Провайдеры Казахстана уговаривают клиентов установить на все устройства "государственный доверенный сертификат", который позволит перехватывать весь зашифрованный трафик страны, якобы для защиты граждан от киберугроз и противоправного контента.

Национальный сертификат

Телеком-операторы Казахстана начали уведомлять клиентов о необходимости установить специальный сертификат безопасности Qaznet на все абонентские устройства с доступом в интернет. Об этом сообщил портал Tengrinews.kz.

SMS-сообщения с соответствующим уведомлением получили некоторые абоненты Tele2 и Beeline. Операторы Kcell и Activ разместили сообщения аналогичного содержания и инструкции по установке сертификата на своих официальных сайтах.

Рекомендованный к установке сертификат "разработан в Казахстане и предоставлен уполномоченным государственным органом" и "позволит оградить казахстанских пользователей интернета от хакерских атак и просмотра противоправного контента", говорится в сообщении на сайте провайдера Kcell.

Загрузить сертификат пользователям предлагается с сайта qca.kz. Эта доменное имя зарегистрировано на частное лицо – некоего Аскара Дюссекеева (Askar Dyussekeyev) из города Нур-Султана (бывшая Астана). Адрес владельца совпадает с адресом Министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана.

Оператор Kcell также предупреждает, что в случае отсутствия сертификата пользователи могут столкнуться с проблемами доступа к отдельным интернет-ресурсам. Действительно, по свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS. Таких сайтов сейчас большинство. Вместо запрашиваемого сайта провайдеры выдают страницу-заглушку с призывом установить сертификат.

По словам вице-министра цифрового развития, инноваций и аэрокосмической промышленности Казахстана Аблайхана Оспанова, жители республики не обязаны устанавливать сертификаты, им всего лишь предоставляется подобная возможность, положенная по закону.

Чем это грозит казахстанцам

Установка национального корневого сертификата безопасности на устройства жителей Казахстана позволит владельцу этого сертификата перехватывать, расшифровывать и модифицировать защищенный с помощью средств криптографии HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника – MITM (Man in the middle, "человек посередине").

Принимая во внимание заявление оператора KСell о том, что сертификат разработан "уполномоченным государственным органом", можно предположить, что такие возможности могут быть использованы властями Казахстана для получения доступа к информации, которой граждане обмениваются через интернет.

Впрочем, слежкой за пользователями смогут заниматься не только государственные структуры, но и злоумышленники, к ним отношения не имеющие. По мнению президента интернет-ассоциации Казахстана Шаквата Сабирова, слова которого цитирует Tengrinews.kz, "если по какой-либо причине, неважно технической или из-за человеческого фактора, этот сертификат будет украден или взломан, то злоумышленникам достанется абсолютно вся информация о пользователях и данных, которые используют этот сертификат".

В настоящее время на базе багтрекера (системы отслеживания ошибок) браузера Mozilla Firefox представителями интернет-сообщества и разработчиками ведется обсуждение возможности добавления сертификата в "черный список" и введения запрета на его установку вручную, чтобы таким образом защитить пользователей из Казахстана от слежки со стороны властей.

Предыстория вопроса

Это не первый случай, когда власти Казахстана пытаются навязать гражданам использование национального сертификата безопасности под предлогом защиты от киберугроз.

Осенью 2015 г. были приняты поправки к закону Казахстана "О связи", в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. "осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики".

Распространять сертификаты планировалось через сайт оператора "Казахтелеком" с декабря 2015 г.