Пользователь
49,5
рейтинг
2 декабря 2015 в 18:35

Разработка → Казахстан внедряет свой CA для прослушивания всего TLS-трафика

Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.
Чтобы пользователи не пугались сообщений о подмене сертификата, АО «Казахтелеком» намерен чуть позже в декабре выпустить подробную пошаговую инструкцию по добавлению его в ключницы в мобильные телефоны и планшеты на базе iOS и Android, персональные компьютеры и ноутбуки на базе Windows и MacOS, на сайте www.telecom.kz
Согласно Закону операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

По словам Управляющего директора по инновациям АО «Казахтелеком» Нурлана Мейрманова, пользователям сети Интернет необходимо установить национальный сертификат безопасности, который будет доступен через Интернет-ресурсы АО «Казахтелеком». «Пользователю необходимо зайти на сайт www.telecom.kz и установить на своих устройствах выхода в сеть Интернет данный сертификат, следуя пошаговой инструкции по установке» — подчеркнул Н. Мейрманов.
telecom.kz/news/view/18729 (новость удалена, ссылка на архив)
Судя по всему, сертификат будет подменяться не только для HTTPS-соединений, но и для других зашифрованных TLS-соединений, включая FTPS, IMAP и SMTP с TLS.

UPD (03.03.2016): Билайн разместил новость о необходимости установки сертификата: www.beeline.kz/m/ru/news_items/11669
При отсутствии установленного сертификата на Вашем устройстве, сайты, использующие шифрование по HTTPS-протоколу (mail.ru, google и т.д.), могут быть недоступны.


UPD (18.06.2016): Новая страница от Beeline и Telecom.kz.
Влад @ValdikSS
карма
594,2
рейтинг 49,5
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (170)

  • +21
    mitm-ГОСТ
    • +3
      ГОСТ 34.310-2015 если быть точнее
      • +10
        раньше это называлось: Статья 136 УК РФ — Нарушение равенства прав и свобод человека и гражданина ;)
        • +4
          Почему же? Слушать будут всех — все равны.
        • 0
          Скорее «Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»
  • +10
    Только бы наши законодатели не наткнулись на эту новость.
    • +1
      Пусть натыкаются. Все равно уже приходится пользоваться VPN'ом, так как провайдеры подменяют сертификаты.
      • 0
        В смысле — подменяют сертификаты? Они же подписаны CA.
        • +12
          Ну так это и не происходит «прозрачно». Браузеры честно говорят «Сертификат не подходит». На что поддержка провайдера говорит «А вы не парьтесь, это наш сертификат! Просто добавьте его в доверенные».
          • +5
            Что за провайдер? Страна должна знать своих «героев».
            • +2
              Конвекс, Екатеринбург. Еще Дом.РУ вроде подобным страдает.
              Причем, иногда, «по-ошибке», подменяются сертификаты yandex/google/akamaihd. Скажем, при подмене google сертификатов, самое плохое — для андроида. Google Play и прочие сервисы просто перестают работать.
              • –2
                Так добавить сертификат в Android — плёвое дело. ИМХО, с десктопным браузером сложнее, они вроде частенько не юзают системные (из /etc/ca-certificates), в итоге это для каждого браузера надо разбираться отдельно.
                • +1
                  Рома, это же полный бред добавлять себе левые CA. Хотя идея самих CA ущербна.
                  • 0
                    А без них не работает, так как https режется с подменой.
                    • 0
                      Таки уже ввели?
                      • 0
                        Не знаю, я из России. Но к тому идет.
            • 0
              У ТТК –ЗС такое есть только для сайтов из реестра. На уровне DNS домены перенаправляются на прокси. По HTTP прокси отдают всё, кроме запрещённых URL. По HTTPS тоже мог бы работать прокси, но вместо этого там заглушка с самоподписанным сертификатом, которая не даёт зайти вообще никуда. Вот на dotu.ru, например, вообще нельзя зайти из–за этого. Система перенаправления DNS кривая, там перенаправленные домены резолвятся хотя бы на прокси, а вот поддомены не резолвятся никак. То есть, если в реестре торчит пара–тройка URL с Обозреватель.ком и они честно блочатся, то на my.obozrevatel.com я не могу прочитать вообще ничего, и даже с первого раза не понятно, в чём проблема, в РосКомСвободе по my.obozrevatel.com нет никаких записей.

              Обратной стороной их системы является то, что, если забить на их DNS, то вообще как будто ничего и не было.
          • +2
            Ну что же… добро пожаловать защищённое соединение внутри защищённого.
          • +1
            У меня мобильный Билайн такую хрень творит — на многий сайтах предупреждение о подменен сертификата при работе через https.
            • +1
              эти падонки еще и в трафик вмешиваются, втыкают свою рекламу в странички, причем даже в https-ные (
  • +3
    Решили не париться как АНБ, им кто-то показал Cain & Abel, придется включать мозг и решать проблему, сегодня точно не первое апреля? (вопрос риторический)
    • 0
      При чем здесь C&A (сто лет назад им пользовался, тогда он не был связан с обсуждаемой темой)?
      • 0
        ну как не связан www.oxid.it/ca_um/topics/apr-https.htm
        первый абзац

        APR-HTTPS enables the capture and the decryption of HTTPS traffic between hosts. It works in conjunction with Cain's Certificate Collector to inject fake certificates into SSL sessions, previously hijacked by mean of APR. Using this trick it is possible to decrypt encrypted data before it arrives to the real destination performing a what so called Man-in-the-Middle attack.

