Tegyük fel, hogy egy szép napon a Nemzetbiztonsági Szakszolgálat, a titkosszolgálatok elektronikai megfigyelésre szakosodott része indítana egy mobiltelefon-társaságot. Pont olyat, mint a T, a Telenor, vagy a Vodafone. Vásárolnál tőlük előfizetést?
Az analógia kicsit sántít, de hirtelen nem jut jobb eszembe arról, hogy
a világ egyik legismertebb, megfigyelésekben utazó cége pár hónapja tanúsítványigazolóként (Certificate Authority) is működik.
Amiről azért jutott eszembe a kicsit sántító telkós hasonlat, mert lényegében hasonló a helyzet: egy szervezet, aminek a fő profilja az adatforgalom monitorozása, olyan eszközt kapott a kezébe, ami nagyon megkönnyíti a dolgát, vagyis
az adatforgalom megfigyelését.
A történet központi szereplője egy kaliforniai cég, a Blue Coat. A honlapja alapján szimpla netbiztonsági vállalkozásnak tűnhet, olyan jóságokkal, mint "fejlett webvédelem", "védekezés fejlett fenyegetések ellen", "titkosítottforgalmazás-menedzsment", stb.
A gyakorlatban a cég már évek óta biztosít - a tagadhatóság kedvéért általában közvetve - a webes forgalom megfigyelésére és szűrésére alkalmas eszközöket olyan szimpatikus rezsimeknek, mint
Oroszország, Szaúd-Arábia, Kína, Katar, Bahrein, Egyiptom, Burma, vagy éppen Szíria.
Emiatt nevezte a Riporterek Határok Nélkül az internet ellenségének a Blue Coatot, és ezért bírságolták meg egyik forgalmazó partnerét az amerikai hatóságok már a lehető legnagyobb, 2,8 millió dollárra. A cég akkor - és azóta például az egyiptomi közösségi hálózatok megfigyelésével büszkélkedő viszonteladója, a See Egypt esetében is - azzal védekezett, hogy a maga részéről elvárja viszonteladóitól a törvények betartását.
Az elnyomó rezsimeket, kíváncsi titkosszolgálatokat leginkább a forgalommonitorozásra használható MtiM (Man in the Middle) eszközök érdekelhetik.
Végtelenül leegyszerűsítve az internetes kommunikáció modeljét az adatok a felhasználó és a felkeresett weboldal között közlekednek. Az MtiM-eszközök a két gép közé ékelődve - innen a név - magukon folyatják át az adatforgalmat, hozzáférést biztosítva ezzel az MtiM működtetőjének. Kicsit bonyolultabban:
Csakhogy mostanra ez az adatfolyam jellemzően titkosított, a nagy közösségi oldalak mindegyike https protokolt, SSL vagy TSL titkosítást használ. Így papíron az adatokat csak a címzett láthatja. Hogy tényleg csak a címzett láthassa, az oldalaknak igazolniuk kell azonosságukat.
Erre szolgálnak a biztonsági tanusítványok (certificate), amit pár, megbízható partner állít ki. Egy ilyen tanusítvány igazolja a felhasználó gépe felé, hogy a felkeresett oldal valóban az, ami. Hogy ne állíthassa bárki, hogy ő a Facebook. Vagy a bankod.
Épp ezért nagyon félelmetes, hogy tavaly ősszel az egyik ilyen tanusítványkibocsátó (Certificate Authority, CA), a Symantec közbenső tanusítványkibocsátóvá tette a Blue Coatot.
Hahó, ez azt jelenti, hogy a Blue Coat mostantól képes lehet a titkosított adatforgalom monitorozására is, mert magának is kiállíthat tanúsítványokat. Vagyis innentől, hogy a korábbi pélával éljek, állíthatja magáról a felhasználó felé, hogy ő a Facebook. Vagy a bankod. És beleolvashat a kommunikációba.
Természetesen a Blue Coatnak ilyen jogosítványokat adó Symantec szerint aggodalomra semmi ok, mert
a Blue Coat csak belső felhasználásra ad magának tanúsítványokat, csak a saját szervereire.
Való igaz: a Blue Coat eddig nem adott ki nyilvános tanúsítványt. Ahogy az is igaz, hogy létezik legális és legitim felhasználása is az így kiállított tanúsítványoknak. A Blue Coat vállalatoknak is nyújt szolgáltatásokat, azoknak pedig minden joguk megvan rá, hogy a saját hálozatukhoz csatlakoztatott, minden értelemben saját tulajdonú számítógépes rendszereikről kifelé irányuló forgalmat ellenőrizzék.
De ugyanígy alkalmas arra is, hogy a korábban felsorolt szimpatikus rezsimek ellenőrizzék közösségi oldalakat használó állampolgáraik kommunikációját. És hogy ez nincs így, arra pillanatnyilag csak a Symantec és a Blue Coat adott szava a garancia.
Ha ezt kevésnek éreznéd, szerencsére léteznek viszonylag egyszerű módszerek arra, hogy a géped ne higgye el a Blue Coatnak, hogy ő a Facebook. Vagy a bankod. A lényeg, hogy a számítógéped ne fogadja el valósnak a Blue Coat által kiadott tanúsítványokat. Tényleg nem bonyolult: itt van, hogy mit kell csinálnod, ha windowsos vagy, itt pedig az, ha maces.
Források: /r/privacy, /r/netsec, Motherboard, Brian Crow, The Washington Post
Kommentek
Közösségünk messze túlnyomó többségének jószándéka és minden moderációs igyekezetünk ellenére cikkeink alatt időről-időre a kollégáinkat durván sértő, bántó megjegyzések jelentek meg.
Hosszas mérlegelés és a lehetőségeink alapos vizsgálata után úgy döntöttünk, hogy a jövőben a közösségépítés más útjait támogatjuk, és a cikkek alatti kommentelés lehetőségét megszüntetjük. Közösség és Belső kör csomaggal rendelkező előfizetőinket továbbra is várjuk zárt Facebook csoportunkba, a Közértbe, ahol hozzászólhatnak a cikkeinkhez, és kérdezhetnek a szerzőinktől is.