Свежие посты   По годам   По датам
  • 21 Марта 2014 » Железобетонные пруфлинки
    Последние недели мы все с вами являемся свидетелями полномасштабной информационной войны. Вернее, кто-то является просто свидетелем, кто-то участником, а кто-то, к сожалению, и пострадавшим. Разочаровываться в людях всегда немного грустно и тем досаднее наблюдать, как далеко неглупые знакомые и приятели начинают упорно отстаивать конкретную, кажущуюся им истинно верной точку зрения, забывая любые правила приличия, отказываясь от базовых принципов ведения дискуссий и не принимая никаких аргументов, противоречащих их личным представлениям. Только вот, так ли верны эти их представления? Важный элемент любой информационной войны - это, конечно, дезинформация. Понятию «деза» не один десяток лет и методы её эффективного использования продолжают совершенствоваться. В современном сложном и насыщенном информационном пространстве отличить правду от лжи далеко не просто. Три года назад уже рассуждал на эту тему, но ситуация с тех пор, очевидно, стала только хуже. Нужно иметь очень стойкий к внешним воздействиям внутренний фильтр, чтобы противостоять дезинформации. Для примера пара роликов: Так кто же россияне? Оккупанты или освободители?… В общем, мысль вы уловили. Теперь к сути поста. Один из приведённых выше роликов попался мне на глаза и я сохранил ссылку на него, но уже буквально через пару дней по сохранённой ссылке ролика не было, пришлось искать его перезалитую версию. В своих прошлых интернет-расследованиях я уже сталкивался с ситуацией, когда информация по приведённой мной “для доказательства” ссылке кардинально менялась. Иногда просто с течением времени, а порой и специально, чтобы мои рассуждения читателям казались беспочвенными, а пруфлинки превращались в ничто Сегодня хочу рассказать о некоторых способах создания «железобетонных пруфлинков». На полноту не претендую и за ценные советы буду признателен. Самый простой способ - это, конечно, скриншот. Желательно, чтобы на нём была видны адресная строка браузера и как можно большая часть страницы, это важно. Для Chrome есть даже специальный плагин, позволяющий «снимать» не только видимую часть страницы, но и всю её целиком. Другое дело, что картинкам большого доверия нет. Нарисовать ведь можно всё, что угодно, даже в простом MS Paint. Страницу можно ещё сохранить целиком средствами самого браузера. В зависимости от конкретного браузера результат может быть разный, но, в любом случае, этими сохраняемым файлами (а некоторые браузеры к такому файлу создают ещё и папку) крайне неудобно делится. Самым же удобным способом является, на мой взгляд, использование специализированных web-архивов. Самый старый из них - это, конечно, web.archive.org. Работает с 1996 года и сохраняет копии сайтов в автоматическом режиме. Вот, например, сайт apple.com от 22 октября 1996 года или microsoft.com от 20 октября 1996. На свой собственный блог тоже иногда бывает интересно посмотреть. Как вы, скорее всего, заметили, сайты часто сохраняются без картинок, хотя для более свежих версий обычно такого не наблюдается. Сохраняет сайты бот, так что копию сайта за нужную вам дату можно и не увидеть в архиве, но есть специальный механизм «принудительного» архивирования, доступный на главной странице проекта: Следующий web-архиватор - это peeep.us. У этого сервиса нет своего бота, так что сохраняются только те страницы, которые явно кем-то задаются. При авторизации на сервисе (через Google Account) появляется возможность создавать копии, доступные только вам лично. Вот пример ссылки, созданной этим сервисом: http://www.peeep.us/0f059dfb. Для себя выбрал его основным во многом благодаря наличию удобного bookmarklet на главной странице сервиса. Завершу сервисом archive.is. Своих личных сохранений он делать не позволяет, зато лучше работает с динамическими страницами. Типа таких: http://archive.is/https://twitter.com/%23!/medvedevrussia Ни один из способов, конечно, не позволяет пока сохранить те же ролики с YouTube, чтобы потом показать, кто, что и когда выкладывал. Так что оба видео из этого поста на всякий случай я скачал с помощью savefrom.net. Перезалью на свой канал, как вариант, если авторы откажутся от их размещения. Закончить хочу бессмысленным, возможно, призывом к жертвам любой пропаганды: “Включите обратно, пожалуйста, все, читающие это, голову”. Спасибо!