        Be warned that clients will notice this kind of attack because the server's certificate file injected into the SSL session is a fake one and although it is very similar to the real one it is not signed by a trusted certification authority. When the victim client starts a new HTTPS session, his browser shows a pop-up dialog warning about the problem.
  • +5
    А не выйдет ли так, что этот серт будет добавлен в блек-листы популярных браузеров?
    • +2
      выйдет, но еще до этого все крупные сайты с HSTS, то-есть по сути почти все которых активно хотят слушать пошлют далеко и надолго
      • 0
        Нет, HSTS защищает только от подмены сертификата, если его нет в ключнице ОС. Если сертификат есть, то все буде работать.
        • 0
          Оказывается, это справедливо только для Firefox.
          • 0
            В FF это тоже отключаемо.
      • +4
        У сайтов с HSTS проблем не будет, а вот HPKP вызовет определённые трудности.
        • 0
          А разве нельзя порезать хедеры используемые для HPKP?
          • 0
            Можно, но вся фишка в том, что браузер кеширует данные об HPKP точно так же, как он это делает для HSTS (в случае, если домен не зашит в список заранее). Если первый заход был с нормальным сертификатом, то в кеше пин останется, даже если заголовка в последующих ответах нет, на время max-age, которое обычно выставляют большим (по рекомендациям, минимум полгода). «Поможет» только полная очистка кеша.
      • –4
        Google раскатывает в Chrome обновления с блэклистами сертификатов для своего домена (к тому же там ещё и пиннинг есть, так что даже добавленность сертификата локально не поможет).
        • +4
          Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.
        • +2
          К огромному сожалению технологию, которую использует Казахстан не он придумал: куча компаний во вполне себе «свободных» странах её использует для контроля над тем что делают сотрудники на работе. Так что большинство браузеров после добавления сертификата «куда нужно».

          Да и нет там цели всё сделать «прозрачно»: в законе написано — значит исполняйте. Всё. Точка.
    • 0
      может они этого и хотят? Эдакая форма "итальянской забастовки"
      • 0
        Имеется в виду перекладывание ответственности за недоступность сайтов с «КазКомНадзора» на разработчиков браузеров?
    • +8
      Значит соберут Казбраузер на хромиуме без этих ваших блеклистов.
      • 0
        да без проблем. собрали же в Узбекистане для налогоплательщиков для работы с их BouncyCastle на основе Chromium 39. И назовут его у нас «Интернет», который заменит майлрушный «Интернет»
    • 0
      UFO прилетело и удалило эту запись.
  • +9
    в ключницы

    Вас что, Мицгол покусал?
    • +15
      А что не так, разве это устаревшее слово?
      • +10
        Гугл по запросу «ключница сертификаты» не выдаёт ни одной релевантной ссылки. И есть технический термин «хранилище сертификатов».

        Атмосферу тоже околоземицей некоторые называют.
        • 0
          Хм, похоже, вы правы. Я почему-то думал, что это довольно распространенное слово, но поиск действительно ничего не выдает.
      • +2
        Мне кажется, значение не подходит. В оригинале keyring, то есть связка ключей, а ключница — это человек, хранитель ключей. Если бы keyring был не файлом (мертвыми данными), а процессом, то его можно было бы анимировать, проассоциировав с кем-то живым (ср. демон).
        • +8
          Такое значение слова ключница действительно есть, но, как мне кажется, более распространенное значение — дощечка с гвоздиком для хранения связки ключей. Также, похоже, маленькие портмоне, которые предназначены для хранения ключей, тоже называют ключницами.
          • +1
            Да, действительно. Не знал такого значения.
    • +3
      Давно маковую keychain называю ключницей. Никто не против.
    • 0
      Не кусал, но словоупотребление одобряю: говорить «ключница» вместо «хранилище сертификатов» попросту удобнее — примерно так же, как удобнее нам, например, говорить «компьютер» вместо «электронно-вычислительная машина», и притом совершенно по той же причине (куда короче произносить и записывать).

      В своё время длину фразы «электронно-вычислительная машина» пытались обойти сокращением «ЭВМ», однако длину фразу «хранилище сертификатов» никто не будет обходить сокращением «ХС», вполне сознавая, что оно прежде всего будет восприниматься как символизирующее Христа Спасителя (например, сокращение «ХХС» почти повсеместно узнаётся в смысле «Храм Христа Спасителя» — не в одной только Москве, в которой расположен Храм).
      • 0
        Всю дорогу калькую как кейринг. Зато сразу понятно и коротко.
    • 0
      Посмотри что ты наделал! Мицгола вызвал! Фу, плохой Мухлеватор, плохой!
  • +2
    Это они так всех массово загоняют в Tor и i2p сети? ;)
    • +2
      Их там тоже уже поэтапно запрещают.
      • 0
        А что конкретно делают?
        • +3
          Это у казахов лучше спросить, в интернетах противоречивая информация. Как минимум, забанен сайт торпроджекта, также репортуется про попытки отдельных провайдеров банить трафик по DPI, а также про деятельность по поиску и закрытию входных нод.
          • +1
            В Казахстане забенено уже куча сайтов. Ни одного дня не проходит, чтобы что-то не пришлось в список для прокси добавлять. Например сайт журнала максим, какие-то русскоязычные новости на .com домене. Про порнолабы даже и не говорю. Похоже херачат все без разбора, скоро останется только местный интернет.
            • +1
              У нас в кз, похоже, какой-то скрипт банит тупо все подряд по ключевым словам. Например, довольно долго был забанен форум ispsystem. Вроде не политика и не порнуха, чисто технический форум, но забанили зачем-то.
              • +2
                у меня такое же впечатление сложилось
        • +1
          Пару лет назад в ходе эксперимента я понял у себя ноду Тор, товарищ пробовал подцепиться. В итоге трейсы показали что на этапе handshake пакетик просто уходил в никуда.

