Chrome и Firefox пообещали защищать пользователей от государственного шпионского ПО

2507

Google и Mozilla спешат на помощь

Google и Mozilla заблокировали возможность установки в браузерах Chrome и Firefox «шпионского» сертификата, использование которого интернет-пользователям Казахстана ранее пытались навязать власти под предлогом защиты от киберугроз и противоправного контента. Об этом сообщил ресурс Vice.

Также представители компаний заявили о том, что выступают против слежки в любом виде и всегда будут предпринимать соответствующие меры, нацеленные на защиту пользователей своих продуктов по всему миру.

Корневой сертификат – это специальный файл, который после установки в веб-браузере пользователя позволяет тому работать с зашифрованным трафиком. Современные браузеры поставляются со списком доверенных организаций, которые занимаются выдачей корневых сертификатов. Такие организации называются центрами сертификации (CA, Certificate Authority). Центры сертификации, в свою очередь, могут выдавать отдельные сертификаты конкретным сайтам.

Как отмечает Vice, правительство Казахстана не относится к числу доверенных CA, поэтому не может рассчитывать на поддержку со стороны Google и Mozilla. Однако оно по-прежнему может обязать граждан пользоваться браузером собственной разработки с любым набором предустановленных сертификатов.

Что произошло в Казахстане

Напомним, в июле 2019 г. телеком-операторы Казахстана, частности Tele2, Beeline, Activ и Kcell, начали уведомлять клиентов о необходимости установить специальный сертификат безопасности Qaznet на все абонентские устройства с доступом в интернет. Пользователей предупредили о том, что отказ от его установки может привести к невозможности выйти в Сеть.

По свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата и впрямь было невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS, каких сейчас большинство. Вместо запрашиваемого сайта провайдеры выдавали страницу-заглушку с призывом установить сертификат.

Загрузить сертификат пользователям предлагалось с сайта qca.kz, доменное имя которого принадлежало частному лицу, предположительно связанному с Министерством цифрового развития, инноваций и аэрокосмической промышленности Казахстана.

Установка сертификата позволила бы властям Казахстана перехватывать, расшифровывать и модифицировать HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника – MITM (Man in the middle, «человек посередине»). Кроме властей воспользоваться лазейкой могли бы и злоумышленники со стороны, отмечал президент интернет-ассоциации Казахстана Шакват Сабиров.

В августе 2019 г. президент Казахстана Касым-Жомарт Токаев опубликовал в своем Twitter сообщение, в котором объяснил произошедшее тестированием сертификата безопасности в рамках программы «Киберщит». Он поблагодарил Комитет национальной безопасности (КНБ), который, как выяснилось, по его личному поручению проводил испытания. Токаев также отметил, что сертификат будет использоваться только в случаях вторжения извне.

Предыстория вопроса

Это не первый случай, когда власти Казахстана пытаются внедрить так называемый национальный сертификат безопасности под предлогом защиты от киберугроз.

Осенью 2015 г. были приняты поправки к закону Казахстана «О связи», в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики».

Распространять сертификаты планировалось через сайт оператора «Казахтелеком» с декабря 2015 г.