Великий казахский firewall

30 ноября 2015 года на официальном сайте АО «Казахтелеком» появилось сообщение о том, что с 1 января 2016 года в Казахстане начнется внедрение национального сертификата безопасности. Материал «провисел» несколько часов, после чего был удален, однако остался в кэше Google и доступен до сих пор.

Основная цель нововведения, как отмечается в удаленном сообщении, – обеспечение защиты казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети интернет. Однако специалисты отмечают, что защита далеко не единственная цель данного шага и под угрозой может оказаться вся приватность Казнета целиком.

В частности, в сообщении приводится цитата управляющего директора по инновациям «Казахтелекома» Нурлана Мейрманова: «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть интернет данный сертификат, следуя пошаговой инструкции…» Далее говорится, что «Казахтелеком» обращает особое внимание на то, что установка сертификата безопасности должна быть выполнена на каждом устройстве абонента, с которых осуществляется выход в интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).

На запрос Forbes Kazakhstan об актуальности упомянутого сообщения на данный момент нацоператор связи не ответил.

Между тем его появление и содержание вызывает ряд вопросов. Например, в тексте есть ссылка на Закон «О связи», который якобы гласит, что «операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан». Однако ни в действующем законе, ни в поправках в него, внесенных в конце ноября 2015 года, ничего подобного нам найти не удалось.

Тем не менее в поправках имеется юридическая основа, с помощью которой можно обязать операторов использовать специальный протокол. В частности, появилось описание национального сертификата безопасности и обозначено включение в ведение Министерства по инвестициям и развитию следующих задач: утверждение правил выдачи и применения, а также контроля использования национального сертификата безопасности, определение удостоверяющего центра и контроль за порядком присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком.

Фактически этих изменений в законе достаточно, чтобы министерство самостоятельно определило, как, где и для чего будет использоваться национальный сертификат безопасности.

Атака посредника

Использование сертификата безопасности, как сказано все в том же удаленном сообщении на сайте «Казахтелекома», должно обеспечить защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети интернет. Речь идет об SSL-шифровании, которое применяется для того, чтобы обеспечить конфиденциальность трафика между пользователем и веб-сайтом. Использование SSL позволяет не только избежать перехвата трафика в канале, но и является гарантией того, что пользователь посетил именно тот сайт, который хотел, а не его копию, маскирующуюся под оригинал для распространения вредоносных приложений, мошенничества или дезинформации. Каждый такой сайт имеет свой сертификат, который выдан одним из общепризнанных центров сертификации и является доверенным для любого браузера.

Национальный сертификат безопасности же будет выпущен внутренним удостоверяющим центром и, соответственно, браузерами будет считаться недоверенным, поэтому для работы с ним нужно будет добавить его в браузер вручную (инструкцию о том, как это сделать, и обещает разместить на своем сайте «Казахтелеком»). Использование данного сертификата позволит вынести взаимодействие со всеми сайтами, использующими SSL, на некий внешний шлюз, через который будут отправляться все запросы пользователей к сайтам. Соответственно, с сайтами будет работать уже сам шлюз, проверяя их безопасность.

Казалось бы, все нормально: угроза с пользователей снимается и перекладывается на шлюз. Но, с другой стороны, при такой схеме работы весь трафик между пользователем и сайтом будет расшифровываться и зашифровываться на шлюзе, а у этого процесса в информационной безопасности есть название – man in the middle, или «атака посредника», что характеризуется как перехват или подмена сообщений, которыми обмениваются абоненты в Сети. В нашем случае это будет перехват всех данных в пределах страны, включая личные сообщения в социальных сетях, электронную почту, а также данные платежных карт, транз­акции, проводимые в платежных системах вроде PayPal. То есть никакой больше анонимности – абсолютно все сведения, которые отправляются или получаются посредством защищенных каналов, будут доступны тем, кто имеет доступ к шлюзу.

Возможно, такой подход и обоснован в связи с растущей террористической угрозой, но все это часть личной жизни гражданина, неприкосновенность которой защищена Конституцией.

