Сертификат [не]безопасности: хронология

6 августа официально закончилась эпопея с злополучным сертификатом безопасности. Команда Accountability Initiative for Reform проследила хронологию внедрения, экспертных оценок и протестов. Если, вы хотите добавить событие, которое мы упустили, напишите нам на hello@air.org.kz.


Любое ограничение права на доступ к информации, право на свободу слова и распространения информации является прямым нарушением прав человека. К сожалению, интерес пользователей к защите своих персональных данных возникает спонтанно и чаще всего связан с громкими делами по поводу масштабных утечек данных. Мы призываем повышать свою грамотность в области цифровых прав и свобод, защиты персональных данных. 

21 августа 2019 года — Mozilla и Google заявили о совместном решении по блокировке национального сертификата безопасности Qaznet Trust Network в браузерах Firefox и Chrome.

«Мы не хотели бы прибегать к подобным действиям, однако защита пользователей и целостность Интернета — это базовый принцип существования Firefox», сказал  Маршалл Эрвин, старший директор отдела доверия и безопасности Mozilla.

При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять. Также компания рекомендует пользователям в Казахстане, затронутых этим изменением, рассмотреть возможность использования VPN или браузера Tor для доступа к Интернету. Mozilla также настоятельно рекомендует всем установившим Qaznet Trust Network удалить его со всех устройств и немедленно изменить пароли.

«Мы не смиримся ни с какими попытками со стороны любых организаций, государственных или иных, скомпрометировать данные пользователей Chrome. Мы приняли защитные меры от этой конкретной проблемы и всегда будем принимать меры для защиты наших пользователей по всему миру», сказала Париса Табриз, старший директор по технологиям Chrome. Google добавил сертификат в CRLSet и в черный список в исходном коде Chromium и поэтому должен быть в свое время включен в другие браузеры на основе Chromium (например, Яндекс.Браузер и Opera). Пользователям не требуется никаких действий для защиты.

На запрос портала Ars Technica в Apple ответили, что компания блокирует сертификат Qaznet Trust Network так, что невозможно перехватить трафик пользователя даже после того, как сертификат был установлен. Он не относится к списку доверенных сертификатов Safari как на iOS, так и на MacOS, и пользователи защищены от перехвата данных.

В Microsoft заявили, что Qaznet Trust Network не находится в списке доверенных сертификатов. Это означает, что сертификат не будет установлен в браузерах Microsoft Edge и Internet Explorer автоматически, но пользователь может его установить вручную. Компания также не высказалась о мерах по блокировке перехвата данных пользователей сертификатом. Положительно то, что Microsoft Edge находится на стадии перехода на базу Chromium, и вскоре Edge получит защиту как и Chrome. Но Edge на основе Chromium  все еще находится в бета-версии.

Что же представляет из себя сертификат безопасности Qaznet Trust Network?  По определению, данному в Законе РК «О связи», сертификат безопасности – это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование. Как объяснил директор Центра анализа и расследования кибератак Арман Абдрасилов, у каждого сайта и организации есть свои сертификаты безопасности. Когда пользователь подключается, к примеру, к сайту банка, вся информация, которую он видит, и данные, которые он вводит, шифруются. 

Если зайти в настройки браузера, можно увидеть список по умолчанию загруженных доверенных сертификатов. Государственный сертификат безопасности Qaznet Trust Network к доверенным не относится. В 2015 году Mozilla отказала в зачислении казахстанского сертификата безопасности в список доверенных.

Зачем это нужно было?  «В случае возникновения потребности иностранные спецслужбы обращаются к социальным сетям и запрашивают данные того или иного гражданина. Если говорить о нашей стране, то Казахстан вынужден обращаться в иностранные организации и государства за помощью, чтобы получить данные из мессенджера, условно говоря, если это террорист. Тем самым казахстанские спецслужбы не имеют инструмента для решения своих задач.

