Министр цифрового развития, оборонной и аэрокосмической промышленности Казахстана Аскар Жумагалиев на минувшей неделе вновь говорил о сертификате безопасности Qaznet Trust Network. Установить его казахстанских пользователей массово призвали операторы связи. Они ссылались на случаи хищения персональных данных, денег с банковских счетов и называли сертификат инструментом защиты.
Смотрите также: «Многогранный» сертификат Qaznet, или Министр против экспертов
Your browser doesn’t support HTML5
Жумагалиев описал сертификат как надежный и для убедительности продемонстрировал собственный смартфон с установленным Qaznet’ом. Министр вновь объяснил его стремлением защитить пользователей от киберугроз, сайты — от возможных атак, детей — от нежелательного контента.
Казахстанские власти настаивают, что окончательное решение об установке сертификата остается за пользователями. Одновременно поступают сообщения, что для ряда граждан, отказавшихся от установки Qaznet’а, оказываются недоступными многие популярные соцсети и почтовые сервисы.
Подавляющее число независимых экспертов в стране и за рубежом убеждены, что технология, «упакованная» внутри сертификата, позволяет перехватывать данные, циркулирующие между интернет-пользователями и веб-ресурсами. Специалисты заявляют, что подобное усилие со стороны правительства отдельной страны обойти встроенные в девайсы корневые сертификаты — редкий случай в мировой практике.
«ЧЕЛОВЕК ПОСЕРЕДИНЕ»
Исследовательская группа Censored Planet при Мичиганском университете, которая занимается отслеживанием сбоев в работе Интернета в мире, посвятила Qaznet’у обширное исследование.
Группа заявляет, что провела серию экспериментов для лучшего понимания нового казахстанского корневого сертификата. Она называет его «системой по перехвату зашифрованного https-трафика».
Международной общественности следует внимательно отслеживать эту тревожную практику, которая идет вразрез с десятилетиями прогресса киберсообщества.
Группа заявила, что проанализировала около десятка тысяч доменов, включая популярные социальные сети и сайт YouTube, и пришла к заключению, что «подлинной целью [сертификата] является наблюдение за пользователями». Авторы исследования утверждают, что на части Казахстана, по их данным, уже происходит перехват трафика. Они рекомендуют пользователям воздерживаться от установки сторонних корневых сертификатов, в частности изданных непроверенными источниками.
«Международной общественности следует внимательно отслеживать эту тревожную практику, которая идет вразрез с десятилетиями прогресса киберсообщества в обеспечении защищенности сайтов надежным сквозным шифрованием», — заключают авторы исследования из Censored Planet.
С тем, что казахстанским пользователям стоит внимательно обдумать свои действия, согласен и Альп Токер, исполнительный директор группы NetBlocks, занимающейся мониторингом свободы Интернета в мире.
— Потребители должны знать, на что идут, так как изученные нами страницы интернет-провайдеров в Казахстане, к сожалению, не точно описывают то, что делают сертификаты QazNet, — утверждает он.
Традиционно сертификаты безопасности используются для шифрования интернет-соединения. В адресной строке браузера его можно распознать по появлению буквы «s» (от англ. secure, или «безопасный». — Ред.): https вместо обычного http. Она свидетельствует, что риск «прослушки» или подмены при циркуляции данных между пользователем и веб-ресурсом минимальный.
В большинстве устройств и браузеров — сертификатов десятки. Они изданы авторитетными организациями, работу которых отслеживает мировое сообщество.
«Корневые сертификаты обычно издаются определенным рядом компаний, которые проверяют на прозрачность. Если техническое сообщество обнаружит хоть один случай неправомерного использования, например прослушивания или перехвата [данных между пользователем и] веб-сайтом, то этот сертификат будет внесён в черный список и компания может потерять миллионы долларов инвестиций в одночасье», — рассказывает Токер.
В качестве примера он приводит отдельные случаи, когда компании в разных странах теряли репутацию в связи с выявленными злоупотреблениями.
Токер называет корневые сертификаты «мастер-ключами» в сфере безопасности интернет-трафика. «Практически все другие механизмы обеспечения безопасности на смартфонах и компьютерах выстроены вокруг них. Современная практика… построена на идее, что ни один пользователь не станет добровольно их заменять», — говорит он.
