Под колпаком государственной безопасности

В Казахстане решили следить за гражданами с помощью загадочных IT-сертификатов
Иллюстрация с сайта Kqed.org

Казахстанцы встревожены сообщениями от сотовых операторов, которые призывают их установить так называемый сертификат безопасности. В противном случае абонентам грозят сложностями с доступом к некоторым сайтам. Причем установить сертификат просят не только на мобильные телефоны, но и на все устройства, имеющие выход в Сеть: смартфон, ноутбук, планшет. Власти оправдывают свою затею необходимостью оградить граждан от интернет-злоумышленников. Пользователи в свою очередь подозревают, что руководство страны таким образом получит неограниченный ресурс для электронной слежки. «Фергана» проанализировала, какую цель преследуют разработчики сертификата и почему им не удалось убедить казахстанцев в необходимости его установки.

Для безопасности. Государства

Первые попытки убедить казахстанцев в необходимости упомянутого сертификата власти предприняли еще в 2015 году, а его внедрение планировалось начать с 1 января 2016 года. Существовавший в то время Комитет связи, информатизации и информации ссылался на Закон РК «О связи» и уверял, что нацсертификат обеспечит защиту при использовании протоколов шифрованного доступа к зарубежным сайтам.

Для полной реализации идеи на тот момент не хватало аудита WebTrust (организации, определяющей стандарты в области информационной безопасности, в том числе проверку сертификатов и удостоверяющих центров).

Прошло почти четыре года, и призывы установить сертификат возобновились. За просьбами операторов последовали разъяснения чиновников, которые, впрочем, признавали, что это дело добровольное. «Когда вы заходите на интернет-ресурс, у вас всплывают непонятные баннеры, на которые наши с вами дети могут нажать и перейти. Вот как раз-таки сертификат безопасности, если он (баннер) подпадает в черный список, не позволит ребенку перейти на тот или иной ресурс, и ваши персональные данные никуда не утекут», — пояснял вице-министр цифрового развития РК Абылайхан Оспанов.

Его шеф Аскар Жумагалиев также проникся заботой о детях. «Если беспокоишься о своих детях, родных, чтобы они не видели этой информации, установи сертификат. Это также необходимо для защиты от опасной информации в интернете. Есть, вы знаете, ситуации, когда атаки происходят. Вирусы. Сертификат будет помогать вам», — говорил он.

Однако многие казахстанцы убеждены, что сертификат лишь будет помогать государству контролировать интернет-трафик Казнета. IT-специалист из Алма-Аты Василий Гиричев считает, что внедрение этой системы приведет к тотальному уничтожению анонимности в Сети. «Ни о какой защите данных речи быть не может. Ни в одной стране мира, ну, за исключением Китая и КНДР, не требуется сертификат для работы интернета. Скорее всего, заблокируются целевые хосты, так же как блокируют Telegram. И без сертификата уже нельзя будет до них достучаться. Сертификат ничем пользователям не помогает, это только усиление контроля», — рассказывает «Фергане» программист.

Повелитель сертификатов из КНБ

Нещадной критике подвергается не только намерение властей внедрить сомнительную систему безопасности, но и cам сертификат. Казалось, за четыре года его должны были «обкатать» в международных центрах сертификации и пройти аудит. Но этого не произошло. Как пишет издание the-steppe, дело не в том, что это сертификат от никому не известных казахстанских разработчиков, а в том, что центры сертификации не привязаны ни к одной стране, они неподкупны и непредвзяты. А в данном случае сертификат разработан правительством одного государства, то есть он изначально не является нейтральным. К тому же, по одной из версий, сертификат был отклонен из-за риска, что казахстанские спецслужбы могут получить доступ к личным данным зарубежных пользователей.

Поскольку сертификат безопасности не подтвержден международными центрами сертификации, добровольно его вряд ли примет какой-либо браузер. По этой причине его надо устанавливать вручную. Установить национальный сертификат безопасности провайдеры предлагают с сайта http://qca.kz. Но тут важный нюанс. И не один. Когда мы заходим на какой-либо сайт, в верхней части окна слева перед строкой URL видим значок замка, означающий, что интернет-соединение защищено, а трафик зашифрован. Адреса защищенных сайтов начинаются с «https://» (буква «s» означает защищенность соединения). У http://qca.kz, как вы заметили, буквы «s» нет, кроме того, сайт не имеет «замка», то есть он не защищен. Получается, что любой хакер может этот нацсертификат подменить на свой псевдосертификат и украсть все ваши данные, включая пароли.

