Государство принуждает российские сайты и пользователей переходить на национальные сертификаты безопасности в интернете. Это началось после российского вторжения в Украину, но в 2024 году может стать повсеместным. Скоро в рунете без национальных сертификатов безопасности невозможно будет сделать онлайн-оплату, а многие сайты и вовсе перестанут открываться. Однако использование российских сертификатов может привести к утечке доступа к почте, Госуслугам, личным кабинетам в банках и даже к потере доступа к телефону. «Холод» разобрался, как россиянам безопасно пользоваться интернетом.
Upd от 16.01.2024: добавлены ответы на вопросы «Чем опасны браузеры «Яндекс» и «Атом», установленные на телефоне или компьютере, если через них заходить только на российские сервисы» и «Как удалить сертификаты Минцифры, если они уже установлены».
Upd-2 от 17.01.2024: дополнены комментарии редакции по поводу описанного кейса с кибератакой на iPhone, еще раз подробно описаны риски, связанные с использованием российских браузеров «Яндекс» и «Атом», дана уточняющая информация про необходимость второго смартфона, а также рассказано, можно ли избежать рисков потери данных через сертификаты безопасности Минцифры, используя на рабочем смартфоне VPN.
О чем вообще речь?
Сертификат безопасности — это цифровой документ, подтверждающий, что соединение между пользователем и веб-сайтом защищено шифрованием. Шифрование необходимо для того, чтобы никто не мог перехватить, прочитать или подменить передаваемую информацию. Выдают сертификаты специальные удостоверяющие центры. Надежных удостоверяющих центров в мире несколько десятков, в России таких нет совсем (точнее, удостоверяющий центр есть, но международное IT-сообщество не признает его надежным).
Сертификат безопасности — это что-то вроде «цифрового паспорта», в котором содержится информация о домене веб-сайта, удостоверяющем центре, который выпустил сертификат, о том, кому он выдан, сроке действия сертификата, а также там содержится открытый ключ, используемый для шифрования данных.
Международные удостоверяющие центры (образно, аналог российской ФМС) выдают такие «цифровые паспорта» только тем сайтам, которые прошли проверку и соответствуют критериям безопасности. Наличие такого «паспорта» подтверждает, что веб-сайт подлинный и качественно шифрует данные, которые передаются между пользователем и сервером (то есть его шифрование не позволяет перехватить личную информацию пользователя или, например, его банковские данные).
Если у сайта нет сертификата безопасности, сертификат просрочен или выдан ненадежным удостоверяющим центром, то современные интернет-браузеры (например, Opera, Safari, Chrome или Edge) откажутся открывать этот сайт. В таком случае на экране отобразится заглушка-предупреждение о том, что соединение опасно. Заглушку можно обойти, но соединение останется небезопасным: переданные и полученные данные (адреса страниц, пароли, суммы и другая персональная информация) могут быть легко перехвачены злоумышленниками. Злоумышленником может быть в том числе и сам ненадежный удостоверяющий центр.
До недавнего времени почти все российские сайты работали на зарубежных сертификатах безопасности. Но после вторжения России в Украину весной 2022 года большинство зарубежных компаний стали отзывать свои сертификаты безопасности у российских компаний и организаций, попавших под санкции. Это пришлось на руку Министерству цифрового развития, связи и массовых коммуникаций (Минцифры): они стали навязывать свои сертификаты внутри России. Теперь для того, чтобы воспользоваться российскими сервисами, пользователь должен либо установить на свой гаджет национальный сертификат безопасности вручную, либо пользоваться браузерами «Яндекс» или «Атом» (в них сертификаты Минцифры уже вшиты по умолчанию). Фактически администрирует сертификаты Минцифры подконтрольная государству компания «Ростелеком»: он осуществляет всю техническую работу по контракту с Минцифры.
