История сертификата берет начало в 2015 году, когда в столице разработали и утвердили подзаконные акты, относящиеся к внедрению так называемого «национального сертификата безопасности». Данная инициатива не была реализована, поскольку сертификат не прошел аудит WebTrust — организации в США, определяющей стандарты в области информационной безопасности. Тогда работу на время свернули, но это вызвало много критических мнений от простых пользователей и специалистов по кибербезопасности.
Людей не устраивала инициатива по двум причинам:
Во-первых, они считали, что правительство могло бы решать, какие сайты могут посещать пользователи, а какие нет, предоставляя или отзывая сертификаты у отдельных сайтов и даже отдельных страниц сайтов.
Во-вторых, многие боялись взлома национального сертификата. Если бы что-то случилось, мошенники смогли бы незаметно перехватывать сообщения и данные обычных пользователей при помощи атаки Man in the Middle (MITM).
Сейчас обсуждения вспыхнули с новой силой, в частности, из-за апрельских поправок в законе о связи. Согласно им, операторы мобильной связи обязаны предупредить пользователей о возможности установки сертификата, а также уведомить о возможных проблемах в случае отказа от установки. Но граждане сами вправе решать, устанавливать его или нет.
С 18 июля Kcell, Beeline и Tele2 начали рассылать сообщения абонентам с предложением установить сертификат Qaznet, пройдя на сайт. После установки сертификат получает приоритет в использовании во всех интернет-приложениях на телефоне, которые его используют: от браузера до социальных сетей.
Тема противоречива, а потому давайте с холодной головой разберемся, откуда возникла идея обезопасить интернет в Казахстане и почему она встретила столько критики от простых пользователей сети.
Сейчас адреса большинства сайтов начинаются с «https://». Так обозначается стандартный протокол передачи данных в интернете. Буква «s» в конце означает, что ваше соединение защищено (secured). Защищенный протокол позволяет убедиться в том, что перед вами настоящий сайт, а не его подделка и что ваши личные данные шифруются при общении с сайтом. Поисковики Google и Yandex отдают таким сайтам приоритет в поиске.
Конечно, нельзя быть до конца уверенным в том, что персональная информация о вас не попадет в плохие руки. Самый простой способ похитить данные — построить копию сайта и предложить пользователю ввести свой логин и пароль. Например, вы видите знакомый интерфейс банкинга, входите, не замечая разницы в две буквы в адресе сайта. В результате доступ к вашему паролю и логину получают мошенники. Обычно с такими фейковыми страницами неплохо борются сами браузеры: они предупреждают вас о нежелательности ввода данных. Но схема все еще остается рабочей. С такой ситуацией столкнулись неделю назад клиенты Halyk Bank.
Чаще всего данные похищаются более хитрым способом. Мошенники влезают в ваше общение с сайтом. Вы передаете свои данные серверу, тот беспрепятственно отвечает вам, и не распознает третью сторону, то есть «человека, находящегося посередине» (Man in the Middle).
Хакеры могут ловить ваше общение с сервером, например, когда вы находитесь в VK, сохраняют копию ваших сообщений, и передают их ВКонтакте от вашего имени. Они также получают все сообщения VK, адресованные вам, сохраняют копию у себя и перенаправляют вам от имени соцсети полученную информацию. Неважно, идет ли речь о переписке, прослушивании музыки — все ваши действия и реакция сайта проходит через злоумышленников. Далее, из всех собранных данных вычленяется полезная для хакеров информация.
Сертификаты выдаются специальными удостоверяющими центрами (Certification Authority). Эти центры имеют особое разрешение на выдачу сертификатов физическим и юридическим лицам по всему миру. Они выдаются небольшим количеством компаний вроде Comodo, Thawte, Symantec, GeotTrust и RapidSSL. Их честность неоспорима, они вне политики. Браузеры доверяют этим центрам и всем выданным ими сертификатам. Такие сертификаты с высоким знаком качества называются «корневыми».
