El gobierno de Kazajstán ha emitido una vez más un aviso a todos los principales proveedores locales de servicios de Internet (ISP) pidiéndoles que hagan obligatorio que todos sus clientes instalen certificados raíz emitidos por el gobierno en sus dispositivos para recuperar el acceso a los servicios de Internet.
El certificado raíz en cuestión, etiquetado como "certificado de confianza" o "certificado de seguridad nacional", si está instalado, permite a los ISP interceptar y monitorear las conexiones HTTPS y TLS cifradas de los usuarios, lo que ayuda al gobierno a espiar a sus ciudadanos y censurar el contenido.
En otras palabras, el gobierno esencialmente está lanzando un ataque de "hombre en el medio" a todos los residentes del país.
Pero, ¿cómo instalar un "certificado raíz" permite a los ISP descifrar la conexión HTTPS? Para aquellos que no lo saben, su dispositivo y sus navegadores web confían automáticamente en los certificados digitales emitidos solo por una lista específica de Autoridades de Certificación (CA) que tienen sus certificados raíz instalados en su sistema.
Por lo tanto, obligar a los usuarios de Internet a instalar un certificado raíz que pertenece a una Organización de Gobierno les da la autoridad para generar certificados digitales válidos para cualquier dominio que quieran interceptar a través de su tráfico HTTPS.
A partir de abril de este año, los proveedores de servicios de Internet kazajos comenzaron a informar a sus usuarios sobre el "certificado de seguridad nacional" que sería obligatorio instalar para poder continuar el acceso ininterrumpido a una lista de sitios web HTTPS "permitidos".
Ahora, Tele2, uno de los principales proveedores de servicios de Internet kazajos, finalmente ha comenzado a redirigir todas las conexiones HTTPS de sus clientes a una página web que contiene archivos de certificados e instrucciones sobre cómo instalarlos en dispositivos con Windows, macOS, Android e iOS.
Una de las implicaciones de seguridad más graves que podemos detectar aquí es que, dado que los usuarios solo pueden navegar por sitios que no son HTTPS antes de instalar los certificados, los archivos de Cert están disponibles para descargar solo a través de conexiones HTTP inseguras, lo que permite a los hackers reemplazar el Certificado fácilmente. archivos utilizando ataques MiTM.
Otros ISP nacionales, que se enumeran a continuación, también tienen planes para obligar a sus usuarios de Internet a instalar el certificado raíz en breve para cumplir con la ley.
El controvertido aviso se emitió con respecto a las enmiendas a la Ley de Comunicaciones de 2004 (la "Ley de Comunicaciones") que el gobierno de Kazajstán aprobó en noviembre de 2015.
De acuerdo con la Cláusula 11 del Artículo 26, las "Reglas para emitir y aplicar un certificado de seguridad", todos los proveedores de servicios de comunicaciones nacionales están obligados a monitorear el tráfico de Internet cifrado de sus clientes utilizando certificados de seguridad emitidos por el gobierno.
Se pretendía que la ley entrara en vigencia a partir del 1 de enero de 2016, pero el gobierno de Kazajstán no forzó a los ISP locales luego de una serie de demandas.
Parece que ahora el gobierno de Kazajstán está haciendo otro intento de forzar las enmiendas, poniendo en riesgo la privacidad y la seguridad de millones de sus ciudadanos, tanto por parte de piratas informáticos como del propio gobierno al romper los fundamentos del protocolo de seguridad de Internet.
Según la nota mostrada por los proveedores de Internet, las enmiendas fueron forzadas "en relación con los frecuentes casos de robo de datos personales y de credenciales, así como el dinero de las cuentas bancarias de Kazajstán".
"Se ha introducido un certificado de seguridad que se convertirá en una herramienta eficaz para proteger el espacio de información del país de los piratas informáticos, los estafadores de Internet y otros tipos de amenazas cibernéticas", se lee en la nota.
"La introducción de un certificado de seguridad también ayudará en la protección de los sistemas de información y datos, así como en la identificación de hackers y estafadores de Internet antes de que puedan causar daños".
"También permitirá a los usuarios de Internet de Kazajstán estar protegidos contra ataques de piratas informáticos y ver contenido ilegal".
A partir de estas declaraciones, es evidente que el gobierno kazajo quiere tomar control sobre el contenido que sus ciudadanos deberían ver en Internet y también convertir a Kazajstán en un estado de vigilancia profunda.
Además, dado que la mitad de la educación es más peligrosa que la no educación, me parece muy preocupante que los ISP promocionen la "instalación personalizada de certificados raíz de CA" como una mejor solución que aumenta la seguridad en línea.
Las páginas y comunicados de prensa creados por los ISP con instrucciones sobre "por qué y cómo instalar el certificado emitido por el gobierno" no explican correctamente la amenaza de instalar un certificado raíz incorrecto.
Esto deja a la mayoría de los ciudadanos en riesgo de ataques de ingeniería social, y una oportunidad para que los piratas informáticos engañen a los usuarios para que instalen un certificado raíz malicioso de sitios web y fuentes no oficiales.
Además de esto, la interceptación de comunicaciones HTTPS también permitirá a los ISP inyectar publicidades o rastrear scripts en todas las páginas web que visitan los usuarios.
En este momento, no está claro cómo las principales empresas de tecnología y los navegadores web responderán a esta nueva infracción de privacidad de los ciudadanos kazajos. Actualizaremos la historia con más información tan pronto como estén disponibles.
Fuente: THN
