Перехват трафика?! О сертификатах безопасности

Доброго времени суток, друзья. Сегодня я хотел бы поговорить с Вами об одной пугающий тенденции в нашей стране. В Казахстане. Недавно я узнал о том, что жителей Нур-Султана просят (пока только просят) устанавливать казахстанские сертификаты безопасности на свои смартфоны, иначе обещают проблемы с доступом в сеть. Делается это, якобы, для нашей же пользы и защиты. Уже многие высказались, но и я считаю своим долгом рассказать об этом и о рисках, которые следуют из всего этого.

Для начала коротко о сути вопроса. Оговорюсь, что я не специалист в ИТ, хотя в свое время плотно занимался программированием и хорошо представляю, как работают современные системы безопасности и шифрования в интернете.

Итак, что такое сертификат безопасности и для чего он нужен? На данный момент практически любое интернет-соединение должно подтверждать свою уникальность. Грубо говоря, как паспорт у человека. Когда вы работаете, к примеру, с банковским приложением, смартфон должен быть уверен в том, что вы отправляете свои данные именно банку, а не какому-то мошеннику. Для этого и нужен сертификат. Он очень хорошо зашифрован, что подделать его практически нереально. И если кто-то захочет «вклиниться» в ваше прямое соединение между вами и банком, и прочитать ваши данные, то у него этого не получится именно потому, что у него нет этого сертификата. Так работают не только банки, но сейчас и любые сайты, мессенджеры и вообще более-менее приличные приложения.

Теперь, что нужно сделать, чтобы читать весь ваш трафик, который зашифрован? А я напомню, что это все ваши переписки, пароли, звонки, данные кредитных карт, даже любые данные с игр и сайтов. Даже ваше местоположение. Нужно просто «встроиться» между вами и сервером. Но как это сделать, ведь у вас нет сертификатов всех этих приложений? А очень просто – нужно создать сертификат для себя и заставить пользователя разрешить для него полный доступ. И вуаля – у вас на руках все данные этого пользователя и не нужно ничего расшифровывать или заставлять вас делиться чем-то.

Может быть! Что это делается для государственной безопасности, чтобы читать людей, преступников, которые строят коварные планы. Но! Во-первых – пункт 2 статьи 18 Конституции РК гласит, что «Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничения этого права допускаются только в случаях и в порядке, прямо установленных законом».

Но! (если что, юристы меня поправят) я не нашел в законе «О Связи» этих ограничений, связанных с сертификатами. Да, сертификаты там упомянуты, но «для обеспечения безопасности». Вопрос «зачем?». Все уже сделано до них и лучше них. И не может быть никакого улучшения безопасности при добавлении лишний «дырки».

Во-вторых – есть такой момент, как человеческий фактор в наших гос. органах. Вы представляете, сидит человек в комитете, который имеет полный доступ ко ВСЕЙ информации со ВСЕХ телефонов граждан? Которая полностью дешифрована, я напоминаю. Ничего делать не надо, вот оно все. Кто даст гарантию, что у него не будет соблазна «продать» ее злоумышленникам? Ведь это все – вся жизнь человека сейчас в смартфоне. Ваши адреса, где вы бываете. Да тупо, можно узнать дома вы или нет, чтобы обокрасть квартиру. Либо, что вы продаете машину и едите с крупной суммой денег. Я утрирую, но это все возможно. Из менее опасного можно встраивать в ваш трафик рекламу, и вы никак от нее не избавитесь. Что-то менять в ваше трафике. Предположим, вы написали сообщение с одним текстом другу, а его отредактировали, и ваш друг уже получит другое сообщение.

У меня вопрос к людям, которые все это разрабатывают – вы же понимаете, что вы творите?! И неужели вы готовы за деньги продавать людей, в буквальном смысле и подвергать их такой опасности?

Что лично я? Я лучше не буду пользоваться интернетом в принципе, чем установлю такой сертификат. Печалит что все делается «втихую», даже не обсуждая с народом. Мне кажется, крупные компании, такие как Google и Apple будут решительно против установки таких сертификатов. И, надеюсь, что будут бороться с этим. Потому, что их специалисты приложили немало усилий для того, чтобы сохранить приватность.

Меня жутко «бомбит» от таких действий нашего правительства. Такое ощущение, что пытаются зайти к тебе в дом в грязной обуви, нагадить на диван и все просмотреть. Мало ли, вдруг ты какой преступник. Так не делается, господа!

Всего хорошего.