Браузеры против "Большого брата"
Apple, Google, Microsoft и Mozilla заблокировали шпионский сертификат, навязываемый пользователям властями в Казахстане
Оригинал этого материала© CNews.ru, 21.12.2020, Chrome, Edge, Firefox и Safari не будут работать с ПО, которым власти Казахстана шпионят за гражданами
Эльяс Касми
Google и Apple вместе с Microsoft и Mozilla заблокировали в своих браузерах шпионский сертификат, который власти Казахстана начали навязывать пользователям в декабре 2020 г. Он позволяет правительству контролировать весь интернет-трафик, и разработчики посоветовали не ставить его или пользоваться VPN-сервисами, если установка все же была произведена.
Бойкот слежке за пользователями
Компании Apple, Google, Microsoft и Mozilla выступили против решения властей Казахстана отслеживать любой, даже шифрованный трафик своих граждан и гостей страны. Чиновники хотят контролировать все перемещения людей по интернету и угрожают блокировкой доступа к зарубежным веб-сервисам в случае отказа пользователей подчиняться.
Как сообщал CNews, в начале декабря 2020 г. на телефоны абонентов казахстанских операторов связи стали поступать сообщения о необходимости установки специального сертификата безопасности, который и предназначен для контроля веб-трафика с мобильных устройств. Портал Engadget пишет, что Apple, Google, Microsoft и Mozilla приняли совместное решение блокировать сертификат в своих браузерах Safari, Chrome, Edge и Firefox.
Правительство Казахстана объяснило свои усилия по перехвату HTTPS-трафика как учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. Они сослались на тот факт, что кибератаки, нацеленные на «казахстанский сегмент Интернета», выросли в 2,7 раза во время пандемии коронавируса COVID-19.
Рекомендации ИТ-компаний
Жители и гости Казахстана, выполнившие требование властей по установке их сертификата, пишет Engadget, при попытке выйти в интернет через Safari, Chrome, Edge и Firefox увидят на экране своего гаджета сообщение об ошибке. В нем будет сказано, что установленному сертификату нельзя доверять. Пока неизвестно, смогут ли пользователи обходить это сообщение и посещать сайты вопреки рекомендациям разработчиков.
Mozilla также опубликовала заявление, в котором уведомила всех своих пользователей об опасности установки казахстанского сертификата. Всем, кто все же установил его, Mozilla, Google, Apple и Microsoft рекомендуют выходить в интернет через VPN-сервис, чтобы власти не могли отследить их трафик, или установить защищенный браузер Tor. Самый быстрый способ воспользоваться VPN на «зараженном» сертификатом устройстве — это скачать браузер Opera, в котором по умолчанию есть такой сервис (активируется в настройках, не требует авторизации, работает в инкогнито-вкладках).
Как власти ломали интернет в Казахстане
CNews писал, что некоторые жители Казахстана, а также граждане России, отказались ставить на свои смартфоны сомнительный сертификат. Последствия, о которых предупреждали власти страны (блокировка иностранных сервисов) настигли некоторых из них — пользователи стали жаловаться на недоступность YouTube, Facebook и Instagram. Другие отмечали, что у них все эти ресурсы работали в прежнем режиме.
В 2019 г. чиновники Казахстана уже предпринимали попытку заставить граждан установить сертификат. Но на тот момент о коронавирусе COVID-19 еще никто не слышал, и власти пытались убедить граждан выполнить их «просьбу» якобы для защиты их от киберугроз и противоправного контента.
Схема распространения сертификата была идентичной — операторы уведомляли своих абонентов о необходимости его установки в SMS-сообщениях и давали прямую ссылку на его скачивание. Массовая рассылка сообщений началась в июле 2019 г., и на тот момент разработчикам браузеров потребовалось около месяца, чтобы отреагировать.
Google и Mozilla выступили решительно против инициативы правительства Казахстана лишь в августе 2019 г. Они заблокировали сертификат в Chrome и Firefox и предупредили пользователей об опасности, которую он несет. К примеру, Google, как пишет портал ArsTechnica, внесла его в список отозванных сертификатов (CRLSets), который используется в браузере Chrome для быстрой блокировки сертификатов в экстренных ситуациях. Более того, Google заявила тогда, что «сертификат будет добавлен в черный список в исходном коде Chromium и, следовательно, должен быть включен в другие браузеры на основе этого него.
Идеи тотального контроля
Планы по контролю всего веб-трафика граждан и гостей страны руководство Казахстана вынашивает годами. Началось все осенью 2015 г., но не с еще одного сертификата безопасности, а с точечного изменения законодательства.
Чиновники приняли поправки к закону Казахстана «О связи», в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики». Первый сертификат власти были намерены подготовить для рассылки не позднее декабря 2015 г., но этот план по неустановленным причинам провалился. В итоге идею тотального контроля в стране отложили на 3,5 года, до июля 2019 г.
© CNews.ru, 07.12.2020, Иллюстрации: via CNews.ru
Власти Казахстана научились читать зашифрованный трафик своих граждан
Эльяс Касми
Под предлогом учений по кибербезопасности правительство Казахстана потребовало от жителей и гостей Нур-Султана (в том числе и иностранных) установить сертификат безопасности. Он позволяет властям отслеживать весь трафик с устройства, а если отказаться от него, пользователя лишат доступа к YouTube, Instagram и другим зарубежным сервисам.
