O Cazaquistão é um banco de testes para a nova opção nuclear que pode acabar com toda a nossa segurança na web
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Nos últimos anos, tem havido um esforço concertado para melhorar a segurança e a privacidade dos utilizadores da Internet, incentivando os websites a migrarem para HTTPS; o que significa que todo o tráfego da Internet entre o site e o usuário é criptografado. Isto significa que, embora os fornecedores de serviços de Internet possam saber quais os websites que visita, não têm acesso às informações trocadas entre o website e os utilizadores finais.
O Google tem sido uma das principais forças por trás da mudança, ao rebaixar sites em seus resultados de pesquisa muito importantes que não usam criptografia HTTPS. Atualmente, tanto o Firefox quanto o Google marcam sites que não usam HTTPS como “não seguros”. Isto frustrou agências governamentais e de segurança em todo o mundo; mas a ex-república russa, o Cazaquistão, encontrou uma maneira de acabar com a segurança, forçando os usuários da Internet a instalar seu certificado raiz.
Conforme relatado no Bugzilla em 18 de julho, o ISP MITM do Cazaquistão está enviando mensagens SMS para usuários móveis, direcionando-os para um site onde são solicitados a instalar o certificado nefasto. Depois disso, todo o tráfego criptografado que vai para o Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com e Tamtam.chat é direcionado para servidores governamentais, antes de ser repassado aos hosts. Os usuários finais estão relatando que isso também resultou no bloqueio de alguns sites e páginas do Facebook e na oferta de erros 403.
Os residentes do Cazaquistão que comentam o tópico do Bugzilla descreveram o governo do Cazaquistão como autoritário e ditatorial e estão encorajando a Mozilla – os criadores do Firefox, a tomar medidas enérgicas contra este ataque à segurança. Algumas sugestões oferecidas incluem: não permitir que os usuários finais instalem certificados e alertar os usuários finais de que a instalação de um certificado comprometeria explicitamente sua privacidade e segurança - algo que o navegador não faz no momento. Alternativamente, podem ser tomadas medidas mais específicas, como a revogação do certificado. Actualmente, não parece haver qualquer acordo específico sobre qual o curso de acção a seguir.
Embora as questões que afectam os 18.6 milhões de pessoas no Cazaquistão possam não parecer muito significativas para o resto de nós; tal ataque seria fácil de replicar por governos ocidentais, como os EUA, a Austrália e o Reino Unido, que têm todos os seus próprios motivos para vigiar mais de perto os seus cidadãos, que vão desde o terrorismo à pornografia e à violação de direitos de autor.
Acompanhe o debate sobre esta questão tão importante em Bugzilla Aqui.