Kazachstan idzie na całość. Zero prywatności i wojna z ideą HTTPS/TLS
Jest wiele państw, którym można byłoby przyznać medal za wyjątkowo wysoki poziom kontroli internetu. I nie chodzi tu o kraje niemalże całkowicie odcinające dostęp do sieci globalnej, takie jak Korea Północna czy Kuba, albo stawiające na ostrą cenzurę Chiny – ale o te, które teoretycznie dają niczym nielimitowany dostęp, po czym skrupulatnie kontrolują przepływ danych.
Poradziecki Kazachstan najwyraźniej pozazdrościł liderom, bo oto całkowicie wykluczył ideę szyfrowanych połączeń HTTPS. O co chodzi? Oczywiście o podsłuch.
Władze wydały zalecenie wszystkim głównym dostawcom usług internetowych (ISP), apelując do nich o zobowiązanie klientów do zainstalowania rządowych certyfikatów root pod rygorem utraty dostępu do usług internetowych. Certyfikat ten, oznaczony jako "certyfikat zaufany" lub "krajowy certyfikat bezpieczeństwa", umożliwia dostawcom przechwycenie i monitorowanie zaszyfrowanych połączeń HTTPS i TLS. Dalszą część historii łatwo wydedukować.
Podsłuch gwarantowany ustawowo
Jak wiadomo, przeglądarki internetowe automatycznie ufają tylko certyfikatom wydanym przez określoną listę weryfikatorów certyfikacji (CA). Zmuszenie użytkowników do zainstalowania certyfikatu głównego należącego do rządu daje służbom państwowym uprawnienia do generowania certyfikatów cyfrowych dla każdej domeny, gdzie zechcą przechwycić ruch.
Pierwsze wzmianki o "krajowym certyfikacie bezpieczeństwa" pojawiły się już w kwietniu, kiedy to ISP zaczęli informować o obowiązkowej instalacji certyfikatu, pozwalającego "kontynuować dostęp do dozwolonych stron HTTPS". Wtedy jednak zabrakło konkretów.
Teraz, jak informuje "The Hacker News", jeden z głównych kazachstańskich dostawców usług internetowych, Tele2, zaczął w końcu przekierowywać wszystkie połączenia HTTPS na stronę zawierającą pliki certyfikatów i niezbędne instrukcje dla systemów Windows, macOS, Android oraz iOS. Należy się spodziewać, że konkurencja niebawem rozpocznie podobne działania. Są zobligowani do tego przez obowiązującą w Kazachstanie ustawę o łączności.
Oficjalnie, to dla dobra obywateli
Co zabawne, Nur-Sułtan (daw. Astana) nieszczególnie kryje się ze swoim kontrowersyjnym rozporządzeniem, ale przedstawia szpiegowski pomysł jako działanie dla dobra narodu. Ponoć stały nadzór internetu jest odpowiedzią na powszechne kradzieże danych i pieniędzy z kont bankowych..
"Wprowadzono certyfikat bezpieczeństwa, który stanie się skutecznym narzędziem do ochrony przestrzeni informacyjnej kraju przed hakerami, oszustami internetowymi i innymi rodzajami zagrożeń cybernetycznych” - czytamy w oficjalnej notatce. "Wprowadzenie certyfikatu bezpieczeństwa pomoże również w ochronie systemów informatycznych i danych, a także w identyfikacji hakerów i oszustów internetowych, zanim zdążą spowodować szkody” – uzasadnia rząd.
Światli politycy skarbem narodu
Wiadomo. wyjaśnienie znajdzie się zawsze. To trochę tak, jak niegdyś z tym "zgniłym kapitalizmem" u komunistów. Paradoksalnie, rząd Kazachstanu nie wziął pod uwagę jednego – albo dobrze udaje, że tej opcji nie dostrzega. Certyfikat musi zostać pobrany poprzez połączenie nieszyfrowane, a to wręcz zaproszenie do tego, aby sprawny cyberprzestępca trochę przy nim pogrzebał.
Ostatecznie wychodzi na to, że statystyczny Kazach zostaje narażony nie tylko na podsłuch ze strony rządu, ale także atak kryptologiczny crackera. Nie mówiąc już o tym, że korzyści nie ma żadnej. Teraz to im się dopiero zaczną masowe problemy ze złodziejami danych. Ale podsłuch jest? Jest.