Che cos'è un certificato radice e come può essere utilizzato per spiarti?
Annuncio pubblicitario
Le agenzie di stampa hanno riferito nel 2019 che il governo del Kazakistan ha adottato misure estreme per sorvegliare i cittadini nel suo paese. In particolare, il governo ha utilizzato uno strumento chiamato certificato radice per spiare le attività online dei cittadini.
Tuttavia, l'uso improprio dei certificati di root non è solo un problema in Kazakistan. Gli utenti di Internet in tutto il mondo dovrebbero essere consapevoli di come gli strumenti di sicurezza possono essere utilizzati in modo improprio. Questi strumenti possono compromettere la privacy e raccogliere dati sui siti visitati e sui messaggi inviati online.
Che cos'è un certificato radice?
Quando navighi in un sito web come MakeUseOf, vedrai che l'URL inizia con https anziché http . Vedrai anche un'icona che sembra un lucchetto accanto all'URL nella barra degli indirizzi. Ciò significa che un tipo di crittografia chiamato Secure Socket Layer / Transport Layer Security (SSL / TLS) protegge il sito Web.
Con questa crittografia, i dati trasmessi tra te e il sito Web sono sicuri. Quindi puoi essere sicuro che il sito a cui stai accedendo sia il vero MakeUseOf e non un sito di impostori che tenta di rubare i tuoi dati.
Per ottenere quel simbolo di blocco di cui gli utenti possono fidarsi, i proprietari dei siti pagano un'organizzazione chiamata Autorità di certificazione (CA) per verificarli. Quando una CA verifica che un sito è autentico, emette un certificato di sicurezza . Gli sviluppatori di browser Web come Firefox e Chrome mantengono un elenco di autorità di certificazione affidabili di cui accettano i certificati.
Quindi, quando visiti un sito come MakeUseOf, il tuo browser trova il certificato, verifica che provenga da un'autorità di certificazione attendibile e visualizza il sito sicuro.
Un certificato radice è il livello più alto di certificato di sicurezza disponibile. È importante perché questo "certificato principale" verifica tutti i certificati sottostanti. Ciò significa che la sicurezza del certificato radice determina la sicurezza di un intero sistema. Gli sviluppatori utilizzano i certificati di root per molte ragioni valide.
Tuttavia, quando un governo o un'altra entità abusa dei certificati di root, può installare spyware su comunicazioni crittografate e accedere a dati privati.
In che modo il governo sta abusando dei certificati di root in Kazakistan?
Nel luglio 2019, il governo del Kazakistan ha pubblicato un avviso agli Internet Service Provider (ISP) nel paese. Il governo ha affermato che gli ISP hanno dovuto rendere obbligatoria l'installazione di un certificato radice rilasciato dal governo per consentire agli utenti di accedere a Internet. Il certificato rilasciato dal governo si chiama "Qaznet" ed è descritto come un "certificato di sicurezza nazionale".
Gli ISP hanno debitamente ordinato ai propri clienti di installare il certificato se volevano accedere a Internet.
Una volta installato il certificato, il governo può utilizzarlo per intercettare un'enorme quantità di dati di navigazione. Il governo può vedere attività su siti popolari come Google, Facebook e Twitter. Può anche decrittografare le connessioni HTTPS e TLS e accedere a nomi utente e password degli account.
Ciò significa che nessun sito è sicuro se il certificato è installato.
Il governo sta essenzialmente lanciando un "uomo nel mezzo. Come milioni di app sono vulnerabili a un singolo hack di sicurezza Come milioni di app sono vulnerabili a un singolo hack di sicurezza OAuth è uno standard aperto utilizzato per consentire l'accesso a un'app di terze parti o sito Web utilizzando un account Facebook, Twitter o Google ed è vulnerabile agli hacker. Leggi di più ”su tutto il Paese, secondo il blog sulla sicurezza The Hacker News. Poiché gli ISP rendono obbligatorio il certificato, gli utenti non possono evitarlo facilmente se desiderano continuare ad accedere a Internet.
Inoltre, le persone possono installare il certificato solo su una connessione non HTTPS. Una persona deve utilizzare una connessione HTTP meno sicura per installare il certificato. E gli hacker potrebbero intercettare questo processo per installare invece il proprio certificato dannoso.
