Тема о тотальной слежке не раз поднималась на форуме, вызывая справедливое возмущение пользователей – вот еще пять копеек в ту же копилку, хотя в данной статье больше вопросов, чем ответов.
На днях жители столицы Казахстана были немало удивлены, получив на свои мобильные телефоны СМС следующего содержания:
Я даже ущипнул себя – не сон ли это? Какой сертификат безопасности??? Что происходит??? Современный человек, как это не прискорбно звучит – уже наполовину андроид. Он скорее согласится целый день ничего не есть и не пить, - НО ИНТЕРНЕТ ЧТОБ БЫЛ. После недолгих блужданий в казнете вот что удалось выяснить:
Абоненты отечественных сотовых операторов получили сообщения, где их просят установить так называемый "сертификат безопасности". В рассылке сказано, что в случае его отсутствия на устройствах могут возникнуть проблемы с интернетом. В Правительстве говорят, что такая мера позволит оградить казахстанцев от опасного контента, сообщает
Ссылка скрыта от гостей
со ссылкой на Первый канал "Евразия".Вот, что сообщает на своем сайте один из ведущих операторов Казахстана компания
Ссылка скрыта от гостей
:Сертификат безопасности
17 Июля 2019
В соответствии с Законом РК "О связи" статья 26 и п.11 «Правил выдачи и применения сертификата безопасности», операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи.
Закон предписывает операторам связи пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.
Сертификат безопасности - это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование.
Таким образом, во избежание проблемы с доступом в интернет, абоненты ALTEL могут установить данный сертификат, следуя пошаговой инструкции по установке:
Обращаем внимание пользователей на то, что установка сертификата безопасности должна быть выполнена с каждого устройства, с которого будет осуществляться выход в Интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
Сертификат безопасности на средства связи Вы можете скачать
Ссылка скрыта от гостей
.На сайте операторов Beeline, Kcell и Activ также появилось уведомление об установке сертификата безопасности. "В связи с участившимися случаями хищения персональных и учетных данных, а также денежных средств с банковских счетов казахстанцев был внедрен сертификат безопасности, который станет эффективным инструментом защиты информационного пространства страны от хакеров, интернет-мошенников и иных видов киберугроз. Внедрение сертификата безопасности поможет в области защиты информационных систем и данных, а также в выявлении хакерских кибератак интернет-мошенников на системы информационного пространства страны, частный, в том числе банковский сектор, до того, как они смогут нанести ущерб. (...) В случае отсутствия сертификата безопасности на абонентских устройствах могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам", - говорится в заявлении на сайтах операторов.
Уберечь казахстанцев от хакерских атак хотят с помощью отечественного сертификата безопасности Qaznet Trust Network.
“Но, позвольте! ” – заметит искушенный читатель – о чем идет речь? Ведь каждое уважающее себя приложение в вашем смартфоне и так имеет сертификат безопасности, как раз гарантирующий пользователю эту самую безопасность!!! Кроме того большая часть данных, которая циркулирует в сети, зашифрована – таким образом данные защищаются от перехвата и подмены. Причем речь идет не только о почте и популярных мессенджерах. Доступ к большинству сайтов также осуществляется по защищенным каналам связи – это общепринятая мировая практика, которую поддерживают и пропагандируют гиганты IT-индустрии. Обратите внимание на свой браузер: слева от адресной строки на большинстве сайтов вы увидите зеленый замок – значит, защита канала между вами и сайтом работает - всё в порядке.
Так что за приблуду нам навязывают? Кто её писал и с какой целью? И на каком основании это НЕЧТО названо сертификатом безопасности??? Ведь выполняет оно, судя по всему совершенно противоположные задачи - открывает доступ к конфиденциальной информации непонятно кому и неизвестно для чего.
Поскольку наряду с прочим декларируется борьба с террористами и экстремистами, значит подразумевается возможность доступа к персональным данным пользователей и прочтения их личной переписки специальными программами, отслеживающими ключевые слова.
Схема выглядит так: некие аппаратно-программные комплексы, установленные на серверах провайдера расшифровывают идущий от пользователя трафик, изучают его, затем снова зашифровывают и отправляют далее по назначению.
