Kazakhstanin hallitus avaa osan salatusta internet liikenteestä

Heinäkuussa 2019 Kazakhstan alkoi toteuttaa politiikkaa, jossa osaa internetin käyttäjistä pakotettiin asentamaan hallituksen toimittama varmenne tietokoneisiinsa, kun he selaimen avulla menivät tietyille salatun yhteyden vaativille websivuille.  Johtuen selaimilla tapahtuvan salauksen luonteesta tämä mahdollistaa salauksen avaamisen hallituksen toimesta.

Asiasta  julkaistun raportin   (https://censoredplanet.org/kazakhstan) mukaan salaus purettiin mm. seuraavilta kohteilta: Gmail, Google, Facebook, Messenger, mail.ru,  translate.google.com, Instagram ja Youtube. Raportissa todetaan, että näiden hallituksen toimittamien varmenteiden avulla hyökkääjä voi  esiintyä minä tahansa websivuna, muuttaa sen käyttäjälle näkyvää sisältöä ja tallettaa tarkasti kaiken mitä käyttäjät tekevät tai kirjoittavat sivulle. Kun uhriksi valittu käyttäjä yrittää saada yhteyden tiettyyn websivuun, ei yhteyttä sallita ellei hallituksen määräämää varmennetta käytetä.

Tämän tulisi olla varoitus niille, jotka luottavat selaimen tarjoamaan salaukseen (tällöin web sivun osoitteen edessä näkyy lukko tarkoittaen SSL/TLS/https salausta).  Kuten raportissa mainitaan, on myös huomattava, että puretun salauksen sisältöä voidaan muuttaa ja sitten salata se uudestaan ja toimittaa muutettu sisältö käyttäjälle. 

Sähköpostin salauksen kannalta on vielä huomattava, että selaimessa tapahtuva mahdollinen ylimääräinen salaus ei poista ongelmaa (jos esim. tehdään PGP salaus javascriptillä) - hyökkääjä voi muokata javacript koodia ennen kuin käyttäjä saa sen ja muutettu koodi voi esim. toimittaa PGP:n yksityisen avaimen hyökkääjälle.

Tuollaisen hyökkäyksen mahdollistaman varmenteen voi tietokoneeseen asentaa mm. yrityksen tietoturva-osasto (esimerkiksi palomuureja käytetään yrityksissä avaamaan  SSL/TSL/https liikenne virusten löytämiseksi),  'evil maid' eli ilkeä kotiapulainen, ilkeä tullivirkailija tai virusohjelma.

Maaliskuussa 2017 Wikileaks julkaisi vuotoja koskien CIA:n hakkerointiaineistoa. Eräissä näistä dokumenteista on ohjeita CIA:n omille viruskirjoittajille: 'DO NOT solely rely on SSL/TLS to secure data in transit. Numerous man-in-middle attack vectors ... ' eli 'Älä luota yksinomaan  SSL/TLS 'ään turvataksesi liikkuvaa tietoa. Lukuisia man-in-middle hyökkäystekniikoita ...'.  Lue lisää selainpohjaisen salauksen riskistä.

Elokuussa 2019 Chrome, Safari ja Firefox selaimet alkoivat antaa varoituksia käyttäjille, jos ne huomasivat että Kazakhstanin hallituksen varmennetta käytettiin, katso:

 https://blog.mozilla.org/security/2019/08/21/protecting-our-users-in-kazakhstan/  ja https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html .