Власти РК через свой сертификат смогут атаковать сайты, передающие данные по HTTPS – СМИ

Алматы. 20 июля. КазТАГ – Власти Казахстана через свой сертификат безопасности смогут атаковать любые сайты, передающие данные по HTTPS-протоколу (предназначенному для шифрования данных в целях повышенной безопасности – КазТАГ), сообщает латвийское издание Meduza.

«Власти получат контроль над зашифрованным трафиком? Они смогут осуществлять атаку «человек посередине» (man-in-the-middle, MITM-атака – КазТАГ) на любой сайт, передающий данные с использованием HTTPS протокола: сгенерировать поддельные сертификаты для любого сайта; заверить их сертификатом, который установил пользователь; подменить оригинальные сертификаты своими; расшифровать весь трафик от сервисов типа Google или Facebook», — говорится в сообщении.

Поясняется, что при открытии страницы с адресом, начинающимся с «https://», сайт передает браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение, после чего трафик между сайтом и браузером никто не сможет расшифровать.

«Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом – например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации», — сказано в материале.

Казахстанские провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Отмечается, что «теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов».

«Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности», — говорится в сообщении.

17 июля пресс-служба министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана заявила о том, что «уполномоченными органами совместно с операторами связи в городе Нур-Султан проводятся технические работы, направленные на усиление защиты граждан, государственных органов и частных компаний от хакерских атак, интернет-мошенников и иных видов киберугроз». «В случае возникновения проблем с доступом к отдельным интернет-ресурсам» в ведомстве рекомендовали «проверить регистрацию мобильных устройств (сотовых телефонов и планшетов), установить сертификат безопасности (размещен на сайтах операторов связи) или обратиться в call-center операторов связи».

Сразу же после этого абоненты мобильной связи в столице начали получать сообщение с рекомендацией установить предложенный властями Казахстана «сертификат безопасности».

«Согласно законодательству РК, рекомендуем установить сертификат безопасности на устройство, имеющее выход в интернет. Пошаговые инструкции: http://qca.kz/ Отсутствие данного сертификата может привести к проблемам с доступом к отдельным Интернет-ресурсам», — говорится в сообщении, которое получили абоненты одного из сотовых операторов.

Отметим, что при попытке перейти на указанный сайт через обычные браузеры персональных компьютеров антивирусы многих пользователей не позволили наладить соединение.

«Безопасность вашего соединения снижается. Преступники могут попытаться украсть ваши данные с сайта. Вам рекомендуется покинуть этот сайт», — говорится, например, в уведомлении антивируса «Лаборатории Касперского» при попытке посетить указанный сайт.

19 июля вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов заявил, что казахстанцам «предоставлена возможность» «добровольно» устанавливать указанный сертификат, отметив, что его по желанию можно не устанавливать. По его словам, реализуемый в Нур-Султане проект является «пилотным». Он отметил, что соответствующая законодательная норма была введена еще в 2015 году.