Власти Казахстана снова принуждают пользователей устанавливать сертификат, чтобы читать зашифрованную переписку

    image

    Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).

    По данным ZDnet, с 6 декабря пользователи стали получать сообщения с требованием по установке данного сертификата, если они хотят пользоваться иностранными веб-сервисами. Все казахстанские интернет-провайдеры, в том числе «Билайн», Tele2 и Kcell, перенаправляют пользователей на веб-страницы с инструкциями по установке государственного сертификата.

    Если пользователь отказывается установить сертификат, то ему блокируют доступ к зарубежным ресурсам. У некоторых перестали работать YouTube, Instagram и Facebook.

    imageФото: CNews

    Однако, как отмечает CNews, некоторые из тех, кто отказался от установки сертификата, все еще могут пользоваться иностранными сайтами.

    imageФото: CNews

    Предупреждения, помимо местного населения, уже получили приезжие из России и Турции, которые работают в Нур-Султане и пользуются услугами местных операторов связи. А вот прибывшим в столицу гражданам Германии такие сообщения пока не приходили.

    Официально власти говорят, что они проводят учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. По их словам, число атак на «казахстанский сегмент Интернета» выросло в 2,7 раза во время пандемии.

    Однако это уже третья по счету попытка властей контролировать трафик. Летом 2019 года операторы связи также рассылали абонентам SMS-сообщения с «рекомендацией» по установке сертификата безопасности якобы от киберугроз и противоправного контента. Уже в августе Google и Mozilla заблокировали шпионский госсертификат в Chrome и Firefox. Власти официально объявили о завершении учений 7 августа.

    Еще в 2015 году Казахстан обязал телеком-операторов «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики».
    См. также:

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 75

      +14
      как всегда притянули безопасность
        +4
        «Вы что хотите как в Беларуси?!!» (с)
          +4
          Эм… да.
          0

          "хоть что-то у нас в безопасности"

          +14

          Ну нравится людям ходить по граблям, Гугл с мозиллой снова заблочат сертификат, и учения в очередной раз закончатся.

            +1
            Судя по информации с opennet, прошлый сертификат добавили в список отозванных аж через месяц.
              0

              Это довольно оперативно, на мой взгляд. Надеюсь, что и сейчас произойдет то же самое.

                +1
                Это довольно оперативно, на мой взгляд
                Вероятно, не могу сказать ничего против. Но прошу учесть, что всё это время трафик будет перехватываться.

                Надеюсь, что и сейчас произойдет то же самое.
                И что им помешает через месяц ещё один сертификат выпустить?
                  +7

                  Трафик будет перехватываться у меньшинства, установившего сертификат (до его отзыва). Большинство, далёкое от этого, будет делать мозг за неработающий интернет своим провайдерам, а те — кураторам из структур, которые заставили провайдеров нагнуться. Схема изначально нежизнеспособна на мой взгляд, и отзыв сертификата — это просто такой финальный шаг, который не даёт никакому дурачку в погонах продолжать водить за нос политическое руководство. Оно бы и так не взлетело, но без сертификата все однозначнее.

                    0
                    Вы вот серьезно? После того как в 2020 люди радостно получали пропуска чтобы выйти из дома и каждые два часа подбегали к телефону, чтобы зачекиниться в квартире?
                    Думаете большинство неайтишников просто не кликнет неглядя в ссылку из сообщения от провайдера при попытке посмотреть любимый стэндап на ютьюбе?
                    +1
                    Наверное, могут забанить и УЦ, выпускающий такие сертификаты?
                      +5
                      Какой УЦ, если такие сертификаты можно выпускать на любом ПК командой в консоли? Нет там никакого УЦ, иначе бы его давно забанили.
                        0
                        У Казахстана есть свой УЦ (и даже не один).
                        Один принадлежит egov.kz (правительство для граждан, электронное правительство, корпорация чего-то там), второй принадлежит налоговой (комитету госдоходов).
                        Выпускались эти серты провайдерами или вот этими институтами — это вопрос.
                          +1
                          Эти УЦ не используются для выпуска сертификатов MITM
                      0
                      То, что каждый раз нужно будет по новой склонять всех пользователей его устанавливать.
                    0
                    Интересно, а с отечественными сертификатом CA Root Social Objects такого (отзыв) не может случиться?
                      0
                      Может. Любой сертификат можно отзвать. В конце концов, заблокировать в браузере.
                        0
                        В импортозамещенном отечественном ПО — Яндекс.Браузере! %(
                          0
                          В конце концов, заблокировать в браузере

