Qaznet сертификаты деген не және ол қауіпсіз бе?

17-18 шілдеде Қазақстанның ұялы операторлары өз абоненттеріне «ұлттық қауіпсіздік сертификатын орнату қажет» деген хабарлама жіберген болатын. Оны http://qca.kz сайтынан жүктеп алу керек екен. Сертификатты орнатпаған жағдайда операторлар интернетке шығу проблемалары туралы ескертеді. Байланыс операторлары дәл осы сертификатты бұған дейін наурыз айында орнатуға шақырған еді, алайда ол кезде тек сайттағы хабарламамен шектелді. 

Бұл өзі қандай сертификат, ол қауіпсіздікті арттыра ала ма және жалпы оны орнату керек пе?

Тексеру қорытындылары туралы бірден хабарлайтынымыз

  1. Сертификатты орнату міндетті емес. Себебі ҚР заңында ондай талап жоқ. Ол тек байланыс операторларына қатысты.
  2. Бұл сертификатты орнату – қауіпсіз емес. Сіздің мәліметтеріңіз, соның ішінде жеке ақпараттарыңыз үшінші тұлғаларға, тіпті төртінші және бесінші қол жетімді болады.
  3. Бұл сертификат – пошта және мессенджерлерде шифрланбаған хабарламаларды қоса алғанда, елдегі барлық трафикті бақылауға алудың тікелей әрекеті.
  4. Осы сертификат бұзылған жағдайда сіздің мәліметтеріңіздің ұрлануына кім жауап беретіні және оның әзірлеушісі мен тапсырыс берушісінің жауапкершілігі қандай екені түсініксіз.
  5. Сертификат орнатылатын сайттың өзі ашық мәліметтер бойынша — ҰҚК-де жұмыс істейтін жеке тұлғаға тіркелген. Сертификат туралы ақпарат ашық емес, ал сарапшылардың сөзінше оны әзірлеудегі жұмыстар әдістері ескірген.
  6. Егер сертификат бүкіл ел бойынша енгізілсе, бірден-бір қауіпсіз шешім – соңғы нұсқадағы ақылы VPN-сервистерін пайдалану. 

Енді – толық деректер.

Сертификатты орнату қажет пе?

Жауап – жоқ. «Байланыс туралы» ҚР Заңы азаматтарды осы сертификатты орнатуға міндеттемейді. Заң тек байланыс операторларына қатысты. Осыған қоса 19 шілдеде ҚР Цифрлы даму вице-министрі Абылайхан Оспанов та орнатудың қажет/міндет емес екенін мәлімдеді. Сондықтан ұялы операторлардың «сертификатты орнату қажеттілігі» туралы барлық хабарламалары лингвистикалық манипуляция және олар пайдаланушыларды жаңылыстырады. Пайдаланушы үшін мұндай «қажеттілік» жоқ.

Сертификат дегеніміз не және ол сіздің трафигіңізге қалай әсер етеді?

Вице-министр Оспанов сертификат қауіпсіз дейді. Расында солай ма? 

Қазіргі уақытта сіздің трафигіңіз көптеген сайттарда пайдаланылатын HTTPS-хаттамасымен және технологиялық алыптардың қатаң бақылауы мен бағалауынан өткен сенімді әзірлеушілер шығарған сертификаттармен жақсы қорғалған. «Ұлттық сертификатты» орнатқаннан кейін (ішкі тексеруден басқа ешқандай тексеруден өтпеген) шифрланған трафик шифрленіп, кейін қайта шифрланады. Осы аралықта сертификатты жасаушылар сіздің трафикке қол жеткізе алады. Яғни «Ортадағы адам» (man in the middle) жағдайы туындайды — сіздің браузеріңіз бен соңғы сайт арасындағы тікелей байланыстың орнына араларыңызда үшінші жақ пайда болады. Енді оның барлық салдарын ойлай беріңіз.

Сертификатты жасаушылар қай заттарға рұқсат алады?

