«Сертификат безопасности»: Преступление без наказания?

В настоящее время, по моему мнению, сотрудники одного или нескольких государственных органов Республики Казахстан при содействии ряда коммерческих структур совершают преступление против Народа Казахстана.

Нет, я не принимал запрещённых веществ. Давайте попробуем разобрать всё по полочкам.

Что же происходит? А происходит то, что нам обманным путём навязывают совершение действий, приводящих к уменьшению уровня информационной безопасности каждого, кто установит так называемый «сертификат безопасности». Что, в свою очередь, неминуемо приведёт к материальным потерям со стороны граждан. Как это квалифицируется в уголовном праве? Мошенничество? Вполне возможно, совершённое группой лиц, по предварительному сговору, с использованием служебного положения, совершённое общественно опасным способом. А если это всё ради того, чтобы оправдать осуществлённые ранее неоправданные затраты из государственного бюджета на закуп товаров и услуг, то, возможно, ещё и с целью сокрытия ранее совершённого преступления.

Почему обманным путём? Потому что часть того, что официально говорят в поддержку установки сертификата — ложь, а о недостатках не распространяются вообще.

Для тех, кто меня не знает: я не политолог, не правозащитник, не философ. Я — обычный инженер, получивший высшее техническое образование по специальности «Защита и безопасность информации» и немногим более 20 лет применяющий свои знания и умения на практике.

Итак, возьмём, для начала, комментарии вице-министра МЦРИАП РК Аблайхана Оспанова, озвученные им 19 июля на брифинге в Правительстве. Насколько мне известно, других официальных заявлений от государственных органов не было. Во избежание недоразумений, даю ссылку на материал, где я почерпнул цитаты.

Данная норма была включена в закон «О связи» еще в 2015 году. Сегодня операторы обязаны предоставлять такую возможность населению — загружать, устанавливать сертификат технической безопасности на свои устройства.

Да, в законодательстве РК такие нормы есть. Они, по моему мнению, неоднозначные, но есть. Уверен, если бы у операторов связи была хоть малейшая возможность законно не делать то, что они сделали, они бы ей воспользовались.

Есть хорошие плюсы. Он позволит вам не посещать фишинговые сайты. Вы знаете, что есть такие сегодня в рамках хакерских атак, когда вас направляют с одного сайта на другой сайт, где возможна утечка персональных данных, которые вы храните. Это те же самые сведения о ваших платежных картах и всех транзакциях, которые вы проводите.

Установка национального сертификата никак не поможет борьбе с фишингом. А, с учётом того, как он внедряется, легко может навредить. Делая такое заявление, вице-министр не только проявляет неуважение к народу, поскольку откровенно лжёт, но и бросает тень на всех сотрудников министерства, где пока ещё есть светлые головы.

Вы можете не устанавливать сертификат, тем самым, интернет у вас не отключится. У вас будет полный доступ. Давайте посмотрим.

Да, вы можете не устанавливать сертификат (пока), весь интернет не отключится (пока). Но вот полного доступа не будет. В социальных сетях граждане уже выкладывали скриншоты, где видно, что некоторые популярные сайты не открываются. Но и даже с установленным сертификатом сайты могут не открываться по инициативе самого сайта либо производителя браузера. Сделано это будет по причине обнаружения подмены сертификата сайта на пути от браузера пользователя до сервера. А это признаки хакерской атаки Man-In-The-Middle (MITM, человек посередине): когда злоумышленник находится на пути трафика между источником и получателем трафика. Как следствие, злоумышленник получает возможность анализировать весь такой трафик (в том числе, пароли, данные кредитных карт и т.п.).

Сейчас производители браузеров и операционных систем пытаются прийти к пониманию, как поступать с тем, что происходит у нас в стране? Звучат разные предложения: от вывода нескрываемого сообщения с рисками посещения сайтов, до занесения нашего национального «сертификата безопасности» в чёрный список. В последнем случае, при установленном национальном «сертификате безопасности» сайты вообще перестанут открываться.

