Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов с просьбой установить на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — «сертификат безопасности».
Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». Kcell заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». Beeline и Tele2 сослались на необходимость ограничить распространение противоправной, запрещенной информации. Altel просто указал на требование закона.
Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.
Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:
- сгенерировать поддельные сертификаты для любого сайта,
- заверить их сертификатом, который установил пользователь,
- подменить оригинальные сертификаты своими,
- расшифровать весь трафик от сервисов типа Google или Facebook.
Когда мы открываем страницу с адресом, начинающимся с https://, сайт передает нашему браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение. Теперь трафик между вашим сайтом и браузером никто не сможет расшифровать.
Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.
Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.
То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета?
Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности».
