Wat is een rootcertificaat en hoe kan het worden gebruikt om u te bespioneren?
Advertentie
Nieuwsberichten meldden in 2019 dat de regering van Kazachstan extreme stappen heeft ondernomen om burgers in zijn land te onderzoeken. In het bijzonder heeft de overheid een tool genaamd een rootcertificaat gebruikt om de online activiteiten van burgers te bespioneren.
Het misbruik van rootcertificaten is echter niet alleen een probleem in Kazachstan. internetgebruikers over de hele wereld moeten zich ervan bewust zijn hoe beveiligingshulpmiddelen kunnen worden misbruikt. Deze tools kunnen de privacy schaden en gegevens verzamelen over de sites die u bezoekt en de berichten die u online verzendt.
Wat is een rootcertificaat?
Wanneer u een website zoals MakeUseOf bezoekt, ziet u dat de URL begint met https in plaats van http . Je ziet ook een pictogram dat lijkt op een slot naast de URL in de adresbalk. Dit betekent dat een type encryptie genaamd Secure Socket Layer / Transport Layer Security (SSL / TLS) de website beschermt.
Met deze codering zijn gegevens die tussen u en de website worden doorgegeven veilig. U kunt er dus zeker van zijn dat de site die u bezoekt, de echte MakeUseOf is en geen bedrieglijke site die uw gegevens probeert te stelen.
Om dat slotsymbool te krijgen dat gebruikers kunnen vertrouwen, betalen site-eigenaren een organisatie die een Certificate Authority (CA) wordt genoemd om ze te verifiëren. Wanneer een CA verifieert dat een site authentiek is, geeft deze een beveiligingscertificaat af . De ontwikkelaars van webbrowsers zoals Firefox en Chrome houden een lijst bij van vertrouwde CA's waarvan ze de certificaten accepteren.
Dus wanneer u een site zoals MakeUseOf bezoekt, vindt uw browser het certificaat, controleert het of het afkomstig is van een vertrouwde CA en geeft het de beveiligde site weer.
Een rootcertificaat is het hoogste niveau van beschikbare beveiligingscertificaten. Het is belangrijk omdat dit 'hoofdcertificaat' alle onderliggende certificaten verifieert. Dit betekent dat de beveiliging van het rootcertificaat de beveiliging van een volledig systeem bepaalt. Ontwikkelaars gebruiken rootcertificaten om vele geldige redenen.
Wanneer een overheid of andere entiteit echter rootcertificaten misbruikt, kunnen ze spyware installeren op gecodeerde communicatie en toegang krijgen tot privégegevens.
Hoe misbruikt de overheid rootcertificaten in Kazachstan?
In juli 2019 heeft de regering van Kazachstan een advies uitgebracht aan internetproviders in het land. De overheid zei dat de ISP's de installatie van een door de overheid uitgegeven rootcertificaat verplicht moesten stellen voor gebruikers om toegang te krijgen tot internet. Het door de overheid uitgegeven certificaat wordt "Qaznet" genoemd en wordt beschreven als een "nationaal veiligheidscertificaat".
ISP's hebben hun klanten plichtsgetrouw opgedragen het certificaat te installeren als ze toegang wilden krijgen tot internet.
Zodra het certificaat is geïnstalleerd, kan de overheid het gebruiken om een enorme hoeveelheid browsegegevens te onderscheppen. De overheid kan activiteit zien op populaire sites zoals Google, Facebook en Twitter. Het kan zelfs HTTPS- en TLS-verbindingen decoderen en toegang krijgen tot gebruikersnamen en wachtwoorden van accounts.
Dit betekent dat geen enkele site veilig is als het certificaat is geïnstalleerd.
De overheid lanceert in wezen een "man in the middle". Miljoenen apps zijn kwetsbaar voor een enkele beveiligingshack. Miljoenen apps zijn kwetsbaar voor een enkele beveiligingshack. OAuth is een open standaard waarmee u zich kunt aanmelden bij een externe app of website met behulp van een Facebook-, Twitter- of Google-account - en het is kwetsbaar voor hackers. Lees meer ”aanval op het hele land, volgens beveiligingsblog The Hacker News. Omdat de ISP's het certificaat verplicht stellen, kunnen gebruikers dit niet gemakkelijk vermijden als ze toegang willen blijven houden tot internet.
Bovendien kunnen mensen het certificaat alleen installeren via een niet-HTTPS-verbinding. Een persoon moet een minder veilige HTTP-verbinding gebruiken om het certificaat te installeren. En hackers kunnen dit proces onderscheppen om in plaats daarvan hun eigen schadelijke certificaat te installeren.
