Свежие посты   По годам   По датам
  • 20 Января 2014 » Углярка против ElcomSoft
    В середине декабря на портале госзакупок НПО «Специальная техника и связь» МВД России опубликовало открытый конкурс (заказ № 0373100088713000096) с длинным (как обычно) и странным (ну что за «Углярка»?) названием: «Создание аппаратно-программного комплекса для решения криптографических задач в рамках судебной компьютерной экспертизы», шифр «Удешевление (Углярка)». ОКР.» Согласно Техническому заданию (см. Раздел III) из конкурсной документации, госконтракт подразумевал создание к 15 ноября 2015 года аппаратно-программного комплекса (АПК) «для расширения возможностей, повышения качества и сокращения сроков производства компьютерных экспертиз и исследований, связанных с обеспечением доступа к зашифрованной компьютерной информации». Сейчас разберёмся, что скрывается за этим нагромождением слов. По описанию своих функциональных возможностей заказываемый НПО «Специальная техника и связь» комплекс очень похож на продукты компании ElcomSoft, предназначенные для восстановления паролей к зашифрованным файлам и системным ресурсам. Прилагаемый к техзаданию (ТЗ) требуемый список поддерживаемых форматов файлов и типов приложений структурирован несколько странно, содержит повторы и, скорее всего, был сформирован из описания набора программ ElcomSoft Password Recovery Bundle с примесью списка форматов приложения Encryption Analyzer или какого-то похожего. Список форматов довольно внушительный (более 200 строк, поэтому полностью тут его не привожу, можно посмотреть в ТЗ) и демонстрирует всю серьёзность намерений. Вот, например, к каким документам, приложениям и системам хотели бы получать доступ компьютерные эксперты МВД России: Microsoft Office (Word, Excel, PowerPoint, Project, Access, Outlook, Backup, OneNote), OpenDocument (OpenOffice, StarOffice etc), Apple iWork Системные пароли Microsoft Windows, UNIX, Remote Desktop Connections, пароли беспроводных сетей, хеши MD5 Mac OS / FileVault / Keychain / User / Hash, Apple Disk Image Резервные копии iPhone/iPod/iPad/BlackBerry BestCrypt, TrueCrypt, PGP и Open-Key TheBat!, Mozilla FireFox, Thunderbird, Google Chrome Website, Safari, MS Internet Explorer, ICQ MS Project, MS SQL, Microsoft Money Oracle, Intuit Quicken, Adobe Acrobat, Lotus Notes ACT!, FileMaker Pro, MYOB, Norton Backup, Schedule+, WordPerfect Peachtree, Paradox Database, Quattro, QuickBooks RAR, WinZip, ZIP Archive, 7-Zip С таким арсеналом и приличной вычислительной мощностью можно смело изымать любую компьютерную технику - крайне мало секретов на ней не будет раскрыто даже без содействия со стороны владельца, особенно если он беспечен. Кстати, по поводу мощности. Аппаратная часть АПК под условным названием Углярка должна была представлять собой: Сервер управления не хуже 2 x Xeon E5-2670/ 32 Гб/ 2 x 200 Гб SSD RAID; «Вычислитель» № 1 типа Super Micro 4U 7047GR-TPRF; «Вычислитель» № 2 на базе персональной ЭВМ х86 (Intel Core i5 LGA1155, ОП 4x240 pin DDR Slots up to 32 GB, USB 3.0), с устанавливаемой платой ПЛИС с поддержкой OpenCL. Никаких аппаратных ускорителей или сверхмощных видеокарт, только плата ПЛИС, хотя и с поддержкой OpenCL. Из других требований к АПК: максимальное число пользователей - не менее 500, продолжительность гарантийного обслуживания - не менее двух лет.  Начальная максимальная цена контракта не много не мало - 20 000 000 руб. Для обоснования данной цифры, как это принято, было проведено «исследование рынка» и получены данные от трёх независимых организаций, которые по «случайному» совпадению при усреднении дали ровное красивое число: Не занимался никогда заказными разработками программного обеспечения, но цена обладания всеми правами (согласно ТЗ все исходные коды также передаются заказчику) на такой инструмент вроде бы представляется вполне адекватной. Особенно на фоне покупок на бюджетные деньги топовых иномарок и аренды вертолётов. С другой стороны, на рынке уже существует готовое решение и было бы интересно сравнить стоимость Углярки с ним. Справедливости ради нужно отметить, что, конечно, есть в техзадании нюансы, отличающие заказную разработку от продукта ElcomSoft. Например, требуется поддержка в web-интерфейсе оператора SSL и TLS со схемами шифрования, включающими ГОСТ. Впрочем, с точки зрения основного предназначения, такие мелочи представляются незначительными, тем более, что «в процессе выполнения ОКР отдельные пункты настоящего ТЗ могут быть изменены или уточнены». Начнём считать. Цена программного обеспечения ElcomSoft Password Recovery Bundle Business