У правительства было два варианта решения задачи. Первый – это наладить контакты с зарубежными компаниями для получения персональных данных того или иного жителя страны. Второй вариант – это внедрение собственного сертификата», объяснил Абрасилов. Четыре года спустя добиться признания сертификата доверенным так и не удалось, поэтому государство прибегло к крайней мере: стало просить граждан добровольно загрузить и установить сертификат.

Из ответов представителей КНБ на вопросы tengrinews.kz известно, что сертификат создан отечественными IT-специалистами, и установка сертификата не потребовала финансовых вложений из бюджета государства. Сертификат безопасности устанавливается с целью защиты граждан, государственных органов и частных компаний от противоправного контента, хакеров, интернет-мошенников и иных видов киберугроз.

Как пример противоправного контента, против которого обязан защищать сертификат, приводилась игра «Синий кит», получившая распространение через социальную сеть «ВКонтакте» в 2016 году и побуждавшая пользователей совершать самоубийство.

«Владельцы социальных сетей не контролировали ситуацию, а у нас не было возможности ограничить доступ к данной информации», объяснили в КНБ. На вопрос о схожести «Киберщита Казахстана» с китайским «Золотым щитом» (системой фильтрации интернет-контента в Китайской Народной Республике, блокирующая ряд зарубежных ресурсов), представители КНБ ответили, что «Киберщит Казахстана» уникален, подстроен под казахстанские особенности и не схож с китайским «файрволом» (неофициальное название «Золотого щита»).

6 августа 2019 года – Комитет национальной безопасности РК объявил об успешном завершении тестирования применения сертификата безопасности. Из сообщения Президента РК Касым-Жомарта Токаева в Twitter стало известно, что проверка действенности сертификата безопасности проводилась по его поручению в рамках программа «Киберщит». Президент заверил в защищенности информационного пространства РК, высоком уровне технической оснащенности и в том, что неудобств пользователям РК нет. По сообщению КНБ за истекший месяц было выявлено более 8 млн. фактов вирусной активности и 130 тыс. кибератак в отношении государственных органов и частных компаний, выявлены факты кибершпионажа в отношении ряда государственных органов.

4 августа 2019 года – жители столицы фрилансер Бэлла Орынбетова и графический дизайнер Муратбек Каримов поочередно вышли на одиночные акции, во время которых выразили свое несогласие с инициативой правительства по установке на устройства пользователей «корневого сертификата безопасности», который власти называют «защитой от киберугроз и противоправного контента», а гражданские активисты характеризуют как возможный способ слежки. Полицейских на месте замечено не было. Участники одиночных акций не задерживались.

1 августа 2019 года – Генеральная прокуратура сделала заявление по поводу опасений о возможной слежке государства за гражданами через сертификат безопасности. «Генеральная прокуратура обращает внимание, что государство гарантирует соблюдение конституционных прав граждан», и «органы прокуратуры в рамках надзорной деятельности совместно с другими государственными органами будут пресекать нарушения прав на неприкосновенность частной жизни, личную и семейную тайну, переписки, телефонных переговоров, сообщений, и принимать меры в отношении виновных.»

26 июля 2019 года – в столице Казахстана гражданская активистка Анна Шукеева вышла на одиночный пикет «за свободный Интернет». Активистка сказала журналистам, что решила выйти на одиночный пикет после того, как появились сообщения о сертификате безопасности.  Представители прокуратуры и представитель акимата потребовали от нее прекратить акцию и разъяснили порядок проведения мирных собраний. После того как прокуроры и представитель акимата удалились, активистка свернула плакат и тоже ушла.

20-24 июля 2019 года – группа юристов в составе Джангельды Сулейманова, Станислава Лопатина, Ануарбека Скакова, Жанибека Башанова и Антона Самохина подала иски в суд на Beeline, Altel и Kcell, мотивируя тем, что последствия от установки сертификата национальной безопасности нарушают конституционные права граждан РК. 9 августа 2019 года юристы, несмотря на официальное заявление о завершении тестирования сертификата, провели пресс-конференцию, одной из тем которой был сертификат безопасности. Юристы заявили, что намерены судиться до получения судебного решения в любой форме.

