Kazakstan är en testbädd för det nya kärnkraftsalternativet som kan blåsa bort all vår webbsäkerhet
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Under de senaste åren har det gjorts en samlad ansträngning för att förbättra säkerheten och integriteten för internetanvändare genom att uppmuntra webbplatser att gå över till HTTPS; vilket innebär att all internettrafik mellan webbplatsen och användaren är krypterad. Detta har inneburit att även om internetleverantörer kan veta vilka webbplatser du besöker, har de ingen tillgång till informationen som utbyts mellan webbplatsen och slutanvändarna.
Google har varit en av de stora krafterna bakom flytten, genom att nedranka webbplatser i deras mycket viktiga sökresultat som inte använder HTTPS-kryptering. Både Firefox och Google markerar för närvarande webbplatser som inte använder HTTPS som "inte säkra". Detta har frustrerat regeringar och säkerhetsbyråer över hela världen; men före detta ryska republiken, Kazakstan, har hittat ett sätt att uppnå en slutkörning kring säkerheten genom att tvinga internetanvändare att installera sitt rotcertifikat.
Som rapporterades i Bugzilla den 18 juli, skickar Kazakstan ISP MITM SMS-meddelanden till mobilanvändare som hänvisar dem till en webbplats där de uppmanas att installera det skändliga certifikatet. När detta är gjort, dirigeras all krypterad trafik som går till Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com och Tamtam.chat till myndigheternas servrar innan den skickas till värdarna. Slutanvändare rapporterar att detta också har resulterat i att vissa webbplatser och sidor på Facebook har blockerats och erbjuder 403-fel.
Kazakstanska invånare som kommenterar Bugzilla-tråden har beskrivit den kazakstanska regeringen som auktoritär och diktatorisk, och uppmuntrar Mozilla, skaparna av Firefox, att vidta kraftfulla åtgärder mot denna säkerhetsattack. Några förslag som erbjuds inkluderar: att inte tillåta slutanvändare att installera certifikat och att varna slutanvändare om att installation av ett certifikat explicit skulle äventyra deras integritet och säkerhet - något som webbläsaren inte gör för närvarande. Alternativt kan mer riktade åtgärder vidtas, såsom att återkalla certifikatet. I dagsläget tycks det inte finnas någon särskild överenskommelse om vilken handling som ska följas.
Även om frågor som berör de 18.6 miljoner människorna i Kazakstan kanske inte verkar särskilt viktiga för oss andra; En sådan attack skulle vara lätt att replikera av västerländska regeringar, såsom USA, Australien och Storbritannien, som alla har sina egna motiv att hålla ett närmare öga på sina medborgare, allt från terrorism till pornografi till upphovsrättsintrång.
Följ debatten om denna mycket viktiga fråga kl Bugzilla här.
