Перейти к материалам
разбор

Жителей Казахстана заставляют установить национальный «сертификат безопасности». Что происходит?

5 карточек
1

Что случилось?

Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов с просьбой установить на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — «сертификат безопасности».

2

Но зачем?

Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». Kcell заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». Beeline и Tele2 сослались на необходимость ограничить распространение противоправной, запрещенной информации. Altel просто указал на требование закона.

Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.

3

Власти получат контроль над зашифрованным трафиком?

Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:

  • сгенерировать поддельные сертификаты для любого сайта,
  • заверить их сертификатом, который установил пользователь,
  • подменить оригинальные сертификаты своими,
  • расшифровать весь трафик от сервисов типа Google или Facebook.

Когда мы открываем страницу с адресом, начинающимся с https://, сайт передает нашему браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение. Теперь трафик между вашим сайтом и браузером никто не сможет расшифровать.

Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.

4

А что будет, если не поставить этот сертификат?

Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.

5

То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета?

Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности».

Денис Дмитриев

«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!

Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!