Правительство Казахстана вознамерилось перехватывать весь зашифрованный HTTPS-трафик на территории страны. Для этого местных провайдеров обязали заставить пользователей установить на все свои устройства государственный «доверенный сертификат» Qaznet, позволяющий компетентным ведомствам расшифровывать HTTPS-трафик, ознакамливаться с его содержимым, включая логины, пароли и переписки, и зашифровывать обратно.
Как сообщается, без установки сертификата зайти на сайты с HTTPS (а таких сейчас большинство) более не представляется возможным — провайдеры начали блокировать к ним доступ и выдавать страницы-заглушки с предложением установить шпионское ПО:
Из текстов заглушек можно узнать официальное обоснование принятия данной меры. Так, в тексте заглушки Beeline сообщается, что «целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации».
В тексте заглушки Kcell, в свою очередь, разъясняется, что официальная причина внедрения сертификата — «участившиеся случаи хищения персональных данных казахстанцев и кражи денег с их банковских карт».
«Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских атак на системы информационного пространства страны и частный, в том числе банковский, сектор до того, как они смогут нанести ущерб. [Кроме того, сертификат] позволит оградить казахстанских пользователей от… просмотра противоправного контента», — утверждают чиновники.
Некоторым абонентам пришли SMS с напоминанием установить сертификат на все выходящие в интернет устройства и предупреждением о том, что «отсутствие сертификата безопасности на гаджете приведет к проблемам с доступом к отдельным интернет-ресурсам»:
Эксперты пишут, что установка сертификата, по сути, позволяет властям осуществлять так называемую атаку man-in-the-middle, получая доступ к информации, которой гражданин обменивается через интернет. При этом специалистов особенно поразил «цинизм подачи необходимости установки данного сертификата».
Еще одно предостережение экспертов — то, что при помощи сертификата слежкой за пользователями, теоретически, могут заниматься не только государственные структуры, но и злоумышленники, к ним отношения не имеющие. По словам президента интернет-ассоциации Казахстана Шаквата Сабирова, «если по какой-либо причине — неважно, технической или из-за человеческого фактора — сертификат будет украден или взломан, то злоумышленникам достанется абсолютно вся информация о пользователях, его использующих».
Источник: ZDNet