  • 14 Февраля 2014 » Читаем между адресных строк или Как узнать учредителей юридического лица
    Один из читателей моего блога поинтересовался, откуда я, когда в 2012 году писал про неанонсированный ещё тогда зонтичный бренд JaCarta, узнал, что ООО «СИС» (Сертифицированные информационные системы), которой SafeNet отдал дистрибуцию eToken, является дочерней компанией ООО «Алеро-Сервис» и ЗАО «Документальные Системы»? Два года назад данный факт стал мне известен просто в ходе вдумчивого использования поисковых систем и при небольшой доле везения - страница с нужной информацией была обнаружена на сайте Globalstat, но с тех пор информация по ссылке поменялась и утверждение, на котором в том числе строились мои тогдашние рассуждения, стало не таким очевидным. Давайте посмотрим, какие есть способы узнать учредителей интересующего нас юридического лица. Самый достоверный - это, конечно, официальный запрос выписки из ЕГРЮЛ (Единый Государственный Реестр Юридических Лиц). К сожалению, способ слишком долог и неудобен: требуется визит в налоговую (или на Госуслугах уже реализовали?), а самое срочное предоставление ответа возможно только на следующий день. Неудобство имеющихся интерфейсов взаимодействия с государственными органами вполне естественным образом привело к появлению таких вот сайтов как Globalstat, торгующих базой данных юридических лиц в розницу. Вопрос достоверности предоставляемой ими информации, конечно, под большим сомнением, но мы ведь и не в суд собираемся, а просто удовлетворяем своё любопытство, ну, или занимаемся конкурентной разведкой - кому что ближе.  Многочисленные сайты-посредники найти в сети несложно, а работают они гораздо оперативнее. Некоторые даже предлагают месячные подписки за небольшие суммы, что удобно, если для вас такие запросы - каждодневная рутина. Вместе с тем, у обоих способов (налоговая или посредники) есть важный недостаток - нужно осуществлять оплату. Потратить несколько сотен рублей не жалко, но при оплате вы утрачиваете анонимность, т.е. ваш интерес можно отследить и использовать, например, при встречной конкурентной разведке. Можно, конечно, попробовать придумать схему с анонимизацией оплаты, но она точно не ускорит процесс получения информации. С другой стороны, на сайтах этих самых посредников наверняка есть нужная нам база, надо только правильно её поискать. Сразу оговорюсь, что никакой нелегальной конкурентной разведки не будет - всё строго в рамках закона. Что же касается моральной стороны вопроса, то как вариант можно оплатить всё же услуги, но истратить деньги на случайные запросы. Итак, для начала анализа была нужна какая-то зацепка и она не сразу, но нашлась. В поисках источника информации об учредителях юридических лиц наткнулся в одном из форумов на ссылку, по которой были указаны учредители некоей фирмы. Страница была с сайта ОГРН.ру, а фирма сейчас конкретного значения не имеет. Для примера пусть это будет ООО Ежик из Магнитогорска. Если вы прошли по предыдущей ссылке, то увидели, что там не только указан состав учредителей, но и даже приведены их доли. “То, что надо!” - подумалось было мне. Ведь на сайте предусмотрен поиск, которым я тут же и воспользовался. Как ни странно, на любой мой поисковый запрос выдавалась информация только с общей информацией о юридическом лице, но учредителей не было. Как же так, почему у Ежика всё на месте, а у остальных - нет? И тогда я поискал ООО Ежик (для определённости по ИНН) и тоже не увидел учредителей. Теперь всё ясно - поиск выдаёт страницу с ограниченной информацией, а полная доступна, видимо, только за деньги со всеми вытекающими рисками по деанонимизации вашего интереса. Вернее, доступна она всем желающим, да вот только её адрес сообщается лишь оплатившим. Что ж, самое время посмотреть, что там происходит в адресной строке браузера, тем более, что опыт по «Взлому Gartner через адресную строку» уже есть. Страница с ограниченной информацией (открывается при просмотре результатов поиска) находится здесь: http://www.ogrn.ru/info_egrul/search/5n49p166ns1 Страница со всеми данными (этот адрес скрыт от постороннего пользователя) здесь: http://ogrn.ru/info_egrul/company/1fa661c94a5 Вам не кажется, что у адресов есть что-то общее? Начало в каждом из них вполне "читаемо" и , в общем-то, вопросов не вызывает, но вот эти две последовательности… Нет идей, как 5n49p166ns1 превратить в 1fa661c94a5 ? Первое, что заметно - цифры в последовательностях идут строго в обратном порядке, да и буквы стоят на тех же местах, как если бы последовательность просто перевернули, вот только буквы другие: s заменено на f, n на a, p на c, а n опять на a. Ба! Да это же простой сдвиг на 13 символов! Собственно, теперь понятно как выглядит алгоритм поиска учредителей российской компании: Ищем юридическое лицо по названию, ИНН или ОГРН. Смотрим на получившийся адрес. Переворачиваем последовательность символов из адресной строки. Заменяем буквы в последовательности на соответствующие, пользуясь сдвигом. Перед последовательностью дописываем http://ogrn.ru/info_egrul/company/ Узнаём всю правду. Попробуем на примере Сертифицированных Информационных Систем. Удобнее всего искать по ИНН (7724631677), который можно узнать, например, из скана выданных лицензий. Малоинформативная страница открывается по адресу http://www.ogrn.ru/info_egrul/search/88pn29898n2 Обрабатываем последовательность: 88pn29898n2 -> 2n89892np88 -> 2a89892ac88, получаем нужный адрес http://ogrn.ru/info_egrul/company/2a89892ac88 и наслаждаемся результатом. Собственно, этот пост является очередной иллюстрацией того, что при должной внимательности можно узнать много интересного, просто изучая адресную строку браузера. Но в конце, конечно же, не могу не поделится более простым способом получения нужной информации об учредителях юридического лица с сайта ОГРН.ру. Как это ни странно, страницы с детальной информацией об учредителях не закрыты от индексирования поисковиками, и простой запрос в Google даёт искомый результат гораздо быстрее: «7724631677 site:http://ogrn.ru/info_egrul/company» Искать, кстати, можно не только по ИНН и названию, но и, скажем, по фамилии (желательно с именем и отчеством), чтобы получить представление об имеющихся у кого-то бизнесах. Такой вот нехитрый способ узнать, возможно, что-то новое об интересующей вас компании. Не забывайте только, что нет никакой гарантии достоверности получаемой информации, а владение юридическое и реальное вполне могут различаться. Да, и, пожалуйста, не злоупотребляйте беспечностью владельцев ОГРН.ру - используйте описанный способ только для анонимизации своих запросов и компенсируйте по возможности их потери от утраты вас как клиента заказом у них услуг хотя бы на небольшую сумму.

