Annons
Nyhetsställen rapporterade 2019 att Kazakstans regering har vidtagit extrema åtgärder för att övervaka medborgarna i landet. I synnerhet har regeringen använt ett verktyg som kallas a rotcertifikat att spionera på medborgarnas onlineaktiviteter.
Missbruk av rotcertifikat är dock inte bara ett problem i Kazakstan. Internetanvändare runt om i världen bör vara medvetna om hur säkerhetsverktyg kan missbrukas. Dessa verktyg kan äventyra sekretess och samla in data om webbplatserna du besöker och meddelandena som du skickar online.
Vad är ett rotcertifikat?
När du surfar på en webbplats som MakeUseOf ser du webbadressen börjar med https istället för http. Du ser också en ikon som ser ut som ett lås bredvid webbadressen i adressfältet. Detta innebär att en typ av kryptering som kallas Secure Socket Layer / Transport Layer Security (SSL / TLS) skyddar webbplatsen.
Med denna kryptering är data som skickas mellan dig och webbplatsen säkra. Så du kan vara säker på att webbplatsen du går in i är den verkliga MakeUseOf och inte en anspråkig webbplats som försöker stjäla dina data.
För att få den låssymbolen som användare kan lita på betalar webbplatsägare en organisation som kallas a Certificate Authority (CA) för att verifiera dem. När en CA verifierar att en webbplats är giltig, utfärdar den en säkerhetscertifikat. Utvecklarna av webbläsare som Firefox och Chrome har en lista över betrodda CA: er vars certifikat de accepterar.
Så när du besöker en webbplats som MakeUseOf, hittar din webbläsare certifikatet, verifierar att det kommer från en betrodd CA och visar den säkra webbplatsen.
EN rotcertifikat är den högsta tillgängliga säkerhetscertifikatet. Det är viktigt eftersom detta "huvudcertifikat" verifierar alla certifikat under det. Detta betyder att rotcertifikatets säkerhet avgör säkerheten för ett helt system. Utvecklare använder rotcertifikat av många giltiga skäl.
Men när en regering eller annan enhet missbrukar rotcertifikat kan de installera spionprogram på krypterad kommunikation och få åtkomst till privata data.
Hur missbrukar regeringen rotcertifikat i Kazakstan?
I juli 2019 utfärdade Kazakstans regering en rådgivning till internetleverantörer i landet. Regeringen sade att Internetleverantörerna måste göra installationen av ett myndighetsutgivet rotcertifikat obligatoriskt för användare att få tillgång till internet. Det myndighetsutgivna certifikatet kallas ”Qaznet” och beskrivs som ett ”nationellt säkerhetscertifikat”.
Internetleverantörer instruerade pliktigt sina kunder att installera certifikatet om de ville ha tillgång till internet.
När certifikatet är installerat kan regeringen använda det för att fånga upp en enorm mängd surfningsdata. Regeringen kan se aktiviteter på populära webbplatser som Google, Facebook och Twitter. Det kan till och med dekryptera HTTPS- och TLS-anslutningar och få åtkomst till användarnamn och lösenord för konton.
Det betyder att ingen webbplats är säker om certifikatet är installerat.
Regeringen lanserar i huvudsak en "mannen i mitten Hur miljoner appar kan vara sårbara för en enda säkerhetshackOAuth är en öppen standard som används för att du kan logga in på en tredjepartsapp eller webbplats med hjälp av ett Facebook-, Twitter- eller Google-konto - och det är sårbart för hackare. Läs mer ”Attack på hela landet, enligt säkerhetsblogg The Hacker News. Eftersom ISP: erna gör certifikatet obligatoriskt, finns det inget sätt för användare att enkelt undvika det om de vill fortsätta använda Internet.
Dessutom kan människor bara installera certifikatet via en icke-HTTPS-anslutning. En person måste använda en mindre säker HTTP-anslutning för att installera certifikatet. Och hackare kan fånga upp denna process för att installera sitt eget skadliga certifikat istället.
