Τι είναι ένα πιστοποιητικό ρίζας και πώς μπορεί να χρησιμοποιηθεί για να κατασκοπεύσει σε σας;
Διαφήμιση
Τα πρακτορεία ειδήσεων ανακοίνωσαν το 2019 ότι η κυβέρνηση του Καζακστάν έλαβε ακραία μέτρα για την επιτήρηση των πολιτών στη χώρα της. Ειδικότερα, η κυβέρνηση χρησιμοποιεί ένα εργαλείο που ονομάζεται πιστοποιητικό ρίζας για να κατασκοπεύει τις ηλεκτρονικές δραστηριότητες των πολιτών.
Η κακή χρήση των πιστοποιητικών ρίζας δεν είναι μόνο ένα πρόβλημα στο Καζακστάν. οι χρήστες του διαδικτύου σε όλο τον κόσμο πρέπει να γνωρίζουν πώς μπορούν να χρησιμοποιηθούν τα εργαλεία ασφάλειας. Αυτά τα εργαλεία μπορούν να θέσουν σε κίνδυνο την ιδιωτικότητα και να συλλέξουν δεδομένα σχετικά με τους ιστότοπους που επισκέπτεστε και τα μηνύματα που στέλνετε online.
Τι είναι ένα πιστοποιητικό ρίζας;
Όταν περιηγείστε σε έναν ιστότοπο όπως το MakeUseOf, θα δείτε ότι η διεύθυνση URL αρχίζει με https αντί για http . Θα δείτε επίσης ένα εικονίδιο που μοιάζει με κλείδωμα δίπλα στη διεύθυνση URL στη γραμμή διευθύνσεων. Αυτό σημαίνει ότι ένας τύπος κρυπτογράφησης που ονομάζεται Secure Socket Layer / Transport Layer Security (SSL / TLS) προστατεύει τον ιστότοπο.
Με αυτήν την κρυπτογράφηση, τα δεδομένα που διαβιβάζονται μεταξύ εσάς και του ιστότοπου είναι ασφαλή. Έτσι, μπορείτε να είστε βέβαιοι ότι ο ιστότοπος στον οποίο έχετε πρόσβαση είναι ο πραγματικός χώρος της MakeUseOf και όχι ένας απατεώνας που προσπαθεί να κλέψει τα δεδομένα σας.
Για να αποκτήσετε αυτό το σύμβολο κλειδώματος, το οποίο μπορούν να εμπιστευτούν οι χρήστες, οι ιδιοκτήτες ιστότοπων πληρώνουν έναν οργανισμό που ονομάζεται Αρχή Πιστοποίησης (CA) για να τις επαληθεύσουν Όταν μια ΑΠ επαληθεύει ότι ένας ιστότοπος είναι αυθεντικός, εκδίδει ένα πιστοποιητικό ασφαλείας . Οι προγραμματιστές των προγραμμάτων περιήγησης ιστού, όπως ο Firefox και το Chrome, διατηρούν μια λίστα με αξιόπιστες ΑΠ των οποίων τα πιστοποιητικά αποδέχονται.
Έτσι, όταν επισκέπτεστε μια τοποθεσία όπως το MakeUseOf, το πρόγραμμα περιήγησης σας βρίσκει το πιστοποιητικό, επαληθεύει ότι προέρχεται από μια αξιόπιστη ΑΠ και εμφανίζει τον ασφαλή ιστότοπο.
Ένα πιστοποιητικό ρίζας είναι το υψηλότερο επίπεδο διαθέσιμου πιστοποιητικού ασφαλείας. Είναι σημαντικό επειδή αυτό το "κύριο πιστοποιητικό" επαληθεύει όλα τα πιστοποιητικά κάτω από αυτό. Αυτό σημαίνει ότι η ασφάλεια του πιστοποιητικού ρίζας καθορίζει την ασφάλεια ολόκληρου του συστήματος. Οι προγραμματιστές χρησιμοποιούν πιστοποιητικά ρίζας για πολλούς έγκυρους λόγους.
Ωστόσο, όταν μια κυβέρνηση ή άλλη οντότητα παραβιάζει τα πιστοποιητικά ρίζας, μπορούν να εγκαταστήσουν λογισμικό υποκλοπής spyware σε κρυπτογραφημένες επικοινωνίες και να έχουν πρόσβαση σε ιδιωτικά δεδομένα.
Πώς είναι η κυβέρνηση κακή χρήση των πιστοποιητικών ρίζας στο Καζακστάν;
Τον Ιούλιο του 2019, η κυβέρνηση του Καζακστάν εξέδωσε συμβουλευτικές υπηρεσίες στους παρόχους υπηρεσιών Διαδικτύου (ISP) στη χώρα. Η κυβέρνηση δήλωσε ότι οι πάροχοι υπηρεσιών Διαδικτύου έπρεπε να καθιστούν υποχρεωτική την πρόσβαση σε ένα διαδικτυακό ραδιοτηλέφωνο για την έκδοση πιστοποιητικού ρίζας που εκδίδεται από την κυβέρνηση. Το κυβερνητικό πιστοποιητικό ονομάζεται "Qaznet" και περιγράφεται ως "πιστοποιητικό εθνικής ασφάλειας".
