Kazahstan ukinuo privatnost građanima, dekriptuje sav HTTPS saobraćaj
Ono što im nije pošlo za rukom pre 4 godine, pokušavaju da urade sada!
Od 17. jula Kazahstanska vlada je počela da presreće sav HTTPS saobraćaj u okviru granica zemlje. Lokalni internet provajderi su dobili instrukcije od vlade da nateraju korisnike da instaliraju vladine sertifikate na sve uređaje i browsere. Kada se sertifikat instalira, vladine agencije dobijaju mogućnost da dekriptuju sav HTTPS saobraćaj korisnika, pregledaju sadržaj, ponovo ga kriptuju svojim sertifikatom i zatim pošalju na odredište.
Slika 1. Digitalni sertifikat vlade Kazahstana. Izvor slike: ZD Net.
Korisnici u Kazahstanu od pre 2 dana se preusmeravaju na web stranice koje sadrže instrukcije za instaliranje vladinih root sertifikata u browsere, bilo da su na desktop ili mobilnim uređajima. Kada se sertifikat instalira, internet provajderi mogu da presretnu i prate kriptovane HTTPS (SSL/TLS) konekcije i daju vladi mogućnost da špijunira građane i cenzuriše sadržaj. Drugim rečima, vlada lansira man-in-the-middle napad na svakog stanovnika Kazahstana.
Pored "ukidanja" privatnosti, postoji veliki broj drugih negativnih implikacija ovakve odluke. Jedna od najočiglednih je što građanima nije dostupna bezbedna (HTTPS) konekcija dok ne instaliraju sertifikat, što znači da sertifikat mogu da preuzmu samo preko nebezbedne (HTTP) konekcije, što daje mogućnost hakerima da lako zamene vladin sertifikat svojim preko MiTM napada.
Vlada smatra da je odluka u interesu svih građana
U saopštenju kazahstanskog ministarstva za digitalni razvoj i inovacije navodi se da se ovaj zahtev odnosi samo na stanovnike glavnog grada Nur-Sultan. Međutim, korisnici iz cele zemlje ne mogu da pristupe internetu dok ne instaliraju vladin sertifikat. Neki korisnici su dobili i SMS poruke sa zahtevom da instaliraju sertifikat. Zvaničnici tvrde da su mere “usmerene na povećanje zaštite građana, vladinih tela i privatnih kompanija od hakerskih napada, internet prevara i drugih sajber pretnji”.
Sličan pokušaj 2015.
Prvi pokušaj da se građani nateraju da instaliraju vladine sertifikate bio je u decembru 2015. Međutim, odluka nije zaživela u praksi zbog nekoliko tužbi koje je vlada dobila od internet provajdera, banaka i drugih država koje su se pribojavale da će ovo ugroziti bezbednost celokupnog internet saobraćaja koji dolazi iz zemlje. Istovremeno, vlada Kazahstana je poslala zahtev da se u Firefox po defaultu uključe njihovi root sertifikati, ali je Mozilla taj zahtev odbila.
Trenutno se Google, Microsoft i Mozilla, kompanije koje stoje iza najpopularnijih browsera, dogovaraju o tome kako da reaguju na novonastalu situaciju, odnosno kako da postupaju sa sajtovima koje kazahstanska vlada re-enkriptuje svojim root sertifikatima. Još uvek nema odluke.
Više o tome šta su SSL sertifikati i čemu služe pročitajte na ovom linku.