ЖИЗНЬ

Проблема с сертификатом QTN в том, что он не признан мировым сообществом и не включен в список доверенных, – эксперты

Законодательные инициативы иной раз способны не только вызывать подозрения в доступе государства в сферы нашей жизни, которые само государство определяет как личные и закрытые от Большого брата. Иной раз эти подозрения могут быть уверенностью. Но проблема в том, что повлиять на внедрение законопроектов и даже уже существующих законов у обычного гражданина возможности нет. Обновлениям в  Законе РК “О связи”, посвященным установлению государственного контроля над всем трафиком в сети страны, уже больше двух лет, а первоначально внедренным в него новеллам о “едином национальном центре” – больше четырех. Изменить закон, положения которого действуют уже четыре года – это надо не просто захотеть, но и очень-очень постараться.

Но кто окажется бенефициаром этих нововведений? Государственные чиновники говорят – граждане, им, мол, будет более безопасно в интернете. Но установка специальных сертификатов, которым каждый пользователь должен оказать доверие на расшифровку трафика, предоставляет не только ограничительные, но и широкие информационные полномочия. Фактически, мы сами доверим право просматривать наши сообщения даже в тех мессенджерах и сервисах, в которых предпочитали бы личную приватность. И возможность блокировать ресурсы по мановению “волшебного рубильничка”, хотя о такой возможности и говорят сейчас лишь как “по решению суда”. Но разве суд принимал решение о блокировке социальных сетей – а они явно бывают периодически блокированы? Вспомним хотя бы ситуацию с ними в недавний день выборов руководителя страны.

Журнал “Власть” приводит еще и такой аргумент со стороны руководителя ведомства, курирующего вопросы связи в стране: “Национальный сертификат безопасности, который в последние дни просят установить мобильные операторы, в первую очередь позволит обезопасить детей от экстремистской информации и порнографии, заявил во вторник журналистам в кулуарах правительства министр цифрового развития, инноваций и аэрокосмической промышленности Аскар Жумагалиев”. Забота о детях выражается почему-то установкой на технику взрослых людей (из которых очень даже не все имеют детей, или сознательные родители сами ограничивают доступ ребенка к интернету, контролируют его серфинг) сертификатов с целью ограничения доступа к информации.

Портал Profit.kz, специализирующийся на новостях технологий, в первую очередь технологий связи, опубликовал любопытную статью – словно специально для тех, кто до сих пор сомневается в бенефициарах введения “контролируемого интернета”. Все так, как мы и предполагали – даже с точки зрения экспертов отрасли.

Полностью статью можно прочитать на самом сайте, а мы лишь приведем ее тезисы.

Цитаты

Абоненты мобильных операторов стали получать SMS, в которых говорилось о необходимости установки сертификата, который, по мнению государственных чиновников, призван защитить абонентов от хакерских атак, фишинга и просмотра противоправного контента. <…>Сертификат называется Qaznet Trust Network и размещается на сайте Qca.kz. Примечательно, что изначально владельцем домена было указано частное лицо. Однако в субботу, 22 июля стало известно, что домен переоформлен, и сейчас его владельцем значится Национальный координационный центр по информационной безопасности РК. <…>

О том, что установка сертификата пока не является обязательной, упомянул и вице-министр цифрового развития, оборонной и аэрокосмической промышленности Аблайхан Оспанов.

«Данная норма введена в Закон о связи еще в 2015 году. Сегодня операторы обязаны предоставлять такую возможность населению — загружать и устанавливать сертификат технической безопасности на свои устройства. Сегодня это добровольно. Вам предоставляют такую возможность, по желанию можете установить или не устанавливать», — заявил г-н Оспанов на пресс-конференции, прошедшей в правительстве 19 июля. <…>

Однако, что же такое этот сертификат безопасности? Если кратко, то это набор цифровых символов, используемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование. <…>

Но в чем проблема именно с Qaznet Trust Network? Дело в том, что этот сертификат не признан мировым сообществом и не включен в список доверенных. Пользователь, устанавливая сертификат, по сути, «открывает» весь свой трафик и позволяет владельцу сертификата получить доступ к личным данным, переписке, логинам-паролям и даже счетам. <…>

О том, в чем может состоять необходимость казахстанского сертификата, ответил Арман Адбрасилов, директор казахстанского Центра анализа и расследования кибератак.

