Мониторингом сертификата Qaznet, в частности, занимаются эксперты из исследовательской группы Censored Planet при Мичиганском университете в США, уже тестировавшие сертификат и опубликовавшие исследование относительно его функций, к которым они причислили вторжение в обмен данными между пользователями и веб-ресурсами, перехват трафика, модификацию контента и слежку. Профессор компьютерных наук Эрик Вустроу из Censored Planet утверждает, что работа над технологией в Казахстане продолжается.
Азаттык: Официально сертификат безопасности Qaznet Trust Network объясняют намерением защитить граждан Казахстана от киберугроз. По вашим наблюдениям, может ли этот сертификат выполнять такую функцию?
Эрик Вустроу: Я думаю, нет, данный сертификат не может защитить от такого вида опасностей. Если взглянуть на список сайтов, который он затрагивает, становится ясно, что его целью не является защита от «фишинга» (вид интернет-мошенничества. — Ред.), вредоносного программного обеспечения, других видов угроз. Он направлен против небольшого количества соцсетей и сайтов. Большинство — это очень крупные компании, у которых уже есть свои методы защиты.
Азаттык: Вы наблюдаете за работой этого сертификата. Каковы ваши последние выводы?
Эрик Вустроу: За последнюю неделю или две его то включали, то выключали. Выглядит, как будто что-то разрабатывают и тестируют, работает ли и насколько эффективно. Всю страну пока не охватили, но, кто знает, что случится в будущем.
Всю страну пока не охватили, но, кто знает, что случится в будущем.
Азаттык: Насколько дорого и сложно создать такую систему, которая может вторгаться в коммуникации между сайтами и пользователями? Что необходимо было предпринять, чтобы ее разработать?
Эрик Вустроу: Чтобы осуществить подобное, необходим промежуточный узел (middlebox) где-то в Cети. И чем большего охвата ты хочешь достичь, тем больше узлов требуется по стране. Сейчас мы наблюдаем только один такой узел, поэтому действие сертификата ощущает лишь небольшая часть людей. По нашим данным, это около пяти процентов пользователей. Чтобы охватить всю страну, необходимы в мощности, в 20 раз превышающие те, что развернуты сейчас. Каждый узел не слишком дорогой — несколько тысяч долларов. Я не могу точно сказать относительно этого конкретного девайса. Основные затраты — это инженерные работы. Но самая дорогостоящая часть — заставить пользователей установить сертификат в их браузеры.
Азаттык: Это своего рода инновация или уже есть примеры других стран, пытавшихся внедрить что-то подобное?
Эрик Вустроу: Технология известна давно. Новое здесь то, что Казахстан, на моей памяти, первая страна, пытающаяся внедрить ее на всей территории и на длительное время. До этого Казахстан уже обращался к профильным организациям с тем, чтобы включить сертификат в браузеры, не прося пользователей установить его, но получил отказ.
Азаттык: Вы имеете в виду 2015 год, когда Казахстану отказали разработчики Mozilla?
Эрик Вустроу: Именно. Им отказали в 2015 году, потому что это был беспрецедентный случай. До этого такого не происходило, чтобы отдельно взятая страна позволила такое. Такой перехват иногда происходит в масштабах компаний. Но в этих случаях компания владеет компьютерами, настройки в которых модифицирует. В данном случае владельцы компьютеров — граждане Казахстана, а власти пытаются заставить их установить сертификат.
Азаттык: Могут ли технологические компании, такие как Mozilla, Google или Facebook, как-то повлиять на процесс? Например, не разрешить или заблокировать такую возможность?
Эрик Вустроу: К сожалению, нет. Это основной протокол, который используем мы, браузеры для шифрования и защиты обмена данными между юзерами и компьютерами. Подрыв этой схемы в том виде, как это сделал Казахстан, не позволяет работать ни одному другому решению. Казахстан сможет раскодировать, сделать бесполезным любой тип шифрования, который вы попытаетесь создать на основе этого канала. Это очень большой шаг в очень опасном направлении.
