Национальный оператор связи «Казахтелком» накануне распространил пресс-релиз, в котором говорилось о внедрении «национального сертификата безопасности», который пользователи должны будут устанавливать на свои устройства доступа к интернету. Это сообщение было вскоре удалено с официального сайта компании, но, похоже, вопрос интереса властей к технологии, способной дать им неограниченный ресурс для электронной слежки, не снят с повестки дня.
В пресс-релизе, в частности, говорилось, что национальный сертификат безопасности вводится уполномоченным органов по регулированию интернета — Комитетом связи, информатизации и информации Министерства по инвестициям и развитию — с 1 января 2016 года. Указывалось, что данный шаг реализуется в соответствии с законом о связи:
«Согласно закону, операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.»
Однако, в действующей редакции закона такой нормы нет. Кроме того, из приведенной формулировки не следует, что казахстанские операторы связи должны применять какой-то новый, «национальный» сертификат, взамен тех, которые предоставляются самими интернет-ресурсами по протоколу https в стандартах шифрования SSL, TLS и др. для исключения перехвата данных, которыми пользователи обмениваются с сайтом.
В качестве обоснования данной меры, компания обозначила «обеспечение защиты казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет». Как объясняет Управляющий директор по инновациям в Казахтелекоме Нурлан Мейрманов, пользователям необходимо будет установить национальный сертификат безопасности на устройства выхода в интернет, включая мобильные устройства. Для этого на сайте национального оператора будет предложена пошаговая инструкция до конца текущего года (см. ссылку на сохраненную копию страницы сайта Казахтелекома).
Реакция профессиональных ИКТ-изданий региона на данную новость была однозначной — нововведение назвали инструментом для прослушивания всего зашифрованного трафика. «Судя по всему, сертификат будет подменяться не только для https-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS», пишет habrahabr.ru. Технически, «национальный сертификат», который пользователь установит себе, должен подменять сертификаты сайтов, и обладатель сертификата будет выступать именно тем посредником между пользователем и сайтом, для исключения которых разрабатывались технологии шифрования.
Ситуации, при которых обмен данными между пользователями (или между пользователем и интернет-сайтами, онлайн-сервисами и т.д.) подвергается неавторизованному вторжению посредников называются в криптографии Man in the middle, или MITM. Атакующий способен в таких случаях читать и видоизменять по своей воле сообщения, которыми обмениваются пользователи — но в случае с озвученными планами казахстанских властей, правительство ожидает, что граждане Казахстана сами позволят этому случиться — следуя заботливо разработанной пошаговой инструкции. Потенциально, посредник будет способен получить массу персональных данных пользователя, включая секретные данные по его банковским картам, например, код CVV.
Сайт Securitylab.ru пишет, что после того, как пользователи сделают доверенным корневой сертификат, выданный Комитетом связи, информатизации и информации, спецслужбы смогут осуществлять MITM-атаки неограниченно и расшифровывать любые данные, передаваемые по зашифрованным каналам. Аналитики издания определили инициативу с «национальным сертификатом безопасности» как средство перехвата всего SSL-трафика на территории региона. Даниил Вартанов, IT-специалист из Бишкека, подтверждает в комментарии для DR, что подобный шаг отразится на кыргызстанских пользователях интернета. «Часть провайдеров «ходит в интернет» через Казахстан, поэтому их абоненты будут подвержены тем же рискам, никаких различий с казахами у них не будет», говорит он.
Специалисты также отмечают, что нововведение, скорее всего, не пройдет безболезненно для его инициаторов. Многие интернет-корпорации и крупные сайты создают для себя правила по технологии HSPS — на них нельзя зайти с сертификатом, отличным от того, который они сами не одобрили (чаще всего, это их собственный сертификат), и после волны таких отказов браузеры потенциально могут начать блокировать «национальный сертификат» Казахстана. Сложности могут возникнуть и с операционными системами для мобильных устройств — на Android, например, подмена корневого сертификата грозит постоянными предупреждениями системы об опасности слежки за трафиком.
Эрик Джонсон, международный эксперт по вопросам интернет-безопасности, говорит в интервью Digital Report, что из пресс-релиза “Казахтелекома» не вполне понятно, что именно планируется сделать с этим сертификатом. «Как минимум, казахстанские власти намерены выступать центром сертификации (ЦС) по протоколу TLS. Это может сработать только в том случае, если им удастся включить свой сертификат в доверенные хранилища сертификатов («trusted CA store») основных производителей программного обеспечения по проверке шифровальных сертификатов — это Google (Android), Microsoft (Windows), Apple (Mac OS, iOS), Mozilla (Firefox) и другие. Я сомневаюсь, что они допустят [национальный сертификат Казахстана], но здесь трудно сказать наверняка. Некоторые из них ранее добавили к себе [китайский сертификат] CNNIC, но, по крайней мере один — Google — сейчас заявляет о том, что намерен его удалить».
