Ресурсы

Что не так с сертификатом Qaznet Trust Network

Рассказывает менеджер проектов Ak Kamal Security

Сообщение о необходимости установить сертификат безопасности на каждое устройство, имеющее выход в интернет, пришло на смартфоны жителей Нур-Султана. Телеком-операторы предупреждали: если сертификат установлен не будет, то возможны проблемы с доступом к сети. И поддерживали требования ссылкой на статью 26 Закона «О связи», в которой говорится: «Операторы междугородной и (или) международной телефонной связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Респуб­лики Казахстан». 

Разберемся, какие прямые и косвенные риски для пользователя несет использование сертификата Qaznet Trust Network.
Начнем с простого. Внедрение сертификатов на сайтах кроме шифрования преследовало еще одну важную цель: возможность для пользователя удостовериться в том, что он попал именно на тот сайт, на который хотел попасть.

Обратите внимание на адресную строку вашего браузера: возле адреса сайта почти всегда имеется «замок». Если сертификат действителен и соответствует сайту, то он зеленый. Если кликнуть по нему, то можно посмотреть, кем и, самое главное, кому выдан используемый сайтом сертификат. Браузер самостоятельно проверяет соответствие сертификата сайту.

В случае с использованием сертификата безопасности Qaznet Trust Network вопрос проверки и доверия тем или иным сертификатам будет отдан на откуп системе, занимающейся перехватом трафика. А пользователь лишится возможности хоть как-то контролировать этот процесс.

Потенциально имеется еще одна опасность. В случае если весь внешний трафик Казахстана будет принудительно направлен через систему перехвата, для тех, кто не установил сертификат безопасности Qaznet Trust Network, все сайты станут потенциально опасными. Ведь система перехвата будет подменять подлинный сертификат того же facebook.com на собственный, а для браузера казахстанский сертификат не является доверенным. Соответственно, он будет блокировать переход и предупреждать пользователя об опасности данной страницы. И так будет со всеми сайтами в сети. Естественно, пользователь может перейти на сайт принудительно. И делать так каждый раз. Но, во-первых, таким образом у него есть шанс попасть на мошеннический сайт, поскольку пользователь уже привык доверять таким источникам, а во-вторых, никак не избавит его от слежки.

Кроме того, возникает важный вопрос: как эта система будет поступать с трафиком, который подписан «неправильным», то есть не входящим в список доверенных, – сертификатом или с сертификатом, не соответствующим доменному имени? С одной стороны, его было бы логично блокировать, так как сайт может быть мошенническим. Но в таком случае автоматически блокироваться будут многие порталы и внутренние системы крупных компаний, использующих собственные сертификаты. Ведь они не входят в список доверенных. Таким образом, без доступа к рабочим системам могут оказаться все сотрудники подобных компаний, находящихся в Казахстане. Даже если они просто приехали в командировку с собственным ноутбуком. Но если такой трафик не будет блокироваться, то о какой безопасности, которую якобы несет сертификат безопасности Qaznet Trust Network, может идти речь?

До сих пор мы говорили о потенциальной опасности. Куда серьезнее выглядит сбор и хранение передаваемых данных. И главные вопросы: кто, где и как будет их хранить? И дело не только в пе­реписке и личных секретах. Кроме этих данных перехватываться будут все аутентификационные данные – пароли и логины от всех сайтов, которые посещали пользователи. А самое главное – вместе с ними будут перехватываться и платежные данные, то есть информация о номере карты, сроке ее действия и даже CVV. Этих данных будет более чем достаточно для того, чтобы воспользоваться картой оплаты, как своей.

Учитывая этот момент, в системах, которые будут хранить собранные данные, должны быть применены беспрецедентные меры безопасности. Во-первых, данные должны быть максимально защищены от хакерских атак любого рода. Так как если эта система заработает, то при накоплении достаточного объема данных она станет не просто лакомым кусочком для киберпреступников всего мира, а возможно, и главной целью. Потому что потенциально мошенники смогут получить доступ к данным миллионов платежных карт, аккаунтов.

Во-вторых, система должна быть надежно защищена не только от атак извне, но и от внутреннего фрода. Ведь для сотрудников, которые будут обслуживать систему, доступ к этим данным без официальной авторизации также будет большим соблазном. Причем как с точки зрения самостоятельного использования, так и для передачи третьим лицам.
 
Учитывая регулярные инциденты информационной безопасности в государственных органах, вопрос о защите этих данных отнюдь не является праздным. В данном случае кроме технических мер нужно предпринять правильные кадровые решения: на сотрудников, имеющих доступ к системе, должна быть возложена максимальная персональная ответственность.

Впрочем, даже максимальные меры по защите информации лишь снижают риск ее утечки. Все эти меры полностью не обезопасят­ нашу информацию, так как прецеденты по утечкам даже секретных данных в наше время случаются довольно часто. В том числе утечки допускают такие агентства, как АНБ, ЦРУ и ФСБ, которые свои секреты хранить умеют.