В 2019 году новостные агентства сообщили, что правительство Казахстана предприняло экстремальные шаги для опроса граждан в своей стране. В частности, правительство использует инструмент, называемый корневым сертификатом, для слежки за онлайн-активностью граждан.
Однако злоупотребление корневыми сертификатами является проблемой не только в Казахстане. интернет-пользователи по всему миру должны знать, как можно неправильно использовать средства безопасности. Эти инструменты могут поставить под угрозу конфиденциальность и собирать данные о сайтах, которые вы посещаете, и сообщениях, которые вы отправляете онлайн.
Что такое корневой сертификат?
Когда вы просматриваете веб-сайт, такой как , вы увидите, что URL начинается с https вместо http . Вы также увидите значок, который выглядит как замок рядом с URL в адресной строке. Это означает, что тип шифрования, называемый Secure Socket Layer / Transport Layer Security (SSL / TLS), защищает веб-сайт.
Благодаря этому шифрованию данные, передаваемые между вами и веб-сайтом, защищены. Таким образом, вы можете быть уверены, что сайт, к которому вы обращаетесь, — настоящий , а не сайт-самозванец, пытающийся украсть ваши данные.
Чтобы получить этот символ блокировки, которому могут доверять пользователи, владельцы сайтов платят организации, которая называется Центром сертификации (CA), чтобы проверить их. Когда ЦС проверяет подлинность сайта, он выдает сертификат безопасности . Разработчики веб-браузеров, таких как Firefox и Chrome, ведут список доверенных центров сертификации, сертификаты которых они принимают.
Поэтому, когда вы посещаете сайт, такой как , ваш браузер находит сертификат, проверяет, что он получен от доверенного центра сертификации, и отображает защищенный сайт.
Корневой сертификат — это самый высокий доступный сертификат безопасности. Это важно, потому что этот «главный сертификат» проверяет все сертификаты, указанные ниже. Это означает, что безопасность корневого сертификата определяет безопасность всей системы. Разработчики используют корневые сертификаты по многим уважительным причинам.
Однако, когда правительство или другое юридическое лицо злоупотребляет корневыми сертификатами, они могут устанавливать шпионское ПО на зашифрованные соединения и получать доступ к личным данным.
Как правительство злоупотребляет корневыми сертификатами в Казахстане?
В июле 2019 года правительство Казахстана выпустило рекомендацию для интернет-провайдеров в стране. Правительство заявило, что интернет-провайдеры должны сделать обязательным установление правительственного корневого сертификата для доступа пользователей в Интернет. Сертификат, выданный правительством, называется «Казнет» и описывается как «сертификат национальной безопасности».
Интернет-провайдеры послушно приказали своим клиентам установить сертификат, если они хотят получить доступ к Интернету.
После того, как сертификат установлен, правительство может использовать его для перехвата огромного количества данных просмотра. Правительство может видеть активность на популярных сайтах, таких как Google, Facebook и Twitter. Он может даже расшифровывать соединения HTTPS и TLS и получать доступ к именам пользователей и паролям.
Это означает, что ни один сайт не является безопасным, если сертификат установлен.
По сути, правительство запускает « человека посередине». ”, нападают на всю страну, согласно блогу безопасности The Hacker News . Поскольку интернет-провайдеры делают сертификат обязательным, пользователи не могут легко его избежать, если хотят продолжить доступ к Интернету.
Кроме того, люди могут устанавливать сертификат только через не-HTTPS-соединение. Человек должен использовать менее безопасное соединение HTTP для установки сертификата. И хакеры могут перехватить этот процесс, чтобы вместо этого установить свой собственный вредоносный сертификат.
Как технологические компании реагируют на инвазивные корневые сертификаты?
Технологические компании, в том числе Google, Apple и Mozilla, отреагировали на ситуацию в Казахстане. Они обязались защищать пользователей от государственного надзора. Согласно сообщению в блоге, браузер Google Chrome теперь блокирует сертификат, используемый правительством Казахстана.
Google предпринял это действие, «чтобы защитить пользователей от перехвата или изменения соединений TLS с веб-сайтами». Пользователям не нужно предпринимать никаких действий для защиты. Браузер автоматически заблокирует этот конкретный сертификат.
Точно так же Mozilla развернула решение для своего браузера Firefox. Это решение также заблокирует сертификат, используемый правительством Казахстана. Компания объявила об этом исправлении вместе со старшим инженером компании, заявив: «Мы не предпринимаем такие действия легкомысленно, но защита наших пользователей и целостности Интернета является причиной существования Firefox». Работая совместно с Chrome, Firefox автоматически применить блок.
Mozilla также упомянула прошлые случаи попыток правительства Казахстана перехватить интернет-трафик. Это включает в себя предыдущую неудачную попытку включить корневой сертификат в программу доверенного корневого хранилища Mozilla в 2015 году.
Что вы можете сделать с неправильным использованием корневых сертификатов в качестве пользователя?
Злоупотребление корневыми сертификатами явно вызывает беспокойство. Но что вы можете сделать с этим как пользователь? Во-первых, если вы находитесь в Казахстане, вам не следует устанавливать сертификат на ваше устройство. Если вы уже установили его, немедленно удалите его. Вы также должны изменить пароли для всех ваших учетных записей в Интернете. Это предотвратит доступ правительства к вашим данным.
Если вы живете в стране с высоким уровнем интернет-наблюдения, вы должны искать сомнительные сертификаты. Если вас попросят установить сертификат безопасности, вам следует выяснить, заслуживает ли он доверия, прежде чем устанавливать его на свое устройство.
Вы также должны предпринять другие шаги для защиты ваших данных. Вы должны использовать VPN, чтобы защитить вас от наблюдения которыми VPN может оградить вас от наблюдения защитить вас от наблюдения Также подумайте об использовании браузера Tor. чтобы получить доступ к Интернету анонимно. Будьте осторожны с электронной почтой, так как очень трудно защитить почтовые сообщения от слежки. Попробуйте вместо этого использовать безопасное приложение для обмена сообщениями, такое как Signal или Telegram.
Узнайте о том, как правительства следят за вами онлайн
Ситуация в Казахстане является лишь одним примером того, как правительства могут шпионить за своими гражданами через интернет-деятельность. Вы должны узнать о том, как правительства и компании могут применять методы наблюдения, чтобы попытаться их избежать.
Чтобы вы не думали, что это проблема только в других странах, помните, что такие места, как США и Великобритания, также имеют историю слежки за своими гражданами. В качестве напоминания вы можете узнать о случаях, когда ваши данные были шокирующе переданы в АНБ раз, когда ваши данные были шокирующе переданы в АНБ раз, когда ваши данные были шокирующе переданы