Код в доступе: сайты нескольких госкомпаний лишились защиты из-за санкций

Сайты российских организаций из госсектора начали сталкиваться с отзывами американских сертификатов безопасности Let's Encrypt, обеспечивающих доступность веб-ресурсов и защиту пользовательских данных. Пострадавшие компании уже приняли меры и перешли на альтернативы. Однако эксперты не исключают, что с отзывом могли и могут столкнуться множество других российских компаний. Отсутствие сертификата потенциально чревато перехватом данных. В Минцифры предлагают российским компаниям использовать отечественные сертификаты.

Вершина айсберга

По меньшей мере две компании, связанные с одним из министерств России, столкнулись с отзывом TLS-сертификата Let's Encrypt, разработанного американской компанией Internet Security Research Group. Об этом «Газете.Ru» сообщил руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, случилось это на прошлой неделе и на данный момент проблема уже решена.

«Информация об отзыве была получена от руководителей служб безопасности в нескольких компаниях из госсектора. Речь идет о предприятиях, подведомственных одному из министерств России. Отзыв сертификатов произошел до 13 марта. На данный момент обе компаний перешли с Let's Encrypt на GlobalSign», – рассказал эксперт.

О том, что российские компании начали сталкиваться с такой проблемой, знает также ведущий специалист по информационной безопасности R-Vision Евгений Грязнов. По его словам, информацией об отзыве сертификата специалисты по информационной безопасности из разных компаний обмениваются в закрытых чатах.

TLS-сертификаты – это криптографический протокол, защищающий данные, которыми обменивается сайт и устройство пользователя. Они разрабатываются и выдаются так называемыми удостоверяющими центрами (УЦ). Помимо сайтов, сертификатами пользуются браузеры. С их помощью, например, Google Chrome «понимает», что сайт «Газеты.Ru» подписан сертификатом УЦ, а значит он не представляет опасности и на него можно пускать пользователя.

Две госкомпании, о которых рассказали в T.Hunter, – не первые, кто после 24 февраля столкнулся с отзывом сертификатов. Ранее об аналогичной проблеме сообщили Банк России и Промсвязьбанк – их сайты лишились протокола Thawte от американской компании Symantec. Кредитные организации вынуждены были перейти на решение GlobalSign.

«Основание отзыва сертификата – это санкционное воздействие. Иных причин тут нет», – заявил руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.

По словам же руководителя отдела продвижения продуктов компании «Код Безопасности» Павла Коростелева, отзыв также может произойти, если компания-разработчик – УЦ – примет решение больше не работать в России. Эксперт считает, что потенциально с проблемой могут столкнуться все компании из санкционного списка.

«Список компаний, которые потенциально могли столкнуться с отзывом Let's Encrypt и могут столкнуться с ним в будущем, куда больше. Проблема еще в том, что между отзывом сертификата и фиксацией отзыва ИБ-службами в компаниях проходит время. В рамках этого промежутка времени данные передаются в открытом виде», – добавил Бедеров.

Приоткрытый код

Наибольшей угрозой, которая возникает вследствие отзыва TLS-сертификата, является утечка данных, считают эксперты.

«Без сертификата между сайтом и пользователем данные передаются в незашифрованном виде. Значит их можно перехватить, вклинившись в этот канал. Далее незашифрованный трафик при помощи специального ПО вроде Wireshark можно разложить на сообщения, логины, пароли и другие категории данных. Этими данными могут хоть чертежи секретного оружия», – сказал Бедеров.

Евгений Грязнов из R-Vision отметил, что незащищенные данные могут быть перехвачены даже держателем открытой точки доступа Wi-Fi, к которой подключился пользователь.

«Если сайт информационный, «сайт-визитка», в этой ситуации нет большой беды. Но таковых сейчас почти нет – современные сайты почти всегда обмениваются какими-то данными, хотя бы техническими. Но и они тоже должны быть конфиденциальны. Даже местоположение гаджета пользователя, с которого он заходит на сайт, нельзя передавать в открытом виде. А уж если на сайте передаются какие-то более серьезные данные (например, почта и пароль от почты) – это критично», – рассказал Алексей Парфентьев из «СерчИнформ».

Впрочем, эксперты полагают, что до описанного выше сценария может и не дойти. Дело в том, что современные браузеры предупреждают пользователей о том, что они пытаются подключиться к сайту с незащищенным подключением. К тому же поисковые системы вроде «Google» и «Яндекс» снижают позиции сайтов без сертификатов в выдаче.

Спорное решение

Вскоре после отзыва Thawte у Центробанка и Промсвязьбанка проблемой зависимости российских сайтов от иностранных средств защиты озаботилось и государство. На прошлой неделе Минцифры начало принимать через портал «Госуслуги» заявки от юрлиц на получение российских TLS-сертификатов, разработанных Национальным удостоверяющим центром. Число выданных сертификатов на данный момент не раскрывается.

С точки зрения безопасности, по мнению экспертов, решение Минцифры ситуацию определенно улучшит. Однако с точки зрения удобства некоторые проблемы проблемы решены не будут – сайты с сертификатами от Минцифры не будут открываться в иностранных браузерах вроде Google Chrome и Safari по умолчанию.

«В настоящее время получить отечественный сертификат можно на сайте «Госуслуг». Правда, существует ряд ограничений. Сертификат может получить только юридическое лицо, и он будет работать с «Яндекс.Браузером» и браузером «Атом». Чтобы соединения были доверенные и защищенные при работе с другими браузерами, пользователю потребуется вручную установить сертификат отечественного УЦ», – сказал исследователь лаборатории информационной и сетевой безопасности компании «Криптонит» Борис Степанов.

Роман Кильдюшкин

Тематики: Web, Безопасность

Ключевые слова: информационная безопасность, Рунет