В беседе с изданием the-village.kz адвокат Руслан Кожахмет объясняет, что «Законом РК «О связи» и приказом Председателя КНБ РК не предусматривается право оператора связи отключить от своих услуг абонента, не установившего тот или иной сертификат безопасности. … Ограничение доступа к информации, которая не признана судом запрещенной, будет являться нарушением прав абонентов. В отличии от обязанности оператора сотовой связи отказать клиенту в предоставлении услуг сотовой связи, если его устройство не зарегистрировано, отсутствие сертификата безопасности не влечет за собой таких последствий.

… Ограничение доступа к информации, которая не признана судом или законом запрещенной, будет являться нарушением конституционного права граждан (п. 2 ст. 20 Конституции РК) на свободное получение и распространение информации не запрещенным законом способом, права на доступ к информации (Закон РК «О доступе к информации» от 16.11.2015 г.), а также принципа свободы поиска, формирования и передачи любых электронных информационных ресурсов (Закон РК «Об информатизации» от 24.11.2015 г.)»

Юрист-правозащитник, автор проекта «Internet-Freedom» Елжан Кабышев на вопрос о вероятности создания «казахского файрвола» ответил, что «на полное регулирование сети государство не может пойти в силу особенностей интернета и стоимости – это слишком дорого. На первую версию проекта «Золотой щит» КНР потратила около 800 миллионов долларов и продолжает тратить колоссальные суммы на поддержание проекта.»

23 июля 2019 года – исследователи из Университета Мичигана в США опубликовали отчет о работе сертификата безопасности Qaznet Trust Network. Эрик Вустроу в интервью «Радио Азаттык» сказал, что сертификат не защищает от киберугроз, а направлен против крупных международных сайтов и социальных сетей.

Сертификат расшифровывает соединения Facebook, Instagram, YouTube, Twitter, VK, mail.ru, ok.ru, всех продуктов Googleи других. Чтобы внедрить сертификат, необходим промежуточный узел где-то в Cети. Сейчас наблюдается только один такой узел, поэтому действие сертификата ощущает около пяти процентов пользователей. Чтобы охватить всю страну, необходимы в мощности, в 20 раз превышающие те, что развернуты сейчас. Каждый узел не слишком дорогой – несколько тысяч долларов. Основные затраты – это инженерные работы, а самая дорогостоящая часть – заставить пользователей установить сертификат в их браузеры.

Сертификат безопасности также заинтересовал британскую службу BBC. Сообщение в блоге от VPN-провайдера Private Internet Access охарактеризовало решение государства установить сертификат как способ «шпионить за интернет-трафиком своих граждан». «Принудительный пропуск всего казахстанского интернета через один выданный правительством сертификат – это огромная проблема не только конфиденциальности, но и безопасности», написано в блоге. В случае, если хакер сможет получить контроль над самим сертификатом, то он будет иметь доступ ко всему незашифрованному трафику каждого пользователя.

Пол Бишофф из Comparitech, британского разработчика антивирусных программ, VPNи других инструментов, призвал Mozilla и других производителей браузеров, таких как Google, запретить сертификат. «Это атака посредника (man-in-the-middleattack) в масштабе национального государства», — сказал он.

20 июля 2019 года – подробный разбор сертификата безопасности опубликован на сайте factcheck.kz: что представляет собой сертификат, кто его создал, с какой целью, последствия установки.

19 июля 2019 года – вице-министр цифрового развития РК Аблайхан Оспанов заявил, что установка сертификата безопасности производится на добровольной основе. Сам он, так же, как и министр Аскар Жумагалиев, не установили сертификаты, так как не получили соответствующих сообщений от операторов.

