Свежие посты   По годам   По датам
  • 21 Декабря 2015 » (уязвимость) Schneider Electric патчит переполнение буфера в PLC
    На прошлой неделе компания Schneider Electric, разработчик систем автоматизации управления энергетическими объектами, устранила уязвимость, чреватую взломом ряда программируемых контроллеров.

  • 21 Декабря 2015 » Первый сезон серии вебинаров ИБ АСУ ТП NON-STOP
    Совместно с коллегами из УЦСБ завершили первый сезон серии вебинаров под общим названием ИБ АСУ ТП NON-STOP, посвящённых вопросам обеспечения информационной безопасности автоматизированных систем управления технологическими процессами.

  • 18 Декабря 2015 » (уязвимость) Раскрыты множественные уязвимости в продуктах Adcon ICS
    Ошибки позволяют повысить привилегии и раскрыть важные данные.

  • 18 Декабря 2015 » ВоздухоКлюч AirKey
    Не так давно я рассуждал об особенностях использования ЭЦП в облаке (Облачная ЭЦП или сейф с картонкой). Основной моей претензией к такого рода сервисам было то, что надёжные и проверенные годами технологии (строгая двухфакторная аутентификация, асимметричная криптография) подменяются чем-то более простым - паролем, SMS-ками или чем-то подобным, что придумает использовать владелец такого сервиса для проверки подлинности пользователя, заходящего в свой личный кабинет или иным способом получающего доступ к ЭЦП, находящейся в облаке.

  • 17 Декабря 2015 » Атаки и взлом сайта ZLONOV.ru
    Как поётся в одной известной песне: “… и если есть те, кто приходят к тебе, найдутся и те, кто придут за тобой”.

  • 11 Декабря 2015 » (уязвимость) Неожиданный хак - умный гриль может быть взломан
    На конференции Kiwicon в Веллингтоне дуэт американских исследователей заронил семена тревоги в души всех любителей барбекю. Как выявило их исследование, подключаемые к Интернету «умные грили» (да, они существуют!) подвержены атакам.

