Казахстанцам рекомендуют установить сертификат безопасности. Стоит ли это делать?

«Абонентам мобильных операторов Казахстана массово были разосланы сообщения о том, что всем необходимо установить национальный сертификат безопасности с сайта qca.kz. Якобы без него жители могут иметь проблемы с выходом в Интернет и доступом к некоторым сайтам. По сообщению властей, данный сертификат призван защитить личные данные пользователей. Так ли это на самом деле – попробуем разобраться», – передает корреспондент издания ZKO.KZ.

Такие изменения обяжут провайдеров осуществлять атаку man-in-the-middle. Сертификат честно будет перепаковывать ваш TLS-шифрованный трафик, попутно прослушивая все что нужно, просматривая личную переписку, собирая ваши логины и пароли от любых сервисов. Как заверяют власти – исключительно ради вашей безопасности.

Казахстанский сайт factcheck.kz опубликовал у себя итоги проверки подлинности данного заявления. По итогам этой проверки, «Фактчек» выяснил 6 основных выводов:

1. Устанавливать сертификат необязательно. Закон РК не содержит подобного требования к гражданам. Он касается только операторов связи.
2. Устанавливать данный сертификат – небезопасно. Ваши данные, в том числе персональные, станут доступны третьим лицам, а могут стать доступными и четвертым, и пятым.
3. Данный сертификат – прямая попытка контролировать весь трафик в стране, включая незашифрованные сообщения в почте и мессенджерах.
4. Совершенно непонятно, кто будет отвечать за хищение ваших данных в случае взлома данного сертификата и какова сфера ответственности его разработчика и заказчика.
5. Сам сайт, с которого устанавливается сертификат, зарегистрирован на частное лицо, судя по открытым данным – работающее на КНБ. Информация о сертификате непрозрачна, а его исполнение эксперты называют устаревшим.
6. В случае, если сертификат будет внедрен по всей стране, почти единственным безопасным решением будет использование платных VPN-сервисов новейшего поколения.

Все началось с такой рассылки на номера пользователей Activ, Beeline и Tele2

«Сегодня это пилотный проект, который реализуется в Нур-Султане. Это позволит гражданам защитить свои персональные данные, хранящиеся у них на телефоне. Вы сегодня знаете, что с развитием Интернета развиваются и кибератаки, хакерские атаки, то есть это слив персональных данных с вашего компьютера, с вашего телефона», – эти слова вице-министра цифрового развития РК Аблайхана Оспанова были опубликованы на сайте inform.kz.

На сайте Kcell есть пояснения о сертификате и прямые ссылки на его скачивание для разных платформ

Также А. Оспанов заявил, что все это делается на добровольной основе, и граждане сами решат, устанавливать этот сертификат или нет. Не обязывает к этому и закон РК – «О связи». Тогда остаются вопросы к сообщениям мобильных операторов, поскольку в их тексте присутствуют манипуляции о необходимости установки сертификата, хотя на деле, такой необходимости для пользователя нет.

На сайте «Казахтелеком» разместили информацию о том, что такое сертификат и почему он важен. После того как ряд СМИ опубликовал опровержения необходимости сертификата и его угрозу для личных данных, данный мануал был удален с сайта монополиста.

Любой обладатель полного доступа к сертификату может подменить любой контент, который вы получаете извне и который отправляете в сеть. Например, вы отправляете в социальную сеть безобидную картинку, а в итоге получается, что публикуете экстремистский контент. Или же вам могут подменить любой контент на внешнем сайте, показывая вместо реальных новостей вымышленные или прошедшие цензуру. Перед установкой любого сертификата нужно подумать, доверяете ли вы разработчику, и уверены ли в его намерениях и надежности.

Изначально сайт qca.kz был зарегистрирован на Аскара Дюсекеева 20 июня 2019 г. в Нур-Султане. Примечательно, что в качестве адреса указан Дом министерств. К слову, сам сайт определяется современными браузерами как небезопасный.

Теперь этот же сайт принадлежит Национальному координационному центру информационной безопасности. Этот центр является структурным подразделением РГП на ПХВ «Государственная техническая служба» КНБ РК.

Поисковики выдают профайлы Аскара Дюсекеева в социальных сетях. В LinkedIn некий Аскар Дюсекеев обозначен как директор департамента IT без дополнительных деталей, а в описании профиля отмечены следующие профессиональные интересы – киберпреступления, кибератаки, криптография, цифровая криминалистика и анализ хакерских программ.

А. Дюсекеев, помимо прочего, указывает участие в проекте Ransomware Analyzer – инструменте, анализирующем поведение программ-вымогателей

После того, как пользователи и страницы СМИ на Facebook разместили у себя информацию об Аскаре Дюсекееве, его профиль в LinkedIn был удален.

Директор компании «Дата-Сфера» Эльдар Кнар на своей странице в Facebook опубликовал открытое обращение к председателю КНБ РК Кариму Масимову.

«Через установленный сертификат QCA конечный бенефициар сертификата (в данном случае Аскар Дюсекеев) будет получать информацию о всех ваших действиях в Интернете. Все действия и операции, то есть все реквизиты вашей карточки, включая трехзначный код CCV, будут также поступать и третьему лицу – то есть Аскару Дюсекееву (или любому другому). Поскольку, когда вы проводите операции, то заполняете все данные карточки, включая секретный код СVV. В случае одноразовых паролей, сертификат может быть настроен на ситуативное управление мобильным носителем. Вам ничего делать не надо: через сертификат будет подан запрос, придет одноразовый код, который будет считан и заполнен. Вы даже этого и знать не будете. Постепенно, в течение определенного времени действия сертификата QCA в базе данных окажутся карточные и банковские реквизиты всех или почти всех юридических и физических лиц Республики Казахстан», – поясняет Эльдар Кнар в своем обращении.

По его мнению, однажды со счетов держателей кредитных карточек всех казахстанцев могут исчезнуть деньги, которые будут переведены на оффшорные счета, а те, кто будет к этому причастен, изчезнут в неизвестном направлении.

В своем профиле Facebook Аскар Дюсекеев называет себя «Повелителем сертификатов, читателем твоих бредней и вбивателем слитых СС»

По итогу специалисты «Фактчека» видят только три возможных выхода.

Во-первых, не устанавливать данный сертификат и не давать ему требуемые разрешения. Во-вторых, помнить, что установка сертификата – дело добровольное, и никто не может вас к этому принудить. Это было бы попросту противозаконно. В-третьих, в случае, если сертификат будет внедрен по всей стране, единственным безопасным решением будет использование платных VPN-сервисов новейшего поколения. Большинство бесплатных VPN-сервисов окажутся уязвимыми.

Чтобы всегда быть в курсе новостей, подпишитесь на нас в Инстаграм.

Отправить в WhatsApp
Поделиться ВКонтакте
Поделиться в Facebook