08.12.2020, 14:23
Platon Asia

«Сертификат безопасности» на самом деле небезопасен – эксперт

Предложенный государственными органами Казахстана «сертификат безопасности» небезопасен, считает президент Интернет Ассоциации Казахстана Шавкат Сабиров, передает platon.asia со ссылкой на КазТАГ.
фотография из открытых источников

«Мировым сообществом, ICANN (Корпорация по управлению доменными именами и IP-адресами – КазТАГ), RIPE (европейский интернет-регистратор – КазТАГ), но и всеми остальными было признано, что национальные сертификаты безопасности – самая неудачная, самая небезопасная затея», - сказал Сабиров во вторник, комментируя редакции предложение госорганов казахстанцам установить на их устройства с выходом в интернет национальный «сертификат безопасности».

Он пояснил, что речь не идет о том, что пользователя будут контролировать или следить за ним.

«Страшнее другое – во-первых, это небезопасно с точки зрения того, что со стороны могут такой сертификат взломать и тогда все наши данные утекут хакеру. Во-вторых, данные, которые мы через этот сертификат будем передавать, они предоставляют конфиденциальные данные и хотя государство «не собирает», мы все равно выражаем сомнения относительно того, что этими данными потом кто-то не воспользуется в плохих целях. Человеческий фактор в Казахстане сыграет 100%, потому что, к сожалению, у нас человеческий фактор является самым слабым звеном во всех вещах», - пояснил собеседник агентства.

Комментируя заявление председателя комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности Руслана Абдикаликова о том, что в смартфонах «содержатся порядка 100 сертификатов других стран», Сабиров выразил мнение, что речь идет о подмене понятий.

«Здесь игра слов, в том смысле что, вы же на своем сайте (КазТАГа – ред.) тоже такие сертификаты используете. «Если хочешь гулять, возьми мой сертификат и гуляй с моим сертификатом» – по всему миру такого нет. Потому что в мире огромное количество придумывают различных инструментов для того, чтобы сделать интернет безопасным. Есть IP сайта, которое дает защиту твоего IP-адреса. Есть DNS, он дает защиту твоих DNS-ов, чтобы у тебя DNS-ы не воровали. Наиболее в практике используется как DNS транссек – от слова security», - пояснил эксперт.

Он привел пример, когда на западе пытались внедрить схожий с казахстанским «сертификат безопасности».

«Еще в 2010-х была попытка установления таких общих сертификатов на национальных масштабах. Это та самая первая попытка. В 2011 году такой сертификат поставили в Голландии, и поставила это компания DigiNotar всем правительственным структурам. Они там просуществовали совсем короткое время, потому что сертификат взломали. И практически вся информация, которая была в государственных органах, стала доступна хакерам. После правительство Голландии обанкротило это агентство. И в каждом департаменте появились департаменты кибербезопасности, и категорически отказалась (Голландия – КазТАГ) от этой идеи, потому что риски, угрозы такие большие, что не дай Бог кто-нибудь взломает», - поделился Сабиров.

Также он привел пример Ирана, где также был печальный опыт внедрения «сертификата безопасности».

«2010-2011 год – Иран поставил сертификат. Буквально три месяца – его взломали. 300 тыс. gmail-аккаунтов вместе с логинами, паролями оказались доступны всему миру», - сказал собеседник.

Глава Интернет-Ассоциации Казахстана, резюмируя, назвал идею «сертификата безопасности» ужасной.

«Здесь три основных глобальных пункта, по которым во всем мире признана небезопасной установка таких сертификатов в национальных масштабах: первое, то, что его могут взломать; второе, то, что свои приватные данные могут быть доступны государству; третье, что данные могут продать третьим лицам. Сертификаты есть. Во всем мире они выдаются. Самый ужасный путь – это выдавать сертификаты на национальном уровне», - заключил Сабиров.

