Hva er et rotsertifikat, og hvordan kan det brukes til å spionere på deg?
Annonse
Nyhetssteder rapporterte i 2019 at regjeringen i Kasakhstan har tatt ekstreme skritt for å overvåke innbyggerne i landet sitt. Spesielt har myndighetene brukt et verktøy som kalles et rotsertifikat for å spionere på nettbaserte aktiviteter til innbyggere.
Misbruk av rotsertifikater er imidlertid ikke bare et problem i Kasakhstan. Internett-brukere over hele verden bør være klar over hvordan sikkerhetsverktøy kan misbrukes. Disse verktøyene kan kompromittere personvernet og samle inn data om nettstedene du besøker og meldingene du sender online.
Hva er et rotsertifikat?
Når du surfer på et nettsted som MakeUseOf, vil du se URL-adressen starter med https i stedet for http . Du vil også se et ikon som ser ut som en lås ved siden av nettadressen i adressefeltet. Dette betyr at en type kryptering kalt Secure Socket Layer / Transport Layer Security (SSL / TLS) beskytter nettstedet.
Med denne krypteringen er data som sendes mellom deg og nettstedet sikre. Så du kan være sikker på at nettstedet du besøker er det virkelige MakeUseOf og ikke et ansvarsområde som prøver å stjele dataene dine.
For å få det låsesymbolet som brukere kan stole på, betaler nettstedseiere en organisasjon som heter Certificate Certificate (CA) for å bekrefte dem. Når en CA bekrefter at et nettsted er autentisk, utsteder det et sikkerhetssertifikat . Utviklerne av nettlesere som Firefox og Chrome holder en liste over pålitelige CAer som deres sertifikater godtar.
Så når du besøker et nettsted som MakeUseOf, finner nettleseren sertifikatet, bekrefter at det kommer fra en pålitelig CA og viser det sikre nettstedet.
Et rotsertifikat er det høyeste nivået av sikkerhetssertifikat som er tilgjengelig. Det er viktig fordi dette "mesterbrevet" bekrefter alle sertifikatene under det. Dette betyr at sikkerheten til rotsertifikatet bestemmer sikkerheten til et helt system. Utviklere bruker rotsertifikater av mange gyldige grunner.
Når en regjering eller annen enhet misbruker rotsertifikater, kan de imidlertid installere spyware på kryptert kommunikasjon og få tilgang til private data.
Hvordan misbruker regjeringen rotsertifikater i Kasakhstan?
I juli 2019 ga regjeringen i Kasakhstan ut en rådgivning til Internett-leverandører (ISP) i landet. Regjeringen sa at Internett-leverandørene måtte gjøre installasjon av et utstedt rotsertifikat obligatorisk for brukere å få tilgang til internett. Det myndighetsutstedte sertifikatet kalles "Qaznet" og beskrives som et "nasjonalt sikkerhetssertifikat".
Internett-leverandører påla pliktoppfyllende sine kunder å installere sertifikatet hvis de ønsket tilgang til internett.
Når sertifikatet er installert, kan myndighetene bruke det til å avskjære en enorm mengde surfedata. Regjeringen kan se aktivitet på populære nettsteder som Google, Facebook og Twitter. Det kan til og med dekryptere HTTPS- og TLS-tilkoblinger, og få tilgang til brukernavn og passord for kontoer.
Dette betyr at ingen nettsteder er sikre hvis sertifikatet er installert.
Regjeringen lanserer i utgangspunktet en “mann i midten. Hvordan millioner av apper er sårbare for en enkelt sikkerhetshack Hvordan millioner av apper er sårbare for en enkelt sikkerhetshack OAuth er en åpen standard som brukes for å la deg logge inn på en tredjepartsapp eller nettsted ved å bruke en Facebook-, Twitter- eller Google-konto - og den er sårbar for hackere. Les mer-angrep på hele landet, ifølge sikkerhetsbloggen The Hacker News. Fordi Internett-leverandørene gjør sertifikatet obligatorisk, er det ingen måte for brukere å lett unngå det hvis de vil fortsette å få tilgang til Internett.
Videre kan folk bare installere sertifikatet via en ikke-HTTPS-tilkobling. En person må bruke en mindre sikker HTTP-tilkobling for å installere sertifikatet. Og hackere kan avskjære denne prosessen for å installere sitt eget skadesertifikat i stedet.