  • 20 Января 2014 » Углярка против ElcomSoft
    В середине декабря на портале госзакупок НПО «Специальная техника и связь» МВД России опубликовало открытый конкурс (заказ № 0373100088713000096) с длинным (как обычно) и странным (ну что за «Углярка»?) названием: «Создание аппаратно-программного комплекса для решения криптографических задач в рамках судебной компьютерной экспертизы», шифр «Удешевление (Углярка)». ОКР.» Согласно Техническому заданию (см. Раздел III) из конкурсной документации, госконтракт подразумевал создание к 15 ноября 2015 года аппаратно-программного комплекса (АПК) «для расширения возможностей, повышения качества и сокращения сроков производства компьютерных экспертиз и исследований, связанных с обеспечением доступа к зашифрованной компьютерной информации». Сейчас разберёмся, что скрывается за этим нагромождением слов. По описанию своих функциональных возможностей заказываемый НПО «Специальная техника и связь» комплекс очень похож на продукты компании ElcomSoft, предназначенные для восстановления паролей к зашифрованным файлам и системным ресурсам. Прилагаемый к техзаданию (ТЗ) требуемый список поддерживаемых форматов файлов и типов приложений структурирован несколько странно, содержит повторы и, скорее всего, был сформирован из описания набора программ ElcomSoft Password Recovery Bundle с примесью списка форматов приложения Encryption Analyzer или какого-то похожего. Список форматов довольно внушительный (более 200 строк, поэтому полностью тут его не привожу, можно посмотреть в ТЗ) и демонстрирует всю серьёзность намерений. Вот, например, к каким документам, приложениям и системам хотели бы получать доступ компьютерные эксперты МВД России: Microsoft Office (Word, Excel, PowerPoint, Project, Access, Outlook, Backup, OneNote), OpenDocument (OpenOffice, StarOffice etc), Apple iWork Системные пароли Microsoft Windows, UNIX, Remote Desktop Connections, пароли беспроводных сетей, хеши MD5 Mac OS / FileVault / Keychain / User / Hash, Apple Disk Image Резервные копии iPhone/iPod/iPad/BlackBerry BestCrypt, TrueCrypt, PGP и Open-Key TheBat!, Mozilla FireFox, Thunderbird, Google Chrome Website, Safari, MS Internet Explorer, ICQ MS Project, MS SQL, Microsoft Money Oracle, Intuit Quicken, Adobe Acrobat, Lotus Notes ACT!, FileMaker Pro, MYOB, Norton Backup, Schedule+, WordPerfect Peachtree, Paradox Database, Quattro, QuickBooks RAR, WinZip, ZIP Archive, 7-Zip С таким арсеналом и приличной вычислительной мощностью можно смело изымать любую компьютерную технику - крайне мало секретов на ней не будет раскрыто даже без содействия со стороны владельца, особенно если он беспечен. Кстати, по поводу мощности. Аппаратная часть АПК под условным названием Углярка должна была представлять собой: Сервер управления не хуже 2 x Xeon E5-2670/ 32 Гб/ 2 x 200 Гб SSD RAID; «Вычислитель» № 1 типа Super Micro 4U 7047GR-TPRF; «Вычислитель» № 2 на базе персональной ЭВМ х86 (Intel Core i5 LGA1155, ОП 4x240 pin DDR Slots up to 32 GB, USB 3.0), с устанавливаемой платой ПЛИС с поддержкой OpenCL. Никаких аппаратных ускорителей или сверхмощных видеокарт, только плата ПЛИС, хотя и с поддержкой OpenCL. Из других требований к АПК: максимальное число пользователей - не менее 500, продолжительность гарантийного обслуживания - не менее двух лет.  Начальная максимальная цена контракта не много не мало - 20 000 000 руб. Для обоснования данной цифры, как это принято, было проведено «исследование рынка» и получены данные от трёх независимых организаций, которые по «случайному» совпадению при усреднении дали ровное красивое число: Не занимался никогда заказными разработками программного обеспечения, но цена обладания всеми правами (согласно ТЗ все исходные коды также передаются заказчику) на такой инструмент вроде бы представляется вполне адекватной. Особенно на фоне покупок на бюджетные деньги топовых иномарок и аренды вертолётов. С другой стороны, на рынке уже существует готовое решение и было бы интересно сравнить стоимость Углярки с ним. Справедливости ради нужно отметить, что, конечно, есть в техзадании нюансы, отличающие заказную разработку от продукта ElcomSoft. Например, требуется поддержка в web-интерфейсе оператора SSL и TLS со схемами шифрования, включающими ГОСТ. Впрочем, с точки зрения основного предназначения, такие мелочи представляются незначительными, тем более, что «в процессе выполнения ОКР отдельные пункты настоящего ТЗ могут быть изменены или уточнены». Начнём считать. Цена программного обеспечения ElcomSoft Password Recovery Bundle Business Edition как раз с поддержкой 500 клиентов составляет чуть меньше полумиллиона рублей - 449 995 руб. Стоимость сервера управления примерно равна 270 000 руб. Вычислитель №1 стоит порядка 70 000 руб. Что подразумевается под Вычислителем №2 точно я не понял, но пусть он стоит даже 100 000 руб. за счёт какой-то особенной требуемой платы ПЛИС. Стоимость Encryption Analyzer я бы всё же не стал учитывать, так как только очень уж экзотические форматы есть у него и нет у продукта ElcomSoft (MYOB, FileMaker Pro - вы знали о таких?). Потребуется ещё три операционные системы Windows. Заложим на них и ещё упоминаемый в ТЗ антивирус суммарно 30 тыс. руб. Просуммировав, получаем цену одного уже готового комплекса, почти соответствующего техзаданию, около 920 тыс. руб. Гарантийное обслуживание нужно в течение двух лет, так что придётся ещё доплатить 40% за программное обеспечение ElcomSoft (такой процент указан у них на сайте) и, допустим, 30% за аппаратное.  