Браузеры против "Большого брата". Google и Apple вместе с Microsoft и Mozilla заблокировали в своих браузерах шпионский сертификат, который власти Казахстана начали навязывать пользователям в декабре 2020 г. Он позволяет правительству контролировать весь интернет-трафик, и разработчики посоветовали не ставить его или пользоваться VPN-сервисами, если установка все же была произведена.
Компании Apple, Google, Microsoft и Mozilla выступили против решения властей Казахстана отслеживать любой, даже шифрованный трафик своих граждан и гостей страны. Чиновники хотят контролировать все перемещения людей по интернету и угрожают блокировкой доступа к зарубежным веб-сервисам в случае отказа пользователей подчиняться.
Правительство Казахстана объяснило свои усилия по перехвату HTTPS-трафика как учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. Они сослались на тот факт, что кибератаки, нацеленные на «казахстанский сегмент Интернета», выросли в 2,7 раза во время пандемии коронавируса COVID-19.
Жители и гости Казахстана, выполнившие требование властей по установке их сертификата, пишет Engadget, при попытке выйти в интернет через Safari, Chrome, Edge и Firefox увидят на экране своего гаджета сообщение об ошибке. В нем будет сказано, что установленному сертификату нельзя доверять. Пока неизвестно, смогут ли пользователи обходить это сообщение и посещать сайты вопреки рекомендациям разработчиков.
Mozilla также опубликовала заявление, в котором уведомила всех своих пользователей об опасности установки казахстанского сертификата. Всем, кто все же установил его, Mozilla, Google, Apple и Microsoft рекомендуют выходить в интернет через VPN-сервис, чтобы власти не могли отследить их трафик, или установить защищенный браузер Tor. Самый быстрый способ воспользоваться VPN на «зараженном» сертификатом устройстве — это скачать браузер Opera, в котором по умолчанию есть такой сервис (активируется в настройках, не требует авторизации, работает в инкогнито-вкладках).
CNews писал, что некоторые жители Казахстана, а также граждане России, отказались ставить на свои смартфоны сомнительный сертификат. Последствия, о которых предупреждали власти страны (блокировка иностранных сервисов) настигли некоторых из них — пользователи стали жаловаться на недоступность YouTube, Facebook и Instagram. Другие отмечали, что у них все эти ресурсы работали в прежнем режиме.
В 2019 г. чиновники Казахстана уже предпринимали попытку заставить граждан установить сертификат. Но на тот момент о коронавирусе COVID-19 еще никто не слышал, и власти пытались убедить граждан выполнить их «просьбу» якобы для защиты их от киберугроз и противоправного контента.
Схема распространения сертификата была идентичной — операторы уведомляли своих абонентов о необходимости его установки в SMS-сообщениях и давали прямую ссылку на его скачивание. Массовая рассылка сообщений началась в июле 2019 г., и на тот момент разработчикам браузеров потребовалось около месяца, чтобы отреагировать.
Google и Mozilla выступили решительно против инициативы правительства Казахстана лишь в августе 2019 г. Они заблокировали сертификат в Chrome и Firefox и предупредили пользователей об опасности, которую он несет. К примеру, Google, как пишет портал ArsTechnica, внесла его в список отозванных сертификатов (CRLSets), который используется в браузере Chrome для быстрой блокировки сертификатов в экстренных ситуациях. Более того, Google заявила тогда, что «сертификат будет добавлен в черный список в исходном коде Chromium и, следовательно, должен быть включен в другие браузеры на основе этого него.
Оригинал этого материала
© CNews.ru, 07.12.2020, Иллюстрации: via CNews.ru
Власти Казахстана научились читать зашифрованный трафик своих граждан
Эльяс Касми
Под предлогом учений по кибербезопасности правительство Казахстана потребовало от жителей и гостей Нур-Султана (в том числе и иностранных) установить сертификат безопасности. Он позволяет властям отслеживать весь трафик с устройства, а если отказаться от него, пользователя лишат доступа к YouTube, Instagram и другим зарубежным сервисам.
Тотальная слежка
Правительство Казахстана заставляет жителей и гостей столицы (Нур-Султан, в прошлом — Астана) устанавливать на свои мобильные устройства сертификат безопасности под предлогом «учений по кибербезопасности». Как пишет портал ZDnet, 6 декабря 2020 г. пользователи стали получать сообщения с требованием по установке данного сертификата, если они хотят и дальше пользоваться иностранными веб-сервисами.
По мнению специалистов ZDnet, после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик, поступающий с пользовательских устройств, по технологии MitM (Man-in-the-Middle). Это один из популярных методов хакерских атак, предназначенный именно для перехвата информации.
