Гаджеты, предназначенные для рынка стран СНГ и специально выпущенные в продажу за последние полтора года – смартфоны, планшеты и т.д. – могут содержать российские сертификаты CA Certificates (Certificate Authorities Certificates), что позволит российским спецслужбам получить доступ к вашим частным сообщениям.
Это особенно касается журналистов, правозащитников, политических активистов, да и всех иммигрировавших в Армению из России на фоне украинской войны.
А что случилось?
Российские государство вынуждает российские веб-сайты и пользователей перейти на использование «национальных сертификатов» (CA Certificates) для обеспечения безопасности в интернете. Можно сказать, процесс активно идет с начала 2022 года, после масштабного российского вторжения в Украину, и ожидается, что в этом году он станет ещё более массовым, и в этом случае совершать онлайн-платежи в России без «национальных сертификатов» будет невозможно. Некоторые (особенно государственные) веб-сайты могут вообще перестать открываться.
Но проблема в том, что использование российских «национальных сертификатов» может позволить третьему лицу завладеть вашей электронной почтой, получить доступ к вашим личным данным на онлайн-платформах российских государственных услуг, или вашим банковским счетам, даже получить контроль над вашим телефоном взломав ваш iCloud или Find My Device.
Что такое сертификат интернет-безопасности?
Это цифровой «документ», удостоверяющий, что соединение между пользователем и сайтом защищено шифрованием. Шифрование необходимо для того, чтобы никто не смог перехватить, прочитать или подменить передаваемую информацию. Сертификаты выдаются специальными удостоверяющими центрами. В мире существуют десятки таких центров. В России есть один, но международное ИТ-сообщество не считает его надежным, полагая, что центр находится под контролем Кремля.
Наличие сертификата интернет-безопасности подтверждает, что сайт не фейковый и качественно шифрует данные, которыми обмениваются пользователь и сервер (то есть такое шифрование не позволяет завладеть личными данными).
Если сайт не имеет сертификата безопасности, или срок его действия истек, или он был выдан ненадежным центром, браузеры Chrome, Edge, Opera, Safari могут отказаться открывать этот сайт, и на экране появится предупреждающее сообщение о том, что соединение с этим сайтом небезопасно. Другими словами, в результате контакта с таким сайтом ваши личные данные, пароли и деньги могут быть украдены.
Что происходит в России?
До недавнего времени почти все российские сайты работали с зарубежными сертификатами безопасности. Но с весны 2022 года, после масштабного российского вторжения в Украину, большинство иностранных компаний начали отзывать сертификаты безопасности, которые они выдали российским сайтам.
Российские власти решили воспользоваться ситуацией, и российское министерство цифрового развития, связи и массовых коммуникаций начало вводить в России собственные сертификаты интернет-безопасности.
Теперь, чтобы пользоваться онлайн-сервисами различных российских компаний — государственных учреждений, банков, деливери и других видов частных предприятий, пользователю необходимо либо установить на свой гаджет «национальный сертификат» интернет-безопасности, либо воспользоваться российским браузерами Яндекс, Атом, в которые по умолчанию уже встроены сертификаты министерства.
Технически процесс осуществляет компания Ростелеком (почти половина акций принадлежит правительству РФ) в соответствии с подписанным с министерством контрактом.
В чем проблема?
Международное ИТ-сообщество не считает российский центр выдачи сертификатов интернет-безопасности надежным, хотя в минцифры России утверждают, что местные сертификаты также гарантируют безопасное использование веб-сайтов.
За последние два года многие российские преимущественно государственные предприятия (например, банки Сбербанк, ВТБ и др.) стали напрямую требовать от своих клиентов использования сертификатов Ростелекома или пользоваться сайтами банков и, следовательно, онлайн-сервисами через браузеры Яндекс, Атом. В противном случае вы не сможете пользоваться онлайн-сервисами.
Эксперты по цифровой безопасности предупреждают о высоких рисках, если вы решите использовать российские государственные сертификаты или браузеры Яндекс, Атом. В этом случае информация, которой обмениваются вы и веб-сайт, может быть доступна российским госорганам.
Назад в Армению
Ни для кого не секрет, что большинство продаваемых в Армении гаджетов (особенно на базе Android), предназначенных для рынка СНГ, появляются в продаже, например, с браузерами Яндекс. Кроме того, компании-производители гаджетов, стремясь удовлетворить технические требования и требования безопасности различных рынков, производят свою продукцию для данного рынка с учетом этих требований, а российский рынок является доминирующей частью рынка СНГ.
В разговоре с представителями двух крупных армянских компаний, занимающихся импортом и продажей смартфонов и планшетов, выяснилось, что для армянских потребителей они обычно покупают гаджеты с соответствующим программным обеспечением, предназначенным для рынка СНГ, поскольку эти устройства, например, имеют русскую версию, которая для многих жителей Армении по-прежнему предпочтительнее английского.
Как защитить себя?
Конечно, лучший вариант — отказаться от российских «национальных сертификатов» или браузеров Яндекс и Атом.
Но если вы вынуждены иметь дело с услугами, предоставляемыми онлайн-платформами российских госорганов или, например, банком ВТБ (кстати, пользоваться онлайн-услугами банка ВТБ-Армения можно с помощью браузеров Chrome, Edge, Opera, Safari, Firefox), возможно, будет правильным оставить для этой цели второй смартфон, который обычно не с вами и часто выключен.
Если у вас нет второго смартфона, вы можете использовать виртуальное устройство для компьютера, создание которого подробно описано здесь и здесь.
Используйте надежный VPN, и в этом случае данные, которыми вы обмениваетесь, также шифруются VPN, и чтобы получить доступ к вашей информации, злоумышленники должны сначала «взломать» это шифрование.
Посетив раздел «Настройки» вашего гаджета, вы сможете найти и удалить встроенный российский «национальный сертификат» интернет-безопасности — Russian Trusted Root CA.
Наконец, всегда обновляйте программное обеспечение вашего гаджета.
В основе этой статьи публикация «Холода».