Учтём ещё 30% за расширенную поддержку Windows и антивируса (на такой важный АПК не жалко). Итоговая стоимость получается в районе 1 млн. 240 тыс. руб. Несложно посчитать, что за двадцать миллионов рублей можно купить 16 готовых (это без скидок) к использованию комплексов на базе ElcomSoft, практически полностью соответствующих техзаданию и сразу начать их использовать. В случае с Угляркой за ту же сумму к ноябрю 2015 года должен был бы быть готов только один аппаратно-программный комплекс, зато были бы предоставлены исходные коды, что позволило бы тиражировать Углярку в нужном количестве, приобретая только оборудование (цена каждого нового комплекса составила бы с учётом гарантии на два года чуть больше 600 тыс. руб. С одной стороны, иметь в распоряжении исходные коды - это отлично, но с другой - стоимость Углярки в пересчёте на одну штуку стала бы меньше стоимости АПК на базе ElcomSoft только начиная с 32 комплекса. Есть ли у МВД реальная потребность в таком количестве комплексов, с учётом, что каждый из них рассчитан на 500 пользователей? Кстати, я пишу про этот ПАК в сослагательном наклонении так как конкурс не состоялся по причине предоставления заявки только от одного участника - ООО НТЦ Вулкан. Причина отказа других не ясна. [box type=”info” style=”rounded”]UPD. 23.01.2014 Как и предполагали опытные коллеги, обсуждавшие эту закупку, контракт на создание для МВД аналога продуктов ElcomSoft будет подписан с единственным заявителем - НТЦ “Вулкан”. Вот текст итогового протокола.[/box] Есть у меня также некоторое предположение, что разработанный по заказу ФКУ НПО “СТиС” МВД России АПК Углярка был бы далеко не бесплатен для структур МВД, как и остальные их разработки, так что на потенциальную экономию бюджетных средств вообще надеяться сложно. Пока разбирался в этом заинтересовавшем меня конкурсе, задумался - а как сейчас осуществляется компьютерная экспертиза? Ведь наверняка шифрованные ноутбуки и запароленные архивы всплывают при расследованиях то тут, то там. Закупают-таки (мне, правда, с ходу ни одной такой закупки найти не удалось, а предполагать пиратское использование того же ElcomSoft не хочется) ПО для подбора паролей? Заказывают работы на стороне и эти услуги крайне дороги? С этим связано «Удешевление» в названии конкурса? Возможно, конечно, что в техзадании я что-то упустил и не включил в условный АПК ElcomSoft пары компонентов. Пусть так. Пусть даже я сильно ошибся и Углярка начала бы окупаться не с 32, а с 22 экземпляра, но хоть кто-то делал более глубокий, чем в этом посте, анализ экономической обоснованности такой разработки? Не думаю. В общем, не хватает нашей системе госзакупок прозрачности в части их экономической целесообразности. Часто в конкурсной документации вообще отсутствует обоснование или оно слишком уж формально. А жаль. Я бы с интересом почитал, как чиновники, например, обосновывают необходимость закупать именно iPad Air с защитной плёнкой LuxCase и чёрным кожанным чехлом Iridium. В случае же с Угляркой в качестве основания для создания этого АПК приведён вот такой список: Проект плана научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России на 2014 год. Тактико-технические требования на ОКР. Решение научно-практической секции ЭКЦ МВД России. Протокол от 04.04.2013 № 3. Выглядит солидно, но этих документов нет в свободном доступе на сайте МВД и потому их содержание для меня покрыто завесой тайны, равно как и все остальные вопросы, связанные с этой попыткой потратить двадцать миллионов рублей на АПК Углярка. Быть может, у вас есть какие-то идеи или соображения?

  • 14 Января 2014 » Свежие Магические Квадранты Гартнера
    [box type=”info” style=”rounded”]Актуализируемый список квадратов доступен в соответствующем разделе сайта: Gartner Magic Quadrants[/box] Подготовил небольшую подборку свежих (ноябрь-декабрь 2013 года) Магических Квадрантов (или Квадратов - как кому нравится) от Гартнера (Gartner Magic Quadrants) по интересным мне направлениям. Если вы, как и я, не все из них видели, приглашаю ознакомиться. Magic Quadrant for Content-Aware Data Loss Prevention 12.12.2013 G00253215 Magic Quadrant for Data Masking Technology 12.12.2013 G00247005 Magic Quadrant for Enterprise Information Archiving 05.11.2013 G00254034 Magic Quadrant for Identity Governance and Administration 30.12.2013 G00253758 Magic Quadrant for Intrusion Prevention Systems 16.12.2013 G00253078 Magic Quadrant for Network Access Control 12.12.2013 G00249599 Magic Quadrant for User Authentication 09.12.2013 G00249409 Более полная подборка Gartner Magic Quadrants доступна в соответствующем разделе на ZLONOV.RU.

  • 10 Января 2014 » Следим за реестрами ФСТЭК
    Есть на сайте ФСТЭК помимо прочей информации, которую, к слову, порой найти довольно сложно, такой полезный документ как Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00. Хочу поделиться небольшим советом, как отслеживать изменения в нём иначе, чем вручную. Собственно, сама дата последней актуализации указана в явном виде на странице с реестром (“1.Дата обновления” - см. рис. ниже), но меня интересовало автоматическое уведомление о произошедших изменениях. Сначала пытался отслеживать обновления страницы с помощью сервиса page2rss, о котором писал ранее, но в силу специфики самой страницы работал метод, честно говоря, не очень. Глядя на картинку, вы уже наверняка догадались (а может, в отличие от меня, и раньше знали) о гораздо более простом способе. Реестр выложен не только в виде .ods файла, доступного для скачивания, но и на Google Диск, поэтому нужно лишь авторизоваться под своей учётной записью (“2.Вход в Google”) и в Инструментах выбрать пункт Уведомления (“3.Настройка уведомлений”). Дальше просто добавляем правило по автоматическому уведомлению об изменениях по электронной почте. Например, так: На сайте, конечно, есть некое подобие новостной ленты с обновлениями, правда устроена она как-то странно: http://fstec.ru/novosti/2013/10, а RSS-подписка и вовсе не работает: http://fstec.ru/rss-lenta?format=feed&type=rss, но даже если её и починят, то всё равно будет не удобно, так как придётся просматривать все изменения всех документов, даже если интересует только один реестр. Аналогично можно следить и за другими реестрами на сайте ФСТЭК: Реестр лицензий на деятельность по технической защите конфиденциальной информации Реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации Сведения об аттестационных центрах, осуществляющих деятельность по проведению специальных экспертиз организаций К сожалению, для отслеживания Перечня средств защиты информации, сертифицированных ФСБ России такого же простого способа мне пока найти не удалось.

