Перейти к основному содержанию

565 просмотров

Qaznet Trust Network сертификатының кемшілігі неде?

Ak Kamal Security жоба менеджерінің пікірі

Фото: Shutterstock

Жақында Нұр-Сұлтан тұрғындарының телефондарына интернетке қосылған әрбір құрылғыға қауіпсіздік сертификатын орнату жайлы хабарлама келді. Телеком-операторлар  сертификат орнатылмаса, желіге кіруде қиындық туындайды деп ескерткен. 

Бұл талабында олар «Байланыс туралы» Заңға сілтеме жасайды. Аталмыш заңның 26-бабында: «Қалааралық және (немесе) халықаралық телефон байланысының операторлары Қазақстан Республикасының аумағында ақпаратты криптографиялық қорғау құралдары арқылы шифрланған трафикті қоспағанда, трафикті өткізуді қауіпсіздік сертификатын қолдана отырып шифрлауды қолдайтын хаттамаларды пайдаланып жүзеге асыруға міндетті» делінген. 

Осы ретте Qaznet Trust Network сертификатын қолданудың пайдаланушы үшін тікелей және жанама қандай қауіп-қатері бар екенін анықтап көрелік.
 
Ең оңайынан бастайық. Сайттарға сертификат енгізудің шифрлаудан бөлек, тағы бір маңызды мақсаты бар еді: қолданушының өзі кіргісі келген сайтқа тура өткеніне көз жеткізу. 

Өз браузеріңіздің мекен-жай тармағына көңіл аударсаңыз, сайт атауының қасында әркез «құлып»  белгісі тұрады. Егер сертификат шын және сайтпен сәйкес болса, оның түсі жасыл болады. Оны шертіп қалсаңыз, сайт қолданатын сертификатты кімнің кімге бергенін біле аласыз. Ал сертификаттың сайтпен сәйкестігін браузер өзі тексереді.
 
Qaznet Trust Network қауіпсіздік сертификатын қолданған жағдайда, белгілі бір сертификаттарды тексеру мен сенім мәселесі трафик қармаумен айналысатын жүйеге қайта сатуға беріледі. Ал қолданушы бұл үрдісті  аз да болса қадағалау мүмкіндігінен айырылады.

Бұнда бөлек, тағы бір қауіп бар. Егер Қазақстанның барлық сыртқы трафигі қармау жүйесіне мәжбүрлі түрде көшірілетін болса, онда Qaznet Trust Network сертификатын орнатпаған қолданушылар үшін барлық сайттар қауіпті болып шыға келеді. Өйткені қармау жүйесі, айталық, facebook.com тұпнұсқа сертификатын өзінікіне ауыстырады, ал қазақстандық браузер үшін бұл сертификат сенімсіз болып табылады. Сәйкесінше, бұл сайтқа өткен сайын, ауысуды бұғаттап, аталмыш беттің қауіпті екенін ескертіп тұрады. Желідегі бүкіл сайттармен осындай жағдай орын алады.

Әрине, әр сайтты ашқан сайын оған мәжбүрлі түрде өтуге болады. Бірақ қолданушының соған бойы үйреніп кететіні соншалық, шынымен де қауіпті сайттарға өтіп кету мүмкіндігі жоғары, екіншіден, оны аңдудан еш құтқара алмайды.
 
Сонымен қатар, тағы бір маңызды мәселе туындайды: бұл жүйе «дұрыс» емес деп танылған, яғни сертификаты бар-жоқ болсын, домен атына сәйкес келмейтін, сенімділердің тізімінде жоқ трафикті не істемек? Бір жағынан оны бұғаттаған дұрыс, өйткені ол алаяқтардың сайты болуы мүмкін. Бірақ бұл жағдайда көптеген порталдар мен ірі компаниялардың жеке сертификатты қолданатын ішкі жүйелері автоматты түрде бұғатталады. Өйткені олардікі сенімді сертификаттар тізіміне кірмейді. Осылайша көптеген компаниялардың Қазақстанда жүрген қызметкерлері ішкі жұмыс жүйесіне қол жеткізе алмауы мүмкін. Тіпті олар өз ноутбугімен Қазақстанда іссапарға келсе де. Алайда бұл трафик бұғатталмаса, 