Скриншот сообщения от казахстанского мобильного оператора

Недоверие к qca.kz усилилось, когда пользователи заметили, что домен qca.kz в первые дни был зарегистрирован на частное лицо, некого Аскара Дюсекеева, который на своей странице в Facebook называл себя «повелителем сертификатов» и «читателем бредней». По неофициальным данным, Дюсекеев имеет отношение к Государственной технической службе (ГТС), которая в 2017 году была передана из Министерства информации и коммуникаций в ведение КНБ.

Разработчики, видимо, поняли свой просчет и заменили в поле регистрации имя физического лица на «Национальный координационный центр информационной безопасности Казахстана». Тем не менее вопросы на этом не прекратились: сам сайт, который распространяет сертификат безопасности, расположен на сервере коммерческой хостинг-компании, где свой домен может зарегистрировать любой желающий. И у хакеров есть возможность «снести» этот сайт, подменив сертификат на вирус.

Государство посередине

Почему сертификату безопасности не доверяют? Все дело в том, что система, которую сейчас тестирует казахстанское правительство, работает по принципу хакерской атаки man-in-the-middle (англ. «человек посередине»). Атакующий посредник становится посередине канала связи и, внедрив свой сертификат, может управлять обеими сторонами соединения. С момента установки национального сертификата связь пользователя с сайтом, куда он заходит, будет не прямой, а через посредника, то есть возникает man in the middle — между вашим браузером и конечным сайтом возникает связь через третью сторону. Это вмешательство будет называться MITM-атакой со стороны государства.

Как пишет InformБЮРО, устанавливая казахстанский сертификат безопасности, пользователи точно так же предоставляют полный контроль над своим трафиком. И если пользователь добавляет сертификат безопасности себе в список доверенных, то государство сможет внедряться в HTTPS-трафик и затем уже блокировать его или изменять.

Говоря о блокировке, имеется в виду влияние государства на определенный интернет-контент. «При зашифрованном соединении с сайтом, например с YouTube, оператор видит только то, что вы посещаете YouTube, но он не видит, какое именно видео вы смотрите. Поэтому приходится условно из-за одного «француза» блокировать весь YouTube. При сертификате (безопасности) оператор будет видеть, какие именно видео вы хотите смотреть, и будет точечно блокировать их», — разъясняет «Фергане» президент Центра анализа и расследования кибератак Олжас Сатиев.

Таким образом, власти могут регулировать интернет-трафик пользователей, блокируя весь сайт или внедряя сертификат безопасности, и тогда блокировка будет точечной. Условным «французом» может оказаться не только живущий во Франции лидер признанного в Казахстане экстремистским движения ДВК Мухтар Аблязов, но и другие личности, критикующие власть, даже внутри страны. Другими словами, власть может изолировать казахстанцев от тех, в ком увидит угрозу режиму и чей контент считает противоправным.

Другие эксперты допускают, что через MITM можно менять содержание сообщений. Допустим, человек, неугодный власти, отправил безобидное сообщение, третья сторона видоизменяет его содержание, и на следующий день автор сообщения попадает в РОВД якобы за призывы экстремистского толка.

Ловушка с сертификатами

Блокировка и возможное изменение трафика — это два тревожных признака. Другой минус — предоставление доступа к личным данным пользователей. После установки корневого сертификата так называемого корневого центра сертификации компьютер начнет доверять и другим сертификатам от данного центра. Опасность в том, что центр сертификации может выдать сертификат на целый сайт, где пользователи вводят логин и пароль, ведь один из самых простых способов хищения данных — создание копии подобных ресурсов.

Допустим, вы увидели знакомый интерфейс сайта, зашли, не замечая разницы в одной букве в адресе, и вбили там свой логин и пароль. После этого доступ к вашим данным могут получить мошенники. В качестве свежего примера можно вспомнить недавнюю ситуацию с Halyk Bank. Сайт, который использовался злоумышленниками для атаки на пользователей Halyk Bank, размещался по адресу homeybank.com. Как видим, он очень похож на адрес официального сайта банка homebank.kz. В итоге более 100 человек перешли по фишинговой ссылке и заполнили поля для ввода личных данных.

