Митыңдаған MITM-тірлік
- Сотрудничество с нами — процесс обоюдный. С одной стороны — вы можете расчитывать на нашу помощь в критических ситуациях, с другой — мы будем предъявлять к вашим действиям свои требования.
- А критические ситуации вы сами будете создавать,да?
18 шілде 2019 жыл. Кешкі сағат 18:15. Байланыс операторымнан қауіпсіздік сертификатын қондырып алуым қажеттігі туралы sms хабарлама келді. “Жайшылық па бұлардікі?” дедім де жаба салдым. Сөйтсем…
Сонымен бұл не?
Бұл - Ұлттық Қауіпсіздік Сертификаты. “Байланыс туралы” ҚР Заңының 2015 жылғы 11 бабына енгізілген толықтыру бойынша, елдегі әрбір интернет провайдер һәм ұялы байланыс операторы өз абоненттерін Ұлттық Қауіпсіздік Сертификатымен қамтамасыз етуі міндетті.
Ол не үшін?
Оның не екенін әлі түсінбей жатырмыз. Алайда, ҚР Цифрлық даму, инновация және аэроғарыш министрлігі (ЦДИА) таратқан ақпаратқа сүйенсек,
..азаматтарды, мемлекеттік органдарды және жекеменшік компанияларды хакерлік шабуылдардан, интернет-алаяқтардан, түрлі киберқауіптерден қорғау мақсатында
жасалып жатыр.
Бұл сертификаттың қызметі не сонда?
Бұл сертифкаттың қызметі сол, ҚР заңдары мен сот шешімдеріне сәйкес қауіпті немесе зиянды деп танылған ақпарат көздерін Қазақстан территориясында жауып тастау немесе өшіру. Сондай-ақ, кейбір интернет ресурстардағы немесе әлеуметтік желілердегі жазбалар мен акаунттарға дәлме-дәл бұғат жасау үшін де қолданылады. Бұл дененіміз, айталық, М.Әблязов сияқты адамдар Фейсбукте, Инстаграмда, Ютубте тікелей эфирге шығып, Қазақстанның мемлекеттік тұрақтылығына нұқсан келтіретін сипатта эфирге шықса, жазба жарияласа, Қазақстан үшін сол әлеуметтік желіні тұтас жаппай, тек сол зиянды деп танылған акаунттар бұғатталатын болады.
Жалпы мұндай сертификаттар не үшін керек өмірде?
Мұндай сертификаттың өмірдегі жалпы мақсаты интернет қолданушы мен интернет ресурстың арасында сенімді һәм құпия байланыс орнату. Осындай сертификаттың арқасында біз әлеуметтік желілерге, электронды пошталарға, интернет банкингтерге өзіміздің құпия мәліметтерімізді сеніп тапсырып, логин-паролімізді қорықпастан енгізе береміз. Өйткені, қауіпсіздік сертификаты қолданушы мен сервис арасындағы ақпарат алмасуды шифрлайды.
Бұл сертификатты қондыру міндетті ме?
ҚР ЦДИА министрлігінің айтуынша, бұл сертификатты қондыру әзірге міндетті емес. Оның үстіне, ұлттық қауіпсіздік сертифкатын қондыру туралы sms хабарлама тек Нұр-Сұлтан қаласының тұрғындарына ғана келген. Яғни, әзірге пилоттық жоба ретінде қарастырылып отыр. Осы себептерге байланысты, бұл сертификатты қондыру міндетті емес, ерікті амалға жатады.
Ал енді бұл біздің қазақстандық зияны бар ма?
Ресми ақпарат: Жоқ. Сертификат өзге де қауіпсіздік сертификаттары секілді сенімді қорғалған және оқтын-оқтын жаңартылып тұратын болады.
Ал техникалық жауабы һәм ІТ қауіпсіздік маманы ретіндегі жауабым: бұл әрекет бұрын-соңды өзге мемлекеттерде сәтті түрде өткен тәжірибе ретінде айтылмайтындықтан, сондай-ақ MITM шабуыл сипаты болғандықтан, оның үстіне жақында ғана мемлекеттік мекемелерден миллиондаған, Дамумед секілді ақпараттық жүйелерден он мыңдаған адамдардың мәліметі көз алдымызда шашылып қалғандықтан, орта жолдан үшінші тарап сертификаты боп қондырылатын мұндай әрекет — Қазақстан азаматтарының жеке бас һәм құпия мәліметтеріне ұрлану, өшірілу немесе өзгертілу қаупі төніп тұр деп сеніммен айта аламын. Яғни IT жағынан өте жоғары тәуекел (risk) һәм әлсіздік (vulnerability) бар.
