Заявления о том, что так называемый «сертификат безопасности» Qaznet Trust Network отныне запрещен в их браузерах, все три компании — Apple, Alphabet Inc. (Google) и Mozilla — сделали практически одновременно.
«Пользователи во всем мире доверяют Firefox, так как мы защищаем их данные в процессе навигации в Интернете, особенно когда речь идет об их защите от подобных атак, которые ставят под угрозу их онлайн-безопасность. Мы не хотели бы прибегать к подобным действиям, однако защита пользователей и целостность Интернета — это базовый принцип существования Firefox», — заявил Маршалл Эрвин, старший директор отдела доверия и безопасности в Mozilla.
В еще более однозначном ключе высказался Парис Табриз, старший директор по технологиям браузера Chrome. «Мы не потерпим попытки со стороны любых организаций, государственных или иных, скомпрометировать данные пользователей Chrome. Мы приняли защитные меры от этой конкретной проблемы и всегда будем принимать меры для защиты наших пользователей по всему миру», — сказал он.
Мы приняли защитные меры от этой конкретной проблемы и всегда будем принимать меры для защиты наших пользователей по всему миру.
«Apple считает, что неприкосновенность частной жизни — фундаментальное право человека... Мы предприняли действия с тем, чтобы Safari не доверял сертификату и наши пользователи были защищены от данной проблемы», — заявили в этой компании.
По сообщениям, все три браузера — Firefox, Chrome и Safari, наиболее используемые в мире для навигации в Интернете, — будут блокировать сертификат еще на стадии загрузки, выдавая ошибку соединения. Более того, заявили в компаниях, с введением новых мер сертификат перестанет функционировать и в том случае, если он уже установлен. Как сообщили представители разработчиков, решения уже внедрены и пользователям не нужно предпринимать никаких дополнительных действий.
В комментарии Азаттыку эксперт проекта Censored Planet Мичиганского университета профессор компьютерных наук Эрик Вустроу назвал «относительно редкой» практику подобного единогласного запрета сертификата.
— Но еще более редкой со стороны правительства одной страны была попытка Казахстана... Действия браузеров посылают мощный сигнал Казахстану и другим странам, которые могут попытаться перехватывать HTTPS-трафик в дальнейшем. Основные браузеры выступили единым фронтом. Это должно отбить охоту у других стран атаковать подобным образом HTTPS в будущем, — написал он.
По словам Вустроу, его не удивит, «если другие браузеры последуют этому примеру».
ЗАЯВЛЕНИЯ И ФАКТЫ
Большинство авторитетных западных источников, в том числе Mozilla и Google, в своих оценках сертификата как технологии, «подрывающей сохранность данных пользователей», ссылаются на исследование, проведенное Вустроу и его коллегами из Мичиганского университета и опубликованное 23 июля.
Специалисты проекта Censored Planet, проанализировав работу Qaznet’а, пришли к выводу, что он не является сертификатом безопасности, как на том настаивают казахстанские власти, а выступает «инструментом перехвата» зашифрованного интернет-трафика, идущего через безопасное соединение https, и «шпионажа» за пользователями. При этом, заявили аналитики, сертификат затрагивает работу лишь ограниченного количества ресурсов (эксперты определили 37 из них), в том числе крупнейших социальных сетей.
ЧИТАЙТЕ ТАКЖЕ: Сюрпризы и секреты сертификата QaznetЭксперты в области цифровой безопасности выступали с заявлениями, что в основе Qaznet лежит метод кибератаки «человек посередине» — встраивание «посредника» между пользователем и сайтом, с помощью которого автор сертификата может расшифровывать, фильтровать, подменять, корректировать передаваемые данные, в том числе пароли и личную переписку, а также прятать или редактировать запрашиваемый контент без ведома пользователей.
Сам Вустроу в интервью Азаттыку так отзывался о сертификате:
— Он не защищает от хакеров, онлайн-атак, как об этом говорят власти. Вместо этого он позволяет им видеть ваши данные, наблюдать за вашим трафиком и потенциально изменять онлайн-информацию.
Казахстанские власти поступательно опровергали критику в адрес сертификата, называя ее «слухами». Различные ведомства делали заявления с целью успокоить общественность. В частности, Генпрокуратура напоминала гражданам, что выступает гарантом сохранности их личных данных и в этом качестве не допустит вмешательства в частную жизнь казахстанцев.
Власти настаивали, что сертификат направлен исключительно на защиту пользователей от разного рода онлайн-мошенничеств и других опасностей, которые могут подстерегать юзеров в Интернете.