Οι πάροχοι υπηρεσιών διαδικτύου κατόρθωσαν πιστά τους πελάτες τους να εγκαταστήσουν το πιστοποιητικό εάν ήθελαν να έχουν πρόσβαση στο Διαδίκτυο.
Μόλις εγκατασταθεί το πιστοποιητικό, η κυβέρνηση μπορεί να το χρησιμοποιήσει για να αναχαιτίσει ένα τεράστιο όγκο δεδομένων περιήγησης. Η κυβέρνηση μπορεί να δει δραστηριότητα σε δημοφιλείς τοποθεσίες όπως το Google, το Facebook και το Twitter. Μπορεί ακόμη να αποκρυπτογραφήσει τις συνδέσεις HTTPS και TLS και να έχει πρόσβαση στα ονόματα χρήστη και στους κωδικούς πρόσβασης.
Αυτό σημαίνει ότι κανένας ιστότοπος δεν είναι ασφαλής αν έχει εγκατασταθεί το πιστοποιητικό.
Η κυβέρνηση ουσιαστικά εκτοξεύει έναν «άνθρωπο στη μέση Πώς τα εκατομμύρια των εφαρμογών είναι ευάλωτα σε μια ενιαία ασφάλεια Hack Πώς εκατομμύρια εφαρμογές είναι ευάλωτες σε μια ενιαία ασφάλεια Hack OAuth είναι ένα ανοικτό πρότυπο που χρησιμοποιείται για να σας επιτρέψει να συνδεθείτε σε μια εφαρμογή τρίτων ή τον ιστότοπο χρησιμοποιώντας ένα Facebook, Twitter ή λογαριασμό Google - και είναι ευάλωτο σε χάκερ. Διαβάστε περισσότερα "επίθεση σε ολόκληρη τη χώρα, σύμφωνα με το ιστολόγιο ασφάλειας Οι ειδήσεις των χάκερ. Επειδή οι ISP κάνουν το πιστοποιητικό υποχρεωτικό, δεν υπάρχει κανένας τρόπος για τους χρήστες να το αποφύγουν εύκολα αν θέλουν να συνεχίσουν να έχουν πρόσβαση στο διαδίκτυο.
Επιπλέον, οι χρήστες μπορούν να εγκαταστήσουν το πιστοποιητικό μόνο μέσω σύνδεσης χωρίς σύνδεση HTTPS. Ένα άτομο πρέπει να χρησιμοποιήσει μια λιγότερο ασφαλής σύνδεση HTTP για να εγκαταστήσει το πιστοποιητικό. Και οι χάκερ θα μπορούσαν να παρακολουθήσουν αυτή τη διαδικασία για να εγκαταστήσουν το δικό τους ζημιογόνο πιστοποιητικό.
Πώς Αντιμετωπίζουν οι Τεχνολογικές Εταιρείες τα Εισαγωγικά Πιστοποιητικά ρίζας;
Τεχνολογικές εταιρείες όπως η Google, η Apple και η Mozilla ανταποκρίθηκαν στην κατάσταση στο Καζακστάν. Υποσχέθηκαν να προστατεύσουν τους χρήστες από την επιτήρηση της κυβέρνησης. Το πρόγραμμα περιήγησης Google Chrome τώρα αποκλείει το πιστοποιητικό που χρησιμοποιεί η κυβέρνηση του Καζακστάν, σύμφωνα με μια ανάρτηση ιστολογίου.
Η Google έχει αναλάβει αυτήν την ενέργεια "για να προστατεύσει τους χρήστες από την παρακολούθηση ή την τροποποίηση των συνδέσεων TLS που πραγματοποιούνται στους ιστοτόπους." Οι χρήστες δεν χρειάζεται να κάνουν οποιαδήποτε ενέργεια για να προστατεύσουν. Το πρόγραμμα περιήγησης θα αποκλείσει αυτόματα αυτό το συγκεκριμένο πιστοποιητικό.
Ομοίως, το Mozilla έχει αναπτύξει μια λύση στο πρόγραμμα περιήγησης Firefox. Αυτή η λύση θα εμποδίσει επίσης το πιστοποιητικό που χρησιμοποιεί η κυβέρνηση του Καζακστάν. Η εταιρεία ανακοίνωσε την επιδιόρθωση με έναν ανώτερο μηχανικό στην εταιρεία, δηλώνοντας: "Δεν κάνουμε τέτοιες ενέργειες, αλλά προστατεύοντας τους χρήστες μας και την ακεραιότητα του ιστού είναι ο λόγος που υπάρχει ο Firefox." Σε συνεργασία με το Chrome, ο Firefox αυτόματη εφαρμογή του μπλοκ.
Η Mozilla ανέφερε επίσης παρελθούσες περιπτώσεις προσπαθειών της κυβέρνησης του Καζακστάν να παρεμποδίσει την κίνηση στο διαδίκτυο. Αυτό περιλαμβάνει μια προηγούμενη ανεπιτυχή προσπάθεια να συμπεριληφθεί ένα πιστοποιητικό ρίζας στο αξιόπιστο πρόγραμμα αποθήκευσης root της Mozilla το 2015.
