Жителей Казахстана заставляют установить национальный «сертификат безопасности». Что происходит?
Что случилось?
Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов с просьбой установить на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — «сертификат безопасности».
Но зачем?
Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». Kcell заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». Beeline и Tele2 сослались на необходимость ограничить распространение противоправной, запрещенной информации. Altel просто указал на требование закона.
Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.
Власти получат контроль над зашифрованным трафиком?
Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:
- сгенерировать поддельные сертификаты для любого сайта,
- заверить их сертификатом, который установил пользователь,
- подменить оригинальные сертификаты своими,
- расшифровать весь трафик от сервисов типа Google или Facebook.
Когда мы открываем страницу с адресом, начинающимся с https://, сайт передает нашему браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение. Теперь трафик между вашим сайтом и браузером никто не сможет расшифровать.
Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.
А что будет, если не поставить этот сертификат?
Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.
То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета?
Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности».
«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!
Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!