17-18 июля 2019 года – абонентам мобильных операторов Tele2, Kcell, Beeline, Activ поступили сообщения с просьбой установить сертификат безопасности на все устройства, с которых производится выход в Интернет. В противном случае операторы предупреждают о проблемах с доступом к отдельным интернет-ресурсам.

17 июля 2019 года – на сайте Министерства цифрового развития, инноваций и аэрокосмической промышленности РК появилось сообщение о технических работах уполномоченных органов совместно с операторами связи в городе Нур-Султан, направленных на усиление кибербезопасности. В сообщении рекомендовалось проверить регистрацию сотовых телефонов и планшетов и установить сертификат безопасности в случае возникновения проблем с доступом к отдельным интернет-ресурсам.

Март 2019 года – на сайтах операторов связи (Tele2, KazTransCom) появились сообщения с ссылками на инструкции по скачиванию сертификата безопасности.

27 марта 2018 года – утверждены Правила выдачи и применения сертификата безопасности приказом Председателя Комитета национальной безопасности Республики Казахстан. Правила обязывают операторов связи обеспечить распространение сертификата безопасности среди своих абонентов.

30 июня 2017 года – утверждена Концепция кибербезопасности («Киберщит Казахстана»). Одной из задач Концепции является повышение доли использования отечественных сертификатов безопасности при шифрованной передачи данных Интернет-ресурсами с доменом .KZ и .ҚАЗ в 2018 году составит 20%, в 2019 году – 40%, в 2020 году – 60%, в 2021 году – 80%, в 2022 году – 100%.

8 июля 2016 года – заместитель министра информации и коммуникаций Сакен Сарсенов по запросу informburo.kz объяснил, что в случае неиспользования сертификата безопасности возможны перебои с доступом к иностранным веб-сайтам, к которым применены политики ограничения доступа к незаконной информации. Например, если на Facebook появится публикация, нарушающая законодательство РК, то доступ будет заблокирован только к странице автора. Но без установки сертификата с территории Казахстана в Facebook зайти не удастся. Блокировки не коснутся мессенджеров как WhatsApp, Telegram, Viber.

9 декабря 2015 года – в Комитете связи и информации Министерства по инвестициям и развитию РК (ныне Министерства индустрии и инфраструктурного развития) объяснили, что национальный сертификат безопасности, или так называемое «электронное удостоверение» для браузеров и веб-сайтов, должно облегчить правоохранительным органам при необходимости произведение анализа содержимого подозрительного международного трафика. Данные технологические меры нужны для укрепления кибербезопасности, повышения эффективности борьбы с международным терроризмом, детской порнографией, транснациональной преступностью, и никак не должны затрагивать интернет-торговлю, банкинг и пользователей социальных сетей.

30 ноября 2015 года – сообщение на официальном сайте АО «Казахтелеком» о внедрении национального сертификата безопасности с 1 января 2016 года со ссылкой на Закон «О связи», (обязывающей операторов междугородней и международной связи осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан).

В сообщении говорилось, что национальный сертификат безопасности должен обеспечить защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным интернет-ресурсам, и что сертификат безопасности должен быть установлен на всех устройствах с выходом в Интернет. Сообщение было удалено через несколько часов после публикации, оно еще доступно в архиве.

Глава «Интернет ассоциации Казахстана» Шавкат Сабиров назвал это сообщение преждевременным, так как предстоял выбор уполномоченного органа, а также сигналом к привлечению к обсуждению граждан, чтобы избежать тотального контроля государства за интернетом.

Павел Карабиди, технический директор Ak Kamal Security, казахстанского разработчика средств обеспечения информационной безопасности, объяснил угрозы, которые таит в себе сертификат. В руки владельца сертификата могут попасть сообщения, личные данные, логины и пароли, данные платежных карт пользователей. Также не исключена угроза глобальных фишинговых атак: в случае атаки на сам сертификат хакеры могут перенаправлять пользователей на поддельные веб-сайты, внешней неотличимые от оригинальных.