В Казахстане операторы связи попросили абонентов установить специальный сертификат безопасности на все устройства с выходом в интернет. Корневой сертификат потенциально открывает спецслужбам доступ ко всему трафику, в том числе зашифрованному, даже к CVC-коду банковской карты.
Об этом сообщает местное издание Tengri News. Согласно сообщениям операторов, сертификат защитит абонентов «от хакерских атак и просмотра противоправного контента». «Нас попросили уполномоченные органы уведомлять абонентов Нур-Султана о необходимости установить сертификат безопасности», – рассказал руководитель службы по связям с общественностью «Tele2 Казахстан» Олжас Бибанов. По его словам, просьба касается лишь жителей столицы. Уведомления об установке сертификата появились и на сайтах других операторов. Согласно сообщениям Kcell и Activ, сертификат был внедрен из-за участившихся случаев хищения персональных данных казахстанцев и кражи денег с их банковских карт.
Операторы подчеркивают, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в Интернет – мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS. Отсутствие сертификата безопасности на устройстве может привести к проблемам с доступом к отдельным интернет-ресурсам.
Издание ZDNet пишет, что требование установить сертификат безопасности связано с внедрением государственной системы перехвата HTTPS-трафика в Казахстане. Власти планировали внедрить перехват HTTPS-трафика еще в 2016 году, но отложили это из-за судебных исков. Эта новость уже тогда вызвала обеспокоенность российских экспертов. В России некоторые интернет-провайдеры применяют похожую технологию для обеспечения возможности блокировки отдельных страниц на сайтах с HTTPS, вместо полной их блокировки (в таких случаях требуется внести конкретный подставной сертификат в «доверенные»).
«На стороне пользователя больше нельзя ни проверить валидность того или иного сертификата, предъявляемого веб-сайтом или каким-либо другим сервисом, ни контролировать прочие параметры безопасности, связанные с удалённым узлом. Распространённой на практике проблемой перехватывающих узлов является их отказ от валидации полученных сертификатов. В таком случае оказывается, что пользовательское ПО принудительно «доверяет всем и вся», что открывает новые перспективы для фишинга», – объяснял автор dxdt.ru Александр Венедюхин. По его словам, перестанет работать двусторонняя аутентификация, использующая клиентские сертификаты. Не смогут установить соединение с серверами и приложения, использующие технологию Key Pinning. «В целом, можно говорить, что подобный перехват TLS уничтожает инфраструктуру обеспечения безопасности, сложившуюся вокруг данного протокола в глобальном Интернете», – подытожил эксперт.
После появившихся спустя три года новостей, вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов объяснил, что казахстанцы все-таки не обязаны устанавливать на свои электронные устройства новый сертификат безопасности. «Вы знаете, что в рамках хакерских атак, когда вас направляют с одного сайта на другой сайт, где возможна утечка персональных данных. Это те же самые сведения о ваших платежных картах и всех транзакциях, которые вы проводите. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать», – заключил он. При этом, сославшись на то, что он не технический специалист, Оспанов отказался комментировать вопрос, будет ли данный сертификат препятствовать работе VPN. Он сказал, что у него нет проблем с интернетом. ««На сегодня мне сообщение еще не пришло. Как придет, я обязательно установлю себе и своим детям», – пообещал чиновник.
Президент Интернет-ассоциации Казахстана Шавкат Сабиров напомнил, что поправки в закон не обсуждались с обществом. «Это действительно настоящий "колпак", только очень дырявый. Когда вы устанавливаете сертификат безопасности, то вы оказываете полное доверие этому сертификату. Это значит, что вся информация становится открытой и доступной для того, кто владеет этим сертификатом. Включая вашу банковскую информацию, пароли, личную переписку, фото и видео», – рассказал эксперт. Он отметил, что компании, которые предоставляют услуги в Интернете, вместе с сертификатом безопасности должны брать ответственность на себя за его использование.
