Groot internetverskaffers in Kazakstan, insluitend Kcell, Beeline, Tele2 en Altel, in hul stelsels die vermoë om HTTPS-verkeer te onderskep en van gebruikers om 'n "nasionale sekuriteitsertifikaat" op alle toestelle met toegang tot die globale netwerk te installeer. Dit is gedoen as deel van die implementering van die nuwe weergawe van die Wet “Op Kommunikasie”.
Daar word gestel dat die nuwe sertifikaat die land se gebruikers teen aanlynbedrog en kuberaanvalle moet beskerm. Dit stel jou kwansuis "toe om internetgebruikers te beskerm teen inhoud wat deur die wetgewing van die Republiek van Kazakstan verbied word, sowel as teen skadelike en potensieel gevaarlike inhoud." Dit is egter in wese 'n vorm van MitM (mat-in-die-middel) aanval.
Die feit is dat die sertifikaat jou toelaat om toegang tot sekere (en nie noodwendig werklik gevaarlike) bladsye te blokkeer, HTTPS-verkeer te wysig, korrespondensie te lees en boonop namens 'n spesifieke gebruiker te skryf. As die sertifikaat nie geïnstalleer is nie, sal gebruikers toegang verloor tot alle dienste wat TSL-enkripsie gebruik, en dit is al die wêreld se belangrikste hulpbronne – van Google tot Amazon.
Operator Kcell dat die sertifikaat in Kazakstan ontwikkel is, maar wie dit presies gedoen het, is onbekend. Die interessantste is dat jy na die webwerf moet gaan om 'n sertifikaat te ontvang , wat minder as 'n maand gelede geregistreer is. Die eienaar van die domeinnaam is 'n privaat individu, en die adres is die House of Ministries in Nur-Sultan. Die snaakse ding is dat die webwerf nie HTTPS vir die sekuriteitsertifikaat gebruik nie.
Die enigste klein voordeel hier is dat die installering van 'n sertifikaat as vrywillig aangegee word. Baie toestelle of toepassings laat gebruikers egter dikwels nie toe om sertifikate te wysig of te verander nie.
Terselfdertyd het sommige gebruikers reeds gekla oor die ontoeganklikheid van sosiale netwerke, die Gmail-e-posdiens en YouTube. Kazakh bronne het normaalweg oopgemaak. Die Ministerie van Digitale Ontwikkeling het nog nie die redes bekend gemaak nie, maar het reeds aangekondig dat tegniese werk uitgevoer word “wat daarop gemik is om die beskerming van burgers, regeringsinstansies en private maatskappye teen hackeraanvalle, internetbedrieërs en ander tipe kuberbedreigings te versterk. ” En volgens die adjunk-premier van digitale ontwikkeling, Ablaykhan Ospanov, is dit 'n loodsprojek. Dit wil sê, dit kan na die hele land uitgebrei word.
Bron: 3dnews.ru