Ett rotcertifikat är en integrerad aspekt av internetsäkerhet.  Men vad händer när en regering missbrukar den för att spionera på dig?

Vad är ett rotcertifikat och hur kan det användas för att spionera på dig?

Annons Nyhetsställen rapporterade 2019 att Kazakstans regering har vidtagit extrema åtgärder för att övervaka medborgarna i landet. I synnerhet har regeringen använt ett verktyg som kallas ett rotcertifikat för att spionera på medborgarnas onlineaktiviteter. Missbruk av rotcertifikat är dock inte bara ett problem i Kazakstan. Interne

Annons

Nyhetsställen rapporterade 2019 att Kazakstans regering har vidtagit extrema åtgärder för att övervaka medborgarna i landet. I synnerhet har regeringen använt ett verktyg som kallas ett rotcertifikat för att spionera på medborgarnas onlineaktiviteter.

Missbruk av rotcertifikat är dock inte bara ett problem i Kazakstan. Internetanvändare runt om i världen bör vara medvetna om hur säkerhetsverktyg kan missbrukas. Dessa verktyg kan äventyra sekretess och samla in data om de webbplatser du besöker och meddelandena som du skickar online.

Vad är ett rotcertifikat?

Rotcertifikat - webbläsarikonen

När du surfar på en webbplats som MakeUseOf ser du webbadressen börjar med https istället för http . Du ser också en ikon som ser ut som ett lås bredvid webbadressen i adressfältet. Detta innebär att en typ av kryptering som kallas Secure Socket Layer / Transport Layer Security (SSL / TLS) skyddar webbplatsen.

Med denna kryptering är data som skickas mellan dig och webbplatsen säkra. Så du kan vara säker på att webbplatsen du går in på är den verkliga MakeUseOf och inte en uppskattningswebbplats som försöker stjäla dina data.

För att få den låssymbolen som användare kan lita på betalar webbplatsägare en organisation som kallas en Certificate Authority (CA) för att verifiera dem. När en CA verifierar att en webbplats är giltig utfärdar den ett säkerhetscertifikat . Utvecklarna av webbläsare som Firefox och Chrome har en lista över betrodda CA: er vars certifikat de accepterar.

Så när du besöker en webbplats som MakeUseOf, hittar din webbläsare certifikatet, verifierar att det kommer från en betrodd CA och visar den säkra webbplatsen.

Ett rotcertifikat är den högsta tillgängliga säkerhetscertifikatet. Det är viktigt eftersom detta "huvudcertifikat" verifierar alla certifikat under det. Detta innebär att rotcertifikatets säkerhet avgör säkerheten för ett helt system. Utvecklare använder rotcertifikat av många giltiga skäl.

Men när en regering eller annan enhet missbrukar rotcertifikat kan de installera spionprogram på krypterad kommunikation och få åtkomst till privata data.

Hur missbrukar regeringen rotcertifikat i Kazakstan?

Rotcertifikat - Kazakstan

I juli 2019 utfärdade Kazakstans regering en rådgivning till internetleverantörer i landet. Regeringen sa att Internetleverantörerna måste göra installationen av ett myndighetsutgivet rotcertifikat obligatoriskt för användare att få tillgång till internet. Det myndighetsutgivna certifikatet kallas ”Qaznet” och beskrivs som ett ”nationellt säkerhetscertifikat”.

Internetleverantörer instruerade pliktigt sina kunder att installera certifikatet om de ville komma åt internet.

När certifikatet är installerat kan regeringen använda det för att fånga upp en enorm mängd surfningsdata. Regeringen kan se aktiviteter på populära webbplatser som Google, Facebook och Twitter. Det kan till och med dekryptera HTTPS- och TLS-anslutningar och få åtkomst till användarnamn och lösenord för konton.

Det betyder att ingen webbplats är säker om certifikatet är installerat.

Regeringen lanserar i grunden en "man i mitten. Hur miljontals appar är sårbara för en enda säkerhetshack Hur miljoner appar är sårbara för en enda säkerhetshack OAuth är en öppen standard som används för att du kan logga in på en tredjepartsapp eller webbplats med hjälp av ett Facebook-, Twitter- eller Google-konto - och det är sårbart för hackare. Läs mer-attacken mot hela landet, enligt säkerhetsbloggen The Hacker News. Eftersom ISP: erna gör certifikatet obligatoriskt, finns det inget sätt för användare att enkelt undvika det om de vill fortsätta använda Internet.

