В Казахстане прошли «учения по слежке». Эксперты обсудили возможность применения такого опыта в РФ

В рамках прошедших учений граждане должны были установить на свои устройства национальный сертификат безопасности, который позволит властям перехватывать весь HTTPS-трафик с помощью атаки «человек посередине» (MitM).  

В столице Казахстана Нур-Султан прошли киберучения, в рамках которых граждане должны были установить на свои устройства национальный сертификат безопасности. За последние пять лет это уже третья попытка правительства Казахстана обязать граждан установить на свои устройства корневые сертификаты, если они хотят получать доступ к иностранным интернет-ресурсам. После установки на устройстве пользователя сертификат позволит властям перехватывать весь HTTPS-трафик с помощью атаки «человек посередине» (Man-in-the-Middle, MitM).

По итогам учений властями была проведена пресс-конференция.

Судя по комментариям пользователей, граждане в основном не очень рады подобным нововведениям, видя в действиях властей желание усилить цензуру интернета или даже построить свой аналог «Золотого щита», как в Китае.

«Все мероприятия с использованием сертификата безопасности завершены. Остается только фаза киберучений, связанных с атаками, отражением атак самих государственных органов. Полагаем, что наши граждане максимально никак не будут задействованы. Только, если при атаке на государственные ресурсы. То есть, если атака удастся, этот ресурс будет недоступен (некоторое время)», — сообщил председатель комитета по информационной безопасности министерства цифрового развития Руслан Абдикаликов.

В ведомстве попросили извинения за предоставленные неудобства.

«Мы постарались провести эти учения таким образом, чтобы максимально наши граждане не почувствовали неудобства, которые создаются этими учениями. Мы приносим свои извинения в связи с тем, что определенные неудобства возникали. Конечно, это сказывалось на работе иностранных интернет-ресурсов. Почему мы начали именно в выходные дни – это было связано с тем, что в это время человек максимально свободен, нет никаких рабочих моментов. В это время, наверное, минимум неудобств причинили мы нашим гражданам», — сказал Абдикаликов.

6 декабря, казахстанцев предупредили через SMS-рассылки, что в столице проходят учения «Кибербезопасность Нур-Султан-2020». Пользователей просили установить сертификат безопасности. Мобильные операторы опубликовали правила установки сертификата.

С 6 декабря 2020 года в Нур-Султане проводятся учения "Кибербезопасность Нур-Султан 2020". Для сохранения доступа к некоторым иностранным интернет-ресурсам просим Вас установить на все свои устройства сертификат безопасности. Для этого пройдите по ссылке: https://t.co/v3MRqrqzb4

— Beeline Казахстан (@_Beeline_kz) December 7, 2020

«В настоящее время целью проводимых учений является проверка готовности государственных органов, подразделений по обеспечению информационной безопасности, оперативных центров информационной безопасности критически важных объектов информатизации, противостоять возникающим угрозам», — сказал Абдикаликов.

Мы обсудили прошедшие учения с создателем «Эшер II» Филиппом Кулиным и техническим директором «РосКомСвободы» Станиславом Шакировым. Особенно нас интересовал вопрос — возможно ли применение казахстанского государственного «MiTM-опыта» в России?

Филипп Кулин скептически отнёсся к самой идее читать HTTPS-трафик, поскольку применяемые для этого методы затратны, а выполняемые ими задачи маловнятны:

«Я не понимаю целеполагания такого регулирования. Тут что предлагается? Чтоб граждане, которые себя плохо ведут (ну бывает же, что все мы высказываемся как-то резковато), были пойманы страшной службой безопасности? Или они предполагают, что ИГИЛ смотрит такая на это законодательство — «О-о, да! Всё, мы закрываемся! Мы больше не можем работать в таких условиях»? Какой кейс во всём этом? Что, собственно, это даст? Я не понимаю. Это глупость абсолютная, никому ничего это не даст.

Второй момент в том, что с введением всех этих «МиТМов» перестанет работать куча программного обеспечения. Да, возможно, потом всё это технически решат, но сколько денег и сил на это будет потрачено? Перестанут скрипты работать, какие-то автоматизации обвалятся… Чтоб всё восстановить, это встанет в достаточно большие человеко-часы, а это деньги. Плюс, все подобные решения для Казахстана будут сугубо индивидуальными, кастомными — кто решит, что эта страна для них хороший рынок, тот и будет для них это делать, кто решит, что нет — он отойдёт в сторону.

