Bender1001
Местный
Что случилось?
Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — «сертификат безопасности».
Но зачем?
Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». и сослались на необходимость ограничить распространение противоправной, запрещенной информации. просто указал на требование закона.
Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.
3
Власти получат контроль над зашифрованным трафиком?
Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:
Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.
4
А что будет, если не поставить этот сертификат?
Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.
5
То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета?
Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности».
Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — «сертификат безопасности».
Но зачем?
Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». и сослались на необходимость ограничить распространение противоправной, запрещенной информации. просто указал на требование закона.
Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.
3
Власти получат контроль над зашифрованным трафиком?
Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола:
- сгенерировать поддельные сертификаты для любого сайта,
- заверить их сертификатом, который установил пользователь,
- подменить оригинальные сертификаты своими,
- расшифровать весь трафик от сервисов типа Google или Facebook.
Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.
4
А что будет, если не поставить этот сертификат?
Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.
5
То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета?
Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности».