Edition как раз с поддержкой 500 клиентов составляет чуть меньше полумиллиона рублей - 449 995 руб. Стоимость сервера управления примерно равна 270 000 руб. Вычислитель №1 стоит порядка 70 000 руб. Что подразумевается под Вычислителем №2 точно я не понял, но пусть он стоит даже 100 000 руб. за счёт какой-то особенной требуемой платы ПЛИС. Стоимость Encryption Analyzer я бы всё же не стал учитывать, так как только очень уж экзотические форматы есть у него и нет у продукта ElcomSoft (MYOB, FileMaker Pro - вы знали о таких?). Потребуется ещё три операционные системы Windows. Заложим на них и ещё упоминаемый в ТЗ антивирус суммарно 30 тыс. руб. Просуммировав, получаем цену одного уже готового комплекса, почти соответствующего техзаданию, около 920 тыс. руб. Гарантийное обслуживание нужно в течение двух лет, так что придётся ещё доплатить 40% за программное обеспечение ElcomSoft (такой процент указан у них на сайте) и, допустим, 30% за аппаратное.  Учтём ещё 30% за расширенную поддержку Windows и антивируса (на такой важный АПК не жалко). Итоговая стоимость получается в районе 1 млн. 240 тыс. руб. Несложно посчитать, что за двадцать миллионов рублей можно купить 16 готовых (это без скидок) к использованию комплексов на базе ElcomSoft, практически полностью соответствующих техзаданию и сразу начать их использовать. В случае с Угляркой за ту же сумму к ноябрю 2015 года должен был бы быть готов только один аппаратно-программный комплекс, зато были бы предоставлены исходные коды, что позволило бы тиражировать Углярку в нужном количестве, приобретая только оборудование (цена каждого нового комплекса составила бы с учётом гарантии на два года чуть больше 600 тыс. руб. С одной стороны, иметь в распоряжении исходные коды - это отлично, но с другой - стоимость Углярки в пересчёте на одну штуку стала бы меньше стоимости АПК на базе ElcomSoft только начиная с 32 комплекса. Есть ли у МВД реальная потребность в таком количестве комплексов, с учётом, что каждый из них рассчитан на 500 пользователей? Кстати, я пишу про этот ПАК в сослагательном наклонении так как конкурс не состоялся по причине предоставления заявки только от одного участника - ООО НТЦ Вулкан. Причина отказа других не ясна. [box type=”info” style=”rounded”]UPD. 23.01.2014 Как и предполагали опытные коллеги, обсуждавшие эту закупку, контракт на создание для МВД аналога продуктов ElcomSoft будет подписан с единственным заявителем - НТЦ “Вулкан”. Вот текст итогового протокола.[/box] Есть у меня также некоторое предположение, что разработанный по заказу ФКУ НПО “СТиС” МВД России АПК Углярка был бы далеко не бесплатен для структур МВД, как и остальные их разработки, так что на потенциальную экономию бюджетных средств вообще надеяться сложно. Пока разбирался в этом заинтересовавшем меня конкурсе, задумался - а как сейчас осуществляется компьютерная экспертиза? Ведь наверняка шифрованные ноутбуки и запароленные архивы всплывают при расследованиях то тут, то там. Закупают-таки (мне, правда, с ходу ни одной такой закупки найти не удалось, а предполагать пиратское использование того же ElcomSoft не хочется) ПО для подбора паролей? Заказывают работы на стороне и эти услуги крайне дороги? С этим связано «Удешевление» в названии конкурса? Возможно, конечно, что в техзадании я что-то упустил и не включил в условный АПК ElcomSoft пары компонентов. Пусть так. Пусть даже я сильно ошибся и Углярка начала бы окупаться не с 32, а с 22 экземпляра, но хоть кто-то делал более глубокий, чем в этом посте, анализ экономической обоснованности такой разработки? Не думаю. В общем, не хватает нашей системе госзакупок прозрачности в части их экономической целесообразности. Часто в конкурсной документации вообще отсутствует обоснование или оно слишком уж формально. А жаль. Я бы с интересом почитал, как чиновники, например, обосновывают необходимость закупать именно iPad Air с защитной плёнкой LuxCase и чёрным кожанным чехлом Iridium. В случае же с Угляркой в качестве основания для создания этого АПК приведён вот такой список: Проект плана научного обеспечения деятельности органов внутренних дел и внутренних войск МВД России на 2014 год. Тактико-технические требования на ОКР. Решение научно-практической секции ЭКЦ МВД России. Протокол от 04.04.2013 № 3. Выглядит солидно, но этих документов нет в свободном доступе на сайте МВД и потому их содержание для меня покрыто завесой тайны, равно как и все остальные вопросы, связанные с этой попыткой потратить двадцать миллионов рублей на АПК Углярка. Быть может, у вас есть какие-то идеи или соображения?

