Международное сообщество сомневается в казахстанском сертификате безопасности

На прошлой неделе Казнет всколыхнула новость о казахстанском сертификате безопасности — абоненты мобильных операторов стали получать SMS, в которых говорилось о необходимости его установки. Согласно официальной версии, этот сертификат призван защитить абонентов от хакерских атак, фишинга и просмотра противоправного контента.

Сертификат называется Qaznet Trust Network и размещается на сайте Qca.kz. Примечательно, что изначально владельцем домена было указано частное лицо, что вызвало массу вопросов у ИТ-общественности. Однако в субботу (22 июля) стало известно, что домен переоформлен, и сейчас его владельцем значится Национальный координационный центр по информационной безопасности РК.

«В соответствии с Законом РК „О связи“, статья 26 и п. 11 „Правил выдачи и применения сертификата безопасности“, операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи. Софт разработан в Казахстане и предоставлен уполномоченным государственным органом в области защиты информационных систем и данных. Обращаем внимание абонентов на то, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS)», — заявили в Beeline Казахстан. Аналогичную информацию распространили и другие мобильные операторы.

В SMS рассылках, которые получают абоненты, есть упоминание о том, что отсутствие на устройстве сертификата может привести к проблемам с доступом к отдельным сайтам. Тем не менее, в Beeline Казахстан нам пояснили, что со своей стороны оператор не ограничивает доступ к ресурсам.

«Нам важно, чтобы абоненты Beeline могли иметь доступ к сети. В связи с тем, что регулятор предупредил о технических работах, мы посчитали нужным проинформировать наших абонентов и подсказать, где скачать и как установить сертификат. Это требование закона. Мы, в свою очередь, никак не ограничиваем доступ к ресурсам интернета. Блокировка ресурсов сети находится в компетенции государственных органов», — заявили в пресс-службе компании.

О том, что установка сертификата пока не является обязательной, упомянул и вице-министр цифрового развития, оборонной и аэрокосмической промышленности Аблайхан Оспанов.

«Данная норма введена в Закон о связи еще в 2015 году. Сегодня операторы обязаны предоставлять такую возможность населению — загружать и устанавливать сертификат технической безопасности на свои устройства. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать», — заявил г-н Оспанов на пресс-конференции, прошедшей в правительстве 19 июля.

Итак, основной целью сертификата декларируется защита пользователей и их персональных данных. Однако, что же такое этот сертификат безопасности? Если кратко, то это набор цифровых символов, используемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование. Когда пользователь заходит на какой-либо сайт, то система автоматически сверяет сертификат сайта с корневым, установленным в браузере либо на устройстве. Сейчас в мире имеется несколько сертификационных центров, которые выпускают доверенные сертификаты. Эти центры дорожат своей репутацией и в случае подмены сертификата понесут серьезные потери.

Но в чем проблема именно с Qaznet Trust Network, и почему его появление так взбудоражило тех, кто сведущ в ИТ? Дело в том, что этот сертификат не признан мировым сообществом и не включен в список доверенных. При его установке существует некий риск того, что он может быть подделан. Пользователь, устанавливая сертификат, по сути, «открывает» весь свой трафик и позволяет владельцу сертификата получить доступ к личным данным, переписке, логинам-паролям и даже счетам. И все вопросы в случае инцидентов придется задавать владельцу этого сертификата.

О том, в чем может состоять необходимость казахстанского сертификата, мы расспросили Армана Адбрасилова, директора казахстанского Центра анализа и расследования кибератак. Он поделился своим видением того, почему Qaznet Trust Network до сих пор не является доверенным, и для чего он вообще был нужен.

«Коротко говоря, сертификат — это расширение технических возможностей правоохранительных органов в Казахстане. Этот инструмент нужен для выполнения основных задач наших силовых структур. Это выявление, проведение специальных оперативно-розыскных мероприятий на каналах связи. Когда мы используем западные технологии и ключи шифрования, проведение этих мероприятий осложнено тем, что правоохранительным органам нужно договариваться с владельцами ключей, либо с владельцами сервисов. А это иностранные организации. То есть, условно говоря, нужно договариваться с администрацией WhatsApp, либо Fасеbook, чтобы получить переписку пользователя. Либо — с владельцем сертификата, который используется для шифрования канала между Fасеbook или WhatsApp и пользователем, — объясняет Арман Абрасилов. — И тут есть два пути решения. Первый вариант, элегантное решение — изготовить казахстанский сертификат и договориться с мировым сообществом, чтобы его признали и включили в список доверенных. И он бы автоматически оказался в списках доверенных сертификатов всех браузеров и операционных систем, что и происходит обычно с другими сертификатами. То есть, надо было договориться с разработчиками, с удостоверяющими центрами о том, чтобы нам дали сертификат и внедрили его как доверенный. В таком случае наши правоохранительные органы работали бы точно так же, как иностранные, получая санкции на доступ к контенту. По всей видимости, такой договоренности достичь не удалось. Поэтому решили пойти вот таким непопулярным способом — предложить гражданам самостоятельно, добровольно установить сертификаты. Получается, сами пользователи указывают, что доверяют сертификату — эта процедура тоже предусмотрена. С чем мы сейчас и столкнулись».

