Казахский колпак 2.0

Крупные интернет-провайдеры Казахстана, в том числе Kcell, Beeline, Tele2 и Altel, добавили в свои системы возможность перехвата HTTPS-трафика и потребовали от пользователей установить «национальный сертификат безопасности» на все устройства с выходом в глобальную Сеть. Это было сделано в рамках исполнения новой версии закона «О связи».

Заявлено, что новый сертификат должен защитить пользователей страны от мошенничества в Интернете и кибератак. Он якобы «позволяет оградить пользователей сети Интернет от контента, запрещённого законодательством Республики Казахстан, а также от вредоносного и потенциально опасного контента». Однако, по сути, это форма атаки MitM (man-in-the-middle — человек посередине).

Дело в том, что сертификат позволяет блокировать доступ к определённым (и необязательно реально опасным) страницам, модифицировать HTTPS-трафик, читать переписку и, более того, писать от имени того или иного пользователя. Если сертификат не установить, то пользователи лишатся доступа ко всем сервисам, использующим TLS-шифрование, а это все основные мировые ресурсы — от Google до Amazon.

Оператор Kcell уточняет, что сертификат разработали в Казахстане, однако кто именно это сделал — неизвестно. Самое интересное, что для получения сертификата нужно зайти на сайт qca.kz, который зарегистрирован менее месяца назад. Владельцем доменного имени значится частное лицо, а в качестве адреса указан Дом министерств в Нур-Султане. Самое забавное, что сайт для сертификата безопасности не использует HTTPS.
Небольшим плюсом здесь является лишь то, что установка сертификата заявлена как добровольное дело. При этом многие устройства или приложения зачастую не позволяют пользователям модифицировать сертификаты или менять их.

При этом некоторые пользователи уже пожаловались на недоступность социальных сетей, почтового сервиса Gmail и YouTube. Казахстанские ресурсы при этом открывались нормально. В Министерстве цифрового развития пока не сообщают о причинах, но уже заявили о проведении технических работ, «направленных на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». А по словам вице-премьера цифрового развития Аблайхана Оспанова, это пилотный проект. То есть его могут распространить на всю страну.

Специалисты из Mozilla уже протестировали сертификат и доказали подмену шифрования.
Подробности: https://factcheck.kz/glavnoe-en/chto-takoe-sertifikat-qaznet-i-bezopasen-li-on/

Первая попытка внедрить аналогичный сертификат была в 2015 году. Тогда он был отклонён Mozilla, причём по тем же концептуальным причинам, что описаны выше, главная — «человек посередине». Mozilla позиционирует себя как компания в первую очередь заботящаяся о конфиденциальности пользователей и такое нарушение конфиденциальности для неё неприемлемо.

Официальные источники утверждают, что это делается во благо пользователей, им вторят зависимые от государства операторы связи, однако, как мы видим — сертификат несёт больше угроз, чем пользы. К этому стоит добавить, что даже доверенные сертификаты ЦРУ уже подвергались подмене, так что последствия взлома национального сертификата могут быть весьма печальными. База данных, полученная в результате подобных мер контроля интернета может быть взломана хакерами и тогда все данные, которые сейчас в теории получит только КНБ, могут оказаться доступными кому угодно.

https://www.instagram.com/tv/B0D2fB4HU1N/?utm_source=ig_embed