Сертификат «небезопасности»: FAQ

С середины июля 2019 года казахстанские мобильные провайдеры рассылают пользователям сообщения об установке так называемого сертификата безопасности Qaznet Trust Network. Factcheck.kz ранее писал о том, кто стоит за разработкой сертификата, и его принципах работы, а также о том, как удалить сертификат. На этот раз совместно с фондом Qurium Media Foundation, занимающимся анализом киберпреступлений, развитием свободы слова и интернет-безопасности, разбираем популярные вопросы по использованию и проблемах сертификата.

С чего все началось

В ноябре 2015 года правительство Казахстана внесло поправки в «Закон о связи», разрешив тем самым самим себе мониторить Казнет.

Следом за этим Государственная техническая служба при Комитете национальной безопасности РК отправила запрос Mozilla о «создании общего доверенного пространства для обмена информацией в Республике Казахстан» и попросила одобрить «корневой сертификат» для одноименного браузера.

При этом она не упомянула, что так называемое «доверенное пространство» по сути нарушает зашифрованные соединения, а само приложение нужно только для безопасности сервисов электронного правительства.

Mozilla отклонила заявку после нескольких отчетов о MITM-атаках сертификата (“man-in-the-middle”). Такие атаки нарушают конечное шифрование и позволяют отслеживать зашифрованный траффик.

Несмотря на то, что сертификат пытались запретить в 2016 году, в июле 2019 года ситуация стала повторяться. Поскольку «корневой сертификат» не был одобрен веб-браузерами, интернет-провайдеры попросили пользователей установить его вручную. 

Что такое сертификат для браузера?

Это данные, с помощью которых ваш браузер подтверждает, что ваше шифрованное соединение завершило передачу, как и должно было быть. Когда вы устанавливаете браузер, в него уже «зашиты» сертификаты. Каждый из них отвечает за связь определенной организации с зашифрованным сеансом.

Проще говоря, сертификаты говорят вам, кто владелец того компьютера, к которому вы обращаетесь.

Одно шифрованное соединение не может гарантировать конфиденциальности. Есть вероятность, что вы «говорите» не с тем человеком. Сертификаты как раз помогают выстроить доверие.

Кто решает, какие сертификаты должны быть в браузере по умолчанию

Насчет этого у разработчиков браузеров есть свои правила. Кодекс Mozilla доступен, к примеру, здесь.

В целом, правила гласят, что претенденты должны подробно объяснить суть своих запросов, которые в свою очередь согласно Webtrust должны пройти через контрольную проверку, чтобы не дать дорогу «левым» изобретениям.

Положения корневого сертификата Mozilla, например, заявляют следующее: «Мы определяем, какие сертификаты от центра сертификации могут быть включены в корневую программу Mozilla, в зависимости от риска для наших пользователей».

Могут ли не пропустить центр сертификации?

Mozilla удаляла «сертификаты» в нескольких случаях. В одном из них был сертификационный центр от китайских властей, в другом, недавнем — от шпионской фирмы DarkMatter.

На весь процесс требуется много времени. Поэтому если какой-либо центр сертификации был принят браузером, на то, чтобы выкинуть его оттуда, может уйти несколько месяцев.

Что такое MITM-атака

Это похоже на игру «Глухой телефон» или «Передай дальше»: сообщение передается по кругу, и хотя каждый шаг «секретен и конфиденциален», он не гарантирует, что финальное сообщение будет таким же, как первоначальное. Сообщения по ходу могут изменить, пропустить, записать и т.д.

Защищает ли сертификат безопасности от взламывания

Так, по крайней мере, утверждают казахстанские власти и мобильные операторы. Однако подход через сертификат не лучшее решение для борьбы с киберпреступлениями. Если в 2016 году сертификат был предназначен для государственных сервисов, то нынешний не оставляет никаких сомнений в применении для чтения данных.