Производители крупнейших браузеров не признают Минцифры и «Ростелеком» надежными владельцами сертификатов. Минцифры утверждает, что их продукт так же, как и другие сертификаты, шифрует информацию и гарантирует безопасный доступ ко всем ресурсам, однако эксперты по цифровой безопасности предупреждают о высоких рисках при использовании российских сертификатов.
В течение 2022 и 2023 годов рунет постепенно переходил на национальные сертификаты. Такого же перехода сайты требовали и от пользователей: например, на сайтах Сбера, Почты России, Минобороны, сайте президента России и на других российских сервисах было написано, что воспользоваться сайтами можно только после установки сертификата безопасности Минцифры или через российские браузеры «Яндекс» и «Атом» .
Банк «Тинькофф» предупреждает, что в ближайшее время его работа будет переведена на сертификаты Минцифры и войти на сайт банка без них не получится. Когда именно это произойдет, не уточняется. Похожее сообщение размещено на сайтах банка «Открытие» и ВТБ. На сайтах Газпромбанка, Россельхозбанка, Московского кредитного банка и Совкомбанка не говорится, будут ли они переходить на национальные сертификаты безопасности, но на каждом из них есть подробные инструкции о том, как пользователям их установить.
Чем опасны российские сертификаты безопасности?
Безопасность зарубежных сертификатов гарантируется тем, что ключи шифрования хранятся только у надежных удостоверяющих центров. Удостоверяющие центры проходят жесткие процедуры аудита и ведут свою деятельность максимально открыто — благодаря этому эксперты крупнейших операционных систем и браузеров доверяют и самим центрам, и выдаваемым сертификатам.
Как пишет «Роскомсвобода», зарубежные удостоверяющие центры теоретически могут выдать дублирующий сертификат безопасности третьим лицам — тогда на сети провайдера жертвы может быть установлено «прослушивающее» оборудование. Такой дублирующий сертификат позволит недоброжелателям обмануть «жертву», она не заметит подмену.
Однако со стороны огромных сообществ IT-энтузиастов и IT-гигантов на работу удостоверяющих центров направлено пристальное внимание: деятельность центров постоянно мониторят и анализируют. Случаи, когда «подслушивания» замечают, становятся публичными, компании по всему миру отказываются от работы с такими удостоверяющими центрами. Это очень конкурентный рынок, поэтому для компаний, разрабатывающих и выпускающих сертификаты, очень важна репутация. Ошибки или целенаправленно спровоцированные сливы данных для этих компаний означают уход клиентов и финансовые потери.
Тем не менее удостоверяющие центры время от времени попадаются на выдаче ложных сертификатов безопасности. Например, в 2011 году голландский удостоверяющий центр DigiNotar взломали и украли их сертификаты. Вскоре обнаружилось, что уязвимость использовалась для атак на иранских пользователей интернета. Когда это вскрылось, IT-компании стали убирать DigiNotar из списка доверенных источников, а компания вскоре обанкротилась. Похожие случаи произошли в 2013 году с французским центром ANSSI и в 2015 году с китайским CNNIC: тогда шифрованный трафик пользователей утекал третьим лицам. Производители крупных браузеров и операционных систем быстро исключили эти удостоверяющие центры из списка доверенных или ввели жесткие ограничения для их сертификатов.
Получить доступ к зашифрованной информации могут не только злоумышленники, но и государственные структуры. Именно это является главным опасением при использовании российского сертификата безопасности, разработанного Минцифры, считают эксперты по цифровой безопасности, опрошенные «Холодом».
Создавать свои удостоверяющие центры стремятся многие страны, однако безопасными на данный момент признаны всего три: испанский, турецкий и гонконгский. Некоторые национальные сертификаты безопасности наряду с российским считаются ненадежными, например, казахстанский.
Казахстан давно пытается создать национальный сертификат: пользователей принуждали устанавливать отечественный сертификат для использования зарубежных сайтов. Попытки внедрения национального сертификата были в 2016, 2019 и в 2020 годах.