Скриншот, демонстрирующий отсутствие доверия к сертификату

Таким образом, всякими «дочерними» сертификатами третья сторона может подсунуть псевдосайт и заманить в ловушку. Ведь MITM, по характеристике айтишников, преимущественно создан именно для перехвата и прослушивания конфиденциальных данных.

Я больше доверяю хакерам

Население, судя по гневным комментариям, больше опасается «хакеров» в лице государства, нежели финансовых мошенников. Как уже сказано выше, с помощью нацсертификата государство может стать третьей стороной по методу man in the middle. У представителей власти (скорее всего, спецслужб) появится полный доступ к личным данных казахстанских пользователей интернета, а также к их финансам. И не исключено, что личную информацию могут использовать для шантажа.

Известный казахстанский бизнесмен Маргулан Сейсембай, считающийся в определенных кругах лидером общественного мнения, замечает, что государство взяло граждан «под колпак». «Сделан самый большой шаг в сторону тоталитаризма. Я больше доверяю хакерам, от которых якобы хотят меня защитить. Их цели мне хотя бы понятны, и у меня против них есть хоть какие-то инструменты. А здесь мы попадаем в полную зависимость от чиновников. Мое мнение: в стране, где нет демократии и защиты прав человека, любая инициатива по ограничению интернета есть удушение остатков свободы», — написал Сейсембай на своей странице в Facebook.

Еще одна опасность для интернет-пользователей может возникнуть, если взломают сам национальный сертификат. Президент Интернет-ассоциации Казахстана Шавкат Сабиров в интервью Тengrinews.kz предостерег, что если по какой-либо причине этот сертификат будет украден или взломан, то злоумышленникам достанется абсолютно вся информация о пользователях и данных, которые его используют.

Сабиров также предупредил, что если сертификат все же установят, то Казахстан может остаться без защиты, так как злоумышленники получат данные всех пользователей, включая личную переписку и банковскую тайну. «Именно поэтому внедрение сертификатов было отложено. Это действительно настоящий "колпак", только очень дырявый. Когда вы устанавливаете сертификат безопасности, то вы оказываете полное доверие этому сертификату. Это значит, что вся информация становится открытой и доступной для того, кто владеет этим сертификатом. Включая вашу банковскую информацию, пароли, личную переписку, фото и видео», — напомнил эксперт.

Впрочем, другие специалисты заверяют, что взломать сертификат безопасности практически невозможно. Они также считают, что это бессмысленно, поскольку на его дешифровку уйдут годы, за которые срок службы сертификата может просто закончиться.

«Если сертификат все-таки попадет к злоумышленникам, то они могут получить доступ только к тем данным, которые им удастся перехватить на каналах связи, до замены корневого сертификата. Другими словами, злоумышленники должны находиться на крупном узле связи магистрального оператора связи, чтоб получить возможность перехвата интернет-трафика», — заверяет заместитель председателя Комитета по информационной безопасности РК Руслан Абдикаликов.

Глядя на соседей

Различные способы регулирования Всемирной сети обсуждаются в мире не первый год. В 2012-м в Дубае страны — участницы Всемирной конференции по международной электросвязи рассматривали возможности для более активного развития интернета. На этом мероприятии государства разделились на два лагеря. Одни, включая Россию, Китай, большинство арабских и африканских стран, подписали документ, в котором был пункт, предусматривающий право властей на блокировку спама. Кроме того, коалиция из стран, где были Россия и Китай, внесла редакцию регламента, которая предусматривала передачу контроля над Сетью правительствам, наделяя их правом регулировать доступ к сайтам, присваивать, изымать и распределять IP-адреса и доменные имена.

Впрочем, этот документ не приняли. Другая сторона, включавшая европейские страны и США, отказались подписывать поправку про спам, посчитав, что правительства смогут использовать ее для цензуры, признав спамом любой неугодный им контент. Казахстан ожидаемо оказался в том же лагере, где были Россия и Китай.

