Перейти к основному содержанию

7265 просмотров

Что не так с сертификатом Qaznet Trust Network

Рассказывает менеджер проектов Ak Kamal Security

Фото: Shutterstock

Сообщение о необходимости установить сертификат безопасности на каждое устройство, имеющее выход в интернет, пришло на смартфоны жителей Нур-Султана. Телеком-операторы предупреждали: если сертификат установлен не будет, то возможны проблемы с доступом к сети. И поддерживали требования ссылкой на статью 26 Закона «О связи», в которой говорится: «Операторы междугородной и (или) международной телефонной связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Респуб­лики Казахстан». 

Разберемся, какие прямые и косвенные риски для пользователя несет использование сертификата Qaznet Trust Network.
Начнем с простого. Внедрение сертификатов на сайтах кроме шифрования преследовало еще одну важную цель: возможность для пользователя удостовериться в том, что он попал именно на тот сайт, на который хотел попасть.

Обратите внимание на адресную строку вашего браузера: возле адреса сайта почти всегда имеется «замок». Если сертификат действителен и соответствует сайту, то он зеленый. Если кликнуть по нему, то можно посмотреть, кем и, самое главное, кому выдан используемый сайтом сертификат. Браузер самостоятельно проверяет соответствие сертификата сайту.

В случае с использованием сертификата безопасности Qaznet Trust Network вопрос проверки и доверия тем или иным сертификатам будет отдан на откуп системе, занимающейся перехватом трафика. А пользователь лишится возможности хоть как-то контролировать этот процесс.

Потенциально имеется еще одна опасность. В случае если весь внешний трафик Казахстана будет принудительно направлен через систему перехвата, для тех, кто не установил сертификат безопасности Qaznet Trust Network, все сайты станут потенциально опасными. Ведь система перехвата будет подменять подлинный сертификат того же facebook.com на собственный, а для браузера казахстанский сертификат не является доверенным. Соответственно, он будет блокировать переход и предупреждать пользователя об опасности данной страницы. И так будет со всеми сайтами в сети. Естественно, пользователь может перейти на сайт принудительно. И делать так каждый раз. Но, во-первых, таким образом у него есть шанс попасть на мошеннический сайт, поскольку пользователь уже привык доверять таким источникам, а во-вторых, никак не избавит его от слежки.

Кроме того, возникает важный вопрос: как эта система будет поступать с трафиком, который подписан «неправильным», то есть не входящим в список доверенных, – сертификатом или с сертификатом, не соответствующим доменному имени? С одной стороны, его было бы логично блокировать, так как сайт может быть мошенническим. Но в таком случае автоматически блокироваться будут многие порталы и внутренние системы крупных компаний, использующих собственные сертификаты. Ведь они не входят в список доверенных. Таким образом, без доступа к рабочим системам могут оказаться все сотрудники подобных компаний, находящихся в Казахстане. Даже если они просто приехали в командировку с собственным ноутбуком. Но если такой трафик не будет блокироваться, то о какой безопасности, которую якобы несет сертификат безопасности Qaznet Trust Network, может идти речь?

До сих пор мы говорили о потенциальной опасности. Куда серьезнее выглядит сбор и хранение передаваемых данных. И главные вопросы: кто, где и как будет их хранить? И дело не только в пе­реписке и личных секретах. Кроме этих данных перехватываться будут все аутентификационные данные – пароли и логины от всех сайтов, которые посещали пользователи. А самое главное – вместе с ними будут перехватываться и платежные данные, то есть информация о номере карты, сроке ее действия и даже CVV. Этих данных будет более чем достаточно для того, чтобы воспользоваться картой оплаты, как своей.

Учитывая этот момент, в системах, которые будут хранить собранные данные, должны быть применены беспрецедентные меры безопасности. Во-первых, данные должны быть максимально защищены от хакерских атак любого рода. Так как если эта система заработает, то при накоплении достаточного объема данных она станет не просто лакомым кусочком для киберпреступников всего мира, а возможно, и главной целью. Потому что потенциально мошенники смогут получить доступ к данным миллионов платежных карт, аккаунтов.

Во-вторых, система должна быть надежно защищена не только от атак извне, но и от внутреннего фрода. Ведь для сотрудников, которые будут обслуживать систему, доступ к этим данным без официальной авторизации также будет большим соблазном. Причем как с точки зрения самостоятельного использования, так и для передачи третьим лицам.
 
Учитывая регулярные инциденты информационной безопасности в государственных органах, вопрос о защите этих данных отнюдь не является праздным. В данном случае кроме технических мер нужно предпринять правильные кадровые решения: на сотрудников, имеющих доступ к системе, должна быть возложена максимальная персональная ответственность.

Впрочем, даже максимальные меры по защите информации лишь снижают риск ее утечки. Все эти меры полностью не обезопасят­ нашу информацию, так как прецеденты по утечкам даже секретных данных в наше время случаются довольно часто. В том числе утечки допускают такие агентства, как АНБ, ЦРУ и ФСБ, которые свои секреты хранить умеют.

