Свежие посты   По годам   По датам
  • 22 Декабря 2015 » Fortinet Security Day 2015
    Такую масштабную конференцию как Fortinet Security Day 2015 компания Fortinet в России проводила впервые и, надо сказать, первый блин не вышел комом.

  • 21 Декабря 2015 » (инцидент) Иранские хакеры атаковали дамбу в Нью-Йорке
    Злоумышленники осуществляют целевые атаки на объекты энергетической инфраструктуры, промышленности и финансового сектора.

  • 21 Декабря 2015 » (уязвимость) Schneider Electric патчит переполнение буфера в PLC
    На прошлой неделе компания Schneider Electric, разработчик систем автоматизации управления энергетическими объектами, устранила уязвимость, чреватую взломом ряда программируемых контроллеров.

  • 21 Декабря 2015 » Первый сезон серии вебинаров ИБ АСУ ТП NON-STOP
    Совместно с коллегами из УЦСБ завершили первый сезон серии вебинаров под общим названием ИБ АСУ ТП NON-STOP, посвящённых вопросам обеспечения информационной безопасности автоматизированных систем управления технологическими процессами.

  • 18 Декабря 2015 » (уязвимость) Раскрыты множественные уязвимости в продуктах Adcon ICS
    Ошибки позволяют повысить привилегии и раскрыть важные данные.

  • 18 Декабря 2015 » ВоздухоКлюч AirKey
    Не так давно я рассуждал об особенностях использования ЭЦП в облаке (Облачная ЭЦП или сейф с картонкой). Основной моей претензией к такого рода сервисам было то, что надёжные и проверенные годами технологии (строгая двухфакторная аутентификация, асимметричная криптография) подменяются чем-то более простым - паролем, SMS-ками или чем-то подобным, что придумает использовать владелец такого сервиса для проверки подлинности пользователя, заходящего в свой личный кабинет или иным способом получающего доступ к ЭЦП, находящейся в облаке.

  • 17 Декабря 2015 » Атаки и взлом сайта ZLONOV.ru
    Как поётся в одной известной песне: “… и если есть те, кто приходят к тебе, найдутся и те, кто придут за тобой”.

  • 11 Декабря 2015 » (уязвимость) Неожиданный хак - умный гриль может быть взломан
    На конференции Kiwicon в Веллингтоне дуэт американских исследователей заронил семена тревоги в души всех любителей барбекю. Как выявило их исследование, подключаемые к Интернету «умные грили» (да, они существуют!) подвержены атакам.

