Перейти к основному содержанию

kursiv_in_telegram.JPG


6739 просмотров

Что не так с сертификатом Qaznet Trust Network

Рассказывает менеджер проектов Ak Kamal Security

Фото: Shutterstock

Сообщение о необходимости установить сертификат безопасности на каждое устройство, имеющее выход в интернет, пришло на смартфоны жителей Нур-Султана. Телеком-операторы предупреждали: если сертификат установлен не будет, то возможны проблемы с доступом к сети. И поддерживали требования ссылкой на статью 26 Закона «О связи», в которой говорится: «Операторы междугородной и (или) международной телефонной связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Респуб­лики Казахстан». 

Разберемся, какие прямые и косвенные риски для пользователя несет использование сертификата Qaznet Trust Network.
Начнем с простого. Внедрение сертификатов на сайтах кроме шифрования преследовало еще одну важную цель: возможность для пользователя удостовериться в том, что он попал именно на тот сайт, на который хотел попасть.

Обратите внимание на адресную строку вашего браузера: возле адреса сайта почти всегда имеется «замок». Если сертификат действителен и соответствует сайту, то он зеленый. Если кликнуть по нему, то можно посмотреть, кем и, самое главное, кому выдан используемый сайтом сертификат. Браузер самостоятельно проверяет соответствие сертификата сайту.

В случае с использованием сертификата безопасности Qaznet Trust Network вопрос проверки и доверия тем или иным сертификатам будет отдан на откуп системе, занимающейся перехватом трафика. А пользователь лишится возможности хоть как-то контролировать этот процесс.

Потенциально имеется еще одна опасность. В случае если весь внешний трафик Казахстана будет принудительно направлен через систему перехвата, для тех, кто не установил сертификат безопасности Qaznet Trust Network, все сайты станут потенциально опасными. Ведь система перехвата будет подменять подлинный сертификат того же facebook.com на собственный, а для браузера казахстанский сертификат не является доверенным. Соответственно, он будет блокировать переход и предупреждать пользователя об опасности данной страницы. И так будет со всеми сайтами в сети. Естественно, пользователь может перейти на сайт принудительно. И делать так каждый раз. Но, во-первых, таким образом у него есть шанс попасть на мошеннический сайт, поскольку пользователь уже привык доверять таким источникам, а во-вторых, никак не избавит его от слежки.

Кроме того, возникает важный вопрос: как эта система будет поступать с трафиком, который подписан «неправильным», то есть не входящим в список доверенных, – сертификатом или с сертификатом, не соответствующим доменному имени? С одной стороны, его было бы логично блокировать, так как сайт может быть мошенническим. Но в таком случае автоматически блокироваться будут многие порталы и внутренние системы крупных компаний, использующих собственные сертификаты. Ведь они не входят в список доверенных. Таким образом, без доступа к рабочим системам могут оказаться все сотрудники подобных компаний, находящихся в Казахстане. Даже если они просто приехали в командировку с собственным ноутбуком. Но если такой трафик не будет блокироваться, то о какой безопасности, которую якобы несет сертификат безопасности Qaznet Trust Network, может идти речь?

До сих пор мы говорили о потенциальной опасности. Куда серьезнее выглядит сбор и хранение передаваемых данных. И главные вопросы: кто, где и как будет их хранить? И дело не только в пе­реписке и личных секретах. Кроме этих данных перехватываться будут все аутентификационные данные – пароли и логины от всех сайтов, которые посещали пользователи. А самое главное – вместе с ними будут перехватываться и платежные данные, то есть информация о номере карты, сроке ее действия и даже CVV. Этих данных будет более чем достаточно для того, чтобы воспользоваться картой оплаты, как своей.

Учитывая этот момент, в системах, которые будут хранить собранные данные, должны быть применены беспрецедентные меры безопасности. Во-первых, данные должны быть максимально защищены от хакерских атак любого рода. Так как если эта система заработает, то при накоплении достаточного объема данных она станет не просто лакомым кусочком для киберпреступников всего мира, а возможно, и главной целью. Потому что потенциально мошенники смогут получить доступ к данным миллионов платежных карт, аккаунтов.

Во-вторых, система должна быть надежно защищена не только от атак извне, но и от внутреннего фрода. Ведь для сотрудников, которые будут обслуживать систему, доступ к этим данным без официальной авторизации также будет большим соблазном. Причем как с точки зрения самостоятельного использования, так и для передачи третьим лицам.
 
Учитывая регулярные инциденты информационной безопасности в государственных органах, вопрос о защите этих данных отнюдь не является праздным. В данном случае кроме технических мер нужно предпринять правильные кадровые решения: на сотрудников, имеющих доступ к системе, должна быть возложена максимальная персональная ответственность.

Впрочем, даже максимальные меры по защите информации лишь снижают риск ее утечки. Все эти меры полностью не обезопасят­ нашу информацию, так как прецеденты по утечкам даже секретных данных в наше время случаются довольно часто. В том числе утечки допускают такие агентства, как АНБ, ЦРУ и ФСБ, которые свои секреты хранить умеют.


