Vad har en av världens största producenter av skadlig programvara, så kallad malware, och Kinas chef för internetcensur och propaganda gemensamt? De kontrollerar nu om din webbläsare är säker.
Stora webbläsare, bland andra Firefox, Internet Explorer, Safari och Chrome, beviljade år 2010 ett trovärdighetscertifikat till China Internet Network Information Center (CNNIC).
CNNIC är därmed en stor certifikatsmyndighet, vilket innebär att de har fått tillåtelse av webbläsare att avgöra webbplatsers säkerhet – att till exempel bekräfta att Gmail.com verkligen är Gmail.com. Det lilla hänglåset i webbläsarfönstret betyder att en webbplats har undertecknats av en certifikatutfärdare. CNNIC driver också Kinas domännamnsregister, där webbplatser är registrerade.
Problemet är att CNNIC nu direkt och uttryckligen styrs av den kinesiska regimen. På juldagen 2014 utnämnde Cyberspace Administration of China CNNIC:s nye ordförande: Lu Wei, en kommunistisk byråkrat med många hattar.
Lu Wei är chef för huvudkontoret för det organ inom kommunistpartiets som i själva verket driver internet i Kina. Han är också biträdande chef för centrala propagandadepartementet.
Så nu är alltså den man som är ansvarig för den kinesiska myndighet som blockerar Facebook, Twitter och Google, också ansvarig för den organisation som verifierar webbplatsers äkthet, eftersom CNNIC har accepterats som en rotcertifikatutfärdare av stora webbläsare, däribland Firefox och Chrome.
Kan underlätta för statliga hackare
Percy Alpha (en pseudonym) som är en av grundarna av organisationen GreatFire.org, som övervakar Kinas kontroll och censur av internet, förklarade i ett email att det här innebär att statligt styrda hackare från Kina inte skulle upptäckas om de genomförde en så kallad ”man in the middle”-attack för att komma åt innehållet på någons dator.
Som webbanvändare, skulle man se det lilla hänglåset i sin webbläsare, precis som vanligt när man kontrollerar e-post. Men ”all kommunikation kan spelas in, analyseras och manipuleras av [den stora brandväggen] eller av hackare”, sade Percy Alpha, syftande på ”den gyllene skölden”, den kinesiska regimens system för censur av internet, som ofta bara kallas ”den stora brandväggen”.
Det finns enligt forskare misstankar om att CNNIC redan har använt sin auktoritet till att godkänna infekterade webbplatser. Men säkerhetsforskare är bekymrade över vad de ser som organisationens opålitliga bakgrund, och den kinesiska regimen historia av internetkontroll.
Kinesiska regimens historia av attacker
Den kinesiska regimen har nämligen en historia av sådana attacker. Teknik-webbplatsen Techdirt rapporterade den 7 november att regimen i september misstänktes för att ”använda ’man in the middle’-attacker för att spionera på medborgare som gör Google-sökningar via krypterade uppkopplingar.” Det noteras att en sådan attack måste använda en dators trust certificate authority, ”i detta fall China Internet Network Information Center”.
Samtidigt var det CNNIC som producerade en av världens främsta malware, kallad ”Chinese-Language-Surfing Official Edition”, som levereras tillsammans med en mängd shareware-paket för Windows-datorer i Kina.
Enligt GreatFire.org, noterade också Panda Security att CNNIC har ”utnyttjat sårbarhet och använt annan skadlig mjukvara för distribution av programvaran” och genom detta ”fångar upp all information som matas in eller sparas av användaren, vilket leder till betydande sekretessproblem.”
GreatFire.org sade att CNNIC har ”varit delaktig i eller har tillåtit ”man in the middle”-attacker mot Apple, Google, Yahoo och Microsoft i oktober i år.” Det konstaterar också att förändringen på chefsposten vid CNNIC också sammanföll med att den kinesiska regimen blockerade Gmail i Kina.
En attack som underlättas av CNNIC-certifikat skulle sannolikt vara mycket målinriktad, och måste startas tillsammans med andra nätverksintrång.
En sådan attack skulle kunna leda till att ”användarnamn, lösenord, SMS, e-post, foton, kontakter och till och med ekonomisk information … förvärvas av de kinesiska myndigheterna”, skrev Percy Alpha på GreatFire.org.
Möjligt spionera på kinesers ”säkra” uppkopplingar
CNNIC leddes tidigare av den Kinesiska vetenskapsakademin, en officiell tankesmedja, och försvarare av dess certifikat sade att detta gjorde angrepp mindre troliga. Man trodde att eftersom CNNIC var till synes på en armlängds avstånd från kinesiska myndigheter så var det mer eller mindre ofarligt. Nu har detta ändrats.
Edward Felten, en cyberforskare, skrev på bloggen Princeton’s Freedom to Tinker i februari 2010: ”Låt oss för ett ögonblick anta att CNNIC var den kinesiska regeringens marionett. … Då skulle CNNIC;s status som betrodd utfärdare av certifikat ge den den tekniska makten att låta den kinesiska regeringen spionera på sina medborgares ’säkra’ uppkopplingar.”
Felten målade upp följande scenario: när en kinesisk medborgare besökte Gmail.com, skulle uppkopplingen ledas över till en falsk Gmail-plats som drivs av den kinesiska regimen, men det skulle se riktigt ut på grund av CNNIC-certifikatet. ”Den kinesiska medborgaren skulle luras av den falska Gmail-platsen (eftersom det inte fanns någon anledning att misstänka att något var fel) och skulle glatt skriva in sitt Gmail-lösenord i den falska webbplatsen, vilket ger den kinesiska regeringen fri tillgång till medborgarens e-postarkiv.”
Med de senaste förändringarna kan det scenariot nu bli verklighet.