Den 17. juli i år begynte myndighetene i Kasakhstan å avskjære all webtrafikken til og fra landets innbyggere, også den krypterte. Dette ble gjort ved å utstede et nasjonalt rotsertifikat som innbyggerne måtte installere i sine nettlesere, både på pc-er og mobile enheter.
Myndighetene instruerte de lokale internettleverandørene om å lede alle nettleserbrukerne til sider som dette, hvor brukerne fikk veiledning om hvordan sertifikatet kunne installeres. Nettleserbrukerne fikk ikke tilgang til andre nettsteder før sertifikatet var blitt installert.
Ikke informert
Dette ble omtalt av blant annet ZDNet i sommer. De kasakhstanske myndighetene skal på dette tidspunktet ha opplyst at hensikten med dette var å beskytte innbyggere, etater og selskaper mot hackerangrep, svindlere og andre former for trusler. Men ifølge Mozilla ble ikke innbyggerne informert om at sertifikatet også ble brukt til å avskjære og potensielt avlytte trafikken.
Når det spesielle rotsertifikatet er installert i nettleserne, sendes ikke HTTPS-trafikken direkte og kryptert mellom et nettsteds webserver og brukerens nettleser. I stedet blir dataene dekryptert og potensielt inspisert av myndighetene, før de på nytt krypteres og sendes til det egentlige målet. Mozilla omtaler dette som et Monster-in-the-Middle-angrep.
Utvalgte tjenester
Det skal likevel ikke være all trafikk som blir avskåret på denne måten. F5 Networks skrev tidligere denne måneden at det egentlig dreier seg om ganske få domener. Mange av dem er internasjonalt kjente, inkludert facebook.com, android.com, google.com, instagram.com, mail.ru, twitter.com, vk.com og youtube.com, i tillegg til varianter av disse.
Ifølge Reuters skal kasakhstanske myndighetene ha satt det hele på pause tidligere denne måneden og omtalt det hele som en test for noe som igjen kan bli tatt i bruk dersom det oppstår cyberangrep som truer den nasjonale sikkerheten.
Setter ned foten
De fleste nettleserleverandører er vestlige, og flere av disse misliker det de kasakhstanske myndighetene nå har gjort. Blant annet trekker Mozilla fram at de kasakhstanske innbyggerne ikke har blitt gitt noe reelt valg, og at det hele er et angrep som underminerer integriteten til en kritisk nettverkssikkerhetsmekanisme.
Derfor har de nå valgt å svarteliste det aktuelle rotsertifikatet i nettleserne. Dette gjelder i alle fall i Firefox og Chrome, men ifølge Reuters har også Apple uttalt at selskapet vil gjøre noe tilsvarende i Safari.
Dersom brukerne av for eksempel Firefox nå forsøker å besøk et nettsted som responderer med det aktuelle rotsertifikatet, vil de bli møtt med en feilmelding som forteller dem at de ikke bør stole på sertifikatet.
VPN og Tor
Mozilla oppfordrer de berørte brukerne i Kasakhstan til å vurdere alternative måter å få tilgang til weben, slik som VPN eller Tor Browser. Mozilla kommer også med en sterk oppfordring om at brukerne avinstallerer det aktuelle rotsertifikatet fra samtlige enheter og at de umiddelbart endrer passordene sine for samtlige nettsteder hvor de har en konto.
Dekrypteringen av webtrafikken kan ha gjort det enkelt for uvedkommende å få tilgang til mange av brukernes brukernavn og passord.
Også i Norge
Teknikken som de kasakhstanske myndighetene har gjort, er på ingen måte ny eller ukjent også i vår del av verden. Mange virksomheter, også i Norge, benytter seg av det samme, for å kunne oppdage trusler mot virksomheten gjennom dyp pakkeinspeksjon. En forutsetning for at dette skal være lovlig, er at de ansatte i virksomheten har innsikt i dette.
Digi.no omtalte dette temaet i flere saker for et par år siden:
