Свежие посты   По годам   По датам
  • 23 Декабря 2013 » Эволюция хранителей закрытых ключей
    Чтобы два субъекта могли безопасно общаться друг с другом, им нужен общий разделяемый секрет - что-то, что известно только им двоим и никому больше. В современном мире в качестве субъектов выступают пользователи компьютеров и/или сервисы, а в качестве общих секретов - пароли и ключи шифрования. О последних, а точнее о способах их хранения, и поговорим. Пока криптография была только симметричной (оба абонента использовали один и тот же общий ключ и для шифрования и для расшифрования), главной проблемой была безопасная доставка ключа шифрования от одного абонента другому. Требовался очень надёжный доверенный канал передачи (личная встреча, спецпочта и т.п.) Трудно представить, как бы вообще выглядел современный Интернет, если бы не была изобретена криптография с открытым ключом, а Диффи и Хеллман (и Меркл) не предложили алгоритм, позволяющий создавать тот самый общий секрет двум абонентам прямо у всех на виду. Процесс создания общего секрета напоминает трюк фокусника и очень хорошо проиллюстрирован вот в этом небольшом ролике: Криптография с открытым ключом активно используется в том числе и для электронной цифровой подписи (ЭЦП). Собственно, сама идеология ЭЦП построена на существовании пары открытый-закрытый ключ и предположении, что закрытый ключ есть только у одного единственного человека (сервиса/сервера и т.п.) В зависимости от используемого алгоритма типичная длина закрытого ключа составляет 1024 или 2048 бит (для алгоритмов, построенных на дискретных логарифмах). Если записать этот ключ 26 строчными и 26 прописными буквами латинского алфавита (aAbBcC…zZ), 10 цифрами (123…90) и, например, парой спецсимволов (.,), то потребуется 1024/log264 = 171 или 2048/log264 = 342 символа соответственно. Запомнить нечто такое обычный пользователь без спецтренировки, очевидно, не в состоянии. Закрытый ключ приходится где-то сохранять. Далее такие устройства при всём их многообразии буду для определённости называть хранителями закрытых ключей. Первоначально закрытые ключи хранили просто на жёстком диске (например, в ветке реестра ОС или в специальном файле-контейнере). Способ применяли ещё в те времена, когда по мобильному телефону только звонили, а компьютер мог быть один на отдел, так что с точки зрения удобства использования особых проблем не возникало. Проблемы были с безопасностью: понятно, что такой способ хранения закрытого ключа крайне ненадёжен. Злоумышленник, получив доступ к компьютеру, автоматически получал в своё распоряжение и закрытый ключ, пусть даже и защищённый паролем. Скопировав контейнер, злоумышленник мог уже в спокойной обстановке подобрать пароль от него и получить требуемый доступ. Позже к офлайн злоумышленникам добавилась новая угроза - трояны, похищающие информацию удалённо. Данный вид атаки вкупе с другими факторами привёл к началу использования внешних носителей для хранения закрытых ключей. В качестве ключевых носителей первоначально выступали обычные дискеты. Пользователи теперь могли работать на нескольких компьютерах, а по окончании рабочего дня запирать дискеты в сейф. От неблагонадёжных коллег и нарушителей, проникающих в помещение, такой вариант был эффективен, но троян всё так же мог похитить контейнер, правда, теперь уже только в момент использования самого носителя. Нужен был принципиально новый хранитель закрытых ключей и в качестве такового выступила смарт-карта. Упрощённо говоря, смарт-карта - это фактически компьютер с собственной операционной системой, оперативной памятью и внутренним хранилищем («жёстким диском»). Сама архитектура смарт-карт предполагает их защищённость от внешнего несанционированного доступа, так как все обращения к внутреннему содержимому возможны только через интерфейс операционной системы после ввода верного PIN-кода. Технологически смарт-карты выполняются на одном чипе и имеют защиту от прямого считывания данных с него. В Википедии приведены иные разновидности смарт-карт, в частности те, что оснащены RFID-меткой и предназначены для бесконтактной работы (считыватели на дверях, турникетах и т.д.), но нас они сегодня не интересуют. Мы говорим о контактных смарт-картах, для работы с которыми требуется отдельное устройство (встроенные встречаются крайне редко) - считыватель смарт-карт (или карт-ридер). Что действительно важно в смарт-картах с точки зрения хранения закрытых ключей, так это их встроенные возможности по выполнению математических (криптографических) операций с закрытыми ключами и даже генерации этих ключей внутри самой смарт-карты. В последнем случае закрытые ключи в принципе никогда не покидают внутренней памяти чипа смарт-карты и все действия с ними производятся операционной системой смарт-карты также внутри. Наружу выдаётся только итоговый результат, например, ЭЦП. Следующей важной вехой в эволюции хранителей закрытых ключей стало изобретение группой сотрудников израильской компании Aladdin Knowledge System (патент US 6763399 B2) смарт-карты в исполнении в виде USB-ключа. Их также называют USB-токенами. Токеном в самом широком смысле принято называть обобщённо весь класс таких устройств (есть, как вы, вероятнее всего, знаете, даже разновидности с экранами и кнопками). USB-токен хоть внешне похож на обычную флешку, представляет собой чип смарт-карты, совмещённый со считывателем (карт-ридером) и размещённый в компактном корпусе. USB-токены быстро стали популярны за счёт простоты использования, ведь для них не требовалось никакого дополнительного оборудования, а достаточно было USB-порта, имеющегося практически на любом компьютере и ноутбуке. Несмотря на всё удобство USB-токенов, смарт-карты в классическом их исполнении в виде кусочка пластика долго время занимали на мировом рынке большую долю, чем USB-токены, в силу инертности корпоративных клиентов (а ведь именно они являются важнейшими потребителями таких средств), а также ряда дополнительных возможностей, таких как уже упоминавшаяся выше возможность встраивания RFID-меток и нанесения дополнительной информации на пластик - например, фото и должности сотрудника. Единый бейдж действительно в ряде случаев удобен. В России же, пропустившей этап зарождения рынка аппаратных средств аутентификации, токены в USB-исполнении стали гораздо более массовым продуктом и безраздельно царствовали на рынке несколько лет. Говоря про Российские особенности, нельзя не упомянуть, что для токенов важна поддержка отечественных криптографических алгоритмов ГОСТ. Без этого токены фактически являются эдакой защищённой флешкой - контейнер с закрытым ключом хранится во внутренней памяти, но для любых операций копируется в память компьютера со всеми вытекающими негативными последствиями. Сейчас на рынке устройств с аппаратной поддержкой ГОСТ хватает. Возвращаясь к троянам и токенам, нужно описать ещё один вид атаки, заключающийся в подменен информации, отправляемой в чип смарт-карты на подпись. Скажем, платёжное поручение, составленное пользователем системы интернет-банк, на экране отображается корректно, но на подпись в подключенный токен отправляется в искажённом трояном виде. Пользователь вводит свой PIN-код и деньги уходят не туда. Собственно говоря, продвинутому трояну пользователь нужен ровно один раз для ввода пароля от личного кабинета на сайте банка и ввода PIN-кода. Далее, всё время, пока токен подключен, уже без ведома пользователя можно подписывать и отправлять любые платёжные поручения. Ответом на такую угрозу стал новый класс устройств - «экраны доверия» или трастскрины, выводящие на свой собственный, недоступный трояну, экран основные платёжные реквизиты. Впрочем, данные устройства не являются непосредственно хранителями закрытых ключей, а служат лишь вспомогательным целям. Долгие годы всё было у токенов хорошо, они были удобны, универсальны и даже уже дёшевы, но повсеместное распространение смартфонов и планшетов вынудило продавцов средств аутентификации искать новые пути. Не берусь судить о мировых тенденциях, но на примере России было достаточно интересно наблюдать развитие ситуации. Радужную картину господства USB-токенов сильно начали портить два факта: корпоративные пользователи повадились активно использовать мобильные устройства для своей работы, а USB-портов у этих устройств не было. Да, какие-то модели планшетов их имеют, но производители самых распространённых моделей (в России особенно актуальны продукты компании Apple) этот ноутбучно-компьютерный атавизм поддерживать принципиально не хотят. Нет в большинстве, включая iOS, устройств и поддержки microSD-карт, что не позволяет использовать на них смарт-карты в таком форм-факторе, хотя они на рынке есть уже несколько лет (не знаю только - покупает ли их хоть кто-то?). С ситуацией, а в особенности с продуктами Apple, надо было что-то делать, особенно с учётом необходимости в (существенной) части проектов поддерживать ГОСТ. Первое, что пришло в голову - это, очевидно, желание как-то прикрутить уже имеющиеся токены к новым устройствам. На рынок хлынул щедрый ассортимент продуктов (часто китайских) производителей. Думаю, интересующиеся темой видели эти попытки предложить рынку считыватели для смарт-карт в виде внешнего устройства для iPhone или, например, чехла для iPad. Судя по всему, упоминавшееся мной выше мировое превосходство рынка смарт-карт над рынком USB-токенов до конца не утрачено, раз от китайских друзей так и не появилось ни одного варианта для USB-токенов. Хотя, быть может, тут дело в принципиальной технической невозможности из-за недостаточности того же питания, например, - в технические нюансы так глубоко не вникал. В любом случае в России смарт-карт на порядки меньше, так что корпоративным клиентам пришлось бы либо раскошеливаться сразу на смарт-карту и два карт-ридера (один для iPad, а второй для ноутбука), либо носить смарт-карту и USB-токен одновременно. Понятно, что это очень неудобно. Собственно, даже комбинация телефон + карт-ридер + смарт-карта уже далека от эргономичной. Кстати, когда Apple поменяла в своих телефонах контактный разъём с 30-pin на 9-pin к этой троице ещё добавлялся соответствующий переходник, что выглядело уже совсем как какой-то монстрообразный конструктор «собери себе ЭЦП». Всё же мобильное устройство на то и мобильное, что подключать к нему что-то кроме наушников, кабеля питания (ну, и док-станции, если это можно назвать «подключать») никому и никогда не будет удобно. Нужно было другое решение. К слову, как и в случае с компьютерами эпохи становления хранителей закрытых ключей контейнер с закрытым ключом можно хранить непосредственно на самом мобильном устройстве, имея, впрочем, схожие проблемы с безопасностью с поправкой на тот факт, что украсть/потерять мобильное устройств не в пример легче, чем ноутбук. Безопасность такого решения очевидно слаба: пользователю каждый раз вводить сложный пароль от контейнера неудобно, а простой быстро подберёт злоумышленник. Чуть отвлекаясь, замечу, что несмотря на всё удобство использования самого телефона в качестве токена (многие системы многофакторной бестокенной аутентификации предлагают именно такой подход) - это не самая лучшая идея с точки зрения безопасности. Телефон никак нельзя считать доверенной средой и по причине роста числа мобильных вирусов и в силу простоты утраты контроля пользователя над ним. Итак, мы остановились на поиске нового решения. По сути, что такое мобильность? А это не в последнюю очередь - отсутствие проводов и контактных подключений. Популярные в последнее время смарт-часы, смарт-браслеты и прочие смарт-штуки общаются с мобильными устройствами исключительно по Bluetooth-протоколу, версия 4.0 которого так удачно обзавелась энергосберегающим режимом работы, позволяющим таким устройствам при всей их компактности работать дни и недели. Так что путь дальнейшей эволюции вполне понятен - Bluetooth-решения. Мне на сегодняшний день известны два варианта беспроводного подключения хранителей закрытых ключей к мобильным устройствам. Первое - от создателей «собери-себе-ЭЦП» конструктора, а второе - удобное. Китайская компания Feitian (наверняка есть и другие - эти под руку попались) предлагает Bluetooth-считыватель для смарт-карт, которым, пожалуй, удобнее пользоваться, чем подключаемым к разъёму, но который не лишён всех остальных недостатков в виде вытекающей из малой распространённости в России смарт-карт задачи по модификации парка аппаратных устройств аутентификации и необходимости носить (и не терять) несколько предметов сразу. Поступающие от некоторых энтузиастов предложения не вытаскивать смарт-карту из считывателя, а сам считыватель - из кармана брюк, извините, серьёзно воспринимать не могу. Устройство же, которым я завершу сегодняшнюю хронологию хранителей, было представлено компанией Актив совсем недавно. Речь про их Рутокен ЭЦП Bluetooth. Чип смарт-карты встроен в небольшого размера коробочку, в которой также находится (как я понимаю) аккумулятор, Bluetooth-передатчик и необходимые элементы для осуществления работы проводного подключения. При подключении кабелем к USB-порту ноутбука/компьютера устройство распознаётся как обычный Рутокен и может использоваться для всех типичных задач - аутентификация, ЭЦП и т.д. В беспроводном же варианте устройство… тоже остаётся Рутокеном. Полноценную поддержку беспроводной работы (включая аутентификацию при входе в операционную систему) для настольных систем в компании Актив обещают реализовать в ближайшее время, а поддержка в качестве внешней смарт-карты для мобильного устройства должна быть добавлена в соответствующее мобильное приложение непосредственно его (приложения) разработчиком. Например, разработчиком банковского мобильного приложения. Для этого, конечно, требуется какое-то время, но зато когда всё сделано, удобство использования потрясающее. Мне довелось увидеть полноценную работу Рутокен ЭЦП Bluetooth с приложениями линейки Защищённая Мобильность от Digital Design и это было впечатляюще. Рутокен ЭЦП Bluetooth просто лежит в кармане/сумке, а на планшете идёт полноценная работа с ним как с самой обычной смарт-картой. Например, можно открыть зашифрованное электронное письмо или поучаствовать в торгах на электронной площадке. При потере связи (когда устройство слишком далеко) приложение может закрываться и требовать повторного ввода PIN-кода. Носить с собой одно устройство и без проблем использовать