Hvad er et rodcertifikat, og hvordan kan det bruges til at spy på dig?
Reklame
Nyhedssteder rapporterede i 2019, at den Kazakhstan-regering har taget ekstreme skridt for at overvåge borgerne i sit land. Især har regeringen brugt et værktøj kaldet et rodcertifikat til at spionere på borgernes online-aktiviteter.
Misbrug af rodcertifikater er imidlertid ikke kun et problem i Kasakhstan. internetbrugere overalt i verden skal være opmærksomme på, hvordan sikkerhedsværktøjer kan misbruges. Disse værktøjer kan kompromittere privatlivets fred og indsamle data om de websteder, du besøger, og de meddelelser, du sender online.
Hvad er et rodcertifikat?
Når du gennemser et websted som MakeUseOf, ser du URL'en starter med https i stedet for http . Du kan også se et ikon, der ligner en lås ved siden af URL'en i adresselinjen. Dette betyder, at en type kryptering kaldet Secure Socket Layer / Transport Layer Security (SSL / TLS) beskytter webstedet.
Med denne kryptering er data, der er sendt mellem dig og webstedet, sikre. Så du kan være sikker på, at det websted, du får adgang til, er det rigtige MakeUseOf og ikke et ansigtssted, der prøver at stjæle dine data.
For at få det låsesymbol, som brugerne kan stole på, betaler webstedsejere en organisation, der kaldes en Certificate Authority (CA) for at bekræfte dem. Når en CA bekræfter, at et websted er autentisk, udsteder det et sikkerhedscertifikat . Udviklerne af webbrowsere som Firefox og Chrome holder en liste over betroede CA'er, hvis certifikater de accepterer.
Så når du besøger et websted som MakeUseOf, finder din browser certifikatet, verificerer det kommer fra en betroet CA og viser det sikre sted.
Et rodcertifikat er det højeste niveau af tilgængeligt sikkerhedscertifikat. Det er vigtigt, fordi dette "mastercertifikat" verificerer alle certifikaterne under det. Dette betyder, at rodcertifikatets sikkerhed bestemmer sikkerheden for et helt system. Udviklere bruger rodcertifikater af mange gyldige grunde.
Når en regering eller anden enhed misbruger rodcertifikater, kan de imidlertid installere spyware på krypteret kommunikation og få adgang til private data.
Hvordan misbruger regeringen rodcertifikater i Kasakhstan?
I juli 2019 udsendte regeringen i Kasakhstan en rådgivning til internetudbydere i landet. Regeringen sagde, at internetudbydere skulle gøre installation af et statsudstedt rodcertifikat obligatorisk for brugere at få adgang til internettet. Det statsudstedte certifikat kaldes ”Qaznet” og beskrives som et ”nationalt sikkerhedscertifikat”.
ISP'er instruerede pligtmæssigt deres kunder om at installere certifikatet, hvis de ville have adgang til internettet.
Når certifikatet er installeret, kan regeringen bruge det til at opfange en enorm mængde browserdata. Regeringen kan se aktiviteter på populære websteder som Google, Facebook og Twitter. Det kan endda dekryptere HTTPS- og TLS-forbindelser og få adgang til kontonavn og adgangskoder.
Dette betyder, at intet websted er sikkert, hvis certifikatet er installeret.
Regeringen lancerer i det væsentlige en “mand i midten. Hvordan millioner af apps er sårbare over for en enkelt sikkerhedshack Hvordan millioner af apps er sårbare over for en enkelt sikkerhedshack OAuth er en åben standard, der bruges til at give dig mulighed for at logge ind på en tredjepartsapp eller websted ved hjælp af en Facebook-, Twitter- eller Google-konto - og det er sårbart for hackere. Læs mere ”angreb på hele landet, ifølge sikkerhedsblog The Hacker News. Fordi internetudbydere gør certifikatet obligatorisk, er der ingen måde for brugere at let undgå det, hvis de vil fortsætte med at få adgang til internettet.
Desuden kan folk kun installere certifikatet via en ikke-HTTPS-forbindelse. En person skal bruge en mindre sikker HTTP-forbindelse til at installere certifikatet. Og hackere kunne aflytte denne proces for at installere deres eget skadelige certifikat i stedet.