Qaznet Trust Network қауіпсіздік сертификаты қамтамасыз етеді делінетін қандай қауіпсіздік туралы сөз болмақ? 
Біз бұған дейін ықтымал қауіп-қатер туралы сөз қозғадық. Ал жіберілетін деректерді жинау мен сақтау мәселесі одан да өткір тұр. Бұл реттегі ең басты сауал: оны кім, қайда, қалай сақтайды? Мәселенің бәрі хат алмасу мен жеке құпияға тіреліп тұрған жоқ. Бұлардан бөлек, тұтынушы кірген бүкіл сайттардағы логин мен құпиясөз сынды сәйкестендіру деректерін қағып алады. Ең бастысы, олармен бірге барлық төлем деректері, яғни, картаның номері, жарамдылық мерзімі, тіпті CVV коды да кетеді. Ал бұл деректер картаны өзіңдікі секілді пайдалану үшін жеткілікті.
Осы жағдайды ескере отырып, жиналған деректер сақталатын жүйелерде қатаң қауіпсіздік шаралары қолданылуы тиіс.

Біріншіден, бұл деректер түрлі хакерлік шабуылдардан жоғары деңгейді қорғалуы керек. Егер бұл жүйе іске қосылатын болса, ол бүкіл әлемнің киберқылмыскерлердің көз құртына айналатын майшелпек болмақ. Өйткені алаяқтар миллиондаған карта мен аккаунт деректеріне қол жеткізуге мүмкіндік алады. 

Екіншіден жүйенің сыртқы шабуылдардан ғана емес, ішкі қорғанысы да мықты болуы керек. Өйткені осы жүйеде жұмыс істейтін қызметкердің деректерге тіркелмей-ақ қол жеткізу мүмкіндігі, оның басын айналдыруы мүмкін. Деректерді жеке мақсатта немесе үшінші тарапқа беріп, табыс көргісі келетіндер әркез табылады.

Мемлекеттік мекемелерде ақпараттық қауіпсіздікке қатысты түрлі жанжалдың тұрақты түрде туындайтынын ескерсек, аталмыш деректерді қорғау мәселесі көңіл көншітерлік емес. Бұл ретте техникалық шаралардан бөлек, кадрларды да дұрыс таңдау керек: жүйеге кіруге рұқсаты бар қызметкерлерге үлкен жауапкершілік жүктелуі тиіс. 

Жалпы, ақпараттық қауіпсіздікті жоғары деңгейде қамтамасыз ету – тек  оның таралуының алдын алады. Бұл қауіпсіздік шараларының бәрі деректеріміздің қауіпсіздігін толық қамтамасыз етпейді, өйткені қазіргі кезде құпия деректердің өзі жария болатыны былай тұрсын, ЦРУ, ФСБ сынды өз құпиясын сақтай алатын агенттіктер де анда-санда ақпаратына ие бола алмай жатады.

1396 просмотров

Какие данные о вас на самом деле собирают приложения

Рассказывает управляющий директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии

Фото: Shutterstock

Большинство приложений собирают ту или иную информацию о пользователе. Иногда данные необходимы программам для работы – например, навигатору нужна информация о вашем местоположении, чтобы проложить удобный маршрут. Также нередко разработчики используют информацию о вас для монетизации или улучшения сервиса, предварительно заручившись вашим согласием. Например, собирают анонимную статистику, чтобы понять, в каком направлении развивать программу.

Однако некоторые разработчики могут злоупотреблять вашим доверием: собирать информацию, которая никак не связана с функциональностью их программы, и продавать ваши данные третьим лицам, причем нередко втайне от вас. По счастью, в сети есть сервисы, с помощью которых вы можете вывести такое приложение на чистую воду.

Например, сервис AppCensus дает возможность узнать, какие личные данные и куда отправляет приложение. Для этого применяется метод динамического анализа: программу устанавливают на реальное мобильное устройство, предоставляют ей все запрашиваемые разрешения и активно используют ее в течение определенного промежутка времени. При этом специалисты сервиса отслеживают, какие данные, кому именно и в каком виде – зашифрованном или незашифрованном – она отправляет.

Такой подход позволяет получить результат, отражающий реальное поведение приложения. Если вас что-то смущает в той информации, которую может выдать AppCensus, вы сможете отказаться от программы и поискать более скромный аналог, не пытающийся разнюхать о вас слишком много. Однако информация на AppCensus может оказаться неполной: программу тестируют лишь ограниченное время, а часть функций приложения может активироваться далеко не сразу. К тому же AppCensus изучает только бесплатные и общедоступные Android-приложения.

В отличие от AppCensus другой сервис – Exodus Privacy – изучает не поведение, а само приложение. В частности, сервис оценивает разрешения, которые запрашивает программа, и ищет встроенные трекеры – сторонние модули, предназначенные для сбора данных о вас и ваших действиях. Как правило, разработчики добавляют в свои приложения трекеры рекламных сетей, с помощью которых те пытаются узнать вас как можно лучше и показывать персонализированные объявления. Сейчас сервису известно более 200 видов таких трекеров.

Что касается разрешений, то Exodus Privacy оценивает их с точки зрения опасности для вас и ваших данных. Если приложение запрашивает доступы, которые могут угрожать приватности или нарушить защиту устройства, сервис это отметит. Если вам кажется, что потенциально опасные разрешения не нужны приложению для нормальной работы, лучше их ему не выдавать. В случае необходимости вы сможете расширить его права позже.

Пользоваться обоими сервисами очень просто. Достаточно ввести название программы в поле поиска – и вы получите исчерпывающую информацию о том, какими данными она интересуется и куда их отправляет. Exodus в отличие от AppCensus позволяет не только выбирать приложения из списка, но и самостоятельно указывать, какие программы взять из Google Play для изучения.

Для примера нами была исследована селфи-камера с 5 млн установок из Google Play. Exodus Privacy показывает, что она использует четыре рекламных трекера и требует доступ не только к камере, но и к местоположению устройства, которое для ее работы не обязательно, и к информации о телефоне и звонках, которая ей уж точно ни к чему. Также сервис отметил потенциально опасные разрешения: логичный для приложения доступ к камере и памяти устройства и более сомнительный доступ к местоположению и информации о телефоне.

иллюстрация Вадим.png

Иллюстрация: Вадим Квятковский

Анализ того же приложения, предложенный AppCensus, только добавляет вопросов: по данным сервиса, селфи-камера не просто получает доступ к местонахождению вашего смартфона или планшета, но и отправляет эту информацию вместе с IMEI (уникальным идентификатором вашего устройства в сотовой сети), MAC-адресом (еще одним уникальным номером, по которому устройство можно опознать в интернете и локальных сетях) и Android ID (номером, который присваивается вашей системе при первом запуске) на некий китайский IP-адрес в незашифрованном виде. То есть про благие побуждения можно забыть.

Получается, что к данным, по которым можно однозначно отслеживать перемещения вашего гаджета, получает доступ кто-то в Китае, а еще кто угодно может перехватить их при передаче. Кому эти данные продаются или передаются – тоже хороший вопрос. При этом в политике приватности разработчики заявляют, что не собирают личные данные о пользователе и не передают никому информацию о местоположении устройства.

Можно ли защититься от слежки?

Как видите, популярное приложение с ничем не примечательной политикой приватности может подвергать опасности чувствительные данные. Поэтому мы рекомендуем относиться к мобильным программам с осторожностью.

  • Не устанавливайте приложения на устройство просто так. Они могут следить за вами, даже если вы ими не пользуетесь и не открываете. А если уже установленная программа вам не нужна, удалите ее.
  • Перед установкой неизвестных вам приложений проверяйте их при помощи сервисов AppCensus и Exodus Privacy. Если результат анализа вас смутит, откажитесь от программы и поищите другую.
  • Не выдавайте приложениям все разрешения подряд. Если вам неясно, зачем программе доступ к той или иной информации, откажите ей. 
  • Контролировать выданные программам права удобно при помощи специального защитного ПО.

Читайте нас в TELEGRAM | https://t.me/kursivkz

Биржевой навигатор от Freedom Finance