Әңгіме қайдан шықты?
Баршаға белгілі, негізі бұл әңгіме 2015 жылы басталған болатын. Себебі, ҚР “Байланыс туралы” заңының 11 тармағына сай 2016 жылдың 1 қаңтарынан бастап қазақстандық интернет провайдерлер TLS байланыстарды “тыңдап” отыру міндеттелген еді. Бұл ақпарат ТМД аймағындағы және шетелдік интернет басылымдарда біраз шу болды.
Мәселен digital.report сайтының айтуынша, The New York Times газетіндегі Nicole Pelprot есімді журналист бұл жағдайды
“this initiative looks like a “budget version” of the Chinese model”
деп сипаттаған. Дегенмен, кейін өздігімен ұмтылып кетіп, енді міне, тағы да күн тәртібіне шығып отыр.
Жалпы осындай сертфикаттардың қызметі не еді?
Сіз қандай да бір интернет-ресурсқа, сайтқа, сервиске кірсеңіз, сіздің барлық алмасатын ақпаратыңыз: оның ішінде логин-парольдеріңіз, жіберетін-қабылдайтын құпия-жария ақпарат-мәліметтеріңіз, саусақ іздеріңіз, барлығы қауіпсіздік мақсатында шифрланады. Осының арқасында сіздің Фейсбукке кіретін логин-пароліңізді сыртқы бір адам килігіп ұрлап кете алмайды. Ұрлап кетсе де сіздің мәліметіңізді оқи алмайды, себебі сіздің құрылғыңыз (смартфон, планшет, компьютер) бен сіз кіріп отырған сайт арасындағы сертификат байланысы арқылы шифрланғандықтан, оны дешифровка жасау, яғни ашып оқу үшін оған әлгі сертификат қажет болады.
MITM һәм MITM шабуыл деген не
Осы жерде MITM-шабуыл туралы айтайық. Шындығында қандай да бір интернет-ресурс (сайт, сервис, бағдарлама) пен интернет қолданушы арасында үшінші бір тараптың пайда болуын — MITM деп айтады. Ал ол үшінші тарап сіз үшін де, әлгі интернет-ресурс үшін де қажетсіз, басы артық көз бен құлақ һәм тіміскі. Міне, “үй артында кісі бар” деп отырғаным осы. Әдетте, қара ниеттегі хакерлер мен пентестерлер қолданатын ақпараттық қауіпсіздігі шабуылының бұл түрі, көп жағдайда, қолданушылардың білуінсіз, сырттай жүзеге асатын болса, біздің Қазақстан Республикасының істеп отырған амалында, мемлекеттік MITM боп саналады. Бір сөзбен айтқанда, сіздің әлеуметтік желіге кіріп-шығу мәліметіңіз, қайда отыратыныңыз, кіммен сөйлесетініңіз, жіберетін ақпаратыңыз — толықтай үй артындағы кісіге, яғни біздің мемлекетке беріліп отырады. Ойлап қараңызшы, сіздің интернеттегі әрбір қадамыңыз қадағаланып отырады.
Сонда 18 млн қазақстандықтың интернетте не істеп отырғанын түгел көре ала ма?
Иә, осы жерде әділет үшін айта кету керек. Әрине, біздің мемлекет жабық деректе қойып, ашық деректің өзін қорыта алмай, анализдей алмай отырғанда, 18 млн қазақтандықтың 30 млннан астам интернет байланысын (we are social, 2018), сонша трафикті анализдеп, әркімнің ізіне түсіп бақылап отырады, тіміскілеп кетеді, пайдасына жаратады деп айта алмаймын. Дегенмен, солай екен деп азаматтардың жеке бас құпия ақпаратын бере салудың да бұрыстығын айту керек және неліктен бере салу керек һәм оның қажетті деңгейде қауіпсіз сақталуы да өз алдына үлкен мәселе.
Енді?
Енді сол. Әзірге біздің үкімет бұл сертификатты қондыру ерікті іс және тек астаналық тұрғындар үшін ғана пилоттық жоба деп отыр. Лайымда осы эксперимент жоба күйінде жабылғанын тілейміз. Себебі, бұл қазірдің өзінде әлемдік ресурстарда қатты талқыланып жатыр:
Reddit: https://www.reddit.com/r/programming/comments/cew2xm/mitm_on_all_https_traffic_in_kazakhstan/
Google group: https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/wnuKAhACo3E/cpsvHgcuDwAJ
Ycombinator: https://news.ycombinator.com/item?id=20472179
Неліктен митыңдаған MITM-тірлік?
