Отключат ли в Казахстане Интернет 1 января 2016 года? (документы, расследование ОФ Liberty)
Отключат ли в Казахстане Интернет 1 января 2016 года? (документы, расследование ОФ Liberty)
Отключат ли в Казахстане Интернет 1 января 2016 года? (документы, расследование ОФ Liberty)
2 декабря 2015 года на сайте крупнейшего казахстанского телекоммуникационного оператора (включая интернет-провайдинг) Казахтелеком, по адресу: http://telecom.kz/news/view/18729, появилось загадочное сообщение, озаглавленное “АО «Казахтелеком» информирует о внедрении национального сертификата безопасности с 1 января 2016 года”. 3 декабря это страница была уже либо удалена, либо к ней был закрыт доступ обычных интернет-пользователей, но в том, что такое сообщение на сайте Казахтелекома действительно было, можно убедиться открыв эту страницу в кэше Google и в архиве Интернета (https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729 ).
Если попытаться понять это сообщение, то получается, что в Казахстане будут запрещено использование Интернета через незащищенные шифрованием протоколы (то есть речь не только о HTTP, с помощью которого интернет-пользователи заходят на сайты, но и протоколы, обеспечивающие работу электронной почты, фаилообмена и прочего), а также будет запрещен весь иностранный трафик, зашифрованный несертифицированным в Казахстане средствами, а о том, что в Казахстане сертифицировано, а что нет вряд ли кто знает, то есть можно предположить, что под запрет попадёт вообще всё, что зашифровано за пределами Казахстана.
Значит ли это, что 1 января 2016 года казахстанцев отключат от Интернета? И если нет, то, что это было?
Скриншот страницы сайта Казахтелекома в кэше Google
Для начала стоит процитировать весь текст этого сообщения:
С 1 января 2016 года в соответствии с Законом Республики Казахстан «О связи» Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан внедряет национальный сертификат безопасности для пользователей сети Интернет.
Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.
Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» – подчеркнул Н. Мейрманов.
АО «Казахтелеком» обращает особое внимание пользователей на то, что установка сертификата безопасности должна быть выполнена с каждого устройства абонента, с которого будет осуществляться выход в сеть Интернет (мобильные телефоны и планшеты на базе iOS/Android, персональные компьютеры и ноутбуки на базе Windows/MacOS).
Подробная инструкция по установке сертификата безопасности будет размещена в декабре т.г. на сайте www.telecom.kz.
Служба по связям с общественностью
АО «Казахтелеком»
Перцу в это и без того безумное сообщение добавил специализированный российский сайт по IT-безопасности SecurityLab.ru, перепечатавший это сообщение с сайта Казахтелекома со своим весьма бредовым комментарием: “Наличие такого сертификата на системе/устройстве позволит спецслужбам осуществлять MitM-атаки на любого пользователя региона и расшифровывать любые данные, передаваемые по зашифрованным каналам. Таким образом, любое подключение с использованием протокола SSL может быть расшифровано, а все данные – перехвачены”.
Прежде всего, стоит начать с того, что в Законе Республики Казахстан “О связи”. на который ссылается якобы Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан нет никаких упоминаний о каких-либо сертификатах, а вопрос о шифровании в этом законе оговаривается исключительно в части его применения государственными органами. Поиск по ключевым словам “национальный сертификат безопасности” тоже ничего не даёт, на сайте Комитета связи также нет никакой информации на этот счет, но есть два презабавнейших документа :
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ПРИМЕНЕНИЯ СЕРТИФИКАТА БЕЗОПАСНОСТИ
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ВЫДАЧИ СЕРТИФИКАТА БЕЗОПАСНОСТИ
Забавность этих документов заключается в том, что они ссылается на несуществующие нормы закона, убедитесь с этом сами:
Никаких подпунктов 6-2) и 6-3) в пункте 1 статьи 8 в Законе Республики Казахстан “О связи” нет. Но дело не в этом, как видим в приказе речь идёт о правилах получения сертификатах безопасности операторами, а не пользователями. Так что же это было?
Я склоняюсь к тому мнению, что это пранкеры хакнули сайт Казахтелекома (ну или хакеры устроили пранк, как Вам больше нравиться это называть), такая грязная шутка над всеми нелюбимым за цензуру Интернета провайдером. А может это заказ конкурентов. Ну кто захочет иметь дело с провайдером, который принуждает пользователей установить на свои компьютеры, планшеты и смартфоны какую-то непонятную, но явно шпионскую, штуку?
Но что, если действительно в больные головы казахстанских чиновников пришел какой-то очередной бред, чтобы это могло быть?
