Grandi fornitori Internet in Kazakistan, tra cui Kcell, Beeline, Tele2 e Altel, nei loro sistemi la capacità di intercettare il traffico HTTPS e da parte degli utenti di installare un “certificato di sicurezza nazionale” su tutti i dispositivi con accesso alla rete globale. Ciò è stato fatto nell'ambito dell'attuazione della nuova versione della legge “sulle comunicazioni”.
Si afferma che il nuovo certificato dovrebbe proteggere gli utenti del Paese dalle frodi online e dagli attacchi informatici. Presumibilmente "consente di proteggere gli utenti di Internet dai contenuti vietati dalla legislazione della Repubblica del Kazakistan, nonché da contenuti dannosi e potenzialmente pericolosi". Tuttavia, questa è essenzialmente una forma di attacco MitM (mat-in-the-middle).
Il fatto è che il certificato consente di bloccare l'accesso a determinate pagine (e non necessariamente veramente pericolose), modificare il traffico HTTPS, leggere la corrispondenza e, inoltre, scrivere per conto di un particolare utente. Se il certificato non viene installato, gli utenti perderanno l'accesso a tutti i servizi che utilizzano la crittografia TSL e queste sono tutte le principali risorse del mondo, da Google ad Amazon.
Operatore Kcell che il certificato è stato sviluppato in Kazakistan, ma non si sa chi lo abbia fatto esattamente. La cosa più interessante è che per ricevere un certificato è necessario andare sul sito , che è stato registrato meno di un mese fa. Il proprietario del nome di dominio è un privato e l'indirizzo è la Camera dei Ministeri di Nur-Sultan. La cosa divertente è che il sito non utilizza HTTPS per il certificato di sicurezza.
L'unico piccolo vantaggio è che l'installazione del certificato è dichiarata volontaria. Tuttavia, molti dispositivi o applicazioni spesso non consentono agli utenti di modificare o modificare i certificati.
Allo stesso tempo, alcuni utenti si sono già lamentati dell'inaccessibilità dei social network, del servizio di posta elettronica Gmail e di YouTube. Le risorse kazake si sono aperte normalmente. Il Ministero dello Sviluppo Digitale non ha ancora reso note le ragioni, ma ha già annunciato che sono in corso lavori tecnici “volti a rafforzare la protezione dei cittadini, degli enti governativi e delle aziende private dagli attacchi di hacker, truffatori su Internet e altri tipi di minacce informatiche. " E secondo il vice primo ministro per lo sviluppo digitale Ablaykhan Ospanov, questo è un progetto pilota. Cioè può essere esteso a tutto il Paese.
Fonte: 3dnews.ru