Провайдери Казахстану почали повідомляти клієнтів про необхідність встановити спеціальний сертифікат безпеки «державний довірений сертифікат» Qaznet на всі абонентські пристрої з доступом в інтернет.
SMS-повідомлення з відповідним повідомленням отримали деякі абоненти Tele2 і Beeline. Оператори Kcell і Activ розмістили повідомлення аналогічного змісту і інструкції по установці сертифікату на своїх офіційних сайтах.
Рекомендований до установки сертифікат «розроблено в Казахстані та надано уповноваженим державним органом» і «дозволить захистити казахстанських користувачів інтернету від хакерських атак і перегляду протиправного контенту», говориться в повідомленні на сайті провайдера Kcell.
Завантажити сертифікат користувачам пропонується з сайту qcа.kz. Це доменне ім’я зареєстровано на приватну особа – Аскара Дюссекеева з міста Нур-Султана (колишня Астана). Адреса власника збігається з адресою Міністерства цифрового розвитку, інновацій та аерокосмічної промисловості Казахстану.
Оператор Kcell також попереджає, що в разі відсутності сертифіката користувачі можуть зіткнутися з проблемами доступу до окремих інтернет-ресурсів. Дійсно, за свідченням деяких користувачів зі столиці Казахстану, без установки сертифіката неможливо зайти на сайти, які форсують використання безпечного протоколу HTTPS за допомогою механізму HSTS. Таких сайтів зараз більшість. Замість запитуваного сайту провайдери видають сторінку-заглушку із закликом встановити сертифікат.
За словами віце-міністра цифрового розвитку, інновацій та аерокосмічної промисловості Казахстану Аблайхана Оспанова, жителі республіки не зобов’язані встановлювати сертифікати, їм всього лише надається подібна можливість за законом.
Установка національного кореневого сертифіката безпеки на пристрої жителів Казахстану дозволить власнику цього сертифіката перехоплювати, розшифровувати і модифікувати захищений за допомогою засобів криптографії HTTPS-трафік користувачів перед подальшим відправленням до вузла призначення, тобто здійснювати так звану атаку посередника – MITM (Man in the middle, «людина посередині»).
Беручи до уваги заяву оператора Kсell про те, що сертифікат розроблений «уповноваженим державним органом», можна припустити, що такі можливості можуть бути використані владою Казахстану для отримання доступу до інформації, якою громадяни обмінюються через інтернет.
Втім, стеженням за користувачами зможуть займатися не тільки державні структури, а й зловмисники. На думку президента інтернет-асоціації Казахстану Шаквата Сабирова, «якщо з якої-небудь причини, неважливо технічної або через людський фактор, цей сертифікат буде вкрадений або зламаний, то зловмисникам дістанеться абсолютно вся інформація про користувачів і всi дані».
В даний час на базі багтрекер (системи стеження за вадами) браузера Mozilla Firefox представниками інтернет-спільноти та розробниками ведеться обговорення можливості додавання сертифіката в «чорний список» і введення заборони на його встановлення вручну, щоб таким чином захистити користувачів з Казахстану від стеження з боку влади .
Джерело: cnews
