Кибершляпа или все под колпаком

Кибершляпа или все под колпаком

Ну вот и пришло время собрать все собранные данные и попытаться объяснить, что за истерия накрыла Казахстан с подменой SSL сертификатов на конечных устройствах пользующимися услугами интернета у провайдеров Казахстана.

РК №419-V

Началось все с закона РК от 24 ноября 2015 года № 419-V «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации» которым законодательно хотели закрепить обязательную установку государственного сертификата в разрыве между провайдером интернет услуг и абонентами или нас с Вами.

2 декабря 2015 года вышла статья на хабре об этой новости. Затем 21 июня 2016 года еще одна с подробными разъяснениями на том же хабре.

В целом с 2015 года этот вопрос только обсуждался “на верху” и ждали подходящего случая видимо законодатели и исполнительные власти страны.

18 иkcell.kz подмена сертификатаюля 2019 года в социальных сетях началась появятся информация о том, что некоторые провайдеры сотовых услуг осуществляют рассылку абонентам о необходимости установки сертификатов.

В целом суть в том, что многообещающая безопасность SSL сертификатов на практически всех уважающих себя и своих клиентов сервисах – канут в лето и зеленый значек в поле браузера перестанет иметь хоть какое то значение. Весь трафик с Ваших устройств будет открыт для держателя данного сертификата, т.е. гос. органов.

Дальше люди начали устанавливать данные сертификаты и получили ряд проблем с доступностью интернет страниц и даже Mozilla Foundation зарегистрировала тикет Bug 1567114 MITM on all HTTPS traffic in Kazakhstan

Проблема даже не в том, что это вызывает негодование людей, а некоторые смиренно устанавливают данные сертификаты, а в том, что бизнес будет терпеть убытки с связи с недоступностью сервисов, проблемами соединения с провайдерами услуг Банков к примеру VISA и т.п., так же остается загадкой как современные, получившие популярность в последнее время GSM авто-сигнализации будут работать после этого.

 

Кибершляпа или все под колпакомgoogle HSTSКибершляпа или все под колпакомКибершляпа или все под колпаком

 

Т.е. в нашей стране по прежнему делается все в один день, не обдумав и без полной оценки всех возможных инцидентов, а ведь времени подготовится было предостаточно.

Хотелось бы отметить, что вся эта “истерия безопасности” со слов законодателей направлена на безопасность населения и набрала она силу после нашумевших статей в новостях по поводу “взлома клиентов”  одного из крупных игроков Банковской сферы РК. Не более чем повод для реализации старых идей на фоне…

Теперь задумайтесь, если утечет данный сертификат, то нашумевшая утечка персональных данных с сервиса egov.kz будет просто детской шалостью…

Дальше появилась статья на tengrinews.kz  и обзор ситуации от именитого Казахстанского Vлогера “за нами уже выехали”

В целом, пока ситуация не набрала массовых оборотов и можно сказать, что рано или поздно это произойдет. Для тех, у кого появились проблемы с доступностью сервисов ничего другого как установить данный сертификат посоветовать не можем, так же после установки сертификатов возможны проблемы с доступность сервисов у которых настроена защита от подмены сертификата (MitM) HSTS проблемы будут и как их решат и когда непонятно.

На самом деле многих проблем можно было бы избежать подойдя со стороны исполнителей более детально, как предложил один мой знакомый Кирилл, можно было не изобретать велосипед, а использовать уже установленный у большинства сертификат НУЦ необходимый для работы сервиса EGOV через NCALayer, но увы им виднее…

На самом деле технари и квалифицированные сотрудники ИБ догадываются, чем это может грозить не только в рамках доступности сервисов, но и безопасности данных граждан, доверия населения сервисам со всеми вытекающими GDPR и т.п.

Памятка:

Kcell (website): https://www.kcell.kz
Beeline (website): https://www.beeline.kz
Tele2 (SMS): https://i.imgur.com
Altel (SMS): https://i.imgur.com

А сегодня, 19.07.2019 вышла статья опровержение на тенгри новостях с заголовком “Можете не устанавливать – вице-министр о сертификате безопасности” и еще одна статья на forbes.kz

Ну и информация о самих сертификатах, со слов одного из участника телеграмм групп:

Коллеги посмотрите сертификаты выпущенные провайдерами услуг и гос органами они не соответствуют стандарту Х.509 все они не аккредитованы внешним аудитором типа WebTrust или подобного, т.е. Нет подписи единого центра сертификации аккредитованного по международным стандартам и могут использоваться только в внутри РК, и по международным стандартам считаются, что они могут применяться только внутри организации его выпущенной, а за пределами РК они будут считаться не валидными

Мы посмотрели на них средствами общедоступных ресурсов

Кибершляпа или все под колпаком Кибершляпа или все под колпаком Кибершляпа или все под колпаком