890 просмотров

В Павлодаре пытаются продать колонию

По результатам первых торгов желающих не нашлось

Фото: Shutterstock

Многочисленную недвижимость исправительного учреждения АП-162/5 выставили на электронный аукцион. Однако ажиотажа не возникло и ни одной заявки на участие не поступило. У потенциальных покупателей еще будет возможность заключить сделку на повторных торгах.

Налетай, торопись!

В начале октября стало известно, что в Павлодаре готовят к продаже необычный объект из фондов государственного имущества – недвижимость на территории бездействующей несколько лет колонии АП-162/5. Объявление опубликовал региональный департамент госимущества и приватизации и перечислил все, что достанется победителю конкурса. Список получился внушительный: здесь административное здание, 11 общежитий, штрафной изолятор, магазин, медсанчасть, баня с прачечной и даже квашечно-засолочный пункт – в целом 24 объекта. Общая площадь служебных и бытовых строений более 10 тыс. кв. метров. И все это за 122,7 млн тенге.

Обозначенная цена начальная, с нее 15 октября лишь должен был стартовать аукцион. До этого дня проводился сбор заявок и оплата участниками гарантийных взносов в размере 15% от стоимости лота. Но желающих побороться за право обладать недвижимостью не нашлось. На электронной площадке gosreestr.kz появилось соответствующее извещение об этом. В департаменте государственного имущества отметили, что результаты вполне могут быть другими, так как состоялись лишь первые торги.

«По закону если электронный аукцион на повышение не состоялся, объявляется следующий. Он будет проводиться по принципу понижения цены», – пояснила по телефону руководитель отдела департамента Ляззат Естаева.

Не кот в мешке

Впрочем, будущее бывшей колонии пока туманно. А еще не так давно в народе учреждение в Северной промышленной зоне Павлодара называли «Зона 25». До 2014 года здесь находились заключенные, больные туберкулезом. Затем исправительное учреждение расформировали, так как число отбывающих наказание граждан сократилось до полутора сотен и содержание объекта оказалось нерентабельным. Людей отправили в колонии других регионов, коллектив трудоустроили.

Учреждение АП 162/5 все еще числится на бумаге и является балансодержателем имущества. Но территория колонии пришла в запустение, и здания, многие из которых построены в 60-х, 70-х годах прошлого века, полуразрушены, о чем  свидетельствуют фотографии, выставленные на сайте gosreestr.kz. Плачевное состояние помещений зафиксировали и сотрудники компании, проводившей их предпродажную оценку.

Учреждения на выбор

Отметим, что в Павлодаре не впервые специфический объект пенитенциарной системы выставляют на торги. Три года назад регион прославился тем, что местный акимат пытался реализовать тюрьму для приговоренных к пожизненному заключению.

В стенах учреждения, которое строили в городе с 2005 года по мировым стандартам, ни разу не побывал ни один осужденный. Дело в том, что еще во время строительства разгорелся скандал из-за подозрений в хищении средств. Ведь на проект не скупились и за три первых года вложили в него 3,8 млрд тенге из республиканского бюджета. На территории в 12 гектаров успели возвести административные здания, помещения и камеры для заключенных. После чего появилось уголовное дело в отношении сотрудников областного департамента уголовно-исправительной системы и подрядчика, выполнявшего дорогостоящий заказ. Громкий процесс завершился обвинительным приговором по статье «служебный подлог». Пятерых осужденных в итоге амнистировали. Но пока шли разбирательства, от недостроенного объекта органы уголовно-исправительной системы отказались. Произошло это в 2014 году.

За ненадобностью объект передали в коммунальную собственность. Акимат Павлодара придал ему статус индустриальной зоны и стал активно призывать предпринимателей занимать просторные помещения. Звучали обещания обеспечить инженерными коммуникациями всех, кто придет осваивать территорию. При этом проект неоднократно презентовали как часть программы регионального развития. Однако ни одно предприятие в недостроенную тюрьму заманить не удалось. Впоследствии госорганы отказался от задумки, но имущество необходимо было монетизировать. Его включили в программу приватизации и выставили на торги.

Первый аукцион провели в 2016 году, заявив первоначальную цену в четыре млрд тенге. Через год объект стоил вдвое дешевле, но и это ситуацию не изменило.

«До сих пор это имущество принадлежит городу. Однако мы не собираемся сидеть сложа руки и приложим все усилия, чтобы реализовать его. Пусть приносит пользу», – сказали «Курсиву» на днях представители отдела финансов Павлодара.

В каком состоянии находятся помещения после долгого простоя и какова их реальная стоимость сегодня, в акимате не пояснили.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

Цифра дня

64-е
место
занял Казахстан по скорости фиксированного интернета в мире

Цитата дня

Популизм – это политика посредственности. Я не раздаю пустых обещаний. Я - человек конкретных дел. Я буду твердо проводить в жизнь свою программу реформ.

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank

Вы - главная инвест-идея

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций