• 355 просмотров
Что такое сертификат Qaznet и насколько он безопасен
17-18 июля абонентам мобильных операторов Казахстана было разослано сообщение, сообщающее, что всем «необходимо» установить национальный сертификат безопасности с сайта http://qca.kz. В противном случае операторы предупреждают о возможных проблемах с выходом в интернет. Установить тот же самый сертификат операторы связи призывали еще в марте этого года, однако тогда они ограничились сообщениями на сайтах, сообщает Factchek.kz.
Разбираемся, что это за сертификат, сможет ли он повысить безопасность и стоит ли его вообще устанавливать.
Сразу сообщим об итогах проверки
- Устанавливать сертификат необязательно. Закон РК не содержит подобного требования к гражданам. Он касается только операторов связи.
- Устанавливать данный сертификат — небезопасно. Ваши данные, пересылаемые в браузере и в ряде приложений, в том числе персональные, станут доступны третьим лицам, а могут стать доступными и четвёртым, и пятым.
- Данный сертификат — прямая попытка контролировать весь интернет-трафик в стране, включая незашифрованные сообщения в почте и мессенджерах.
- Совершенно непонятно, кто будет отвечать за хищение злоумышленниками ваших данных в случае получения доступа к ключу данного сертификата и какова сфера ответственности его разработчика и заказчика.
- Сам сайт, с которого устанавливается сертификат, зарегистрирован на частное лицо, судя по открытым данным — работающее на КНБ. Информация о сертификате непрозрачна, а его исполнение эксперты называют устаревшим.
- В случае, если сертификат будет внедрён по всей стране, почти единственным безопасным решением будет использование платных VPN-сервисов новейшего поколения. А теперь — полные данные.
Необходимо ли ставить сертификат
Ответ — нет. Закон РК «О связи» не обязывает граждан устанавливать данный сертификат. Закон касается только операторов связи. Об отсутствии необходимости/обязанности заявил 19 июля и вице-министр цифрового развития РК Аблайхан Оспанов. Поэтому все сообщения сотовых операторов о «необходимости установки сертификата» построены лингвистически манипуляционно и вводят пользователей в заблуждение. Такой «необходимости» для пользователя — нет.
Что представляет собой сертификат и как он влияет на ваш трафик
Вице министр Оспанов утверждает, что сертификат безопасен. Но так ли это? Ваш трафик на данный момент достаточно надёжно защищён HTTPS-протоколом, используемым на большинстве сайтов, и сертификатами, выпущенными доверенными разработчиками, проходящими строгий контроль и оценку технологических гигантов. После установки так называемого «национального сертификата» (не прошедшего никаких проверок, кроме внутренней) уже зашифрованный трафик будет расшифровываться, а затем шифроваться заново. В это время доступ к нему получат создатели сертификата. Возникает ситуация «человека посередине» (man in the middle) — вместо прямой связи между вашим браузером и конечным сайтом возникает связь через третью сторону. И все её последствия.
К чему получат доступ создатели сертификата
Создатель сертификата (или заказчик разработки) сможет читать все ваши данные — от постов в социальных сетях, истории посещений и покупок до личной переписки в слабозащищённых чатах и паролей. Де факто, устанавливая сертификат Qaznet, вы открываете свои данные третьей стороне. Кроме того, третья сторона может не только читать ваш трафик, но и менять его. Выдав права сертификату, вы позволяете ему менять сертификаты для любых сайтов в вашем браузере. Никаких гарантий и даже понятного пользовательского соглашения попросту нет, вы выдаёте сертификату полный доступ.
IT-cпециалисты в рамках проекта Bugzilla уже протестировали сертификат и доказали подмену шифрования. Запрос на ограничение сертификата, а то и добавление его в чёрный список отправлен в Mozilla.

То есть — в случае утечки данных, недоброжелатель может изменить отправляемый вами контент (это, кстати, доступно и самому разработчику сертификата). Вообще, обладатель полного доступа к сертификату и провайдеру может подменить любой контент, который вы получаете извне и который отправляете в Сеть. Например, вы отправляете в соцсеть безобидную картинку, а в итоге — публикуете экстремистский контент. Или же вам могут подменить любой контент на внешнем сайте, показывая вместо реальных новостей вымышленные или цензурированные.
Разработчики браузеров уже расссматривают вариант внедрения нескрываемого баннера с предпреждением об опасности, который будет появляться при использовании этого сертификата. В теории Google, Mozilla и другие могут просто напросто совсем заблокировать в браузерах данный сертификат. Что может привести к «китайскому сценарию» в Казахстане.
Стоит задуматься — насколько вы доверяете разработчику данного сертификата и уверены ли в его благонадёжности (о самом разработчике читайте ниже).
Кто разрабатывал сертификат
Сайт http://qca.kz/ — зарегистрирован на Аскара Дюсекеева 20 июня 2019 г. в Астане. В качестве адреса указан Дом министерств. К слову, сам сайт определяется современными браузерами как небезопасный. Поисковики выдают профайлы Аскара Дюсекеева в социальных сетях. В LinkedIn некий Аскар Дюсекеев обозначен как директор департамента IT без дополнительных деталей, а в био отмечены следующие профессиональные интересы — киберпреступления, кибератаки, криптография, цифровая криминалистика и анализ хакерских программ. Дюсекеев помимо прочего указывает участие в проекте Ransomware Analyzer — инструменте, анализирующем поведение программ-вымогателей.
