Сертификат «небезопасности» отменили. Это победа?
Всем привет, на связи «За нами уже выехали». Довольно забавно получилось у нас в прошлый раз - подготовили выпуск, где одной из тем снова был сертификат безопасности - и пока мы его заливали на канал - вышло заявление Касым-Жомарта Токаева, где он по сути откатил установку этого самого сертификата назад.
Новость безусловно позитивная, хоть и из цикла - чтобы сделать человеку хорошо - сначала сделай плохо, а потом верни, как было. Тем не менее, решение отозвать установку сертификата от Токаева выглядит очень странным - в этом вопросе столько нелогичностей, что не поговорить о них нельзя. Можно ли сказать, что свободный интернет в Казахстане победил? Об этом сейчас порассуждаем, поехали!
Итак, позитив в вопросе сертификата, начался с заявления Токаева в твиттере. Давайте даже процитируем:
КНБ по моему поручению провёл тестирование сертификата безопасности в рамках программы Киберщит. Доказана защищенность информационного пространства РК и возможность использования сертификата только в случаях вторжения извне. Неудобств пользователям интернета нет. Благодарю КНБ.
А потом была еще одна цитата:
Быстрое завершение тестирования сертификата безопасности по программе Киберщит показало высокий уровень технической оснащенности на случай кибератак извне, ранее имевших место неоднократно. Главное - неудобств пользователям интернета в КЗ не будет. Все опасения не имеют оснований
Ну и в догонку потом уже был комментарий от КНБ, который содержал ответ на ключевой вопрос - что теперь делать с этим сертификатом? Выяснилось, что теперь его оказывается, можно и удалить.
Жителей Астаны и тех, кто сталкивался с проблемами доступа к социальным сетям и был вынужден установить эту прокладку, мы поздравляем. О том, как удалить сертификат, если вы специально или случайно его установили - подробно рассказывал портал «Фактчек.кз». Ссылка на этот материал: https://factcheck.kz/18/kak-udalit-sertifikat-qaznet-trust-network/
А теперь займемся разбором тех самых странностей и нестыковок. Во-первых, у нас вопрос - почему за все три недели тестирования в кавычках сертификата нигде не было информации об этом Киберщите и вообще нигде не упоминалось, что введение сертификата - это временная мера. Напротив - и министерство цифрового развития, инноваций и аэрокосмической промышленности и собственно в самом КНБ нас уверяли, что сертификат - это круто и это необходимо. Мало того, мол его введение проходит в соответствии с нормой в законе о связи, введенной еще в 2015 году.
А в КНБ вообще через сайт Tengrinews.kz подготовили ответы на некоторые популярные вопросы - зачем этот сертификат, является ли он аналогом китайского файрвола и так далее. Правда эти ответы потом довольно подробно разнес все тот же фактчек. Некоторые вещи даже приведем. Читаем ответ КНБ и разбор Фактчека:
«Сертификат безопасности устанавливается с целью защиты граждан, государственных органов и частных компаний от хакеров, интернет-мошенников и иных видов киберугроз.
Примером могут послужить события 2016 года, когда в социальных сетях распространялась игра «Синий кит», целью которой являлось доведение человека до совершения самоубийства. Владельцы социальных сетей не контролировали ситуацию, а у нас не было возможности ограничить доступ к данной информации.»
Вердикт: ложь и манипуляция
Во-первых, как мы видим из списка сайтов, для доступа к которым требуется сертификат во время «пилотного тестирования» в Астане, основная задача сертификата — контроль контента в социальных сетях. То есть — слежка, поиск контента, считающегося по мнению КНБ противоправным, и блокировка подобного контента. Данные о том, как используется данный сертификат для защиты от кибератак (например, фишинга) — отсутствуют.
Во-вторых, ничего нового в самой технологии работы сертификата нет. Существующие сертификаты и протоколы обеспечивают достаточную безопасность соединений и личных данных, они проверены и контролируются всеми участниками рынка и используются во всём мире. Говорить о том, что данный сертификат безопаснее других — манипуляция. Кроме того, как мы уже писали, сертификат в его нынешнем виде и статусе представляет собой один из инструментов для потенциальных MiTM-атак, он не признан доверенным ни одним из производителей современных безопасных браузеров.
В-третьих, совершенно непонятно, каким образом данный сертификат может обеспечить безопасность частных компаний, особенно, обрабатывающих большие объёмы персональных данных клиентов. Данные, ранее доступные только пользователю и компании окажутся потенциально доступны третьей стороне. Скорее, наоборот, большинство частных компаний вынуждены будут радикально отказаться от использования такого сертификата. Иначе им придётся пересматривать собственную систему безопасности и устроить тотальный пересмотр отношений с пользователями.
