Казахстан предпринял третью попытку внедрения системы перехвата HTTPS-трафика, в которой осуществляется подмена используемого некоторыми сайтами TLS-сертификатов. Сегодня клиенты нескольких крупных казахских провайдеров в городе Нур-Султан, включая Beeline, Tele2 и Kcell, получили уведомление о необходимости установки на свои системы дополнительного сертификата для продолжения доступа к некоторым иностранным сайтам, таким как Twitter и Facebook. Утверждается, что перехват трафика производится в рамках учений «Кибербезопасность Нур-Султан 2020».
Применяемый метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связаный цепочкой доверия с подменённым сертификатом. Навязанный сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может выдать сертификат для любого сайта любому пользователю под любым предлогом.
Напомним, что первая попытка перехвата HTTPS-трафика была предпринята в 2015 году. Правительство Казахстана попыталось добиться включения корневого сертификата подконтрольного удостоверяющего центра в хранилище корневых сертификатов Mozilla, но в ходе аудита был выявлено намерение использовать данный сертификат для слежки за пользователями и заявка была отклонена. После этого в Казахстане были приняты поправки к закону «О связи», предписывающие установку «национального сертификата безопасности» самими пользователями. Внедрение системы перехвата было запланировано на 1 января 2016 года, но намерение не было воплощено в жизнь.
Вторая попытка произошла в июле 2019 года. Система перехвата была введена в строй многими крупными провайдерами под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Через две недели перехват был прекращён с пояснением, что это было лишь тестирование технологии. Спустя месяц Google, Mozilla и Apple добавили применяемый для перехвата корневой сертификат в список отозванных сертификатов (OneCRL). После данного шага навязываемый сертификат потерял смысл из-за того, что Firefox, Chrome/Chromium, Safari и основанные на их коде браузеры начали выводить предупреждение о нарушении безопасности, независимо от ручной установки «национального сертификата безопасности».
Источник: http://www.opennet.ru/opennews/art.shtml? num=54206
© OpenNet
