Новини

В Казахстане снова пытаются следить за юзерами

В Казахстане уже третий раз пытаются ввести систему перехвата HTTPS-трафика. Она подменяет TLS-сертификаты сайтов.

На выходных клиенты некоторых провайдеров города Нур-Султан получили уведомление о том, что нужно установить дополнительный сертификат для доступа к таким иностранным сайтам, как Facebook и YouTube. Якобы, это часть учений «Кибербезопасность Нур-Султан 2020», а следить за юзерами никто не собирается.

Как это работает?

По своей сути, это MiTM-атака: реальный сертификат ресурса заменяют новым при TLS-соединении. Браузер пометит этот сертификат правдивым, если юзер сам добавит корневой сертификат, связанный с подменённым. Новый корневой сертификат не проходит аудит безопасности, а значит может создавать сертификаты просто так и контролировать трафик.

С чего всё началось?

В 2015 году правительство Казахстана пыталось навязать включение корневого сертификата от контролируемого им аутентифицирующего центра в Mozilla. Аудит он не прошёл: сертификат планировали использовать для слежки. 

Затем власти приняли правки в закон “О связи”, где обязали юзеров устанавливать так званый “национальный сертификат безопасности” с 1 января 2016 года. В итоге, правительство отказалось от этой идеи.

К идее вернулись в 2019 году: часть провайдеров ввела систему добавления корневых сертификатов. Аргументировали это улучшением системы безопасности и ограждением от опасного контента. 

Работала система две недели, после её отключили и объяснили, что это был лишь тест. Через неделю Apple, Mozilla и Google добавили правительственный сертификат в список отозванных. Браузеры этих компаний начали предупреждать об опасности даже если сертификат устанавливался вручную.