Однажды я уже писал, чем грозит гражданам государственная прослушка интернет-трафика. Тогда я, по наивности своей, полагал, что наши политики не настолько ещё съехали, чтобы принимать этот закон.
Но вот первая весточка грядущей катастрофы. Закон принят, лёд тронулся.
Вкратце напомню, почему я так недоволен этим законом.
1. Это - сертифицированный MitM. Что такое MitM? Это хакерская атака на коммуникационный канал. Попробую провести аналогию.
Представьте себе, что все ваши телефонные разговоры прослушиваются. Причём прослушиваются непонятно кем, и непонятно сколько их, таких прослушивателей, может быть. В том числе и разговоры с банками. Только при телефонном разговоре вы можете хотя бы сменить язык, на котором говорите, чтобы прослушивающие вас не поняли. Здесь такое не прокатит, если вы не программист.
Когда вы идёте делать ключ, копия вашего ключа остаётся у ключника, и он может в любой момент времени им воспользоваться. Когда вбиваете пин-код - тысячи доблестных "стражей порядка" видят его у себя на мониторах, вместе и со всей другой информацией о вашей карточке. Когда произносите при разговоре с сервис центром банка кодовое слово, дату рождения и всю прочую информацию - они так же получают к ней доступ. Когда нажимаете на детектор отпечатка пальцев в своём новеньком айфоне - какие-то хмыри получают ваш отпечаток. Как-то так всё это и выглядит.
В любой момент времени вас может ограбить любой из тысяч сотрудников компании, наблюдающей за трафиком. И не только вас, а сразу десятки, сотни тысяч человек. Есть электронный счёт? Забудьте о нём, просто забудьте. Пароли в таких условиях придётся менять каждый час, и то это не даст гарантии сохранности средств. А как же трёхступенчатая авторизация, спросите вы? Ну, это когда после ввода пароля на мобильный приходит код, который нужно вбить. Вы совсем забыли, что СМС сначала получает провайдер, а потом уже - вы. И здесь нет никакой системы шифрования, СМС можно прослушивать уже сейчас.
Некоторые говорят, что "такое по всему миру, и ничего, живут". Они ошибаются. "Такое" есть только в одной-единственной стране - в Китае. И там это является причиной угона миллионов карточек в год. И, разумеется, чаще всего подобные преступления остаются нераскрытыми. Всё ещё думаете, что вам "нечего скрывать"? Подумайте ещё раз. Поставьте вопрос правильно: есть ли у вас хоть одна гарантия того, что ваша личная информация не попадёт в руки злоумышленников? Есть ли у вас хотя бы один повод доверять "специалистам", работающим в телекоммуникационных компаниях или в специальной организации, которая будет учреждена для мониторинга трафика? Речь здесь не об их честности, мы будем для простоты считать, что все они - безгрешные ангелы. Речь о качестве их работы, о надёжности и безопасности продукта, который они создадут.
По факту получается интересная ситуация. Власть тебе не верит, дорогой читатель. Да-да, всё именно так. Да, я прекрасно знаю, что у тебя огромное количество причин не верить власти, но ты всё равно продолжаешь ей доверять свою жизнь. А вот она тебе не верит, и пусть ты не сделал ничего плохого ни ей, ни кому-либо другому.
А ещё подумайте о репутации нашей страны в мире, и так не очень хорошей. Прослушка распространяется не только на казахстанские сайты, а на все вообще. И если какой-нибудь французский турист неосторожно решит зайти в свой интернет-банкинг находясь в Казахстане - он отдаст пароль от своих денежек на растерзание местным телекоммуникационным компаниям. Как думаете, порекомендует ли он после этого хотя бы одному из своих друзей поехать в Казахстан?
Сейчас практически каждый турист хочет чтобы там, куда он поедет, был интернет. У нас, фактически, интернета не будет. Поскольку ни один здравомыслящий человек не согласится добровольно отдать все свои пароли.
Что делать в этих условиях рядовому гражданину? Сейчас расскажу.
Перво-наперво сходите сюда. Если ваш браузер выдаёт сообщение, что, мол, этот сайт опасен, и надо валить отсюда, то поздравляю, у вас нет государственного MitM-сертификата. Если видите зелёненькую иконочку и сайт грузится - всё плохо, вам необходимо избавиться от этой хреновины в своей системе. Если это рабочий компьютер, и этот сертификат вам необходим, например, чтобы отправлять налоговую отчётность, то просто НЕ ИСПОЛЬЗУЙТЕ НА НЁМ НИКАКИЕ СВОИ ЛИЧНЫЕ АККАУНТЫ, приватность которых вам дорога.
Кроме того, некоторые браузеры приняли запрос нашего правительства на добавление корневого сертификата. Такие браузеры нужно просто бойкотировать.
На данный момент я точно знаю, что Firefox принял требование нашего правительства.
Это очень и очень опасный прецедент. Мы вторая в мире страна, которая приняла подобный закон, и мы должны сделать всё, чтобы стать последней такой страной. Поэтому, если вам дорога собственная безопасность и безопасность ваших близких - давайте устроим бойкот браузеру Firefox. Используйте хеш-тег #NoFirefoxInKz везде, где только сможете.
Возможно, список таких браузеров будет пополняться. Если вы видите на любом ранее доступном сайте типа фейсбука или вк уведомление о том, что сайт небезопасен - знайте, что вас прослушивают. Если это произошло без каких-либо операций с вашей стороны - уведомите меня о том, какой браузер вы используете, я добавлю его в список неблагонадёжных.
НИ В КОЕМ СЛУЧАЕ не устанавливайте государственный корневой сертификат, поскольку после его установки вы даже не узнаете, слушается ваш трафик или нет. Предупреждён - значит вооружён. Вы же останетесь безоружны.
Используйте зарубежные прокси-серверы и анонимайзеры если обнаружили, что трафик прослушивается. Вы можете попросить знакомого системного администратора настроить вам персональный VPN или прокси-сервер. Вряд ли он попросит за это слишком много. А за сам VPN/прокси вы будете платить по 2-5 долларов в месяц. Думаю, это того стоит, поскольку позволит вам сохранить суммы, лежащие на ваших электронных кошельках.
НЕ ИСПОЛЬЗУЙТЕ публичные или чужие устройства для доступа к личной информации если не можете убедиться в том, что на устройстве нет государственного сертификата безопасности.
Пока это все рекомендации. И ещё раз напомню: распространяйте хеш-тег #NoFirefoxInKz так широко, как только сможете. Большинство наших сограждан совершенно ничего не понимает в кибер-безопасности, и они запросто могут стать жертвами новоявленного "Великого Казахстанского Файерволла". Именно неосведомлённость и пассивность наших сограждан стала причиной принятия этого закона. И мы должны хотя бы попытаться остановить эту машину пока она не разогналась и мы не оказались в тех же условиях, в каких сейчас находится Китай.