  • 30 Декабря 2013 » ТОП-10 постов 2013 года на ZLONOV.RU
    На носу у нас Новый Год и пришла пора как и год назад подвести краткий итог и представить вашему вниманию 10 самых читаемых постов этого блога за прошедший год. От слов к делу. Вот как распределились предпочтения читателей, оцениваемые мною по общему числу просмотров конкретных постов. Программы для диаграмм связей (mind map) Обзор появился по итогам поиска подходящего под мои конкретные запросы решения для работы с диаграммами связей ("майндкартами"), но получился достаточно общим и, судя по всему, полезным не только мне. Логические задачи на собеседовании В этом посте поделился своими любимыми задачами, иногда задаваемыми соискателям на собеседованиях, и предложил читателям попробовать ответить на них. Сейчас собираю коллекцию задач для поста-продолжения, но это не так просто, как может показаться: сборников головоломок и логических задач в сети Интернет предостаточно, а вот по-настоящему красивых задач в них мало, приходится их буквально выискивать. Как отправлять SMS с iPad и не попасть впросак Анализ с точки зрения безопасности решения компании Мегафон UMS HD, позволяющего отправлять и принимать SMS-сообщения в том числе и с iPad. UTM… как это по-русски? Рассмотрены представленные на нашем рынке UTM-решения и рассмотрена их адаптированность под локальные особенности. Компания, которой больше нет Пост-воспоминание о канувшей в Лету Треолан компании SafeLine. Сертифицированные межсетевые экраны (часть 9) Очередная часть моего большого обзора сертифицированных межсетевых экранов. В планах более развёрнутый обзор новинок этого сегмента, появившихся в 2013 году, упомянутых пока только вскользь. Это (ино)странное слово UTM Мировой обзор UTM-решений из соответствующих квадратов Gartner. Российские межсетевые экраны в магическом квадранте Gartner Первоапрельский пост про высокую откатоёмкость и выдающиеся откатогенерирующие возможности =) Спасибо за Forbidden! Пост с благодарностью моему хостинг-провайдеру за заботу о безопасности. (Российские криптошлюзы)++ Обзор сертифицированных ФСБ межсетевых экранов, приуроченный к получению сертификата на решение StoneGate FW/VPN компании Stonesoft. Отдельно хотел бы порекомендовать к прочтению пост Эволюция хранителей закрытых ключей недельной давности, хотя формально, конечно, число его прочтений меньше, чем у постов, представленных в рейтинге. Для меня как для автора блога уходящий год ознаменовался переездом в мае c площадки Blogspot.com на отдельный собственный домен ZLONOV.RU.  Вообще, этот домен зарегистрирован уже давно и я немало экспериментировал, пробуя разные концепции, подходы и, конечно, движки для сайтов. В итоге свой выбор остановил на Wordpress, позволяющем не просто вести блог, но и за счёт огромного набора плагинов реализовать множество разнообразного функционала. Так, например, совсем недавно получилось запустить Каталог Средств Защиты Информации, который отдельно пока не представлял, так что делаю это сейчас. В Каталоге СЗИ представлены продукты и решения, имеющие сертификаты ФСТЭК и ФСБ. По каждому СЗИ (пока не совсем по каждому, но по многим) представлено его краткое описание, изображение (это, кстати, чуть ли не самая трудная часть при заполнении каталога), приведены сертификаты со сканами (если они доступны) и проставлены теги, облегчающие поиск подходящих средств защиты. Пока в Каталоге превалируют сертифицированные межсетевые экраны и средства обнаружения атак/вторжений, по которым я делал соответствующие обзоры, но со временем будут появляться и новые СЗИ. На этом закругляюсь, поздравляю всех вас, мои дорогие читатели, с новым годом и желаю успешного 2014 года! До встречи в Сети! С праздником!

  • 23 Декабря 2013 » Эволюция хранителей закрытых ключей
    Чтобы два субъекта могли безопасно общаться друг с другом, им нужен общий разделяемый секрет - что-то, что известно только им двоим и никому больше. В современном мире в качестве субъектов выступают пользователи компьютеров и/или сервисы, а в качестве общих секретов - пароли и ключи шифрования. О последних, а точнее о способах их хранения, и поговорим. Пока криптография была только симметричной (оба абонента использовали один и тот же общий ключ и для шифрования и для расшифрования), главной проблемой была безопасная доставка ключа шифрования от одного абонента другому. Требовался очень надёжный доверенный канал передачи (личная встреча, спецпочта и т.п.) Трудно представить, как бы вообще выглядел современный Интернет, если бы не была изобретена криптография с открытым ключом, а Диффи и Хеллман (и Меркл) не предложили алгоритм, позволяющий создавать тот самый общий секрет двум абонентам прямо у всех на виду. Процесс создания общего секрета напоминает трюк фокусника и очень хорошо проиллюстрирован вот в этом небольшом ролике: Криптография с открытым ключом активно используется в том числе и для электронной цифровой подписи (ЭЦП). Собственно, сама идеология ЭЦП построена на существовании пары открытый-закрытый ключ и предположении, что закрытый ключ есть только у одного единственного человека (сервиса/сервера и т.п.) В зависимости от используемого алгоритма типичная длина закрытого ключа составляет 1024 или 2048 бит (для алгоритмов, построенных на дискретных логарифмах). Если записать этот ключ 26 строчными и 26 прописными буквами латинского алфавита (aAbBcC…zZ), 10 цифрами (123…90) и, например, парой спецсимволов (.,), то потребуется 1024/log264 = 171 или 2048/log264 = 342 символа соответственно. Запомнить нечто такое обычный пользователь без спецтренировки, очевидно, не в состоянии. Закрытый ключ приходится где-то сохранять. Далее такие устройства при всём их многообразии буду для определённости называть хранителями закрытых ключей. Первоначально закрытые ключи хранили просто на жёстком диске (например, в ветке реестра ОС или в специальном файле-контейнере). Способ применяли ещё в те времена, когда по мобильному телефону только звонили, а компьютер мог быть один на отдел, так что с точки зрения удобства использования особых проблем не возникало. Проблемы были с безопасностью: понятно, что такой способ хранения закрытого ключа крайне ненадёжен. Злоумышленник, получив доступ к компьютеру, автоматически получал в своё распоряжение и закрытый ключ, пусть даже и защищённый паролем. Скопировав контейнер, злоумышленник мог уже в спокойной обстановке подобрать пароль от него и получить требуемый доступ. Позже к офлайн злоумышленникам добавилась новая угроза - трояны, похищающие информацию удалённо. Данный вид атаки вкупе с другими факторами привёл к началу использования внешних носителей для хранения закрытых ключей. В качестве ключевых носителей первоначально выступали обычные дискеты. Пользователи теперь могли работать на нескольких компьютерах, а по окончании рабочего дня запирать дискеты в сейф. От неблагонадёжных коллег и нарушителей, проникающих в помещение, такой вариант был эффективен, но троян всё так же мог похитить контейнер, правда, теперь уже только в момент использования самого носителя. Нужен был принципиально новый хранитель закрытых ключей и в качестве такового выступила смарт-карта. Упрощённо говоря, смарт-карта - это фактически компьютер с собственной операционной системой, оперативной памятью и внутренним хранилищем («жёстким диском»). Сама архитектура смарт-карт предполагает их защищённость от внешнего несанционированного доступа, так как все обращения к внутреннему содержимому возможны только через интерфейс операционной системы после ввода верного PIN-кода. Технологически смарт-карты выполняются на одном чипе и имеют защиту от прямого считывания данных с него. В Википедии приведены иные разновидности смарт-карт, в частности те, что оснащены RFID-меткой и предназначены для бесконтактной работы (считыватели на дверях, турникетах и т.д.), но нас они сегодня не интересуют. Мы говорим о контактных смарт-картах, для работы с которыми требуется отдельное устройство (встроенные встречаются крайне редко) - считыватель смарт-карт (или карт-ридер). Что действительно важно в смарт-картах с точки зрения хранения закрытых ключей, так это их встроенные возможности по выполнению математических (криптографических) операций с закрытыми ключами и даже генерации этих ключей внутри самой смарт-карты. В последнем случае закрытые ключи в принципе никогда не покидают внутренней памяти чипа смарт-карты и все действия с ними производятся операционной системой смарт-карты также внутри. Наружу выдаётся только итоговый результат, например, ЭЦП. Следующей важной вехой в эволюции хранителей закрытых ключей стало изобретение группой сотрудников израильской компании Aladdin Knowledge System (патент US 6763399 B2) смарт-карты в исполнении в виде USB-ключа. Их также называют USB-токенами. Токеном в самом широком смысле принято называть обобщённо весь класс таких устройств (есть, как вы, вероятнее всего, знаете, даже разновидности с экранами и кнопками). USB-токен хоть внешне похож на обычную флешку, представляет собой чип смарт-карты, совмещённый со считывателем (карт-ридером) и размещённый в компактном корпусе. USB-токены быстро стали популярны за счёт простоты использования, ведь для них не требовалось никакого дополнительного оборудования, а достаточно было USB-порта, имеющегося практически на любом компьютере и ноутбуке. Несмотря на всё удобство USB-токенов, смарт-карты в классическом их исполнении в виде кусочка пластика долго время занимали на мировом рынке большую долю, чем USB-токены, в силу инертности корпоративных клиентов (а ведь именно они являются важнейшими потребителями таких средств), а также ряда дополнительных возможностей, таких как уже упоминавшаяся выше возможность встраивания RFID-меток и нанесения дополнительной информации на пластик - например, фото и должности сотрудника. Единый бейдж действительно в ряде случаев удобен. В России же, пропустившей этап зарождения рынка аппаратных средств аутентификации, токены в USB-исполнении стали гораздо более массовым продуктом и безраздельно царствовали на рынке несколько лет. Говоря про Российские особенности, нельзя не упомянуть, что для токенов важна поддержка отечественных криптографических алгоритмов ГОСТ. Без этого токены фактически являются эдакой защищённой флешкой - контейнер с закрытым ключом хранится во внутренней памяти, но для любых операций копируется в память компьютера со всеми вытекающими негативными последствиями. Сейчас на рынке устройств с аппаратной поддержкой ГОСТ хватает. Возвращаясь к троянам и токенам, нужно описать ещё один вид атаки, заключающийся в подменен информации, отправляемой в чип смарт-карты на подпись. Скажем, платёжное поручение, составленное пользователем системы интернет-банк, на экране отображается корректно, но на подпись в подключенный токен отправляется в искажённом трояном виде. Пользователь вводит свой PIN-код и деньги уходят не туда. Собственно говоря, продвинутому трояну пользователь нужен ровно один раз для ввода пароля от личного кабинета на сайте банка и ввода PIN-кода. Далее, всё время, пока токен подключен, уже без ведома пользователя можно подписывать и отправлять любые платёжные поручения. Ответом на такую угрозу стал новый класс устройств - «экраны доверия» или трастскрины, выводящие на свой собственный, недоступный трояну, экран основные платёжные реквизиты. Впрочем, данные устройства не являются непосредственно хранителями закрытых ключей, а служат лишь вспомогательным целям. Долгие годы всё было у токенов хорошо, они были удобны, универсальны и даже уже дёшевы, но повсеместное распространение смартфонов и планшетов вынудило продавцов средств аутентификации искать новые пути. Не берусь судить о мировых тенденциях, но на примере России было достаточно интересно наблюдать развитие ситуации. Радужную картину господства USB-токенов сильно начали портить два факта: корпоративные пользователи повадились активно использовать мобильные устройства для своей работы, а USB-портов у этих устройств не было. Да, какие-то модели планшетов их имеют, но производители самых распространённых моделей (в России особенно актуальны продукты компании Apple) этот ноутбучно-компьютерный атавизм поддерживать принципиально не хотят. Нет в большинстве, включая iOS, устройств и поддержки microSD-карт, что не позволяет использовать на них смарт-карты в таком форм-факторе, хотя они на рынке есть уже несколько лет (не знаю только - покупает ли их хоть кто-то?). С ситуацией, а в особенности с продуктами Apple, надо было что-то делать, особенно с учётом необходимости в (существенной) части проектов поддерживать ГОСТ. Первое, что пришло в голову - это, очевидно, желание как-то прикрутить уже имеющиеся токены к новым устройствам. На рынок хлынул щедрый ассортимент продуктов (часто китайских) производителей. Думаю, интересующиеся темой видели эти попытки предложить рынку считыватели для смарт-карт в виде внешнего устройства для iPhone или, например, чехла для iPad. Судя по всему, упоминавшееся мной выше мировое превосходство рынка смарт-карт над рынком USB-токенов до конца не утрачено, раз от китайских друзей так и не появилось ни одного варианта для USB-токенов. Хотя, быть может, тут дело в принципиальной технической невозможности из-за недостаточности того же питания, например, - в технические нюансы так глубоко не вникал. В любом случае в России смарт-карт на порядки меньше, так что корпоративным клиентам пришлось бы либо раскошеливаться сразу на смарт-карту и два карт-ридера (один для iPad, а второй для ноутбука), либо носить смарт-карту и USB-токен одновременно. Понятно, что это очень неудобно. Собственно, даже комбинация телефон + карт-ридер + смарт-карта уже далека от эргономичной. Кстати, когда Apple поменяла в своих телефонах контактный разъём с 30-pin на 9-pin к этой троице ещё добавлялся соответствующий переходник, что выглядело уже совсем как какой-то монстрообразный конструктор «собери себе ЭЦП». Всё же мобильное устройство на то и мобильное, что подключать к нему что-то кроме наушников, кабеля питания (ну, и док-станции, если это можно назвать «подключать») никому и никогда не будет удобно. Нужно было другое решение. К слову, как и в случае с компьютерами эпохи становления хранителей закрытых ключей контейнер с закрытым ключом можно хранить непосредственно на самом мобильном устройстве, имея, впрочем, схожие проблемы с безопасностью с поправкой на тот факт, что украсть/потерять мобильное устройств не в пример легче, чем ноутбук. Безопасность такого решения очевидно слаба: пользователю каждый раз вводить сложный пароль от контейнера неудобно, а простой быстро подберёт злоумышленник. Чуть отвлекаясь, замечу, что несмотря на всё удобство использования самого телефона в качестве токена (многие системы многофакторной бестокенной аутентификации предлагают именно такой подход) - это не самая лучшая идея с точки зрения безопасности. Телефон никак нельзя считать доверенной средой и по причине роста числа мобильных вирусов и в силу простоты утраты контроля пользователя над ним. Итак, мы остановились на поиске нового решения. По сути, что такое мобильность? А это не в последнюю очередь - отсутствие проводов и контактных подключений. Популярные в последнее время смарт-часы, смарт-браслеты и прочие смарт-штуки общаются с мобильными устройствами исключительно по Bluetooth-протоколу, версия 4.0 которого так удачно обзавелась энергосберегающим режимом работы, позволяющим таким устройствам при всей их компактности работать дни и недели. Так что путь дальнейшей эволюции вполне понятен - Bluetooth-решения. Мне на сегодняшний день известны два варианта беспроводного подключения хранителей закрытых ключей к мобильным устройствам. Первое - от создателей «собери-себе-ЭЦП» конструктора, а второе - удобное. Китайская компания Feitian (наверняка есть и другие - эти под руку попались) предлагает Bluetooth-считыватель для смарт-карт, которым, пожалуй, удобнее пользоваться, чем подключаемым к разъёму, но который не лишён всех остальных недостатков в виде вытекающей из малой распространённости в России смарт-карт задачи по модификации парка аппаратных устройств аутентификации и необходимости носить (и не терять) несколько предметов сразу. Поступающие от некоторых энтузиастов предложения не вытаскивать смарт-карту из считывателя, а сам считыватель - из кармана брюк, извините, серьёзно воспринимать не могу. Устройство же, которым я завершу сегодняшнюю хронологию хранителей, было представлено компанией Актив совсем недавно. Речь про их Рутокен ЭЦП Bluetooth. Чип смарт-карты встроен в небольшого размера коробочку, в которой также находится (как я понимаю) аккумулятор, Bluetooth-передатчик и необходимые элементы для осуществления работы проводного подключения. При подключении кабелем к USB-порту ноутбука/компьютера устройство распознаётся как обычный Рутокен и может использоваться для всех типичных задач - аутентификация, ЭЦП и т.д. В беспроводном же варианте устройство… тоже остаётся Рутокеном. Полноценную поддержку беспроводной работы (включая аутентификацию при входе в операционную систему) для настольных систем в компании Актив обещают реализовать в ближайшее время, а поддержка в качестве внешней смарт-карты для мобильного устройства должна быть добавлена в соответствующее мобильное приложение непосредственно его (приложения) разработчиком. Например, разработчиком банковского мобильного приложения. Для этого, конечно, требуется какое-то время, но зато когда всё сделано, удобство использования потрясающее. Мне довелось увидеть полноценную работу Рутокен ЭЦП Bluetooth с приложениями линейки Защищённая Мобильность от Digital Design и это было впечатляюще. Рутокен ЭЦП Bluetooth просто лежит в кармане/сумке, а на планшете идёт полноценная работа с ним как с самой обычной смарт-картой. Например, можно открыть зашифрованное электронное письмо или поучаствовать в торгах на электронной площадке. При потере связи (когда устройство слишком далеко) приложение может закрываться и требовать повторного ввода PIN-кода. Носить с собой одно устройство и без проблем использовать свои закрытые ключи для операций на ноутбуке/планшете/смартфоне в течение 10-12 часов (заявленное время работы при активном использовании, при переводе устройства в спящий режим оно увеличивается до недель) - это действительно удобно. Тем же устройством можно быстро разблокировать ноутбук, введя достаточно простой PIN-код, но получив уровень безопасности, сопоставимый с длинным и сложным паролем. Не так давно я уже упоминал любопытное приложение Knock, которым продолжаю с удовольствием пользоваться, но мне в нём всё же не хватает возможности установки именного этого простого PIN-кода, хотя я и понимаю, что такое пожелание противоречит даже названию продукта. Дело в том, приложение реагирует всё же не на звук, как может показаться, а на движение телефона при постукивании по нему, и мой кот научился, гуляя по дивану, на котором лежит телефон, задействовать его акселлерометр нужным образом. Коту я, конечно, доверяю, но от других предпочёл бы иметь подстраховку в виде простенького, но бессмысленного без телефона PIN-кода из нескольких символов. Так что после реализации поддержки Рутокен ЭЦП Bluetoth для OS X с удовольствием перешёл бы на него. Да, чуть не забыл, в этом устройстве реализована полноценная поддержка алгоритма ГОСТ, ведь Актив всё же российская компания. ГОСТ используется и для защиты Bluetooth-канала между мобильным устройством и самим Рутокен, что действительно здорово - никакой китайский ридер смарт-карт таким похвастаться, естественно, не может. Полноценная поддержка ГОСТ (с использованием КриптоПро CSP) реализована и в упоминавшейся мной Защищённой Мобильности, так что союз трёх российских разработчиков (Актив, Digital Design и КриптоПро) получился крайне продуктивным. Что будет дальше происходить с хранителями закрытых ключей предсказать не берусь. Возможно, что у авторов проекта Nymi всё получится и их прототип приведёт к тому, что данный ролик станет нашей реальность: Не представляю, правда, как в Nymi встроить российскую криптографию. Подозреваю, что  без участия самих разработчиков - никак. А вот что вполне реально можно сделать, так это совместить Рутокен ЭЦП Bluetooth и трастскрин. Ведь Рутокен ЭЦП Bluetooth лишь убирает провода, но никак не защищает от описанного мной выше трояна всемогущего, установленного на компьютере и подменяющего платёжки. Кстати, даже могу представить, кто мог бы такое совмещённое устройство выпустить - компания Актив, у которой среди продуктов есть и трастскрин (пока проводной). Всё же собственное производство имеет свои преимущества над иными подходами, когда просто перепродаются чужие решения, адаптированные под российские реалии, или когда под новоявленный рынку бренд собирают солянку из продуктов разных производителей. Между прочим, если бы в YotaPhone кроме/вместо второго экрана вставили чип смарт-карты с независимой от телефона операционной системой и поддержкой ГОСТ, был бы действительно инновационный российский продукт.