Со слов Токера, установленный потребителями добровольно сторонний корневой сертификат, в данном случае Qaznet, обойдет механизмы проверки.
— По сути, пользователь соглашается предоставить [третьему лицу] полный доступ к своему интернет-соединению, включая историю переписки в чате и электронной почте, а также возможность просматривать учетные записи в соцсетях, — говорит эксперт.
По сути, пользователь соглашается предоставить третьему лицу полный доступ к своему интернет-соединению, включая историю переписки в чате и электронной почте.
Как указывают многие специалисты, этот метод получил название «атака посредника», или MitM (man in the middle, или «человек посередине» в переводе с английского. — Ред.). Он позволяет третьим лицам, имеющим доступ к сертификату и трафику, получить личные данные пользователей, в частности просматривать переписку и видеть пароли. Невиртуальным примером такого перехвата информации может служить, например, досмотр корреспонденции, то есть банальное вскрытие конверта не адресатом.
По его словам, производители компьютеров и других девайсов не ожидали, «что правительство [какой-то страны] может [вдруг] принудить своих граждан установить сторонний корневой сертификат».
— К этой идее не относились всерьез до недавнего времени, — говорит Токер и добавляет, что опция существует, но предназначена для особых случаев: облегчения разработки программного обеспечения или использования в отношении лиц, чьи действия нужно отслеживать, например заключённых тюрем.
«Она никогда не была предназначена для обычных пользователей», — говорит Токер.
ПОПЫТКА НОМЕР ДВА?
По словам экспертов, это не первая попытка властей получить доступ к зашифрованной части интернет-трафика. В 2015 году правительство Казахстана уже пыталось обязать пользователей установить государственный сертификат безопасности. Тогда это решение было оспорено в судах, и его не привели в исполнение.
Установить сертификат безопасности операторы связи призывали казахстанцев также в марте 2019 года. Как утверждает веб-ресурс Factcheck.kz, тогда это прошло незамеченным для общественности, поскольку свелось к сообщениям на сайтах провайдеров. Аналитики отмечают, что последней попытке внедрения сертификата предшествовал уход с казахстанского рынка в конце прошлого года и в мае текущего года ряда зарубежных сотовых операторов, а также покупка национальным оператором долей в совместных предприятиях.
Представитель частного казахстанского центра реагирования на компьютерные инциденты Арман Абдрасилов говорит, что у общественности имеется целый ряд вопросов, на которые власти пока не дали внятного ответа. В частности, отмечает он, правила пользования Qaznet Trust Network не содержат подробной информации о том, как этот сертификат будет использоваться, и не описывают порядок его применения.
По словам специалиста, Qaznet пытаются внедрить на фоне «широких возможностей у обладателя данного сертификата» и «при отсутствии исчерпывающей нормативной базы, в которой был бы указан конкретный владелец и ответственное лицо».
— Нам, как техническим экспертам, хотелось бы знать, что это за сертификат, кто за него отвечает, как он будет выпускаться, при каких условиях, в какой организации и где он будет храниться, — говорит Абдрасилов. Ясности относительно правообладателя сертификата пока также нет, считает он.
После появления в июне призывов к пользователям установить сертификат ряд СМИ сообщали, что домен сайта Qca.kz, на котором размещены ссылки для скачивания, зарегистрирован на частное лицо — некоего Аскара Дюсекеева (Askar Dyussekeyev). Его адресом указан Дом министерств в столице. Позднее у домена сменилась регистрационная запись. Теперь его собственником указана организация «Национальный координационный центр информационной безопасности». Согласно сведениям из открытых источников, эта организация имеет отношение к государственной технической службе КНБ.
Смотрите также: Сертификат (без)опасности?
Your browser doesn’t support HTML5
Абдрасилов заявляет, что в теории бороться с киберугрозами при помощи сертификата можно. Он говорит о возможности «точечных блокировок», поскольку сертификат позволяет расшифровывать https-трафик, изучать его, вновь зашифровывать и отправлять по назначению.
«Его обладатель может запретить вам переходить на какие-либо сайты. Владелец сертификата, если он имеет доступ к трафику, потенциально может посмотреть, на какой ресурс вы заходите. Можно при желании блокировать, например, рекламу, — делится предположениями Абдрасилов. — Насколько я понимаю, это будет применяться для каких-то ресурсов, которые периодически [полностью] блокируются для того, чтобы блокировать запрещенный контент». По его словам, одним из примеров может быть ограничение доступа лишь к части контента на YouTube, а не всего сайта.
