Перейти к основному содержанию

kursiv_in_telegram.JPG


460 просмотров

Qaznet Trust Network сертификатының кемшілігі неде?

Ak Kamal Security жоба менеджерінің пікірі

Фото: Shutterstock

Жақында Нұр-Сұлтан тұрғындарының телефондарына интернетке қосылған әрбір құрылғыға қауіпсіздік сертификатын орнату жайлы хабарлама келді. Телеком-операторлар  сертификат орнатылмаса, желіге кіруде қиындық туындайды деп ескерткен. 

Бұл талабында олар «Байланыс туралы» Заңға сілтеме жасайды. Аталмыш заңның 26-бабында: «Қалааралық және (немесе) халықаралық телефон байланысының операторлары Қазақстан Республикасының аумағында ақпаратты криптографиялық қорғау құралдары арқылы шифрланған трафикті қоспағанда, трафикті өткізуді қауіпсіздік сертификатын қолдана отырып шифрлауды қолдайтын хаттамаларды пайдаланып жүзеге асыруға міндетті» делінген. 

Осы ретте Qaznet Trust Network сертификатын қолданудың пайдаланушы үшін тікелей және жанама қандай қауіп-қатері бар екенін анықтап көрелік.
 
Ең оңайынан бастайық. Сайттарға сертификат енгізудің шифрлаудан бөлек, тағы бір маңызды мақсаты бар еді: қолданушының өзі кіргісі келген сайтқа тура өткеніне көз жеткізу. 

Өз браузеріңіздің мекен-жай тармағына көңіл аударсаңыз, сайт атауының қасында әркез «құлып»  белгісі тұрады. Егер сертификат шын және сайтпен сәйкес болса, оның түсі жасыл болады. Оны шертіп қалсаңыз, сайт қолданатын сертификатты кімнің кімге бергенін біле аласыз. Ал сертификаттың сайтпен сәйкестігін браузер өзі тексереді.
 
Qaznet Trust Network қауіпсіздік сертификатын қолданған жағдайда, белгілі бір сертификаттарды тексеру мен сенім мәселесі трафик қармаумен айналысатын жүйеге қайта сатуға беріледі. Ал қолданушы бұл үрдісті  аз да болса қадағалау мүмкіндігінен айырылады.

Бұнда бөлек, тағы бір қауіп бар. Егер Қазақстанның барлық сыртқы трафигі қармау жүйесіне мәжбүрлі түрде көшірілетін болса, онда Qaznet Trust Network сертификатын орнатпаған қолданушылар үшін барлық сайттар қауіпті болып шыға келеді. Өйткені қармау жүйесі, айталық, facebook.com тұпнұсқа сертификатын өзінікіне ауыстырады, ал қазақстандық браузер үшін бұл сертификат сенімсіз болып табылады. Сәйкесінше, бұл сайтқа өткен сайын, ауысуды бұғаттап, аталмыш беттің қауіпті екенін ескертіп тұрады. Желідегі бүкіл сайттармен осындай жағдай орын алады.

Әрине, әр сайтты ашқан сайын оған мәжбүрлі түрде өтуге болады. Бірақ қолданушының соған бойы үйреніп кететіні соншалық, шынымен де қауіпті сайттарға өтіп кету мүмкіндігі жоғары, екіншіден, оны аңдудан еш құтқара алмайды.
 
Сонымен қатар, тағы бір маңызды мәселе туындайды: бұл жүйе «дұрыс» емес деп танылған, яғни сертификаты бар-жоқ болсын, домен атына сәйкес келмейтін, сенімділердің тізімінде жоқ трафикті не істемек? Бір жағынан оны бұғаттаған дұрыс, өйткені ол алаяқтардың сайты болуы мүмкін. Бірақ бұл жағдайда көптеген порталдар мен ірі компаниялардың жеке сертификатты қолданатын ішкі жүйелері автоматты түрде бұғатталады. Өйткені олардікі сенімді сертификаттар тізіміне кірмейді. Осылайша көптеген компаниялардың Қазақстанда жүрген қызметкерлері ішкі жұмыс жүйесіне қол жеткізе алмауы мүмкін. Тіпті олар өз ноутбугімен Қазақстанда іссапарға келсе де. Алайда бұл трафик бұғатталмаса, 