  • 06 Декабря 2013 » Отечественные системы обнаружения атак/вторжений
    В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег. Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам: сертификация: отсутствует сделана минимальная «для галочки» высокий уровень сертификации признанность (распространённость) продукта: известен и используется в мире присутствует только на региональном рынке В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная. Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК. ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса - от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать. ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК, где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой - низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно. Всего по требованиям ФСБ, согласно Перечня... сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре  (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два. Итоговый список отечественных IDS и их сертификатов выглядит так: [caption id="attachment_5093" align="aligncenter" width="708"] Отечественные системы обнаружения атак[/caption] Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию "Бумаженщиков", как бы обидно такое определение для них ни звучало. К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в соответствующий раздел Каталога СЗИ и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты: Аргус, версия 1.0 Аргус, версия 1.5 Детектор атак «Континент» (на базе АПКШ Континент 3.7) Рубикон Ручей-М Тор Форпост ViPNet IDS Каталог СЗИ пока в стадии наполнения и вполне может содержать неточности, хотя я этого старался максимально избежать. Что же касается полноты, то объём информации и число представленных средств защиты информации обязательно будут увеличиваться.

  • 24 Ноября 2013 » Только тронь меня!
    Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев. Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики. Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID - это отличное решение с точки зрения безопасности. Попробую это продемонстировать. Наши смартфоны по мере становления всё более смарт- и всё менее просто -фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много. Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple - простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство. Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными. Выставлять запрос пароля только через час на мой взгляд слишком небезопасно - за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут - слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас. К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3). Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты. Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK. Цифровой PIN-код: нажать кнопку Home и ввести 4 символа. Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо. Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды. В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID - сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана. Что ещё удобно в Touch ID на мой взгляд. Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много - вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток. Палец можно прикладывать хоть вверх ногами (если так можно выразиться) - распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше. Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально). Явно удачная технология скорее всего будет использована Apple в других её устройствах - iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь. [box]Paranoid mode: ON[/box] Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен. [box]Paranoid mode: OFF[/box] Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно - хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится - удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.

  • 13 Ноября 2013 » Сертификационные гонки по вертикали
    Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране. На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы. Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года: iPad - 58 заказов iPhone - 16 заказов Android - 13 заказов Samsung Galaxy - 8 заказов Sony Xperia - 2 заказа Nokia Lumia - 0 заказов Nexus - 0 заказов (единственный имеющийся не относится к теме - "Приобретение амплификатора для проведения реакций ПЦР (Eppendorf Mastercycler nexus gradient или аналогичная)") К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские. Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”. Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось. Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее. Причина №1. Нераспространённость. Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке. Причина №2. Технические сложности. В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем. Причина №3. Частота обновления операционной системы (ОС). Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде. Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию). Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года. Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена. Теперь посмотрим на жизненые циклы iOS: Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется. Пионеры сертификационных гонок. Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS. Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что: КриптоПро версии 3.6.1 может использоваться в программно-аппаратных средах iOS версии 4.2.х, 4.3.х, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1. ViPNet Client iOS 1.1 поддерживает только iOS версии: 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4; 4.3.3 — для iPad 2; 5.0.1 — для iPad 2, iPhone 4S; 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS. При этом: должен быть выполнен джейлбрейк устройства [..], то есть разблокирован доступ к его файловой системе, и установлен менеджер пакетов Cydia. Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине. Закругляюсь Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.” Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует. Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad. В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.