РЕАКЦИЯ
Сколько граждан уже установили Qaznet неизвестно. В Сети появляются инструкции по удалению этого корневого сертификата, если пользователь установил его, но теперь сомневается в его надежности.
Между тем Qaznet вновь вывел Казахстан в центр негативного внимания мирового интернет-сообщества. Оно уже следило за ситуацией в стране после сообщений о массовых блокировках соцсетей и сайтов, в том числе масштабном инциденте 9 мая, а также 9 июня, о которых, в частности, подробно сообщала группа NetBlocks.
Смотрите также: Без Интернета, с задержаниями. Казахстан отметил 9 Мая
Your browser doesn’t support HTML5
На внедрение корневого сертификата среди прочих отреагировала международная прессозащитная организация Committee to Protect Journalists («Комитет по защите журналистов», или CPJ. — Ред.). Организация заявила о рисках ужесточения цензуры в Казахстане.
ЧИТАЙТЕ ТАКЖЕ: Атака «в масштабах государства». Сертификат как способ слежки?
Директор правозащитного отдела CPJ Кортни Радш отметила, что так называемая «мера безопасности» выглядит скорее как попытка правительства «усилить возможности для слежки за гражданами». Намерение властей «защитить население от опасного контента», заявила Радш, следует воспринимать с большой долей скептицизма в связи с «многолетним опытом» властей Казахстана в сфере тюремного заключения, цензуры и преследования журналистов.
Технологические амбиции правительства Казахстана явно выросли.
Издание MIT Technology Review одного из ведущих технологических вузов мира — Массачусетского технологического университета — утверждает, что упомянутая схема man-in-the-middle (MITM) не единственная мера казахстанских властей по ужесточению контроля в стране посредством Интернета. Казахстан, утверждают авторы статьи, «также является известным клиентом NSO Group, израильской компании, специализирующейся на продаже технологий взлома правительствам различных стран, в том числе диктаторским режимам, которые используют их для того, чтобы заставить молчать инакомыслящих».
Как пишет MIT Technology Review, технологии NSO Group, как правило, позволяют действовать выборочно. «Технологические амбиции правительства [Казахстана] явно выросли», — заключает издание.
В КОНТЕКСТЕ РЕАЛИЙ
В отчете международной правозащитной организации Freedom House об уровне свободы Интернета в мире за 2018 год Казахстан занимает 46-е место среди 65 стран. Freedom House относит его к числу стран, где «часто блокируют социальные сети и коммуникационные платформы».
Последние несколько лет казахстанские пользователи сообщают, что сталкиваются с регулярным отсутствием доступа к соцсетям и мессенджерам. Они обвиняют власти в блокировках и связывают их с выступлениями в Сети основателя запрещенного казахстанским судом и объявленного экстремистской организацией движения «Демократический выбор Казахстана». Мухтар Аблязов, проживающий за рубежом бывший банкир и критик казахстанских властей, которому на родине предъявлен ряд уголовных обвинений, периодически выступает с обращениями к гражданам в Интернете.
Масштабное внедрение новой технологии, которую власти объясняют стремлением обезопасить пользователей, происходит и в условиях значительного усиления протестных настроений на фоне политического транзита. В результате него власть перешла от правившего страной почти 30 лет экс-президента Нурсултана Назарбаева к Касым-Жомарту Токаеву. Назарбаев при этом сохранил широкие полномочия по управлению государством. Участники акций протеста ставили под сомнение легитимность прошедших 9 июня досрочных выборов и их итогов. Они требуют от властей уважать гражданские права и свободы и освободить политических заключенных. Граждан, выходящих на митинги, которые власти называют «незаконными», подвергают задержаниям, штрафам и арестам.
Многие международные организации в последнее время всё активнее критикуют власти Казахстана за подавление прав человека, гражданских свобод и инакомыслия. Власти отвергают все обвинения как беспочвенные.
ЧИТАЙТЕ ТАКЖЕ: «Кибератака на собственную страну». Что происходило с Интернетом 9 мая?