Сертификатты жасаушылар (немесе жасауға тапсырыс беруші) сіздің барлық мәліметтеріңізді көре алады, демек әлеуметтік желілердегі посттар, кірген сайттар мен сатып алу тарихыңыздан бастап аз қорғалған чаттардағы жеке хаттарыңызға дейін оқи алады. Тіпті парольдарыңызды да көре алуы мүмкін. Іс жүзінде, Qaznet сертификатын орнату арқылы, сіз өз мәліметтеріңізді үшінші тарапқа ашып бересіз. Сонымен қатар, үшінші тарап сіздің трафикті оқып қана қоймай, оны өзгерте алады. Сертификатқа құқық берген кезде, сіз оған браузердегі кез келген сайттарға арналған сертификаттарды өзгертуге мүмкіндік бересіз. Ешқандай кепілдік және тіпті түсінікті келісім жоқ, сіз сертификатқа өз мәліметтеріңізге толық жол ашасыз.

View this post on Instagram

#qaznet #казнет #менояндым

A post shared by ⚡️RUKH (@rukh2k19) on

Mozilla мамандары сертификатты сынақтан өткізіп, шифрлеуді ауыстыру болғанын дәлелдеді.

Яғни деректер таралып кеткен жағдайда, қаскөйлер сіз жіберген контентті өзгерте алады (айтпақшы, бұны сертификатты жасаушының өзі де істей алады). Жалпы, сертификатқа толық қол жеткізіп, иеленген адам сіз интернеттен алатын және жіберетін кез келген контентіңізді ауыстыра алады. Мысалы, сіз әлеуметтік желіге зиянсыз суретті жібересіз, ал нәтижесінде – экстремистік контентті жариялайсыз. Немесе сізге шын жаңалықтардың орнына ойдан шығарылған немесе цензураға ұшыраған кез келген контентті алмастырып, көрсете алады.

Браузерлерді жасаушылар осы сертификатты пайдалану кезінде пайда болып, алдын ала ашылмайтын, қауіп туралы хабарлайтын арнайы баннерді енгізу нұсқасын қарастырып жатыр. Теория жүзінде Google, Mozilla және басқалары бұл сертификатты өз браузерлерінде оп-оңай бұғаттап тастай алады. 

Ойланатын нәрсе — сіз осы сертификатты жасағандарға қаншалықты сенесіз және оның адалдығына сенімдісіз бе (сертификатты жасаушы туралы төменде оқыңыз).

Жоғарыда айтылғандарды ескере отырып, біз бұл сертификатты мүлдем орнатпауға кеңес береміз.

Сертификатты кім жасады?

http://qca.kz / сайты – 2019 жылы 20 маусымда Астана қаласында Асқар Дүйсекеевке тіркелген. Мекен-жай ретінде Министрліктер үйі көрсетілген. Айтпақшы, осы сайттың өзін заманауи браузерлер қауіпті ретінде анықтайды.

Іздестіру қызметтері Асқар Дүйсекеевтің әлеуметтік желідегі профайлдарын көрсетеді. LinkedIn сайтында Асқар Дүйсекеев деген әлдебіреу IT

департаментінің директоры ретінде белгіленген. Ал биосында келесі кәсіби қызығушылықтары көрсетілген: киберқылмыстар, кибершабуылдар, криптография, сандық криминалистика және хакерлік бағдарламаларды талдау. Дюсекеев бұдан басқа Ransomware Analyzer жобасына қатысқанын көрсетеді. Бұл құрал бопсалайтын бағдарламалар мінез-құлқын талдайды.

AD

Мәскеулік Positive Hack Days практикалық қауіпсіздік форумы сайтында 2017 жылғы қатысушылар мен олардың халықаралық конкурсқа іріктеуден өткен жұмыстары көрсетілген. Олардың арасында Асқар Дүйсекеев пен Ransomware Analyzer жобасы бар. Дүйсекеев Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің мемлекеттік техникалық қызметінің қызметкері ретінде көрсетілген.

Дюсекеев Ақпарат министрлігінде нақты қандай департаментті басқарады? «site:*.gov.kz дюсекеев» деген іздеу сұранысы арқылы «Зерде» холдингінің сайтында Дүйсекеев А. М. деген адамды табуға болады. Атап айтқанда ол «Ақпараттық технологиялар» стандарттау жөніндегі №34 техникалық комитет мүшелерінің құрамында (қысқаша ТК-34) жүр. Онда ол ҚР Ұлттық қауіпсіздік комитетінің қызметкері ретінде көрсетілген. Бұл сол Дюсекеев пе? Әкесінің аты арқылы тексеріп көреміз. 