Тотальная слежка
Правительство Казахстана заставляет жителей и гостей столицы (Нур-Султан, в прошлом — Астана) устанавливать на свои мобильные устройства сертификат безопасности под предлогом «учений по кибербезопасности». Как пишет портал ZDnet, 6 декабря 2020 г. пользователи стали получать сообщения с требованием по установке данного сертификата, если они хотят и дальше пользоваться иностранными веб-сервисами.
По мнению специалистов ZDnet, после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик, поступающий с пользовательских устройств, по технологии MitM (Man-in-the-Middle). Это один из популярных методов хакерских атак, предназначенный именно для перехвата информации.
В масштабах города
Начиная с 6 декабря 2020 г. все казахстанские интернет-провайдеры, в том числе «Билайн», Tele2 и Kcell, перенаправляют пользователей из Нур-Султана на веб-страницы с инструкциями по установке государственного сертификата. Этому предшествовала рассылка предупреждений о скором запуске этой системы.
На момент публикации материала установка сертификата безопасности требовалась только от жителей Нур-Султана. Когда новая инициатива властей распространится на всю страну, пока остается неизвестным.
Отказ от установки сертификата действительно приводит к блокировке зарубежных интернет-сервисов. CNews опросил знакомых пользователей из Казахстана, и они подтвердили и рассылку сообщений с требованием об установке сертификата в свои гаджеты, и неработоспособность привычных ресурсов.
У части пользователей, отказавшихся устанавливать государственный сертификат, перестал работать YouTube, часть потеряла доступ к Instagram и Facebook. Однако CNews стало известно, что некоторые жители Нур-Султана, проигнорировав требование об установке сертификата безопасности, смогли продолжить пользоваться интернетом без каких-либо ограничений. Не исключено, что это лишь временно, и в скором будущем запрет на доступ к тем или иным сервисам может коснуться и их.
Иностранцев тоже касается
Рассылка сообщений с требованием поставить сертификат затронула в первую очередь именно граждан Казахстана, проживающих в Нур-Султане. В то же время из достоверных источников CNews стало известно, инициатива властей страны коснулась и иностранцев. Например, подобные сообщения поступили нескольким гражданам России и Турции, находящимся в Нур-Султане по работе и пользующимся услугами местных операторов связи.
В то же время гражданам Германии, находящимся в Казахстане, подобные сообщения на момент публикации материала не приходили.
Зачем властям перехват трафика
В своем официальном заявлении власти описали свои усилия по перехвату HTTPS-трафика как учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. Они сослались на тот факт, что кибератаки, нацеленные на «казахстанский сегмент Интернета», выросли в 2,7 раза во время пандемии коронавируса COVID-19. Это, пишет ZDnet, стало основной причиной для проведения учений.
На момент публикации материала информации о том, как долго продлятся эти учения, не было. Официальные лица не раскрывают сроки их проведения и не уточняют, продолжится ли перехват пользовательского трафика после их завершения.
Коронавирус не виноват?
Новая инициатива Казахстана стала третьей по счету попыткой контролировать веб-серфинг граждан и гостей страны. Предыдущая была предпринята, как сообщал CNews, еще летом 2019 г., но на тот момент COVID-19 еще не существовало, и причины для тотальной слежки назывались несколько иные.
Алгоритм был почти идентичный — операторы связи разослали абонентам SMS-сообщения с «рекомендацией» по установке сертификата безопасности якобы для защиты граждан от киберугроз и противоправного контента. Рекомендованный к установке сертификат был «разработан в Казахстане и предоставлен уполномоченным государственным органом», сказано в сообщении на сайте провайдера Kcell.
CNews.ru, 19.07.2019, "В Казахстане перекроют интернет всем, кто не подключит государственное шпионское ПО": Загрузить сертификат пользователям предлагается с сайта qca.kz. Эта доменное имя зарегистрировано на частное лицо — некоего Аскара Дюссекеева (Askar Dyussekeyev) из города Нур-Султана (бывшая Астана). Адрес владельца совпадает с адресом Министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана.
Оператор Kcell также предупреждает, что в случае отсутствия сертификата пользователи могут столкнуться с проблемами доступа к отдельным интернет-ресурсам. Действительно, по свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS. Таких сайтов сейчас большинство. Вместо запрашиваемого сайта провайдеры выдают страницу-заглушку с призывом установить сертификат. [...]
Установка национального корневого сертификата безопасности на устройства жителей Казахстана позволит владельцу этого сертификата перехватывать, расшифровывать и модифицировать защищенный с помощью средств криптографии HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника — MITM (Man in the middle, «человек посередине»).
Принимая во внимание заявление оператора KСell о том, что сертификат разработан «уполномоченным государственным органом», можно предположить, что такие возможности могут быть использованы властями Казахстана для получения доступа к информации, которой граждане обмениваются через интернет. — Врезка К.ру
Разработчики браузеров почти моментально отреагировали на происходящее в Казахстане. В августе 2019 г. Google и Mozilla заблокировали шпионский госсертификат в Chrome и Firefox.
В целом, Казахстан стремится взять под контроль весь пользовательский трафик на протяжении последних пяти лет. Первая из трех попыток сделать это датирована осенью 2015 г., когда были приняты поправки к закону Казахстана «О связи», в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики». Распространять сертификаты планировалось через сайт оператора «Казахтелеком» с декабря 2015 г.