- PVSM.RU - https://www.pvsm.ru -

Специалисты «Касперского» и Касперской поспорили по поводу браузеров для госресурсов

Владимир Путин поручил правительству за полтора года организовать переход госорганов на софт с отечественными средствами шифрования. Источники «КоммерсантЪ» говорят [1], что от пользователей, взаимодействующих с госресурсами, также могут потребовать использовать браузеры, снабженные сертифицированными средствами шифрования.

Опрошенные Roem.ru эксперты в области информбезопасности высказали противоположные точки зрения относительно того, нужно ли заставлять рядовых пользователей переходить на защищенные бразузеры. В данном случае мы спрашивали о возможности при помощи браузера нанести вред инфраструктуре государственного сайта используя «бекдор» или известную уязвимость браузера. Если говорить о защите от кражи конфиденциальных данных на компьютере пользователя, то необходимо требовать, чтобы он использовал полностью независимую от потенциального злоумышленника операционную систему.

«С технической точки зрения нет разницы, в каком браузере пользователь начинает сессию работы с государственными информационными системами. При отправке корреспонденции тоже ничего не меняется. Можно ли будет послать в организацию письмо с вредоносным вложением — да, можно. И алгоритмы шифрования тут роли не играют — они защищают целостность и конфиденциальность переписки, но не обеспечивают проверку пересылаемых файлов/ссылок, за это отвечают другие системы, например, файловые или почтовые антивирусы. Т.е. в переписке между пользователем без отечественного софта с СКЗИ и организацией с отечественной СКЗИ риски заражения вредоносным ПО остаются ровно теми же самыми, что и сейчас». — сказал Сергей Ложкин, старший антивирусный эксперт «Лаборатории Касперского».

Заместитель генерального директора InfoWatch Рустэм Хайретдинов считает, что теоретически если некий злоумышленник получит доступ к браузеру пользователя через «бэкдор» то он может нанести вред инфраструктуре государственного ресурса во время работы пользователя с порталом госуслуг.

«Заражённые письма защищенные ресурсы отсеют либо антивирусом, либо в песочнице. А вот в личном кабинете может быть уязвимость, скажем, SQL-инъекция, и вы, или кто-то маскирующийся под вас может получить доступ ч чему-то, к чему не должен был получить, или провести транзакции, которые не должен иметь прав проводить. Технически атаки внутри защищённого канала проводить даже легче, поскольку часть сервисов считает канал доверенным и не фильтрует запросы после установления защищённого соединения. Но даже если какие-то фильтры есть, то либо надо им отдавать сессионные ключи, что небезопасно, либо их эффективность резко падает», — сказал он.

Единственным браузером, который в обозримом будущем может соответствовать требованием относительно сертификации протоколов шифрования является выпущенный структурами «Ростелекома» браузер «Спутник». В мае 2016 года владельцы продукта объявляли [2], что создали предварительную версию ПО с встроенным средством криптографической защиты информации от компании «КриптоПро», разработанным в соответствии с российскими стандартами. В «Яндексе» сказали Roem.ru, что в настоящий момент планов пройти такую сертификацию у компании нет.

По данным Минкомсвязи, в Единой системе идентификации и аутентификации (используется в частности при работе порталом госуслуг) в настоящее время зарегистрировано почти 29 млн пользователей. В конце марта 2016 года дневная аудитория Яндекс.Браузера составляла [3] около 12 миллионов пользователей на десктопах и ноутбуках и 5 миллионов на мобильных устройствах. Данных по аудитории «Спутника» «Ростелеком» не публиковал.

Источник [4]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/bezopasnost/158862

Ссылки в тексте:

[1] говорят: http://www.kommersant.ru/doc/3042056

[2] объявляли: http://www.cnews.ru/news/line/2016-05-27_sputnik_nachal_testirovanie_doverennogo_brauzera

[3] составляла: https://yandex.ru/company/researches/2016/ya_internet_regions_2016#jandeks.brauzer

[4] Источник: https://roem.ru/19-07-2016/229127/brauzer-rostelekoma/