6 декабря 2020 года в столице Казахстана прошли киберучения, в ходе которых гражданам Казахстана вновь порекомендовали установить государственный сертификат безопасности. Это не первая попытка контролировать трафик, предыдущая была в июле 2019 года, о чём мы подробно писали.
7 декабря на брифинге в Службе центральных коммуникаций председатель Комитета по информационной безопасности Министерства цифрового развития и аэрокосмической промышленности Руслан Абдикаликов сделал ряд заявлений. Высказались и другие спикеры.
Несколько заявлений мы считаем особо важными, поскольку они массово распространились в СМИ. Их и анализируем.
Утверждение: Сертификат такой же безопасный, как и все другие сертификаты. Если вы откроете допустим свой компьютер или свой смартфон и посмотрите в режиме поиска “сертификаты”, заглянете в раздел сертификаты, вы увидите в нём около сотни сертификатов, установленных со всего мира. То есть от того, что такой же сертификат, который там немецкий сертификат, бразильский есть, японский, корейский, от того, что туда наше государство установило наш казахстанский сертификат ничего плохого не случилось
Руслан Абдикаликов
Вердикт: Манипуляция
Сам по себе сертификат действительно не особо отличается от других. Однако ответ г-на Абдикаликова сформулирован так, будто на наши устройства установлены государственные корневые сертификаты от Германии, от Кореи и так далее. Но это является искажением информации.
Ни одна из названных стран не настаивает на установке государственных корневых сертификатов, а если таковые есть (например, сертификаты для сайтов госуслуг) — они не включены в стандартный набор в браузерах или в смартфонах — туда включены основные сертификаты, прошедшие жёсткую проверку и оценку по параметру безопасности и конфиденциальности передаваемых данных.
Устанавливая дополнительный корневой сертификат вы даёте ему контроль над трафиком, ваш трафик будет идти не напрямую к сайту, а через фильтр и его можно будет читать при желании. А если захотеть — то и изменить (подробнее — ниже).
С одной стороны, понятно стремление к контролю за экстремистским контентом, с другой — получается, что фильтруется весь трафик. При этом стоит помнить — ни один сертификат нельзя назвать полностью безопасным — мы видели, что взлому подвержены и сертификаты ЦРУ. Кто будет нести ответственность, если будет взломан казахстанский сертификат — неизвестно, об этом ещё в прошлом году говорили эксперты.
В ответ на вопрос, почему такие компании, как Google, Apple, Mozilla и другие ещё в 2019 году заблокировали казахстанский сертификат безопасности, назвав его «небезопасным», Абдикаликов ответил следующее:
У тех стран, как правило, они все входят в блок НАТО, у них проблем нет ни с Google, ни с Facebook. Проблема в нашей стране, потому что мы принадлежим к другому блоку, мы входим в ОДКБ. Соответственно, чисто политически никто, конечно, не признают наш сертификат
Руслан Абдикаликов
Вердикт: Манипуляция и ложь
Во-первых, Абдикаликов манипулирует данными, проводя знак равенства между блоком НАТО и доверенными центрами сертификации. Во-вторых, сертификат не был признан и заблокирован Google и Mozilla, поскольку в нём используется технология man-in-the-middle (человек посередине), позволяющая перехватывать данные или даже изменять их. Это является нарушением стандартов безопасности.
То, что эта технология используется, в МЦРиАП даже не скрывают. Вот, что сказал на брифинге представитель РГП «ГТС» Рамиль Бектемиров: «Дело в том, что получается технология… да, действительно используется в решении Man in the middle, но эту технологию используем не только мы, но и ведущие производители оборудования для защиты сетей. Они ставят получается функционал такой в данное решение для того, чтобы инспектировать трафик».
И тут неожиданно — правда. Действительно многие корпорации и компании используют свои сертификаты безопасности — для контроля внутреннего трафика, для защиты от внешних угроз и для слежки за сотрудниками и пересылаемыми ими данными. По сути, рекомендуя установить сертификат, нам предлагают стать участниками «корпорации Казахстан» и согласиться на возможность слежки со стороны «службы внутренних расследований».
Также Бектемиров добавил:
…как представитель организации, которая по сути дела отвечает за техническое сопровождение данной системы, то есть я знаю эту систему изнутри, хочу добавить, что, на самом деле, система не обладает возможностью сбора персональных данных. Система заточена только на то, чтобы приостанавливать доступ к определённым страницам, интернет-ресурсам.
Рамиль Бектемиров
Вердикт: Манипуляция
При всей непрозрачности работы сертификата, мы допускаем вероятность, что на данный момент система не собирает массово личные данные казахсанцев. Однако возможность, которую отрицает г-н Бектемиров — существует. Любая система MiTM при достаточной технической базе обладает такой возможностью. А как мы видели в прошлом году по закупкам ГТС, часть необходимой для этого технической базы уже закуплена.
Пожалуй, это самые важные моменты, на которые стоит обратить внимание. Напомним, установка данного сертификата не является обязательной для пользователей, по крайней мере пока, о чём сказали и представители МЦРиАП на брифинге. Если вы всё же установили сертификат, рекомендуем вам его удалить.
