Власти Казахстана начали перехватывать HTTPS-трафик в пределах страны с 17 июля — это происходит с помощью национального сертификата безопасности. Операторы связи просят казахстанцев установить его на свои девайсы. Скажется ли это на кыргызстанцах?
Что случилось?
Операторы связи в Казахстане 17 июля начали рассылать своим абонентам сообщения с просьбой установить корневой сертификат безопасности с сайта qca.kz.
Это объяснили тем, что «участились случаи хищения персональных и учетных данных, а также денежных средств со счетов казахстанцев». Предполагается, что национальный сертификат должен будет обезопасить пользователей от «хакеров, интернет-мошенников и иных видов киберугроз».
Подобные сообщения своим клиентам отправили все крупные операторы связи: Tele2 и Beeline сделали это в виде SMS-рассылки, а Kcell и Aktiv опубликовали просьбу на своих сайтах.
В чем проблема-то?
Дело в том, что таким образом власти Казахстана пытаются заменить общепризнанные сертификаты безопасности своими собственными, чтобы отслеживать защищенный HTTPS-трафик.
Обычно, когда вы заходите на сайты с приставкой HTTPS, то никто — включая оператора связи — не может видеть то, что именно вы делаете на них.
HTTPS обеспечивает безопасный обмен данными между сайтом и пользователем через шифрование TLS и SSL. Перехват данных все же возможен, но их расшифровка почти невозможна без подмены сертификатов.
Подобная подмена называется MitM-атакой или «атакой посредника» (MitM — man in the middle). В этой ситуации казахский центр сертификации хочет притвориться доверенным (каких всего несколько десятков в мире), чтобы пользователи использовали их сертификаты при посещении сайтов.
Установив корневой сертификат безопасности от казахских властей, пользователь дает правительству возможность читать его зашифрованный HTTPS-трафик, просматривать содержимое, шифровать его снова и отправлять по назначению.
Обычно, если вы попытаетесь зайти на сайт с сомнительным сертификатом, то браузер вас об этом предупредит. Но после установки корневого казахского сертификата такого предупреждения не будет, потому что система вашего устройства будет считать его доверенным.
Отслеживание трафика может выглядеть так — например, когда вы входите в аккаунт своего онлайн-банка, информация проходит через «посредника», который в итоге получает ваши логин, пароль и другие личные данные.
«Причем власти получат не только доступ к письмам и паролям, но также смогут менять их при необходимости. […] Они смогут делать всё то, что вы сами могли бы делать со своего телефона», — объясняет IT-специалист Даниил Вартанов.
Власти Казахстана пытаются сделать подобное не в первый раз — предыдущая попытка была в декабре 2015 года, но тогда ничего не вышло из-за последующих судебных тяжб, и процесс внедрения сертификата затормозился.
Как это коснется кыргызстанцев?
Интернет-трафик идет в Кыргызстан через две страны — Китай и Казахстан.
С технической стороны трудностей может и не быть. Однако в теории Казахстан может обязать кыргызстанцев устанавливать корневой сертификат на свои устройства. Но пока это очень маловероятно, считают эксперты.
Основная опасность для кыргызстанцев скорее не техническая, а в том, что они могут попасть под влияние казахских властей при посещении страны — вас так же попросят установить корневой сертификат, как и других граждан Казахстана.
Как это обойти?
Ответ может казаться простым — вы можете не устанавливать корневой сертификат от qca.kz.
Тем более, что закон не обязывает вас это делать, если вы живете на территории Казахстана или посещаете эту страну. Об этом же говорит вице-министр цифрового развития Аблайхан Оспанов. По его словам, установка сертификата — это добровольный шаг.
Несмотря на то, что в SMS-рассылках ссылаются на закон «О связи», вы не обязаны подчиняться, потому что закон распространяется не на абонентов, а на операторов связи.
Однако в этом случае вы столкнетесь с двумя проблемами. Во-первых, без сертификата вы не сможете заходить на некоторые сайты с HTTPS — какие именно, неизвестно. Во-вторых, вас просто могут отключить от интернета операторы связи.
Источник из казахского Beeline сказал «Клоопу» на условиях анонимности, что власти обязывают операторов связи отключать от связи тех абонентов, которые отказываются от установки сертификата.
Что тогда делать? Платный VPN поможет?
Выходом для соблюдения безопасности может быть использование платных VPN-сервисов, если вы живете или находитесь на территории Казахстана. С технической точки зрения использование VPN — это способ вывести свой трафик через другую страну, чтобы в вашей его не смогли отследить.