In che modo le aziende tecnologiche rispondono ai certificati radice invasivi?
Le aziende tecnologiche come Google, Apple e Mozilla hanno risposto alla situazione in Kazakistan. Si sono impegnati a proteggere gli utenti dalla sorveglianza del governo. Il browser Google Chrome ora blocca il certificato utilizzato dal governo del Kazakistan, secondo un post sul blog.
Google ha intrapreso questa azione "per proteggere gli utenti dall'intercettazione o dalla modifica delle connessioni TLS effettuate ai siti Web". Gli utenti non devono intraprendere alcuna azione per essere protetti. Il browser bloccherà automaticamente questo particolare certificato.
Allo stesso modo, Mozilla ha implementato una soluzione per il suo browser Firefox. Questa soluzione bloccherà anche il certificato utilizzato dal governo del Kazakistan. La società ha annunciato la correzione con un ingegnere senior presso la società affermando: "Non prendiamo azioni del genere alla leggera, ma proteggere i nostri utenti e l'integrità del Web è il motivo per cui esiste Firefox". Lavorando insieme a Chrome, Firefox applica automaticamente il blocco.
Mozilla ha anche citato casi passati di tentativi del governo di Kazahkstan di intercettare il traffico Internet. Ciò include un precedente tentativo fallito di includere un certificato radice nel programma di archivio radice attendibile di Mozilla nel 2015.
Cosa si può fare per l'uso improprio dei certificati di root come utente?
L'uso improprio dei certificati di root è ovviamente preoccupante. Ma cosa puoi realmente fare al riguardo come utente? Innanzitutto, se ti trovi in Kazakistan, non dovresti installare il certificato sul tuo dispositivo. Se lo hai già installato, disinstallalo immediatamente. Dovresti anche cambiare le password di tutti i tuoi account online. Ciò impedirà al governo di accedere ai dati di navigazione.
Se vivi in un paese con alti livelli di sorveglianza su Internet, dovresti cercare certificati dubbi. Se viene richiesto di installare un certificato di sicurezza, è necessario verificare se è affidabile prima di installarlo sul dispositivo.
Dovresti anche prendere altre misure per proteggere i tuoi dati. Dovresti usare una VPN per proteggerti dalla sorveglianza 3 modi in cui una VPN può proteggerti dal Panopticon di sorveglianza del Grande Fratello 3 modi in cui una VPN può proteggerti dal Panopticon di sorveglianza del Grande Fratello Non sei convinto di aver bisogno di una VPN? Ecco tre motivi sorprendenti per cui una rete privata virtuale dovrebbe essere la pietra angolare della tua sicurezza. Leggi di più . Prendi anche in considerazione l'utilizzo del browser Tor 7 Suggerimenti per l'utilizzo sicuro del Tor Browser 7 Suggerimenti per l'utilizzo sicuro del Tor Browser Stai pensando di provare il browser Tor per iniziare a navigare in sicurezza sul Web? Scopri queste cose da fare e non fare sul browser Tor prima di iniziare. Maggiori informazioni per accedere a Internet in modo anonimo. Fai attenzione anche alle e-mail, poiché è molto difficile proteggere i messaggi e-mail dalla sorveglianza. Valuta invece di utilizzare un'app di messaggistica sicura come Signal o Telegram.
Scopri come i governi ti spiano online
La situazione in Kazakistan è solo un esempio di come i governi possono spiare i propri cittadini attraverso le loro attività su Internet. Dovresti conoscere come i governi e le aziende possono implementare tecniche di sorveglianza in modo da poter cercare di evitarle.
Per non pensare che questo sia solo un problema in altri paesi, ricorda che luoghi come gli Stati Uniti e il Regno Unito hanno una storia di spionaggio anche sui loro cittadini. Come promemoria, puoi conoscere le volte in cui i tuoi dati sono stati consegnati in modo scioccante all'NSA 5 volte. I tuoi dati sono stati consegnati in modo sconvolgente all'NSA 5 volte. secondo pensiero. Ecco alcune organizzazioni di alto profilo che hanno dato alla NSA l'accesso ai dati degli utenti. Leggi di più .
Ulteriori informazioni su: HTTPS, certificato di sicurezza.