1429 просмотров

Ресей ғалымы Аралды құтқарып, Нобель сыйлығына ие болмақ

Профессор Николай Аладин Аралды қалпына келтіру - талай мәселені шешетінін алға тартады

Фото: ашық дереккөздерден алынды

Жалпы, Аралды құтқару мәселесі тоқсаныншы жылдардан бері көтеріліп келеді. Осы уақытқа дейін, теңізді құтқаруға арналған ұзын-саны 72 жоба қолға алыныпты. Өкінішке қарай, олардың барлығы Арал суының көтерілуіне ықпал ете алмады. 

Жуырда Ресей ғылым академиясы Зоология институты тұзды су гидробиологиясы зертханасының меңгерушісі, биология ғылымының докторы, Арал теңізін құтқару жөніндегі сарапшы Николай Аладин мырза:

«Мен Аралды құтқарамын, сол үшін маған Нобель сыйлығы берілетін болады»  деп, жалпақ жұртқа жар салып, назарымызды бір аударып қойған еді.  

Атап айтарлығы, Аралды зерттеу мәселесі ресейлік оқымыстыларды ғана емес, сондай-ақ Өзбекстан ғалымдарының да қызығушылығын тудырып отыр.  2018 жылы Өзбекстан мен Қазақстан ғалымдары Аралды зерттеу үшін, бес жылға арналған бағдарлама қабылдаған болатын. 

Жалпы, Аралды қалпына келтіруге қатысты еліміздің мамандары түйіп отырған ойға жүгінсек, Ресей ғалымдары тектен-тек Аралды зерттетуге қызығып отырған жоқ. 

Химия ғылымының докторы Қорлан Абсалықованың айтуынша, қазір теңіз суының құрамында тұз ашық жатыр. Міне, осы ашық жатқан тұздың ауаға таралуы алаңдатуы тиіс. 

Білесіздер, Қазақстанда иод тапшылығы белең алып тұр. Осы тапшылықты ғылыми технологияға жүгініне отырып,  Аралдағы табиғи байлық арқылы жоюға болатын еді. Ол үшін Аралдағы йод ресурсын толық зеттеуге қол жеткізуіміз қажет. 

Ғалым біз үшін қазір Аралдың Солтүстік бөлігін зертеу маңызды екенін алға тартады.

"Біріншіден, Аралдың Солтүстік бөлігі Қазақстан аумағында жатыр. Солтүстік Аралда су көтеріліп, біртіндеп тіршілік жанданып келеді. Онда балық та бар, теңіздің суы да көтеріліп жатыр. Ал Оңтүстікте тіршілік байқалмайды", -дейді маман.  

Негізі,  Арал суының құрамында көптеген сирек металлдар кездеседі. Біз болашақта Аралды сортаңға айналдырмай, табысқа кенелгіміз келсе, осы саланы зерттейтін ғалымдарға қолдау көрсетуге тиіспіз. Қуатты технологияны ғылымға жұмылдыру қажет. Әсіресе, Арал мәселесі қуатты технологияны қажет етіп отыр.

«Біз ертерек қамданбасақ, Ресей, Өзбекстан ғалымдары Қытайдың оқымыстылары Аралды зерттеуге құлшынып-ақ отыр. Сондықтан бұл арада Қазақстанның үлесі басым екенін өзгелер білуі керек», - дейді химия ғылымының докторы. 

Ғалымдар болашақта теңіз суын зерттеуде нанотехнологияға жүгінудің маңызды екенін алға тартады. Осы орайда, Қорлан Абсалықова: «Аралды зерттеуді тоқтатпау керек», деген пікірде.

Қазір көптеген елдер теңіз суынан құрылыс орындарына қажетті базальт алып жатыр. Маманның айтуынша, бұл материал өте жоғары температураға шыдамды және экологиялық тұрғыдан қауіпсіз. Тығыздығы жағынан алмазбен деңгейлес. Алмаздың тығыздығы, шартты есептік көрсеткіш бойынша, 10 болса, базальттікі 9,8 пайызды құрайды. Осыдан-ақ оның берік материал екенін байқауға болады. 

«Соңғы кездері Жапонияда, Қытайда, Кореяда ірі бетон конструкцияларын жасайтын құрылыс компаниялары панельдердің арасына базальттан жасалған арматураларды сала бастады. Өйткені базальт арматурасы қолданылған панельдер жер сілкінісіне төзімді болады», - дейді ғалым. 

Міне, біздегі теңіз суының құрамында кеннен бөлек, осындай құнды материалдар бар. Қазір нанотехнологияның қуаты барлығына жетеді. Демек, бізге осы саладағы ғалымдарға жағдай жасау керек. 

«Аралды ғана емес, Балқашты, Зайсан көлін, Ертісті зерттеу үшін арнайы зертханалар ашылып, суларымыздың құрамында сирек кездесетін металлдар анықталуы тиіс. Өйткені алдағы уақытта су тапшылығы әлем бойынша артып, судың да сұрауы болатын заман келе жатыр», - дейді Қорлан Әбсалықова.
 

Читайте нас в TELEGRAM | https://t.me/kursivkz

drweb_ESS_kursiv.gif