          В тот же вечер на том же порту поднял веб сервер — все ок. Потом как-то забросили и не стал разбираться что это было.
      • +1
        Пусть тогда в mesh-сети переползают.
        • +4
          Кто-то из участников mesh-сетей всё равно должен иметь открытый канал. И чем меньше таких участников, тем шире должен быть у них канал.
  • +5
    Твою мать. Шо делать-то? Кроме VPN все отпадает?
    • +7
      Что делать вообщем то понятно, но мало кому нравится такое решение.
      • +7
        Как иронично вы вызываете трактор.
        • 0
          Трактор это не решение а обход проблемы. Не может быть всем доступен. ankh1989 имел ввиду, имхо, другое.
          • +3
            Трактир — вот ещё один популярный в России способ обхода проблемы для тех, чей трактор не заводится по причине отсутствия соляры в баке.
            Всё плохо? В трактир. И всё, вроде, норм на какое-то время.
          • +6
            Может он про этот трактор

            image
            • 0
              Точно :)
              • 0
                А что с этим трактором не так? Я ещё понимаю если бы речь шла про тот трактор, на котором Поросёлок Пётр ездит, там хотя бы смысл понятен: решение проблемы в рамках одного отдельно взятого поросёнка, а тут… Ну выбрал себе человек такой странный метод самоубийства, обновили пару дюжин построек в городке за счёт страховых фирм и всё. Какую проблему кроме наличия в природе сликом большого количества долбоёбов это решило?
                • 0
                  «Сколько нас ни вешайте, но всех не перевешаете» (З. Космодемьянская)

                  Если тракторов будет десяток, сотня, тысяча… то рано или поздно количество перейдёт в качество.
                  • 0
                    Не перейдёт, увы и ах. Никакое количество тракторов не может пока не будет организации, извините.

                    Судьма же вышеупомянутого персонажа только это и показывает.
                  • 0
                    Да вот только никто не хочет становиться тем самым повешенным. А вдруг повесят конкретно меня, вас, кого-то из близких?
        • 0
          Э, нет, я не трактор имел ввиду. Трактор как раз всем нравится.
          • +2
            Это?
            image
        • 0
          Кто-то уже пытался (осторожно, сарказм):
          «Двух братьев из Таганрога, пропавших 6 января, нашли мёртвыми. Об этом со ссылкой на родственников сообщают местные СМИ. Известно, что мужчины перед своим исчезновением направлялись в Воронеж. В столице Черноземья мужчины якобы должны были купить трактор. Но до города они не доехали.
          Подробнее: http://www.moe-online.ru/news/view/334230.html»
    • +4
      Как учит нас информационная безопасность, не любая угроза может быть принципиально устранена инженерно-техническими мерами, для некоторых требуются административные.
      Надеюсь, что это значит в данном случае, расшифровывать не нужно.
    • 0
      а с DPI можно искать впн хендшейк и рвать.
      • +4
        Что уже делают в Туркменистане с OpenVPN и IPsec.
        • +2
          Как бывший житель Туркменистана подтверждаю, протоколы VPN там не работают в принципе.
          • +1
            В случае с OpenVPN, это очень легко обойти, используя VPN через HTTPS или Socks5-прокси на том же сервере. В этом случае, DPI не определяет, что это VPN, и не блокирует.
            • 0
              Как вариант ssh-туннель сделать.
  • +4
    Нет слов. Одни эмоции. Конечно, защищенный канал все равно можно организовать, используя дополнительный уровень шифрования трафика, например, любым потоковым шифром.
    Ну и стеганографию тоже никто не отменял.
    • 0
      простите, а как стеганографию использовать для аутентификации на сайте gmail, чтобы прочитать почту?
      • +5
        Верно, никак.
        Преступники (включая террористов) будут принимать необходимые меры для скрытия своих действий, им такая слежка не помешает. Глобальная слежка внедряется в разных странах не для борьбы с преступностью, а для укрепления власти (для подчинения большинства интересам меньшинства).
      • 0
        Прям втупую и применять. Организовываете сайт с кошечками (на своём сервере в нормальной стране), или с чем-то другим невинным, что сложно забанить. Пишите хитрый клиент, который в каждый запрос будет добавлять немного того, чем вы хотите с гуглом поделиться. На сервере «расшифровывете» это дело, делаете запрос гуглу и обратно ответ передаете таким же макаром.
  • +4
    Я тут всё на Let's Encrypt посматривал, для будущих клиентов, а тут на тебе. Они там совсем того, что-ли…
  • +25
    Здравствуйте, я казахский MITM. По причине ужасной наглости моего создателя я не способен без действий с вашей стороны расшифровывать ваш SSL-трафик. Поэтому очень прошу Вас, пожалуйста, установите наш корневой сертификат, чтобы мы знали чем вы занимаетесь и какой у вас пароль от банк-клиента. Заранее благодарю за понимание и сотрудничество.
    • 0
      подмене подлежат, скорее всего, только сертификаты внешних ресурсов по отношению к Казахстану
      • +2
        Если корневой импортирован, потом можно любой, в любое время подменять/не подменять.

