prodengi.kz

Казахстанцам могут ограничить доступ в Интернет

В Казахстане операторы связи начали рассылать сообщения с просьбой установить сертификат безопасности. Редакция prodengi.kz установила для чего это делается.

 

«Эта рассылка связана с выходом нового Закона РК «О связи». Установка сертификата безопасности обязательна. Это убережет самих же казахстанцев от мошенников, хакерских атак, противоправного контента в сети Интернет. Отправляют нам, и мы рассылаем другим», - объяснил оператор Activ.

На вопрос «А если я не хочу устанавливать сторонний сертификат?», оператор признался честно:

«У вас будут проблемы с выходом в Интернет. Вопросы не к нам, а к вышедшему закону РК. Придумал не оператор».

Дедлайн установки сертификата также не указан. Но тут же была успокаивающая оговорка:

«У сертификата безопасности нет доступа к вашим персональным данным».

 

«Есть требование законодательства, когда все устройства, которые выходят в Интернет, должны быть обеспечены сертификатом безопасности. Этот сертификат разработан компетентными органами, который необходимо установить на все устройства, которые выходят в Интернет», - рассказал директор по корпоративным коммуникациям «Beeline Казахстан» Алексей Бендзь.

Мнение независимого блогера

Между тем, как писал еще в 2016 году российский блогер ValdikSS в своем посте Казахстан внедряет свой CA для прослушивания всего TLS-трафика:

«Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным комитетом связи, информатизации и информации министерства по инвестициям и развитию РК».

«Что нового произошло с тех пор? Beeline и Telecom.kz (основной провайдер-монополист) выкатили обновленные инструкции по установке государственного сертификата, который позволит осуществлять атаку man-in-the-middle с подменой сертификата. Ссылка на государственный сертификат», - указал блогер.

Коротко о сертификатах

Как известно, современный Интернет во многом опирается на сильную криптографию. Множество протоколов шифрования и областей их применения. Несколько десятилетий назад сильная криптография была исключительной прерогативой спецслужб и военных. Им можно хранить информацию зашифрованной надежно, остальным нельзя. До сих пор слышны отголоски этих времен в странных законах и подзаконных актах, которые де-факто уже не работают.

 

Что же изменилось?

Пришел open-source, который дал в руки любого желающего алгоритмы, позволяющего сохранить приватность переписки и быть уверенным в том, что данные не утекут каким-то личностям по дороге к пункту назначения. Пока неповоротливая государственная машина раздумывала, что же делать с новой угрозой, внезапно сильные алгоритмы шифрования стали аппаратно поддерживаться каждым утюгом и стали доступны каждому. Более того, с каждым годом, несмотря на давление властей и спецслужб всех стран безопасность продолжала усиливаться. Протокол HTTPS стал стандартом для любых, более или менее, значимых соединений. Появился HSTS (HTTP Strict Transport Security) - механизм, активирующий форсированное защищённое соединение через протокол HTTPS.

Что хочет государство?

По мнению блогера, государство хочет контролировать своих граждан под любыми предлогами. Новый закон, принятый в Казахстане, по сути, обязывает провайдеров осуществлять атаку man-in-the-middle.

«При этом варианте, вместо сертификата Gmail, выданного Google Inc, вы увидите Gamma Technologies Certificate Authority, который честно будет перепаковывать ваш TLS-шифрованный трафик, попутно прослушивая все что нужно, просматривая личную переписку, собирая ваши логины и пароли от любых сервисов. Разумеется, исключительно ради вашей безопасности. Как уже говорилось, браузеры такой беспредел незамеченным не пропустят и просто не пустят вас на целевой ресурс во избежание утечки данных. Однако, в данной ситуации и не ставится задача быть незаметным. Вас ставят перед фактом: либо вы устанавливаете государственный сертификат как доверенный и разрешете MitM, либо вы лишаетесь всех сервисов, использующих TLS-шифрование», - поясняет блогер.

Кто пострадает?

Помимо самого вопиющего факта государственной цензуры и возможности просмотра личной переписки, будут большие проблемы с устройствами и софтом, которые не позволяют добавить левый сертификат. Они превратятся в «тыкву». Но это никого не волнует. Не менее важным фактором является потенциальная утечка личных данных, паролей к сервисам, которые наверняка будут централизованно собираться. Иначе смысла нет этот цирк с конями устраивать изначально.

Что с этим делать?

Паниковать и бегать кругами. Это уже очень-очень серьезно и техническими средствами почти не решается. Можно поднять VPN-канал на сервер извне страны, чтобы избежать перехвата сертификата. Однако тот же OpenVPN с TLS-шифрованием превратится в тыкву. Вероятнее всего, следующим этапом будут дропать шифрованные соединения VPN. Более того, если вам надо получить «чистый доступ» к Gmail или Twitter, то проблем нет. Однако, если сервис находится внутри страны с подменой сертификата, то ничего не поможет. Останется только смириться с прослушкой.

Айман Шуйншинова
Фото: из открытых источников

 

plusBell

Если вы обнаружили ошибку или опечатку, выделите фрагмент текста с ошибкой и нажмите CTRL+Enter