Статья Сертификат опасности Qaznet Trust Network

111.jpg


Тема о тотальной слежке не раз поднималась на форуме, вызывая справедливое возмущение пользователей – вот еще пять копеек в ту же копилку, хотя в данной статье больше вопросов, чем ответов.
На днях жители столицы Казахстана были немало удивлены, получив на свои мобильные телефоны СМС следующего содержания:

2.jpg



Я даже ущипнул себя – не сон ли это? Какой сертификат безопасности??? Что происходит??? Современный человек, как это не прискорбно звучит – уже наполовину андроид. Он скорее согласится целый день ничего не есть и не пить, - НО ИНТЕРНЕТ ЧТОБ БЫЛ. После недолгих блужданий в казнете вот что удалось выяснить:

Абоненты отечественных сотовых операторов получили сообщения, где их просят установить так называемый "сертификат безопасности". В рассылке сказано, что в случае его отсутствия на устройствах могут возникнуть проблемы с интернетом. В Правительстве говорят, что такая мера позволит оградить казахстанцев от опасного контента, сообщает со ссылкой на Первый канал "Евразия".

Вот, что сообщает на своем сайте один из ведущих операторов Казахстана компания :

Сертификат безопасности

17 Июля 2019

В соответствии с Законом РК "О связи" статья 26 и п.11 «Правил выдачи и применения сертификата безопасности», операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.

Закон предписывает операторам связи пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Сертификат безопасности - это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование.

Таким образом, во избежание проблемы с доступом в интернет, абоненты ALTEL могут установить данный сертификат, следуя пошаговой инструкции по установке:

Обращаем внимание пользователей на то, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в Интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
Сертификат безопасности на средства связи Вы можете скачать .

На сайте операторов Beeline, Kcell и Activ также появилось уведомление об установке сертификата безопасности. "В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз. Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский сектор, до того, как они смогут нанести ущерб. (...) В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам", - говорится в заявлении на сайтах операторов.

Уберечь казахстанцев от хакерских атак хотят с помощью отечественного сертификата безопасности Qaznet Trust Network.


Screenshot-258.jpg




“Но, позвольте! ” – заметит искушенный читатель – о чем идет речь? Ведь каждое уважающее себя приложение в вашем смартфоне и так имеет сертификат безопасности, как раз гарантирующий пользователю эту самую безопасность!!! Кроме того большая часть данных, которая циркулирует в сети, зашифрована – таким образом данные защищаются от перехвата и подмены. Причем речь идет не только о почте и популярных мессенджерах. Доступ к большинству сайтов также осуществляется по защищенным каналам связи – это общепринятая мировая практика, которую поддерживают и пропагандируют гиганты IT-индустрии. Обратите внимание на свой браузер: слева от адресной строки на большинстве сайтов вы увидите зеленый замок – значит, защита канала между вами и сайтом работает - всё в порядке.

Так что за приблуду нам навязывают? Кто её писал и с какой целью? И на каком основании это НЕЧТО названо сертификатом безопасности??? Ведь выполняет оно, судя по всему совершенно противоположные задачи - открывает доступ к конфиденциальной информации непонятно кому и неизвестно для чего.

Поскольку наряду с прочим декларируется борьба с террористами и экстремистами, значит подразумевается возможность доступа к персональным данным пользователей и прочтения их личной переписки специальными программами, отслеживающими ключевые слова.

Схема выглядит так: некие аппаратно-программные комплексы, установленные на серверах провайдера расшифровывают идущий от пользователя трафик, изучают его, затем снова зашифровывают и отправляют далее по назначению.

Ничего не напоминает??? Правильно, - хорошо известная в определенных кругах атака - "Человек посередине" (Man in the Middle). Видимо ни дипломатическим, ни каким-либо другим законным способом ключей шифрования получить не удалось и операторам предлагают прибегнуть к банальному MitM.

maxresdefault.jpg


В черной шляпе оказался провайдер, вклинившись в защищенное SSL/TLS-протоколом соединение которое обеспечивает конфиденциальность, достоверность и целостность коммуникаций клиентского и серверного софта, как раз и предназначенное для обеспечения безопасности даже если в сеть проник злоумышленник : когда сеть полностью захвачена врагом, DNS отравлен, а точки доступа и маршрутизаторы, коммутаторы и Wi-Fi контролируются злоумышленником, который, помимо всего прочего, контролирует SSL/TLS-бэкенд. Кроме того, когда клиентский софт пытается подключиться к законному серверу, черная шляпа может подменить сетевой адрес сервера (например, через отравление DNS) и перенаправить клиент вместо законного сервера на свой злонамеренный сервер.

SSL/TLS-соединения софта уязвимы для широкого спектра MitM-атак. При этом MitM-атаку можно провести даже без подделки сертификатов и без похищения приватных ключей, которыми серверы подписывают свои сертификаты. MitM-атаку можно провести, просто используя логические уязвимости, которые присутствуют в процедуре проверки SSL/TLS-сертификата на стороне клиентского софта. В результате MitM-злоумышленник может, например, собирать авторизации, номера кредитных карт, имена, адреса и прочее.



Всё это вызывает множество вопросов. Кому это нужно? Первое, что приходит в голову обычному человеку, что лежит на поверхности – спецслужбам. “Совсем менты обнаглели” – скажет домохозяйка. Не надо теперь работать с агентурой, внедряться, маскироваться, не нужна наружка, прослушка и т.д., ведь агент сидит у злодея в кармане - в телефоне.
Я конечно не Вассерман, но даже мой скудный умишко подсказывает, что если это и так, то спецам оказана медвежья услуга. Думаю ни для кого не будет откровением, что обладая колоссальным ресурсом государства, спецслужбы и сейчас преспокойно могут проделывать то, о чем идет речь. Только делают они это профессионально и грамотно – не привлекая внимания. И если раньше злодей мог только предполагать, что его слушают и читают, то теперь он предупрежден и знает точно, а значит будет шифроваться еще глубже, используя нестандартные каналы связи – цветок на подоконнике))). Программа же будет добросовестно вычленять тысячи юзеров с логином “динамит” и фразы типа “взрыв мозга”, в то время как корреспонденция вполне добропорядочного гражданина где люди, например названы кирпичами, а часы тоннами или штуками благополучно достигнет адресата. Так, что не думаю, что Штирлица обрадовало данное нововведение.

Даже американцы отключили свою знаменитую PRISM (Program for Robotics, Intelligents Sensing and Mechatronics) — государственная программа США — комплекс мероприятий, осуществляемых с целью массового негласного сбора информации, принятая американским Агентством Национальной Безопасности (АНБ) , которая перехватывала и записывала около 1,7 миллиардов телефонных разговоров и электронных сообщений и около 5 миллиардов записей о местонахождении и передвижениях владельцев мобильных телефонов по всему миру. Затраты на нее были космические, а выхлоп - ноль. Много ли терактов они предотвратили, хотя злодеи нагло анонсировали их в соцсетях.

А возможно, цель находится совершенно в иной плоскости – коммерческой. Допустим кто то затеял передел казахстанского рынка мобильной и интернет связи. Чем не способ подвинуть таких гигантов как например Beeline и Tele2, вызвав у населения негативное отношение нововведениями. А потом вернуть всё как было, ведь проект то пилотный. А гиганты допустим уже понесли многомиллиардные убытки или вообще покинули рынок, за то откуда то появился новый, никому не известный оператор, но без назойливого контроля.

В общем, как я и говорил – вопросов больше, чем ответов, а что из этого выйдет и как с этим бороться – время покажет.
 
Последнее редактирование:

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Уже года как , о чем тоже часто упоминал, что бы доставить полезную нагрузку на систему, совершалась атака по типу dnsspoof, с перегоном устройства на фейк страницу с логотипом провайдера ( оператора ) и предложением для работы в сети Интернет скачать и установить сертификат доверия ( сам сертификат само собой был файлом с полезной нагрузкой ), после этой новости, такой вариант СИ вообще станет заходить еще проще :)

Простите что не совсем по теме, мысли в слух ;)


Однако, могу с большей долей уверенности сказать: мобильные операторы мониторят голосовой траффик и продают его в рекламные агенства ( многие замечают, что даже запретив приложениям доступ к микрофону, почему то лезет реклама с тем, о чем был разговор ), думаете мессенджеры отстают? Им тоже надо на что то жить и развивать сервера - чтение переписки, анализ голосовых сообщений и есть монетизация. Все бояться спец служб, по мне так надо больше бояться частных компаний, у которых в серверах спрятана полная жизнь людей с каждым шагом. И именно компании в погоне за прибылью предлогают как конвертировать эти базы в $$$.
 
Последнее редактирование:

Voron

Green Team
26.02.2019
82
262
BIT
0
Уже года как , о чем тоже часто упоминал, что бы доставить полезную нагрузку на систему, совершалась атака по типу dnsspoof, с перегоном устройства на фейк страницу с логотипом провайдера ( оператора ) и предложением для работы в сети Интернет скачать и установить сертификат доверия ( сам сертификат само собой был файлом с полезной нагрузкой ), после этой новости, такой вариант СИ вообще станет заходить еще проще :)

Простите что не совсем по теме, мысли в слух ;)


Однако, могу с большей долей уверенности сказать: мобильные операторы мониторят голосовой траффик и продают его в рекламные агенства ( многие замечают, что даже запретив приложениям доступ к микрофону, почему то лезет реклама с тем, о чем был разговор ), думаете мессенджеры отстают? Им тоже надо на что то жить и развивать сервера - чтение переписки, анализ голосовых сообщений и есть монетизация. Все бояться спец служб, по мне так надо больше бояться частных компаний, у которых в серверах спрятана полная жизнь людей с каждым шагом. И именно компании в погоне за прибылью предлогают как конвертировать эти базы в $$$.

Так и есть - полностью с Вами согласен.
 

Mr_Mangust

One Level
08.11.2016
7
2
BIT
0
Домен упомянутый в заметке, то есть: qca.kz - под сомнением.
 
  • Нравится
Реакции: Voron
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!