«Коротко говоря, сертификат — это расширение технических возможностей правоохранительных органов в Казахстане. Этот инструмент нужен для выполнения основных задач наших силовых структур. Это выявление, проведение специальных оперативно-розыскных мероприятий на каналах связи. Когда мы используем западные технологии и ключи шифрования, проведение этих мероприятий осложнено тем, что правоохранительным органам нужно договариваться с владельцами ключей, либо с владельцами сервисов. А это иностранные организации. То есть, условно говоря, нужно договариваться с администрацией WhatsApp, либо Fасеbook, чтобы получить переписку пользователя. Либо — с владельцем сертификата, который используется для шифрования канала между Fасеbook или WhatsApp и пользователем, — объясняет Арман Абрасилов. — И тут есть два пути решения. Первый вариант, элегантное решение — изготовить казахстанский сертификат и договориться с мировым сообществом, чтобы его признали и включили в список доверенных. И он бы автоматически оказался в списках доверенных сертификатов всех браузеров и операционных систем, что и происходит обычно с другими сертификатами. То есть, надо было договориться с разработчиками, с удостоверяющими центрами о том, чтобы нам дали сертификат и внедрили его как доверенный. В таком случае наши правоохранительные органы работали бы точно так же, как иностранные, получая санкции на доступ к контенту. По всей видимости, такой договоренности достичь не удалось. Поэтому решили пойти вот таким непопулярным способом — предложить гражданам самостоятельно, добровольно установить сертификаты. Получается, сами пользователи указывают, что доверяют сертификату — эта процедура тоже предусмотрена. С чем мы сейчас и столкнулись».

«В целом, я понимаю мотивы государства. Но сами методы и исполнение не совсем корректны. Такой сертификат уже пробовали делать, не только в Казахстане, но не получилось, — говорит Николай Бабешкин, председатель ассоциации „Цифровой Казахстан“. — В целом, как обычного человека меня смущает не то, что мои данные куда-то улетят. <…> Интернет становится „большим“, и понятны мотивы государства участвовать в этом. <…> Есть еще такой момент — большие технологические компании будут заботиться о своей репутации и, например, закрывать доступ к своим ресурсам людям, которые заходят на сайты с этим сертификатом. Завтра он может быть взломан, доступ к ключам позволит скомпрометировать кого-то. Обычный человек, возможно, ничего не потеряет. А если это, например, председатель банка? И еще — каким образом пойдет трафик интернет-банкинга? Как будут работать проверки платежных шлюзов, PSI DSS, как отреагируют Visa и Mastercard? У меня даже ответов нет на эти вопросы. Нельзя взять и включить это на всю страну! Такие топорные методы создают больше проблем. Есть вопросы к исполнителям».

Стоит отметить, что мировая общественность уже выразила беспокойство относительно появления сертификата и склонения пользователей к его установке. Издание ZDnet пишет, что после его установки HTTPS-трафик пользователя может быть расшифрован, его содержимое — просмотрено, а затем с помощью сертификата трафик может быть снова зашифрован и отправлен по назначению. Более того, еще в 2015 году Казахстан обращался к Mozilla с просьбой включить его корневой сертификат в Firefox по умолчанию, однако там отказались это делать. Сейчас производители крупнейших мировых браузеров (Google, Microsoft, Mozilla) обсуждают сложившуюся ситуацию и пытаются выработать план действий по работе с теми сайтами, которые были «перезашифрованы» казахстанским корневым сертификатом. Причем предложения высказываются разные, включая блокировку сертификата и добавление его в черный список, или выставление неубираемой надписи с описанием последствий такого подключения для пользователей.

Серьезные сомнения по поводу необходимости сертификата высказывает и Владимир Туреханов, президент «Казахстанской ассоциации автоматизации и робототехники». Он подчеркивает, что установка сертификата не поможет в борьбе с фишингом и даже может навредить: «Да, вы можете не устанавливать сертификат (пока), весь интернет не отключится (пока). <…> Сам факт того, что „сертификат безопасности“ предлагается скачать с сайта, не использующего шифрование трафика — та еще дыра в безопасности. Ведь уже на этапе скачивания его можно подменить на несколько другой, а вы собственноручно дадите ему статус доверенного на своих устройствах. Надо отметить, что сертификаты безопасности были изобретены не 17 июля 2019 года. Это было сделано гораздо раньше. На них базируется почти вся безопасность в интернете. Так в чем же дело, спросите вы? Чем наш национальный „сертификат безопасности“ плох? Хотя бы тем, что он не является доверенным согласно принятым в интернете нормам и правилам. В мире есть несколько доверенных центров сертификации, информация о которых занесена в браузеры и операционные системы. Они прошли соответствующие проверки. Наш не прошел и не был включен в список доверенных. Сейчас нам предлагают его установить (скачать) вручную и самостоятельно указать, что он для нас является доверенным».

Конец цитирования

Даже эксперты (не все, но многие) сейчас довольно мягко оценивают последствия установки сертификатов, предполагающих наличие некоего государственного центра, который получит техническую возможность (право он получил еще в 2015 году с введением в действие поправок Закона “О связи”) фильтровать и просматривать весь трафик, в том числе и зашифрованные сообщения.

Позиция лояльного гражданина “мне нечего скрывать от своего государства” вовсе не должна подразумевать, что законное право, например, на тайну переписки может быть дезавуировано без суда лишь потому, что у государства появилась возможность читать эту самую переписку. Пока правительственные чиновники объясняют причины появления требования самостоятельной установки сертификата защитой граждан, в том числе и от доступа к незаконному контенту. Но ведь в мировой практике уже существуют аналогичные и признанные инструменты защиты – те же самые сертификаты, но признанные на мировом уровне и при этом не предполагающие возможности в любой момент делиться данными, например, с правоохранительными органами (это очень чувствительно ударит по репутации сертификационных центров). А в нашем случае именно влияние правоохранительных органов на трафик признается целью сертификации.

