Ein Stammzertifikat ist ein wesentlicher Aspekt der Internetsicherheit.  Aber was passiert, wenn eine Regierung sie missbraucht, um Sie auszuspionieren?

Was ist ein Root-Zertifikat und wie kann es verwendet werden, um Sie auszuspionieren?

Werbung Die Nachrichtenagenturen berichteten 2019, dass die kasachische Regierung extreme Schritte unternommen hat, um die Bürger in ihrem Land zu überraschen. Insbesondere hat die Regierung ein Tool namens Root-Zertifikat verwendet , um die Online-Aktivitäten der Bürger auszuspionieren. Der Missbrauch von Root-Zertifikaten ist jedoch nicht nur in Kasachstan ein Problem. In

Werbung

Die Nachrichtenagenturen berichteten 2019, dass die kasachische Regierung extreme Schritte unternommen hat, um die Bürger in ihrem Land zu überraschen. Insbesondere hat die Regierung ein Tool namens Root-Zertifikat verwendet, um die Online-Aktivitäten der Bürger auszuspionieren.

Der Missbrauch von Root-Zertifikaten ist jedoch nicht nur in Kasachstan ein Problem. Internetnutzer auf der ganzen Welt sollten sich darüber im Klaren sein, wie Sicherheitstools missbraucht werden können. Diese Tools können die Privatsphäre gefährden und Daten über die von Ihnen besuchten Websites und die von Ihnen online gesendeten Nachrichten sammeln.

Was ist ein Root-Zertifikat?

Stammzertifikate - Browser-Symbol

Wenn Sie eine Website wie MakeUseOf durchsuchen, beginnt die URL mit https anstelle von http . Außerdem sehen Sie in der Adressleiste ein Symbol, das wie eine Sperre neben der URL aussieht. Dies bedeutet, dass eine Art von Verschlüsselung, die als Secure Socket Layer / Transport Layer Security (SSL / TLS) bezeichnet wird, die Website schützt.

Mit dieser Verschlüsselung sind die zwischen Ihnen und der Website übermittelten Daten sicher. So können Sie sicher sein, dass die Site, auf die Sie zugreifen, das echte MakeUseOf ist und keine betrügerische Site, die versucht, Ihre Daten zu stehlen.

Um dieses Schlosssymbol zu erhalten, dem Benutzer vertrauen können, zahlen Websitebesitzer eine Zertifizierungsstelle ( Certificate Authority, CA), um sie zu überprüfen. Wenn eine Zertifizierungsstelle überprüft, ob eine Site authentisch ist, stellt sie ein Sicherheitszertifikat aus . Die Entwickler von Webbrowsern wie Firefox und Chrome führen eine Liste vertrauenswürdiger Zertifizierungsstellen, deren Zertifikate sie akzeptieren.

Wenn Sie also eine Site wie MakeUseOf besuchen, findet Ihr Browser das Zertifikat, überprüft, ob es von einer vertrauenswürdigen Zertifizierungsstelle stammt, und zeigt die sichere Site an.

Ein Stammzertifikat ist das höchste verfügbare Sicherheitszertifikat. Dies ist wichtig, da dieses „Master-Zertifikat“ alle darunter liegenden Zertifikate überprüft. Dies bedeutet, dass die Sicherheit des Stammzertifikats die Sicherheit eines gesamten Systems bestimmt. Entwickler verwenden Stammzertifikate aus vielen gültigen Gründen.

Wenn eine Regierung oder ein anderes Unternehmen Stammzertifikate missbraucht, kann sie Spyware auf verschlüsselte Kommunikation installieren und auf private Daten zugreifen.

Wie missbraucht die Regierung Wurzelzertifikate in Kasachstan?

Stammzertifikate - Kasachstan

Im Juli 2019 gab die kasachische Regierung einen Hinweis für Internetdienstanbieter (ISPs) im Land heraus. Die Regierung sagte, die ISPs müssten die Installation eines von der Regierung ausgestellten Root-Zertifikats für den Zugang der Benutzer zum Internet zwingend vorschreiben. Das von der Regierung ausgestellte Zertifikat heißt „Qaznet“ und wird als „nationales Sicherheitszertifikat“ bezeichnet.

ISPs haben ihre Kunden pflichtgemäß angewiesen, das Zertifikat zu installieren, wenn sie auf das Internet zugreifen möchten.

Sobald das Zertifikat installiert ist, kann die Regierung damit eine große Menge von Browserdaten abfangen. Die Regierung kann Aktivitäten auf beliebten Websites wie Google, Facebook und Twitter sehen. Es kann sogar HTTPS- und TLS-Verbindungen entschlüsseln und auf Benutzernamen und Kennwörter des Kontos zugreifen.

Dies bedeutet, dass keine Site sicher ist, wenn das Zertifikat installiert ist.

Die Regierung lanciert im Wesentlichen einen "Mann in der Mitte". Wie Millionen von Apps für einen einzigen Sicherheits-Hack anfällig sind Wie Millionen von Apps für einen einzigen Sicherheits-Hack anfällig sind OAuth ist ein offener Standard, mit dem Sie sich bei einer Drittanbieter-App anmelden können oder Website über ein Facebook-, Twitter- oder Google-Konto - und es ist anfällig für Hacker. Read More “-Angriff auf das gesamte Land laut Sicherheitsblog The Hacker News. Da die ISPs das Zertifikat zwingend vorschreiben, können Benutzer es nicht einfach umgehen, wenn sie weiterhin auf das Internet zugreifen möchten.

