Iptest.kz - это что за организация?

Pablo · 25.01.2022 07:55:29

В новостях на сайте pki.gov.kz вы говорите о выпуске новой версии ncalayer. И предлагаете скачать ее с непонятного сайта iptest.kz, который принадлежит физическому лицу Konaryov Denis
Вас хакнули?

vsenko · 25.01.2022 08:11:14

@Pablo, отлично подметили.

Нюанс заключается в том, что обычно мы скачиваем NCALayer с pki.gov.kz по ссылкам вида:

https:// ncl.pki.gov.kz/images/NCALayer/NCALayerInstall_x86.exe
https:// ncl.pki.gov.kz/images/NCALayer/NCALayerInstall_x64.exe
https:// ncl.pki.gov.kz/images/NCALayer/NCALayer.dmg
https:// ncl.pki.gov.kz/images/NCALayer/ncalayer.zip

В новости же приведены ссылки с другого домена:

https:// iptest.kz/NCALayer/NCALayerInstall_x64.exe
https:// iptest.kz/NCALayer/NCALayerInstall_x86.exe
https:// iptest.kz/NCALayer/NCALayer.dmg
https:// iptest.kz/NCALayer/ncalayer.zip

Я скачал файлы из обои источников, на данный момент они идентичны.

Добавлю картинку для контекста:

Deonis · 25.01.2022 10:06:11

Здравствуйте!

Данное решение было принято совместно с целью снижения нагрузки на Интернет каналы АО " НИТ", так как сайт iptest.kz является сайтом с независимым Интернет каналом связи от АО “ТрансТелеКом”. Да сайт, принадлежит Konaryov Denis, а он т.е. я являюсь работником АО “НИТ”.

vsenko · 25.01.2022 12:53:51

Даже не смотря на пояснения @Deonis, на мой взгляд это довольно сомнительное решение.

NCALayer - это критически важное для функционирования ИОК программное обеспечение, которому пользователи доверяют и подписываемые данные и доступ к закрытым ключам (особенно в случае использования файловых хранилищ ключей) .

Разместив дистрибутивы NCALayer на персональном ресурсе, не имеющим прямого отношения к НУЦ и АО НИТ, Вы:

демонстрируете пользователям что дистрибутивы можно скачивать не с официальных интернет ресурсов, а от этого нужно наоборот отучать;
подвергаете пользователей риску получить вредоносное ПО, так как обеспечением защищенности персонального ресурса не занимаются специалисты ИБ АО НИТ и на него не распространятся корпоративные требования и нормы, таким образом у злоумышленников появился новый, вероятно более простой, способ доставки вредоносного ПО на КП пользователей.

То, что дистрибутивы NCALAyer для Windows подписаны сертификатом подписания кода не делает второй пункт менее значимым - пользователи скачают и установят NCALayer даже если Windows будет кричать о том, что это вредонос (более того скоро в сети появятся наглядные инструкции как обходить и прятать подобные предупреждения), так как им NCALayer нужен для работы и они не специалисты по ИБ.

Pablo · 25.01.2022 13:50:06

saaaam

Еще интересно, как принимаются такие решения в НИТе (речь про использование неконтролируемых, негосударственных, не аттестованных ресурсов). Есть ли на это регламент, фиксируются ли такие решения, чтобы при необходимости расследовать возможные инциденты ИБ.

pts_k · 04.02.2022 12:08:37

Владельцем указанного интернет-ресурса iptest.kz является Денис Конарев - сотрудник АО НИТ. Решение по размещению для скачивания NCALayer на данном источнике являлось вынужденной и временной мерой. Также отмечаем, что целостность NCALayer обеспечивается с использованием сертификата АО НИТ, соответственно риски подмены минимизированы.