Қазақстанның салық төлеушілері базасында бірнеше Асқар Дүйсекеев бар. LinkedIn сайтындағы фотосы мен Facebook-тегі аккаунтын қарап көрсек, оның жасы 25-35 шамасында.

Сонымен қатар оның әкесінің аты «М» әрпінен басталуы керек. Ашық базаларда бұған тек бір адам ғана сәйкес келеді — Дүйсекеев Асқар Мұқанұлы, 1989 жылы туған. Қалған Асқар Дүйсеековтер 50 жастан асқандар.

№34 техникалық комитеті немен айналысады?

Ол 2001 жылы Қазақстан Республикасы Экономика және сауда министрлігінің Стандарттау, метрология және сертификаттау жөніндегі комитетінің бұйрығымен «Зерде» Ұлттық инфокоммуникациялық холдингі» АҚ базасында құрылды. ТК-34 құрудың негізгі мақсаты – ақпараттық технологиялар саласында техникалық реттеу жүйесін қалыптастыруға қатысу.

Қаржыландыру көздеріне қатысты Комитет ережесінде мыналар айтылған:

  • 6.1 ТК-34 жұмыстарын қаржыландыруды мүдделі ұйымдар шарттық негізде жүзеге асырады.
  • 6.2 Мемлекеттік бағдарламалар құрамында орындалатын жұмыстар республика бюджетінен қаржыландырылады. 
  • 6.3 ТК-34 қызметін қаржыландыру көздері:

— нормативтік және әдістемелік құжаттарды әзірлеуге бөлінетін мақсатты бюджеттік және бюджеттен тыс қаражат; 

— Қазақстан Республикасының заңнамасымен тыйым салынбаған басқа да көздер.

«Зерде» холдингінің еншілес компаниялары арасында «Қазтелерадио» АҚ және Astana Hub IT стартаптарының халықаралық технопаркі, сондай-ақ egov.kz электрондық үкімет порталын жасаушылар және «Ұлттық ақпараттық технологиялар» АҚ-ның «Қазақстанның қалқаны» киберқауіпсіздік концепциясын әзірлеушілері бар.

Не істеу керек?

  • Біріншіден, бұл сертификатты орнатпау керек және ол талап ететін рұқсат келісімдерін бермеу қажет. 
  • Екіншіден, сертификатты орнату ерікті іс екенін есте сақтау қажет және ешкім сізді бұған мәжбүр ете алмайды. Себебі бұл заңға қарсы болар еді. 
  • Үшіншіден, егер сертификат бүкіл ел бойынша енгізілетін болса, онда заманауи ақылы VPN-сервистерін пайдалану – жалғыз қауіпсіз шешім болады. Өйткені көптеген тегін VPN-дар осал болып қалады.

Контекст 

Қазақ қалқаны 2.0 

Осындай сертификатты енгізудің алғашқы әрекеті 2015 жылы болды. Ол кезде оны Mozilla өшіріп тастады. Себептерін жоғарыда тізіп бердік. Басты мәселе – «ортадағы адам». Mozilla өзін, ең алдымен, пайдаланушылардың құпиялылығын қамтамасыз ететін компания ретінде көрсетеді, сондықтан құпиялылықтың мұндай бұзылуы олар үшін мүмкін емес. 

Ресми дерек көздері бұл пайдаланушылардың игілігі үшін жасалатынын айтса, мемлекетке тәуелді байланыс операторлары оларды қостап отыр. Алайда, біз көріп отырғанымыздай, сертификаттың пайдадасынан гөрі қауіпті тұстары көп. Бұған қоса, тіпті, ЦРУ-дың сенімді сертификаттары да бұзылған, сондықтан ұлттық сертификатты бұзудың салдары өте қауіпті болуы мүмкін.

Шыдамды оқырмандар үшін

Павел Банников
Журналист, редактор. Филолог-славист. Соавтор и составитель ряда работ по журналистике и языку вражды. Работал журналистом и редактором в различных научно-популярных, развлекательных и общественно-политических изданиях Казахстана. Главный редактор проекта «Фактчек в Казахстане». Медиатренер, создатель образовательного проекта Factcheck.Academy