Сам по себе сертификат вряд ли сможет кого-то защитить. Зато вполне способен облегчить фильтрацию контента, а также поиск преступников в интернет-среде. Эксперты по ИБ обращают особое внимание и на то, что помимо предоставления доступа к своим личным данным, пользователи, установившие не доверенный сертификат, могут столкнуться даже с подменой информации, которая курсирует между их браузером и конечным сайтом. Нужно ли упоминать, насколько высок риск в том случае, если пользователь, установив не доверенный сертификат, решил провести какие-либо операции со своими счетами в интернет-банкинге?

«В целом, я понимаю мотивы государства. Но сами методы и исполнение не совсем корректны. Такой сертификат уже пробовали делать, не только в Казахстане, но не получилось, — говорит Николай Бабешкин, председатель ассоциации „Цифровой Казахстан“. — В целом, как обычного человека меня смущает не то, что мои данные куда-то улетят. При такой структуре работы с трафиком данные можно заменить. Представьте, что Трамп что-то публикует в Twitter, и от его имени подменили текст, написав то, что спровоцирует политический скандал или конфликт между странами. Это очень опасно. Завтра какой-нибудь политик или аким напишет что-то, и этот текст заменят злоумышленники. Поэтому к подобным вещам надо подходить очень осторожно. Интернет становится „большим“, и понятны мотивы государства участвовать в этом. Такой переходный период мы должны пройти. В данном случае можно было подумать и найти какие-то другие пути решения. Но не так топорно, перенаправляя весь трафик. Второе — эта история очень сложна технически. В новых версиях Android у человека, который включил не доверенный сертификат, могут перестать работать приложения. Я даже не знаю, как будет работать, например, Sony Play Station. Есть еще такой момент — большие технологические компании будут заботиться о своей репутации и, например, закрывать доступ к своим ресурсам людям, которые заходят на сайты с этим сертификатом. Завтра он может быть взломан, доступ к ключам позволит скомпрометировать кого-то. Обычный человек, возможно, ничего не потеряет. А если это, например, председатель банка? И еще — каким образом пойдет трафик интернет-банкинга? Как будут работать проверки платежных шлюзов, PSI DSS, как отреагируют Visa и Mastercard? У меня даже ответов нет на эти вопросы. Нельзя взять и включить это на всю страну! Такие топорные методы создают больше проблем. Есть вопросы к исполнителям».

Стоит отметить, что мировая общественность уже выразила беспокойство относительно появления сертификата и склонения пользователей к его установке. Издание ZDnet пишет, что после его установки HTTPS-трафик пользователя может быть расшифрован, его содержимое — просмотрено, а затем с помощью сертификата трафик может быть снова зашифрован и отправлен по назначению. Более того, еще в 2015 году Казахстан обращался к Mozilla с просьбой включить его корневой сертификат в Firefox по умолчанию, однако там отказались это делать. Сейчас производители крупнейших мировых браузеров (Google, Microsoft, Mozilla) обсуждают сложившуюся ситуацию и пытаются выработать план действий по работе с теми сайтами, которые были «перезашифрованы» казахстанским корневым сертификатом. Причем предложения высказываются разные, включая блокировку сертификата и добавление его в черный список, или выставление неубираемой надписи с описанием последствий такого подключения для пользователей.

Серьезные сомнения по поводу необходимости сертификата высказывает и Владимир Туреханов, президент «Казахстанской ассоциации автоматизации и робототехники», ведущий на Profit.kz колонку, посвященную цифровой гигиене. Он подчеркивает, что установка сертификата не поможет в борьбе с фишингом и даже может навредить: «Да, вы можете не устанавливать сертификат (пока), весь интернет не отключится (пока). Но вот полного доступа не будет. В социальных сетях граждане уже выкладывали скриншоты, где видно, что некоторые популярные сайты не открываются. Но и даже с установленным сертификатом сайты могут не открываться по инициативе самого сайта либо производителя браузера. Сделано это будет по причине обнаружения подмены сертификата сайта на пути от браузера пользователя до сервера. А это признаки хакерской атаки Man-In-The-Middle (MITM, человек посередине), когда злоумышленник находится на пути между источником трафика и его получателем. Как следствие, злоумышленник получает возможность анализировать весь такой трафик (в том числе — пароли, данные кредитных карт и т. п.)».

Эксперт указывает на огрехи, допущенные авторами сертификата даже на начальном этапе: «Предлагают это, мягко говоря, топорно. Сам факт того, что „сертификат безопасности“ предлагается скачать с сайта, не использующего шифрование трафика — та еще дыра в безопасности. Ведь уже на этапе скачивания его можно подменить на несколько другой, а вы собственноручно дадите ему статус доверенного на своих устройствах. Надо отметить, что сертификаты безопасности были изобретены не 17 июля 2019 года. Это было сделано гораздо раньше. На них базируется почти вся безопасность в интернете. Так в чем же дело, спросите вы? Чем наш национальный „сертификат безопасности“ плох? Хотя бы тем, что он не является доверенным согласно принятым в интернете нормам и правилам. В мире есть несколько доверенных центров сертификации, информация о которых занесена в браузеры и операционные системы. Они прошли соответствующие проверки. Наш не прошел и не был включен в список доверенных. Сейчас нам предлагают его установить (скачать) вручную и самостоятельно указать, что он для нас является доверенным».

Стоит напомнить, что распространение сертификата уже идет — на прошлой неделе было объявлено о старте проекта в Нур-Султане. О том, как будет развиваться ситуация, остается только догадываться. Эксперты по ИБ в один голос твердят о серьезных рисках, связанных с внедрением сертификата. Однако будут ли они услышаны?