Se você estiver no Kazakhstan e não puder acessar o serviço de Internet sem instalar um certificado, não estará sozinho.
O governo do Kazakhstan mais uma vez emitiu um alerta para todos os principais provedores de serviços de Internet locais pedindo para que todos os seus clientes instalem certificados de raiz emitidos pelo governo em seus dispositivos, a fim de recuperar o acesso aos serviços da Internet.
O certificado raiz em questão, rotulado como " certificado confiável " ou " certificado de segurança nacional " , se instalado, permite que os ISPs interceptem e monitorem as conexões HTTPS e TLS criptografadas dos usuários, ajudando o governo a espionar seus cidadãos e censurar o conteúdo.
Em outras palavras, o governo está essencialmente lançando um ataque "homem no meio" contra todos os residentes do país. A partir de abril deste ano, os ISPs do Kazakh começaram a informar seus usuários sobre o "certificado de segurança nacional" que seria obrigatório instalar para continuar o acesso ininterrupto a uma lista de sites HTTPS "permitidos". Agora, a Tele2 , um dos principais ISPs Kazakh, finalmente começou a redirecionar todas as conexões HTTPS de seus clientes para uma página da Web contendo arquivos de certificado e instruções sobre como instalá-lo em dispositivos Windows, macOS, Android e iOS. Um dos problemas de segurança mais significativos
podemos ver facilmente aqui é que, como os usuários só podem procurar sites não HTTPS antes de instalar os certificados, os arquivos Cert só estão disponíveis para download em conexões HTTP inseguras, o que pode permitir que hackers substituam arquivos do Certificado usando ataques MiTM.
O governo do Kazakhstan mais uma vez emitiu um alerta para todos os principais provedores de serviços de Internet locais pedindo para que todos os seus clientes instalem certificados de raiz emitidos pelo governo em seus dispositivos, a fim de recuperar o acesso aos serviços da Internet.
O certificado raiz em questão, rotulado como " certificado confiável " ou " certificado de segurança nacional " , se instalado, permite que os ISPs interceptem e monitorem as conexões HTTPS e TLS criptografadas dos usuários, ajudando o governo a espionar seus cidadãos e censurar o conteúdo.
Em outras palavras, o governo está essencialmente lançando um ataque "homem no meio" contra todos os residentes do país. A partir de abril deste ano, os ISPs do Kazakh começaram a informar seus usuários sobre o "certificado de segurança nacional" que seria obrigatório instalar para continuar o acesso ininterrupto a uma lista de sites HTTPS "permitidos". Agora, a Tele2 , um dos principais ISPs Kazakh, finalmente começou a redirecionar todas as conexões HTTPS de seus clientes para uma página da Web contendo arquivos de certificado e instruções sobre como instalá-lo em dispositivos Windows, macOS, Android e iOS. Um dos problemas de segurança mais significativos
podemos ver facilmente aqui é que, como os usuários só podem procurar sites não HTTPS antes de instalar os certificados, os arquivos Cert só estão disponíveis para download em conexões HTTP inseguras, o que pode permitir que hackers substituam arquivos do Certificado usando ataques MiTM.
Outros ISPs nacionais, listados abaixo, também têm planos de começar a forçar seus usuários da Internet a instalar o certificado raiz em breve para cumprir a lei.
A controversa assessoria foi emitida com relação às emendas à Lei de Comunicações de 2004 (a " Lei das Comunicações ") que o governo do Kazakhstan aprovou em novembro de 2015.
De acordo com a Cláusula 11 do Artigo 26, as "Regras para Emissão e Aplicação de Certificado de Segurança , "todos os provedores de serviços de comunicações nacionais são obrigados a monitorar o tráfego de Internet criptografado de seus clientes usando certificados de segurança emitidos pelo governo.
A lei tinha a intenção de entrar em vigor a partir de 1º de janeiro de 2016, mas o governo do Kazakhstan não conseguiu forçar os ISPs locais após uma série de ações judiciais.
Parece que agora o governo do Kazakhstan está fazendo outra tentativa de forçar as emendas, colocando em risco a privacidade e a segurança de milhões de seus cidadãos tanto dos hackers quanto do próprio governo, quebrando os fundamentos do protocolo de segurança da Internet.
A controversa assessoria foi emitida com relação às emendas à Lei de Comunicações de 2004 (a " Lei das Comunicações ") que o governo do Kazakhstan aprovou em novembro de 2015.
De acordo com a Cláusula 11 do Artigo 26, as "Regras para Emissão e Aplicação de Certificado de Segurança , "todos os provedores de serviços de comunicações nacionais são obrigados a monitorar o tráfego de Internet criptografado de seus clientes usando certificados de segurança emitidos pelo governo.
A lei tinha a intenção de entrar em vigor a partir de 1º de janeiro de 2016, mas o governo do Kazakhstan não conseguiu forçar os ISPs locais após uma série de ações judiciais.
Parece que agora o governo do Kazakhstan está fazendo outra tentativa de forçar as emendas, colocando em risco a privacidade e a segurança de milhões de seus cidadãos tanto dos hackers quanto do próprio governo, quebrando os fundamentos do protocolo de segurança da Internet.
De acordo com a nota exibida pelos provedores de Internet, as emendas foram forçadas "em conexão com os frequentes casos de roubo de dados pessoais e de credenciais, bem como com o dinheiro das contas bancárias do Cazaquistão".
A partir dessas declarações, é evidente que o governo do Cazaquistão quer assumir o controle sobre o conteúdo que seus cidadãos devem poder ver na Internet e também transformar o Cazaquistão em um estado de vigilância profunda.
Além disso, a interceptação de comunicações HTTPS também permitirá que os provedores injetem anúncios ou rastreiem scripts em todas as páginas visitadas pelos usuários.
Neste momento, não está claro como grandes empresas de tecnologia e navegadores responderão a essa nova violação de privacidade dos cidadãos do Cazaquistão. Atualizaremos a história com mais informações assim que estiverem disponíveis.
"Foi introduzido um certificado de segurança que se tornará uma ferramenta eficaz para proteger o espaço de informação do país contra hackers, fraudadores da Internet e outros tipos de ameaças cibernéticas", diz a nota.
"A introdução de um certificado de segurança também ajudará na proteção de sistemas de informação e dados, bem como na identificação de hackers e fraudadores da Internet antes que eles possam causar danos".
"Também permitirá que os internautas do Cazaquistão sejam protegidos contra ataques de hackers e exibam conteúdo ilegal".
A partir dessas declarações, é evidente que o governo do Cazaquistão quer assumir o controle sobre o conteúdo que seus cidadãos devem poder ver na Internet e também transformar o Cazaquistão em um estado de vigilância profunda.
Além disso, a interceptação de comunicações HTTPS também permitirá que os provedores injetem anúncios ou rastreiem scripts em todas as páginas visitadas pelos usuários.
Neste momento, não está claro como grandes empresas de tecnologia e navegadores responderão a essa nova violação de privacidade dos cidadãos do Cazaquistão. Atualizaremos a história com mais informações assim que estiverem disponíveis.
