Сертифицированная опасность?
«Казахтелеком» сообщил, что 1 января 2016 года, в соответствии с Законом Республики Казахстан «О связи» Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан внедряет национальный сертификат безопасности для пользователей сети Интернет.
Согласно Закону операторы связи будут обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.
Национальный сертификат безопасности, по мнению авторов этой идеи, обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
Сообщение это вызвало бурю эмоций в интернет-сообществе и соцсетях. По мнению многих, это означает очередную попытку правительства «тихой сапой» поставить под контроль интерент-ресурсы, дает им огромные возможности для отслеживания любой, в том числе и сугубо личной информации пользователей, которая проходит в сети. Что, по их мнению, не только нарушает все права, но даже и Конституцию, позволяет государству вмешиваться в личную жизнь и неизбежно приведет к различным злоупотреблениям.
Вот характерный пример критики подобного рода из Интернета:
Данияр Супиев, программист Digital Time S&H:
«HTTPS — шифрованный HTTP-канал. HTTP — это протокол, посредством которого вы получаете инфу из сети. Объяснять все тонкости долго, если хотите — можете почитать вики. Проблема в том, что HTTP-канал могут прослушать. Кто? Любой, кто имеет доступ к проксирующим узлам сети. Если проще — любой, через чьи руки проходит ваш трафик. Например, ваши сисадмины. Или люди, работающие в компании, предоставляющей вам инет. Или транспровайдеры, вроде Казахтелекома.
HTTPS решает эту проблему. Он шифрует ваши запросы асимметричным алгоритмом на основе RSA, который в данный момент требует порядка 10 лет вычислений на всех компах мира для дешифровки. Если вы пользуетесь HTTPS — никто, кроме кейлоггеров (шпионские программы непосредственно на вашем компьютере) не может узнать, какой инфой вы обмениваетесь с сервером.
Казалось бы, такой уровень безопасности необходим только хакерам, параноикам и всяким политическим активистам. Словом, тем, кому есть что скрывать. Казалось бы…
Чем грозит прослушка https
Если коротко — можете раз и навсегда забыть о личном пространстве. Это как если бы у кого-то был ключ от всех дверей страны. Захотел — пошёл и порылся в твоём шкафчике. Захотел — залез в твоё банковское хранилище. Или к твоему нотариусу, прочесть твоё завещание. Куда угодно. Не хватает денег на новую яхту — просто подошёл к тебе, залез в твой кошелёк, и выгреб оттуда всё до последней копейки.
А теперь давайте остановимся на каждом пункте поподробней. Можете больше не придумывать сверхнадёжные и сверхсложные пароли, это бесполезно. Один фиг в любой момент у вас могут перехватить ключ сессии, и сделать с вашим аккаунтом что угодно. А если пароль передаётся нехешированным (как на юви, например), то могут перехватить и сам пароль.
Есть деньги на пейпале? Или на киви? На яндекс.деньгах? На вебмани? Да где угодно. Можете о них забыть раз и навсегда. Нет никаких гарантий, что какой-нибудь уволившийся сотрудник Казахтелекома не решит аккуратненько разбогатеть по-быстрому. И, самое главное, если он не будет идиотом, отследить его будет практически невозможно. Можете забыть об интернет-покупках. Вряд ли какой-нибудь интернет-магазин согласится принимать платежи на счёт, с которого в любой момент времени могут увести все деньги.
Кстати, вы пользуетесь интернет-банкингом? А зря. В общем, не удивляйтесь, если после утверждения HTTPS-прослушки у вас внезапно станут пропадать деньги со счетов.
Забудьте вообще о любой интернет-коммерции.
Я, как и другие программисты, смогу обойти эту хрень, смогу и дальше шифровать свои персональные данные, но люди других профессий больше не смогут….»
Игнорировать такие угрозы, конечно, любой здравомыслящий казахстанец не может. Что же это получается: опять возврат к пресловутому «Большому брату»? Опять коллективный государственный «Тефаль» заботится о нас? «Казахтелеком», естественно, уверяет, что этот сертификат придуман исключительно для нашей же безопасности, и никакого вмешательства в личную жизнь не будет. Даже скандальный пресс-релиз, который сообщал всем пользователям, что они должны добровольно-обязательно пойти «под колпак Мюллера» был с сайта удален. Но все знают, чего стоят добросердечные уверения наших чиновников, особенно когда дело касается такой острой сферы, как Интернет и соцсети…
И подобных «апокалиптических» описаний последствий внедрения пресловутых нововведений в Сети полно. Мы решили выяснить, как относятся к подобному нововведению люди, которые работают в Сети и которых этот протокол безопасности касается в первую очередь.
Михаил Дорофеев, главный редактор информационно-аналитического сайта Informburo.kz:
-Если будет внедрена эта модель, чем грозит это владельцам интернет ресурсов и интернет пользователям?
— Сразу хочу оговориться, что информации немного и я не являюсь техническим специалистом, поэтому все мои умозаключения построены на публичных заявлениях, консультациях с экспертами и истории развития медиа в Казахстане и мире.