Ничего не напоминает??? Правильно, - хорошо известная в определенных кругах атака - "Человек посередине" (Man in the Middle). Видимо ни дипломатическим, ни каким-либо другим законным способом ключей шифрования получить не удалось и операторам предлагают прибегнуть к банальному MitM.
В черной шляпе оказался провайдер, вклинившись в защищенное SSL/TLS-протоколом соединение которое обеспечивает конфиденциальность, достоверность и целостность коммуникаций клиентского и серверного софта, как раз и предназначенное для обеспечения безопасности даже если в сеть проник злоумышленник : когда сеть полностью захвачена врагом, DNS отравлен, а точки доступа и маршрутизаторы, коммутаторы и Wi-Fi контролируются злоумышленником, который, помимо всего прочего, контролирует SSL/TLS-бэкенд. Кроме того, когда клиентский софт пытается подключиться к законному серверу, черная шляпа может подменить сетевой адрес сервера (например, через отравление DNS) и перенаправить клиент вместо законного сервера на свой злонамеренный сервер.
SSL/TLS-соединения софта уязвимы для широкого спектра MitM-атак. При этом MitM-атаку можно провести даже без подделки сертификатов и без похищения приватных ключей, которыми серверы подписывают свои сертификаты. MitM-атаку можно провести, просто используя логические уязвимости, которые присутствуют в процедуре проверки SSL/TLS-сертификата на стороне клиентского софта. В результате MitM-злоумышленник может, например, собирать авторизации, номера кредитных карт, имена, адреса и прочее.
Всё это вызывает множество вопросов. Кому это нужно? Первое, что приходит в голову обычному человеку, что лежит на поверхности – спецслужбам. “Совсем менты обнаглели” – скажет домохозяйка. Не надо теперь работать с агентурой, внедряться, маскироваться, не нужна наружка, прослушка и т.д., ведь агент сидит у злодея в кармане - в телефоне.
Я конечно не Вассерман, но даже мой скудный умишко подсказывает, что если это и так, то спецам оказана медвежья услуга. Думаю ни для кого не будет откровением, что обладая колоссальным ресурсом государства, спецслужбы и сейчас преспокойно могут проделывать то, о чем идет речь. Только делают они это профессионально и грамотно – не привлекая внимания. И если раньше злодей мог только предполагать, что его слушают и читают, то теперь он предупрежден и знает точно, а значит будет шифроваться еще глубже, используя нестандартные каналы связи – цветок на подоконнике))). Программа же будет добросовестно вычленять тысячи юзеров с логином “динамит” и фразы типа “взрыв мозга”, в то время как корреспонденция вполне добропорядочного гражданина где люди, например названы кирпичами, а часы тоннами или штуками благополучно достигнет адресата. Так, что не думаю, что Штирлица обрадовало данное нововведение.
Даже американцы отключили свою знаменитую PRISM (Program for Robotics, Intelligents Sensing and Mechatronics) — государственная программа США — комплекс мероприятий, осуществляемых с целью массового негласного сбора информации, принятая американским Агентством Национальной Безопасности (АНБ) , которая перехватывала и записывала около 1,7 миллиардов телефонных разговоров и электронных сообщений и около 5 миллиардов записей о местонахождении и передвижениях владельцев мобильных телефонов по всему миру. Затраты на нее были космические, а выхлоп - ноль. Много ли терактов они предотвратили, хотя злодеи нагло анонсировали их в соцсетях.
А возможно, цель находится совершенно в иной плоскости – коммерческой. Допустим кто то затеял передел казахстанского рынка мобильной и интернет связи. Чем не способ подвинуть таких гигантов как например Beeline и Tele2, вызвав у населения негативное отношение нововведениями. А потом вернуть всё как было, ведь проект то пилотный. А гиганты допустим уже понесли многомиллиардные убытки или вообще покинули рынок, за то откуда то появился новый, никому не известный оператор, но без назойливого контроля.
В общем, как я и говорил – вопросов больше, чем ответов, а что из этого выйдет и как с этим бороться – время покажет.
Последнее редактирование:
