Szwedzki gigant telekomunikacyjny pomagał reżimom szpiegować obywateli, zostanie teraz ukarany przez Mozillę?

Mimo upływu lat, internetowe bezpieczeństwo w praktyce wciążzależy od tych samych technologii, z jakich korzystaliśmy jużdziesięć lat temu. HTTPS i certyfikaty SSL to poważny biznes, awłaścicielom witryn internetowych, szczególnie tych związanych zhandlem czy finansami, powtarza się nieustannie, że tylko„kłódeczka” w pasku adresowym jest gwarancją skutecznejochrony przed hakerami. W zasadzie to prawda. Certyfikaty SSL wciąż stanowią dobrysposób na potwierdzenie wiarygodności witryny i chronią przedatakami typu man-in-the-middle... pod warunkiem, że urządcertyfikacyjny, organizacja zajmująca się ich wystawianiem, jestgodna zaufania i trzyma się odpowiednich procedur zarządzaniakluczami i weryfikacji tożsamości klientów. Sęk w tym, że takichurzędów certyfikacyjnych są na świecie setki, i nie do końcawiadomo, jak sprawdzić, czy można im ufać. Czy to ze względu nazaniedbania, które zapewniłyby hakerom możliwość ataku iprzejęcia wystawiającego certyfikaty oprogramowania, czy też zewzględu na złą wolę, gotowość współpracy z władzami państwzainteresowanych fałszowaniem witryn internetowych – urzędycertyfikacyjne stanowią najsłabsze ogniwo w całym tym łańcuchuzabezpieczeń.O konsekwencjach grzechu zaniedbania przekonała się firmaComodo, gdy w 2011 roku irańscy hakerzy, wykorzystując przejęteserwery jej resellera, wystawili sobie ważne certyfikaty na domenynależące do Google, Yahoo!, Microsoftu, Skype'a i Mozilli. Terazkonsekwencje złej woli może poznać firma TeliaSonera, oskarżana oto, że pobrudziła sobie ręce współpracą z ludźmi, któryminternauci zaufać raczej nie mogą.Skandynawski gigant telekomunikacyjny w 2010 roku zgłosił doMozilli wniosek o dopisanie ich certyfikatu do listy zaufanych urzędówcertyfikacyjnych w Firefoksie. Sprawa całkiem normalna, Mozillatakie wnioski otrzymuje regularnie. Decyzje tego typu zespółodpowiedzialny za bezpieczeństwo Firefoksa podejmuje jednak dopieropo konsultacji ze społecznością. Tak było itym razem. Wydana opinia okazała się jednak dla TeliiSonerymiażdżąca.Pojawiły się otóż głosy, że w postradzieckich krajach,takich jak Azerbejdżan, Gruzja, Kazachstan, Uzbekistan iTadżykistan, w których TeliaSonera zainwestowała spore pieniądzew lokalne telekomy, władze nadzorują komunikację swoichobywateli. Robią to za pomocą fałszywych witryn, udającychpopularne serwisy internetowe właśnie dzięki wystawionym przezskandynawską firmę certyfikatom, deszyfrują też ruchzabezpieczony przez SSL.Mozilla prowadzi twardą politykę wobec firm w ten sposóbnadużywających zaufania. W zeszłym roku, gdy urząd certyfikacyjnyTrustwave przyłapano na generowaniu certyfikatów SSL, którepozwalały firmom na deszyfrowanie prowadzonej po HTTPS komunikacjiich pracowników. Po ujawnieniu afery Firefox natychmiast przestałufać wystawionym przez Trustwave certyfikatom. To samo może terazczekać TelięSonerę – oskarżaną o świadome wystawianiecertyfikatów bez wiedzy podmiotów, których dane zawarte są wcertyfikatach.[img=crypto2]Rzecznik firmy próbuje siębronić – firma jest zatroskana postawąMozilli, ma czyste konto, ale też, podobnie jak wszyscyinni operatorzy honoruje prawnie uzasadnione żądania władzprzechwytywania ruchu internetowego.Nowy certyfikat miałby z kolei dotyczyć wyłącznie klientów zeSzwecji i Finlandii, gdzie procesy certyfikacyjne są w pełni zgodnez wymogami Mozilli i kontrolowane w corocznym audycie Webtrust.Wydaje się obecnie, że tetłumaczenia niespecjalnie pomogą skandynawskiemu operatorowi.Niezależni eksperci od bezpieczeństwa cieszą się, że poniesie onkarę za flirtowanie z niedemokratycznymi reżimami, z kolei samaMozilla przyznaje, że pojawiły się dowody na to, że TeliaSoneradostarcza oprogramowanie i usługi, które pozwalają naprzechwytywanie prywatnej, szyfrowanej komunikacji. Jednym z nichjest na pewno film przygotowany przez organizację Telecomix, którymożecie obejrzećna Vimeo.Teraz jedną decyzją producentFirefoksa może skasować cały biznes TeliiSonery związany zcertyfikatami SSL. Na liście przeglądarki firma ma obecnie dwacertyfikaty z 2001 roku, których ważność wygasłaby normalnie w2021 roku. Nowy certyfikat, z silniejszym, 4096-bitowym kluczem, miałpojawić się w sprzedaży już teraz, jako część podstawowejoferty firmy. Kto jednak chciałby kupić certyfikat, który niedziała w jednej z najpopularniejszych przeglądarek świata?Naszym Czytelnikom,zaniepokojonym tym, jak łatwo jest władzom naruszyć prywatnośćinternautów dzięki współpracy z firmami takimi jak TeliaSoneraprzypominamy, że kryptografia jest bardzo dobrym gwarantem poufnościnaszych danych – pod warunkiem, że kontrolujemy cały łańcuchkomunikacji, a więc korzystamy z zabezpieczonych szyfrowaniemkomputerów, na których uruchamiamy sprawdzone przez społeczność,otwarte narzędzia kryptograficzne, pamiętając o dobrych praktykachzarządzania hasłami i kluczami. „Kłódeczka” w przeglądarcezapewnia bezpieczeństwo – jednak najwyraźniej tylko do czasu, gdyktoś wpływowy aktywnie nie zainteresuje się naszą komunikacją.