Операторы связи Казахстана начали уведомлять клиентов о необходимости установить специальный сертификат безопасности Qaznet Trust Network на все абонентские устройства с доступом в интернет, . Уточнаяется, что сообщения такого содержания получили по смс-рассылке некоторые абоненты компаний Tele2 и Beeline. Операторы Kcell и Activ разместили сообщения аналогичного содержания, а также инструкции по установке сертификата на своих официальных сайтах.
По материалам на сайте Kcell, сертификат "разработан в Казахстане и предоставлен уполномоченным государственным органом" и "позволит оградить казахстанских пользователей интернета от хакерских атак и просмотра противоправного контента"
Произвести загрузку сертификата пользователям предлагается с сайта qca.kz. По сведениям CNews, данное доменное имя зарегистрировано на частное лицо – некоего Аскара Дюссекеева (Askar Dyussekeyev) из города Нур-Султан. При этом адрес владельца совпадает с адресом Министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана.
Вместе с информацией о необходимости установить сертификат распространяются также сведения о том, что его отсутствие может привести к проблемам с доступом к отдельным интернет-ресурсам. CNews уточняет, что, по свидетельству некоторых пользователей из столицы Казахстана, без установки сертификата невозможно зайти на сайты, которые форсируют использование безопасного протокола HTTPS с помощью механизма HSTS. При этом таких сайтов в настоящее время большинство. Вместо запрашиваемого сайта провайдеры выдают страницу-заглушку с призывом установить сертификат.
Вице-министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан Аблайхан Оспанов заявил, что жители республики не обязаны устанавливать сертификаты, им всего лишь предоставляется подобная возможность, положенная по закону.
Уточняется, что с технической точки зрения, установка национального корневого сертификата безопасности на устройства жителей Казахстана даст возможность владельцу этого сертификата перехватывать, расшифровывать и модифицировать защищенный с помощью средств криптографии HTTPS-трафик пользователей перед дальнейшей отправкой к узлу назначения, то есть осуществлять так называемую атаку посредника – MITM (Man in the middle, "человек посередине").
Можно предположить, делает вывод CNews, что такие возможности могут быть использованы властями Казахстана для получения доступа к информации, которой граждане обмениваются через интернет.
Президент интернет-ассоциации Казахстана Шакват Сабиров уточнил, что "если по какой-либо причине, неважно технической или из-за человеческого фактора, этот сертификат будет украден или взломан, то злоумышленникам достанется абсолютно вся информация о пользователях и данных, которые используют этот сертификат".
Также сообщается, что в настоящее время на базе багтрекера (системы отслеживания ошибок) браузера Mozilla Firefox представителями интернет-сообщества и разработчиками ведется обсуждается возможность добавления сертификата в "черный список" и введения запрета на его установку вручную, чтобы таким образом защитить пользователей из Казахстана от слежки со стороны властей.
Уточняется, что поправки в закон "О связи" Казахстана, которые возлагали на телеком-операторов обязанность уже с начала 2016 года "осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики", были приняты осенью 2015 года.
Портал TengriNews в связи с информацией о сертификате Qaznet Trust Network с директором Центра анализа и расследования кибератак Арманом Абдрасиловым.
В ответ на вопрос, почему государственный сертификат не внедрили еще в 2015 году Абдрасилов рассказал следующее: "Я так понимаю, что все это время инициаторы искали более элегантное решение. Более элегантное решение - это, когда сертификат внесен в список доверенных на этапе разработки браузера, загружен в список. Допустим, если мы сегодня открываем браузер, то мы увидим список доверенных сертификатов. Идеальный случай был бы, если разработчик, к примеру, компания Google, включила бы казахстанский сертификат в список проверенных. Тогда пользователям не надо было проводить никаких манипуляций. Он автоматически был бы внутри. По всей видимости за все это время не удалось достигнуть договоренности, решили пойти менее элегантным способом: попросить население добровольно загрузить сертификат".