Так вот, важно понимать, что речь идет только о той части зашифрованного трафика, который направлен из Казахстана вовне. Фактически это все данные, которые мы передаем иностранным ресурсам – тому же Facebook, например. Если раньше получить сведения о том или ином пользователе социальной сети можно было только у администратора этой социальной сети, то после внедрения сертификата это можно будет сделать уже просто через провайдера.
Думаю, казахстанский интернет-пользователь этого не заметит. Сегодня весь трафик, проходящий внутри Казахстана и так «прозрачен» для силовых структур через провайдеров, и его можно контролировать. Большинство даже не задумывается о том, что даже транзакции через систему интернет-банкинга можно легко отследить – куда, кому и на какие цели мы перечисляем деньги, а заодно какими паролями пользуемся. Теперь то же самое будет сделано применительно к интернет-трафику, «текущему» из Казахстана за рубеж.
Это неприятно, но не смертельно. В конце концов, вы же спокойно передаете данные о себе Цукербергу, почему же тогда мы боимся, что их отследят казахстанские власти?
Фактически можно говорить о кончине института цифровой анонимности. Интернет и социальные сети перестают быть территорией неконтролируемой свободы и зоной безнаказанности юзеров, которые прячутся за выдуманными никами.
— Если решение будет реализовано, Казахтелеком сможет блокировать весь зашифрованный трафик, который не в состоянии отслеживать с помощью своего сертификата?
— Думаю, такая возможность будет. Но сертификат вводится не для всеобщей блокировки трафика, а, скорее, для того, чтобы блокировать отдельных интернет-пользователей. Представьте себе, что некий юзер пишет на своей странице в Facebook всякие нежелательные вещи. Сегодня, чтобы заблокировать его, надо обращаться к администратору Facebook, завтра, после внедрения новой системы, можно это сделать самостоятельно: его информационный «выхлоп» в интернет будет просто блокирован, и посты не будут публиковаться.
Иными словами, сейчас блокируется доступ к потреблению контента, завтра будет блокироваться доступ к публикации контента.
— На ваш взгляд, почему был удален опубликованный пресс релиз?
— В законе, на который содержалась ссылка в пресс-релизе, не говорится о национальном сертификате безопасности. Сертификаты безопасности применялись и ранее, но эта сфера, как я понимаю, не была законодательно урегулирована. Содержащиеся в законе понятия и положения гораздо уже, чем ситуацию трактует удаленный пресс-релиз. Очевидно, «Казахтелеком» просто побежал впереди паровоза – все, о чем они написали, будет, но позднее, когда примут подзаконные акты, в частности, Правила выдачи и применения сертификата безопасности.
Учитывая тот резонанс, который вызвала публикация пресс-релиза в Казахстане и – самое главное – за рубежом, где уже назвали все это «великим казахским файерволлом», видимо, поступила команда народ не пугать. И, действительно, такие новости нельзя давать без подготовки. Очевидно, в ближайшее время мы такую информационную подготовку увидим (впрочем, она уже началась с пресс-конференции вице-министра инноваций и развития Сакена Сарсенова). А уже затем пресс-релиз станет вновь актуален, и его можно будет опубликовать, исправив только дату.
Бекнур Кисиков, вице-президент Казахстанской ассоциации франчайзинга:
— Конечно, как любой пользователь Интернета, я с настороженностью отношусь к этим мерам. При этом нужно понимать, что Интернет в целом прозрачен, и никто не может быть там скрытным. Но одно дело- прозрачность официальная, другое — скрытная. Каждый пользователь имеет свои секреты. Это и его переписка, и платежи, и многое другое. Конечно, любая транзакция в Интернете открытая, и трафик любого Айпи абсолютно читаем. Но нужны ли дополнительные акты для контроля трафика, и главное – кто это все будет контролировать? В чьи руки попадут данные деловой, коммерческой, финансовой информации? Пока у нас есть только вопросы.
— Чтобы реализовать это решение, нужны дорогостоящие технологии, есть ли они в Казахстане?
— Я не специалист в этой области, но, думаю это не так дорого, как кажется. И вполне решаемо.
— Представители министерства говорят, что право выбора «национального сертификата безопасности» останется за пользователями и владельцами интернет ресурсов. Так ли это?
— Опять же, у меня мало информации. Но это было бы логично и разумно.
— Существует ли подобный опыт в других странах, где было реализовано подобное намерение властей?
— Интернет, в целом, в мире, конечно, контролируется. Это не только цензура, но и многое другое. В США, например, существует компьютерный надзор, включающий в себя мониторинг данных и трафика в Интернете. Все телефонные звонки и широкополосный интернет-трафик (письма, веб-трафик, сообщения и т.д.), согласно федеральной программе Communications Assistance For Law Enforcement Act, обязаны быть доступны для беспрепятственного мониторинга в режиме реального времени. Но это скорее инструмент сбора информации, а не ее анализа. Все американские провайдеры телекоммуникационных услуг обязаны установить соответствующую технологию для перехвата данных интернет протокола, в том числе таких, как (VoIP) трафик. Есть проект «Золотой Щит» в Китае. Но там это больше цензура. Опять же, повторюсь: так или иначе, мониторинг трафика есть, скорее всего, во всех странах, где есть Интернет. Но насколько такие действия и права закреплены законодательно?
Использовано фото с сайта radiotochka.kz
Комментариев пока нет