  • 09 Декабря 2015 » Токены российские и не очень
    Как известно, разработка, производство и распространение на территории Российской Федерации шифровальных (криптографических) средств требует наличие соответствующей лицензии. При этом, в соответствии с Постановлением правительства №313 от 16.04.2012 для токенов и смарт-карт (которые конечно же являются шифросредствами), а также в целом средств аутентификации и ЭП сделаны исключения: 3. Настоящее Положение не распространяется на деятельность с использованием: в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись; д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах "е" - "и" настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации; Собственно, без таких послаблений многочисленные интернет-магазины так просто не смогли бы этим товаром торговать. Подробнее про Постановление №313 рассказано в моей презентации ещё от 2012 года, которую можно посмотреть по ссылке, а пока же хотел обратить внимание на другой аспект, связанный с токенами как с шифросредствами. Речь о нотификациях (ФСБ). Про них у меня аналогичной презентации нет, но общая идея достаточно проста: Нотификация является уведомлением изготовителя о технических и криптографических характеристиках товара (продукции), являющегося шифровальным (криптографическим) средством или содержащим в своем составе шифровальные (криптографические) средства, которые подпадают под действие Приложения N 1 к Положению о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств. В упомянутом Приложении №1 смарт-карты (токены) есть и поэтому для пересечения ими границ Таможенного союза соответствующие нотификации должны быть оформлены (если, конечно, токены не едут как зелёный горошек). Полный реестр нотификаций доступен на сайте Евразийской Экономической Комисси: http://www.eurasiancommission.org/ru/docs/Pages/notif.aspx Вернее, там доступен инструмент поиска по реестру. Вот, например, некоторые нотификации на ключи и смарт-карты eToken компании SafeNet, обзор которых я недавно делал. Искал по наименованию товара с условием «Включает» и текстом «eToken»: [caption id="attachment_7844" align="aligncenter" width="650"] Нотификации eToken[/caption] Есть в реестре и другие токены. Так, поиском по слову "token" можно найти: eJava Token, StorePass PKI USB Token, InterPass PKI Token, BioPass PKI Token компании FEITIAN Technologies Co., Ltd, China средства аутентификации FortiToken от FORTINET INC., USA уже упомянутые выше представители семейства eToken, SafeNet Inc., USA генераторы одноразовых паролей ActivIdentity, Activldentity Europe S.A., France Токен ID Prove 100, токен Easy OTP Token v3, токен TOKEN Model GEMALTO ID Prove 100, Жемальто C.A., Франция Pocket Token, Token V2, Token One, Keychain Token, HID Corporation Limited, United Kingdom и некоторые другие. В числе этих некоторых других (внезапно) оказались и ключи Rutoken: [caption id="attachment_7845" align="aligncenter" width="650"] Нотификация Rutoken RU0000011298[/caption] Нотификации получены на Rutoken, Rutoken WEB, Rutoken ЭЦП и Rutoken Lite и предназначены они, как мне пояснили (хотя мог бы и сам догадаться) представители компании Актив-Софт, для экспорта данных моделей за пределы Таможенного союза. Обратите внимание на изготовителя товара, указанного в нотификациях - Закрытое акционерное общество "Актив-софт", Москва (страна по какой-то причине не указана). Всё честно, натуральный отечественный токен. Других же отечественных токенов (Шипка или ESMART) в реестре я не нашёл, но зато обнаружил сразу несколько нотификаций на JaCarta, приведу наименование товаров из них (найдены поиском по наименованиям товаров, включающим "jacarta"): Электронный USB-ключ (токен) с функциями шифрования JaCarta JCyxx, JaCarta LT JCyxx, где “y” – цифровой индекс от 0 до 9, обозначающий физические параметры ключа (тип корпуса: XL, Nano, Micro; тип разъема USB – Type A, microUSB), а «хх» - двузначное число от 00 до 99, соответствующее определенной конфигурации предустановленных апплетов и не влияющее на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta LT JCxxx, XXX – цифровой индекс модели или модификации,не влияющий на криптографические характеристики товара Смарт-карта с функциями шифрования JaCarta JCxxx, где XXX – цифровой индекс модели (в том числе обозначающий наличие одной или двух из радиометок частоты 125 кГц типа HID ISOProx II, EM4102, EM4450), не влияющий на криптографические характеристики товара Карта MicroSD с функциями шифрования JaCarta MicroSD *, где * – любой набор символов в любом количестве, обозначающий модификацию, в т.ч. размер памяти типа Flash, не влияющий на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta Flash (X)GB, где (X) – размер флэш-памяти в гигабайтах, не влияющий на криптографические характеристики товара Электронный ключ с функциями шифрования JaCarta JCxxx, JaCarta Mini JCxxx, где XXX - цифровой индекс модели или модификации, не влияющий на криптографические характеристики товара [caption id="attachment_7846" align="aligncenter" width="650"] Нотификации JaCarta[/caption] Примечательно, что во всех нотификациях на JaCarta в качестве изготовителя указана совсем не российская компания: Athena Smartcard Solutions, Inc. 1-14-16 Motoyokoyama-cho Hachioji-shi, Токио, 192-0063, Япония. Какой-то не очень отечественный токен получается, хотя, кстати, беглым поиском я нигде и не обнаружил, что кто-то уверял, что это отечественный продукт. Видимо, просто мнение общественное само так сложилось, а ему никто мешать не захотел =) Наверное, мне можно парировать, что в нотификациях далеко не все модели JaCarta и, возможно, это просто раньше что-то производила Athena, а сейчас всё не так, тем более, что большая часть нотификаций выдана в 2012 году. Возможно, вот только если посмотреть технические характеристики, то можно увидеть, что JaCarta PKI, JaCarta PKI/BIO, JaCarta PKI/ГОСТ, JaCarta PKI/Flash, JaCarta PKI/ГОСТ/Flash, JaCarta ГОСТ, JaCarta ГОСТ/Flash, JaCarta LT - все используют защищённый смарт-карточный чип AT90SC25672RCT. Все, включая варианты JaCarta с ГОСТом. Догадываетесь, кто производитель данного чипа? Как подсказывает всё тот же реестр нотификаций, это: Athena SCS Limited, юридический адрес Tower Bridge House, St. Katharine’s Way, E1W 1DD, London, Великобритания, фактический адрес: 45 Beech Street, EC2Y 8AD, London, Великобритания. Контрактное производство: Inside Secure S.A., Space Antipolis 9, 2323 Chemin Saint Bernard, 06225 Vallauris Cedex, Франция [caption id="attachment_7848" align="aligncenter" width="650"] Нотификация чип AT90SC25672RCT[/caption] В данной нотификации указано контрактное производство компании Inside Secure S.A. и вообще не факт, что чипы для JaCarta ввозятся отдельно, а не в составе уже изготовленных Athena изделий, но в любом случае и у самого чипа и у упомянутых выше электронных ключей и смарт-карт JaCarta производитель указан достаточно конкретно и он не российский, как в случае того же Rutoken. В общем, нет у меня объяснения фразе "JaCarta - это собственная разработка российской компании [...], соответственно, все права на продукты, а также на товарный знак принадлежат компании" в свете того, что указано в официальных нотификациях. Хотя оно, наверное, есть. Конечно, никто и не ожидал, что наладить собственное производство аппаратной части токена в России будет просто, да и с учётом современной смарт-карточной технологии Java Card на используемую в чипе виртуальную Java-машину можно загрузить свой апплет, снабдив токен нужными функциями, так что тут грань между аппаратной и программной частью весьма условна. Просто иногда маркетинговые материалы могут невольно вводить пользователя в ненужное заблуждение, тем более, что тема импортозамещения сейчас модная. P.S. Нашёл-таки упоминание про производство: http://www.aladdin-rd.ru/catalog/jacarta/faq#q4 Цитата: "по их лицензии и технологии производим ридеры для смарт-карт и токены". А вот, кстати, если ещё не встречали, брошюра про IDProtect Key от Athena - есть и ГОСТ и Biometric match-on-card и много ещё интересного.

  • 07 Декабря 2015 » (уязвимость) Детекторы газа уязвимы к кибератакам
    Бреши в прошивке Honeywell Midas и Midas Black позволяют получить доступ к детекторам.