К слову, в КНР уже более десятка лет действует закрытый интернет — проект «Золотой щит», неофициально получивший название «великий китайский брандмауэр». Он создан Коммунистической партией Китая и ограничивает веб-трафик, подвергая цензуре доступ общественности к информации с зарубежных сайтов.

Как рассказала корреспонденту «Ферганы» живущая в Китае казахстанка, сейчас в Поднебесной заблокированы практически все иностранные социальные сети. Попасть в них можно, только используя VPN. При этом есть доступ к таким сайтам, как LinkedIn.com, yandex.ru, vk.com (с конца 2018 года). «Сами китайцы пользуются локальными соцсетями, такими как WeChat, Weibo (аналог Facebook), Уouku (аналог YouTube). Facebook китайцы пользуются, но в основном те, у кого есть иностранные друзья или те, кто хочет изучать иностранные языки», — описывает ситуацию казахстанка. Она отметила также, что в КНР закрыт доступ к оппозиционной информации. Без VPN местные жители не смогут прочитать и статьи зарубежных СМИ о властях Китая.

Судя по последним тенденциям в вопросе регулирования интернета, казахстанское правительство не прочь пойти по китайскому пути.

Другой сосед Казахстана — Россия — в этом году решила ужесточить регулирование внутри страны созданием так называемого «суверенного интернета» — внутренней Сети, призванной функционировать независимо от глобальной. Законопроект породил сравнения с «великим файрволом» в Китае. И в ситуации, когда два могущественных соседа решили построить у себя виртуальный железный занавес, Казахстан, видимо, не намерен сидеть сложа руки.

Контроль, ограничение и блокировка — основной алгоритм действий казахстанский властей в последние годы в отношении своих граждан. Если вспомнить только самые последние примеры, то можно отметить, как в 2018 году вышел приказ председателя КНБ, суть которого состояла в необходимости оградить абонентов связи от конкретных нежелательных источников информации.

В течение прошлого года казахстанцев «гнали» в офисы сотовых операторов для регистрации своих сотовых телефонов, пригрозив, что незарегистрированным абонентам с 1 января 2019 года услуги связи оказываться не будут.

И сейчас похожим методом «сделайте, иначе...» гражданам республики навязывают установку сомнительного сертификата. По одной из версий, поводом для активации подобного курса стала недавняя масштабная утечка персональных данных 11 миллионов жителей Казахстана. Спустя несколько недель после этого сотовые операторы стали настойчиво атаковать абонентов, предупреждая, что при отсутствии сертификата безопасности у них могут возникнуть проблемы с доступом к интернет-ресурсам. Юристы и активисты восприняли подобные SMS критически. По их мнению, ограничение доступа к информации, не признанной судом запрещенной, является нарушением прав абонентов. Некоторые юристы уже подали в суд на всех операторов связи, которые рассылали сообщения с призывом установить сертификат.

При этом сами чиновники не спешат устанавливать его. Тот же министр цифровизации еще не сделал этого, сообщив, что ему пока не пришло СМС от оператора. Раз разработчики сертификата сами не горят желанием начать с себя и показать пример, то населению это и подавно не нужно. Специалисты в сфере IT-технологии также настроены скептически.

А что будет, если его не установить?

Как объясняют эксперты, без сертификата браузеры будут показывать сообщения о небезопасности соединения. И если в таком случае нажать на всплывающее окно «Все равно продолжить», то результат будет тот же самый — трафик попадет в руки третьей стороны. Если сертификат установить, то всплывающего предупреждения не будет. В этом вся разница. В таком случае пользователи массово перейдут к использованию VPN или к браузеру Tor, хотя есть мнение, что при установке сертификата зашифровать трафик не получится, особенно при посещении казахстанских сайтов. Кроме того, власти могут попытаться блокировать VPN.

Эта затея властей, как и в случае с регистрацией мобильников, уже стала провальной, и поэтому единственным способом ее реализации остается (пока) добровольное принуждение. Однако не стоит забывать, что любые ограничения в Сети могут привести к социальному напряжению, и это спровоцирует выступления даже аполитичной молодежи, как это уже бывало нынешней весной в Алма-Ате и столице.

Багдат Асылбек
Читайте также