Alex Ivanov: Нурсултан проти інтернету

4 роки тому
Технології
4 344
143
39
6

В середині тижня про Казахстан раптом згадали світові навколоайтішні сайти. Сталось це через спробу уряду встановити тотальний контроль над місцевим інтернетом. Треба відмітити, що казахська влада при цьому використовує досить своєрідний спосіб, можна навіть сказати інноваційний.

Отже, 17 липня казахський провайдер Kcell почав вимагати від користувачів встановити окремий сертифікат безпеки. Проблема в тому, що після виконання цієї вимоги влада отримає доступ до будь-якої інформації, що передається з комп’ютерів громадян.

Весь сучасний інтернет існує завдяки криптографії, яка захищає передану людьми інформацію. Наприклад, ви можете прийти у якесь кафе, приєднатись до тамтешнього вайфаю і зайти на сайт Приватбанку перевірити свій рахунок. При цьому ви передаватимете по мережі свій пароль від онлайн-кабінету, але це цілком безпечно. Сучасні технології гарантують (наскільки це взагалі можливо), що ні власник кафе, ні якийсь інший хакер не зможуть перехопити ваше повідомлення з паролем; ніхто, крім серверів банку, його не побачить. Однак, казахстанці відтепер позбавлені таких гарантій.

Якщо звичайний користувач пробує зв’язатись з якимось захищеним сайтом, відбувається наступне:

спочатку браузер перевіряє, що інша сторона дійсно є тою, за кого себе видає. Для цього існує система сертифікатів безпеки; саме на цей етап і направлена атака казахського уряду
потім браузер встановлює шифроване з’єднання.
після того, як з’єднання встановлено, всі дані будуть передаватись у шифрованому вигляді і ніяка третя особа не зможе їх прочитати.

Казахський уряд хоче долучити до цієї послідовності стороннього учасника — державний сервер, що буде знаходитись під контролем товаришів майорів. Виглядатиме це таким чином:

коли користувач спробує зайти на захищений сайт (той же fb.com), його запит замість фейсбуку перенаправлятимуть на проміжний державний сервер. Звичайно, у цього серверу не буде правильного сертифікату, браузер це помітить і видасть користувачу величезне червоне повідомлення (або навіть взагалі нікуди не пустить)
щоб уникнути цієї ситуації, казахстанці мають встановити у свої браузери спеціально наданий урядом сертифікат безпеки.
після встановлення урядового сертифікату буде фактично створюватись два з’єднання: одне між користувачем та урядовим сервером, а інше сервер встановлюватиме від імені користувача з сайтом, на який тому треба зайти

Чим це погано?

товариші майори зможуть бачити усі сторінки, які переглядає користувач. Наприклад, Вікіпедія спеціально використовує протокол https, щоб забезпечити таємність будь-яких своїх читачів; але для казахів цей захист не спрацює
більше того, спецслужби отримають паролі до акаунтів користувачів у соцмережах і при потребі зможуть писати там пости від імені цих користувачів, переглядати їх пошту тощо
існує імовірність того, що молодші працівники, у яких буде доступ до цих проміжних серверів, використовуватимуть його у своїх власних цілях. Мова йде не тільки про перегляд приватних фото, а й, скажімо, про крадіжку грошей з онлайн-банкінгу.
сервер, на якому зберігається купа паролів у відкритому вигляді, є бажаною ціллю для усіх хакерів, навіть не пов’язаних зі спецслужбами.

Насправді, після того, як ця урядова система запрацює, казахам краще забути про такі класні речі, як онлайн-банки чи електронна пошта. Єдине, для чого можна буде використовувати інтернет — це перегляд сайтів з котиками.

Як цьому можна протидіяти? Очевидно, масових протестів за свободу інтернету у Казахстані не буде. Окремі користувачі сподіваються, що Mozilla та Google зроблять щось таке, що зламає владну ініціативу. Проблема в тому, що з певних причин виробникам браузерів буде досить складно реалізувати захисні механізми для цієї ситуації. Наприклад, можна було б заборонити використання саме цього сертифікату у браузері; але влада легко випустить інший, і такий захист не спрацює. Взагалі, існує небезпека, що якщо якесь вдале технічне рішення все ж таки буде створено, Казахстан у відповідь просто розробить свою програму для перегляду інтернету, на зразок Яндекс-браузеру.

Поки що казахи можуть захиститись, використовуючи VPN або TOR, але це буде явною поступкою у правах людини. Крім того, очевидно, що відповідні сервіси згодом теж будуть заборонені. Про такі наміри уже давно було заявлено.

Поки що жодна країна не намагалась вводити на державному рівні обов’язкові сертифікати безпеки. Якщо Казахстану це вдасться, інші тоталітарні режими з радістю скористаються досвідом. Наприклад, недоліком російської системи СОРМ є неможливість працювати з зашифрованим трафіком, оскільки на момент її створення цей метод захисту не був таким поширеним. На сьогоднішній день, якщо влада РФ зможе встановити усюди власний сертифікат безпеки, створення чебурнету стане набагато простішим і дешевшим завданням.