Это очень большой шаг в очень опасном направлении.
Азаттык: Сможет ли владелец сертификата целенаправленно блокировать контент, например производимый отдельным человеком даже за пределами страны — посты, видео, эфиры?
Эрик Вустроу: Это однозначно возможно — заблокировать определенную страницу для пользователей в Казахстане, даже если ее хостинг находится в другой стране. Отдельный контент могут прятать от аудитории даже без ее ведома.
Азаттык: Как вы думаете, к чему это всё может в конечном итоге привести?
Эрик Вустроу: Я подозреваю, что казахстанские власти настроены серьезно. Но я все-таки надеюсь, что либо они в итоге поймут, что это ужасная идея, либо просто не осилят технически. Если значительное число людей не установит сертификат, мне кажется, это будет достаточным сигналом к тому, что продолжать не стоит. Я думаю, что Казахстан решился на опасный прецедент, за которым внимательно наблюдают в других странах.
Мы хотели бы сделать всё возможное, чтобы не допустить успеха этой затеи. Если сертификат установлен, вы не можете себя защитить ни от утечек данных, ни от того, что правительство сможет менять просматриваемый вами контент. Я и мои коллеги работаем над механизмами обхода, стремимся построить инфраструктуру, чтобы помочь пользователям в подобных ситуациях в будущем. Думаю, где-то через год у нас будет такая технология.
Если значительное число людей не установит сертификат, мне кажется, это будет достаточным сигналом к тому, что продолжать не стоит.
Азаттык: В случае если человек установил сертификат, возможно ли без последствий от него избавиться?
Эрик Вустроу: Его возможно удалить. Необходимо убрать его из списка доверенных сертификатов в вашем браузере, затем деинсталлировать. Разумеется, все данные, которые вы отправили, пока сертификат еще действовал, подвержены риску, в том числе ваши пароли, логины. К ним у хозяев сертификата сохранится доступ.
Азаттык: Заметит ли установивший сертификат пользователь какую-то разницу? Что-то подозрительное?
Эрик Вустроу: Если юзер установит корневой сертификат, момент атаки пройдет для него незамеченным. Среди разработчиков браузеров велись дискуссии о том, что, возможно, необходимо вводить какие-то оповещения теперь, когда пользователи вручную устанавливают корневые сертификаты. Что сейчас происходит в этой сфере, появятся ли оповещения в будущем, я не могу сказать. По всей вероятности, никаких изменений не внесут.
Азаттык: Какой совет вы можете дать в сложившейся ситуации казахстанцам?
Эрик Вустроу: Я думаю, что установка этого сертификата может повлечь за собой больше негативных последствий, чем позитивных. Он не защищает от хакеров, онлайн-атак, как об этом говорят власти. Вместо этого он позволяет им видеть ваши данные, наблюдать за вашим трафиком и потенциально изменять онлайн-информацию. Я надеюсь, что в перспективе весомое число пользователей откажется от установки сертификата и власти откажутся от этой идеи и попыток охватить всю страну.
Власти Казахстана, в том числе министр цифрового развития, оборонной и аэрокосмической промышленности Аскар Жумагалиев, настаивают, что цель технологии — «защитить» от противоправного контента и киберугроз, и отвергают предположения, что сертификат — инструмент «слежки» за пользователями и контроля над Интернетом. Нововведение, в частности, прокомментировала генеральная прокуратура, заявившая, что выступает гарантом обеспечения конституционных прав казахстанцев и защиты неприкосновенности их данных и «будет пресекать» попытки противоправного использования сертификата.
Введение Qaznet Trust Network к настоящему моменту раскритиковало множество авторитетных правозащитных организаций и экспертов в области кибербезопасности внутри страны и за рубежом.
ЧИТАЙТЕ ТАКЖЕ: Сюрпризы и секреты сертификата Qaznet