaar gaven op de Bugzilla-thread, hebben de regering van Kazachstan beschreven als autoritair en dictatoriaal, en moedigen Mozilla, de makers van Firefox, aan om krachtig op te treden tegen deze beveiligingsaanval. Enkele suggesties die worden gedaan zijn: eindgebruikers niet toestaan ​​certificaten te installeren, en eindgebruikers waarschuwen dat het installeren van een certificaat hun privacy en veiligheid expliciet in gevaar zou brengen - iets wat de browser momenteel niet doet. Als alternatief kan gerichter worden opgetreden, zoals het intrekken van het certificaat. Op dit moment lijkt er geen specifieke overeenkomst te zijn over de te volgen koers.

Hoewel problemen die de 18.6 miljoen mensen in Kazachstan betreffen, voor de rest van ons misschien niet erg belangrijk lijken; zo'n aanval zou gemakkelijk kunnen worden nagebootst door westerse regeringen, zoals de VS, Australië en het VK, die allemaal hun eigen motieven hebben om hun burgers beter in de gaten te houden, variërend van terrorisme tot pornografie tot inbreuk op het auteursrecht.

Volg het debat over deze zeer belangrijke kwestie op: Bugzilla hier.