Алматы. 20 июля. КазТАГ – Власти Казахстана через свой сертификат безопасности смогут атаковать любые сайты, передающие данные по HTTPS-протоколу (предназначенному для шифрования данных в целях повышенной безопасности – КазТАГ), сообщает латвийское издание Meduza.
«Власти получат контроль над зашифрованным трафиком? Они смогут осуществлять атаку «человек посередине» (man-in-the-middle, MITM-атака – КазТАГ) на любой сайт, передающий данные с использованием HTTPS протокола: сгенерировать поддельные сертификаты для любого сайта; заверить их сертификатом, который установил пользователь; подменить оригинальные сертификаты своими; расшифровать весь трафик от сервисов типа Google или Facebook», — говорится в сообщении.
Поясняется, что при открытии страницы с адресом, начинающимся с «https://», сайт передает браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение, после чего трафик между сайтом и браузером никто не сможет расшифровать.
«Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом – например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации», — сказано в материале.
Казахстанские провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Отмечается, что «теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов».
«Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности», — говорится в сообщении.
17 июля пресс-служба министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана заявила о том, что «уполномоченными органами совместно с операторами связи в городе Нур-Султан проводятся технические работы, направленные на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». «В случае возникновения проблем с доступом к отдельным интернет-ресурсам» в ведомстве рекомендовали «проверить регистрацию мобильных устройств (сотовых телефонов и планшетов), установить сертификат безопасности (размещен на сайтах операторов связи) или обратиться в call-center операторов связи».
Сразу же после этого абоненты мобильной связи в столице начали получать сообщение с рекомендацией установить предложенный властями Казахстана «сертификат безопасности».
«Согласно законодательству РК, рекомендуем установить сертификат безопасности на устройство, имеющее выход в интернет. Пошаговые инструкции: http://qca.kz/
Отметим, что при попытке перейти на указанный сайт через обычные браузеры персональных компьютеров антивирусы многих пользователей не позволили наладить соединение.
«Безопасность вашего соединения снижается. Преступники могут попытаться украсть ваши данные с сайта. Вам рекомендуется покинуть этот сайт», — говорится, например, в уведомлении антивируса «Лаборатории Касперского» при попытке посетить указанный сайт.
19 июля вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов заявил, что казахстанцам «предоставлена возможность» «добровольно» устанавливать указанный сертификат, отметив, что его по желанию можно не устанавливать. По его словам, реализуемый в Нур-Султане проект является «пилотным». Он отметил, что соответствующая законодательная норма была введена еще в 2015 году.