Dünya çapında 38 siber güvenliği profesörü ve BT uzmanları, Elektronik Sınır Vakfı (EFF) ile birlikte, internet kullanıcılarını siber suça maruz bırakabilecek bir teklifi uyaran AB düzenleyicilerine bir mektup verdi.
Daha spesifik olarak, uzmanların bir Avrupa dijital kimliği için bir çerçeve oluşturma ile ilgili 45. Maddeye ilişkin önerilen değişikliklerde problemleri vurgulamaktadır.
Belirli bir hüküm, krom, safari ve Firefox gibi Web tarayıcılarının QWAC'leri (Nitelikli Web Sitesi Kimlik Doğrulama Sertifikaları) kabul etmeyi gerektirir;
TLS sertifikaları kullanan web siteleri, bir kullanıcının bilgisayarı ile siteyi barındıran ve sahibinin kimliğini birçok durumda kanıtlayan iletişimin şifrelenmesi ile güvenlik güvenceleri sağlar.
Geçerli sertifikaların belirtileri, URL adres çubuğundaki bir asma kilit biçiminde gelir ve URL, "http: //" yerine "https: //" ile başlar.
Bu sertifikalar, kuruluşun bir etki alanına bağlı kimliğini doğrulayan ve sona erme tarihlerine sahip olan güvenilir bir otorite tarafından imzalanır, ardından sahibinin yeni bir tane edinmesi gerekir.
TLS sertifikaları, şifreler, duyarlı yükleme veya ödeme detayları gibi web sitelerine sahip çevrimiçi hassas bilgiler alışverişi için hayati öneme sahiptir.
Onlarsız, herhangi bir kötü aktör, bir web sitesini sarıştırabilir ve internet kullanıcılarını kullanmak için ihtiyaç duydukları herhangi bir organizasyon olduğunu iddia edebilecektir.
Madde 45'teki değişikliğin bir parçası olarak, AB milletvekilleri, tarayıcıları web'deki kimlik doğrulamasını geliştirmek ve daha düzenli bir GDPR uyumluluğu, sahibi bilgisi ve veri işlem garantileri oluşturmak için QWACS sertifikalarını kabul etmeye zorlamak istiyor.
QWACS, TLS ve Elektronik Kimliğini tek bir sertifikaya birleştirir, TLS dağıtımı ile bağlama kimliği, teorik olarak şeffaf ve teknolojik olarak nötr bir sistem oluşturur.
Milletvekillerinin amaçları samimi olsa da, teknik anlayış eksiklikleri, Teklifin, AFF'ye göre, daha önce QWAC'lerin benimsenmesine karşı daha önce aşağıdaki dört noktaları artıran Mozilla'ya göre kötü tasarlanmasını sağlar:
Avrupa Parlamentosu üyelerine gönderilen mektup, yeni web sitesi kimlik doğrulama sistemi ilk tanıtıldığında 2014 yılından bu yana kitlesel olarak kabul edilmesinin önündeki sebepleri olan QWAC'lerde teknik uygulama kusurlarını uyarır.
"Dijital Kimlik Çerçevesi, tarayıcıları, sertifikaların veya verilerini yöneten politikaların güvenliği özelliklerinden bağımsız olarak, güven hizmet sağlayıcıları tarafından verilen QWAC'leri kabul eder" dedi.
"Bu yasama yaklaşımı, web taramasını güvence altına almak için küresel çok paydaş ekosistemine önemli zayıflıkları tanıtıyor ve Web'in kullanıcıları için siber güvenlik risklerini önemli ölçüde artıracak."
"Revize edilmiş Madde 45 ile politika yaklaşımı, tehlikeli bir siber güvenlik politikası eğilimini işaret ediyor. Hükümet tarafından atanan sertifika yetkililerinin devlet güvenlik standartlarına tabi olduğu için, ürün ve hizmetlerini kullananlar için görevlerini öngörmeye zorlarlar. "
Önerilen görev, satıcıların güvensiz olduğuna inandıkları teknolojiyi kabul etmeye zorluyor ve bu da imkansız olan tehditlere hızlı tepki veren, yeni güvenlik normlarına karşı olan temel gizlilik sorunları var.
QWAC ile ilgili endişeler Google'ın Ryan Sleevi'nin bir twitter ipliğinde detaylardır.
Görüyorsunuz, tarayıcılar / OS satıcıların QWAC'leri kabul etmediler, çünkü CA'lar sadece TLS sertifikaları olabilirken, tarayıcılar hedefler için sıfır teknik mantıklı hale getirir (ve tüm Web'i daha az güvenli hale getirir! burada https://t.co/ic9rbj57w0)
En büyük endişe, kötü aktörlerin, potansiyel olarak finansal suçlara ve kimlik hırsızlığına yol açan, transit olarak verileri engellemek için meşru web sitelerini taklit edebileceğidir.
Sahte e-ticaret veya e-devlet portallarını içeren saldırı davaları, yeni mevzuatın getirdiği güvenlik boşluklarından yararlanabilecek büyük veri ihlalleri için zemini kurabilir.
Mozilla ayrıca, 2020'de AB Komisyonuna gönderilen bir istişare belgesinde bu teklife itiraz etmiş ve QWAC'lerin risklerini ayrıntılı olarak açıklamıştır.
Bu teklifin geri bildirim süresi Eylül 2021'de kapandı, bu yüzden günümüzde siber güvenlik uzmanları tarafından gönderilen mektup, AB pazarlamacılarını, tekliflerini buna göre değiştirmeleri için ihtiyaç duydukları son hendek çabasıdır.
NVIDIA'nın çalınan kodu imzalama sertifikalarını kullanarak şimdi kötü amaçlı yazılım
Kimlik avı saldırıları Ukrayna mültecileri yardım eden ülkeler
Hadi şifreleyelim, iki günde çok sayıda SSL sertifikasını iptal ediyor.
Dolaşım Mantis Android Kötü Amaçlı Yazılım Kampanyası Avrupa'da Manzaraları Setleri
AB Pan-Avrupa Siber Olay Koordinasyon Çerçevesi Oluşturma
Kaynak: Bleeping Computer