Τι μπορείτε να κάνετε για την κακή χρήση των πιστοποιητικών ρίζας ως χρήστης;
Η κακή χρήση των πιστοποιητικών ρίζας είναι προφανώς ανησυχητική. Αλλά τι μπορείτε πραγματικά να κάνετε για αυτό ως χρήστης; Πρώτον, εάν βρίσκεστε στο Καζακστάν, δεν θα πρέπει να εγκαταστήσετε το πιστοποιητικό στη συσκευή σας. Εάν το έχετε ήδη εγκαταστήσει, απεγκαταστήστε το αμέσως. Θα πρέπει επίσης να αλλάξετε τους κωδικούς πρόσβασης σε όλους τους λογαριασμούς σας στο διαδίκτυο. Αυτό θα αποτρέψει την πρόσβαση της κυβέρνησης στα δεδομένα περιήγησής σας.
Εάν ζείτε σε μια χώρα με υψηλά επίπεδα επιτήρησης μέσω Διαδικτύου, θα πρέπει να είστε επιφυλακτικοί για αμφίβολα πιστοποιητικά. Εάν σας ζητηθεί να εγκαταστήσετε ένα πιστοποιητικό ασφαλείας, θα πρέπει να διερευνήσετε εάν είναι αξιόπιστο πριν το εγκαταστήσετε στη συσκευή σας.
Θα πρέπει επίσης να λάβετε και άλλα μέτρα για την προστασία των δεδομένων σας. Θα πρέπει να χρησιμοποιήσετε ένα VPN για να σας προστατεύσει από την επιτήρηση 3 τρόποι ένα VPN μπορεί να σας προστατεύσει από την επιτήρηση του Big Brother Panopticon 3 τρόποι ένα VPN μπορεί να σας προστατεύσει από την επιτήρηση του Big Brother Panopticon Δεν είστε πεπεισμένοι ότι χρειάζεστε ένα VPN; Ακολουθούν τρεις εκπληκτικοί λόγοι για τους οποίους ένα εικονικό ιδιωτικό δίκτυο πρέπει να αποτελέσει τον ακρογωνιαίο λίθο της ασφάλειας σας. Διαβάστε περισσότερα . Επίσης, σκεφτείτε να χρησιμοποιήσετε το πρόγραμμα περιήγησης Tor 7 Συμβουλές για την ασφαλή χρήση του Brow Browser 7 Συμβουλές για τη σωστή χρήση του Brow Browser Σκέφτεστε να δοκιμάσετε το πρόγραμμα περιήγησης Tor να ξεκινήσει την ασφαλή περιήγηση στον ιστό; Μάθετε αυτά τα tor browser dos και don'ts πριν ξεκινήσετε. Διαβάστε περισσότερα για να έχετε πρόσβαση στο διαδίκτυο ανώνυμα. Προσέξτε επίσης με το ηλεκτρονικό ταχυδρομείο, καθώς είναι πολύ δύσκολο να προστατεύσετε τα μηνύματα ηλεκτρονικού ταχυδρομείου από την επιτήρηση. Σκεφτείτε να χρησιμοποιήσετε μια ασφαλή εφαρμογή ανταλλαγής μηνυμάτων όπως το σήμα ή το τηλεγράφημα.
Μάθετε πώς οι κυβερνήσεις σας κατασκοπεύουν σε απευθείας σύνδεση
Η κατάσταση στο Καζακστάν είναι ένα μόνο παράδειγμα του τρόπου με τον οποίο οι κυβερνήσεις μπορούν να κατασκοπεύουν τους πολίτες τους μέσω των δραστηριοτήτων τους στο Διαδίκτυο. Πρέπει να μάθετε πώς οι κυβερνήσεις και οι εταιρείες μπορούν να αναπτύξουν τεχνικές επιτήρησης, ώστε να μπορείτε να προσπαθήσετε να τις αποφύγετε.
Αν νομίζετε ότι αυτό είναι μόνο ένα πρόβλημα σε άλλες χώρες, θυμηθείτε ότι μέρη όπως οι ΗΠΑ και το Ηνωμένο Βασίλειο έχουν ιστορία κατασκοπείας και στους πολίτες τους. Ως υπενθύμιση, μπορείτε να μάθετε για τις ώρες που τα δεδομένα σας μεταδόθηκαν συγκλονιστικά στην NSA 5 φορές Τα δεδομένα σας μεταδόθηκαν συγκλονιστικά στην NSA 5 φορές Τα δεδομένα σας μεταδόθηκαν συγκλονιστικά στην NSA Πολλές εταιρείες διαβίβασαν πληροφορίες στην NSA χωρίς δεύτερη σκέψη. Ακολουθούν ορισμένοι οργανισμοί υψηλού προφίλ που έδωσαν στην NSA πρόσβαση στα δεδομένα χρηστών. Διαβάστε περισσότερα .
Εξερευνήστε περισσότερα σχετικά με: HTTPS, πιστοποιητικό ασφαλείας.