Große Internetanbieter in Kasachstan, darunter Kcell, Beeline, Tele2 und Altel, haben in ihre Systeme die Möglichkeit zur Abhörung von HTTPS-Traffic integriert und von den Nutzern, ein 'nationales Sicherheitszertifikat' auf allen Geräten, die mit dem globalen Netz verbunden sind, zu installieren. Dies erfolgte im Rahmen der Umsetzung des neuen Gesetzes 'Über die Kommunikation'.

Es wurde erklärt, dass das neue Zertifikat die Nutzer des Landes vor Internetbetrug und Cyberangriffen schützen soll. Es soll angeblich 'die Nutzer des Internets vor Inhalten schützen, die durch die Gesetze der Republik Kasachstan verboten sind, sowie vor schädlichen und potenziell gefährlichen Inhalten'. Tatsächlich stellt es jedoch eine Form des Man-in-the-Middle-Angriffs (MitM) dar.
Das Problem ist, dass das Zertifikat den Zugriff auf bestimmte (und nicht unbedingt tatsächlich gefährliche) Seiten blockieren, HTTPS-Traffic modifizieren, Nachrichten lesen und darüber hinaus im Namen eines Nutzers schreiben kann. Wenn das Zertifikat nicht installiert wird, verlieren die Nutzer den Zugang zu allen Diensten, die TLS-Verschlüsselung verwenden, und das sind alle wichtigen globalen Ressourcen – von Google bis Amazon.

Der Betreiber Kcell , dass das Zertifikat in Kasachstan entwickelt wurde, aber wer genau das gemacht hat, ist unbekannt. Interessanterweise muss man für den Erhalt des Zertifikats die Website besuchen , die vor weniger als einem Monat registriert wurde. Der Inhaber des Domainnamens ist eine Privatperson, und als Adresse wird das Haus der Ministerien in Nur-Sultan angegeben. Am lustigsten ist, dass die Website für das Sicherheitszertifikat kein HTTPS verwendet.

Ein kleiner Pluspunkt ist lediglich, dass die Installation des Zertifikats als freiwillige Angelegenheit deklariert ist. Viele Geräte oder Anwendungen erlauben es jedoch oft nicht, Zertifikate zu modifizieren oder zu ändern.
Einige Nutzer haben bereits über die Unzugänglichkeit von Social Media, dem E-Mail-Dienst Gmail und YouTube berichtet. Gleichzeitig waren kasachische Ressourcen normal erreichbar. Das Ministerium für digitale Entwicklungen hat bislang keine Gründe bekanntgegeben, jedoch angekündigt, technische Arbeiten durchzuführen, die "darauf abzielen, den Schutz von Bürgern, staatlichen Stellen und privaten Unternehmen vor Hackerangriffen, Internetbetrügern und anderen Arten von Cyberbedrohungen zu verstärken". Laut dem stellvertretenden Minister für digitale Entwicklung, Ablaikhan Ospanov, handelt es sich um ein Pilotprojekt. Das bedeutet, dass es landesweit ausgeweitet werden könnte.
Quelle: 3dnews.ru