На сайте московского форума по практической безопасности Positive Hack Days указаны участники 2017 года и их работы, прошедшие отбор на международный конкурс. Среди них Аскар Дюсекеев и проект Ransomware Analyzer. Дюсекеев отмечен как работник Государственной технической службы Министерства информации и коммуникаций Республики Казахстан.
Какой непосредственно департамент в Министерстве информации возглавляет Дюсекеев? Через поисковой запрос «site:*.gov.kz дюсекеев» можно найти упоминание некого Дюсекеева А.М. на сайте холдинга «Зерде», а именно в составе членов технического комитета № 34 по стандартизации «Информационные технологии» (сокращенно ТК-34). Здесь он указан как работник Комитета национальной безопасности РК. Тот ли это Дюсекеев проверяем по отчеству. В базе налогоплательщиков Казахстана есть несколько Аскаров Дюсекеевых. Если судить по фото со страницы LinkedIn, а также аккаунта в Facebook, ему должно быть 25-35 лет.
Кроме того его отчество его должно начинаться на букву «М». В открытых базах этому соответствует только один человек — Дюсекеев Аскар Муканович, родившийся в 1989 году. Остальным Аскарам Дюсеекевым более 50 лет.

Что делать
Во-первых, не устанавливать данный сертификат и не давать ему требуемые разрешения.
Во-вторых, помнить, что установка сертификата — дело добровольное и никто не может вас к этому принудить. Это было бы попросту противозаконно. В-третьих, в случае, если сертификат будет внедрён на уровне провайдеров и пользователей по всей стране, одним из немногих полностью безопасных решений будет использование платных VPN-сервисов новейшего поколения. Большинство бесплатных VPN окажутся уязвимыми.
-
Нет слов - актюбинцы о приостановке выплат пенсий и пособий для казахстанцев без прописки
-
В правительстве рассказали, сколько стоит картофель в Казахстане
-
Заключённые в Актюбинской области вышли на свободу
-
Новые правила оплаты коммунальных услуг. Что изменится с 20 сентября
-
Учитель пробежал 500 километров из Уральска в Актобе, чтобы быть примером для детей
-
Что будет с рогами сайгаков после отстрела
-
Персональные данные казахстанцев утекают из электронных баз за деньги, признали в МВД
-
Тренер из NBA поделился мастерством с актюбинскими баскетболистами и тренерами
-
Нужно ли платить налог одиноко проживающему пенсионеру?
-
Скоро актюбинцы смогут доехать в Москву без пересадок
-
Скончался подросток из Актобе, сломавший шею на соревнованиях
Иманды болсын 🤲 -
Народный репортер. На почте поменяли линолеум, обновили мебель
Герои! Дать каждому по Курмет!!! Кстати говоря,заметка была давно. Очень давно -
Поезд из Алматы в Москву еще не запустили, но его могут и отменить
Что и требовалось доказать. Захреначали плацкарту в 250 баксов и какой дурак поедет ???? Потом скажут,нет спроса и отменят,чтобы больше не напрягаться. Вся суть власти... -
Поезд из Алматы в Москву еще не запустили, но его могут и отменить
Если ценник будет конский, никто на него не сядет. Алматы-Саратов, 120000 тенге купешка. -
Так когда дадут горячую воду?
В кои веки ватник захотел постирать ватник так горячую воду отключили при обслуживании на несколько дней, что казахстанский хлеб стал немил. Вот так история. -
Социальную помощь должны получать те, кто остро нуждается – Токаев
*...здесь сидят люди( правительство),которые работают день и ночь... *?????.?.. И что они,мистер Токаев ,наработали- огромные дыры в бюджете? И ты еще их покрываешь. И что... -
Социальную помощь должны получать те, кто остро нуждается – Токаев
ВСЕ ЭТО ЗАМЕЧАТЕЛЬНО НО КОГДА АСП БУДЕТ НАЗНАЧЕНО МОЕМУ СЫНУ, ОН ОБРАЩАЛСЯ в ЦОН 👈🏾 СКАЗАЛИ ИДИ В СОБЕС, В СОБЕСЕ ГОВОРЯТ НУЖЕН 1 ГОД... -
Социальную помощь должны получать те, кто остро нуждается – Токаев
Бороться с коррупцией вместе с окружающими тебя ворами и мошениками - равносильно выделению алкоголя на борьбу с пьянством -
72-летний пенсионер высадил 500 саженцев для будущего парка
Упаси тебя, пенсионер, связываться с местными властями - загубят, обворуют и тебя же замордуют -
При въезде в Актобе женщину насмерть сбил КамАЗ
Ажал... Қайырлы болсын... Двоешник автошколы за рулём многотонного грузовика - это намного хуже и страшнее чем женщина за рулём
Комментарии 0