Dessutom kan människor bara installera certifikatet via en anslutning utan HTTPS. En person måste använda en mindre säker HTTP-anslutning för att installera certifikatet. Och hackare kan fånga upp denna process för att installera sitt eget skadliga certifikat istället.

Hur svarar teknologiföretag på invasiva rotcertifikat?

Teknologiföretag inklusive Google, Apple och Mozilla har svarat på situationen i Kazakstan. De har lovat att skydda användare mot myndighetskontroll. Google Chrome-webbläsaren blockerar nu certifikatet som används av Kazakstan-regeringen enligt ett blogginlägg.

Google har vidtagit denna åtgärd "för att skydda användare från avlyssning eller modifiering av TLS-anslutningar gjorda till webbplatser." Användare behöver inte vidta några åtgärder för att skyddas. Webbläsaren blockerar automatiskt detta certifikat.

På liknande sätt har Mozilla distribuerat en lösning på sin Firefox-webbläsare. Denna lösning kommer också att blockera certifikatet som används av Kazakstans regering. Företaget tillkännagav fixen med en senioringenjör på företaget där han säger: "Vi vidtar inte något sådant, men att skydda våra användare och webbens integritet är anledningen till att Firefox finns." Om vi ​​arbetar tillsammans med Chrome kommer Firefox att göra applicera blocket automatiskt.

Mozilla nämnde också tidigare exempel på försök från Kazakstan-regeringen att avlyssna internettrafik. Detta inkluderar ett tidigare misslyckat försök att inkludera ett rotcertifikat i Mozillas pålitliga root-lagringsprogram 2015.

Vad kan du göra om missbruk av rotcertifikat som användare?

Missbruk av rotcertifikat är uppenbarligen oroande. Men vad kan du faktiskt göra åt det som användare? För det första, om du är i Kazakstan bör du inte installera certifikatet på din enhet. Om du redan har installerat det, avinstallera det omedelbart. Du bör också ändra lösenord till alla dina onlinekonton. Detta kommer att förhindra att regeringen får åtkomst till dina surfdata.

Om du bor i ett land med höga nivåer av internetövervakning, bör du leta efter tvivelaktiga certifikat. Om du blir ombedd att installera ett säkerhetscertifikat bör du undersöka om det är pålitligt innan du installerar det på din enhet.

Du bör också vidta andra åtgärder för att skydda dina data. Du bör använda en VPN för att skydda dig från övervakning 3 sätt en VPN kan skydda dig från Big Brothers övervakning Panopticon 3 sätt en VPN kan skydda dig från Big Brother övervakning Panopticon Inte övertygad om att du behöver en VPN? Här är tre överraskande skäl till varför ett virtuellt privat nätverk ska vara hörnstenen i din säkerhet. Läs mer . Överväg också att använda Tor-webbläsaren 7 tips för att använda Tor-webbläsaren säkert 7 tips för att använda Tor-webbläsaren säkert. Tänker du på att prova Tor-webbläsaren att börja surfa på webben säkert? Lär dig dessa Tor browser dos and don'ts innan du börjar. Läs mer för att få tillgång till internet anonymt. Var också försiktig med e-post eftersom det är mycket svårt att skydda e-postmeddelanden från övervakning. Överväg att använda en säker meddelandeapp som Signal eller Telegram istället.

Lär dig mer om hur regeringar spionerar på dig online

Situationen i Kazakstan är bara ett exempel på hur regeringar kan spionera på sina medborgare genom sin internetaktivitet. Du bör lära dig hur regeringar och företag kan använda övervakningstekniker så att du kan försöka undvika dem.

För att du inte tror att detta bara är ett problem i andra länder, kom ihåg att platser som USA och Storbritannien har en historia av att också spionera på sina medborgare. Som en påminnelse kan du lära dig om hur dina data chockerande överlämnades till NSA 5 gånger dina data överlämnades chockerande till NSA 5 gånger dina data överlämnades chockerande till NSA Många företag överlämnar information till NSA utan en andra tanken. Här är några högprofilerade organisationer som gav NSA tillgång till användardata. Läs mer .

Utforska mer om: HTTPS, säkerhetscertifikat.