Как рассказывает адвокат правозащитного проекта, который специализируется на защите цифровых свобод, попросивший об анонимности, были «удачные» попытки перехвата трафика у тех пользователей, кто установил национальный сертификат безопасности. Но большинство граждан Казахстана не стали пользоваться этим сертификатом. Большинство пользователей научились минимизировать свои риски, когда им было нужно заходить на сайты, требующие национального сертификата.
Адвокат, специализирующийся на защите цифровых свобод, также предупреждает об опасности кибератак на устройства после установки сертификатов Минцифры. В результате кибератаки злоумышленники могут получить данные о логинах и паролях, которые вводит пользователь на сайтах, «защищенных» сертификатами Минцифры. Используя эту информацию, они могут взломать почту, доступ к Apple ID и установить контроль над аппаратной частью телефона. Например, они смогут включать, выключать или блокировать определенные Wi-Fi-сети, управлять фонариком, звуком, таймером, функцией бесконтактной оплаты. Также злоумышленник может изменять профиль пользователя, устанавливать обновления и даже ставить ограничения на пользование телефоном.
Как минимум один подобный случай кибератаки зафиксирован в 2023 году опрошенными «Холодом» экспертами по цифровой безопасности: пользователь внезапно увидел на экране своего айфона надпись «Доступ ограничен на пять минут». Подобные сообщения появляются после трех неправильных попыток ввода пароля, однако пользователь таких попыток не предпринимал. Спустя пять минут на экране высветилось похожее сообщение о том, что доступ ограничен еще на 10 минут, а затем еще на 15.
Это была попытка перехватить доступ к Apple ID и iCloud: в течение часа пользователь не мог использовать свой телефон. Спустя некоторое время доступ к телефону вернулся, однако пользователь заметил изменения: например, часть приложений были разлогиненными и требовали пароля.
Связавшись со службой поддержки Apple и специалистами по кибербезопасности, пользователь выяснил, что злоумышленники, узнав e-mail, номер телефона и пароль от Apple ID, пробовали авторизоваться с пяти разных устройств. Как рассказал «Холоду» эксперт, служба безопасности Apple после анализа кибератаки сообщила, что причиной взлома стали сертификаты безопасности Минцифры. От полного перехвата Apple ID в описанном случае пользователя спасло наличие еще одного, подключенного к тому же Apple ID, устройства, куда приходили цифровые коды во время кибератаки.
Upd 17.01.2024: редакция «Холода» не смогла перепроверить кейс, описанный экспертом по цифровой безопасности.
Что делать в случае кибератаки, когда вы потеряли доступ к телефону?
iPhone:
1. Найдите второй телефон и обратитесь в службу поддержки Apple. Там помогут зафиксировать инцидент, увидеть атаки и противодействовать им.
2. Разлогиньтесь на всех устройствах, кроме того, с которого будут осуществляться манипуляции (то есть кроме того, которое находится в ваших руках. Все остальные могут иметь вредоносный код и опасность проникновения).
3. Введите в Apple ID нероссийский e-mail и удалите все российские имейлы из Apple ID.
Когда доступ к iPhone восстановлен:
– смените пароль в Apple ID после смены имейла,
– удалите национальные сертификаты безопасности со всех рабочих гаджетов («Настройки» → «Основные» → «Профили», выберите профиль и удалите).
Android:
Активация Android подразумевает наличие аккаунта в Google. Опасность может быть в случаях, когда пользователь:
– не использует специальное приложение для двухфакторной авторизации;
– установил слабый пароль (существуют базы слитых паролей, которые позволяют вычислить, например, тысячу самых популярных паролей среди пользователей в конкретной стране). Слабый пароль можно вычислить элементарным перебором за пару недель;
– использует для восстановления резервную почту на российском сервисе;
– использует для восстановления номер телефона российского оператора — в таком случае смс могут быть перехвачены на уровне оператора связи либо через украденную, изъятую или восстановленную симку.
Как себя обезопасить?
