В Казахстане вновь заговорили о внедрении национального электронного сертификата безопасности. Эксперты видят в этой идее угрозу для безопасности персональных данных, а также препятствие для анонимности в интернете.
21 июня на российском ресурсе habrahabr.ru появился пост некоего @Meklon с броским названием: «Теперь ваш HTTPS будет прослушиваться, а сертификат для MitM (man-in-the-middle) вы должны поставить сами». В нем шла речь о намерении правительства Казахстана в лице Министерства по инвестициям и развитию через Закон «О связи» (вступает в силу с 1 января 2016 года) прослушивать весь зашифрованный TLS-трафик путем собственноручной установки национального сертификата безопасности пользователем. Это, как утверждает автор поста, ставит под угрозу анонимность переписки, а также логины, пароли и другие персональные данные клиента.
В качестве аргумента приводятся скриншоты инструкции по установке этих сертификатов на сайте «национального оператора связи» и сотового оператора Beeline (торговая марка ТОО «Кар-Тел»). Позже, после публикации поста, как уточняет @Meklon, инструкция была удалена с сайта «национального оператора связи». Отметим, что история появления и удаления этой инструкции повторяется уже не раз.
В декабре 2015 года профильный вице-министр по инвестициям и развитию РК Сакен Сарсенов уверял, что меры государства не несут угрозы конфиденциальности данных.
«Мы внедрили определенные нормы, регулирующие шифрованный трафик, который передается за пределами страны. Это не распространяется на ресурсы, оказывающие услуги на территории Казахстана. Могу заверить, о конфиденциальности можно не беспокоиться», – заявлял тогда высокопоставленный чиновник.
К слову, в конце мая текущего года Организация объединенных наций (ООН) признала анонимность в интернете составной частью прав человека. Как уточняет Digital.Report, на последнем заседании Совета по правам человека ООН был предоставлен доклад, посвященный проблематике анонимности пользователей в сети.
В частности, по словам спецдокладчика Дэвида Кайе, развитие высоких технологий привело к расширению возможностей со стороны правительства, международных корпораций и преступных организаций по ограничению свободы на выражение своих убеждений. Таким образом, резюмирует автор доклада, анонимность и шифрование данных являются неотъемлемым правом людей на свободу убеждений.
Какие цели преследует правительство Казахстана, внедряя этот сертификат? Был ли проведен независимый аудит со стороны компаний-разработчиков браузеров и других неправительственных структур? К сожалению, запрос «Къ» в Министерстве связи и информации оставили без ответа.
Совладелец компании NeoLabs Александр Усков считает, что через внедрение национального сертификата безопасности де-факто будет открываться возможность для хакерской атаки по типу man-in-the-middle. Кроме того, при установке сертификата будут сложности с доступом к некоторым сайтам.
«Крупные сайты всегда заботятся о безопасности данных пользователей. Поэтому, если вы выполняете вход с неизвестным им сертификатом, сайты будут просто блокировать доступ. Такие порталы как Google, Youtube или Twitter, к примеру, требуют использование сертификатов только от доверенных разработчиков», – сообщает Александр Усков.
По словам собеседника «Къ» это работает следующим образом. Сайт передает зашифрованные данные, которые раскодируются только у пользователя и аналогичным образом в обратном направлении. В случае внедрения национального электронного сертификата безопасности между сайтом и пользователем появится еще и источник сертификата, который тоже будет получать раскодированные данные. Это и называется man-in-the-middle, когда дословно это означает наличие человека посередине, – отмечает эксперт.
«Сайты подобное проникновение обнаруживают сразу. Поэтому доступ к ним будет либо ограничен, либо отсутствовать вовсе», – заявил Александр Усков.
В «Интернет-ассоциации Казахстана» на момент написания материала не прокомментировали «Къ» вопросы внедрения и угрозы безопасности персональным данным через национальный электронный сертификат безопасности.
Общеизвестно, что использование национального электронного сертификата безопасности приводит к блокировке доступа к крупным сетевым ресурсам. И для полноценного доступа, как уточняют специалисты, необходимо присвоить ему статус «доверенного». Это предполагает прохождение ряда процедур на предмет безопасности данных клиента как со стороны компаний-разработчиков браузеров, так и самих сайтов.
В компанию Mozilla, разработчика браузера Firefox, пришла заявка на включение отечественного сертификата в список доверенного. Соответствующую ссылку на заявку от лица Комитета связи и информации на сайте браузера приводит @Meklon в своем посте на habrahabr.ru. В обсуждении специалистов компании Mozilla говорится, что продукт еще не прошел проверку безопасности от WebTrust. В ответ представитель комитета под ником «Асель» утверждает, что соответствующий аудит планируется провести в 2016 году.
В Mozilla заявили, что прежде чем подавать соответствующие заявки, необходимо было изначально пройти соответствующий аудит. Кроме того, отмечают представители интернет-компании, заявка была заполнена кириллицей. Помимо технических вопросов, вопрос внедрения сертификата должен быть одобрен на общественных слушаниях, подчеркивают в компании.
Президент Ассоциации казахстанского интернет-бизнеса (АКИБ) Константин Горожанкин считает, что внедрение национального сертификата несет в себе угрозу для безопасности данных. «Государство может узнать информацию о моих банковских счетах, к примеру. Хотя об этом должны знать только я и банк. Исключение, только если в отношении меня ведется следствие», – подчеркивает собеседник «Къ».
Глава АКИБ добавил, что поднимает это вопрос уже давно и не в первый раз, однако к нему так никто и не прислушался.
Международный эксперт по вопросам интернет безопасности Эрик Джонсон в интервью Digital.Report указал и на другой потенциальный риск. «При установке сертификата браузер будет добавлять его и разработчика в список доверенного. В таком случае, если разработчик выпускает новый сертификат, браузер будет автоматически считать его доверенным. Это открывает двери для различных хакерских атак», – отмечает он.
Иного мнения придерживается Александр Усков. «Сертификат безопасности действителен некоторое время. Потом его нужно обновлять. В таком случае вы заново должны будете добавить его в список доверенных», – уверен совладелец NeoLabs.
В свете этой дискуссии остается открытым и другой вопрос – будут ли в Казахстане хранить весь входящий и исходящий трафик? Например, в России на днях Государственной думой был одобрен антитеррористический пакет законодательных поправок, прозванный в народе «пакет Яровой».
Одна из частей законопроекта предусматривает такое хранение в целях безопасности. Однако российские специалисты заявляют, что подобная мера является непосильной задачей для операторов связи. По подсчетам Экспертного совета при правительстве РФ, общие затраты на содержание отрасли могут составить 4–5 трлн рублей в год (около 20–25 трлн тенге). Более того, продолжают там, у операторов не хватит ни технических, ни финансовых ресурсов на реализацию этих норм.
Собеседник «Къ», пожелавший остаться неизвестным, заявил, что казахстанские data-центры, также как и в РФ, не готовы к хранению большого количества информации. Помимо этого пока неизвестно, сколько именно нужно хранить весь трафик. Противоположного мнения придерживается Александр Усков.
«Dата-центры у нас, конечно, есть. Да и трафик не такой большой как в России. Здесь вопрос в реализации» – резюмировал собеседник.