En un movimiento para proteger a sus usuarios con sede en Kazajstán de la vigilancia del gobierno, Google, Apple y Mozilla finalmente se presentaron y bloquearon el certificado raíz de CA emitido por el gobierno de Kazajstán dentro de su respectivo software de navegación web.
A partir de hoy, los usuarios de Chrome, Safari y Firefox en Kazajstán verán un mensaje de error que indica que no se debe confiar en el certificado » Qaznet Trust Network » al intentar acceder a un sitio web que responde con el certificado emitido por el gobierno.
Como informórobo de The Hacker News el mes pasado , todos los principales proveedores de servicios de Internet de Kazajstán (ISP) están obligando a sus clientes a instalar un certificado raíz emitido por el gobierno en sus dispositivos para recuperar el acceso a sus servicios de Internet.
El certificado raíz en cuestión, etiquetado como » certificado de confianza » o «certificado de seguridad nacional», si está instalado, permite a los ISP interceptar, monitorear y descifrar las conexiones HTTPS y TLS cifradas de los usuarios, ayudando al gobierno a espiar a sus 18 millones de personas y censurar contenido.
Una vez instalado, el certificado permitió al gobierno kazajo descifrar y leer cualquier cosa que un usuario visitando sitios populares (Facebook, Twitter y Google, entre otros) escriba o publique, incluso interceptar la información y las contraseñas de su cuenta.
«Cuando un usuario en Kazajstán instala el certificado raíz proporcionado por su ISP, elige confiar en una CA que no tiene que seguir ninguna regla y puede emitir un certificado para cualquier sitio web a cualquier persona», explicó Mozilla en una publicación de blog publicada hoy.
«Esto permite la interceptación y descifrado de las comunicaciones de red entre Firefox y el sitio web, a veces denominado ataque de Monster in the Middle (MITM)».
La instalación del certificado raíz de CA personalizado no solo le permite al gobierno vigilar las actividades en línea de sus ciudadanos, sino que también los expone al riesgo de ataques de ingeniería social como una oportunidad para que los hackers engañen a los usuarios para que instalen un certificado raíz malicioso de sitios web y fuentes no oficiales .
Después de enfrentar críticas mundiales, el gobierno kazajo describió la implementación inicial del certificado como una prueba para monitorear las amenazas cibernéticas y luego abandonó sus planes para interceptar el tráfico de internet de los ciudadanos.
«Nunca toleraremos ningún intento, por parte de ninguna organización, gubernamental o de otro tipo, de comprometer los datos de los usuarios de Chrome. Hemos implementado protecciones contra este problema específico y siempre tomaremos medidas para proteger a nuestros usuarios en todo el mundo», dijo Parisa Tabriz, Director de Ingeniería Senior, Chrome.
«Los usuarios no necesitan ninguna acción para estar protegidos. Además, el certificado se agregará a una lista de bloqueo en el código fuente de Chromium y, por lo tanto, debería incluirse en otros navegadores basados en Chromium a su debido tiempo», dijo Google .
Aunque Apple aún no ha publicado ninguna publicación en el blog, un portavoz de la compañía contactó a The Hacker News para confirmar que su navegador web Safari también bloquea el certificado raíz de CA emitido por el gobierno de Kazajstán.
«Apple cree que la privacidad es un derecho humano fundamental, y diseñamos cada producto Apple desde cero para proteger la información personal. Hemos tomado medidas para garantizar que Safari no confíe en el certificado y nuestros usuarios estén protegidos de este problema», dijo el portavoz de Apple. le dijo a The Hacker News por correo electrónico.
Esta no es la primera vez que el gobierno de Kazajstán intercepta el tráfico de internet de sus ciudadanos.
En 2015, el gobierno intentó incluir un certificado raíz en el programa de almacenamiento raíz de confianza de Mozilla, pero la compañía rechazó la solicitud tan pronto como se descubrió que el gobierno de Kazajstán tenía la intención de usar ese certificado para interceptar los datos del usuario.
Tanto Google como Mozilla lo alientan a eliminar el certificado raíz del gobierno de Kazajstán de sus dispositivos si ya lo instaló y a cambiar sus contraseñas para cada una de sus cuentas en línea de inmediato.
Fuente: thehackernews.com