Darüber hinaus können Benutzer das Zertifikat nur über eine Nicht-HTTPS-Verbindung installieren. Eine Person muss eine weniger sichere HTTP-Verbindung verwenden, um das Zertifikat zu installieren. Und Hacker könnten diesen Prozess abfangen, um stattdessen ihr eigenes Schadenszertifikat zu installieren.

Wie reagieren Technologieunternehmen auf invasive Stammzertifikate?

Technologieunternehmen wie Google, Apple und Mozilla haben auf die Situation in Kasachstan reagiert. Sie haben sich verpflichtet, die Nutzer vor staatlicher Überwachung zu schützen. Der Google Chrome-Browser blockiert laut einem Blog-Post nun das von der kasachischen Regierung verwendete Zertifikat.

Google hat diese Maßnahme ergriffen, um "Benutzer vor dem Abfangen oder Ändern von TLS-Verbindungen zu Websites zu schützen". Benutzer müssen keine Maßnahmen ergreifen, um geschützt zu werden. Der Browser blockiert dieses Zertifikat automatisch.

Ebenso hat Mozilla eine Lösung für seinen Firefox-Browser bereitgestellt. Diese Lösung blockiert auch das von der kasachischen Regierung verwendete Zertifikat. Das Unternehmen kündigte den Fix mit einem leitenden Ingenieur des Unternehmens an und erklärte: „Wir gehen nicht so leichtfertig vor, aber der Schutz unserer Benutzer und der Integrität des Webs ist der Grund, warum Firefox existiert.“ In Zusammenarbeit mit Chrome wird Firefox dies tun Wenden Sie den Block automatisch an.

Mozilla erwähnte auch frühere Versuche der kasachischen Regierung, den Internetverkehr abzufangen. Dies beinhaltet einen früheren erfolglosen Versuch, 2015 ein Root-Zertifikat in das vertrauenswürdige Mozilla-Root-Store-Programm aufzunehmen.

Was können Sie gegen den Missbrauch von Root-Zertifikaten als Benutzer tun?

Der Missbrauch von Root-Zertifikaten ist offensichtlich besorgniserregend. Aber was können Sie als Benutzer tatsächlich dagegen tun? Erstens, wenn Sie in Kasachstan sind, sollten Sie das Zertifikat nicht auf Ihrem Gerät installieren. Wenn Sie es bereits installiert haben, deinstallieren Sie es sofort. Sie sollten auch die Kennwörter für alle Ihre Online-Konten ändern. Dies verhindert, dass die Regierung auf Ihre Browserdaten zugreift.

Wenn Sie in einem Land mit hoher Internetüberwachung leben, sollten Sie nach zweifelhaften Zertifikaten Ausschau halten. Wenn Sie aufgefordert werden, ein Sicherheitszertifikat zu installieren, sollten Sie vor der Installation auf Ihrem Gerät prüfen, ob es vertrauenswürdig ist.

Sie sollten auch andere Schritte unternehmen, um Ihre Daten zu schützen. Sie sollten ein VPN verwenden, um sich vor Überwachung zu schützen. 3 Möglichkeiten, wie Sie sich mit einem VPN vor der Überwachung von Big Brother schützen können. 3 Möglichkeiten, wie Sie sich mit einem VPN vor der Überwachung von Big Brother schützen können. Panopticon Sie sind nicht davon überzeugt, dass Sie ein VPN benötigen? Hier sind drei überraschende Gründe, warum ein virtuelles privates Netzwerk der Eckpfeiler Ihrer Sicherheit sein sollte. Weiterlesen . Erwägen Sie auch die Verwendung des Tor-Browsers 7 Tipps zur sicheren Verwendung des Tor-Browsers 7 Tipps zur sicheren Verwendung des Tor-Browsers Sie möchten versuchen, mit dem Tor-Browser sicher im Internet zu surfen? Erlernen Sie diese Tor-Browser-Regeln, bevor Sie beginnen. Lesen Sie mehr, um anonym auf das Internet zuzugreifen. Seien Sie auch vorsichtig mit E-Mails, da es sehr schwierig ist, E-Mails vor der Überwachung zu schützen. Verwenden Sie stattdessen eine sichere Messaging-App wie Signal oder Telegramm.

Erfahren Sie, wie Regierungen Sie online ausspionieren

Die Situation in Kasachstan ist nur ein Beispiel dafür, wie Regierungen ihre Bürger durch ihre Internetaktivitäten ausspionieren können. Sie sollten lernen, wie Regierungen und Unternehmen Überwachungstechniken einsetzen können, um sie zu vermeiden.

Wenn Sie nicht glauben, dass dies nur in anderen Ländern ein Problem ist, denken Sie daran, dass Orte wie die USA und Großbritannien in der Vergangenheit auch ihre Bürger ausspioniert haben. Zur Erinnerung: Sie erfahren, wann Ihre Daten schockierend an die NSA übergeben wurden. 5-mal, wann Ihre Daten schockierend an die NSA übergeben wurden. 5-mal, wann Ihre Daten schockierend an die NSA übergeben wurden zweiter Gedanke. Hier sind einige hochkarätige Organisationen, die der NSA Zugriff auf Benutzerdaten gewährt haben. Weiterlesen .

Erfahren Sie mehr über: HTTPS, Sicherheitszertifikat.