Казахстанцы скептически отнеслись к национальному сертификату

Крупные интернет-провайдеры Казахстана сообщили пользователям о необходимости установить на свои электронные устройства специальный сертификат безопасности, но те расценили это как попытку установить за ними слежку.

Крупные интернет-провайдеры Казахстана, в том числе Kcell, Beeline, Tele2 и Altel, добавили в свои системы возможность перехвата HTTPS-трафика и потребовали от пользователей установить «национальный сертификат безопасности» на все устройства с выходом в глобальную Сеть. Это было сделано в рамках исполнения новой версии закона «О связи».

Также сообщается , что накануне этого события на сайте Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан появилось сообщение о возможных перебоях в работе интернета в столице. Это объяснили техническими работами для усиления защиты от хакеров и интернет-мошенников. В Министерстве порекомендовали убедиться в регистрации своего телефона и наличии сертификата безопасности на устройствах.

Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». Kcell заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». Beeline и Tele2 сослались на необходимость ограничить распространение противоправной, запрещенной информации. Altel просто указал на требование закона.

Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями. Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:

• сгенерировать поддельные сертификаты для любого сайта,
• заверить их сертификатом, который установил пользователь,
• подменить оригинальные сертификаты своими,
• расшифровать весь трафик от сервисов типа Google или Facebook.

Когда мы открываем страницу с адресом, начинающимся с https://, сайт передает нашему браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение. Теперь трафик между вашим сайтом и браузером никто не сможет расшифровать.

Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.

Вице-министр цифрового развития, оборонной и аэрокосмической промышленности Аблайхан Оспанов объяснил , обязаны ли казахстанцы устанавливать на свои электронные устройства новый сертификат безопасности:

«Как я уже отметил, данная норма была введена в закон о связи еще в 2015 году. Сегодня операторы обязаны предоставлять такую возможность населению — загружать, устанавливать сертификат технической безопасности на свои устройства».

.

По его словам, сертификаты безопасности позволят населению обеспечить безопасность своих персональных данных, которые хранятся у них, когда они подключаются к интернет-ресурсам.

«Есть хорошие плюсы. Он позволит вам не посещать фишинговые сайты. Вы знаете, что есть такие в рамках хакерских атак, когда вас направляют с одного сайта на другой сайт, где возможна утечка персональных данных. Это те же самые сведения о ваших платежных картах и всех транзакциях, которые вы проводите. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать», — заключил он.

Однако казахстанцы отнеслись к данной инициативе настороженно, особенно с учётом того, что некоторые провайдеры сообщили о будущих проблемах с доступом в интернет в случае отказа пользователей от этого сертификата.

Теперь ваш HTTPS будет прослушиваться, а сертификат для MitM вы должны поставить сами.
Пока не #Россия . Но уже #Казахстан . Как писал ValdikSS в своем посте Казахстан внедряет свой CA для прослушивания всего TLS-трафика https://t.co/ymI80g0hDO #прослушка

— Әмериканетс (@25durdom) July 19, 2019

Хм, это же так безопасно, левый сертификат в корневые ставить, тем более в так передовой стране, как Казахстан. А потом неожиданно деньги с карт, засвеченных в интернете пропадать начнут, ведь никто не даёт гарантии безопасности https трафика с таким сертификатом.

— Дмитрий (@gf_dmitro) July 19, 2019

Пусть лучше поставят этот сертификат, тому гос. органу который выложил данные 11мнл. казахстанцев в сеть!

— Nomad_FX (@Nomad_FX) July 20, 2019

Некоторые пользователи уже пожаловались на недоступность социальных сетей, почтового сервиса Gmail и YouTube. Казахстанские ресурсы при этом открывались нормально.

«В столице Казахстана Астане, у всех операторов, кроме Билайна (все операторы, кроме Билайна, государственные) не открываются популярные соцсети если вы не установили сертификат. Мм, свобода», — написал Telegram-канал StupidMadWorld.

В Министерстве цифрового развития пока не сообщают о причинах, но уже заявили о проведении технических работ, «направленных на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». А по словам Оспанова, это пилотный проект. То есть его могут распространить на всю страну.

«В законе «О связи» не указана прямая обязанность абонентов на их принудительную установку, — утверждает юрист Елжан Кабышев. — Установка и использование абонентом сертификатов безопасности облегчает доступ для блокировки или ограничения доступа к тому или иному ресурсу. Исходящий трафик можно проследить и блокировать доступ к нежелательному контенту будет весьма удобно. Но пока для установки сертификата нужно согласие абонента».