        «только внешних» это оксюморон.
        • 0
          Так-то да, но в новости говорится
          за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

          Ну захотят — все подменят. Что скрывать гражданину от государства на своей же территории, если он и зарубежом ничего не скрывает?
    • 0
      Как правило корневой сертификат установливается во время получения ЭЦП физиками, ИП или юриками (прямо по инструкции).
      • 0
        Но у каждого УЦ он свой, по крайней мере в России. К тому же вряд ли у провайдера (даже у Казахтелекома) сможет оказаться приватный ключ. Так что если вас хочет слушать провайдер — придётся установить провайдерский сертификат.
  • +2
    Тут смотрите еще ирония в чем. Захочет человек, который по роду деятельности занимается PKI посмотреть как у людей строятся сертификаты (структура, оиды), а будет видеть родимый сертификат «великого казахского фаервола».
  • +1
    Вот интересно, какой вендор такую гадость решился поставить?
    • +2
      имя этого гнусного вендера hacking team :) они уже ранее поставляли эту гадость казахским (с. службам) провайдерам: https://github.com/hackedteam/vector-ipa
      пруф:https://wikileaks.org/hackingteam/emails/emailid/436130
      2012/12/1 Giancarlo Russo <g.russo@hackingteam.com>
      Askar,

      Yes, the TNI is a module of the RCS suite that embeds hardware and software. When connected to a LAN (both WIFI and Ethernet/cabled), the TNI can automatically deliver the RCS Agent to a windows pc connected to the same network by sniffing and on-the-fly modifying its HTTP traffic.

      I hope this can help

      Giancarlo


      и еще очень много интересного тут: https://wikileaks.org/hackingteam/emails/?q=Kazakhstan+sniffing&mfrom=&mto=&title=¬itle=&date=&nofrom=¬o=&count=50&sort=0#searchresult

      есть два варика:
      1) фантазии и опыта хакинг тим больше ничего хватило как на унылый и наглый mitm.
      2) они разорвали контракт с хакинг тим(что маловероятно) и решили заюзать свои средства, эдакий казахский DPI с патчером (https://github.com/secretsquirrel/BDFProxy) на python :)
      • +1
        Есть еще третий вариант, ма-а-аленькая надежда на него остается:
        3. Бабло попилят, проект загнется.
      • 0
        Такой объем трафика подразумевает аппаратную реализацию шифрования… Это
        1) Дорого;
        2) Очень дорого;
        3) Экспорт жестко регулируется;

        • 0
          не согласен, мои аргументы:
          1) Все хакинг тимовское ПО требует спец. оборудования с весьма высокими характеристиками (смотрите доки по софту которые утекли в 400 Гб архиве).
          2) В Palantir релиализовывали качественную инспецию трафика при довольно низких затратах. Как показала практика алгоритмы используемые софтом не менее важны, чем железо на котором оно выполняется.
          3) Спец. службам не обязательно контролировать всех подряд и снифать весь объем трафика проходящий через провайдера, обычно слушают траффик только у тех, кто мог попасть под подозрение, впервую очередь в IRL а не в сети. Наличие установленного сертификата гарантирует прослушку трафика не только в одноклассничках и мейл.ру, но и на защищенных сайтах например gmail или facebook. К тому же для прослушки трафика конкретного человека нужна санкция, без нее вас прослушивать никто не будет.
          4) Экспорт врочем как и все правовые/нормативные акты и законы устанавливает само государство. Как показала практика в случае хакинг тим многие гос-ва делали исключения для «обеспечения безопасности собственной страны».
          • 0
            1) Тут не расходимся.
            2) Посмотрю, но с учетом специфики рынка такие решения не дешевые. Ну и процедуры закупки ни разу не прозрачные.
            3) Тут речь идет о суверенном интернете, если рассматривать вкупе с другими действиями, например о запрете размещения .kz на зарубежных DNS и прочее. Особенно с политикой фильтрации неугодных ресурсов…
            4) В Казахстане такое оборудование не производят, а те, где производят, далеко не всегда разрешают экспорт криптосредств аппаратных
            • 0
              3 пункт уже запрещен, хостинг для .kz доменов должен быть только в Казахстане. Этому правилу много лет (но не все его исполняют).
              • 0
                Кстати да, спасибо за напоминание, давно уже не занимался этой темой.
                Мои исследования закончились на «требования к физическому расположению серверов на территории Казахстана для интернет-ресурсов, находящихся в доменной зоне KZ не распространяются на доменные имена, зарегистрированные до введения в действие приказа» и я про это забыл )
    • 0
      удалено.
  • +11
    Кто-нибудь сольет приватный ключ суперсертификата
    • +3
      Ну или они сами его всем раздадут, как Dell недавно.
      • 0
        Dell хоть извинились и исправились, а так же испортили дизайн сайта инструкцией в шапке ради исправления проблемы.
  • +1
    припоминаю свою попытку в полудомашних условиях сделать тотальный перехват https в условиях зоопарка девайсов и и софта… и
    я правильно понимаю что они собираются:
    — повесить на свою техподдержку поддержку тех программ у кого встроенные https-клиенты не использующие системную базу сертификатов (вроде той же SecondLife, там далеко не только для встроенного браузера этот клиент используется).
    — обновить ВСЕ девайсы с Android 2.x (там же нельзя без рута поставить свой сертификат CA насколько помню а инструкция обещана же).
    — убедить всех авторов приложений под iOS/Android кто использует pinning как часть проверки корректности покупки что надо их новый суперсертификат считать корректным а не MITM-атакой.

    • +8
      Исходя из собственного опыта общения с техподдержками банков и налоговых, отвечу за них:
      1. Пользуйтесь программами, которые используют только системную базу сертификатов.
      2. Купите новый смартфон.
      3. Обратитесь к разработчикам, пусть добавят наш сертификат в доверенные.
      И краткое резюме: «У нас все блокируется и слушается как надо, это же у вас что-то не работает, выкручивайтесь как хотите.»
      • 0
        >1. Пользуйтесь программами, которые используют только системную базу сертификатов.
        посоветуйте аналог (которого в данном случае нет)
        >2. Купите новый смартфон.
        товарищь полицейский но они сами сказали что надо новый смартфон а деньги на него давать отказались!
        > краткое резюме: «У нас все блокируется и слушается как надо, это же у вас что-то не работает, выкручивайтесь как хотите.»
        если я весь трафик заверну в хитрый VPN(допустим) вы претензий иметь не будете? пожалуйста бумагу выдайте

        • +3
          1. Не наша проблема.
          2. Не наша проблема.
          3. Претензии будут, не переживайте вы так.