  • 09 Декабря 2015 » Токены российские и не очень
    Как известно, разработка, производство и распространение на территории Российской Федерации шифровальных (криптографических) средств требует наличие соответствующей лицензии. При этом, в соответствии с Постановлением правительства №313 от 16.04.2012 для токенов и смарт-карт (которые конечно же являются шифросредствами), а также в целом средств аутентификации и ЭП сделаны исключения: 3. Настоящее Положение не распространяется на деятельность с использованием: в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись; д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах "е" - "и" настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации; Собственно, без таких послаблений многочисленные интернет-магазины так просто не смогли бы этим товаром торговать. Подробнее про Постановление №313 рассказано в моей презентации ещё от 2012 года, которую можно посмотреть по ссылке, а пока же хотел обратить внимание на другой аспект, связанный с токенами как с шифросредствами. Речь о нотификациях (ФСБ). Про них у меня аналогичной презентации нет, но общая идея достаточно проста: Нотификация является уведомлением изготовителя о технических и криптографических характеристиках товара (продукции), являющегося шифровальным (криптографическим) средством или содержащим в своем составе шифровальные (криптографические) средства, которые подпадают под действие Приложения N 1 к Положению о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств. В упомянутом Приложении №1 смарт-карты (токены) есть и поэтому для пересечения ими границ Таможенного союза соответствующие нотификации должны быть оформлены (если, конечно, токены не едут как зелёный горошек). Полный реестр нотификаций доступен на сайте Евразийской Экономической Комисси: http://www.eurasiancommission.org/ru/docs/Pages/notif.aspx Вернее, там доступен инструмент поиска по реестру. Вот, например, некоторые нотификации на ключи и смарт-карты eToken компании SafeNet, обзор которых я недавно делал. Искал по наименованию товара с условием «Включает» и текстом «eToken»: [caption id="attachment_7844" align="aligncenter" width="650"] Нотификации eToken[/caption] Есть в реестре и другие токены. Так, поиском по слову "token" можно найти: eJava Token, StorePass PKI USB Token, InterPass PKI Token, BioPass PKI Token компании FEITIAN Technologies Co., Ltd, China средства аутентификации FortiToken от FORTINET INC., USA уже упомянутые выше представители семейства eToken, SafeNet Inc., USA генераторы одноразовых паролей ActivIdentity, Activldentity Europe S.A., France Токен ID Prove 100, токен Easy OTP Token v3, токен TOKEN Model GEMALTO ID Prove 100, Жемальто C.A., Франция Pocket Token, Token V2, Token One, Keychain Token, HID Corporation Limited, United Kingdom и некоторые другие. В числе этих некоторых других (внезапно) оказались и ключи Rutoken: [caption id="attachment_7845" align="aligncenter" width="650"] Нотификация Rutoken RU0000011298[/caption] Нотификации получены на Rutoken, Rutoken WEB, Rutoken ЭЦП и Rutoken Lite и предназначены они, как мне пояснили (хотя мог бы и сам догадаться) представители компании Актив-Софт, для экспорта данных моделей за пределы Таможенного союза. Обратите внимание на изготовителя товара, указанного в нотификациях - Закрытое акционерное общество "Актив-софт", Москва (страна по какой-то причине не указана). Всё честно, натуральный отечественный токен. Других же отечественных токенов (Шипка или ESMART) в реестре я не нашёл, но зато обнаружил сразу несколько нотификаций на JaCarta, приведу наименование товаров из них (найдены поиском по наименованиям товаров, включающим "jacarta"): Электронный USB-ключ (токен) с функциями шифрования JaCarta JCyxx, JaCarta LT JCyxx, где “y” – цифровой индекс от 0 до 9, обозначающий физические параметры ключа (тип корпуса: XL, Nano, Micro; тип разъема USB – Type A, microUSB), а «хх» - двузначное число от 00 до 99, соответствующее определенной конфигурации предустановленных апплетов и не влияющее на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta LT JCxxx, XXX – цифровой индекс модели или модификации,не влияющий на криптографические характеристики товара Смарт-карта с функциями шифрования JaCarta JCxxx, где XXX – цифровой индекс модели (в том числе обозначающий наличие одной или двух из радиометок частоты 125 кГц типа HID ISOProx II, EM4102, EM4450), не влияющий на криптографические характеристики товара Карта MicroSD с функциями шифрования JaCarta MicroSD *, где * – любой набор символов в любом количестве, обозначающий модификацию, в т.ч. размер памяти типа Flash, не влияющий на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta Flash (X)GB, где (X) – размер флэш-памяти в гигабайтах, не влияющий на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta JCxxx, JaCarta Mini JCxxx, где XXX - цифровой индекс модели или модификации, не влияющий на криптографические характеристики товара [caption id="attachment_7846" align="aligncenter" width="650"] Нотификации JaCarta[/caption] Примечательно, что во всех нотификациях на JaCarta в качестве изготовителя указана совсем не российская компания: Athena Smartcard Solutions, Inc. 1-14-16 Motoyokoyama-cho Hachioji-shi, Токио, 192-0063, Япония. Какой-то не очень отечественный токен получается, хотя, кстати, беглым поиском я нигде и не обнаружил, что кто-то уверял, что это отечественный продукт. Видимо, просто мнение общественное само так сложилось, а ему никто мешать не захотел =) Наверное, мне можно парировать, что в нотификациях далеко не все модели JaCarta и, возможно, это просто раньше что-то производила Athena, а сейчас всё не так, тем более, что большая часть нотификаций выдана в 2012 году. Возможно, вот только если посмотреть технические характеристики, то можно увидеть, что JaCarta PKI, JaCarta PKI/BIO, JaCarta PKI/ГОСТ, JaCarta PKI/Flash, JaCarta PKI/ГОСТ/Flash, JaCarta ГОСТ, JaCarta ГОСТ/Flash, JaCarta LT - все используют защищённый смарт-карточный чип AT90SC25672RCT. Все, включая варианты JaCarta с ГОСТом. Догадываетесь, кто производитель данного чипа? Как подсказывает всё тот же реестр нотификаций, это: Athena SCS Limited, юридический адрес Tower Bridge House, St. Katharine’s Way, E1W 1DD, London, Великобритания, фактический адрес: 45 Beech Street, EC2Y 8AD, London, Великобритания. Контрактное производство: Inside Secure S.A., Space Antipolis 9, 2323 Chemin Saint Bernard, 06225 Vallauris Cedex, Франция [caption id="attachment_7848" align="aligncenter" width="650"] Нотификация чип AT90SC25672RCT[/caption] В данной нотификации указано контрактное производство компании Inside Secure S.A. и вообще не факт, что чипы для JaCarta ввозятся отдельно, а не в составе уже изготовленных Athena изделий, но в любом случае и у самого чипа и у упомянутых выше электронных ключей и смарт-карт JaCarta производитель указан достаточно конкретно и он не российский, как в случае того же Rutoken. В общем, нет у меня объяснения фразе "JaCarta - это собственная разработка российской компании [...], соответственно, все права на продукты, а также на товарный знак принадлежат компании" в свете того, что указано в официальных нотификациях. Хотя оно, наверное, есть. Конечно, никто и не ожидал, что наладить собственное производство аппаратной части токена в России будет просто, да и с учётом современной смарт-карточной технологии Java Card на используемую в чипе виртуальную Java-машину можно загрузить свой апплет, снабдив токен нужными функциями, так что тут грань между аппаратной и программной частью весьма условна. Просто иногда маркетинговые материалы могут невольно вводить пользователя в ненужное заблуждение, тем более, что тема импортозамещения сейчас модная. P.S. Нашёл-таки упоминание про производство: http://www.aladdin-rd.ru/catalog/jacarta/faq#q4 Цитата: "по их лицензии и технологии производим ридеры для смарт-карт и токены". А вот, кстати, если ещё не встречали, брошюра про IDProtect Key от Athena - есть и ГОСТ и Biometric match-on-card и много ещё интересного.