- Не устанавливайте сертификат Минцифры на рабочие гаджеты (ноутбук, телефон, планшет), не пользуйтесь с них браузерами «Яндекс» и «Атом».
Upd 17.01.2024: Текущие версии российских браузеров «Яндекс» и «Атом» безопасны для пользователей, если использовать их только для российских сервисов (например, для Сбера, Госуслуг, Тинькофф или для служб доставки). Однако эксперты по цифровой безопасности видят риск в том, что российские браузеры теоретически могут установить вредоносное программное обеспечение при обновлении приложения. Пользователь может этого не заметить (это в первую очередь касается компьютеров с системой Windows). В результате мошенники могут получить доступ к чувствительной информации. - Заведите отдельный «чистый» смартфон для использования ТОЛЬКО российских приложений и сайтов (например, для сервисов «Госуслуги», банков или служб доставки). Не скачивайте сертификат Минцифры даже на «чистый» смартфон, используйте браузеры «Яндекс» или «Атом» или же пользуйтесь приложениями типа Сбер. Большую часть времени держите этот смартфон выключенным. Это может быть старый смартфон.
Upd 17.01.2024: Если пользоваться через российские браузеры «Яндекс» или «Атом» только российскими сервисами на обычном рабочем смартфоне, это все еще не станет 100%-ной защитой от всех возможных рисков.
Во время обновления приложения «Яндекс» или «Атом» могут запросить расширенный доступ к данным пользователя, а тот не глядя, может дать разрешение. В таком случае у сотрудников Минцифры, Роскомнадзора, а, следовательно, у злоумышленников или у сотрудников правоохранительных органов, может появиться доступ к данным о локации, к контактам, галерее, файлам на устройстве, камере, микрофону и тд.
Именно для минимизации описанных выше рисков эксперты по цифровой безопасности рекомендуют для пользования российскими сервисами завести второй телефон. Для этих целей вполне может подойти старый смартфон, систему которого вы сбросите до заводских настроек, и будете заходить с него через российские браузеры ТОЛЬКО на российские сайты. Большую часть времени второй смартфон нужно держать выключенным.
Вместо второго телефона можно использовать «виртуальную машину» на компьютере: инструкция для Windows, для современных компьютеров на MacOS лучше пользоваться специальным ПО для создания «виртуальной машины», например.
Многие считают эту меру излишней. Маловероятно, что злоумышленники или сотрудники правоохранительных органов заинтересуются поиском информации обо всех россиянах. Но для людей, имеющих высокие риски (для журналистов, адвокатов, правозащитников, людей, высказывающих публичную позицию против войны или властей) — пользоваться российскими сервисами с обычного рабочего телефона — это риск, о котором важно знать. Решение о том, стоит ли в каждом конкретном случае заводить второй смартфон или нет — каждый человек может принять сам. - Постоянно обновляйте версию iOS, также не медлите с обновлением заводской прошивки устройства Android и всех установленных приложений.
Правозащитникам, журналистам и активистам с высокой степенью риска взлома со стороны государства можно предпринять дополнительные меры безопасности: установите режим работы Lockdown Mode (режим блокировки) на устройствах Apple. Оно должно самостоятельно блокировать неподписанные частные сертификаты («Настройки» → «Конфиденциальность и безопасность» → «Безопасность (режим блокировки)» → «Включить режим блокировки»). К сожалению, Google такую специальную возможность не дает, оставляя это на откуп производителям устройств с их прошивками и надеясь на компетентность пользователей.
Чем опасны браузеры «Яндекс» и «Атом», установленные на телефоне или компьютере, если через них заходить только на российские сервисы?
– В браузеры «Яндекс» и «Атом» сертификаты Минцифры установлены по умолчанию. Любое приложение (а браузер устанавливается как приложение) имеет доступ к данным об устройстве: марка, модель, разрешение экрана, дата и часовой пояс, IP-адрес = локация.
