«Қауіпті» сертификат: FAQ

2019 жылдың шілде айының ортасынан бастап қазақстандық мобильді провайдерлер пайдаланушыларға Qazaq Trust Network қауіпсіздік сертификатын орнату туралы хабарлама жіберді. Factcheck.kz бұған дейін сертификатты жасап шығарғандар жайында, оның жұмыс принциптері туралы, сондай-ақ сертификатты жоюдың жолдары туралы жазған еді. Бұл жолы киберқылмыстарды талдаумен және сөз бостандығы мен интернет-қауіпсіздікті дамытумен айналысатын Quirium Media Foundation қорымен бірлесе отырып, сертификатты пайдалану және оған қатысты проблемалар бойынша ең маңызды сұрақтарды талқылаймыз.

Барлығы неден басталды?

2015 жылдың қараша айында Қазақстан Үкіметі «Байланыс туралы Заңға» түзетулер енгізді. Осылайша олар өздеріне Қазнетті бақылауға рұқсат берді. Бұдан кейін ҚР Ұлттық қауіпсіздік комитеті жанындағы Мемлекеттік техникалық қызмет Mozilla-ға «Қазақстан Республикасында ақпарат алмасу үшін ортақ сенімді кеңістік құру» туралы өтініш жолдап, осы браузер үшін «түбірлік сертификатты» пайдалануға рұқсат сұрады.

Бұл ретте олар «сенімді» деп аталатын кеңістік шифрленген байланыстарды бұзатынын, ал қосымшаның өзі тек Электрондық үкімет сервистерінің қауіпсіздігі үшін ғана қажет екенін айтпаған.

Mozilla сертификаттың MITM-шабуылдары туралы бірнеше есептен кейін («man-in-the-middle») өтінішті қабылдамады. Мұндай шабуылдар соңғы шифрлауды бұзады және шифрланған трафиктерді бақылауға мүмкіндік береді.

Сертификатқа 2016 жылы тыйым салынғанына қарамастан, 2019 жылдың шілдесінде жағдай қайталана бастады.  Веб-браузерлер «түбірлік сертификатқа» рұқсат бермегендіктен, интернет-провайдерлер қолданушыларға «өздеріңіз орнатыңыз» деп хат жібере бастады.

Браузерге арналған сертификат дегеніміз не?

Бұл – деректер, яғни олардың көмегімен сіздің браузер сіздің шифрланған байланысыңыз деректерді тасымалдауды аяқтағанын растайды. Сіз браузер орнатқан кезде, онда бірден сертификаттар да орнатылады. Олардың әрқайсысы белгілі бір ұйымның шифрланған сеанспен байланысы үшін жауап береді.

Былайша айтқанда, сертификаттар сіз жүгініп отырған компьютердің иесі кім екенін айтып береді. Алайда бір шифрланған байланыс құпиялылыққа кепілдік бере алмайды. Сіз керек емес адаммен «сөйлесіп» отыруыңыз мүмкін. Сондықтан сертификаттар сенім орнатуға көмектеседі.

Браузерде үнсіз келісім бойынша қандай сертификаттар болуы керектігін кім шешеді?

Бұл туралы браузер жасаушылардың өз ережелері бар. Мысалы, Mozilla кодексімен мына жерден танысуға болады.

Жалпы, ережелердің мағынасы келесідей: үміткерлер өз өтініштерінің мән-мағынасын егжей-тегжейлі түсіндіруі тиіс, сондай-ақ олар Webtrust-ке сәйкес тексеруден өтуі қажет. Бұл «өзге» әрекеттерге жол бермеу үшін қажет.

Мысалы, Mozilla түбірлік сертификатының ережелері былай деп мәлімдейді: «Біз пайдаланушыларымыздың қауіпсіздігіне байланысты Mozilla түбірлік бағдарламасына сертификаттау орталығынан келген сертификаттардың қайсысын енгізуді өзіміз анықтаймыз».

Сертификаттау орталығы жібермей қоюы мүмкін бе?

Mozilla «сертификаттарды» бірнеше жағдайда алып тастаған болатын. Олардың бірінде Қытай билігінің сертификаттау орталығынан болса, екіншісінде, жақында — DarkMatter шпиондық фирмасынан келген сертификаттар еді.

Барлық процесс үшін көп уақыт қажет. Сондықтан, егер браузер қандай да бір сертификаттау орталығын қабылдаған болса, онда оны шығарып тастау үшін бірнеше ай кетуі мүмкін.

MITM-шабуыл дегеніміз не?

Бұл «Саңырау телефон» немесе «Одан әрі айт» ойынына ұқсайды: хабарлама шеңбер бойынша таралады, әрбір қадам «құпия және құпия» болса да, ол соңғы хабарлама бастапқы сияқты болатынына кепілдік бермейді. Хабарлар жолда өзгертілуі, жіберілуі, жазылуы және т. б. мүмкін.

Қауіпсіздік сертификаты құрылғыны бұзудан қорғай ма?

Кем дегенде, қазақстандық билік пен мобильді операторлар сертификат сіздің смартфон мен компьютеріңізді бұзудан қорғайды деп сендіреді. Алайда сертификат арқылы қорғану киберқылмыспен күресудің ең тиімді шешімі емес. Егер 2016 жылы сертификат мемлекеттік қызметтерге арналған болса, онда қазіргі уақытта ол мәліметтерді оқуға арналғанына еш күмән жоқ.

