Si está en Kazajstán y no puede acceder al servicio de Internet sin instalar un certificado, no está solo.
El gobierno de Kazajstán ha emitido una vez más un aviso a todos los principales proveedores locales de servicios de Internet (ISP) pidiéndoles que hagan obligatorio que todos sus clientes instalen certificados raíz emitidos por el gobierno en sus dispositivos para recuperar el acceso a los servicios de Internet.
El certificado raíz en cuestión, etiquetado como «trusted certificate» o «national security certificate,» , si está instalado, permite a los ISP interceptar y monitorear las conexiones HTTPS y TLS cifradas de los usuarios, ayudando al gobierno a espiar a sus ciudadanos y censurar el contenido.
En otras palabras, el gobierno esencialmente está lanzando un ataque de «hombre en el medio» a todos los residentes del país.
A partir de abril de este año, los proveedores de servicios de Internet kazajos comenzaron a informar a sus usuarios sobre el «certificado de seguridad nacional» que sería obligatorio instalar para poder continuar el acceso ininterrumpido a una lista de sitios web HTTPS «permitidos».
Ahora, Tele2 , uno de los principales proveedores de servicios de Internet kazajos, finalmente ha comenzado a redirigir todas las conexiones HTTPS de sus clientes a una página web que contiene archivos de certificados e instrucciones sobre cómo instalarlos en dispositivos con Windows, macOS, Android e iOS.
Una de las implicaciones de seguridad más graves. Lo que fácilmente podemos ver aquí es que, dado que los usuarios solo pueden navegar por sitios que no son HTTPS antes de instalar los certificados, los archivos Cert están disponibles para descargar solo a través de conexiones HTTP inseguras, lo que puede permitir a los piratas informáticos reemplazar los archivos de Certificados mediante ataques MiTM.
Otros ISP nacionales, que se enumeran a continuación, también tienen planes para obligar a sus usuarios de Internet a instalar el certificado raíz en breve para cumplir con la ley.
- Línea recta
- K-Cell
- Activo (también listas de sitios web HTTPS permitidos)
- Altel
- Kazaktelecom
El controvertido aviso ha sido emitido con respecto a las enmiendas a la Ley de Comunicaciones de 2004 (la » Ley de Comunicaciones «) que el gobierno de Kazajstán aprobó en noviembre de 2015.
Según la Cláusula 11 del Artículo 26, las «Reglas para emitir y aplicar un certificado de seguridad» , «todos los proveedores de servicios de comunicaciones nacionales están obligados a monitorear el tráfico de Internet cifrado de sus clientes utilizando certificados de seguridad emitidos por el gobierno.
Se pretendía que la ley entrara en vigencia a partir del 1 de enero de 2016, pero el gobierno de Kazajstán no forzó a los ISP locales luego de una serie de demandas.
Parece que ahora el gobierno de Kazajstán está haciendo otro intento de forzar las enmiendas, poniendo en riesgo la privacidad y la seguridad de millones de sus ciudadanos, tanto por parte de piratas informáticos como del propio gobierno al romper los fundamentos del protocolo de seguridad de Internet.
Según la nota mostrada por los proveedores de Internet, las enmiendas fueron forzadas «en relación con los frecuentes casos de robo de datos personales y de credenciales, así como el dinero de las cuentas bancarias de Kazajstán».
«Se ha introducido un certificado de seguridad que se convertirá en una herramienta eficaz para proteger el espacio de información del país de los piratas informáticos, los estafadores de Internet y otros tipos de amenazas cibernéticas», se lee en la nota.
«La introducción de un certificado de seguridad también ayudará en la protección de los sistemas de información y datos, así como en la identificación de hackers y estafadores de Internet antes de que puedan causar daños».
«También permitirá a los usuarios de Internet de Kazajstán estar protegidos contra ataques de piratas informáticos y ver contenido ilegal».
A partir de estas declaraciones, es evidente que el gobierno kazajo quiere tomar control sobre el contenido que sus ciudadanos deberían ver en Internet y también convertir a Kazajstán en un estado de vigilancia profunda.
Además de esto, la interceptación de comunicaciones HTTPS también permitirá a los ISP inyectar publicidades o rastrear scripts en todas las páginas web que visitan los usuarios.
En este momento, no está claro cómo las principales empresas de tecnología y los navegadores web responderán a esta nueva infracción de privacidad de los ciudadanos kazajos. Actualizaremos la historia con más información tan pronto como estén disponibles.
Fuente: thehackernews.com