Казахстан є тестовим полігоном для нового ядерного варіанту, який може зруйнувати всю нашу веб-безпеку
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Протягом останніх кількох років було докладено спільних зусиль для покращення безпеки та конфіденційності користувачів Інтернету, заохочуючи веб-сайти переходити на HTTPS; тобто весь інтернет-трафік між веб-сайтом і користувачем зашифрований. Це означало, що хоча постачальники інтернет-послуг можуть знати, які веб-сайти ви відвідуєте, вони не мають доступу до інформації, якою обмінюються веб-сайт і кінцеві користувачі.
Google був однією з головних сил цього кроку, знизивши рейтинг веб-сайтів у їхніх дуже важливих результатах пошуку, які не використовують шифрування HTTPS. Наразі і Firefox, і Google позначають веб-сайти, які не використовують HTTPS, як «небезпечні». Це розчарувало уряд і органи безпеки по всьому світу; але колишня російська республіка, Казахстан, знайшла спосіб досягти кінцевого рівня безпеки, змусивши користувачів Інтернету встановлювати свій кореневий сертифікат.
Як повідомлялося в Bugzilla 18 липня, казахстанський провайдер MITM надсилає SMS-повідомлення користувачам мобільного зв’язку, направляючи їх на веб-сайт, де їм пропонується встановити зловмисний сертифікат. Після цього весь зашифрований трафік, який надходить до Twitter, YouTube, Facebook, Gmail, Mail.ru, VK.com і Tamtam.chat, спрямовується на державні сервери, а потім передається на хости. Кінцеві користувачі повідомляють, що це також призвело до блокування деяких веб-сайтів і сторінок у Facebook і пропонування 403 помилок.
Жителі Казахстану, коментуючи ланцюжок Bugzilla, охарактеризували уряд Казахстану як авторитарний і диктаторський, і заохочують Mozilla, розробників Firefox, вжити рішучих заходів проти цієї атаки безпеки. Деякі пропозиції, які пропонуються, включають: заборонити кінцевим користувачам встановлювати сертифікати та попередити кінцевих користувачів про те, що інсталяція сертифіката явно поставить під загрозу їх конфіденційність та безпеку, чого браузер наразі не робить. Крім того, можна вжити більш цілеспрямованих дій, наприклад, анулювати сертифікат. Наразі, схоже, немає жодної конкретної домовленості щодо того, який курс дій слід дотримуватися.
Хоча проблеми, що стосуються 18.6 мільйонів людей у Казахстані, можуть здатися не дуже важливими для решти з нас; таку атаку було б легко повторити західними урядами, такими як США, Австралія та Великобританія, які мають власні мотиви пильніше стежити за своїми громадянами, починаючи від тероризму і порнографії і закінчуючи порушенням авторських прав.
Слідкуйте за дискусією з цього дуже важливого питання на Bugzilla тут.