ЧИТАЙТЕ ТАКЖЕ: «Не допустить успеха этой затеи». Серьезный разговор о сертификате QaznetИнформация, исходящая от официальных ведомств и интернет-провайдеров, как отмечали эксперты, часто носила противоречивый характер. Так, первые называли установку сертификата добровольной, вторые сообщали, что в случае его отсутствия у пользователей могут возникнуть трудности с доступом в Интернет.
Проблемы с доступом, по сообщениям некоторых граждан, у них действительно возникали. В стране прошло несколько акций протеста против внедрения сертификата. Был подан иск на оператора связи за разосланные сообщения с призывом установить Qaznet.
Относительно инициативы негативно высказывались и ряд правозащитных организаций, в том числе международных. Они выразили опасение, что это новая попытка «ужесточить цензуру» и «усилить возможности для слежки» в Казахстане.
«УСПЕШНОЕ ТЕСТИРОВАНИЕ»
Казахстанские власти пока никак официально не прокомментировали ни сообщения о блокировке сертификата, ни сопровождавшие их заявления мировых интернет-компаний.
Последние официальные комментарии по этому поводу появились 6–7 августа. Тогда комитет национальной безопасности заявил, что внедрение сертификата сворачивается, пользователи могут удалить его со своих устройств, а весь процесс был «тестированием» неких мер по защите страны от «киберугроз». Одновременно президент Касым-Жомарт Токаев в Twitter’е сообщил, что всё это проводилось по его поручению с целью защиты от «атак извне». «Неудобств для пользователей нет», — написал он, а все опасения назвал «не имеющими оснований».
На сайте КНБ позднее появилась ссылка на инструкции по удалению сертификата. Комментируя произошедшее, некоторые казахстанские эксперты и наблюдатели тогда напоминали, что использование данной технологии прописано в отечественном законе «О связи». Они высказывали мнение, что без изменения законодательства попытки запустить подобное технологическое решение могут быть предприняты и в будущем.
— Они говорят, что это «тест», но я так не думаю. Если бы это было тестированием, то население страны предупредили бы об этом во избежание шумихи. Во-вторых, в стране в 2015 году приняли закон «О связи». В нем говорится о сертификате. По-моему, необходимо внести поправки в закон и исключить это. В заявлении пресс-службы КНБ говорится, что применение сертификата безопасности в дальнейшем будет осуществляться при возникновении угрозы. Мы должны приложить усилия для того, чтобы поставить точку в этом вопросе, — в частности, заявляла в интервью Азаттыку выходившая на пикет против внедрения сертификата активистка Бэлла Орынбетова.
Большинство специалистов солидарны в своих рекомендациях казахстанским пользователям полностью удалить сертификат. Как сообщил Азаттыку Эрик Вустроу из Censored Planet, его команда не наблюдала активности со стороны сертификата с 7 августа.
— Хотя правительство заявляет, что они прекратили использовать сертификат, пользователи, уже установившие Qaznet, всё еще могут находиться под угрозой, если власти вновь предпримут попытку задействовать его в будущем. Браузеры своим однозначным запретом предотвратили эту возможность даже для тех пользователей, которые уже установили сертификат, — сказал он.
Мы должны приложить усилия для того, чтобы поставить точку в этом вопросе.
В компании Mozilla на запросы СМИ также ответили, что осведомлены об официальной приостановке работ по внедрению сертификата, и добавили, что меры против него носили превентивный характер. В компании заявили, что продолжат наблюдать за деятельностью властей страны. «Если правительство Казахстана будет заставлять пользователей устанавливать новый сертификат или возобновит перехват трафика, мы пойдем на схожие меры, чтобы защитить безопасность и сохранность данных пользователей Firefox», — заявил Маршалл Эрвин.
Казахстанское правительство на протяжении нескольких лет выделяет многомиллиардные суммы на обеспечение того, что называет мерами по борьбе с киберугрозами. В 2018 году силовые органы получили право блокировать Интернет и средства связи при чрезвычайных ситуациях, в том числе «социального характера».
Также в течение около двух лет в Казахстане периодически наблюдаются перебои с доступом к таким популярным сайтам, как YouTube, Facebook и Instagram, и мессенджерам. В отчете международной правозащитной организации Freedom House с оценкой уровня свободы Интернета в мире (Freedom on the Net 2018) Казахстан занимает 46-е место среди 65 стран.
ЧИТАЙТЕ ТАКЖЕ: «Кибератака на собственную страну». Что происходило с Интернетом 9 мая?