«По Закону РК «О связи» от 05.07.2004 года, сертификат безопасности — это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающего шифрование, — говорит адвокат Кожахмет Руслан. — При этом под пропуском трафика понимается осуществление процесса установления соединения и передачи информации между пользователями услугами связи. Сертификат безопасности не является активным средством для обеспечения утечки персональной и иной информации или защиты, так как не способен это осуществить. Он — инструмент блокировки».

Эксперт, пожелавший остаться анонимным, дал казахстанскому изданию The-Village следующий комментарий:

«За контроль над цифровой сферой Казахстан взялся недавно, максимум лет пять назад. Сейчас провайдер не может читать зашифрованный трафик, так как сертификат безопасности предоставляются провайдерами SSL сертификатов, например, Thawte или Comodo. Все они — иностранные компании. Когда сделают свой, государственный, сертификат, то у соответствующих органов/компаний появится возможность смотреть весь трафик, включая зашифрованный.

Посмотрит ли Казахстан на Китай? По стопам Китая идти не получится, так как IT-инфраструктура слабая и нет возможности импортозамещения популярных сервисов. Глобальный интернет от Илона Маска не спасение — скорее всего, будет иметь большие задержки и небольшую скорость. Оборудование для связи со спутниками у нас продавать запретят.

Если у пользователя не останется доступа к интернет-ресурсам, то можно использовать браузер TOR».

.

Гендиректор компании «Дата-сфера» Eldar Knar видит в этой инициативе как коррупционную составляющую, так и возможность иностранного шпионажа под прикрытием окологосударственных частных компаний. Ему удалось выяснить, что «Интернет-ресурс qca.kz и распространяемый данным интернет-ресурсом сертификат являются частной собственностью», а конечным бенефициаром данного ресурса и сертификата является частное лицо – «некий казахстанский гражданин Аскар Дюсекеев». Недавно, по данным эксперта, Дюсекеев получил от российской компании «Лаборатория Касперского» грант в размере 10 000 долларов и свой российский сертификат.

Кнар полагает, что «полученная со стороны иностранного государства сумма была использована Аскаром Дюсекеевым для создания ПО в виде сертификата. Разумеется, не без помощи специалистов Касперского, поскольку в его компетенции сильно сомневаюсь».

«Более того, — продолжает Кнар, — есть основание полагать, что данный сертификат и создан в Лаборатории Касперского. При этом сертификат несертифицирован и недействителен NET::ERR_CERT_AUTHORITY_INVALID

Более того этот данный ресурс для якобы «сертификата» действителен до 10 октября сего года. Потом продлит по ситуации? Прокатит или нет? Фактически в данном случае речь может идти о незаконной деятельности и одновременном нарушении некоторых норм Конституции и Законодательства Республики Казахстан».

В связи с этим эксперт обратился в Генпрокуратуру РК с просьбой проверить в отношении вышеупомянутого гражданина Казахстана.

Исполнительный директор ОЗИ Михаил Климарёв в своём Telegram-канале подтвердил наличие проблем с навязываемым казахстанскими властями новым сертификатом: «Циска зобанила «сертификат безопасности». Оперативненько».

«Почему я категорически против установки сертификата от Аскара Дюсекеева? — объясняет свои алармистские настроения Кнар в следующей публикации. — Рано или поздно через данный установленный сертификат в какой-то день Х со счетов держателей кредитных карточек всех казахстанцев исчезнут деньги, которые будут переведены на оффшорные счета, а сам «повелитель сертификатов» и «вбиватель слитых СС» Аскар Дюсекеев исчезнет в неизвестном направлении. Это очень серьезное предупреждение!»

Активисты Mozilla видят в действиях как властей Казахстана, так и операторов MiTM-атаку на зашифрованный трафик, который «очень хочется читать ».

«Помимо самого вопиющего факта государственной цензуры и возможности просмотра личной переписки, будут большие проблемы с устройствами и софтом, которые не позволяют добавить левый сертификат. Они превратятся в тыкву. Но это никого не волнует. Не менее важным фактором является потенциальная утечка личных данных, паролей к сервисам, которые наверняка будут централизованно собираться. Иначе смысла нет этот цирк с конями устраивать изначально», — считает Linux-администратор Иван Гуменюк.

«Это уже очень-очень серьезно и техническими средствами почти не решается, — продолжает он. — Можно поднять VPN-канал на сервер извне страны, чтобы избежать перехвата сертификата. Однако тот же OpenVPN с TLS-шифрованием превратится в тыкву. Вероятнее всего, следующим этапом будут дропать шифрованные соединения VPN. Более того, если вам надо получить «чистый доступ» к Gmail или Twitter, то проблем нет. Однако, если сервис находится внутри страны с подменой сертификата, то ничего не поможет. Останется только смириться с прослушкой».