Когда вы заходите на сайт, браузер автоматически запрашивает у сайта сертификат безопасности, проверяя его у центра сертификации. Тот отвечает: «да, мы выдавали сертификат организации, которой принадлежит интересующий вас сайт». Браузер также проверяет сам центр, выдавший сертификат. Если у центра легальный «корневой сертификат», то вся цепочка подтверждается, браузер и сайт обмениваются ключами безопасности. Они также «договариваются» о способе шифровании информации, пока вы не покинете сайт.
Данная процедура происходит в считаные доли секунд и называется «рукопожатием» (handshake). Она повторяется каждый раз, когда вы открываете новую страницу сайта.
Сертификат безопасности привязывается не к названию сайта, а к информации о сайте: его владельце, территории, тому, где находится сайт и так далее. Если третья сторона влезет в цепочку с копией сертификата, ее легко обнаружат. Центр сертификации ответит браузеру, что сертификат выдавался для другого сайта и обмен данных с мошенниками будет мгновенно приостановлен.
Национальный сертификат безопасности, который предлагают установить казахстанцам, не подтвержден международными центрами сертификации. Следовательно, его добровольно не примет ни один браузер. Именно по этой причине его надо устанавливать вручную. Даже если когда-нибудь национальный сертификат признает один из центров сертификации, нужно будет убедить владельцев сайтов использовать данный сертификат у себя. Пойдут ли на этот шаг мировые гиганты вроде Google и Facebook?
Дело даже не в том, что это новый сертификат от никому не известных казахстанских разработчиков. Дело в самой природе центров сертификации. Они не привязаны ни к одной стране, неподкупные и непредвзятые третейские судьи в мире интернета. В нашем случае сертификат разработан правительством одного государства. Он априори не нейтрален.
Провайдеры Казахстана установят оборудование для обеспечения безопасности сети на пути между пользователями и интернет-ресурсами. Это оборудование будет работать со всем входящим и исходящим трафиком пользователей, перехватывая его, обрабатывая и отправляя дальше. Перехват потребует повторной подписи пакетов для отсылки их адресату – сайту, на который хотел зайти пользователь. Соответственно, после перехвата, трафик пользователя будет изменен, и конечный сайт его не примет. Но установленный национальный сертификат безопасности даст оборудованию все полномочия по расшифровке и повторной подписи трафика пользователей. Без сертификата, принудительно установленного на телефоны и компьютеры людей, браузеры и сайты увидят, что трафик идет не напрямую, и заблокируют такие соединения.
Получается, что Qaznet выполняет функцию некоей надстройки между вами и сайтом, становясь третьей стороной. Ничего не напоминает? Такое вмешательство называется MITM-атакой со стороны государства.
Нет оснований полагать, что казахстанский сертификат скомпрометирует данные пользователей. Вкупе с защитным оборудованием сертификат призван защищать граждан. У авторов инициативы есть все способности выполнять такую функцию, если будут внесены правки и проведено совершенствование.
Но если вдруг сертификат будет взломан, хакеры смогут перехватывать защищенный трафик с любого компьютера в Казахстане без ведома граждан и использовать в своих корыстных целях. Ведь сайт, на котором расположен национальный сертификат Казахстана, лежит на незащищенном соединении.
Корневой организацией, выпустившей сертификат, является Qaznet, над которым нет ни одной мировой контролирующей организации. Вашему браузеру просто неоткуда будет узнать, что национальный сертификат взломан или недействителен.
Информационная кампания, связанная с представлением сертификата и механизмов защиты отечественных пользователей, была проведена с грубыми ошибками, вызвавшими общественное недоверие. Процесс работы с данными пользователя должен быть максимально открытым. Дешифрованный трафик пользователей может содержать чувствительные данные, причем не только граждан Казахстана, но и граждан других стран, организаций и компаний-партнеров Казахстана на мировой арене. Достаточный ли у Qaznet уровень доверия для осуществления столь значимых работ с персональными данными миллионов физических и юридических лиц – вопрос, который остается открытым.
Получай актуальные подборки новостей, узнавай о самом интересном в Steppe (без спама, обещаем 😉)
(без спама, обещаем 😉)