Если речь идёт о сертификатах в Интернете, то речь, скорее всего, идёт о сертификатах, подтверждающих подлинность сайта, такие, к примеру, выдаёт Google или антивирусная компания Avast, и другие авторитетные интернет-компании, они нужны сайтам устанавливающим защищенное соединение, чтоб избежать подмены сайта на уровне провайдера. Данные о центрах авторизующих сайты уже есть в браузерах. Браузеры запрашивают информацию у этих центров, и дают пользователю с ним соединится. Информацию о подписанном сайте, к примеру, в Google Chrome можно узнать кликнув мышкой по иконки зеленного замочка в адресной строке браузера и выбрав вкладку “Соединение” в выпавшем окошке. Отныне такой центр должен появится и при Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан:
ОБ ОПРЕДЕЛЕНИИ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА
Как видим, казахстанские чиновники вновь ссылаются на несуществующую норму закона. Оставим за скобками нужность создания в Казахстане такого государственного центра. По сложившейся в Интернете практике государственные структуры не считаются внушающими доверие организациями, и никто в мире не будет обращаться к казахстанскому центру за получением сертификата. Возможно, этот центр будет использован исключительно для внутренних нужд сайтами казахстанских государственных органов. Почему нельзя обращаться к уже существующим удостоверяющим центрам, чьи подписи будут приниматься браузерами по всему миру, это уже другой вопрос, возможно, дело не только в желании освоить средства на создании новой организации и пристроить в неё своих родственников, может быть, у этого решения есть и другие неведомые нам мотивы, в Казахстане у власти не принято объяснять свои действия народу.
Что же до предположения, что казахстанские чиновники решили сертифицировать алгоритмы шифрования, то это можно объяснить только желанием поиграть в АНБ.
Дело в том, что АНБ, вопреки общепринятому мнению, занимается не только шпионажем за интернет-пользователями, но и разрабатывает криптографические технологии, утверждает стандарты информационной безопасности (то есть проверяет алгоритмы шифрования на надежность, не давая одобрения тем, которые легко взломать), и регулирует рынок криптографических услуг. В своё время АНБ (хотя формально это делалось на более высоком уровне, но рекомендации, вне всякого сомнения, давало именно АНБ) запрещало американским компаниям экспортировать технологий шифрования, но с началом эпохи Всемирной паутины, когда этот запрет привел бы к тому, что пользователи за пределом США, пользуясь не умеющим работать со 128-битным ключом шифрования программным обеспечением, не смогли бы пользоваться сайтами, зашифрованными таким ключом, запрет был снят.
АНБ не единственная на Свете структура, которая умеет расшифровывать зашифрованный трафик, это может сделать кто угодно, для этого надо иметь достаточно вычислительных (то есть компьютерных) мощностей, но с повышением уровня шифрования это становиться затруднительно, на определенном уровне, возможно, даже невозможно совсем на нынешнем уровне развития компьютерных технологий, то есть невозможно в разумные сроки.
На данный момент одним из самых популярных протоколов шифрования является TLS 1.2. его в частности используют Facebook и Вконтакте, но эти сайты использует 128-битный ключ AES. который на сегодня, очевидно, подается взлому всеми спецслужбами мира, у которых есть такое подразделение и деньги на закупку соответствующего оборудования. Google использует протокол шифрования QUIC. но также тот же самый 128-битный ключ AES.
TLS является, так сказать, официальным криптографическим протоколом Интернета, его развивает IETF (Internet Engineering Task Force, Инженерный совет Интернета), всемирная некоммерческая неправительственная организация, всё, что утверждается IETF, является стандартом для Интернета и не в каких последующих “национальных сертификатах” не нуждается. Любая компания в Интернете вправе использовать собственные технологии, только, если они не являются стандартами IETF, гарантии их поддержки программным и аппаратным обеспечением других, работающих с Интернетом, компаний нет. Понятно, что у Google и Microsoft, благодаря их доминирующему положению в IT-отрасли, проблем с внедрением собственных стандартов не возникает, и не в какой сертификации со стороны национальных правительств они не нуждается, напротив это они могут сертифицировать программное и аппаратное обеспечение на совместимость с их стандартами.
Так что здесь Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан ничего не обломится.
