Kazachstan je testovacím miestom pre novú jadrovú možnosť, ktorá by mohla zničiť všetku našu webovú bezpečnosť
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Počas niekoľkých posledných rokov došlo k spoločnému úsiliu zlepšiť bezpečnosť a súkromie používateľov internetu podporovaním webových stránok, aby prešli na HTTPS; čo znamená, že všetok internetový prenos medzi webovou stránkou a používateľom je šifrovaný. To znamená, že zatiaľ čo poskytovatelia internetových služieb môžu vedieť, ktoré webové stránky navštevujete, nemajú prístup k informáciám, ktoré si vymieňajú webové stránky a koncoví používatelia.
Google bol jednou z hlavných síl za týmto krokom tým, že znížil hodnotenie webových stránok vo veľmi dôležitých výsledkoch vyhľadávania, ktoré nepoužívajú šifrovanie HTTPS. Firefox aj Google v súčasnosti označujú webové stránky, ktoré nepoužívajú HTTPS, ako „nezabezpečené“. Toto frustrovalo vládne a bezpečnostné agentúry na celom svete; ale bývalá ruská republika, Kazachstan, našla spôsob, ako dosiahnuť koniec bezpečnosti tým, že prinúti používateľov internetu, aby si nainštalovali svoj koreňový certifikát.
Ako bolo hlásené v Bugzille 18. júla, kazašský ISP MITM posiela SMS správy mobilným používateľom, ktoré ich nasmerujú na webovú stránku, kde sú požiadaní, aby si nainštalovali škodlivý certifikát. Potom sa všetka šifrovaná prevádzka smerujúca na Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com a Tamtam.chat nasmeruje na vládne servery a následne sa odošle hostiteľom. Koncoví používatelia hlásia, že to viedlo aj k zablokovaniu niektorých webových stránok a stránok na Facebooku a ponúkali 403 chýb.
Kazašskí obyvatelia komentujúci vlákno Bugzilla opísali kazašskú vládu ako autoritatívnu a diktátorskú a nabádajú Mozillu – tvorcov Firefoxu, aby proti tomuto bezpečnostnému útoku rázne zakročili. Niektoré ponúkané návrhy zahŕňajú: neumožnenie koncovým používateľom inštalovať certifikáty a varovanie koncových používateľov, že inštalácia certifikátu by explicitne ohrozila ich súkromie a bezpečnosť – niečo, čo prehliadač v súčasnosti nerobí. Prípadne je možné podniknúť cielenejšie opatrenia, ako je napríklad zrušenie certifikátu. V súčasnosti sa nezdá, že by existovala nejaká konkrétna dohoda o tom, ako postupovať.
Zatiaľ čo problémy týkajúce sa 18.6 milióna ľudí v Kazachstane sa nám ostatným nemusia zdať veľmi významné; takýto útok by bolo ľahké zopakovať západnými vládami, ako sú USA, Austrália a Spojené kráľovstvo, ktoré majú všetky svoje vlastné motívy dávať pozor na svojich občanov, od terorizmu cez pornografiu až po porušovanie autorských práv.
Sledujte diskusiu o tejto veľmi dôležitej téme na Bugzilla tu.