Кроме того, у «компетентного» государственного органа (да, всё верно, рубильник не у операторов связи) появится возможность закрыть доступ к любым сайтам, если вы используете шифрование (https:// в начале адреса сайта) и у вас не установлен национальный сертификат безопасности. Об этом почти открытым текстом говорится в сообщении, распространяемом операторами сотовой связи:

В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным Интернет-ресурсам.

Ну и на сладкое. Помимо ограничения доступа к «вредной» для вас информации и доступа к вашей конфиденциальной информации, «компетентный» государственный орган получит возможность изменять информацию, идущую от сайта в ваш браузер. Например, менять слово «Аблязов» на «Иванов». А можно и наоборот: отправляете, значит, вы сообщение «Кто со мной сегодня в кино?», а на сайт оно дойдёт как «Кто со мной сегодня на несанкционированный митинг?».

Да, конечно, я не настаиваю на том, что это всё непременно будет происходить прямо сейчас, но государство создаёт возможность это реализовать. То, что этим будут пользоваться в будущем, у меня сомнений не вызывает. А будут пользоваться и те, кому это положено по долгу службы, и те, кто захочет незаконно обогатиться за ваш счёт.

Надо отметить, что сертификаты безопасности были изобретены не 17 июля 2019 года. Это было сделано гораздо раньше. На них базируется почти вся безопасность в интернете. Так в чём же дело, спросите вы? Чем наш национальный «сертификат безопасности» плох? Хотя бы тем, что он не является доверенным согласно принятым в интернете нормам и правилам. В мире есть несколько доверенных центров сертификации, информация о которых занесена в браузеры и операционные системы. Они прошли соответствующие проверки. Наш не прошёл и не был включен в список доверенных. Сейчас нам предлагают его установить (скачать) вручную и самостоятельно указать, что он для нас является доверенным.

Предлагают это, мягко говоря, топорно. Сам факт того, что «сертификат безопасности» предлагается скачать с сайта, не использующего шифрование трафика — та ещё дыра в безопасности. Ведь уже на этапе скачивания его можно подменить на несколько другой, а вы собственноручно дадите ему статус доверенного на своих устройствах.

Если же заглянуть в глаза самому сертификату, станет ещё интереснее. Вот так выглядит один из сертификатов, выданный РГП «Государственная техническая служба», о чём в нём написано открытым текстом.

А вот так выглядит национальный «сертификат безопасности», который предлагается скачать с сайта http://qca.kz/. Ни слова о принадлежности к какому бы то ни было государственному органу.

Ну и посмотрим, как выглядит информация о сертификате Facebook. Он выдан DigiCert Inc и подписан соответствующими сертификатами, которые включены в список доверенных в операционных системах и браузерах.

Полагаю, тут у вас может возникнуть вопрос, а если парни из DigiCert Inc вдруг «захотят» сотрудничать с какой-либо спецслужбой США, разумеется, в рамках обеспечения национальной безопасности США? Теоретически, конечно, нельзя отрицать такой возможности. И, если таки «захотят», все прелести с чтением трафика будут такими же, как было описано для нашего национального «сертификата безопасности». Вот только если станет известно даже об одном таком случае (а при использовании сертификатов для атаки MITM скрыть это не получится), сертификаты этой компании признают недоверенными, а значит, автоматически станут недоверенными все сертификаты, подписанные ими. Скандал получится знатный. Весь их весьма немалый бизнес пойдёт коту под хвост, да и на полное государственное обеспечение на существенный срок придётся заехать. Другими словами, я расцениваю вероятность такого события как ничтожно малую.

Кроме того, если в нормальном режиме для доступа к Facebook используются сертификаты, подписанные DigiCert Inc, то в случае успешного запуска национального «сертификата безопасности» в режиме MITM, от браузера пользователя до специального устройства компетентного органа будет шифроваться национальным сертификатом, а от специального устройства до Facebook всё тем же сертификатом DigiCert Inc. Т.е. при такой схеме просто добавится шифрование нашим сертификатом. Увеличит ли это уровень вашей информационной безопасности? Конечно же нет.

