Открытая безопасность: зашифрованная информация казахстанцев может оказаться в руках спецслужб |
| Василий Робак, Polit.ru |
| 22.07.2019 |
|
В Казахстане операторы связи попросили абонентов установить специальный сертификат безопасности на все устройства с выходом в интернет. Корневой сертификат потенциально открывает спецслужбам доступ ко всему трафику, в том числе зашифрованному, даже к CVC-коду банковской карты.
Об этом сообщает местное издание Tengri News. Согласно сообщениям операторов, сертификат защитит абонентов «от хакерских атак и просмотра противоправного контента». «Нас попросили уполномоченные органы уведомлять абонентов Нур-Султана о необходимости установить сертификат безопасности», – рассказал руководитель службы по связям с общественностью «Tele2 Казахстан» Олжас Бибанов. По его словам, просьба касается лишь жителей столицы. Уведомления об установке сертификата появились и на сайтах других операторов. Согласно сообщениям Kcell и Activ, сертификат был внедрен из-за участившихся случаев хищения персональных данных казахстанцев и кражи денег с их банковских карт. Операторы подчеркивают, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в Интернет – мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS. Отсутствие сертификата безопасности на устройстве может привести к проблемам с доступом к отдельным интернет-ресурсам. Издание ZDNet пишет, что требование установить сертификат безопасности связано с внедрением государственной системы перехвата HTTPS-трафика в Казахстане. Власти планировали внедрить перехват HTTPS-трафика еще в 2016 году, но отложили это из-за судебных исков. Эта новость уже тогда вызвала обеспокоенность российских экспертов. В России некоторые интернет-провайдеры применяют похожую технологию для обеспечения возможности блокировки отдельных страниц на сайтах с HTTPS, вместо полной их блокировки (в таких случаях требуется внести конкретный подставной сертификат в «доверенные»). «На стороне пользователя больше нельзя ни проверить валидность того или иного сертификата, предъявляемого веб-сайтом или каким-либо другим сервисом, ни контролировать прочие параметры безопасности, связанные с удалённым узлом. Распространённой на практике проблемой перехватывающих узлов является их отказ от валидации полученных сертификатов. В таком случае оказывается, что пользовательское ПО принудительно «доверяет всем и вся», что открывает новые перспективы для фишинга», – объяснял автор dxdt.ru Александр Венедюхин. По его словам, перестанет работать двусторонняя аутентификация, использующая клиентские сертификаты. Не смогут установить соединение с серверами и приложения, использующие технологию Key Pinning. «В целом, можно говорить, что подобный перехват TLS уничтожает инфраструктуру обеспечения безопасности, сложившуюся вокруг данного протокола в глобальном Интернете», – подытожил эксперт. После появившихся спустя три года новостей, вице-министр цифрового развития, инноваций и аэрокосмической промышленности Аблайхан Оспанов объяснил, что казахстанцы все-таки не обязаны устанавливать на свои электронные устройства новый сертификат безопасности. «Вы знаете, что в рамках хакерских атак, когда вас направляют с одного сайта на другой сайт, где возможна утечка персональных данных. Это те же самые сведения о ваших платежных картах и всех транзакциях, которые вы проводите. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать», – заключил он. При этом, сославшись на то, что он не технический специалист, Оспанов отказался комментировать вопрос, будет ли данный сертификат препятствовать работе VPN. Он сказал, что у него нет проблем с интернетом. ««На сегодня мне сообщение еще не пришло. Как придет, я обязательно установлю себе и своим детям», – пообещал чиновник. Президент Интернет-ассоциации Казахстана Шавкат Сабиров напомнил, что поправки в закон не обсуждались с обществом. «Это действительно настоящий "колпак", только очень дырявый. Когда вы устанавливаете сертификат безопасности, то вы оказываете полное доверие этому сертификату. Это значит, что вся информация становится открытой и доступной для того, кто владеет этим сертификатом. Включая вашу банковскую информацию, пароли, личную переписку, фото и видео», – рассказал эксперт. Он отметил, что компании, которые предоставляют услуги в Интернете, вместе с сертификатом безопасности должны брать ответственность на себя за его использование.
МНОГИХ ЗАИНТЕРЕСОВАЛО: Разведка квартир в столичной метрополии – важный этап для тех, кто мечтает о собственном гнезде. На вторичном жилищном рынке представлены различные варианты жилья, от старых и уютных квартир до современных студий с панорамными видами. В условиях современного бизнеса, где конкуренция в интернете становится всё более острой, компании нуждаются в эффективных методах продвижения. Так, например, частное SEO от Site Ok и других подобных ресурсов может стать решением проблемы, ведь оно предполагает гибкий подход, который позволяет адаптировать стратегии под уникальные потребности конкретного бизнеса. Считается, что это приводит не только к достижению желаемых результатов, но и положительно влияет на их устойчивость. Микрофинансовые организации часто предлагают клиентам небольшие суммы кредитования на короткий срок. Одним из ключевых принципов работы таких организаций является минимизация бюрократических процедур, что нередко позволяет клиентам получить деньги быстро и без лишних формальностей. Важным аспектом является также индивидуальный подход к каждому клиенту и готовность идти на уступки в случае возникновения финансовых трудностей. |