Hur svarar teknologiföretag på invasiva rotcertifikat?
Teknologiföretag inklusive Google, Apple och Mozilla har svarat på situationen i Kazakstan. De har lovat att skydda användare mot myndighetskontroll. Google Chrome-webbläsaren blockerar nu certifikatet som används av Kazakstans regering, enligt a blogginlägg.
Google har vidtagit denna åtgärd "för att skydda användare från avlyssning eller ändring av TLS-anslutningar gjorda till webbplatser." Användare behöver inte vidta några åtgärder för att skyddas. Webbläsaren blockerar automatiskt detta certifikat.
På liknande sätt har Mozilla distribuerat en lösning på sin Firefox-webbläsare. Denna lösning kommer också att blockera certifikatet som används av Kazakstans regering. Företaget meddelade fix med en senioringenjör på företaget där vi säger: "Vi vidtar inte något som det här, utan skyddar våra användare och webbens integritet är orsaken till att Firefox finns. " Firefox arbetar tillsammans med Chrome och kommer automatiskt att tillämpa blockera.
Mozilla nämnde också tidigare fall av Kazakstan-regeringen försök att avlyssna internettrafik. Detta inkluderar ett tidigare misslyckat försök att inkludera ett rotcertifikat i Mozillas pålitliga root-lagringsprogram 2015.
Vad kan du göra om missbruk av rotcertifikat som användare?
Missbruk av rotcertifikat är uppenbarligen oroande. Men vad kan du faktiskt göra åt det som användare? För det första, om du är i Kazakstan bör du inte installera certifikatet på din enhet. Om du redan har installerat det, avinstallera det omedelbart. Du bör också ändra lösenord till alla dina onlinekonton. Detta kommer att förhindra att regeringen får åtkomst till dina surfdata.
Om du bor i ett land med höga nivåer av internetövervakning, bör du leta efter tvivelaktiga certifikat. Om du blir ombedd att installera ett säkerhetscertifikat bör du undersöka om det är pålitligt innan du installerar det på din enhet.
Du bör också vidta andra åtgärder för att skydda dina data. Du borde Använd ett VPN för att skydda dig från övervakning 3 sätt hur en VPN kan skydda dig från Big Brother's Surveillance PanopticonInte övertygad om att du behöver ett VPN? Här är tre överraskande skäl till varför ett virtuellt privat nätverk ska vara hörnstenen i din säkerhet. Läs mer . Tänk också på med Tor-webbläsaren 7 tips för att använda Tor-webbläsaren säkertTänker du försöka Tor-webbläsaren att börja surfa på webben på ett säkert sätt? Lär dig dessa Tor browser dos and don'ts innan du börjar. Läs mer för att få tillgång till internet anonymt. Var också försiktig med e-post eftersom det är mycket svårt att skydda e-postmeddelanden från övervakning. Överväg att använda en säker meddelandeapp som Signal eller Telegram istället.
Lär dig mer om hur regeringar spionerar på dig online
Situationen i Kazakstan är bara ett exempel på hur regeringar kan spionera på sina medborgare genom sin internetaktivitet. Du bör lära dig om hur regeringar och företag kan använda övervakningstekniker så att du kan försöka undvika dem.
För att du inte tror att detta bara är ett problem i andra länder, kom ihåg att platser som USA och Storbritannien har en historia av att också spionera på sina medborgare. Som en påminnelse kan du lära dig om gånger dina data överfördes chockerande till NSA 5 gånger överfördes dina data chockerande till NSAMånga företag överlämnar information till NSA utan en ny tanke. Här är några högprofilerade organisationer som gav NSA tillgång till användardata. Läs mer .
Georgina är en vetenskaps- och teknikförfattare som bor i Berlin och har en doktorsexamen i psykologi. När hon inte skriver är hon vanligtvis att hitta på sin PC eller cykla, och du kan se mer av hennes skrivande på georginatorbet.com.