Отрывок из заявки Mozilla в 2016 году

Насчет родительского контроля

Установленный сертификат позволяет контролировать, к каким доменам разрешать или запретить пользователю доступ. Например, разрешить только те домены, которые одобрены государственным сертификационным центром.

Подобным способом можно также проводить функцию «родительского контроля», однако для него существуют и другие, более гуманные способы. К примеру, использовать DNS для блокировки доменов из «черного» списка.  

Возможно ли читать с помощью сертификата безопасности сообщения в Facebook, закрытых чатах Telegram, зашифрованные сообщения и т.д.

Данный сертификат направлен в первую очередь на веб-сервисы. Поэтому если вы читаете почту или пользуетесь Facebook в браузере, то ваши сообщения могут быть перехвачены из-за подмены шифрованного соединения.

С приложениями, использующими нестандартные HTTPS, дела обстоят по-другому. 

В Telegram, например, соединения передаются в облачное хранилище Telegram Cloud с помощью сквозного шифрования (end-to-end encryption). Для секретных чатов используется другой вид шифрования — end-user encryption. Если вы используете прокси самого Telegram, который использует протокол MTProxy, Telegram не может читать ваши сообщения, он только отслеживает ваш IP-адрес.

Если вы пользуетесь почтовыми клиентами наподобие Thunderbird  или TLS, вы сможете спокойно читать (IMAP) и писать (SMTP) письма. Однако помните, что криптографическая защита надежна только между вашим почтовым клиентом и почтовым сервером. Проверьте сертификат почтового сервера и убедитесь, что он тот, что вам нужно. Если есть сомнения, используйте сквозное шифрование, то есть GPG.

В целом, данные всех веб-сервисов могут быть перехвачены.

Могут ли изменить с помощью сертификата персональные данные

Да. Как только устанавливается связь через якобы HTTPS-прокси, который является посредником между вами и реальным сайтом, контент соединения можно изменить.

Этот процесс можно представить в виде «двух разных» шифрованных каналов. MITM-атака позволяет повторно пересылать, стирать или изменять сообщения. 

Возможно ли с помощью сертификата блокировать отдельные страницы в социальных сетях

Да. Как только открывается сеанс передачи данных, разработчики могут блокировать определенные URL. Например, можно закрыть доступ к группе любителей котиков:

https://www.facebook{.}com/CatLovers

Выручат ли в такой ситуации VPN-сервисы

Да, если они, конечно, не заблокированы в стране. Однако есть несколько нюансов:

  • Не используйте бесплатные VPN, особенно те, что предназначены для мобильных телефонов или распространяются в социальных сетях. Многие фейковые VPN используют такие методы.
  • Загляните по ссылке — там предлагается сравнительная таблица разных VPN.
  • Если использование VPN может доставить вам неприятности, хорошо все обдумайте.

Опасна ли установка сертификата

С установленным сертификатом любые интернет-соединения могут привести на фейковые сайты, которые могут скачать вредоносные программы, записать ваши разговоры или другие персональные данные. К сожалению, многие браузеры автоматически запоминают входные данные и могут автоматически залогиниваться, иногда не уведомляя вас. Поэтому если вы установили сертификат, удалите его и поменяйте пароли.

Зафиксировано ли несанкционированное вмешательство со стороны сертификата

Да. Попытки наблюдаются с 17 июля в Нур-Султане. В частности, это касается траффика от оператора AS9198 KazTelecom. Подробные технические детали описаны проектом “Censored Planet”, который ведет группа исследователей из университета Мичиган.

Можно ли отследить это самому

Да, вы можете видеть это по действиям даже за пределами Казахстана:

openssl s_client -showcerts -connect 95.59.142.115:443 -servername www.facebook.com

Например, если мы запрашиваем связь с facebook.com, то получаем сертификат, подписанный Qaznet Trust Network.

Обновление от 26 июля. По сообщениям других исследователей несанкционированное вмешательство со стороны сертификата наблюдается временами.