r   e   k   l   a   m   a
r   e   k   l   a   m   a

Szwedzki gigant telekomunikacyjny pomagał reżimom szpiegować obywateli, zostanie teraz ukarany przez Mozillę?

Strona główna Aktualności

Mimo upływu lat, internetowe bezpieczeństwo w praktyce wciąż zależy od tych samych technologii, z jakich korzystaliśmy już dziesięć lat temu. HTTPS i certyfikaty SSL to poważny biznes, a właścicielom witryn internetowych, szczególnie tych związanych z handlem czy finansami, powtarza się nieustannie, że tylko „kłódeczka” w pasku adresowym jest gwarancją skutecznej ochrony przed hakerami.

W zasadzie to prawda. Certyfikaty SSL wciąż stanowią dobry sposób na potwierdzenie wiarygodności witryny i chronią przed atakami typu man-in-the-middle... pod warunkiem, że urząd certyfikacyjny, organizacja zajmująca się ich wystawianiem, jest godna zaufania i trzyma się odpowiednich procedur zarządzania kluczami i weryfikacji tożsamości klientów. Sęk w tym, że takich urzędów certyfikacyjnych są na świecie setki, i nie do końca wiadomo, jak sprawdzić, czy można im ufać. Czy to ze względu na zaniedbania, które zapewniłyby hakerom możliwość ataku i przejęcia wystawiającego certyfikaty oprogramowania, czy też ze względu na złą wolę, gotowość współpracy z władzami państw zainteresowanych fałszowaniem witryn internetowych – urzędy certyfikacyjne stanowią najsłabsze ogniwo w całym tym łańcuchu zabezpieczeń.

O konsekwencjach grzechu zaniedbania przekonała się firma Comodo, gdy w 2011 roku irańscy hakerzy, wykorzystując przejęte serwery jej resellera, wystawili sobie ważne certyfikaty na domeny należące do Google, Yahoo!, Microsoftu, Skype'a i Mozilli. Teraz konsekwencje złej woli może poznać firma TeliaSonera, oskarżana o to, że pobrudziła sobie ręce współpracą z ludźmi, którym internauci zaufać raczej nie mogą.

Skandynawski gigant telekomunikacyjny w 2010 roku zgłosił do Mozilli wniosek o dopisanie ich certyfikatu do listy zaufanych urzędów certyfikacyjnych w Firefoksie. Sprawa całkiem normalna, Mozilla takie wnioski otrzymuje regularnie. Decyzje tego typu zespół odpowiedzialny za bezpieczeństwo Firefoksa podejmuje jednak dopiero po konsultacji ze społecznością. Tak było i tym razem. Wydana opinia okazała się jednak dla TeliiSonery miażdżąca.

Pojawiły się otóż głosy, że w postradzieckich krajach, takich jak Azerbejdżan, Gruzja, Kazachstan, Uzbekistan i Tadżykistan, w których TeliaSonera zainwestowała spore pieniądze w lokalne telekomy, władze nadzorują komunikację swoich obywateli. Robią to za pomocą fałszywych witryn, udających popularne serwisy internetowe właśnie dzięki wystawionym przez skandynawską firmę certyfikatom, deszyfrują też ruch zabezpieczony przez SSL.

Mozilla prowadzi twardą politykę wobec firm w ten sposób nadużywających zaufania. W zeszłym roku, gdy urząd certyfikacyjny Trustwave przyłapano na generowaniu certyfikatów SSL, które pozwalały firmom na deszyfrowanie prowadzonej po HTTPS komunikacji ich pracowników. Po ujawnieniu afery Firefox natychmiast przestał ufać wystawionym przez Trustwave certyfikatom. To samo może teraz czekać TelięSonerę – oskarżaną o świadome wystawianie certyfikatów bez wiedzy podmiotów, których dane zawarte są w certyfikatach.

Rzecznik firmy próbuje się bronić – firma jest zatroskana postawą Mozilli, ma czyste konto, ale też, podobnie jak wszyscy inni operatorzy honoruje prawnie uzasadnione żądania władz przechwytywania ruchu internetowego. Nowy certyfikat miałby z kolei dotyczyć wyłącznie klientów ze Szwecji i Finlandii, gdzie procesy certyfikacyjne są w pełni zgodne z wymogami Mozilli i kontrolowane w corocznym audycie Webtrust.

Wydaje się obecnie, że te tłumaczenia niespecjalnie pomogą skandynawskiemu operatorowi. Niezależni eksperci od bezpieczeństwa cieszą się, że poniesie on karę za flirtowanie z niedemokratycznymi reżimami, z kolei sama Mozilla przyznaje, że pojawiły się dowody na to, że TeliaSonera dostarcza oprogramowanie i usługi, które pozwalają na przechwytywanie prywatnej, szyfrowanej komunikacji. Jednym z nich jest na pewno film przygotowany przez organizację Telecomix, który możecie obejrzeć na Vimeo.

Teraz jedną decyzją producent Firefoksa może skasować cały biznes TeliiSonery związany z certyfikatami SSL. Na liście przeglądarki firma ma obecnie dwa certyfikaty z 2001 roku, których ważność wygasłaby normalnie w 2021 roku. Nowy certyfikat, z silniejszym, 4096-bitowym kluczem, miał pojawić się w sprzedaży już teraz, jako część podstawowej oferty firmy. Kto jednak chciałby kupić certyfikat, który nie działa w jednej z najpopularniejszych przeglądarek świata?

Naszym Czytelnikom, zaniepokojonym tym, jak łatwo jest władzom naruszyć prywatność internautów dzięki współpracy z firmami takimi jak TeliaSonera przypominamy, że kryptografia jest bardzo dobrym gwarantem poufności naszych danych – pod warunkiem, że kontrolujemy cały łańcuch komunikacji, a więc korzystamy z zabezpieczonych szyfrowaniem komputerów, na których uruchamiamy sprawdzone przez społeczność, otwarte narzędzia kryptograficzne, pamiętając o dobrych praktykach zarządzania hasłami i kluczami. „Kłódeczka” w przeglądarce zapewnia bezpieczeństwo – jednak najwyraźniej tylko do czasu, gdy ktoś wpływowy aktywnie nie zainteresuje się naszą komunikacją.

r   e   k   l   a   m   a
© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.