Однако даже это не всегда может вас спасти — 100% безопасности может и не быть.
По словам Вартанова, надо тщательно выбирать каким VPN-сервисом пользоваться, потому что даже платные, за несколько долларов в месяц, могут быть ненадежными — особенно IT-компании с маленьким оборотом могут быть уязвимы для подкупа правительствами разным стран.
Поэтому такой выбор — это в том числе и политический аспект.
Технический специалист Центра информационной безопасности Антон Кирсанов говорит, что для снижения риска перехвата незашифрованного трафика на территории Казахстана подойдет любой VPN-сервис, который достаточно удален и независим от правительства страны.
Однако назвать какой-то конкретный сервис достаточно сложно, потому что, как говорят специалисты по безопасности, в компании, предоставляющей VPN-сервис, всегда может найтись кто-то, кого можно подкупить.
Поэтому очень важны репутация и профессионализм сотрудников подобных сервисов.
Специалисты также советуют заранее скачать программы и инструкции для VPN, пока их тоже не начали блокировать или подменять власти страны.
Переход на Linux спасет?
Читая о путях обхода, вы можете найти совет о том, что защитить личные данные можно с помощью перехода на операционную систему Linux.
Однако опрошенные «Клоопом» IT-специалисты сходятся во мнении, что смена операционной системы никак не поможет.
«Установка дополнительных корневых сертификатов возможна в любой популярной операционной системе, и Linux не исключение», — считает Кирсанов.
Вартанов же считает, что совет о переходе на Linux возник из-за того, что власти Казахстана написали инструкцию по установке сертификата под Windows, Mac OS, iOS и Android, но не под Linux.
По словам специалиста, на этапе проверки сертификата операционная система пользователя не имеет значения.
Что делать, если я уже установил(-а) сертификат?
В таком случае вы можете его удалить — вы сами контролируете список сертификатов, установленных на ваших устройствах.
Удалить можно как встроенные проверенные сертификаты (их только с помощью взлома), так и установленные вручную, как сертификат правительства Казахстана.
О том, как это сделать, это вы можете прочитать в инструкции от Factcheck.kz.
Как вообще работают сертификаты?
Сертификаты выдаются корневыми удостоверяющими центрами (root certification authority). Таких центров множество, и кто угодно может им стать, поэтому главный вопрос — в доверии.
В мире существует всего несколько десятков корневых удостоверяющих центров, честность и доверие к которым не оспариваются мировым сообществом. Обычно корневые сертификаты таких центров сразу вшиваются в оборудование: телефоны, компьютеры, ноутбуки, планшеты.
Чтобы стать одним из таких центров необходимо пройти тщательный отбор и доказать квалификацию. Центрам предварительно надо договориться о внесении своих сертификатов в набор доверенных производителей операционных систем и браузеров таких как Microsoft, Apple, Mozilla и Google.
Национальный сертификат безопасности Казахстана выпущен своим внутренним удостоверяющим центром, и потому будет считаться браузерами недостоверным. «Сертификат Казахстана не будет признан; не будет включён в списки Chrome, Firefox, Android, Windows, iOS», — считает Вартанов.
Хитрость в том, что для работы с браузерами, пользователям придется добавить сертификат вручную. По словам специалиста, каждый человек на уровне личного устройства может признать сертификат, скачав и установив его, как и требует сделать правительство Казахстана.
Что говорят IT-гиганты?
По сути действия правительства Казахстана — это глобальная MitM-атака со стороны государства.
Ситуацию начали обсуждать в командах крупнейших производителей браузеров — Google и Mozilla. Дискуссия продолжается почти неделю, но пока окончательного решения нет.
Один из комментаторов по имени Евгений, который сообщил о ситуации в сообщество Mozilla, считает, что производители браузеров должны вмешаться, потому что может появиться «опасный прецедент, сводящий на нет все усилия по обеспечению HTTPS».
«Если Казахстан добьется успеха, то все больше и больше правительств (например, Россия, Иран и т. д.) начнут глобальные MitM-атаки на своих граждан, и это не хорошо. Я думаю, что все CA, используемые для MitM-атак, должны быть явно внесены в черный список как со стороны Mozilla, так и Google, чтобы исключить даже вероятность таких атак», — написал он.
Другие считают, что блокировка центра — принципиальная, но малоэффективная мера. Власти Казахстана смогут обойти её путем установки программы, которая будет игнорировать запреты IT-гигантов.