Можно предположить, что под видом декларируемых благ для граждан нашей страны, государство пытается обеспечивать национальную безопасность Республики Казахстан, просто стесняется об этом рассказать. Если так, то цель, конечно, благородная, вот только не вяжется это с Законом РК 6 января 2012 года №527-IV «О национальной безопасности Республики Казахстан».

Согласно данному закону, обеспечение национальной безопасности — деятельность субъектов национальной безопасности, направленная на защиту национальных интересов от реальных и потенциальных угроз. А национальные интересы — совокупность законодательно признанных политических, экономических, социальных и других потребностей Республики Казахстан, от реализации которых зависит способность государства обеспечивать защиту прав человека и гражданина, ценностей казахстанского общества и основ конституционного строя.

Так вот, в нынешних действиях с национальным «сертификатом безопасности» лично я не вижу защиты ни прав человека и гражданина, ни ценностей казахстанского общества, ни основ конституционного строя.

МЦРИАП РК, МВД РК, КНБ РК. Мне доподлинно неизвестно, высокопоставленный сотрудник какого из вышеперечисленных органов государственной власти является инициатором этого проекта (хочется верить, что не МЦРИАП РК), но опыт подсказывает, что служит он в одном из них. Будет неплохо, если он выступит с заявлением и признается, что это он. Народ должен знать своих «героев» в лицо. Хотя, это мог быть и Президент РК. Если это так, тоже самое время для признаний.

Сотрудники операторов связи РК, многих из вас я знаю лично, с кем-то мы работали в разное время вместе, с кем-то до сих пор поддерживаем тесный контакт, с кем-то нас связывает многолетняя дружба. Да, я понимаю, вы не один год пытались донести до тех, кто принимает решение, информацию о вреде таких мер. Да, я понимаю, что написанное ниже может вам не понравиться, а некоторые вполне могут занести меня в список своих врагов. Но истина дороже. Сейчас вы — соучастники. Все, кто причастен к исполнению этого преступного, по моему мнению, пилотного проекта, от первых руководителей компаний, до сотрудников, запустивших SMS-рассылку про установку сертификата. В отличие от парней в погонах (они обязаны исполнять приказы), у вас был выбор. Вы скажете: «Какой выбор? Это требование законодательства!». Допустим, законодательство нашей страны действительно это требует. Но ведь никто не мешал отказаться и уйти по собственному желанию. Я понимаю, что потерять сейчас не самую плохую позицию в далеко не самой плохой компании — та ещё радость, здесь каждый из вас сам для себя делал выбор. Вы чётко осознавали и осознаёте возможные последствия работы «сертификата безопасности» для граждан в том виде, в котором он сейчас есть. Так что, повторюсь, для меня вы — соучастники того, что я называю преступлением против Народа. Некоторым из вас я уже сказал это в личной беседе. Если хотите подискутировать дополнительно, всегда открыт к диалогу с профессионалами в своей области.

А что же в мире? Как там с национальными «сертификатами безопасности»? Насколько мне известно, ни один аналогичный проект в мире не был успешным. Однако, некоторые компании используют собственные сертификаты на своих серверах и на рабочих устройствах сотрудников. Но, согласитесь, взаимоотношения работодатель-работник и государство-гражданин — не одно и то же.

Народ Казахстана, соотечественники, вы — свободные люди Великой Степи и вполне способны самостоятельно решить, устанавливать на свои устройства национальный «сертификат безопасности» или нет. Перед собой поставил задачу лишь доступно рассказать о своём видении происходящего, плюсах и минусах установки сертификата. Я не прошу верить мне или кому бы то ни было ещё. Получите информацию из разных источников, сопоставьте и сделайте выводы. Каким бы ни был ваш выбор, я отнесусь к нему с уважением.

Vladimir Turekhanov ・ July 21, 2019

 

вернуться