          Я, конечно, немного утрирую. Ответы будут красивые и официальные. Но пока что все именно так. Ну вот пара простых примеров:
          — Ваш криптопровайдер рушит Хром, а я в нем работаю!
          — Используйте другой браузер.

          — Ваша программа работает только под админом! Так нельзя!
          — А в чем проблема? Выдайте бухгалтерам админские права, это ведь несложно!

          — На вашем сайте для авторизации используется флэш. Это небезопасно.
          — Скачайте и установите антивирус.

          Те, кто в КЗ и те, кто в теме, без труда узнали, о каких программах я говорю. Ну я уж и не говорю, что все инструкции по использованию сайтов госуслуг начинаются с фразы «добавьте наш сайт в список доверенных».
          • 0
            — Ваша программа работает только под админом! Так нельзя!
            — А в чем проблема? Выдайте бухгалтерам админские права, это ведь несложно!

            В публичных транснациональных корпорациях очень может быть по полисям запрещено выдавать админские права бухгалтерам. Я не уверен, но думаю что где-нибудь в ISO есть указание к информационной безопасности.

            Кроме того, админские права внутри корпорации отождествляются с дополнительными расходами. За каждую дополнительную фишку конечного пользователя в ведомостях проходят дополнительные копеечки. У корпорации с 10К пользователями это может вылиться в кругленькую сумму.
            • +7
              Это всё из разряда «проблемы негров шерифа не интересуют».
              • 0
                Как раз шерифа это и заденет, т.к. у негра в данном случае есть четкое указание, что если конкретная страна не дает возможности вести бизнес по правилам для публичных корпораций, вышедших на IPO, то корпорация («негр») не должна вести бизнес в данном регионе.
                Я знаю, что в Казахстане работают несколько международных игроков, подвергающихся постоянному аудиту на предмет соответствия международным нормам в сфере инфо. безопасности и менеджмента. Для них данный вопрос куда более серьезен, чем для совковых конторок а-ля «Рога и Копыто».
                • 0
                  И? Что конкретно потеряет Казахстан если какая-то западная компания «психанёт» и уйдёт? Google, вон, ушёл из Китая громко хлопнув дверью, но теперь всё равно возращается.
                  • 0
                    Казахстан не настолько большой рынок, чтобы за него держаться руками и ногами.
                    • 0
                      Именно! Для крупной транснациональной кампании рынок этот мелок, а для страны уход крупного инвестора будет чувствительным ударом.
                  • 0
                    Наличие иностранных инвесторов сильно влияет на национальную валюту. Например, правительство РФ «бьет себя пяткой в грудь», мол, они «из кожи вон лезут», чтоб привлечь и удержать инвесторов. При массовом сливе иностранных кампаний в ту же дыру сливается и рубль.
                    Думаю Казахстан тоже очень сильно заинтересован в них.
                    • +1
                      Все эти рассказы без цифр — ничего не стоят. Да, бегство иностранного капитала обрушивает валюту, но в этом есть как плюсы, так и минусы. А главное: «сбежать» компания может только один раз. Не нужно эту угрозу преувеличивать.

                      Руководство страны вполне может посчитать, что это — приемлемая плата за возможность просматривать почту своих граждан.

                      Важно ещё учесть вот какой фактор: если XX век — это борьба за рынки, то XXI век — это борьба за ресурсы. «Правила игры» потихоньку меняются и вместе ними меняется и отношение к странам и компаниям.
                      • 0
                        > XXI век — это борьба за ресурсы
                        За какие именно ресурсы?
                        • 0
                          За все: нефть, газ, воду, редкоземельные металлы и прочее.

                          Всё это, так или иначе, будет в дефиците бо́льшую часть XXI века.

                          Посмотрите на Европу, которая уже много лет рассказывает сказки на тему энергетической безопасности, но всё равно не может отказаться от газа из России — и это пока только локальные проблемы, связанные с логистикой, дальше будет хуже.

                          Казахстан во-первых сам обладает изрядными запасами, а во-вторых — очень удобно расположен. Так что главная опасность для него — это не что какая-то там западная компания уйдёт и обрушит тенге, а что в Казахстане произойдёт очередная цветная революция и страна «обретёт демократию». С чем он и борется. Насколько успешно — будущее покажет.
                          • 0
                            Вы в курсе динамики мировых цен на нефть? Что она подешевела раза в три? Это называется борьба?
                            Или вот например железная руда стоила $191,7 за тонну, сейчас стоит $39,06 за тонну. Где борьба-то?
                            http://www.rosbalt.ru/business/2015/12/08/1469196.html
                            PS: сейчас в цене совсем другие ресурсы: идеи, технологии, знания. Сравните капитализацию Apple и Газпрома.
                            • +1
                              Вы тут рассказываете про то, как «белые люди» выменивают у «аборигенов» оные ресурсы. Если в стародавние времена золото обменивали хотя бы на стекляшки, то сейчас процесс усовершенствован: даже и стекляшек не нужно, если можно выдавать вместо этого цифирьки в какой-то базе данных! Гораздо выгоднее.

                              Я же говорю о другом: о процессах из-за которых в XX веке произошли две мировых войны, а в XXI веке были вбомблены в каменный век несколько стран.