В качестве примера у нас есть доступный и понятный опыт: уже в течения года время от времени блокируются социальные сети, несмотря на то, что они легальны, не запрещены решениями суда. Даже после открытия в ноябре 2015 года доступа к Живому Журналу (который был заблокирован на территории Казахстана с 19 августа 2011 года в течение четырех лет) ежедневные проблемы с доступом к нему по-прежнему существуют.

Meduza – спорное, но довольно профессиональное издание, организованное Галиной Тимченко в Латвии после ухода из Lenta.ru – заблокировано с территории Казахстана практически сразу после запуска, с 2014 года, из-за одиозной и провокационной статьи Ильи Азара. То есть, не обладая возможностью блокировать отдельную статью, которая вызвала довольно резкую реакцию казахстанских властей (да и читателей тоже), государство заблокировало ресурс целиком. И прочитать, например, оценку изданием требования установки сертификата в Казахстане, казахстанцы вроде бы не должны. Если, конечно, не используют VPN или предложенный самой же Meduza инструмент обхода запрета в своем приложении для смартфонов. С инструментами обхода практически любой, даже запрещенный в стране, контент, волшебным образом становится доступным.

Знают ли власти Казахстана о наличии VPN? Конечно, знают, но вот поставить под контроль еще и VPN пока не могут, а вернее, не хотят, потому что технические возможности этого уже существуют. Что, впрочем, не означает, что не смогут или не захотят никогда. В России, например, требование постановки на учет VPN-сервисов – обязательная процедура. Впрочем, на работе незарегистрированных сервисов это пока не сказалось. А в Китае в конце 2017 года мужчину, продававшего аккаунты к VPN-сервисам, даже лишили свободы на пять с половиной лет за продажу людям возможности пользоваться доступом к мировому интернету, обходя китайские государственные ограничения. Впрочем, он был приговорен за “незаконные деловые операции”, а не конкретно за предоставление права на доступ.

Вопросы остаются. Например, сколько стоит государственному бюджету формирование и содержание инструментов контроля, если этот контроль до сих пор не имеет никакого значения для чуть более подготовленного, чем новичок, пользователя? А вернее, вопрос будет звучать так – когда у нас будут полностью и надежно блокированы пути доступа к информации, которую не стоит видеть казахстанскому читателю? В том, что это так или иначе будет сделано, сомневаться не приходится.

Мы привыкли довольно свободно получать информацию в интернете. Даже ту, которая не нравится властям. Ведь не секрет, что далеко не всегда ограничения в доступе касаются лишь действительно опасных текстов: по той же Медузе – экстремистской признана одна статья, а блокирован весь ресурс с тысячами статей, не несущих в себе никакой опасности вообще. А Живой Журнал, удаливший все же материалы, которые вызвали необходимость блокировки всего сервиса? Он то доступен просто так, то лишь с инструментами обхода. А странно недоступный временами Ю-туб, на котором подавляющее большинство казахстанцев смотрят лишь шоу да развлекательные ролики, а не те каналы, из-за которых пропадает доступ к сервису.

Чем будут регулироваться люди на рубильнике, какими установками, чьими приказами? Ведь стремление ограничить доступ к реально опасной информации, к тому же действительно законным порядком запрещенной к распространению в Казахстане – это правильно и достойно уважения. А ограничения для всей страны, основанное лишь на неких предположениях об опасности, не подтвержденное судами и обеспеченное некими тайными распоряжениями, – это совсем другое. И кто помешает наслаждаться таким правом, если убрать из казахстанского интернета неприятную (хотя до решения судов и законную) информацию можно будет лишь устным распоряжением или телефонным звонком? Никто и не скрывает – все эти шлюзы будут под управлением не операторов, а правоохранительных органов.

И вот так, привыкнув к относительной свободе, нам не хочется поступаться даже частью ее. Даже, если право на ограничение этой свободы уже давно записано в законе, одобрено мажилисменами и сенаторами, подписано президентом страны.

Кстати, мы знаем – если необходимость сертификации будет обязательной, то тем пользователям, которые не захотят доверять управление доступом к информации через сертификат, предлагаемый властью, наш сайт – Factum.kz – тоже перестанет быть доступным. Как раз потому, что мы используем рекомендованный во всем мире “защищенный” протокол шифрования https://, который уже обеспечивает читателям защиту на таких сайтах, подкрепленную сертификатами безопасности, проверенными браузерами и операционными системами на мировом уровне. Это – реальный инструмент защиты именно пользователя, и мы платим за то, чтобы сайт работал по этому протоколу и проверялся на безопасность инструментами мирового уровня контроля. Зачем у пользователя должен быть еще и казахстанский сертификат, которому не доверяют браузеры, но обязан доверять сам пользователь? Этот факт заставляет нас принимать предлагаемые государством мероприятия как угрозу нашим читателям, да и нам самим тоже.
Вверх