1 Что случилось? Жители столицы Казахстана вечером 18 июля 2019 года получили сообщения от мобильных операторов с просьбой установить на все свои компьютеры, планшеты и телефоны, имеющие выход в интернет, специальный файл — « ».

2 Но зачем? Операторы связи по-разному аргументировали просьбу установить сертификат безопасности, предоставленный им «уполномоченным государственным органом». Kcell заявил, что сертификат нужен для защиты казахстанцев «от хакеров, интернет-мошенников и иных видов киберугроз». Beeline и Tele2 сослались на необходимость ограничить распространение противоправной, запрещенной информации. Altel просто указал на требование закона. Эксперты объясняют это требование иначе: власти получат контроль над шифрованным HTTPS-трафиком устройств пользователей, установивших этот сертификат. Они смогут эффективно блокировать доступ к определенному контенту или следить за отдельными пользователями.

3 Власти получат контроль над зашифрованным трафиком? Они смогут осуществлять атаку «человек посередине» (man-in-the-middle) на любой сайт, передающий данные с использованием HTTPS протокола: сгенерировать поддельные сертификаты для любого сайта,

заверить их сертификатом, который установил пользователь,

подменить оригинальные сертификаты своими,

расшифровать весь трафик от сервисов типа Google или Facebook. Когда мы открываем страницу с адресом, начинающимся с https://, сайт передает нашему браузеру свой сертификат. Браузер проверяет его на подлинность и устанавливает с его помощью защищенное соединение. Теперь трафик между вашим сайтом и браузером никто не сможет расшифровать. Во время MITM-атаки провайдер может подменить сертификат, который сайт отправляет браузеру на собственный. Теперь трафик будет шифроваться дважды: от Gmail или Facebook до атакующего, а затем от атакующего до вашего браузера. Пользователь даже не заметит подмены: поддельный сертификат может пройти проверку на подлинность, если будет подписан доверенным сертификатом — например тем, что он установил самостоятельно. В этом случае атакующий может пассивно читать весь входящий и исходящий трафик или вмешиваться в него, например, блокировать часть информации.

4 А что будет, если не поставить этот сертификат? Провайдеры предупредили, что у абонентов «могут возникнуть технические ограничения с доступом к отдельным интернет-ресурсам». Теоретически операторы связи могут заблокировать зашифрованный HTTPS-трафик как для отдельных ресурсов, так и для любых сайтов.

5 То есть хакеры либо позволят расшифровать свой трафик, либо просто останутся без интернета? Нет. Чтобы получить доступ к заблокированным ресурсам, достаточно будет воспользоваться прокси или VPN. Впрочем, этот способ могут использовать жители и гости Казахстана, если они решат не ставить на свои устройства «сертификат безопасности». Читайте также Как подготовиться к новой атаке на интернет?