Privacy International oskarża Microsoft

[KopalniaWiedzy.pl 320]

Organizacja Privacy International oskarża Microsoft, że de facto pomaga wojskowemu rządowi Tajlandii w zwalczaniu opozycji i wszystkich, którzy mają odmienne zdanie. System operacyjny Microsoftu jest bowiem jedynym, który domyślnie akceptuje główny certyfikat wydawany przez Narodowy Tajlandzki Urząd Certyfikujący. Według Privacy International rząd Tajlandii może potencjalnie wykorzystać fakt sprawowania kontroli nad tym certyfikatem do przeprowadzenia ataków typu man-in-the-middle, a to z kolei może pozwolić mu na  przechwycenie np. danych do logowania w serwisach społecznościowych, danych kont bankowych i innych wrażliwych informacji. Wiadomo skądinąd, że narodowe certyfikaty były już niewłaściwe wykorzystywane przez rządy.

Privacy International zauważa, że inni wielcy gracze, jak Apple, Google czy Mozilla nie włączają w swoich programach domyślnego akceptowania certyfikatu wydanego przez rząd Tajlandii. Systemy operacyjne domyślnie akceptują różne certyfikaty i im ufają. Jeśli zatem Windows i Internet Explorer domyślnie akceptują certyfikat rząd w Bangkoku, to - jak twierdzi organizacja - rząd mógłby wydać taki certyfikat witrynie, na której będą przeprowadzane ataki na dysydentów. System ani przeglądarka nie będą ostrzegały użytkownika przed witryną posługującą się zaufanym certyfikatem.

Microsoft, pytany przez dziennikarzy o to, dlaczego domyślnie ufa certyfikatom rządu, któremu nie ufają inne koncerny IT, odpowiada, że certyfikat ten spełnia wymogi określone w Microsoft Root Certificate Programme, który podlega ścisłemu nadzorowi, w tym regularnym audytom strony trzeciej.

« powrót do artykułu

[FoxEU 0]

Serio mowa tutaj o jakimś zwalczaniu opozycji poprzez wydawanie certyfikatów dla witryn przez INTERNET EXPLORER?

[wilk 103]

Nie o to tutaj chodzi. Poprzez ufanie podejrzanemu certyfikatowi nie jesteś w stanie łatwo odróżnić czy wchodząc na adres np. Wikileaks, Facebooka, własnej poczty czy nawet portalu informacyjnego jesteś faktycznie łączony z serwerem którego potrzebujesz czy też z podstawionym proxy rządowej agencji (lub phishera). Co więcej mowa tutaj o certyfikacie root-CA, więc może być on użyty do wystawiania i uprawdopodobniania dowolnych kolejnych CA i dalej zwykłych domenowych, jakichkolwiek.