Вершина айсберга
По меньшей мере две компании, связанные с одним из министерств России, столкнулись с отзывом TLS-сертификата Let's Encrypt, разработанного американской компанией Internet Security Research Group. Об этом «Газете.Ru» сообщил руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. По его словам, случилось это на прошлой неделе и на данный момент проблема уже решена.
«Информация об отзыве была получена от руководителей служб безопасности в нескольких компаниях из госсектора. Речь идет о предприятиях, подведомственных одному из министерств России. Отзыв сертификатов произошел до 13 марта. На данный момент обе компаний перешли с Let's Encrypt на GlobalSign», – рассказал эксперт.
О том, что российские компании начали сталкиваться с такой проблемой, знает также ведущий специалист по информационной безопасности R-Vision Евгений Грязнов. По его словам, информацией об отзыве сертификата специалисты по информационной безопасности из разных компаний обмениваются в профильных чатах.
TLS-сертификаты – это криптографический протокол, защищающий данные, которыми обменивается сайт и устройство пользователя. Они разрабатываются и выдаются так называемыми удостоверяющими центрами (УЦ). Помимо сайтов, сертификатами пользуются браузеры. С их помощью, например, Google Chrome «понимает», что сайт «Газеты.Ru» подписан сертификатом УЦ, а значит он не представляет опасности и на него можно пускать пользователя.
Две госкомпании, о которых рассказали в T.Hunter, – не первые, кто после 24 февраля столкнулся с отзывом сертификатов. Ранее об аналогичной проблеме сообщили Банк России и Промсвязьбанк – их сайты лишились протокола Thawte от американской компании Symantec. Кредитные организации вынуждены были перейти на решение GlobalSign.
«Основание отзыва сертификата – это санкционное воздействие. Иных причин тут нет», – заявил руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
По словам же руководителя отдела продвижения продуктов компании «Код Безопасности» Павла Коростелева, отзыв также может произойти, если компания-разработчик – УЦ – примет решение больше не работать в России. Эксперт считает, что потенциально с проблемой могут столкнуться все компании из санкционного списка.
«Список компаний, которые потенциально могли столкнуться с отзывом Let's Encrypt и могут столкнуться с ним в будущем, куда больше. Проблема еще в том, что между отзывом сертификата и фиксацией отзыва ИБ-службами в компаниях проходит время. В рамках этого промежутка времени данные передаются в открытом виде», – добавил Бедеров.
Приоткрытый код
Наибольшей угрозой, которая возникает вследствие отзыва TLS-сертификата, является утечка данных, считают эксперты.
«Без сертификата между сайтом и пользователем данные передаются в незашифрованном виде. Значит их можно перехватить, вклинившись в этот канал. Далее незашифрованный трафик при помощи специального ПО вроде Wireshark можно разложить на сообщения, логины, пароли и другие категории данных. Этими данными могут хоть чертежи секретного оружия», – сказал Бедеров.
Евгений Грязнов из R-Vision отметил, что незащищенные данные могут быть перехвачены даже держателем открытой точки доступа Wi-Fi, к которой подключился пользователь.
«Если сайт информационный, «сайт-визитка», в этой ситуации нет большой беды. Но таковых сейчас почти нет – современные сайты почти всегда обмениваются какими-то данными, хотя бы техническими. Но и они тоже должны быть конфиденциальны. Даже местоположение гаджета пользователя, с которого он заходит на сайт, нельзя передавать в открытом виде. А уж если на сайте передаются какие-то более серьезные данные (например, почта и пароль от почты) – это критично», – рассказал Алексей Парфентьев из «СерчИнформ».
Впрочем, эксперты полагают, что до описанного выше сценария может и не дойти. Дело в том, что современные браузеры предупреждают пользователей о том, что они пытаются подключиться к сайту с незащищенным подключением. К тому же поисковые системы вроде «Google» и «Яндекс» снижают позиции сайтов без сертификатов в выдаче.
Спорное решение
Вскоре после отзыва Thawte у Центробанка и Промсвязьбанка проблемой зависимости российских сайтов от иностранных средств защиты озаботилось и государство. На прошлой неделе Минцифры начало принимать через портал «Госуслуги» заявки от юрлиц на получение российских TLS-сертификатов, разработанных Национальным удостоверяющим центром. Число выданных сертификатов на данный момент не раскрывается.
С точки зрения безопасности, по мнению экспертов, решение Минцифры ситуацию определенно улучшит. Однако с точки зрения удобства некоторые проблемы проблемы решены не будут – сайты с сертификатами от Минцифры не будут открываться в иностранных браузерах вроде Google Chrome и Safari по умолчанию.
«В настоящее время получить отечественный сертификат можно на сайте «Госуслуг». Правда, существует ряд ограничений. Сертификат может получить только юридическое лицо, и он будет работать с «Яндекс.Браузером» и браузером «Атом». Чтобы соединения были доверенные и защищенные при работе с другими браузерами, пользователю потребуется вручную установить сертификат отечественного УЦ», – сказал исследователь лаборатории информационной и сетевой безопасности компании «Криптонит» Борис Степанов.