Себебі, бұл — абсурд. Екіншіден, Инфорбюро сайтына сұқбат берген ҚР ЦДИА вице-министрі Абылайхан Оспанов мырза былай дейді:
“Маған мұндай сертификатты қондыру туралы смс әлі келмеді. Осыдан келсін, сол кезде қондырамын”
Жоғары лауазымдағы тұлғаның аузынан шығып тұрған бұл мәлімдеменің қаншалықты күлкілі екенін білесіздер ме? Бүкіл халыққа осы сертификатты қондыруды ұсынып отырған бұл атқарушы билік өкілі мұндай sms-хабарламалар бұқара халыққа ақпараттандыру үшін ғана келіп жатқанын, ал бұл ақпаратты жіберіп отырған өздері екенін, сондықтан “қазақстандықтардың интернет қауіпсізді үшін қолға алынып жатқан әрекет” екенін біліп отырған бұл адамдар жеке бас қауіпсіздігін сақтау үшін смс күтіп отырмай-ақ, өзі сол мезетте барып сайттан жүктеп алуы қажет қой?;)))
Ал мемлекеттік қауіпсіздік сертификаты орналасқан сайттың өзінде қауіпсіздік сертификаты қондырылмаған http://qca.kz және бұл домен жеке адамның атына тіркелген:
Сонымен не істейміз? Қондырмасақ не болады? Қондырсақ не болады?
Ақырғы сұраққа соңғы жауап: қондырсаңыз, сіздің интернеттегі жеке бас құпия мәліметіңіз мемлекеттік серверлердің бір жерінде сақтаулы тұратын болады. Қондырмасаңыз, ештеңе болмайды. Интернетте жұмыс істей бересіз. Ешқандай шектеу жоқ. Алайда, алайда…
Бұл сертификатты қондырмаған жағдайда, ресми ақпарат көздері мен ұялы байланыс операторлары қайта-қайта нығыздап тұрып ескертіп жатқандай, кейбір интернет ресурстарға кіре алмай қалуыңыз мүмкін. Осы жерде мән беретін сөз: кейбір интернет ресурстарға.
Яғни, ол не қылған интернет сайт, қандай ресурс екені, тізімі әзірге бізге белгісіз. Ал нақты білетінім, сіз бұл қазақстандық сертификатты қондырсаңыз, Әблязов тікелей эфирге шыққанда Ютуб пен Фейсбукке емін-еркін кіріп отыра аласыз, тек Әблязовтың парақшасына, акаунтына кіре алмайтын боласыз. Өйткені, бұл сертификат арқыы оның және өзге де зиянды деп танылған сайттар автоматты түрде бұғатталған. Ал бұл қазақстандық сертификатты қондырМАсаңыз, онда Әблязов тікелей эфирге шыққан кезде сол әлеуметтік желіге мүлдем кіре алмайтын боласыз.
VPN-мен ше?
Иә, VPN-мен кіре аласыз. Бұл сертификаттың һәм Қазақстанда бұғатталған интернет ресурстардың VPN-ға қатысы жоқ. Әгәрәки, ол VPN-нің өзі бұғатталып қалмаған болса…
Сөз соңы немесе қауіп төндіретін қауіпсіздік амалы хақында
Ресми ақпарат көздері мен ұялы байланыс операторларынан келген смс хабарламалар һәм ҚР Цифрлық даму, инновация және аэроғарыш министрлігінің айтуынша, бұл сертификат қазақстандықтарды интернет алаяқтық пен ақпарат қауіптерінен сақтау үшін ұсынылып отыр және бұл сертификатты қондыру-қондырмау, толықтай өз еркіңіз. Алайда, алайда… Алайда, бұл сертификатты қондырған жағдайда, толықтай қалпақтың астында боласыз. Ал қондырмаған жағайда, мемлекет қажет деп тапқан кейбір интернет сайттар мен қызметтерге кіре алмайтын боласыз.
Осы жерде 2000 жылдардың басында әйгілі болған ресейлік “Бригада” сериалындағы Саша Белый мен КГБ өкілінің өзара әңгімесі еске оралады…