Hoe reageren technologiebedrijven op invasieve rootcertificaten?
Technologiebedrijven zoals Google, Apple en Mozilla hebben gereageerd op de situatie in Kazachstan. Ze hebben toegezegd om gebruikers te beschermen tegen overheidstoezicht. De Google Chrome-browser blokkeert nu het certificaat dat door de regering van Kazachstan wordt gebruikt, volgens een blogpost.
Google heeft deze actie ondernomen “om gebruikers te beschermen tegen het onderscheppen of wijzigen van TLS-verbindingen met websites.” Gebruikers hoeven geen acties te ondernemen om te worden beschermd. De browser zal dit specifieke certificaat automatisch blokkeren.
Evenzo heeft Mozilla een oplossing voor zijn Firefox-browser geïmplementeerd. Deze oplossing blokkeert ook het certificaat dat door de regering van Kazachstan wordt gebruikt. Het bedrijf kondigde de oplossing aan met een senior engineer bij het bedrijf en verklaarde: "We ondernemen dergelijke acties niet lichtvaardig, maar onze gebruikers en de integriteit van het web beschermen is de reden dat Firefox bestaat." Samen met Chrome zal Firefox automatisch het blok toepassen.
Mozilla noemde ook eerdere pogingen van de regering van Kazachstan om internetverkeer te onderscheppen. Dit omvat een eerdere mislukte poging om een rootcertificaat op te nemen in het vertrouwde root store-programma van Mozilla in 2015.
Wat kunt u doen als misbruik van rootcertificaten als gebruiker?
Het misbruik van rootcertificaten is duidelijk zorgwekkend. Maar wat kunt u er als gebruiker eigenlijk aan doen? Ten eerste, als u in Kazachstan bent, moet u het certificaat niet op uw apparaat installeren. Als u het al hebt geïnstalleerd, verwijdert u het onmiddellijk. Wijzig ook de wachtwoorden voor al uw online accounts. Dit voorkomt dat de overheid toegang krijgt tot uw browsegegevens.
Als u in een land woont met een hoge mate van internetbewaking, moet u uitkijken naar dubieuze certificaten. Als u wordt gevraagd om een beveiligingscertificaat te installeren, moet u onderzoeken of dit betrouwbaar is voordat u het op uw apparaat installeert.
U moet ook andere stappen ondernemen om uw gegevens te beschermen. U moet een VPN gebruiken om u te beschermen tegen bewaking 3 manieren waarop een VPN u kan beschermen tegen het Surveillance Panopticon van Big Brother 3 manieren waarop een VPN u kan beschermen tegen het Surveillance Panopticon van Big Brother Niet overtuigd dat u een VPN nodig hebt? Hier zijn drie verrassende redenen waarom een virtueel privénetwerk de hoeksteen van uw beveiliging zou moeten zijn. Lees verder . Overweeg ook om de Tor-browser te gebruiken 7 Tips voor het veilig gebruiken van de Tor-browser 7 Tips voor het veilig gebruiken van de Tor-browser Denkt u eraan om de Tor-browser te proberen veilig op internet te surfen? Leer deze Tor browser do's en don'ts voordat je begint. Lees meer om anoniem toegang te krijgen tot internet. Wees ook voorzichtig met e-mail, omdat het erg moeilijk is om e-mailberichten tegen bewaking te beschermen. Overweeg in plaats daarvan een beveiligde berichten-app zoals Signal of Telegram te gebruiken.
Meer informatie over hoe regeringen u online bespioneren
De situatie in Kazachstan is slechts een voorbeeld van hoe overheden hun burgers kunnen bespioneren via hun internetactiviteiten. U moet leren hoe overheden en bedrijven bewakingstechnieken kunnen inzetten, zodat u kunt proberen ze te vermijden.
Tenzij u denkt dat dit alleen een probleem is in andere landen, onthoud dan dat plaatsen zoals de VS en het VK ook hun burgers bespioneren. Ter herinnering, u kunt leren hoe vaak uw gegevens schokkend werden overgedragen aan de NSA 5 keer dat uw gegevens schokkend werden overgedragen aan de NSA 5 keer dat uw gegevens schokkend werden overgedragen aan de NSA Veel bedrijven geven informatie door aan de NSA zonder een tweede gedachte. Hier zijn enkele spraakmakende organisaties die de NSA toegang tot gebruikersgegevens hebben gegeven. Lees verder .
Ontdek meer over: HTTPS, beveiligingscertificaat.