Kazahstan je testna postelja za novo jedrsko možnost, ki bi lahko uničila vso našo spletno varnost

V zadnjih nekaj letih je prišlo do usklajenih prizadevanj za izboljšanje varnosti in zasebnosti uporabnikov interneta s spodbujanjem spletnih mest k prehodu na HTTPS; kar pomeni, da je ves internetni promet med spletnim mestom in uporabnikom šifriran. To je pomenilo, da ponudniki internetnih storitev lahko vedo, katera spletna mesta obiščete, vendar nimajo dostopa do informacij, ki se izmenjujejo med spletno stranjo in končnimi uporabniki.

Google je bil ena glavnih sil za to potezo, saj je v svojih zelo pomembnih rezultatih iskanja znižal uvrstitev spletnih mest, ki ne uporabljajo šifriranja HTTPS. Tako Firefox kot Google trenutno označujeta spletna mesta, ki ne uporabljajo HTTPS, kot »ni varna«. To je razočaralo vladne in varnostne agencije po vsem svetu; toda nekdanja ruska republika Kazahstan je našla način, kako doseči končno varnost, tako da je internetne uporabnike prisilila, da namestijo svoje korensko potrdilo.

Kot so poročali v Bugzilla 18. julija, kazahstanski ponudnik internetnih storitev MITM pošilja SMS sporočila mobilnim uporabnikom, ki jih usmerja na spletno mesto, kjer se od njih zahteva, da namestijo zlobno potrdilo. Ko je to storjeno, je ves šifrirani promet, ki gre na Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com in Tamtam.chat, usmerjen na vladne strežnike, preden se prenese na gostitelje. Končni uporabniki poročajo, da je to povzročilo tudi blokiranje nekaterih spletnih mest in strani na Facebooku ter ponujanje 403 napak.

Kazahstanski prebivalci, ki komentirajo nit Bugzilla, so kazahstansko vlado opisali kot avtoritarno in diktatorsko ter spodbujajo Mozillo, ustvarjalce Firefoxa, naj odločno ukrepa proti temu varnostnemu napadu. Nekateri ponujeni predlogi vključujejo: ne dovolite končnim uporabnikom, da namestijo potrdila, in opozoriti končne uporabnike, da bi namestitev potrdila izrecno ogrozila njihovo zasebnost in varnost – česar brskalnik trenutno ne počne. Druga možnost je, da se sprejmejo bolj ciljno usmerjeni ukrepi, kot je preklic certifikata. Zdi se, da trenutno ni nobenega posebnega dogovora o tem, kateri način ukrepanja je treba upoštevati.

Čeprav se težave, ki vplivajo na 18.6 milijona ljudi v Kazahstanu, morda ne zdijo zelo pomembne za nas ostale; tak napad bi zlahka ponovile zahodne vlade, kot so ZDA, Avstralija in Združeno kraljestvo, ki imajo vse svoje motive, da pozorno spremljajo svoje državljane, od terorizma preko pornografije do kršitve avtorskih pravic.

Sledite razpravi o tem zelo pomembnem vprašanju na Bugzilla tukaj.