                              Если хотите — живите в своём виртуальном мире, пока он не исчезнет, это ваше дело. Но вот правительство Казахстана, похоже, хочет оставаться в мире реальном. Потому как существование виртуального мира — оно, знаете ли, не гарантировано: пока в реальном мире всё хорошо — там могут быть какие угодно воздушные замки. Но как только отключают свет — тут же и выясняется что цифирьки из базы данных чайник не запитают. Киловатты нужны, да. Реальные, а не воображаемые.

                              P.S. А если хотите порассуждать о капитализациях и об их влиянии на реальный мир — советую начать с Донбасса. Согласно всем теориям, построенным на рассуждениях о том как «капитализация» рождает из воздуха реальные предметы, Донбасс был глубого убыточным, дотационным, регионом — но почему-то его «выключение» из процесса не привело к резкому росту уровня жизни на остальной Украине. Сначала поймите — почему так, а уж потом рассуждайте о «капитализации Apple и Газпрома».
                              • –2
                                Это всего лишь ваше мнение. Есть другое. Что потребность в углеводородах к середине века практически полностью сойдет на нет, будучи полностью замещенными возобновляемыми источниками энергии. У многих стран/регионов это уже получилось по потреблению электроэнергии промышленными и бытовыми потребителями. Переход транспорта на электротягу — тоже вопрос лишь времени. В итоге в цене останутся лишь редкоземельные элементы, за которые никаких войн никто устраивать не будет. Просто потому, что гораздо беспроблемнее обменять их на те же айфоны. И даже такие ресурсы, как пресная вода, при наличии денег, неплохо генерируются из моря, так что в некоторых городах аравийского полуострова посреди самой сухой пустыни мира по утрам стоят туманы от тотального полива.

                                Согласно всем теориям, построенным на рассуждениях о том как «капитализация» рождает из воздуха реальные предметы, Донбасс был глубого убыточным, дотационным, регионом — но почему-то его «выключение» из процесса не привело к резкому росту уровня жизни на остальной Украине.
                                Забавно, что вы про это упомянули. Года эдак 2-3 назад в кое-каких кругах стоял страшный визг о том, что Донбасс — чуть ли не единственный донор-кормилец дотационный западэнской Украины.
                                • +5
                                  > за которые никаких войн никто устраивать не будет.

                                  /криво усмехаясь/
                                  Обожаю эту цитату:

                                  «Лучшие умы Европы строят оптимистичные прогнозы о благотворности прогресса и умягчении нравов человечества! Уже сейчас можно с уверенностью утверждать, что человечество в двадцатом столетии полностью откажется от войн и междоусобных притязаний, силами науки будут побеждены изнурительные болезни, а, может быть, и сама Смерть, права человека и гражданина Российской империи будут гарантированы мудрым монархом, из лексикона наших внуков исчезнут отвратительные слова «голод», «проституция», «революция», «насилие». Резко снизится и вовсе исчезнет, не позднее 1997 года, преступность в любом своем уродливом лике, на карте мира больше не останется «белых пятен» и неразвитых областей»А.Суворин, 1900, ЧСХ, год.
                                • +2
                                  Что потребность в углеводородах к середине века практически полностью сойдет на нет, будучи полностью замещенными возобновляемыми источниками энергии. У многих стран/регионов это уже получилось по потреблению электроэнергии промышленными и бытовыми потребителями.
                                  И какие же это страны, извините? Исландия? А ничего, что в Германии, скажем, до этого ещё далеко, а ветряки ставить уже некуда? А если вы проложите куда-нибудь в Сахару кабель, то долго ли он останется работающим в условиях непрерывных войн на севере Африки? Или думаете Америка их там устроила потому что действительно верит в то, что арабская весна несёт туда демократию? Ага, щаз.
                                  Переход транспорта на электротягу — тоже вопрос лишь времени.
                                  Крутой поворот, да. Вот только… много вы видели самолётов на батарейках? Или океанских контейнеровозов?

                                  А на суше, знаете ли, рельеф есть. Посмотрите на карту и подумайте — как ваш чудесный «переведённый на электроэнергию» транспорт будет ездить от Китая в Германию, к примеру. Сразу поймёте почему Казахстан не слишком озабочен уходом «западных компаний»: сегодня уйдут — завтра вернутся, причём соглашаться им придётся на куда худшие условия.

                                  В итоге в цене останутся лишь редкоземельные элементы, за которые никаких войн никто устраивать не будет.
                                  Ну это уж зависит от того, как к этому Китай подготовится, да.

                                  Просто потому, что гораздо беспроблемнее обменять их на те же айфоны.
                                  А это, я извиняюсь, как? Китай добывает редкоземельные элементы, делает айфоны и обменивает их на «фантики»? Ну какое-то время, наверное, да, но в конечном итоге это ему может и надоесть…

                                  И даже такие ресурсы, как пресная вода, при наличии денег, неплохо генерируются из моря, так что в некоторых городах аравийского полуострова посреди самой сухой пустыни мира по утрам стоят туманы от тотального полива.
                                  И всё-таки для этого нужны, в первую очередь, не деньги, а энергия. А с ней чичас — весьма и весьма напряг.