Qaznet Trust Network қауіпсіздік сертификаты қамтамасыз етеді делінетін қандай қауіпсіздік туралы сөз болмақ? 
Біз бұған дейін ықтымал қауіп-қатер туралы сөз қозғадық. Ал жіберілетін деректерді жинау мен сақтау мәселесі одан да өткір тұр. Бұл реттегі ең басты сауал: оны кім, қайда, қалай сақтайды? Мәселенің бәрі хат алмасу мен жеке құпияға тіреліп тұрған жоқ. Бұлардан бөлек, тұтынушы кірген бүкіл сайттардағы логин мен құпиясөз сынды сәйкестендіру деректерін қағып алады. Ең бастысы, олармен бірге барлық төлем деректері, яғни, картаның номері, жарамдылық мерзімі, тіпті CVV коды да кетеді. Ал бұл деректер картаны өзіңдікі секілді пайдалану үшін жеткілікті.
Осы жағдайды ескере отырып, жиналған деректер сақталатын жүйелерде қатаң қауіпсіздік шаралары қолданылуы тиіс.

Біріншіден, бұл деректер түрлі хакерлік шабуылдардан жоғары деңгейді қорғалуы керек. Егер бұл жүйе іске қосылатын болса, ол бүкіл әлемнің киберқылмыскерлердің көз құртына айналатын майшелпек болмақ. Өйткені алаяқтар миллиондаған карта мен аккаунт деректеріне қол жеткізуге мүмкіндік алады. 

Екіншіден жүйенің сыртқы шабуылдардан ғана емес, ішкі қорғанысы да мықты болуы керек. Өйткені осы жүйеде жұмыс істейтін қызметкердің деректерге тіркелмей-ақ қол жеткізу мүмкіндігі, оның басын айналдыруы мүмкін. Деректерді жеке мақсатта немесе үшінші тарапқа беріп, табыс көргісі келетіндер әркез табылады.

Мемлекеттік мекемелерде ақпараттық қауіпсіздікке қатысты түрлі жанжалдың тұрақты түрде туындайтынын ескерсек, аталмыш деректерді қорғау мәселесі көңіл көншітерлік емес. Бұл ретте техникалық шаралардан бөлек, кадрларды да дұрыс таңдау керек: жүйеге кіруге рұқсаты бар қызметкерлерге үлкен жауапкершілік жүктелуі тиіс. 

Жалпы, ақпараттық қауіпсіздікті жоғары деңгейде қамтамасыз ету – тек  оның таралуының алдын алады. Бұл қауіпсіздік шараларының бәрі деректеріміздің қауіпсіздігін толық қамтамасыз етпейді, өйткені қазіргі кезде құпия деректердің өзі жария болатыны былай тұрсын, ЦРУ, ФСБ сынды өз құпиясын сақтай алатын агенттіктер де анда-санда ақпаратына ие бола алмай жатады.


317 просмотров

Казахстанцев захлестнула новая волна интернет-мошенничества

Виртуальные воры переключились на банковские счета и карточки своих жертв

Коллаж: Вадим Квятковский

Пока специалисты выявляют схемы, по которым воры обманывают казахстанцев в виртуальном мире, число подобных преступлений неуклонно растет. Теперь мошенники переключились на банковские счета и карточки своих жертв.

Такая статистика

Согласно данным Комитета по правовой статистике и специальным учетам Генеральной прокуратуры РК, с каждым годом увеличивается число фактов интернет-мошенничества.