Значит данные о марке вашего гаджета, модели, разрешении экрана, дате использования браузера, часовом поясе и вашей локации в любой момент могут быть у сотрудников «Ростелекома». Те в свою очередь могут передать все эти данные сотрудникам Минцифры (а помимо этого, данные могут появиться у злоумышленников или у сотрудников российских правоохранительных органов).
– Также приложения «Яндекс» и «Атом» часто просят разрешить, а пользователи не глядя дают доступ к данным: о локации, к контактам, галерее, файлам на устройстве, камере, микрофону. Соответственно, все эти данные также могут получить злоумышленники.
Кстати, все те же риски есть и с приложениями российских банков, доставок, такси и прочими приложениями, которые обязаны следить за пользователями в силу закона Яровой.
– Кроме того есть следующая угроза: Минцифры требует устанавливать свой же корневой сертификат. Корневой сертификат — это электронный документ, который подтверждает шифрование трафика между пользователем и веб-сайтом. Разработчики крупных браузеров, например, Google (браузер Chrome), Microsoft (Edge), Mozilla (Firefox) ведут и регулярно обновляют собственные списки надежных сертификатов, которые встроены в их браузеры по умолчанию. Корневой сертификат безопасности Минцифры, который может быть установлен на гаджет не считается надежным.
Корневой сертификат может создавать свой поддельный сертификат для сайта, на который ты заходишь. То есть пользователь считает, что его соединение, например, к ящику Gmail защищено, потому что трафик шифруется через надежный зарубежный удостоверяющий центр Google Trust Services, а на самом деле трафик идет через «Ростелеком» с помощью сертификатов Минцифры, что ставит под угрозу любую информацию, которая передается от пользователя к браузеру, — она может попасть к злоумышленникам.
Как удалить сертификаты Минцифры, если они уже установлены?
– Для Chrome: перейдите в «Настройки» → «Конфиденциальность и безопасность» → «Безопасность» → «Настроить сертификаты» → «Центры сертификации» → строчка «Russian Trusted Root CA» → «Удалите».
– Для Firefox: перейдите в «Настройки» → «Приватность и защита» → «Сертификаты» → «Просмотр сертификатов» → строчка «Russian Trusted Root CA» → «Удалите».
– Для iPhone: перейдите в «Настройки» → «Основные» → «Об этом устройстве» → «Доверие сертификатам». Если помимо двух строк «Версия хранилища» и «Версия надежного ресурса», больше ничего, значит сертификатов Минцифры на устройстве не установлено. Если есть внизу еще какие-то сертификаты (здесь помимо «Russian Trusted Root CA» могут быть и иные ненадежные сертификаты), удалите «Russian Trusted Root CA» и другие, которые не нравится.
– Для Android: перейдите в «Настройки» → «Безопасность и конфиденциальность» → «Дополнительные настройки безопасности» → «Шифрование и учетные данные» → «Установка сертификатов» → строчка «Russian Trusted Root CA» → «Удалите».
Upd 17.01.2024: Важной мерой в защите чувствительной информации от кибератак через российский сертификат безопасности может быть постоянное использование надежного VPN-сервиса. В этом случае злоумышленник получит доступ только к зашифрованным с помощью VPN-сервиса данным пользователя. Чтобы применить российский сертификат безопасности для расшифровки переданных данных, взломщику придется сначала взломать шифрование VPN-сервиса.
«Холоду» нужна ваша помощь, чтобы работать дальше
Мы продолжаем работать, сопротивляясь запретам и репрессиям, чтобы сохранить независимую журналистику для России будущего. Как мы это делаем? Благодаря поддержке тысяч неравнодушных людей.
О чем мы мечтаем?
О простом и одновременно сложном — возможности работать дальше. Жизнь много раз поменяется до неузнаваемости, но мы, редакция «Холода», хотим оставаться рядом с вами, нашими читателями.
Поддержите «Холод» сегодня, чтобы мы продолжили делать то, что у нас получается лучше всего — быть независимым медиа. Спасибо!