                                  С одной стороны — вы, скорее всего, правы: на 100 лет углеводородов явно не хватит. Но вот дальше — большой ворос, что будет. Может быть возобновляемые источники, а может быть — ториевые реакторы. Чего точно не будет — так это выработки энергии из денег. Такой технологии наука ещё не изобрела :-)

                                  Забавно, что вы про это упомянули. Года эдак 2-3 назад в кое-каких кругах стоял страшный визг о том, что Донбасс — чуть ли не единственный донор-кормилец дотационный западэнской Украины.
                                  Да, трезвые умы про это уже давно говорили, но «исходя из капитализации» получалось, что кормит всех Киев, а Донбасс — весь в убытках. Что показала «проверка боем» — мы видим.
            • 0
              Да, да, да, мне ваших админов очень жаль… сочувствую… хорошо, что это не наша проблема… спасибо за звонок.
              А практически в этих случаях решение — создать «дочку» на одного-двух сотрудников, которая не будет обременена этими правилами, всё проводить через неё.

              Это всё попадает под старое доброе: Dura lex, sed lex. Как хотите — так и выкручивайтесь. В ISO нет никаких указаний на то, кто кем кому должен быть админом, там про разделение ролей. Запрает на админа на компьютере — только один из способов соблюдения этих правил.
  • +1
    telecom.kz/news/view/18729
    Редирект на главную.

    telecom.kz/en/news/view/18729 (английский)
    404

    telecom.kz/kz/news/view/18729 (казахский)
    404

    И что теперь?
    • +3
      • 0
        Извините, а только у меня ссылки не работают? yota + prostoVPN
        • 0
          Открываются, но медленно.
  • 0
    Ага, я так понимаю их сертификат будет сделан по ГОСТу, поддержка ГОСТ шифрования есть только в IE, это как бы тоже не весело. Скорее всего будет собран свой фаерфокс\хромиум типа криптопрошного CryptoFox'а с блекджеком без блеклистов и проверки на MITM, а это уже простор для дальнейших фокусов со spyware.
    • 0
      нет, ГОСТ прикручивать для мобильных вообще муторное дело. Тем более такой сертификат в стандартные хранилища не установить. Будет RSA
  • 0
    Тот же скайп использует шифрование и даже если захотеть никакие сертификаты в него не добавить, т.е. теперь он теперь тоже не будет работать?
    • +2
      Скорее всего. Причём я почти уверен, что если вы укажете на это авторам закона, то они сочтут это за преимущество.
  • +5
    *здесь должен быть пост про то, как обстоят дела в Казахстане, но в связи с последними событиями(блогеру дали 5 лет за опрос в ВК) автор лучше промолчит*
  • 0
    https пока вроде как прежде работает, а вот паблик днс (гугла и яндекса к примеру) сегодня уже всё :(
    По крайней мере через idnet
    • 0
      Что значит «всё»?
      8.8.8.8 прекрасно работает.
      • 0
        На момент написания комментария не работал, сейчас хз, вечером проверю.
        • 0
          Проверил, сейчас работает
  • +3
    с 1 января 2016
    Вот подарок так подарок!
  • 0
    Еще не раскрыт вопрос срока действия такого сертификата?
    Ведь через это время всей стране в один прекрасный день нужно будет снова обновляться, иначе у всей страны одновременно запестрят яркие «Соединение не защищено»
  • +2
    Думаю, не всё так драматично.

    Изменения в законе, на которые ссылаются в статье:

    3-1 статьи 26 изложить в следующей редакции:

    «3-1. Операторы междугородной и (или) международной телефонной связи обязаны:

    1) публиковать перечень стандартных точек присоединения (подключения);

    2) обеспечить функционирование точек обмена интернет-трафиком и системы централизованного управления сетями телекоммуникаций Республики Казахстан за счет собственных средств;

    3) обеспечить присоединение своих сетей к точке обмена интернет-трафиком и системе централизованного управления сетями телекоммуникаций Республики Казахстан в порядке, определяемом уполномоченным органом;

    4) осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.»;

    Текста, запрещающего все сертификаты кроме одобренных, я не нашёл. Или что провайдеры должны подменять сертификаты.

    Также про сертификаты там
    «32-1) удостоверяющий центр — юридическое лицо, определяемое уполномоченным органом, выдающее в электронной форме сертификаты безопасности;

    «36-1) сертификат безопасности — набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование;»;


    в статье 8 (Компетенция уполномоченного органа и его территориальных подразделений ):

    в пункте 1:

    дополнить подпунктами 6-1), 6-2), 6-3), 6-4), 6-5), 6-6), 6-7), 6-8), 6-9), 8-5), 8-6) и 8-7) следующего содержания:

    «6-1) утверждение правил присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком;

    6-2) утверждение правил выдачи сертификата безопасности;

    6-3) утверждение правил применения сертификата безопасности;

    6-4) государственный контроль за применением сертификата безопасности операторами связи;

    6-5) государственный контроль за порядком присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком;

    6-6) определение удостоверяющего центра;

    6-7) утверждение правил оказания услуг доступа к Интернету в пунктах общественного доступа к Интернету;

    6-8) утверждение методик измерений технических параметров качества услуг связи;

    6-9) утверждение правил взаимодействия государственных органов по вопросам соблюдения требований законодательства Республики Казахстан в сетях телекоммуникаций;»;

    • 0
      Спасибо! В новости на сайте, однако, было все иначе. Предполагаю, что в Казахтелекоме ошиблись, и после осознания ошибки убрали новость.
      • +2
        Думаю что не ошиблись. Проверяют внимательность народа и его реакцию на подобные нововведения.
    • 0
      При этом есть еще старое постановление: adilet.zan.kz/rus/docs/P100000246_#z5

      10. Служебная информация об абоненте накапливается в Системе на оборудовании хранения информации.
      Система обеспечивает:
      1) хранение информации об абонентах и информации об оказанных абоненту услугах:

      использованный пользователем вид связи, адреса переданного или полученного электронного сообщения, адреса электронной почты почтового сообщения, идентификатор Интернет-ресурса, дата и время начала и окончания изменений данных на Интернет-ресурсе с учетом временных поясов, а также IP-адрес, с которого происходило изменение;


      идентификатор ресурса или адрес почты из шифрованного траффика можно вытащить без подмены сертификата?

