Спецпроекты

Chrome, Edge, Firefox и Safari не будут работать с ПО, которым власти Казахстана шпионят за гражданами

Безопасность Госрегулирование Пользователю Телеком Мобильная связь Интернет Интернет-доступ ИТ в госсекторе Техника

Google и Apple вместе с Microsoft и Mozilla заблокировали в своих браузерах шпионский сертификат, который власти Казахстана начали навязывать пользователям в декабре 2020 г. Он позволяет правительству контролировать весь интернет-трафик, и разработчики посоветовали не ставить его или пользоваться VPN-сервисами, если установка все же была произведена.

Бойкот слежке за пользователями

Компании Apple, Google, Microsoft и Mozilla выступили против решения властей Казахстана отслеживать любой, даже шифрованный трафик своих граждан и гостей страны. Чиновники хотят контролировать все перемещения людей по интернету и угрожают блокировкой доступа к зарубежным веб-сервисам в случае отказа пользователей подчиняться.

Как сообщал CNews, в начале декабря 2020 г. на телефоны абонентов казахстанских операторов связи стали поступать сообщения о необходимости установки специального сертификата безопасности, который и предназначен для контроля веб-трафика с мобильных устройств. Портал Engadget пишет, что Apple, Google, Microsoft и Mozilla приняли совместное решение блокировать сертификат в своих браузерах Safari, Chrome, Edge и Firefox.

Правительство Казахстана объяснило свои усилия по перехвату HTTPS-трафика как учения по кибербезопасности для государственных учреждений, телекоммуникационных компаний и частных компаний. Они сослались на тот факт, что кибератаки, нацеленные на «казахстанский сегмент Интернета», выросли в 2,7 раза во время пандемии коронавируса COVID-19.

Рекомендации ИТ-компаний

Жители и гости Казахстана, выполнившие требование властей по установке их сертификата, пишет Engadget, при попытке выйти в интернет через Safari, Chrome, Edge и Firefox увидят на экране своего гаджета сообщение об ошибке. В нем будет сказано, что установленному сертификату нельзя доверять. Пока неизвестно, смогут ли пользователи обходить это сообщение и посещать сайты вопреки рекомендациям разработчиков.

Компании не хотят, чтобы правительство следило за их пользователями

Mozilla также опубликовала заявление, в котором уведомила всех своих пользователей об опасности установки казахстанского сертификата. Всем, кто все же установил его, Mozilla, Google, Apple и Microsoft рекомендуют выходить в интернет через VPN-сервис, чтобы власти не могли отследить их трафик, или установить защищенный браузер Tor. Самый быстрый способ воспользоваться VPN на «зараженном» сертификатом устройстве – это скачать браузер Opera, в котором по умолчанию есть такой сервис (активируется в настройках, не требует авторизации, работает в инкогнито-вкладках).

Как власти ломали интернет в Казахстане

CNews писал, что некоторые жители Казахстана, а также граждане России, отказались ставить на свои смартфоны сомнительный сертификат. Последствия, о которых предупреждали власти страны (блокировка иностранных сервисов) настигли некоторых из них – пользователи стали жаловаться на недоступность YouTube, Facebook и Instagram. Другие отмечали, что у них все эти ресурсы работали в прежнем режиме.

В 2019 г. чиновники Казахстана уже предпринимали попытку заставить граждан установить сертификат. Но на тот момент о коронавирусе COVID-19 еще никто не слышал, и власти пытались убедить граждан выполнить их «просьбу» якобы для защиты их от киберугроз и противоправного контента.

Схема распространения сертификата была идентичной – операторы уведомляли своих абонентов о необходимости его установки в SMS-сообщениях и давали прямую ссылку на его скачивание. Массовая рассылка сообщений началась в июле 2019 г., и на тот момент разработчикам браузеров потребовалось около месяца, чтобы отреагировать.

Google и Mozilla выступили решительно против инициативы правительства Казахстана лишь в августе 2019 г. Они заблокировали сертификат в Chrome и Firefox и предупредили пользователей об опасности, которую он несет. К примеру, Google, как пишет портал ArsTechnica, внесла его в список отозванных сертификатов (CRLSets), который используется в браузере Chrome для быстрой блокировки сертификатов в экстренных ситуациях. Более того, Google заявила тогда, что «сертификат будет добавлен в черный список в исходном коде Chromium и, следовательно, должен быть включен в другие браузеры на основе этого него.

Идеи тотального контроля

Планы по контролю всего веб-трафика граждан и гостей страны руководство Казахстана вынашивает годами. Началось все осенью 2015 г., но не с еще одного сертификата безопасности, а с точечного изменения законодательства.

Чиновники приняли поправки к закону Казахстана «О связи», в соответствие с которыми на телеком-операторов была возложена обязанность уже с начала 2016 г. «осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории республики». Первый сертификат власти были намерены подготовить для рассылки не позднее декабря 2015 г., но этот план по неустановленным причинам провалился. В итоге идею тотального контроля в стране отложили на 3,5 года, до июля 2019 г.