Насколько всё это перспективно, как далеко это в целом зайдёт? Я не знаю, в прошлый раз им ни сил, ни духу на это не хватило. Возможно, и на этот раз не хватит».

.

«Какой смысл в затрате стольких усилий, ради чего? «Мы будем смотреть трафик, и это будет круто» — так, наверное, они думают, — рассуждает Кулин. — У нас, как мне кажется, такое в принципе невозможно, потому что сразу много чего работать перестанет. Финансовые, банковские технологии, госуслуги — у нас ведь это всё достаточно сильно развито, и если «вдруг» это всё обвалится или станет работать «через-пень-колоду»… В общем, мы уже видели по блокировке Telegram — на такие штуки наши в принципе пока не готовы… Хотя политической воли заблокировать его у них хватило, а я в своё время не верил, что хватит».

«Да, это новый эпизод сериала «Казах посередине» — они уже два раза пытались это сделать, — говорит Станислав Шакиров. — Цель проста: перехватывать логины, пароли и, как следствие, весь трафик, который идёт от граждан до внешнего и внутреннего интернета».

Ситуация, по его словам, стандартная — это пытается делать не только Казахстан, но и Китай. Но здесь необходимо понимать, что производители браузеров будут сопротивляться распространению таких сертификатов от их имени. Как только такой производитель узнает, что некое авторитарное государство пытается внедрить какой-то шпионский сертификат для своих граждан, он его совершенно прогнозируемо заблокирует:

«Так было с Китаем, так было и с Казахстаном, поэтому авторитарные государства начинают думать — как бы читать защищённый трафик пользователей, минуя необходимость запихивать свой сертификат в браузер? В этом случае пытаются придумать какое-то ПО, которое будет стоять на устройствах граждан, и оно будет совершать всё ту же атаку «человек посередине».

Казахстанские власти попробовали делать это через госуслуги, но в России таких попыток пока не было, хотя необходимо держать руку на пульсе… К примеру, вот эта история с предустановкой отечественного софта на гаджеты, продающиеся в РФ, заставляет быть начеку. Несмотря на то, что пока производителей обязывают устанавливать в основном какие-то развлекательные приложения, нет гарантии, что там не появится некий софт, в задачи которого входят MiTM-атаки или что-то другое, выполняющее задачи слежки за гражданами».

.

Сертификат безопасности создан казахстанскими спецслужбами по поручению президента Касым-Жомарта Токаева в прошлом году – летом 2019-го казахстанцы также получили уведомление о необходимости его установки на мобильные устройства. Заявлялось, что этот сертификат призван защитить отечественных пользователей от пропаганды терроризма.

Такая мера вызвала дискуссии в обществе и негативные отклики киберспециалистов. Затем комитет национальной безопасности объявил, что тестирование системы завершено, и людям, установившим сертификат, разрешили его удалить. При этом предупредили, что в случае необходимости нужно будет установить сертификат безопасности снова.

После учений Абдикаликов заявил о двойных стандартах, отвечая на вопрос о непризнании компаниями Apple, Google и Mozilla казахстанского сертификата безопасности. Как всегда, в риторике чиновника не обошлось без упоминания «западной угрозы».

«Как я уже говорил, в вашем смартфоне содержится порядка сотни сертификатов других стран. Когда вы едете на территорию этих стран, грубо говоря, вы также становитесь объектом устремлений зарубежных спецслужб, так ведь? Вы же не переживаете по этому поводу. Как правило, они все входят в блок НАТО. Если вы обратите внимание, у них, конечно, проблем нет ни с Google, ни с Facebook. Проблема в нашей стране, потому что, да, мы принадлежим к другому блоку, входим в ОДКБ. Чисто политически никто, конечно, не признает наш сертификат в этом плане. Потому что никто не хочет, чтобы наша спецслужба могла работать так же эффективно, как зарубежные спецслужбы, — сказал Руслан Абдикаликов.

Двойные стандарты — МЦРИАП о том, почему казахстанский сертификат не признали западные компанииhttps://t.co/0TnPB0bqv6

— Tengrinews (@tengrinewskz) December 7, 2020

«Мы просто посмотрели, что делают другие, вот и все. Но почему-то у нас всегда есть такие двойные стандарты. Кому-то это можно делать, и это все правильно и демократично, а когда какая-то страна, осознав, что на самом деле она также имеет право это делать, это ее суверенное право, только на своей территории заниматься этим, нам сразу говорят: «Нет, ребята, вам этим заниматься нельзя». Следует, наверное, об этом задуматься», — добавил чиновник.