7 декабря глава комитета информбезопасности Руслан Абдикаликов, отвечая на вопрос о том, почему крупные интернет-компании, такие как Google, Mozilla и Apple выразили в 2019 году недоверие казахстанскому «сертификату безопасности» и заблокировали его, заявил о том, что в смартфонах «содержатся порядка 100 сертификатов других стран». По его словам, проблема недоверия в том, что «мы входим в ОДКБ, мы не входим в НАТО». Также он открыто дал понять, что установка «сертификата безопасности» нужна в интересах казахстанских спецслужб. В МЦРИАП, отвечая на запрос МИА КазТАГ, сообщили, что заявление Абдикаликова не отражает позицию министерства. Министерство иностранных дел воздержалось от комментариев, однако источник в МИД сообщил агентству, что внешнеполитическое ведомство оставляет заявление Абдыкаликова про ОДКБ и НАТО в компетенции МЦРИАП.

Ранее – 5 декабря министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана совместно с комитетом национальной безопасности (КНБ) сообщило о запланированных с 6 декабря в Нур-Султане учениях «Кибер-безопасность Нур-Султан-2020». В числе прочего, власти вновь попросили граждан установить раскритикованный годом ранее «сертификат безопасности».

6 декабря жители Нур-Султана начали испытывать проблемы с выходом в интернет – школьники не могли сдать ответы на домашние задания, в магазинах «зависли» системы безналичной оплаты. 7 декабря в МЦРИАП извинились за возникший сбой и дали свое объяснение причинам использования «сертификата безопасности».

Напомним, 17 июля 2019 года МЦРИАП Казахстана заявил о том, что «уполномоченными органами совместно с операторами связи в городе Нур-Султан проводятся технические работы, направленные на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». «В случае возникновения проблем с доступом к отдельным интернет-ресурсам» в ведомстве рекомендовали «проверить регистрацию мобильных устройств (сотовых телефонов и планшетов), установить сертификат безопасности (размещен на сайтах операторов связи) или обратиться в call-center операторов связи».

Сразу же после этого абоненты мобильной связи в столице начали получать сообщение с рекомендацией установить предложенный властями Казахстана «сертификат безопасности». В сообщении говорится, что «отсутствие данного сертификата может привести к проблемам с доступом к отдельным Интернет-ресурсам».

При попытке перейти на указанный сайт с сертификатом через обычные браузеры персональных компьютеров антивирусы многих пользователей не позволили наладить соединение.

«Безопасность вашего соединения снижается. Преступники могут попытаться украсть ваши данные с сайта. Вам рекомендуется покинуть этот сайт», - говорилось, например, в уведомлении антивируса «Лаборатории Касперского» при попытке посетить указанный сайт.

19 июля 2019 года вице-министра цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов заявил, что казахстанцам «предоставлена возможность» «добровольно» устанавливать указанный сертификат, отметив, что его по желанию можно не устанавливать. По его словам, реализуемый в Нур-Султане проект является «пилотным». Он отметил, что соответствующая законодательная норма была введена еще в 2015 году.

В тот же день латвийское издание Meduza заявило о том, что власти Казахстана посредством сертификата получат контроль над зашифрованным трафиком. По сообщению издания, власти смогут осуществлять атаку «человек посередине» (man-in-the-middle, MITM-атака) на любой сайт, передающий данные с использованием HTTPS протокола: сгенерировать поддельные сертификаты для любого сайта; заверить их сертификатом, который установил пользователь; подменить оригинальные сертификаты своими; расшифровать весь трафик от сервисов типа Google или Facebook.

Планы властей контролировать содержимое трафика вызвали возмущения среди широкой общественности.

В Нур-Султане, Алматы и Караганде были поданы гражданские иски против операторов связи, касающиеся указанных сертификатов. Истцы потребовали признать незаконным навязывание сертификата абонентам.

6 августа 2019 года КНБ Казахстана заявил о прекращении тестирования «сертификата безопасности» с 7 августа, а президент РК Касым-Жомарт Токаев заявил, что тестирование проводилось по его поручению «по программе Киберщит».