Некоторые страны законодательно закрепили создание своих национальных ЦС, чтобы выпускать шифровальные сертификаты для правительственных структур. Теоретически, власти впоследствии могут потребовать, чтобы все компьютеры, продаваемые в стране, по умолчанию доверяли этому сертификату и поощрять граждан добавить его на свои устройства доступа, чтобы не получать назойливые уведомления системы о «плохом сертификате» при интернет-серфинге. «Когда человек позволяет своей операционной системе доверять этому центру сертификации в будущем, браузер будет рассматриваться все сертификаты, выпущенные этим центром, как доверенные — что открывает двери для MITM», говорит Джонсон.
«В худшем случае, власти Казахстана могут начать блокировать весь зашифрованный трафик, который они не могут отслеживать с помощью своего сертификата. Правда, мне неизвестен ни один пример страны, где такое было реализовано», продолжает Джонсон. «Такого нет ни в Иране, ни во Вьетнаме, ни в Китае, ни в Эфиопии». Как пишет Николь Пелпрот на сайте The New York Times, это похоже на «бюджетную версию» китайской модели, которая применяет дорогостоящие технологии фильтрации в мощном комплексе инфраструктуры. Однако дешевизна казахстанского решения потенциально грозит еще большими проблемами уже для самих властей. Взломав национальный ЦС и выпустив поддельные сертификаты от его имени, хакеры-злоумышленники будут способны читать данные всего трафика.
Вартанов тоже видит перспективу в мрачных тонах антиутопии — особенно в части прав пользователей. «Власти Казахстана смогут прочитать любую информацию обычных граждан, которой те обмениваются в интернете — включая пароли, номера кредитных карт, приватные фотографии, почту Gmail, переписку в Whatsapp и Facebook. Но еще опаснее то, что они смогут подменять любую информацию, которую гражданин видит в интернете, начиная от целых сайтов, заканчивая, при желании, удалением или изменением любого письма в почтовом ящике».
Известие о «Великом казахском фаерволе», как окрестили его комментаторы в соцсетях, вызвала бурную реакцию в среде профессионалов. Широкая общественность осталась вне обсуждения этой новости, поскольку мало кто понимает суть планов регулятора. К тому же, текст пресс-релиза был удален с сайта Казахтелекома. Как пояснил местным СМИ глава Интернет-ассоциации Казахстана Шавкат Сабиров, дата 1 января 2016 года, скорее всего, была названа преждевременно, так как способы сертификации еще не определены, и «это вопрос не одного месяца». Исходя из этой реплики, можно предположить, что разработка правовой базы для «национального сертификата безопасности» еще не финализирована. «Казахтелеком просто поторопился с этой информацией», сказал Сабиров, таким образом, не опровергнув наличие планов создания «национального сертификата безопасности».
Комитет связи, информатизации и информации Министерства по инвестициям и развитию Казахстана, а также компания Казахтелеком не ответили на запрос DR к моменту подготовки данной статьи к публикации*.
UPD: Как сообщает интернет-газета Vlast.kz, вице-министр инвестиций и развития Сакен Сарсенов сегодня прокомментировал внедрение национального сертификата безопасности:
«Они (требования) распространяются на тех контент-производителей, которые оказывают услуги в https-трафике. Сейчас разрабатываются подзаконные акты, которые будут регулировать эти вопросы. Как только они появятся, мы их опубликуем […] Сертификат безопасности — это электронно-цифровой ключ, который у каждого будет в автоматическом режиме. Если гражданин не захочет устанавливать, у него будет на это право. Никаких проблем с доступом в Интернет у граждан не будет», — сказал Сарсенов.
По его словам, регулироваться будет шифрованный трафик, который передаётся за пределы Казахстана. «Этот порядок не распространяется на отношения пользователей и ресурсов, предоставляющих услуги на территории Республики Казахстан. Могу заверить сразу, что конфиденциальность никаким образом не будет нарушена […], потому что конфиденциальность у нас гарантируется Конституцией и всеми законами», — добавил он.
——
* Читайте продолжение темы и ответ Комитета по связи, информатизации и информации Министерства инвестиций и развития Республики Казахстан на запрос DR здесь.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