                          Вот только лично вы, заблокировавший на своей личной машине сертификат (что никак не отличается от его НЕустановки) никак не повлияете на решение государства перестать так делать.
                            0

                            Нене, речь не о том, что каждый юзер должен блокировать или не устанавливать. Гугл как и в прошлый раз поместит сертификат в черный список для хрома, и на этом все закончится глобально для всех. До следующей попытки. Другие приложульки с SSL pinning впрочем не требуют дополнительных усилий, они просто сразу не работают с этим говном) Поэтому идея властей провальная заранее в любом случае.

                              0
                              Нет, речь шла о блокировке таких сертификатов разработчиками браузеров.
                      +18
                      Учения по безопасности:
                      1. Разослать спам.
                      2. Посчитать сколько повелось.
                        +2

                        Ага, учения будут признаны успешными если никто или очень малая часть поставит этот сертификат)

                          0
                          Ну кстати, однажды коллега-безопасник так сделал перед увольнением, пользуясь тем, что для офисной сети были отключены проверки отправителя. Не то чтобы он хотел указать на ошибку, но воспользовался возможностью для проверки реакции сотрудников на фишинг. Повелась где-то четверть людей, ещё и кляузы писали вида «мне кажется, я знаю, кто это сделал, он такой человек...»
                          В общем, рекомендую в качестве одной из метрик грамотности, как минимум.
                            +2

                            Да даже больше того — есть несколько фирм, которые это продают как услугу. Они делают письма, рассылают их по разным группам сотрудников. Вкладывают разные вложения или добавляют ссылки на фишинг сайты… Короче все как у реальных фишеров/хакеров только ИБ проверяет что реальные пароли сайт не сохраняет и во вложениях нет настоящего шифровальщика.


                            В конце периода отчёт: Уважаемый ФИО в вверенном вам подразделении работает 133 дятла, которые не знают что нельзя открывать письма от незнакомых отправителей (с картинками), 85 выхухолей которые в таких письмах ещё и по ссылкам ходят не проверив, 13 беспозвоночных которые там ещё и пароли вводят. Ну и ещё 50 бурундуков которые непонятные вложения себе сохраняют и запускают. Настоятельно просим к следующему отчетному периоду сократить показатели в два раза. Вот ссылка на dpf по политике информационной безопасности на 485стр — необходимо выучить. Проверочное тестирование будем проводить совместно с начальником департамента. Благодарим за сотрудничество!


                            Шикарно работает. Проверено!)

                              +2
                              И правильно. Больше таких проверок — меньше реальных утечек.

                              Открывать любые письма и ходить по любым ссылкам должно быть безопасно с любого офисного компа. Пароли не вводить, софт не запускать и ты в безопасности.
                              Если на ваших компах эти действия вызывают опасения, то стоит сменить всех безопасников и половину админов.
                          +13
                          сертификат безопасности
                          сертификат госбезопасности
                            +3
                            Тонко
                            +3
                            Конечно, я понимаю, что bee.gg — это домен казахстанского Билайна, но всё равно это выглядит как кибер-атака со стороны правительства Гернси. Они, чисто теоретически, могут передать домен bee.gg кому угодно, и тут даже нефильтрованный HTTPS не спасёт. Куда смотрят власти Казахстана?! </sarcasm
                              0

                              Только даже ксли поставить сертификат, почти всё всё равно отвалится. Даже в исследовательских целях довольно сложно сделать, чтобы все приложения доверяли своему стороннему сертифткату, часть приложений нужно распаковывать и менять сертификат на свой. Т.е. в итоге там останется только браузер...

                                +5

                                Совершенно верно, идея дохлая с самого начала, браузеры поработают сколько-то, пока Гугл с мозиллой не забанят снова сертификат, все остальное сразу работать не будет. Надеюсь, если не со второго, то с третьего раза до прапорщиков-эникеев там дойдет, что ловить нечего.

