Google i Mozilla podejmują działania przeciwko wysiłkom rządu Kazachstanu na rzecz rozpoczęcia operacji inwigilacji własnych obywateli. Obie firmy ogłosiły dzisiaj, że blokują główny certyfikat, który rząd Kazachstanu ujawnił w ubiegłym miesiącu. Ten skutecznie umożliwił mu monitorowanie zaszyfrowanej aktywności internetowej wszystkich użytkowników, którzy go zainstalowali. Rząd zmusił dostawców usług internetowych do współpracy, nakładając na wszystkich klientów obowiązek zainstalowania certyfikatu w celu uzyskania dostępu do Internetu. Okazuje się, że głównym certyfikatem był koń trojański. Pozwoliło to rządowi Kazachstanu na przeprowadzenie ataku man-in-the-middle przeciwko połączeniom HTTPS do listy 37 domen, w tym Facebook, Twitter, Google i innych. Zazwyczaj strony internetowe HTTPS są szyfrowane w taki sposób, że dostawcy usług internetowych lub rządy nie będą w stanie uzyskać do nich dostępu. W przypadku Kazachstanu atak MitM złamał szyfrowanie na tych stronach, umożliwiając rządowi swobodne szpiegowanie prywatnej działalności internetowej.
Google i Mozila walczą z inwigilacją w Kazachstanie
Zarówno przeglądarki Chrome, jak i Firefox w Kazachstanie zablokują nielegalny certyfikat, zanim użytkownicy będą mogli go pobrać. Mozilla zablokuje kazachski certyfikat główny za pomocą OneCRL, którego Firefox używa do unieważniania certyfikatów od 2015 roku. Wcześniej użytkownicy, którzy mieli dostęp do Internetu w Kazachstanie, otrzymali wiadomość na swoim smartfonie lub komputerze z prośbą o zainstalowanie certyfikatu głównego. Teraz gdy Firefox wykryje certyfikat w Kazachstanie, zablokuje połączenie i wyświetli komunikat o błędzie.
Badania pokazują, że wielu użytkowników przebija się przez błędy. Nie rozumieją, co one oznaczają. Nie pozostawia ich to w lepszej sytuacji, niż gdyby w ogóle nie było ostrzeżenia. Uważamy, że jest to właściwa reakcja, ponieważ użytkownicy w Kazachstanie nie mają znaczącego wyboru, czy zainstalować certyfikat i ponieważ ten atak podważa integralność krytycznego mechanizmu bezpieczeństwa sieciowego.
— powiedział Starszy Dyrektor Trust & Safety Marshall Erwin w e-mailu do Engadget.
Zobacz też: Zamiana połączeń na tekst to jednak z ciekawszych funkcji MIUI 11
Chrome również blokuje certyfikat. Ponadto, zostanie on dodany do listy blokad w kodzie źródłowym Chromium. Dzięki temu będzie włączony do innych przeglądarek opartych na nim w przyszłości. Na początku przeprowadzka może wydawać się niepotrzebna. Kazachstan przestał wymagać od użytkowników zainstalowania certyfikatu kilka tygodni temu. Reuters poinformował, że kraj w tym miesiącu wstrzymał wdrożenie swojego systemu nadzoru po tym, jak stanął w obliczu pozwów. Grupa lokalnych prawników pozwała trzech z krajowych operatorów komórkowych za ograniczenie dostępu do Internetu. Stało się to po tym, jak użytkownicy odmówili zainstalowania certyfikatu. Komitet Bezpieczeństwa Państwa Kazachstanu wycofał się w odpowiedzi, wydając oświadczenie, które nazywało udostępnianie certyfikatu testem, który został zakończony.
Źródło: Engadget