2016 жылғы Mozilla өтінішінен үзінді

 

«Ата-ана бақылауы» туралы

Орнатылған сертификат қай домендерге кіру немесе тыйым салу керек екенін басқара алады. Мысалы, пайдаланушыға тек мемлекеттік сертификаттау орталығы мақұлдаған домендерге кіруге рұқсат етіледі.

Мұндай тәсілмен «ата-ана бақылауы» функциясын да жүргізуге болады, алайда ол үшін басқа да тәсілдер бар. Мысалы, «қара» тізімдегі домендерді бұғаттау үшін DNS пайдалану.

Қауіпсіздік сертификаты арқылы Facebook, жабық Telegram чаттардағы, шифрланған хабарларды және т. б. оқуға бола ма?

Бұл сертификат бірінші кезекте веб-сервистерге бағытталған. Сондықтан егер сіз поштаны немесе Facebook-ті браузерде пайдалансаңыз, онда шифрланған байланысты алмастыру арқылы сіздің хабарламаңызды ұстап алуы мүмкін. Стандартты емес HTTPS қолданатын қосымшалармен іс басқаша болады.

Мысалы, Telegram-да байланыстар тікелей шифрлау (end-to-end encryption) арқылы Telegram cloud бұлт қоймасына жіберіледі. Құпия чаттар үшін шифрлаудың басқа түрі — end-user encryption қолданылады. Егер сіз MTProxy протоколын пайдаланатын Telegram-ның өз проксиін пайдалансаңыз, онда Telegram сіздің хабарламаңызды оқи алмайды, ол тек IP-адресіңізді қадағалайды.

Егер сіз Thunderbird немесе TLS сияқты пошта клиенттерін пайдалансаңыз, онда сіз хаттарды еш алаңдамай оқып (IMAP) және жаза аласыз (SMTP). Алайда, криптографиялық қорғау сіздің пошта клиенті мен пошта сервері арасында ғана сенімді екенін есте сақтаңыз. Пошта серверінің сертификатын тексеріп көріңіз, сізге қажет екеніне көз жеткізіңіз. Егер күмәніңіз болса, тікелей шифрлауды, яғни GPG-ды пайдаланыңыз. Жалпы, барлық веб-сервистердің деректерін ұстап алуға болады.

Сертификат арқылы жеке мәліметтерді өзгерте ала ма? 

Иә. Сіз бен нақты сайт арасындағы делдал есебіндегі HTTPS-прокси арқылы байланыс орнатылғаннан кейін, байланыс контенін өзгертуге болады. Бұл процесті «екі түрлі» шифрланған каналдар түрінде көрсетуге болады. MITM-шабуыл хабарламаны қайта жіберуге, өшіруге немесе өзгертуге мүмкіндік береді.

Сертификат арқылы әлеуметтік желілердегі жеке парақшаларды бұғаттау мүмкін бе?

Иә. Деректер сеансы ашылғаннан кейін, сертификатты жасаушылар белгілі бір URL адрестерді бұғаттай алады. Мысалы, мысықтарға арналған топтарды жауып тастау болады:

https://www.facebook{.}com/CatLovers

Мұндай жағдайда VPN сервистері көмектесе ма?

Иә, егер олар, әрине, елде бұғатталмаған болса. Дегенмен, айта кететін бірнеше ескерту бар:

  • Тегін VPN пайдаланбаңыз, әсіресе ұялы телефондарға арналғандарын немесе әлеуметтік желілерде таратылатындарын. Көптеген фейк VPN-дар осы әдістерді қолданады.
  • Сілтемені қарап шығыңыз – онда әртүрлі VPN-дардың салыстырмалы кестесі бар.
  • Егер VPN пайдалану сізге қиындық тудырса, бәрін дұрыстап ойлап алыңыз.

Сертификатты орнату қауіпті ме?

Орнатылған сертификатпен кез келген интернет-байланыстар сізді фейк сайттарға апаруы мүмкін. Өз кезегінде олар сізге зиянды бағдарламалар орнатып, сөйлеген сөздеріңізді немесе басқа да жеке мәліметтеріңізді жазып алуы мүмкін. Өкінішке қарай, көптеген браузерлер кіріс деректерін автоматты түрде есте сақтап қалады және кейде сізді хабардар етпей, автоматты түрде сіздің логинге кіре береді. Сондықтан егер сіз сертификатты орнатқан болсаңыз, онда оны алып тастап, парольдеріңізді өзгертіңіз.

Сертификат тарапынан рұқсатсыз араласу тіркелді ме?

Иә. 17 шілдеден бастап араласу әрекеттері Нұр-Сұлтанда байқалуда. Атап айтқанда, бұл AS9198 KazTelecom операторының траффигіне қатысты. Мұндай нақты техникалық мәліметтерді Мичиган университетінің зерттеушілер тобы жүргізетін «Censored Planet» жобасы сипаттайды.

Мұны өзіңіз таба аласыз ба?

Иә, сіз мұны Қазақстаннан тыс жерлерден де көре аласыз:

openssl s_client -showcerts -connect 95.59.142.115:443 -servername www.facebook.com

Мысалы, егер біз facebook.com-мен байланыс орнатуға тырыссақ, онда Qazaq Trust Network қол қойған сертификатына тап боламыз.

26 шілдедегі жаңарту. Басқа зерттеушілердің хабарламалары бойынша сертификат тарапынан рұқсатсыз араласу анда-санда байқалады.