Что же это было? Изощренная шутка или пресс-релиз от некомпетентного чиновника (а такие составляют, как мы много раз могли убедиться по идиотским инициативам или идиотскому исполнению инициатив, даже не большинство, а весь состав ведомства, которое в каждый конкретный отрезок времени занимается регулированием телекоммуникационной сферы в Казахстане), мы возможно не узнаем. Казахтелеком не сообщал о взломе сайта, возможно, ответственное за его безопасность лицо просто пытается скрыть инцидент от начальства, чтобы избежать наказания. А Комитет связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан не выступал с разъяснениями о сути этого, удаленного с сайта Казахтелекома, сообщения. Надеюсь, на этом всё и закончится, и реальных попыток сделать фильтрацию трафика на стороне интернет-пользователя, под угрозой полного отключения Интернета, предпринято не будет, и пессимисты говорящие, что скоро в Казахстане Интернета не будет, окажутся не правы…
Сегодня увидел обзор в Азаттык статей о странном сообщении на сайте Казахстелекома, эта новость, без преувеличения, потрясла весь мир, а в самом Казахстане ни Казахтелеком, ни Комитет по связи её не комментируют. Но речь не об отсутствии официальных комментариев, а о том, что я почувствовал себя последним человеком в мире, который занимается фактчекингом. Ну то есть в Казахстане никогда и не было СМИ и журналистов, занимавшихся фактчекингом, в Казахстане вообще никогда не существовало профессиональной журналистики, кроме того в Казахстане нет СМИ, которые всерьез можно было бы назвать IT-изданиями, казахстанские интернет-СМИ, позиционирующие себя соответственным образом, на самом деле таковыми не являются, там нет людей, которые бы разбирались в той сфере, о которой они пишут, поэтому они занимаются исключительно распространением пресс-релизов, и перепечаткой из соответствующих российских и украинских СМИ, поэтому казахстанские СМИ просто тупо перепечатали сообщение с сайта Казахтелекома, как перепечатывают все прочие сообщения с сайтов провайдеров. Но когда это сообщение увидели в российских сайтах, началась эпидемия бреда, все бросились придумывать, а как бы это можно было реализовать, там это увидели уже украинские и мировые СМИ, и бред поразил весь мир, никто не захотел разбираться, а что вообще это было такое?
Каков первый закон информации?
Информация, которая выглядит, как бред, скорее всего, бредом и является. Проверяй информацию.
В чем проблема со СМИ, перепечатовавшими бред у друг друга, или выдумывавшие свои фантастические объяснения этому бреду? Ну про казахстанские СМИ я уже сказал, о них речи вести не стоит, нельзя выдвигать какие-то претензии тому, чего нет. С New York Times тоже всё понятно, чтоб проводить фактчекинг, надо знать язык, кроме того есть ещё одна проблема, в универсальных (так скажем “общественно-политических”) изданиях не понимают смысла IT-новостей, самый яркий пример это тот бред, который написал Reuters про AMP, хотя, вроде бы, Google в своем посту написал всё просто и понятно, но то, что понятно, человеку знающему язык, не понятно, человеку, его не знающему, он слышат созвучные со словами в его родном языке слова, и делает на основании этого свои выводы, тем более их в заблуждение перед этим ввели уже русскоязычные СМИ.
Гораздо хуже это то, что весь этот бред родили российские и украинские IT-сайты. Авторы статей на российских и украинских IT-ресурсах бросились на перегонки придумывать сценарии, реализации условий заданных в безумном сообщении на сайте Казахтелекома, и тут уже проблема не в том, что авторы на этих сайтах технически некомпетентны, проблема в том, что они слишком технари – программисты, привыкшие решать любые безумные задачи, они совсем не гуманитарии, они не способны думать со стороны человеческого поведения. Именно по этому и не взлетают большинство проектов созданных чистыми технарями – они придумывают гениальные вещи, а о том, как этим будут пользоваться люди подумать забывают, они создают слишком сложные для использования нормальными людьми вещи, а поэтому они проваливаются. Политики и чиновники, напротив, гуманитарии и они понимают, можно ли впихнуть это людям или нельзя – описанную в удаленном сообщении на сайте Казахтелекома вещь впихнуть людям невозможно, а поэтому это бред.
Всё остальное это уже журналистская работа: в сообщении ссылаются на закон о связи, в законе о связи нет никаких упоминаний о каких-либо сертификатах, а о шифровании речь идёт только в плоскости использования его государственными органами, за такой инициативой должна быть нормативная база, поищите её, если её нет, значит и самой инициативы не существует в природе. Соответственно, сообщение, скорее всего, является фейком, опубликованным на сайте Казахтелекома хакерами, именно поэтому оно так быстро с него и исчезло, как только администраторы сайты его уволили, так сразу и удали. Кроме того, такие новации не в водятся в столь короткие сроки, на это требуется несколько месяцев, именно это экстренность внедрения должна была сигнализировать любому здравомыслящему человеку, что это фейк. Думаю, что дело не только в неспособности айтишников проводить гуманитарную работу, проверять информацию с правовой точки зрения, но дело ещё и в некотором презрении к Казахстаном, который считается такой лайт-версией КНДР. Из Казахстана на постсоветском пространстве приходят самые чудовищные инициативы по цензуре Интернета, так что людей новая такая инициатива, превзошедшая всё, что существовало в мире в этой области до этого, не удивило. Кроме того, к тому что Казахстан живёт вне всяких правовых рамок в мире уже привыкли, по общему мнению власть в Казахстане способно на любые безумные вещи, а народ беспрекословно это примет, к Казахстану относятся как к стране, где живут дикари, а поэтому никто не захотел с этим разбираться, мало ли что у них там в Африке возможно. Но если в Казахстане плюют на законы, это не значит, что в Казахстане что-то может делаться без приказов и инструкций, напротив, в Казахстане ничего не делается без приказов и инструкций, а выяснить существуют ли они в природе это уже работа, которой не заслуживает страна, которое снискала себе подобную репутацию.