                                  0
                                  Астрологи объявили эпоху соревнования в глупости на постсоветском пространстве.
                                    0
                                    Забавно, вы не находите что в руках одной корпорации слишком много власти.
                                      +4

                                      Мент из Гугла меня не придет в тюрьму сажать за неправильный пост, а из МВД Казахстана — может и прийти. Сколько бы претензий по любым другим вопросам не было у кого-либо к Гуглу — глупо не хотеть, чтобы этот серт был ими добавлен в черный список как можно быстрее.

                                    0

                                    Нужна ещё инструкция на 10 страниц как получит, рут, поставить frida и обойти ssl pinning, чтобы мочь зайти в инстаграмм

                                      0
                                      Интересно, а авторы этих идей как будут реагировать на «из-за вашего требования про рут у меня самсунг пей отвалился с концами и даже полный сброс аппарата чего то там про кнокс пишет а сервис говорит что не чинится» ?-:)
                                        0
                                        Словами «Вы купили не тот аппарат, обращайтесь к производителю». И в данном случае я даже согласен с этим, санкции за рут это мерзко и должно порицаться.
                                          0
                                          Покупайте импортозамещенные телефоны.
                                            0
                                            В Казахстане при покупке телефона нужно явиться в госорганы и сдаться властям, чтобы власти переписали человека IMEI.
                                            За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса.
                                            Что-то подобное есть в Турции.
                                            Ничего не мешает в этот бизнес-процесс встроить установку сертификата.
                                            Шагом больше, шагом меньше?
                                              0
                                              За покупку импортозамещенного телефона сверху накладывается уплата единоразового взноса

                                              А что, есть казахские телефоны???
                                                0
                                                Есть ввезенные официально, с них уже уплачено (НДС 12%, как минимум), а есть всё остальное. И вот если кто-то импортозаместил официальную поставку на неофициальную, то это можно, но за небольшую пошлину.
                                                Хотя, возможно, что не приняли этот момент. Точно помню, что обсуждали.
                                            0
                                            Эта фича с knox — широко известна и если тикнет — будет предупреждение+не будет работать спей(гпей — может).
                                            Производитель скажет что нарушение условий эксплуатации (и как бы большая часть функционала — работает по прежнему — телефоном можно пользоватся).
                                            При этом способ получения рута — вполне документирован (в отличии от многих других).
                                              0
                                              Эта фича с knox — широко известна

                                              Ну вот я случайно узнал об этом, а мог бы и купить какой-нибудь флагман. Я вот ровно так же купил телефон с 10 андроидом и теперь страдаю, не имея возможности просто взять и поправил системный раздел.
                                      +1

                                      Я так понимаю, что они и смогут читать весь трафик, с шифрованием от браузера. Те это уровень 0. Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?


                                      И открыв уровень 0, уровень 1 они уже открыть не смогут, так же ?


                                      Да это доп работа, но я думаю, Казахстан может и первый, но скорее всего не последний в данном начинании.

                                        0
                                        используя JS

                                        Который, имея доступ, можно будет подменить. Конечно вероятность около нулевая, но она есть.
                                          +1
                                          Но можно же, на уровне сайта, используя JS шифровать ещё дополнительно какие-то сообщения, уже другим сертификатом, те уровень 1?
                                          1. Не сложно будет это детектировать и блокировать, если % такого трафика будет низким и будет затрагивать исключительно сайты.
                                          2. Это может показаться изобретением методов стеганографии с шифрованным соединением. Проще взять что-то готовое и работающее не столь высоко как JavaScript.
                                          3. Любые подобные инициативы могут пресекаться штрафами, что уже пытаются делать относительно телекомов и дата-центров.