свои закрытые ключи для операций на ноутбуке/планшете/смартфоне в течение 10-12 часов (заявленное время работы при активном использовании, при переводе устройства в спящий режим оно увеличивается до недель) - это действительно удобно. Тем же устройством можно быстро разблокировать ноутбук, введя достаточно простой PIN-код, но получив уровень безопасности, сопоставимый с длинным и сложным паролем. Не так давно я уже упоминал любопытное приложение Knock, которым продолжаю с удовольствием пользоваться, но мне в нём всё же не хватает возможности установки именного этого простого PIN-кода, хотя я и понимаю, что такое пожелание противоречит даже названию продукта. Дело в том, приложение реагирует всё же не на звук, как может показаться, а на движение телефона при постукивании по нему, и мой кот научился, гуляя по дивану, на котором лежит телефон, задействовать его акселлерометр нужным образом. Коту я, конечно, доверяю, но от других предпочёл бы иметь подстраховку в виде простенького, но бессмысленного без телефона PIN-кода из нескольких символов. Так что после реализации поддержки Рутокен ЭЦП Bluetoth для OS X с удовольствием перешёл бы на него. Да, чуть не забыл, в этом устройстве реализована полноценная поддержка алгоритма ГОСТ, ведь Актив всё же российская компания. ГОСТ используется и для защиты Bluetooth-канала между мобильным устройством и самим Рутокен, что действительно здорово - никакой китайский ридер смарт-карт таким похвастаться, естественно, не может. Полноценная поддержка ГОСТ (с использованием КриптоПро CSP) реализована и в упоминавшейся мной Защищённой Мобильности, так что союз трёх российских разработчиков (Актив, Digital Design и КриптоПро) получился крайне продуктивным. Что будет дальше происходить с хранителями закрытых ключей предсказать не берусь. Возможно, что у авторов проекта Nymi всё получится и их прототип приведёт к тому, что данный ролик станет нашей реальность: Не представляю, правда, как в Nymi встроить российскую криптографию. Подозреваю, что  без участия самих разработчиков - никак. А вот что вполне реально можно сделать, так это совместить Рутокен ЭЦП Bluetooth и трастскрин. Ведь Рутокен ЭЦП Bluetooth лишь убирает провода, но никак не защищает от описанного мной выше трояна всемогущего, установленного на компьютере и подменяющего платёжки. Кстати, даже могу представить, кто мог бы такое совмещённое устройство выпустить - компания Актив, у которой среди продуктов есть и трастскрин (пока проводной). Всё же собственное производство имеет свои преимущества над иными подходами, когда просто перепродаются чужие решения, адаптированные под российские реалии, или когда под новоявленный рынку бренд собирают солянку из продуктов разных производителей. Между прочим, если бы в YotaPhone кроме/вместо второго экрана вставили чип смарт-карты с независимой от телефона операционной системой и поддержкой ГОСТ, был бы действительно инновационный российский продукт.

  • 06 Декабря 2013 » Отечественные системы обнаружения атак/вторжений
    В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег. Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам: сертификация: отсутствует сделана минимальная «для галочки» высокий уровень сертификации признанность (распространённость) продукта: известен и используется в мире присутствует только на региональном рынке В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная. Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК. ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса - от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать. ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК, где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой - низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно. Всего по требованиям ФСБ, согласно Перечня... сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре  (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два. Итоговый список отечественных IDS и их сертификатов выглядит так: [caption id="attachment_5093" align="aligncenter" width="708"] Отечественные системы обнаружения атак[/caption] Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию "Бумаженщиков", как бы обидно такое определение для них ни звучало. К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в соответствующий раздел Каталога СЗИ и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты: Аргус, версия 1.0 Аргус, версия 1.5 Детектор атак «Континент» (на базе АПКШ Континент 3.7) Рубикон Ручей-М Тор Форпост ViPNet IDS Каталог СЗИ пока в стадии наполнения и вполне может содержать неточности, хотя я этого старался максимально избежать. Что же касается полноты, то объём информации и число представленных средств защиты информации обязательно будут увеличиваться.

  • 24 Ноября 2013 » Только тронь меня!
    Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев. Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики. Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID - это отличное решение с точки зрения безопасности. Попробую это продемонстировать. Наши смартфоны по мере становления всё более смарт- и всё менее просто -фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много. Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple - простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство. Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными. Выставлять запрос пароля только через час на мой взгляд слишком небезопасно - за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут - слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас. К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3). Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты. Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK. Цифровой PIN-код: нажать кнопку Home и ввести 4 символа. Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо. Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды. В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID - сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана. Что ещё удобно в Touch ID на мой взгляд. Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много - вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток. Палец можно прикладывать хоть вверх ногами (если так можно выразиться) - распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше. Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально). Явно удачная технология скорее всего будет использована Apple в других её устройствах - iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь. [box]Paranoid mode: ON[/box] Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен. [box]Paranoid mode: OFF[/box] Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно - хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится - удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.

  • 13 Ноября 2013 » Сертификационные гонки по вертикали
    Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране. На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы. Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года: iPad - 58 заказов iPhone - 16 заказов Android - 13 заказов Samsung Galaxy - 8 заказов Sony Xperia - 2 заказа Nokia Lumia - 0 заказов Nexus - 0 заказов (единственный имеющийся не относится к теме - "Приобретение амплификатора для проведения реакций ПЦР (Eppendorf Mastercycler nexus gradient или аналогичная)") К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские. Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”. Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось. Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее. Причина №1. Нераспространённость. Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке. Причина №2. Технические сложности. В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем. Причина №3. Частота обновления операционной системы (ОС). Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде. Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию). Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года. Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена. Теперь посмотрим на жизненые циклы iOS: Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется. Пионеры сертификационных гонок. Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS. Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что: КриптоПро версии 3.6.1 может использоваться в программно-аппаратных средах iOS версии 4.2.х, 4.3.х, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1. ViPNet Client iOS 1.1 поддерживает только iOS версии: 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4; 4.3.3 — для iPad 2; 5.0.1 — для iPad 2, iPhone 4S; 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS. При этом: должен быть выполнен джейлбрейк устройства [..], то есть разблокирован доступ к его файловой системе, и установлен менеджер пакетов Cydia. Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине. Закругляюсь Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.” Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует. Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad. В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.

  • 08 Ноября 2013 » Парольная скорость
    Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем. Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаем - после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется - руки сами всё наберут. Аналогично с токеном. Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само. Также пользователь может использовать для входа одноразовый пароль (OTP - one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону - требуется концентрация внимания на процессе ввода. Для полноты картины упомяну ещё один метод разблокировки компьютера - ввод одноразового кода (OTC - one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure, запатентовавшая PINSafe - метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше. При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств. Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера: 1 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 2 место. Пароль - даже сложный пароль со временем будет вводиться на автомате. 3 место. OTP - меняется каждый раз, нужна концентрация внимания. 4 место. OTC (PINSafe) - нужно каждый раз вычислять из секретной строки. Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее: 1 место. OTP - просто нажал кнопку или посмотрел на экран и считал одноразовый пароль. 2 место. OTC (PINSafe) - нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно. 3 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 4 место. Пароль - даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры. В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью. Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac. Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить пароль даже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0, славящийся своим низким энергопотреблением, так что дело явно в этом.

  • 04 Ноября 2013 » (Российские криптошлюзы)++
    Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице). Теперь же появился повод взглянуть на этот класс решений под немного иным углом - с точки зрения применения в них криптографии. Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь. Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом. Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования. Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом. Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значится более 2000 позиций, а в аналогичном Перечне от ФСБ - в пять раз меньше. Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России). Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу. После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером. Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика. Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты: ViPNet (разработчик ИнфоТеКС) Континент (разработчик Информзащита, Код Безопасности) CSP VPN (разработчик С-Терра СиЭсПи) ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС) StoneGate SSL VPN (разработчик Новые технологии безопасности) DioNIS (разработчик Фактор-ТС) АТЛИКС-VPN (разработчик НТЦ Атлас) Туннель (разработчик АМИКОН, ИнфоКрипт -  ПАК на основе ФПСУ-IP) Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера: Модуль HSM (разработчик НТЦ Атлас, описание) М-448-1.4 (разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание) Барьер IPSec (разработчик Валидата) КриптоПро CSP/IPSec (разработчик  КРИПТО-ПРО) Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно. Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился. Ситуация серьёзно изменилась в прошлом году, когда произошло знаковое (но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ. Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры? Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN. Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификацией, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ № СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee и своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная. Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

  • 20 Октября 2013 » Как отправлять SMS с iPad и не попасть впросак
    Рассмотрим сегодня любопытный сервис от компании Мегафон - UMS (Unified Messaging Solution), позволяющий объединить в одном приложении SMS, MMS, ленты и чаты социальных сетей. Подход компании Apple, блокирующей в своих планшетах, оснащённых SIM-картами, возможность звонить, посылать короткие USSD-команды, а также отправлять и принимать SMS и MMS, понять, наверное, можно. В конце концов, iPhone тоже ведь продавать надо =) Но иногда очень хочется обойти это искусственно установленное ограничение. Конечно, можно прекрасно звонить через Skype или FaceTime, а сообщения отправлять по iMessage или через web-сайт оператора сотовой связи, но области применения каждого из этих вариантов имеют свои ограничения и неудобства, а для владельца Nokia 3310 ни один  из них не оставляет шанса связаться с вами - ни позвонить, ни отправить SMS на ваш iPad у него не выйдет. К сожалению, для абонентов других сотовых операторов элегантного решения не знаю, а Мегафон для своих клиентов вот уже почти год как предлагает сервис UMS и соответствующие приложения для мобильных устройств (сейчас есть версии для iOS, Android и Windows Phone). Скачать версию UMS HD для iPad можно в App Store. Для входа в приложение нужно ввести номер телефона и пароль от Сервис-Гида. Почему в UMS используется тот же пароль, что и для доступа к Сервис-Гиду, я не понимаю. С точки зрения безопасности - это дополнительная уязвимость. Забавно, что в специально написанной для iPad версии приложения пароль предлагается установить в том числе с помощью USSD-запросов. Разработчики, мне кажется, всё же должны понимать странность таких вариантов. Но, к счастью, предусмотрен и другой способ - через личный интернет-кабинет в сервисе самообслуживания sg.megafon.ru Вот только зайти на него через, например, WiFi-подключение не выйдет, нужно воспользоваться мобильным интернетом. Несмотря на всю кажущуюся простоту, при установке этого пароля могут, конечно, возникнуть и какие-то сложности. В таком случае рекомендую решать их, обратившись непосредственно в Мегафон (контакты для Москвы). Помогают лучше, чем поиск по форумам и сайтам, проверено. Итак, все нюансы позади и приложение UMS успешно запущено. Теперь SMS-сообщения, отправляемые на номер, используемый в вашем iPad, будут не просто теряться где-то в недрах оператора, а отображаться в приложении. Удобно, что ни говори. В качестве дополнения приложение UMS позволяет подключить другие сервисы сообщений и социальные сети. Единая лента сообщений, конечно, может быть удобной, но всё же я бы не рекомендовал объединять все соцсети в одном приложении. Во всяком случае, не в приложении от Мегафон. Напомню, что с сервисом UMS связан недавний скандал, касающийся клиентов банка Тинькофф. Тогда злоумышленники, воспользовавшись несовершенством Сервис-Гида и UMS, получили доступ к SMS-сообщениям, в том числе тем, что отправлял банк. Имея такой инструмент, злоумышленники смогли менять пароли от интернет-банкинга и осуществлять переводы от имени клиентов банка Тинькофф на свои счета. В ситуации разобрались, деньги вернули, уязвимости устранили (потенциально опасная доставка SMS-сообщений от банков через сервис UMS теперь отключена), но уверенности в полной безопасности данного приложения я лично, например, не испытываю. В настройках приложения есть два обрадовавших меня по началу раздела Приватность и Безопасность. Однако, в Приватности полезны разве что отключение статистики Google и доступа приложения к адресной книге, а вот Безопасность же и вовсе на iPad не рассчитана. Включение в разделе Безопасность обязательного ввода Кода проверки по SMS - вещь, безусловно, полезная. Однако, её суть в том, что для входа нужно будет ввести пароль, отправляемый по SMS, но непоказываемый в самом приложении. Если под рукой нет телефона, в который можно переставить SIM-карту из iPad (мой вариант), то узнать этот код не получится, а потому и опцию эту никак не задействовать. К слову, в приложении можно указать любой телефон, не обязательно тот, который записан на SIM-карте, вставленной в iPad. Это даст вам возможность получать и писать сообщения с другого своего номера. Иногда это удобно. В заключение несколько рекомендаций пользователям UMS HD: установите сложный пароль от Сервис-Гид (Мегафон позволяет использовать до 26 цифр) настройте уведомление о входе в Сервис-Гид в личном кабинете на сайте sg.megafon.ru (Настройки Сервис-Гид -> Оповещение) по возможности не подключайте в приложении другие социальные сети и сервисы общения отключите в настройках доступ приложения к адресной книге отключите предпросмотр сообщений, чтобы текст входящих сообщений не появлялся на экране iPad активируйте опцию Код проверки по SMS (потребуется телефон, в который можно вставить SIM-карту из iPad, или визит в офис Мегафон) и разработчикам UMS HD: сделать отдельный от Сервис-Гида пароль для UMS установить пароль (хотя бы ПИН-код) на вход в приложение переработать механизм установки Кода проверки по SMS для iPad-версии  

  • 10 Октября 2013 » Сертифицированные межсетевые экраны (часть 9)
    Почти год прошёл с момента последней актуализации таблицы сертифицированных межсетевых экранов, пришла пора обновить информацию в ней, пока она окончательно не устарела. Для оптимизации внешнего вида в самой таблице убрал ссылки - поддерживать их в актуальном состоянии не просто, а найти сайт вендора или описание продукта самостоятельно не так и сложно, а также исключил малоинформативные столбцы про ОС и актуальность - условно будем считать, что продукт актуален, пока на него действует сертификат. Посмотрим, какие изменения произошли с ноября прошлого года. Прежде всего приведу краткий список продлённых сертификатов: DioNIS Security Server v.6.0 - №359/5 до 03 мая 2015 года ИВК Кольчуга - №1094/1 до 29.06.2015 Cisco ASA-5505 - №1976 до 11.12.2015 ViPNet CUSTOM 3.2 - №1549/1 до 26.05.2016 ФПСУ-IP/Клиент - №1281 до 03.11.2015 WatchGuard Firebox - №2038 до 16.02.2016 ССПТ-2 - №2141 до 23.07.2016 (согласно разработчику) Security Studio Endpoint Protection Personal Firewall - №2170 до 20.09.2016 CSP VPN Server v. 3.1 - №2197 до 10.11.2016 CSP VPN Gate v. 3.1 - №2198 до 10.11.2016 CSP VPN Client v. 3.1 - №2199 до 10.11.2016 TrustAccess - №2146 до 30.07.2016 (согласно разработчику) TrustAccess S - №2147 до 30.07.2016 (согласно разработчику) Z-2 - №1353 до 09.03.2016 Z-2, версия 2.6 - №1353/1 до 05.08.2015 Последние два, как оказалось, рано были списаны мной со счетов, раз сертификаты на них были обновлены. Информация о некоторых продлениях пока отсутствует в реестре, но имеется на сайте разработчиков. В таблице дата окончания таких сертификатов отмечена оранжевым цветом. Теперь о "потерях". Закончили своё действие и не были продлены целый ряд сертификатов на продукты Cisco: ASA-5510, ASA-5520, Cisco ASA-5540, FWSM, 1800, 2800, 3800, 7200, 7600, 3750, 1841, 2811, 6509, 3825. Есть непродлившиеся сертфикаты у Кода Безопасности, ЛИССИ-Крипто, Check Point. Все их убрал из таблицы. «Отмучались» Proventia Server и Proventia Desktop, сильно сдавшие позиции после покупкой их производителя ISS компанией IBM. Видимо, ничего не получилось и с «псевдо-российским» RSOS6850 - сертификат на него не был продлён. Есть также несколько сертификатов Cisco, ИнфоТеКС и Stonesoft, истекших в августе, которые пока оставил в таблице, так как есть в её обновлении определённая инертность. Про Stonesoft, кстати, достоверно знаю, что сертификаты будут продлены. С сертификатом №2540 на Cisco 881 история получилась странная - ранее он присутствовал в реестре с указанием «серия», сейчас же только «20 экз.». Убираем. Забавная накладка с сертификатом №1091 на ФПСУ-IP - он всё ещё числится в реестре ФСТЭК как просроченный, хотя актуальная (не фейковая ли только?) копия присутствует на сайте вендора. Наконец, в реестре появилось значительное число новых сертифицированных межсетевых экранов как от уже присутствующих на этом рынке игроков, так и от совсем новых: D-Link DFL-260E D-Link DFL-860E D-Link DFL-1660 Kerio Control Altell NEO ПО Check Point Security Gateway R71 Filter D-Link DFL-256 Cisco 2911R Dionis NX Deep Security 8.0 Cisco ASA 5510 Cisco IE-3000-8TC ViPNet Terminal 3.0 Подробнее о новинках поговорим в следующий раз, пока же выкладываю обновлённую таблицу. Если у вас предложения/замечания - буду за них признателен. Мои контакты.

  • 09 Октября 2013 » Колбаса, дороги и стандарты ИБ
    Выкладываю презентацию и диаграмму связей с сегодняшей блогер-панели: «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем», проходившей в рамках INFOBEZ-EXPO. Организаторам, коллегам-блогерам и слушателям - спасибо, было интересно! Колбаса, дороги и стандарты ИБ. from Alexey Komarov [caption id="attachment_4135" align="aligncenter" width="300"] Диаграмма связей о Стандартах[/caption]

  • 22 Сентября 2013 » Компания, которой больше нет
    Пару недель назад в самом начале сентября исполнилось (бы) 6 лет компании SafeLine, да вот только отмечать очередной день рождения было некому: в конце мая 2013 года было объявлено о покупке SafeLine дистрибутором из ГК ЛАНИТ - Treolan. Возможно, что юридическое лицо ООО “Сейфлайн” всё ещё существует: в конце концов, есть лицензии, заключённые с партнёрами и вендорами договора, которые вот так быстро не переоформишь. Вместе с тем, сам бренд, видимо, существовать окончательно перестал. SafeLine не выставляется больше на выставках, не видно статей и комментариев от имени сотрудников, да и сайт http://safe-line.ru переадресует всех на подраздел сайта Треолана. Идея, положенная в основу создававшегося в 2007 году российского специализированного дистрибутора в области информационной безопасности, была, на мой взгляд, отлична: расширение регионального присутствия и представление на российском рынке самых прогрессивных и востребованных решений от мировых лидеров в области информационной безопасности. Да и самому холдингу Информзащита такое выделение дистрибуторского бизнеса в отдельное юрлицо сулило только выгоды. Владимир Гайкович: “Выделение дистрибуции в отдельный бизнес позволяет компании «Информзащита» сосредоточить свои усилия на расширении спектра сервисов в области информационной безопасности, как приоритетного направления нашего дальнейшего развития.” Забегая вперёд, не могу не отметить, что продавали компанию почти с теми же словами =) Пётр Ефимов: “Продажа Safeline продиктована желанием акционеров ГК «Информзащиты» сосредоточить усилия на развитии основных направлений своего бизнеса — разработке средств защиты информации и оказании услуг в области ИБ. ” А пока у руля новой компании встал Михаил Савельев. Всего SafeLine пережил три периода жизни с тремя разными командами, в двух из которых мне довелось поработать. Михаила все с любовью называли человек-пароход за его непомерную активность, универсальность, эрудированность и умение делать абсолютно всё с одинаковой степенью успешности. Главные достижения SafeLine эпохи Михаила Савельева на мой субъективный взгляд - это существенное укрепление и расширение партнёрской сети, продающей продукты собственной разработки ГК Информзащита (чуть позже под разработку была также выделена отдельная компания - Код Безопасности) и начало вывода на российский рынок продуктов Fortinet. К сожалению, в конце лета 2009 года Михаил покидает SafeLine. Очень хорошо помню его проводы и то, как подарили ему бумеранг на прощание. Бумеранг, как ни странно, сработал - Михаил Савельев вернулся в конце 2011 года, правда в другую дочернюю компанию Информзащиты - Учебный Центр. SafeLine же с осени 2009 по весну 2012, дольше, кстати, чем кто-либо другой, возглавлял Василий Дубинин. Данный период лично я считаю самым успешным за всю историю компании. Любой дистрибутор, входящий в холдинг, неизбежно сталкивается с недоверием со стороны партнёров, если в холдинге присутствует такой же системный интегратор. Думаю, природу такого недоверия объяснять не нужно. SafeLine при Василии (не всеми, но) большинством партнёров начал действительно восприниматься как надёжный и независимый от кого бы то ни было дистрибутор. Другое важное достижение - это существенное увеличение доли вендорской продукции. Fortinet продолжил наращивание своего присутствия в России, а Stonesoft, например, и вовсе превратился в одного из сильнейших игроков в своём сегменте. Конечно, основная заслуга в этом у представительства Stonesoft, но и роль дистрибутора преуменьшать нельзя. Не зря же SafeLine дважды по итогам 2011 и 2012 годов получал приз “Зубр дистрибуции” от Stonesoft.  Наконец, важнейшей для меня лично заслугой Василия Дубинина является то, что костяк по крупицам собранной и годами совместной работы отлаженной команды он сумел сохранить, правда, уже в рамках NGS Distribution. Эпоха безвременья, начавшаяся с уходом Василия, закончилась в SafeLine ближе к осени 2012, когда новое пламя жизни в охладевший было труп вдохнул Олег Бакшинский и его (судя по LinkedIn) команда из другого дистрибутора - headtechnology. Могу честно сказать, что у них отлично начало получаться, но так вышло, что времени окончательно развернуться коллегам так и не дали, подрезав крылья прямо на взлёте, не позволив толком проработать даже и года. Портфель только-только начал расти, сайт преображаться, а партнёры привыкать к новым адресам сотрудников, как внезапно для многих “сейфлайн отреоланился”. В заключение всех так или иначе причастных к компании SafeLine хочу пусть и с опозданием поздравить с шестилетием компании! Ведь отмечают же выпускники школ юбилеи давно несуществующих классов, так что и нам можно =) Коллеги предшествующие, бывшие и несостоявшиеся, с праздником!