Ещё раз возвращаюсь к своей статье. То, что люди повелись на очевиднейший бред, связанно не только с тем, что айтишники не интересуются законами, а обычные журналисты/юристы/правоведы/правозащитники/гражданские активисты вообще не знают и понимают IT-терминологии, и не представляют сложившейся в Интернете практики и технологических процедур (в общем-то для гуманитариев я эту статью и написал, чтоб понять, о чем речь надо знать технологические азы Интернета, их я в статье и объясняю, без их знания люди и дальше будут садиться в лужу, как произошло в этом случае), но и с тем, что люди не понимают логики власти (в частности казахстанской власти). Зачем нужна цензура? Чтоб держать народ в неведение, в том числе о существовании цензуры. Уверен, большинство интернет-пользователей в Казахстане не знает, что в Казахстане существует цензура Интернета и более того она одна из самых свирепых в мире (хотя Россия за последний год-два наверстала упущенная и даже вырвалась вперед, но в России не принято блокировать платформы, как это делают в Казахстане), просто потому что они не пользуются теми сайтами, которые подвергаются цензуре (цензура в Казахстане носит превентивный характер, чтоб люди не начали пользоваться этими сайтами), а когда случайно натыкаются на заблокированную страницу, то просто думают, что она не работает, как это часто бывает, тоже самое с СОРМом, уверен, что большинство даже не догадывается о его существовании, хотя правила его работы подробно описаны в постановлении правительства, а всё потому, что большинство обывателей не интересуется политикой, законами, нормативными актами, и тем что происходит со СМИ и Интернетом, они знают только то, что им сообщит телевизор, чего нет в телевизоре, того для них не существует. А теперь представьте, что всех интернет-пользователей поставили перед необходимостью установить что-то на свои компьютеры, планшеты и смартфоны, во-первых, большинство элементарно не сможет этого сделать, поэтому это бред, во-вторых, все в Казахстане мгновенно узнают, что в Казахстане существует цензура и слежка за пользователями. Что произойдёт? Нет, я далек от мысли, что люди взбунтуются, но начнется ропот, естественно, никто не согласиться эту хрен ставить себе на компьютеры, одни потому что этого не могут сделать, а другие, потому что понимают, что это. Люди проснуться. Единственная цель власти в Казахстане – это чтобы люди продолжали спать и дальше. Поэтому и блокирование социальных сетей не будет, оно возможно только в условиях начала революции. Поэтому и дальше цензура Интернета в Казахстане и слежка за интернет-пользователями будет осуществляться на стороне провайдера.
Ну и сама идея бред, возможно только считывать информацию до её шифрования, то есть речь может идти об обычном кейлогере, а не о том, что в Казахстане придумали какую-то свою собственную технологию, которая, к примеру, заменяет шифрование, осуществляемое сервером, на свое собственное, сервер в этом случае просто не примет информацию, она будет невалидной – хэш-сумма не сойдётся.
Сертификаты безопасности, о которых идёт речь в нормативных актах Комитета связи, которые я опубликовал в своей статье, имеют отношение к созданию в Казахстане государственного удостоверяющего центра, что такое удостоверяющий центр и зачем он нужен, я также объясняю в своей статье, очевидно, теперь все сайты госорганов в Казахстане будут работать через защищенное соединение, то есть по протоколу https вместо небезопасного протокола http, а поэтому появилась необходимость выдавать сайтам сертификаты, которые будут удостоверять их аутентичность, то есть подписывать их. Вопрос, зачем в Казахстане создавать собственный удостоверяющий центр, когда их в мире и так много, и почему делают его государственным, это отдельная тема, я думаю, банально хотят попилить на этом денежку, и создать ещё одно непыльное место, куда можно устроить своих родственников. Необходимость в переходе на защищенное соединение у сайтов госорганов, кроме того, что это модно, и вообще нужно, очевидно, переходектована переходом от бумажного к электронному документообороту, чему в основном и посвящен внесенный Масимовым в середине октября в Мажилис законопроект “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации”