Kazakistan hükümeti, ülkedeki internet servis sağlayıcılarının, tüm müşterilerinin cihazlarına devlet tarafından verilen kök sertifikalarını yüklemelerini zorunlu hale getirmelerini istedi. B unu yüklemeyen İnternet servislerine erişim sağlayamayacak.
Başka bir deyişle, “güvenlik sertifikası” veya “ulusal güvenlik sertifikası” olarak adlandırılmış olan bu sertifika sayesinde Kazak hükümeti, ülkedeki tüm internet kullanıcılarına “ortadaki adam” saldırısı yapmış oluyor.
Çünkü kök sertifika sayesinde internet servis sağlayıcılar (ISS), tüm kullanıcıların şifreli HTTPS ve TLS bağlantılarının içini görebilir hale geliyor. Yani kullanıcıların hangi siteye gittiğinin takibine olanak sağlanıyor.
Kazak ISS’ler Müşterilerin https Trafiğini İzlemekle Yükümlü
Kazakistan hükümetinin 2004 tarihli Haberleşme Kanununda kasım 2015’te değişiklik yaptı. Kanunun 26ncı maddenin “Güvenlik Sertifikası Verme ve Uygulama Kuralları” başlıklı 11. fıkrasına göre “Tüm ulusal iletişim servis sağlayıcıları, müşterilerin şifreli internet trafiğini devlet tarafından verilen güvenlik sertifikalarını kullanarak izlemekle yükümlüdür.” denildi.
Yasanın 1 Ocak 2016’dan itibaren yürürlüğe girmesi planlanıyordu, ancak Kazakistan hükümeti bir dizi dava sonrasında yerel ISS’leri zorlayamadı.
Ama şimdi Kazakistan hükümeti bu konuyu zorlamak için başka bir girişimde bulunuyor. İnternet güvenlik protokolünün temellerini kırarak, milyonlarca vatandaşının gizliliğini ve güvenliğini tehlikeye atıyor. Bir yandan hükümet ve ISS’ler, diğer yandan ise siber korsan vatandaşların gizliliğini deliyor olacak.
Neden Olarak Güvenlik Gösterildi, Ama Öyle mi?
Cihazlar ve web tarayıcıları, sisteminizde yüklü olan belirli bir Sertifika Yetkilileri listesine (CA) bakarak sertifikları çözümler. Bu yıl nisan ayından itibaren, Kazak ISS’leri, kullanıcılarını “izin verilen” HTTPS web sitelerinin listesine kesintisiz erişime devam etmek için kurulumları zorunlu olacak “ulusal güvenlik sertifikası” hakkında bilgilendirmeye başladı.
İnternet sağlayıcılar tarafından görüntülenen nota göre, düzenleme “kişisel ve kimlik bilgilerinin sık sık çalınması, ayrıca Kazakistan banka hesaplarından para çalınması ile bağlantılı olarak” zorunlu kılındı. Açıklama şöyle;
“Ülkenin bilgi alanını bilgisayar korsanlarından, İnternet sahtekarlarından ve diğer siber tehdit türlerinden korumak için etkili bir araç haline getirilecek bir güvenlik sertifikası getirildi.”
“Bir güvenlik sertifikasının verilmesi, bilgi sistemlerinin ve verilerin korunmasına, ayrıca bilgisayar korsanlarının ve İnternet sahtekarlarının zarar görmeden önce tespit edilmesine yardımcı olacaktır.”
“Ayrıca Kazakistan İnternet kullanıcılarının hacker saldırılarına ve yasadışı içeriğe bakmalarına karşı korunmalarına yardımcı olacak.”
Bu ifadelerden, Kazak hükümetinin vatandaşlarının internette hangi içeriği görmelerine izin verileceği konusunda kontrolü ele almak ve ayrıca Kazakistan’ı derin bir takip durumuna dönüştürmek istediği anlaşılıyor.
Ya Güvenlik?
Ancak bu kök sertifika güvenlik sorunu yaratacaktır. Kullanıcılar sertifika yüklemeden sadece HTTPS olmayan sitelere bakabilecek. Bu güvensiz HTTP bağlantıları üzerinden hackerlar kolaylıkla MiTM saldırıları yaparak sertifika dosyalarını düzenleyebilir.
Kazak ISS’lerin gönderdiği açıklama belgesinde, eğer kök sertifika yanlış yüklenir ya da hacker tarafından değiştirilirse, ne olacağı belirtilmiyor. Tam tersine sanki çok güvenlikli bir sistem gibi sunuluyor.
Dolayısıyla bu sertifika Kazak vatandaşların çoğunluğunu sosyal mühendislik saldırıları riski altında bırakıyor ve hackerların kullanıcıları resmi olmayan web sitelerinden ve kaynaklardan kötü niyetli bir kök sertifika yüklemeleri için kandırması için bir fırsat yaratıyor.
Bunun yanı sıra, HTTPS iletişimini durdurmak, ISS’lerin kullanıcıların ziyaret ettiği tüm web sayfalarında reklam enjekte etmelerini veya komut dosyalarını izlemelerini sağlar.
Yani kendi vatandaşlarını takip etmek isterken, onlara tehlike yaratıyorlar.