  • 07 Декабря 2015 » (уязвимость) Детекторы газа уязвимы к кибератакам
    Бреши в прошивке Honeywell Midas и Midas Black позволяют получить доступ к детекторам.

  • 04 Декабря 2015 » (уязвимость) Продукты Advantech до сих пор уязвимы к Shellshock и Heartbleed
    Два раза за прошлый год ИБ-исследователи зафиксировали наличие критических уязвимостей в шлюзах Modbus от Advantech, используемых для подключения устройств в системах управления производственными процессами к IP-сетям.

  • 04 Декабря 2015 » Итоги опроса про рейтинг блогов по ИБ
    В середине сентября, когда в очередной раз актуализировал список личных блогов по информационной безопасности, запустил опрос о том, нужен ли какой-то рейтинг блогов и, если нужен, на чём он должен быть основан. Статистика этого опроса открыта и доступна здесь. На момент размещения данного поста всего проголосовало 50 человек (вопросы возможного повторного голосования оставим на совести самого сервиса WebAnketa ), так что можно подвести некоторые итоги, благо при таком общем числе проголосовавших считать проценты - милое дело =) Итак, основные результаты: 86% опрошенных считают, что рейтинг блогов всё-таки нужен По поводу критерия определения позиции в рейтинге: 44% предлагают учитывать статистику посещений; 32% высказались за проведение голосования; только 8% согласны, что рейтинг должен строиться на числе подписчиков; 16% предложили другой вариант. Что же предлагают в качестве альтернативы: количество ссылок в статьях СМИ; уникальность контента; кастомный счётчик посещений; полезность публикуемой информации + частота появления записей; статистика посещений и итоги голосования одновременно; число посещений постов исключительно по теме ИБ; рейтинг просто по числу постов. Другие комментарии и пожелания (не всегда добрые =) ) можете прочитать по уже приведённой ссылке. Кстати, опрос остаётся открытым, можно тоже высказать своё мнение. Заключительным пунктом в анкете указан вопрос о принадлежности отвечающего к авторам или читателям блогов. Так вот, 42% (21 человек) из всех ответивших указали, что они как раз авторы. Пожалуй, основных выводов можно сделать два: Как таковая тема рейтинга интересна прежде всего самим блогерам. Всё же читателей (по идее, по крайней мере) существенно больше авторов, а в опросе пропорция почти равная. Самым оптимальным по итогам опроса представляется смешанный рейтинг на основе статистики и голосования (например, для участия в итоговом голосовании необходимо преодолеть некий порог по числу просмотров в месяц или что-то подобное). Правда, объективных данных по статистике без участия самих блогеров не собрать (тот же счётчик надо установить, а его результаты сделать доступными публично), поэтому если кто-то откажется, то рейтинг уже будет нерелевантным. Ну, и честное голосование, как показывает опыт некоторых таких попыток, организовать не так просто. В общем, без консолидированных усилий ИБ-блогер-сообщества можно получить только априори предвзятый взгляд конкретного составителя такого рейтинга и вопрос доверия к рейтингу будет исключительно делом личным, основанным на доверии к самому составителю. Алексей Лукацкий, например, планирует сделать свой рейтинг с шахматами и поэтессами и к его мнению точно прислушаются. Кстати, очень правильная мысль у Алексея, что интереснее оценивать контент, а не число подписчиков или посещаемость. Посты некоторых блогеров, на которых подписан, я, например, почти не читаю, заранее зная, что ничего стоящего там не будет. Так, просматриваю заголовки, чтобы в курсе быть. Критерием качества контента (помимо личного мнения) может, например, служить тИЦ Яндекса. Возможно, к списку личных блогов по ИБ помимо колонки с числом подписчиков при следующем обновлении добавлю и колонку с тИЦ. Любые другие инициативы с составлением рейтинга тоже готов поддержать.