      ну и представленный Вами пункт 4 я так и не смог распарсить. По мне так это значит пропускать весь траффик через шифрованный канал, кроме внутреннего траффика.
      • 0
        Тут нужно смотреть на то, как в этом законе теперь трактуется понятие «сертификат безопасности». А то ведь могут учесть передовой европейский опыт и ограничить этим понятием только те сертификаты ключ от которых хранится у «компетентных органов». Хотя это уже скорее на американский опыт походит.
  • 0
    Кто-нибудь знает, это касается только Казтелекома или всех провайдеров?
    • 0
      Ну как ты это себе представляешь? Злой-презлой провайдер решил нагнуть пользователей во имя Бога Зла? Закон пишется для одного злого-презлого провайдера? Разумеется если такой закон все же примут, то это будет касаться всех провайдеров.
  • 0
    Думаю Alexeyslav со своим комментарием был прав. Сегодня официально на информационном ресурсе опубликовали своеобразное «опровержение» — www.inform.kz/rus/article/2846315. Ждем что будет дальше )
    • +2
      Я мало что понял, к сожалению. Вроде и по-русски написано, а смысла особого нет, особенно в цитатах.
      • 0
        Боюсь, что он сам мало что понял, пока говорил :) Но сам факт уже не может не радовать.
      • 0
        Я мало что понял, к сожалению. Вроде и по-русски написано, а смысла особого нет, особенно в цитатах.

        Чел по ходу уже 1 января отмечает не первый день
      • 0
        Думал я один такой. Раз пять подряд перечитал цитаты.
        Но в общем суть: «Подмена сертификатов для всех неказахстанских ресурсов будет, эти сертификаты „ничем“ не отличаются от тех же банковских (привел в пример https://homebank.kz), во всем мире это норма!».
        Ну-ну, успокоили…
    • +1
      Если я правильно «распарсил» речь этого чиновника, то всё плохо.

      В любом случае, никаких проблем с доступом Интернета не будет. Операторы связи будут предоставлять ключ
      Дескать, браузер будет ругаться, что мол караул, беда, MITM!!! Но вы запрашиваете «ключ» у оператора связи, внедряете его к себе и «никаких проблем с доступом интернета».

      Во всех странах приняты подобные нормы, то есть регулирование данного шифрованного протокола
      Понимать как, мы не первая страна, которая хочет прослушивать всё на свете, нам есть на кого равняться? По сути он говорит что правительство хочет регулировать TLS!

      На те компании, которые оказывают услуги на территории Казахстана, данные нормы не распространяются
      Самый непонятный момент во всей этой каше. Дескать если ресурс на территории РК, то можно использовать свой настоящий сертификат и прослушка не обязательна. Видимо имеется ввиду, что по требованию ресурс должен и без того выдать всю возможную и невозможную инфу. Дескать слежка не так необходима, вы уже в наших клещах.
      • 0
        Более того, в Казахстане есть закон, который обязывает все .kz домены хостить в Казахстане.
        Это как раз сходится с тем, что для не .kz митмать трафик.
  • +1
    MitM в Казахстане говорите.
    У вас установлен Касперский (Internet Security)?
    Зайдите на любой https сайт и посмотрите кем выдан сертификат :)

    Если, что отключается так:
    Настройки Каспера -> Дополнительно -> Параметры сети и поставить галочку «Не проверять защищенные соединения».

    image

    • +2
      Меня интересует такой интересный вопрос, а что если сертификат сайта окажется недействительным, но подобный сервис по ошибке соединение подпишет действительным? Ведь пользователь ничего и не узнает.
      • +1
        Еще интереснее, если сертификат сайта окажется левым вовсе не случайно
  • 0
    Уже первое, но еще ничего не подменяется
  • +2
    • 0
      Ни УЦ ни сертификат не гуглится, предвкушаю эпические фейлы
      • 0
        УЦ? Он же самоподписной. CN не гуглится, да.
        Вообще, сгенерировали его «на коленке», просто, вероятно, первой попавшейся командой openssl. Ни ссылки на CRL, ни OCSP, ни policy, ничего, в общем. Это не PKI на весь Казахстан, а именно что просто сертификат для совершения атак типа «человек посередине».
        • 0
          Я про "qaznet trust network" (только скриншоты инструкции смотрел). Думал НУЦ этим будет заниаться, но нет.
    • 0
      Грусть.
    • 0
      Жопа. Ждем у нас?
      • 0
        Уже дождались.
        «Неисполнение организатором распространения информации в сети Интернет обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых или обрабатываемых электронных сообщений», предлагается наказывать штрафом для граждан в размере от 3 тыс. до 5 тыс. рублей, для должностных лиц — от 30 тыс. до 50 тыс. рублей, для юрлиц — от 800 тыс. до 1 млн рублей", — говорится в новой редакции законопроекта.

        Никакой CA добавлять не надо, сам приватные ключи отдашь. Интересно, как они там с e2e шифрованием они будут бороться?
      • 0
        <offtopic>P.S. Какая статья-то красочная вышла :)</offtopic>
  • 0
    .
  • 0
    Что-то у нас сегодня через казахтелеком перестал IPsec VPN работать (VPN Алматы-Франция). В сервисдеске ДКП даже не берут трубку. А через билайн и кисел работает пока.
    • 0
      Всё же заработал VPN (7 часов всего не работал)
  • +2
    • 0
      Опять все по убирали. Странно как-то все. У Билайна новость осталась, а ссылки не живые.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.