Як чытаюць зашыфраваныя дадзеныя ў інтэрнэце

Electronic Frontier Foundation выявіла, што спецслужбы Аб’яднаных Арабскіх Эміратаў маюць магчымасць чытаць зашыфраваныя дадзеныя, перадаваныя праз інтэрнэт.

Бяспека ў інтэрнэце, асабліва онлайн-банкінгу і фінансавых аперацый, грунтуецца на шыфраванні дадзеных з дапамогай крыптаграфічных сертыфікатаў. Сертыфікаты маюць дзве функцыі: пацвердзіць сапраўднасць таго, з кім ідзе злучэнне (напрыклад, банку), а таксама перадаць інфармацыю, неабходную для шыфравання злучэння.

Але сертыфікаты таксама можна падрабіць, таму існуюць таксама сертыфікаты, якія сертыфікуюць іншыя сертыфікаты.

Яны належаць не банку ці інтэрнэт-краме, а спецыяльным установам, якія маюць назву Цэнтраў сертыфікацыі і якія ажыццяўляюць праверку дамена, да якога будзе выдадзены сертыфікат. Напрыклад, толькі Microsoft павінен мець сертыфікат на адрас microsoft.com, таму што калі камусьці такі сертыфікат трапіць у рукі, ён зможа, дадаткова выкарыстоўваючы некаторыя прыёмы, чытаць і змяняць зашыфраваныя дадзеныя, дасланыя на гэты адрас.

Такі перахват на прафесійным жаргоне называецца «атакай праз пасярэдніка» (Man In The Middle Attack, MITM). Сістэмы для тэхнічнага ажыццяўлення атакі MITM даўно вядомыя на рынку тэхналогій бяспекі для ўрадаў, а зусім нядаўна Electronic Frontier Foundation выявіў сертыфікат, што дазваляе выстаўляць фальшыўкі фірме Etisalat, якая працуе ў ААЭ.

Etisalat вядомая з наступнага выпадку:

некаторы час таму ўсе карыстальнікі тэлефонаў BlackBerry ў Эміратах атрымалі абноўленае праграмнае забяспечанне, што шпіёніла за сваім карыстальнікам, уключаючы перадачу паведамленняў.

Пасля выдалення вытворцам BlackBerry шпіёнскага праграмнага забяспечання урад Эміратаў назваў гэтую апаратуру «шпіёнскай» і з таго часу спрабуе не дапусціць яго выкарыстання.

Сертыфікат Etisalat’у можна адклікаць, выдаліўшы з менеджара сертыфікатаў браўзера ключ Cybertrust (Cybertrust Global Root).

Аднак Etisalat — не адзіная ўстанова, што можа выдаваць сертыфікаты-падробкі.

Пры такім раскладзе нават спецыялісту нялёгка абараніць прыватную інфармацыю. Праўда, было абвешчана пра стварэнне пашырэння для Firefox, што называецца CertLock і прызначанае для выяўлення падробных сертыфікатаў, але яно пакуль недаступнае.