Hvordan svarer teknologiselskaper på inngripende rotsertifikater?
Teknologiselskaper inkludert Google, Apple og Mozilla har svart på situasjonen i Kasakhstan. De har lovet å beskytte brukere mot myndighetsovervåking. Google Chrome-nettleseren blokkerer nå sertifikatet som brukes av Kasakhstan-regjeringen, ifølge et blogginnlegg.
Google har tatt denne handlingen "for å beskytte brukere mot avskjæring eller endring av TLS-tilkoblinger som er gjort til nettsteder." Brukere trenger ikke å gjøre noen tiltak for å bli beskyttet. Nettleseren blokkerer automatisk dette bestemte sertifikatet.
På samme måte har Mozilla distribuert en løsning på Firefox-nettleseren. Denne løsningen vil også blokkere sertifikatet som brukes av Kasakhstan-regjeringen. Selskapet kunngjorde rettelsen med en senioringeniør hos selskapet om at de sa: "Vi tar ikke lett handlinger som dette, men å beskytte brukerne våre og nettets integritet er grunnen til at Firefox eksisterer." bruk blokken automatisk.
Mozilla nevnte også tilfeller av tidligere forsøk fra regjeringen i Kazahkstan til å avskjære internettrafikk. Dette inkluderer et tidligere mislykket forsøk på å inkludere et rotsertifikat i Mozillas pålitelige rotlagerprogram i 2015.
Hva kan du gjøre med misbruk av rotsertifikater som bruker?
Misbruk av rotsertifikater er åpenbart bekymringsfullt. Men hva kan du faktisk gjøre med det som bruker? For det første, hvis du er i Kasakhstan, bør du ikke installere sertifikatet på enheten din. Hvis du allerede har installert det, må du avinstallere det umiddelbart. Du bør også endre passordene til alle dine online kontoer. Dette vil forhindre at myndighetene får tilgang til surfedataene dine.
Hvis du bor i et land med høye nivåer av internettovervåking, bør du være på utkikk etter tvilsomme sertifikater. Hvis du blir bedt om å installere et sikkerhetssertifikat, bør du undersøke om det er pålitelig før du installerer det på enheten.
Du bør også ta andre skritt for å beskytte dataene dine. Du bør bruke en VPN for å beskytte deg mot overvåking. 3 måter en VPN kan beskytte deg mot Big Brothers overvåkning Panopticon 3 måter en VPN kan beskytte deg mot Big Brothers overvåkning Panopticon Ikke overbevist om at du trenger en VPN? Her er tre overraskende grunner til at et virtuelt privat nettverk skal være hjørnesteinen i sikkerheten din. Les mer . Du kan også vurdere å bruke Tor-nettleseren 7 tips for å bruke Tor-nettleseren trygt 7 tips for å bruke Tor-nettleseren trygt. Tenker du på å prøve Tor-nettleseren for å begynne å surfe på nettet? Lær disse Tor nettleseren dos og don'ts før du begynner. Les mer for å få tilgang til internett anonymt. Vær også forsiktig med e-post, da det er veldig vanskelig å beskytte e-postmeldinger mot overvåking. Vurder å bruke en sikker meldingsapp som Signal eller Telegram i stedet.
Lær om hvordan regjeringer spionerer mot deg på nettet
Situasjonen i Kasakhstan er bare ett eksempel på hvordan regjeringer kan spionere på innbyggerne sine gjennom sine internettaktiviteter. Du bør lære om hvordan myndigheter og selskaper kan bruke overvåkningsteknikker, slik at du kan prøve å unngå dem.
For at du ikke tror at dette bare er et problem i andre land, husk at steder som USA og Storbritannia også har en historie med å spionere på innbyggerne sine. Som en påminnelse kan du lære om ganger dataene dine ble sjokkerende overlevert til NSA 5 ganger dine data ble sjokkerende overlevert til NSA 5 ganger dine data ble sjokkerende overlevert til NSA Mange selskaper overleverer informasjon til NSA uten en andre tanke. Her er noen høyprofilerte organisasjoner som ga NSA tilgang til brukerdata. Les mer .
Utforsk mer om: HTTPS, sikkerhetssertifikat.