                                          UPD: Случайно не в ту ветку попал. Прошу прощения…
                                        +3

                                        А между тем, тикет в багзилле уже завели

                                          +1
                                          Не тот подход они выбрали. Надо бесплатный сертификат включать в услугу по доступу к интернет, типа как логин/пароль выдают, еще и сертификат будет, можно даже персональный.
                                            0
                                            Если рассуждать с точки зрения тех кто творит эту дичь очень даже нужно, при этом каждому выдавать сертификат с индивидуальным УЦ + менять их периодически, чтобы гугл/мозилла задолбались банить бесчисленное количество левых УЦ. Главное не потерять у себя эти сертификаты когда понадобится трафик читать
                                              0
                                              Персональный — много мороки, потому что надо тогда будет генерировать поддельные серты для каждого пользователя отдельно.
                                                0
                                                Зачем поддельные? Большинство граждан Республики пользуются Электронным правительством для граждан, а значит, так или иначе, сертификаты у них есть (ЭЦП).
                                                  0
                                                  Я о поддельных сертификатах для сайтов, на которые пытаются зайти граждане РК.
                                              +1

                                              Мне интересно, кто та целевая аудитория, на которую это рассчитано?


                                              Компьютерно-безграмотные люди не поставят, потому что не смогут — сложно. Особенно на телефонах, где у каждой модели свой интерфейс и надо не просто по инструкции повторять, а вдумываться.
                                              Компьютерно-грамотные не поставят, потому что понимают, что это огромная дыра, и можно просто поставить туннель для доступа к заблокированным ресурсам.

                                                +1
                                                Вспомнается «Молдавский вирус» )
                                                  +1
                                                  >Компьютерно-безграмотные люди не поставят, потому что не смогут — сложно
                                                  ну значит у них не будет работать ютуб, воцап и т.д. по списку.
                                                  А припрет и будет нужно — станут грамотными :), или будут по салонам операторов скикаться, где им специально обученные люди все прокликают
                                                • UFO just landed and posted this here
                                                    0
                                                    Скорее всего они понимают что его внесут в black lists
                                                    Осталось всего-то заблокировать или подменить доступ к «black lists».
                                                    0
                                                    Ничего, скоро в каждой мобиле будет спутниковый интернет Маска, спутники заглушить малость труднее.
                                                      0

                                                      Будут натягивать сетку Фарадея над городом :)

                                                      • UFO just landed and posted this here
                                                          0
                                                          Со временем, терминалы уменьшатся до размеров мобилы (с уменьшением скорости связи, разумеется). Их будут провозить всякие фарцовщики. Или будет «неофициальная» прошивка терминалов, обходящая «станции сопряжения».
                                                          • UFO just landed and posted this here
                                                              0
                                                              … казачьи патрули
                                                            0
                                                            А Бокова и Клишас в прошлом году внесли законопроект который быстро одобрили
                                                            в первом чтении, больше года никакого движения по нему не было.
                                                            0
                                                            Скорее всего, без лицензии от государства спутники не будут ничего передавать на его территорию.
                                                          • UFO just landed and posted this here
                                                              –1

                                                              Не одобряю идею, но...:


                                                              1. Технически отрубят остальной интернет
                                                              2. Законом запретят препятствовать
                                                              3. Распишут "плюсы", убеждая не верить воплям браузеров и иных средств

                                                              И даже гос-митм лучше, чем запрет использовать шифрование вообще.


                                                              Всё же продолжаю надеяться, что ни эта попытка, ни последующие не "взлетят" и при этом не сломают интернет

                                                                0

                                                                certificate pinning! Bingo! Специально, против таких.

                                                                  +1
                                                                  Следующий шаг — учения по установке КазГосБраузера.
                                                                    0
                                                                    В России уже продвигают предустановку ПО, одним из которых является Яндекс.Браузер… Да и кроме этого есть не мало людей, целенаправленно использующих Яндекс.Браузер…
                                                                      +1
                                                                      Браузер как браузер. Яндекс не гос.контора.
                                                                  0
                                                                  И даже гос-митм лучше

                                                                  Вы уверены?
                                                                    –1

                                                                    Сравните "вас прослушивает государство" и "вас прослушивают все кому не лень"

                                                                      +1
                                                                      Имхо, «вас прослушивают все кому не лень» условно безопаснее, т.к. не будет ложного чувства безопасности, которое может возникнуть при «вас прослушивает государство» (для людей потенциально менее очевидное) и заставит в хотя бы немного большей мере обезопаситься шифрованием.
                                                                        +2
                                                                        «Вас прослушивает государство» = «Вас прослушивают все, кому не лень». Просто потому что из первого вытекает незашифрованность канала связи.

                                                                    Only users with full accounts can post comments. Log in, please.