В масштабах города
Начиная с 6 декабря 2020 г. все казахстанские интернет-провайдеры, в том числе «Билайн», Tele2 и Kcell, перенаправляют пользователей из Нур-Султана на веб-страницы с инструкциями по установке государственного сертификата. Этому предшествовала рассылка предупреждений о скором запуске этой системы.
На момент публикации материала установка сертификата безопасности требовалась только от жителей Нур-Султана. Когда новая инициатива властей распространится на всю страну, пока остается неизвестным.
Отказ от установки сертификата действительно приводит к блокировке зарубежных интернет-сервисов. CNews опросил знакомых пользователей из Казахстана, и они подтвердили и рассылку сообщений с требованием об установке сертификата в свои гаджеты, и неработоспособность привычных ресурсов.
У части пользователей, отказавшихся устанавливать государственный сертификат, перестал работать YouTube, часть потеряла доступ к Instagram и Facebook. Однако CNews стало известно, что некоторые жители Нур-Султана, проигнорировав требование об установке сертификата безопасности, смогли продолжить пользоваться интернетом без каких-либо ограничений. Не исключено, что это лишь временно, и в скором будущем запрет на доступ к тем или иным сервисам может коснуться и их.
Иностранцев тоже касается
Рассылка сообщений с требованием поставить сертификат затронула в первую очередь именно граждан Казахстана, проживающих в Нур-Султане. В то же время из достоверных источников CNews стало известно, инициатива властей страны коснулась и иностранцев. Например, подобные сообщения поступили нескольким гражданам России и Турции, находящимся в Нур-Султане по работе и пользующимся услугами местных операторов связи.
В то же время гражданам Германии, находящимся в Казахстане, подобные сообщения на момент публикации материала не приходили.
Зачем властям перехват трафика
В своем официальном заявлении власти описали свои усилия по перехвату HTTPS-трафика как учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. Они сослались на тот факт, что кибератаки, нацеленные на «казахстанский сегмент Интернета», выросли в 2,7 раза во время пандемии коронавируса COVID-19. Это, пишет ZDnet, стало основной причиной для проведения учений.
На момент публикации материала информации о том, как долго продлятся эти учения, не было. Официальные лица не раскрывают сроки их проведения и не уточняют, продолжится ли перехват пользовательского трафика после их завершения.
Коронавирус не виноват?
Новая инициатива Казахстана стала третьей по счету попыткой контролировать веб-серфинг граждан и гостей страны. Предыдущая была предпринята, как сообщал CNews, еще летом 2019 г., но на тот момент COVID-19 еще не существовало, и причины для тотальной слежки назывались несколько иные.
Алгоритм был почти идентичный — операторы связи разослали абонентам SMS-сообщения с «рекомендацией» по установке сертификата безопасности якобы для защиты граждан от киберугроз и противоправного контента. Рекомендованный к установке сертификат был «разработан в Казахстане и предоставлен уполномоченным государственным органом», сказано в сообщении на сайте провайдера Kcell.
CNews.ru, 19.07.2019, "В Казахстане перекроют интернет всем, кто не подключит государственное шпионское ПО": Загрузить сертификат пользователям предлагается с сайта qca.kz. Эта доменное имя зарегистрировано на частное лицо — некоего Аскара Дюссекеева (Askar Dyussekeyev) из города Нур-Султана (бывшая Астана). Адрес владельца совпадает с адресом Министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана.
Оператор Kcell также предупреждает, что в случае отсутствия сертификата пользователи могут столкнуться с проблемами доступа к отдельным интернет-ресурсам. Действительно, по свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS. Таких сайтов сейчас большинство. Вместо запрашиваемого сайта провайдеры выдают страницу-заглушку с призывом установить сертификат. [...]
Установка национального корневого сертификата безопасности на устройства жителей Казахстана позволит владельцу этого сертификата перехватывать, расшифровывать и модифицировать защищенный с помощью средств криптографии HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника — MITM (Man in the middle, «человек посередине»).
Принимая во внимание заявление оператора KСell о том, что сертификат разработан «уполномоченным государственным органом», можно предположить, что такие возможности могут быть использованы властями Казахстана для получения доступа к информации, которой граждане обмениваются через интернет. — Врезка К.ру
Разработчики браузеров почти моментально отреагировали на происходящее в Казахстане. В августе 2019 г. Google и Mozilla заблокировали шпионский госсертификат в Chrome и Firefox.
В целом, Казахстан стремится взять под контроль весь пользовательский трафик на протяжении последних пяти лет. Первая из трех попыток сделать это датирована осенью 2015 г., когда были приняты поправки к закону Казахстана «О связи», в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики». Распространять сертификаты планировалось через сайт оператора «Казахтелеком» с декабря 2015 г.