Манипуляцией является и упоминание игры «Синий кит» как примера интернет-угрозы. На это есть несколько причин:
- · В феврале 2017 года во время очередного всплеска интереса к игре бывший на то время Министр внутренних дел РК Калмуханбет Касымов заявил, что в 2016 году было возбуждено 44 уголовных дела по фактам попытки суицида, погибли 16 детей. Однако ни в одном из этих случаев участие в играх наподобие «Синего кита» не подтвердилось.
- · Не существует полноценных и подтвержденных исследований со статистикой по Казахстану, где доказана прямая зависимость этой игры на количество суицидов.
- · Что касается данных по России, откуда игра родом, экспертные оценки по количеству суицидов различаются. Авторы статьи «Доведение до самоубийства посредством использования интернет-технологий: Социально-психологические, криминологические и уголовно-правовые аспекты», опубликованной во Всероссийском криминологическом журнале, указывают, что причины расхождения оценок кроются в «высокой латентности самих самоубийств, влекущей и латентность связанность с ними преступлений». Простыми словами, эксперты могут не распознать самоубийства и записать в категорию несчастных случаев, а значит не будут подробно рассматривать обстоятельства смерти.
Также по мнению фактчека манипуляцией является ответ КНБ о том, что установка сертификата безопасности проводится в соответствии с законодательством Казахстана.
Еще одна цитата:
Действительно, на данный момент введение сертификата не вступает в явный конфликт с указанными законами РК. Однако у сертификата отсутствует пользовательское соглашение, никак не прописана ответственность сторон — нет вообще никаких данных, которые объясняли бы пользователю правовую и техническую стороны работы сертификата. При установке пользователю предлагается просто дать сертификату доступ ко всем персональным данным. Ко всем — это значит ко всем, которые будут пересылаться через браузер (!). Каким образом и кто будет отвечать в случае утечки персональных данных — неизвестно.
Вот вы зададите логичный вопрос - чего вы продолжаете докапываться до этого сертификата? Все же - отменили, можно удалять и расслабиться?
Да нет у нас в этом уверенности, точнее даже наоборот - есть уверенность в обратном. Раз из чулана достали концепцию Киберщита, то на наш взгляд очевидно, что «тестирование» вариантов контроля за интернет-пользователями в Казахстане только усилится.
Эту концепцию «Киберщита» на самом деле можно найти в сети - это многостраничный документ, который в целом содержит очевидные страшилки - о том, почему государственный информационный щит необходим - мол стоооолько угроз Казахстану извне, что страшно жить и как-то надо предохраняться. Кстати - забавно, что авторы страшилок - как двухлетней давности, так и в последних публикациях как-то странно оперируют цифрами.
Ну вот например, в свежей публикации КНБ говорится:
за прошедший месяц было выявлено более 8 миллионов фактов вирусной активности и 130 тысяч кибератак в отношении государственных органов и частных компаний. Также были выявлены факты кибершпионажа в отношении ряда государственных органов.
А в той концепции киберщита написано следующее:
На ежедневной основе фиксируется и отражается более 180 миллионов атак различного уровня.
Что случилось за эти два года? Почему раньше было 180 миллионов атак в день, которые отражались без всяких сертификатов, а сейчас, когда сертификат протестировали, за целый месяц выявлено всего 8 миллионов вирусов и 130 тысяч кибератак. Мне правда интересно, как выглядят эти люди, которые рисуют эти миллионы - главное придумать цифру побольше да пострашнее, а то, что эти цифры отличаются в сотни раз - ну, да бог с ними - кто будет проверять - да и вообще, кто сможет проверить - ведь доступа к информации по характеру этих «кибератак» у нас с вами нет. Страшно же звучит - миллионы атак, значит надо защищаться.
В глобальном смысле мы считаем, что эта новость про откат сертификата является определенной передышкой. Работа по установке тотального контроля за каждым передвижением пользователя - как физически, так и в информационном пространстве будет продолжена. Возможно даже с использованием этого сертификата - например возможен поэтапный его запуск на постоянной основе - например для госслужащих, которые традиционно, самые сговорчивые и тихие. Потом возможно появится ряд пряников или кнутов - например хочешь якобы безлимитный доступ к социальным сетям от своего оператора - установи сертификат. Или хочешь получить справку из Егов - тоже установи сертификат. Ютуб продолжает по вечерам гнать - снова установи сертификат. И так далее - и необязательная мера, как они говорили эти три недели, но и без нее будет невозможно.
Поэтому не расслабляемся и внимательно следим за тем, что скачиваем под завуалированными предлогами.
А сегодня у нас все - подписывайтесь, пишите комментарии. Мы за этой темой следить не перестанем. Всем спасибо, всем пока!