Эксперт-аналитик Ak Kamal Security Михаил Поздняков прокомментировал внедрение сертификата безопасности в Казахстане.
Далее приводится текст с сохранением орфографии и пунктуации.
«Больше трех лет прошло с предыдущей попытки внедрения сертификата безопасности. Тогда она провалилась и, казалось, успешно забыта. Но нет, в июле операторы вновь порадовали пользователей, пока только жителей Нур-Султана, рассылкой о необходимости установки сертификата безопасности Qaznet Trust Network.
Начнем c того, что большая часть данных, которая в данный момент циркулирует в сети, зашифрована – таким образом данные защищаются от перехвата и подмены. Причем речь идет не только о почте и мессенджерах. Доступ к большинству сайтов также осуществляется по защищенным каналам – это общепринятая мировая практика, которую поддерживают и пропагандируют все гиганты индустрии. Обратите внимание на свой браузер: слева от адресной строки на большинстве сайтов вы увидите зеленый замок – значит, защита канала между вами и сайтом работает. Все отлично.
Но эта ситуация не устраивает тех, кто хотел бы знать о нас и нашем поведении в сети больше — государства. Причем, любого государства, что в принципе понятно. Ведь кроме обывателей в сети координируют свою деятельность преступники, террористы, экстремисты. И, соответственно, постоянно идет поиск возможностей выявить эти преступные элементы в сети. Благое дело для безопасности страны и ее граждан.
Но только в том случае, если оперативные действия направлены на настоящих преступников или, как минимум, потенциальных. А не проводятся в масштабах всей страны и каждого ее гражданина.
А то что происходит сейчас как раз и есть попытка следить в сети за каждым из нас. Ведь так называемый сертификат безопасности Qaznet Trust Network по сути является вариантом атаки Man-in-the-Middle (MitM) – «человек посередине». Ее суть заключается в установке некоего агента между пользователем и сайтом, который будет перехватывать все данные, которыми обмениваются эти два объекта. Учитывая, что сейчас эти данные зашифрованы, просто получить их недостаточно – ведь расшифровать их, мягко говоря, не просто, тем более в масштабах всей страны.
Именно поэтому нас и просят установить сертификат безопасности Qaznet Trust Network. Если вы его установите, то трафик с вашего устройства будет шифроваться, как и прежде, но вот только защищенный канал будет идти не напрямую к сайту, а сначала к специальным системам провайдеров. Там он будет расшифровываться и снова зашифровываться, уже для передачи данных целевому сайту. Точно также и в обратную сторону. То есть задача перехвата трафика в данном случае полностью решена. И решена, заметьте, в масштабах всей страны. Причем речь не только о сайтах. Благодаря этому сертификату потенциально можно перехватывать и почту, и сообщения некоторых мессенджеров.
При этом если отказаться от установки сертификата, то системы провайдеров могут (и, скорее всего, будут) заблокировать доступ к тому или иному сайту или сервису.
При этом операторы связи преподносят информацию о сертификате безопасности Qaznet Trust Network несколько с другого ракурса. Вот, к примеру, что сообщает, Kcell:
«В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев, был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз».
При этом объяснений по функционалу и тому, каким образом установку сертификата безопасности поможет решить эти важные задачи не дает. Но тут же спешит успокоить общественность, сообщая, что «у сертификата безопасности нет доступа к вашим персональным данным». И тут обвинить их во лжи никак не получится. Потому что сам сертификат действительно не получает доступа ни к каким данным, он обеспечивает его системам провайдера.
В общем, в данный момент очень хотелось бы услышать от Министерства цифрового развития, инноваций и аэрокосмической промышленности комментариев по поводу того, каким образом установка данного сертификата защитит пользователей от всевозможных атак, мошенничества и иных видов киберугроз, а также информацию о том какие меры защиты данных граждан принимаются на системах, которые занимаются перешифрованием трафика от наших устройств к сторонним сайтам и сервисам».
Напомним, ранее сообщалось, что жители Нур-Султана негативно восприняли сообщение от сотовых операторов. Пользователи соцсетей, которые установили сертификат, рассказали в Facebook, что сертификат позволяет посторонним отслеживать сетевую активность, в том числе электронную почту, приложения и безопасные веб-сайты. Столичные жители задают вопрос: зачем нужен сертификат, если он сам дает доступ отслеживать данные?
Кроме того, вице-министр цифрового развития, оборонной и аэрокосмической промышленности Аблайхан Оспанов рассказал, что казахстанцы могут не устанавливать сертификат безопасности на мобильные устройства.