Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Privacy International oskarża Microsoft

Rekomendowane odpowiedzi

Organizacja Privacy International oskarża Microsoft, że de facto pomaga wojskowemu rządowi Tajlandii w zwalczaniu opozycji i wszystkich, którzy mają odmienne zdanie. System operacyjny Microsoftu jest bowiem jedynym, który domyślnie akceptuje główny certyfikat wydawany przez Narodowy Tajlandzki Urząd Certyfikujący. Według Privacy International rząd Tajlandii może potencjalnie wykorzystać fakt sprawowania kontroli nad tym certyfikatem do przeprowadzenia ataków typu man-in-the-middle, a to z kolei może pozwolić mu na  przechwycenie np. danych do logowania w serwisach społecznościowych, danych kont bankowych i innych wrażliwych informacji. Wiadomo skądinąd, że narodowe certyfikaty były już niewłaściwe wykorzystywane przez rządy.

Privacy International zauważa, że inni wielcy gracze, jak Apple, Google czy Mozilla nie włączają w swoich programach domyślnego akceptowania certyfikatu wydanego przez rząd Tajlandii. Systemy operacyjne domyślnie akceptują różne certyfikaty i im ufają. Jeśli zatem Windows i Internet Explorer domyślnie akceptują certyfikat rząd w Bangkoku, to - jak twierdzi organizacja - rząd mógłby wydać taki certyfikat witrynie, na której będą przeprowadzane ataki na dysydentów. System ani przeglądarka nie będą ostrzegały użytkownika przed witryną posługującą się zaufanym certyfikatem.

Microsoft, pytany przez dziennikarzy o to, dlaczego domyślnie ufa certyfikatom rządu, któremu nie ufają inne koncerny IT, odpowiada, że certyfikat ten spełnia wymogi określone w Microsoft Root Certificate Programme, który podlega ścisłemu nadzorowi, w tym regularnym audytom strony trzeciej.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Serio mowa tutaj o jakimś zwalczaniu opozycji poprzez wydawanie certyfikatów dla witryn przez INTERNET EXPLORER?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie o to tutaj chodzi. Poprzez ufanie podejrzanemu certyfikatowi nie jesteś w stanie łatwo odróżnić czy wchodząc na adres np. Wikileaks, Facebooka, własnej poczty czy nawet portalu informacyjnego jesteś faktycznie łączony z serwerem którego potrzebujesz czy też z podstawionym proxy rządowej agencji (lub phishera). Co więcej mowa tutaj o certyfikacie root-CA, więc może być on użyty do wystawiania i uprawdopodobniania dowolnych kolejnych CA i dalej zwykłych domenowych, jakichkolwiek.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...