Так, в 2018 году в Казахстане было зарегистрировано 263,1 тыс. преступлений, из них почти 29,3 тыс. случаев – из разряда мошенничества. Интересный факт: согласно данным того же источника, в целом общее количество преступлений снизилось на 7,9% по сравнению с предыдущим годом, а вот количество фактов мошенничества выросло на 6,6%.

Жертвами интернет-мошенников чаще всего становятся жители городов. Так, в 2018 году больше всего таких случаев – 7515 – зарегистрировано в Алматы, 4263 факта – в Нур-Султане, в Шымкенте – 2346 факта, в Алматинской и Карагандинской областях – 2016 и 1989 случаев соответственно.

Бесплатный сыр

Специалисты прогнозируют дальнейший рост фактов обмана граждан, выявляя новые схемы интернет-мошенничества. Если раньше жертвы обмана попадались на покупке каких-либо вещей, перечислив предоплату или сообщив личную информацию мошеннику, тем самым предоставив все необходимые данные для того, чтобы преступник мог или просто присвоить деньги, или перечислить имеющиеся средства себе на карту, то сейчас способы воровства денег усложнились.

Эксперты предполагают, что в скором времени одним из самых «популярных» видов станет схема обмана жертв, которым за небольшое вознаграждение предлагают помощь в списании долгов по банковским кредитам и микрозаймам. Подобные объявления заполонили соцсети.

Специалисты Национального банка Казахстана предупреждают: не стоит верить таким объявлениям – получив деньги, мошенники скроются.

Похожие ситуации уже произошли в Восточном Казахстане. На днях житель Семея оформил на полмиллиона три онлайн-кредита на свою сожительницу, воспользовавшись ее документами и номером банковской карты. В Курчумском районе женщина смогла взять несколько онлайн-кредитов почти на 500 тыс. тенге. Жертвами ее махинаций стали жители района. 

В городе Аягозе мошенница оформила сразу 10 онлайн-займов более чем на 600 тыс. тенге. Для этого ей было достаточно иметь на руках фото удостоверения личности и данные карты жертвы.

Не устояла перед соблазном легких денег и сотрудница одного из БВУ. 

«Как было установлено в ходе оперативно-разыскных мероприятий, 27-летняя менеджер по банковским картам, используя доступ к базе данных банковских карт клиентов, привязывала свой абонентский номер к банковским счетам, а после, используя онлайн-банкинг, похищала деньги», – рассказали в департаменте полиции ВКО.

Нанесенный ущерб составил 1,6 млн тенге.

На любой вкус

«Способов мошенничества сегодня множество. В прошлом году, например, финансовые виртуальные воры под прикрытием посреднических фирм предлагали казахстанцам оформить кредит в банке и передать этим фирмам часть полученных средств. Взамен они обещали погасить задолженность перед банком вместо заемщиков. Итог у этих историй был печальный – мошенники исчезали с полученными деньгами», – рассказали в Национальном банке Казахстана.

Быть более бдительными и не делиться личной информацией, в том числе и о банковских картах, ПИН- и СМС-кодах, настоятельно рекомендуют и в полиции. Если что-то настораживает, необходимо немедленно обратиться либо в банк, либо в департамент полиции.

«Главная проблема наших граждан в их финансовой неграмотности и доверчивости. Возникновению данных ситуаций способствует еще и уровень жизни, когда люди, набрав кредитов, пытаются сэкономить. Поймать мошенников невероятно сложно: они могут работать по поддельному IP-адресу, пользоваться «одноразовой» симкой. Зачастую интернет-сделки оформляются в виде гражданско-правовых. В этом случае трудно назвать сделку мошенничеством. И тем более это доказать», – рассказал «Курсиву» редактор агентства правовой информации и журналистских расследований «Витязь» Алексей Божков.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

Цифра дня

64-е
место
занял Казахстан по скорости фиксированного интернета в мире

Цитата дня

Популизм – это политика посредственности. Я не раздаю пустых обещаний. Я - человек конкретных дел. Я буду твердо проводить в жизнь свою программу реформ.

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank

Вы - главная инвест-идея

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций