T.Hunter: как минимум у двух госкомпаний отозвали сертификат безопасности из-за санкций
Вершина айсберга По меньшей мере две компании, связанные с одним из министерств России, столкнулись с отзывом TLS-сертификата Let's Encrypt, разработанного американской компанией Internet Security Research Group. Об этом "Газете.Ru" сообщил руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, случилось это на прошлой неделе и на данный момент проблема уже решена. "Информация об отзыве была получена от руководителей служб безопасности в нескольких компаниях из госсектора. Речь идет о предприятиях, подведомственных одному из министерств России. Отзыв сертификатов произошел до 13 марта. На данный момент обе компаний перешли с Let's Encrypt на GlobalSign", – рассказал эксперт. О том, что российские компании начали сталкиваться с такой проблемой, знает также ведущий специалист по информационной безопасности R-Vision Евгений Грязнов. По его словам, информацией об отзыве сертификата специалисты по информационной безопасности из разных компаний обмениваются в закрытых чатах. TLS-сертификаты – это криптографический протокол, защищающий данные, которыми обменивается сайт и устройство пользователя. Они разрабатываются и выдаются так называемыми удостоверяющими центрами (УЦ). Помимо сайтов, сертификатами пользуются браузеры. С их помощью, например, Google Chrome "понимает", что сайт "Газеты.Ru" подписан сертификатом УЦ, а значит он не представляет опасности и на него можно пускать пользователя. Две госкомпании, о которых рассказали в T.Hunter, – не первые, кто после 24 февраля столкнулся с отзывом сертификатов. Ранее об аналогичной проблеме сообщили Банк России и Промсвязьбанк – их сайты лишились протокола Thawte от американской компании Symantec. Кредитные организации вынуждены были перейти на решение GlobalSign. "Основание отзыва сертификата – это санкционное воздействие. Иных причин тут нет", – заявил руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев. По словам же руководителя отдела продвижения продуктов компании "Код Безопасности" Павла Коростелева, отзыв также может произойти, если компания-разработчик – УЦ – примет решение больше не работать в России. Эксперт считает, что потенциально с проблемой могут столкнуться все компании из санкционного списка. "Список компаний, которые потенциально могли столкнуться с отзывом Let's Encrypt и могут столкнуться с ним в будущем, куда больше. Проблема еще в том, что между отзывом сертификата и фиксацией отзыва ИБ-службами в компаниях проходит время. В рамках этого промежутка времени данные передаются в открытом виде", – добавил Бедеров. Приоткрытый код Наибольшей угрозой, которая возникает вследствие отзыва TLS-сертификата, является утечка данных, считают эксперты. "Без сертификата между сайтом и пользователем данные передаются в незашифрованном виде. Значит их можно перехватить, вклинившись в этот канал. Далее незашифрованный трафик при помощи специального ПО вроде Wireshark можно разложить на сообщения, логины, пароли и другие категории данных. Этими данными могут хоть чертежи секретного оружия", – сказал Бедеров. Евгений Грязнов из R-Vision отметил, что незащищенные данные могут быть перехвачены даже держателем открытой точки доступа Wi-Fi, к которой подключился пользователь. "Если сайт информационный, "сайт-визитка", в этой ситуации нет большой беды. Но таковых сейчас почти нет – современные сайты почти всегда обмениваются какими-то данными, хотя бы техническими. Но и они тоже должны быть конфиденциальны. Даже местоположение гаджета пользователя, с которого он заходит на сайт, нельзя передавать в открытом виде. А уж если на сайте передаются какие-то более серьезные данные (например, почта и пароль от почты) – это критично", – рассказал Алексей Парфентьев из "СерчИнформ". Впрочем, эксперты полагают, что до описанного выше сценария может и не дойти. Дело в том, что современные браузеры предупреждают пользователей о том, что они пытаются подключиться к сайту с незащищенным подключением. К тому же поисковые системы вроде "Google" и "Яндекс" снижают позиции сайтов без сертификатов в выдаче. Спорное решение Вскоре после отзыва Thawte у Центробанка и Промсвязьбанка проблемой зависимости российских сайтов от иностранных средств защиты озаботилось и государство. На прошлой неделе Минцифры начало принимать через портал "Госуслуги" заявки от юрлиц на получение российских TLS-сертификатов, разработанных Национальным удостоверяющим центром. Число выданных сертификатов на данный момент не раскрывается. С точки зрения безопасности, по мнению экспертов, решение Минцифры ситуацию определенно улучшит. Однако с точки зрения удобства некоторые проблемы проблемы решены не будут – сайты с сертификатами от Минцифры не будут открываться в иностранных браузерах вроде Google Chrome и Safari по умолчанию. "В настоящее время получить отечественный сертификат можно на сайте "Госуслуг". Правда, существует ряд ограничений. Сертификат может получить только юридическое лицо, и он будет работать с "Яндекс.Браузером" и браузером "Атом". Чтобы соединения были доверенные и защищенные при работе с другими браузерами, пользователю потребуется вручную установить сертификат отечественного УЦ", – сказал исследователь лаборатории информационной и сетевой безопасности компании "Криптонит" Борис Степанов.