Угроза перехвата

В принципе, понятно, что спецслужбы многих государств и без того следят за пользователями Сети. Так зачем понадобилось использовать этот самый национальный сертификат безопасности? Дело в том, что простой перехват возможен только в том случае, если используется незащищенное соединение по протоколу http – так работает большая часть сайтов. А вот защищенный протокол https, использующий SSL-шифрование, а также некоторые другие протоколы, включая почтовые, хоть и могут быть перехвачены, но расшифровка их очень сложна, а в некоторых случаях невозможна без наличия необходимого сертификата.

«Вероятно, для перехвата SSL-трафика и внедряется система с подменой сертификата – достаточно грубая, конечно, но весьма эффективная. Можно сказать, что это некий аналог, пусть и весьма топорный, системы, работающей в Китае и известной как «Великий китайский фаервол», – комментирует специалист по безопасности, пожелавший остаться неназванным.

Его поддерживают и другие коллеги, отмечая, что использование национального сертификата безопасности действительно позволит перехватывать весь трафик между пользователями и узлами сети интернет, которые используют SSL/TLS-соединения.

«При этом в какой-то мере данное решение теоретически может повысить безопасность пользователей, проверяя сертификаты сайтов и ограничивая доступ на те ресурсы, которые используют некорректные или просроченные сертификаты. Сегодня это остается на их собственное усмотрение», – говорит Павел Карабиди, технический директор Ak Kamal Security, казахстанского разработчика средств обеспечения информационной безопасности.

При этом он указывает, что попутно такое решение несет в себе некоторые потенциальные угрозы безопасности, которые должны учесть разработчики и администраторы. В частности, всегда есть риск, что, проведя успешную атаку на шлюз, злоумышленники смогут «убедить» его в легитимности своего сертификата, что позволит организовать глобальную фишинговую атаку, отправляя огромное число ничего не подозревающих пользователей из казахстанского сегмента интернета на поддельную страницу вместо привычных Facebook, Twitter или Mail.ru.

«Также существует вероятность, что, используя свое привилегированное положение, обслуживающий персонал шлюза получит несанкционированный доступ к конфиденциальным данным пользователей – их переписке, данным банковских карт, логинам и паролям, – предупреждает Карабиди. – То есть очень важен момент обеспечения безопасности шлюза и связанных с ним систем, ведь их компрометация может привести к серьезным проблемам. Тут же стоит упомянуть и о безопасности ключа этого сертификата, который должен быть максимально защищен во избежание попадания в третьи руки. Кроме того, есть и некие сугубо технические моменты. В частности, процесс расшифровывания и зашифровывания всех SSL-соединений требует огромных вычислительных мощностей. Если их будет не хватать, то высока возможность того, что доступ к защищенным ресурсам будет затруднен или даже невозможен в моменты пиковой активности».

Карабиди уверен, что есть вероятность противодействия нововведению со стороны защищенных сайтов компаний, которые имеют свои принципы и правила и могут просто отказать казахстанским пользователям в доступе к своим сервисам.

Есть, по словам собеседника, еще один важный момент с использованием двухстороннего SSL-соединения, которое используется в некоторых системах дистанционного банковского обслуживания. «Уже сейчас в нашу компанию приходят запросы от клиентов и партнеров с вопросом о работоспособности двухстороннего SSL после 1 января 2016 года. Здесь можно однозначно сказать, что расшифровка такого типа соединения с помощью национального сертификата безопасности невозможна, а потому пользователи таких систем, в том числе защищенных нашей Ak Kamal e-Security Suite, могут не переживать за конфиденциальность своих действий в интернет-банкинге. Правда, пока открытым остается вопрос о доступе к банкингу из-за границы. Но в любом случае конфиденциальность сведений не будет нарушена», – заверяет Карабиди.

Перехват зашифрованного трафика – это, конечно, далеко не все возможности новой системы. Многие специалисты не зря уже прозвали ее «Великим казахстанским фаерволом». Контроль трафика дает еще и возможность управления доступом к любым ресурсам Всемирной сети из Казахстана, а создание общего центра позволит реализовать возможность мгновенной блокировки любых сайтов. Кроме того, это позволит блокировать и протоколы, что грозит отключением как полулегального Tor, так и абсолютно легального VPN.
Помимо этого, стоит упомянуть о репутационных рисках для Казахстана: непросто будет объяснить иностранцам, почему для доступа к почте им нужно будет устанавливать какой-то странный местный сертификат.