סין לא לבד: גם קזחסטן מרגלת אחרי תעבורת הרשת של אזרחיה

האח הגדול עינו פקוחה – הגרסה הקזחסטנית: במשך שנים, קזחסטן ביקשה ממוזילה להוסיף "תעודת שורש ממשלתית" (Root certificate) לרשימת התעודות האחרות שבדפדפן הפיירפוקס הפופולרי שלה. מוזילה חששה מהתערבות ממשלתית ומשימוש לרעה בטכנולוגיה, ולאורך השנים סירבה לכך. לפני ימים אחדים השלטון במדינה המרכז אסייתית חדל לבקש יפה והורה לאזרחים להתקין ידנית תעודות אבטחה ממשלתיות, שנקראות "תעודות אבטחה". אלא שאין בתעודות הללו ממד אבטחתי, ובמקום זה הן מאפשרות לממשלה לבצע על משתמשי האינטרנט בה מתקפות "אדם בתווך", שיאפשרו לה לפענח תעבורה של כל אתר שתרצה ולרגל אחרי המשתמשים.

"ישנן דוגמאות רבות לשימוש לרעה בתעודות שורש", אמר דיוויד וורבורטון, מומחה מחקר איומים במעבדות F5. "הן מאפשרות לכל אחד לרגל אחרי תעבורת הרשת המוצפנת של כל אחד אחר. אין זו הפעם הראשונה שבה ממשלה מנסה להתערב בתעבורה המוצפנת של אזרחיה, ראינו דוגמה לכך בסין, אך זוהי הפעם הראשונה שהדבר נעשה בצורה בוטה ושקופה".

ההוראה של ממשלת קזחסטן לאזרחים. מקור: F5

ברשימת האתרים הנעקבים: גוגל, פייסבוק, טוויטר, יוטיוב – ואנדרואיד

לפני כשבועיים החלו אזרחי קזחסטן לקבל הודעות מספקי האינטרנט שלהם על כך שהם נדרשים להתקין תעודת אבטחה – או שהם עלולים להתמודד עם הפרעה בתעבורת האינטרנט. ההוראה לאזרחים היא להתקין ידנית את התעודה בכל מכשיר שבבעלותם, כשהוראות נפרדות נמסרו לבעלי סמארטפונים, ביו אם הם מבוססי iOS או אנדרואיד, וכן לבעלי הדפדפנים השונים. כל ספק אינטרנט אחראי לערוך הסכם עם לקוחותיו ולספק להם הנחיות כיצד להתקין את התעודה. כך, ספקית הטלקום האירופית Tele2 שלחה SMS ללקוחותיה ואף יצרה דף אינטרנט שמסביר כיצד להתקין את התעודה.

הדף שיצרה Tele2, שמסביר כיצד להתקין את "תעודת האבטחה". מקור: F5

יצוין שלא כל אתרי האינטרנט מופרעים על ידי ספקי האינטרנט בקזחסטן. מדובר ברשימה יחסית קצרה, אך משמעותית, ולפי חוקרי 5F, היא כוללת את האתרים הבאים:

• android.com
• facebook.com
• fb.com
• g.co
• goo.gl
• google.com
• instagram.com
• googleusercontent.com
• mail.ru
• ok.ru
• twitter.com
• vk.com
• vkontakte.ru
• youtu.be
• youtube.com

"אמנם, הרשימה נראית קצרה", הסביר וורבורטון, "אך היא כוללת חלק מהאתרים הפופולריים ביותר ברשת. התערבות ב-google.com ,android.com ו-mail.ru מאפשרת לממשלת קזחסטן להפריע ולקרוא חלק משירותי ההודעות הפופולריים ביותר באינטרנט. מעניין לראות שחלק מאתרי הרשתות החברתיות וההודעות הפופולריים ביותר לא הופרעו בזמן שערכנו את הסריקות שלנו, דוגמת ווטסאפ, טלגרם ו-וויצ'ט".

הוא הוסיף כי "חשוב לציין שהפלטפורמות שנמצאות ברשימה סייעו בעבר לעורר או להגדיל את היקפן של מהפכות ומחאות. לכן, יש להניח שפעילים המתכננים את המאבק הבא שלהם יעשו שימוש בפלטפורמות אחרות, כגון דיסקורד או טלגרם. הדבר נכון גם בכל הנוגע לטרוריסטים ולסייענים שלהם".

גם מי שלא התקין את התעודה לא חסין

לדברי וורבורטון, "האיום שאזרחי קזחסטן מתמודדים אתו הוא שברגע שהם התקינו את תעודות האבטחה הממשלתיות, הממשלה יכולה להסיר, או להוסיף, אתרים לרשימה הזאת בלי לדווח להם על כך".

משתמשים בקזחסטן שבוחרים שלא להתקין את התעודה, או שאינם יודעים כיצד לעשות זאת, נאלצים להתמודד עם אזהרות בדפדפן כשהם מנסים לבקר בכל אתר שאליו הממשלה מעוניינת לצותת. סביר שמשתמשים רבים יקליקו על האזהרות הללו, בלי לדעת שכאשר הם עושים זאת – הם עדיין מאפשרים לשלטון גישה לתקשורת המוצפנת שלהם.

לסיכום אמר וורבורטון כי "התקנת תעודת השורש הזאת אינה במסגרת החוק בקזחסטן. גורם ממשלתי אמר שהמשתמשים כלל לא חייבים להתקין אותה. לא יהיה זה מפתיע אם מנהיגי המדינה יחוקקו חוק שדורש את ההתקנה של תעודת השורש שלהם בכל מכשיר חדש שנמכר בשוק – דבר שיפתור עבורם את האתגר של התקנת התעודה על ידי המשתמשים. לטקטיקה של מעקב המוני יהיו תוצאות שליליות לא מכוונות, שיורגשו שנים קדימה".