Hvordan reagerer teknologivirksomheder på invasive rodcertifikater?
Teknologiselskaber, herunder Google, Apple og Mozilla, har reageret på situationen i Kasakhstan. De har lovet at beskytte brugere mod regeringsovervågning. Google Chrome-browseren blokerer nu det certifikat, der bruges af Kasakhstan-regeringen, ifølge et blogindlæg.
Google har truffet denne handling "for at beskytte brugere mod aflytning eller ændring af TLS-forbindelser foretaget til websteder." Brugere behøver ikke at tage nogen handlinger for at blive beskyttet. Browseren blokerer automatisk dette særlige certifikat.
Tilsvarende har Mozilla implementeret en løsning på sin Firefox-browser. Denne løsning blokerer også det certifikat, der bruges af Kasakhstans regering. Virksomheden annoncerede rettelsen med en senioringeniør hos virksomheden om at "Vi tager ikke let som dette, men beskyttelse af vores brugere og integriteten af internettet er grunden til, at Firefox eksisterer." Arbejder sammen med Chrome, Firefox vil anvende blokken automatisk.
Mozilla nævnte også tidligere tilfælde af forsøg fra den Kazahkstanske regering til at aflytte internettrafik. Dette inkluderer et tidligere mislykket forsøg på at inkludere et rodcertifikat i Mozillas pålidelige rodlagerprogram i 2015.
Hvad kan du gøre ved misbrug af rodcertifikater som bruger?
Misbrug af rodcertifikater er åbenlyst bekymrende. Men hvad kan du faktisk gøre ved det som bruger? For det første, hvis du er i Kasakhstan, skal du ikke installere certifikatet på din enhed. Hvis du allerede har installeret det, skal du straks afinstallere det. Du skal også ændre adgangskoder til alle dine online-konti. Dette vil forhindre regeringen i at få adgang til dine browserdata.
Hvis du bor i et land med høje niveauer af internetovervågning, skal du være på udkig efter tvivlsomme certifikater. Hvis du bliver bedt om at installere et sikkerhedscertifikat, skal du undersøge, om det er pålideligt, før du installerer det på din enhed.
Du skal også tage andre skridt for at beskytte dine data. Du skal bruge en VPN til at beskytte dig mod overvågning 3 måder en VPN kan beskytte dig mod Big Brother's overvågning Panopticon 3 måder en VPN kan beskytte dig mod Big Brother's overvågning Panopticon Ikke overbevist om, at du har brug for en VPN? Her er tre overraskende grunde til, at et virtuelt privat netværk skal være hjørnestenen i din sikkerhed. Læs mere . Overvej også at bruge Tor-browseren 7 tip til brug af Tor-browseren sikkert 7 tip til brug af Tor-browseren sikkert Overvejer du at prøve Tor-browseren til at begynde at surfe på nettet sikkert? Lær disse Tor browser dos og don'ts, før du starter. Læs mere for at få adgang til internettet anonymt. Vær også forsigtig med e-mail, da det er meget vanskeligt at beskytte e-mail-beskeder mod overvågning. Overvej at bruge en sikker messaging-app som Signal eller Telegram i stedet.
Lær mere om, hvordan regeringer spionerer mod dig online
Situationen i Kasakhstan er kun et eksempel på, hvordan regeringer kan spionere på deres borgere gennem deres internetaktiviteter. Du bør lære om, hvordan regeringer og virksomheder kan anvende overvågningsteknikker, så du kan prøve at undgå dem.
For at du ikke tror, at dette kun er et problem i andre lande, skal du huske, at steder som USA og Storbritannien også har haft en historie om at spionere efter deres borgere. Som en påmindelse kan du lære om de tidspunkter, hvor dine data blev chokeret overdraget til NSA 5 gange. Dine data blev chokeret overdraget til NSA. 5 gange. Dine data blev chokeret overdraget til NSA. Mange virksomheder overleverer oplysninger til NSA uden en anden tanke. Her er nogle høje profilerede organisationer, der gav NSA adgang til brugerdata. Læs mere .
Udforsk mere om: HTTPS, sikkerhedscertifikat.