Egy megfigyelésekre szakosodott cég mostantól a titkosított kommunikációt is megfigyelheti

Tegyük fel, hogy egy szép napon a Nemzetbiztonsági Szakszolgálat, a titkosszolgálatok elektronikai megfigyelésre szakosodott része indítana egy mobiltelefon-társaságot. Pont olyat, mint a T, a Telenor, vagy a Vodafone. Vásárolnál tőlük előfizetést?

Az analógia kicsit sántít, de hirtelen nem jut jobb eszembe arról, hogy

a világ egyik legismertebb, megfigyelésekben utazó cége pár hónapja tanúsítványigazolóként (Certificate Authority) is működik.

Amiről azért jutott eszembe a kicsit sántító telkós hasonlat, mert lényegében hasonló a helyzet: egy szervezet, aminek a fő profilja az adatforgalom monitorozása, olyan eszközt kapott a kezébe, ami nagyon megkönnyíti a dolgát, vagyis

az adatforgalom megfigyelését.

A történet központi szereplője egy kaliforniai cég, a Blue Coat. A honlapja alapján szimpla netbiztonsági vállalkozásnak tűnhet, olyan jóságokkal, mint "fejlett webvédelem", "védekezés fejlett fenyegetések ellen", "titkosítottforgalmazás-menedzsment", stb.

A gyakorlatban a cég már évek óta biztosít - a tagadhatóság kedvéért általában közvetve - a webes forgalom megfigyelésére és szűrésére alkalmas eszközöket olyan szimpatikus rezsimeknek, mint

Oroszország, Szaúd-Arábia, Kína, Katar, Bahrein, Egyiptom, Burma, vagy éppen Szíria.

Emiatt nevezte a Riporterek Határok Nélkül az internet ellenségének a Blue Coatot, és ezért bírságolták meg egyik forgalmazó partnerét az amerikai hatóságok már a lehető legnagyobb, 2,8 millió dollárra. A cég akkor - és azóta például az egyiptomi közösségi hálózatok megfigyelésével büszkélkedő viszonteladója, a See Egypt esetében is - azzal védekezett, hogy a maga részéről elvárja viszonteladóitól a törvények betartását.

De mit árul a Blue Coat?

Az elnyomó rezsimeket, kíváncsi titkosszolgálatokat leginkább a forgalommonitorozásra használható MtiM (Man in the Middle) eszközök érdekelhetik.

Végtelenül leegyszerűsítve az internetes kommunikáció modeljét az adatok a felhasználó és a felkeresett weboldal között közlekednek. Az MtiM-eszközök a két gép közé ékelődve - innen a név - magukon folyatják át az adatforgalmat, hozzáférést biztosítva ezzel az MtiM működtetőjének. Kicsit bonyolultabban:

Csakhogy mostanra ez az adatfolyam jellemzően titkosított, a nagy közösségi oldalak mindegyike https protokolt, SSL vagy TSL titkosítást használ. Így papíron az adatokat csak a címzett láthatja. Hogy tényleg csak a címzett láthassa, az oldalaknak igazolniuk kell azonosságukat.

Erre szolgálnak a biztonsági tanusítványok (certificate), amit pár, megbízható partner állít ki. Egy ilyen tanusítvány igazolja a felhasználó gépe felé, hogy a felkeresett oldal valóban az, ami. Hogy ne állíthassa bárki, hogy ő a Facebook. Vagy a bankod.

Épp ezért nagyon félelmetes, hogy tavaly ősszel az egyik ilyen tanusítványkibocsátó (Certificate Authority, CA), a Symantec közbenső tanusítványkibocsátóvá tette a Blue Coatot.

Hahó, ez azt jelenti, hogy a Blue Coat mostantól képes lehet a titkosított adatforgalom monitorozására is, mert magának is kiállíthat tanúsítványokat. Vagyis innentől, hogy a korábbi pélával éljek, állíthatja magáról a felhasználó felé, hogy ő a Facebook. Vagy a bankod. És beleolvashat a kommunikációba.

Természetesen a Blue Coatnak ilyen jogosítványokat adó Symantec szerint aggodalomra semmi ok, mert

a Blue Coat csak belső felhasználásra ad magának tanúsítványokat, csak a saját szervereire.

Való igaz: a Blue Coat eddig nem adott ki nyilvános tanúsítványt. Ahogy az is igaz, hogy létezik legális és legitim felhasználása is az így kiállított tanúsítványoknak. A Blue Coat vállalatoknak is nyújt szolgáltatásokat, azoknak pedig minden joguk megvan rá, hogy a saját hálozatukhoz csatlakoztatott, minden értelemben saját tulajdonú számítógépes rendszereikről kifelé irányuló forgalmat ellenőrizzék.

De ugyanígy alkalmas arra is, hogy a korábban felsorolt szimpatikus rezsimek ellenőrizzék közösségi oldalakat használó állampolgáraik kommunikációját. És hogy ez nincs így, arra pillanatnyilag csak a Symantec és a Blue Coat adott szava a garancia.

Ha ezt kevésnek éreznéd, szerencsére léteznek viszonylag egyszerű módszerek arra, hogy a géped ne higgye el a Blue Coatnak, hogy ő a Facebook. Vagy a bankod. A lényeg, hogy a számítógéped ne fogadja el valósnak a Blue Coat által kiadott tanúsítványokat. Tényleg nem bonyolult: itt van, hogy mit kell csinálnod, ha windowsos vagy, itt pedig az, ha maces.

Források: /r/privacy, /r/netsec, Motherboard, Brian Crow, The Washington Post