SIKKERHET

Google, Mozilla og Apple stopper massivt overvåkningsregime

Blokkerer nasjonalt rotsertifikat.

Flere nettleserleverandører har nå blokkert kasakhstanske myndigheters mulighet til å inspisere den krypterte webtrafikken til landets innbyggere.
Flere nettleserleverandører har nå blokkert kasakhstanske myndigheters mulighet til å inspisere den krypterte webtrafikken til landets innbyggere. Bilde: Colourbox
Harald BrombachHarald BrombachNyhetsleder
22. aug. 2019 - 17:00

Den 17. juli i år begynte myndighetene i Kasakhstan å avskjære all webtrafikken til og fra landets innbyggere, også den krypterte. Dette ble gjort ved å utstede et nasjonalt rotsertifikat som innbyggerne måtte installere i sine nettlesere, både på pc-er og mobile enheter. 

Myndighetene instruerte de lokale internettleverandørene om å lede alle nettleserbrukerne til sider som dette, hvor brukerne fikk veiledning om hvordan sertifikatet kunne installeres. Nettleserbrukerne fikk ikke tilgang til andre nettsteder før sertifikatet var blitt installert. 

Ikke informert

Dette ble omtalt av blant annet ZDNet i sommer. De kasakhstanske myndighetene skal på dette tidspunktet ha opplyst at hensikten med dette var å beskytte innbyggere, etater og selskaper mot hackerangrep, svindlere og andre former for trusler. Men ifølge Mozilla ble ikke innbyggerne informert om at sertifikatet også ble brukt til å avskjære og potensielt avlytte trafikken. 

DNS over HTTPS skal bidra til at mye DNS-trafikk som i dag sendes ukryptert over internett, i stedet sendes kryptert. Det er en rekke motforestillinger mot en slik teknologi.
Les også

Kryptert DNS-støtte i nettleserne kan gi bedre personvern, men møter kraftig motstand

Når det spesielle rotsertifikatet er installert i nettleserne, sendes ikke HTTPS-trafikken direkte og kryptert mellom et nettsteds webserver og brukerens nettleser. I stedet blir dataene dekryptert og potensielt inspisert av myndighetene, før de på nytt krypteres og sendes til det egentlige målet. Mozilla omtaler dette som et Monster-in-the-Middle-angrep.

Utvalgte tjenester

Det skal likevel ikke være all trafikk som blir avskåret på denne måten. F5 Networks skrev tidligere denne måneden at det egentlig dreier seg om ganske få domener. Mange av dem er internasjonalt kjente, inkludert facebook.com, android.com, google.com, instagram.com, mail.ru, twitter.com, vk.com og youtube.com, i tillegg til varianter av disse.

Ifølge Reuters skal kasakhstanske myndighetene ha satt det hele på pause tidligere denne måneden og omtalt det hele som en test for noe som igjen kan bli tatt i bruk dersom det oppstår cyberangrep som truer den nasjonale sikkerheten.

Setter ned foten

De fleste nettleserleverandører er vestlige, og flere av disse misliker det de kasakhstanske myndighetene nå har gjort. Blant annet trekker Mozilla fram at de kasakhstanske innbyggerne ikke har blitt gitt noe reelt valg, og at det hele er et angrep som underminerer integriteten til en kritisk nettverkssikkerhetsmekanisme.

Derfor har de nå valgt å svarteliste det aktuelle rotsertifikatet i nettleserne. Dette gjelder i alle fall i Firefox og Chrome, men ifølge Reuters har også Apple uttalt at selskapet vil gjøre noe tilsvarende i Safari. 

Dersom brukerne av for eksempel Firefox nå forsøker å besøk et nettsted som responderer med det aktuelle rotsertifikatet, vil de bli møtt med en feilmelding som forteller dem at de ikke bør stole på sertifikatet.

VPN og Tor

Mozilla oppfordrer de berørte brukerne i Kasakhstan til å vurdere alternative måter å få tilgang til weben, slik som VPN eller Tor Browser. Mozilla kommer også med en sterk oppfordring om at brukerne avinstallerer det aktuelle rotsertifikatet fra samtlige enheter og at de umiddelbart endrer passordene sine for samtlige nettsteder hvor de har en konto. 

En mann titter på Kinas telekomgigant Huaweis kameraer i Shenzhen. Overvåkingsindustrien i landet er en enorm næring og USA har vært med som aktør helt fra begynnelsen og gjort gode penger.
Les også

Amerikanske teknologiselskaper støtter kinesisk overvåkingsnettverk

Dekrypteringen av webtrafikken kan ha gjort det enkelt for uvedkommende å få tilgang til mange av brukernes brukernavn og passord. 

Også i Norge

Teknikken som de kasakhstanske myndighetene har gjort, er på ingen måte ny eller ukjent også i vår del av verden. Mange virksomheter, også i Norge, benytter seg av det samme, for å kunne oppdage trusler mot virksomheten gjennom dyp pakkeinspeksjon. En forutsetning for at dette skal være lovlig, er at de ansatte i virksomheten har innsikt i dette.

Digi.no omtalte dette temaet i flere saker for et par år siden:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra