Специалисты «Касперского» и Касперской поспорили по поводу браузеров для госресурсов

в 14:03, , рубрики: безопасность, импортозамещение, Ростелеком, Рустэм Хайретдинов, спутник, Текучка, шифрование, яндекс.браузер, метки: , , , , , , ,

Владимир Путин поручил правительству за полтора года организовать переход госорганов на софт с отечественными средствами шифрования. Источники «КоммерсантЪ» говорят, что от пользователей, взаимодействующих с госресурсами, также могут потребовать использовать браузеры, снабженные сертифицированными средствами шифрования.

Опрошенные Roem.ru эксперты в области информбезопасности высказали противоположные точки зрения относительно того, нужно ли заставлять рядовых пользователей переходить на защищенные бразузеры. В данном случае мы спрашивали о возможности при помощи браузера нанести вред инфраструктуре государственного сайта используя «бекдор» или известную уязвимость браузера. Если говорить о защите от кражи конфиденциальных данных на компьютере пользователя, то необходимо требовать, чтобы он использовал полностью независимую от потенциального злоумышленника операционную систему.

«С технической точки зрения нет разницы, в каком браузере пользователь начинает сессию работы с государственными информационными системами. При отправке корреспонденции тоже ничего не меняется. Можно ли будет послать в организацию письмо с вредоносным вложением — да, можно. И алгоритмы шифрования тут роли не играют — они защищают целостность и конфиденциальность переписки, но не обеспечивают проверку пересылаемых файлов/ссылок, за это отвечают другие системы, например, файловые или почтовые антивирусы. Т.е. в переписке между пользователем без отечественного софта с СКЗИ и организацией с отечественной СКЗИ риски заражения вредоносным ПО остаются ровно теми же самыми, что и сейчас». — сказал Сергей Ложкин, старший антивирусный эксперт «Лаборатории Касперского».

Заместитель генерального директора InfoWatch Рустэм Хайретдинов считает, что теоретически если некий злоумышленник получит доступ к браузеру пользователя через «бэкдор» то он может нанести вред инфраструктуре государственного ресурса во время работы пользователя с порталом госуслуг.

«Заражённые письма защищенные ресурсы отсеют либо антивирусом, либо в песочнице. А вот в личном кабинете может быть уязвимость, скажем, SQL-инъекция, и вы, или кто-то маскирующийся под вас может получить доступ ч чему-то, к чему не должен был получить, или провести транзакции, которые не должен иметь прав проводить. Технически атаки внутри защищённого канала проводить даже легче, поскольку часть сервисов считает канал доверенным и не фильтрует запросы после установления защищённого соединения. Но даже если какие-то фильтры есть, то либо надо им отдавать сессионные ключи, что небезопасно, либо их эффективность резко падает», — сказал он.

Единственным браузером, который в обозримом будущем может соответствовать требованием относительно сертификации протоколов шифрования является выпущенный структурами «Ростелекома» браузер «Спутник». В мае 2016 года владельцы продукта объявляли, что создали предварительную версию ПО с встроенным средством криптографической защиты информации от компании «КриптоПро», разработанным в соответствии с российскими стандартами. В «Яндексе» сказали Roem.ru, что в настоящий момент планов пройти такую сертификацию у компании нет.

По данным Минкомсвязи, в Единой системе идентификации и аутентификации (используется в частности при работе порталом госуслуг) в настоящее время зарегистрировано почти 29 млн пользователей. В конце марта 2016 года дневная аудитория Яндекс.Браузера составляла около 12 миллионов пользователей на десктопах и ноутбуках и 5 миллионов на мобильных устройствах. Данных по аудитории «Спутника» «Ростелеком» не публиковал.

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js