С 1 января 2016 в Казахстане должно было начаться внедрение национального сертификата безопасности
Сообщение о том, что с 1 января 2016 в Казахстане начнется внедрение национального сертификата безопасности, появилось на официальном сайте АО «Казахтелеком» 30 ноября 2015. Материал «провисел» несколько часов, после чего был удален, однако остался в кэше Google и доступен до сих пор.
Основная цель нововведения, как отмечается в удаленном сообщении – обеспечение защиты казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети интернет. Однако специалисты отмечают, что защита – далеко не единственная цель данного шага, и под угрозой может оказаться вся приватность Казнета в целом.
В частности, в сообщении приводится цитата управляющего директора по инновациям «Казахтелекома» Нурлана Мейрманова: «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть интернет данный сертификат, следуя пошаговой инструкции…» Далее говорится, что «Казахтелеком» обращает особое внимание на то, что установка сертификата безопасности должна быть выполнена на каждом устройстве абонента, с которых осуществляется выход в интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
На запрос Forbes Kazakhstan об актуальности упомянутого сообщения на данный момент нацоператор не ответил.
Между тем, появление этой информации вызывает ряд вопросов. Например, в тексте есть ссылка на закон «О связи», который якобы гласит, что «операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан». Однако ни в действующем законе, ни в поправках, внесенных в конце ноября 2015, ничего подобного нам найти не удалось.
Тем не менее, в поправках имеется юридическое основание для того, чтобы обязать операторов использовать специальный протокол. В частности, теперь в законе появилось описание национального сертификата безопасности. Кроме того, в ведение Министерства по инвестициям и развитию были включены следующие задачи:
– Утверждение правил выдачи и применения, а также контроля использования национального сертификата безопасности;
– определение удостоверяющего центра и контроль за порядком присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком.
Фактически этих изменений в законе достаточно, чтобы министерство самостоятельно определило, как, где и для чего будет использоваться национальный сертификат безопасности.
Атака посредника
Использование сертификата безопасности, как сказано все в том же удаленном сообщении на сайте «Казахтелекома», должно обеспечить защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам Сети. Речь идет об SSL-шифровании, которое применяется, чтобы обеспечить конфиденциальность трафика между пользователем и веб-сайтом. Использование SSL позволяет не только избежать перехвата трафика в канале, но и является гарантией того, что пользователь посетил именно тот сайт, который хотел, а не его копию, маскирующуюся под оригинал для распространения вредоносных приложений, мошенничества или дезинформации. Каждый такой сайт имеет свой сертификат, который выдан одним из общепризнанных центров сертификации и является доверенным для любого браузера.
Национальный сертификат безопасности же будет выпущен внутренним удостоверяющим центром и, соответственно, браузерами будет считаться не доверенным, поэтому для работы с ним нужно будет добавить его в браузер вручную (инструкцию о том, как это сделать, и обещает разместить на своем сайте «Казахтелеком»). Использование данного сертификата позволит вынести взаимодействие со всеми сайтами, использующими SSL, на некий внешний шлюз, через который будут отправляться все запросы пользователей к сайтам. Соответственно, с сайтами будет работать уже сам шлюз, проверяя их безопасность.
Казалось бы, все нормально: угроза с пользователей снимается и перекладывается на шлюз. Но, с другой стороны, при такой схеме работы, весь трафик между пользователем и сайтом будет расшифровываться и зашифровываться на шлюзе, а у этого процесса в информационной безопасности есть название – man in the middle, или «атака посредника» – что характеризуется как перехват или подмена сообщений, которыми обмениваются абоненты в сети. В нашем случае это будет перехват всех данных в пределах страны, включая личные сообщения в социальных сетях, электронную почту, а также данные платежных карт, транзакции, проводимые в платежных системах вроде PayPal. То есть никакой больше анонимности – абсолютно все сведения, которые отправляются или получаются посредством защищенных каналов, будут доступны тем, кто имеет доступ к шлюзу.
Возможно, такой подход и обоснован в связи с растущей террористической угрозой, но все это – часть личной жизни гражданина, неприкосновенность которой защищена Конституцией.
