Владимир Путин поручил правительству за полтора года организовать переход госорганов на софт с отечественными средствами шифрования. Источники "КоммерсантЪ" говорят, что от пользователей, взаимодействующих с госресурсами, также могут потребовать использовать браузеры, снабженные сертифицированными средствами шифрования.
Опрошенные Roem.ru эксперты в области информбезопасности высказали противоположные точки зрения относительно того, нужно ли заставлять рядовых пользователей переходить на защищенные бразузеры. В данном случае мы спрашивали о возможности при помощи браузера нанести вред инфраструктуре государственного сайта используя "бекдор" или известную уязвимость браузера. Если говорить о защите от кражи конфиденциальных данных на компьютере пользователя, то необходимо требовать, чтобы он использовал полностью независимую от потенциального злоумышленника операционную систему.
"С технической точки зрения нет разницы, в каком браузере пользователь начинает сессию работы с государственными информационными системами. При отправке корреспонденции тоже ничего не меняется. Можно ли будет послать в организацию письмо с вредоносным вложением - да, можно. И алгоритмы шифрования тут роли не играют - они защищают целостность и конфиденциальность переписки, но не обеспечивают проверку пересылаемых файлов/ссылок, за это отвечают другие системы, например, файловые или почтовые антивирусы. Т.е. в переписке между пользователем без отечественного софта с СКЗИ и организацией с отечественной СКЗИ риски заражения вредоносным ПО остаются ровно теми же самыми, что и сейчас". - сказал Сергей Ложкин, старший антивирусный эксперт "Лаборатории Касперского".
Заместитель генерального директора InfoWatch Рустэм Хайретдинов считает, что теоретически если некий злоумышленник получит доступ к браузеру пользователя через "бэкдор" то он может нанести вред инфраструктуре государственного ресурса во время работы пользователя с порталом госуслуг.
"Заражённые письма защищенные ресурсы отсеют либо антивирусом, либо в песочнице. А вот в личном кабинете может быть уязвимость, скажем, SQL-инъекция, и вы, или кто-то маскирующийся под вас может получить доступ ч чему-то, к чему не должен был получить, или провести транзакции, которые не должен иметь прав проводить. Технически атаки внутри защищённого канала проводить даже легче, поскольку часть сервисов считает канал доверенным и не фильтрует запросы после установления защищённого соединения. Но даже если какие-то фильтры есть, то либо надо им отдавать сессионные ключи, что небезопасно, либо их эффективность резко падает", - сказал он.
Единственным браузером, который в обозримом будущем может соответствовать требованием относительно сертификации протоколов шифрования является выпущенный структурами "Ростелекома" браузер "Спутник". В мае 2016 года владельцы продукта объявляли, что создали предварительную версию ПО с встроенным средством криптографической защиты информации от компании «КриптоПро», разработанным в соответствии с российскими стандартами. В "Яндексе" сказали Roem.ru, что в настоящий момент планов пройти такую сертификацию у компании нет.
По данным Минкомсвязи, в Единой системе идентификации и аутентификации (используется в частности при работе порталом госуслуг) в настоящее время зарегистрировано почти 29 млн пользователей. В конце марта 2016 года дневная аудитория Яндекс.Браузера составляла около 12 миллионов пользователей на десктопах и ноутбуках и 5 миллионов на мобильных устройствах. Данных по аудитории "Спутника" "Ростелеком" не публиковал.
Добавить 4 комментария
Это сложно назвать спором. Комментарий ЛК вполне адекватен, комментарий InfoWatch вообще нерелевантен теме. Скорей всего, его давал не тот человек, который должен был.
Во-первых SQL-инъекция это серверная уязвимость. Она никак не зависит от браузера. Кто будет слать письма с вирусами защищенным ресурсам и причем тут браузеры и шифрование тоже не понятно — письма с вирусами будут слать незащищенным пользователям, а не защищенным сервисам, и результаты опять же никак не зависят от браузера. И в целом все это имеет нулевое отношение к шифрованию.
Национальные стандарты шифрования нужны для защиты от спец. служб других государств прослушивающих трафик, и использовать их следует там, где такие угрозы есть и являются первостепенными. В условиях, когда пользователи запускают троянов, имеют один пароль на все сервисы и вводят его на фишинговых страницах, рассматривать прослушку трафика пользователя спец. службами других государств лишено смысла, устранение такой угрозы не увеличит защищенность как множества пользователей в целом так и каждого по отдельности, думать надо не об этом. Задачи шифрования здесь спасти пользователей в тривиальных случаях, типа подключений через публичный WiFi, а не защитить от АНБ. Пользователь должен иметь доступ везде, всегда и на всех платформах, это невозможно сделать без использования открытых протоколов. Для этого надо научиться правильно использовать те протоколы, что уже есть, и сформулировать рекомендации по их использованию гос. структурам хотя бы потому, что это можно сделать прямо сейчас и почти бесплатно.
> Технически атаки внутри защищённого канала проводить даже легче, поскольку часть сервисов считает канал доверенным и не фильтрует запросы после установления защищённого соединения.
WAT? Можно список ресурсов фчятик, желательно финансовых организаций, срочно нужны деньги.
Ну или этот человек просто алкоголик и у него делириум.
Интересно, неужели выжили люди, у которых какие-то решения в бакенде принимаются на основании того как выглядел канал где-то в районе лоадбалансера? Не хотелось бы с ними общаться, но хотелось бы почитать каких-нибудь блогпостов, давно не читал мрачных антиутопий, созданных разрушенным сознанием.
По-моему, самая надёжная мера безопасности браузера госресурсов — это то, чтобы через другую вкладку в том же браузере те же люди не бегали чатиться, качать торренты и смотреть приколы. А всё остальное более-менее стандартизировано.
Роем как-то неудачно сравнивает комментарий одного из ведущих технарей и BDM/говорящей головы.
Возможно, Рустэм говорил про некий госVPN в таком браузере, тогда его комментарий может иметь какой-то смысл. Но и то хрен знает, как это притянуть, ну будет госвпн для работы с госуслугами, это ведь не то же самое, что корп впн.