  • 14 Января 2014 » Свежие Магические Квадранты Гартнера
    [box type=”info” style=”rounded”]Актуализируемый список квадратов доступен в соответствующем разделе сайта: Gartner Magic Quadrants[/box] Подготовил небольшую подборку свежих (ноябрь-декабрь 2013 года) Магических Квадрантов (или Квадратов - как кому нравится) от Гартнера (Gartner Magic Quadrants) по интересным мне направлениям. Если вы, как и я, не все из них видели, приглашаю ознакомиться. Magic Quadrant for Content-Aware Data Loss Prevention 12.12.2013 G00253215 Magic Quadrant for Data Masking Technology 12.12.2013 G00247005 Magic Quadrant for Enterprise Information Archiving 05.11.2013 G00254034 Magic Quadrant for Identity Governance and Administration 30.12.2013 G00253758 Magic Quadrant for Intrusion Prevention Systems 16.12.2013 G00253078 Magic Quadrant for Network Access Control 12.12.2013 G00249599 Magic Quadrant for User Authentication 09.12.2013 G00249409 Более полная подборка Gartner Magic Quadrants доступна в соответствующем разделе на ZLONOV.RU.

  • 10 Января 2014 » Следим за реестрами ФСТЭК
    Есть на сайте ФСТЭК помимо прочей информации, которую, к слову, порой найти довольно сложно, такой полезный документ как Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00. Хочу поделиться небольшим советом, как отслеживать изменения в нём иначе, чем вручную. Собственно, сама дата последней актуализации указана в явном виде на странице с реестром (“1.Дата обновления” - см. рис. ниже), но меня интересовало автоматическое уведомление о произошедших изменениях. Сначала пытался отслеживать обновления страницы с помощью сервиса page2rss, о котором писал ранее, но в силу специфики самой страницы работал метод, честно говоря, не очень. Глядя на картинку, вы уже наверняка догадались (а может, в отличие от меня, и раньше знали) о гораздо более простом способе. Реестр выложен не только в виде .ods файла, доступного для скачивания, но и на Google Диск, поэтому нужно лишь авторизоваться под своей учётной записью (“2.Вход в Google”) и в Инструментах выбрать пункт Уведомления (“3.Настройка уведомлений”). Дальше просто добавляем правило по автоматическому уведомлению об изменениях по электронной почте. Например, так: На сайте, конечно, есть некое подобие новостной ленты с обновлениями, правда устроена она как-то странно: http://fstec.ru/novosti/2013/10, а RSS-подписка и вовсе не работает: http://fstec.ru/rss-lenta?format=feed&type=rss, но даже если её и починят, то всё равно будет не удобно, так как придётся просматривать все изменения всех документов, даже если интересует только один реестр. Аналогично можно следить и за другими реестрами на сайте ФСТЭК: Реестр лицензий на деятельность по технической защите конфиденциальной информации Реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации Сведения об аттестационных центрах, осуществляющих деятельность по проведению специальных экспертиз организаций К сожалению, для отслеживания Перечня средств защиты информации, сертифицированных ФСБ России такого же простого способа мне пока найти не удалось.

  • 30 Декабря 2013 » ТОП-10 постов 2013 года на ZLONOV.RU
    На носу у нас Новый Год и пришла пора как и год назад подвести краткий итог и представить вашему вниманию 10 самых читаемых постов этого блога за прошедший год. От слов к делу. Вот как распределились предпочтения читателей, оцениваемые мною по общему числу просмотров конкретных постов. Программы для диаграмм связей (mind map) Обзор появился по итогам поиска подходящего под мои конкретные запросы решения для работы с диаграммами связей ("майндкартами"), но получился достаточно общим и, судя по всему, полезным не только мне. Логические задачи на собеседовании В этом посте поделился своими любимыми задачами, иногда задаваемыми соискателям на собеседованиях, и предложил читателям попробовать ответить на них. Сейчас собираю коллекцию задач для поста-продолжения, но это не так просто, как может показаться: сборников головоломок и логических задач в сети Интернет предостаточно, а вот по-настоящему красивых задач в них мало, приходится их буквально выискивать. Как отправлять SMS с iPad и не попасть впросак Анализ с точки зрения безопасности решения компании Мегафон UMS HD, позволяющего отправлять и принимать SMS-сообщения в том числе и с iPad. UTM… как это по-русски? Рассмотрены представленные на нашем рынке UTM-решения и рассмотрена их адаптированность под локальные особенности. Компания, которой больше нет Пост-воспоминание о канувшей в Лету Треолан компании SafeLine. Сертифицированные межсетевые экраны (часть 9) Очередная часть моего большого обзора сертифицированных межсетевых экранов. В планах более развёрнутый обзор новинок этого сегмента, появившихся в 2013 году, упомянутых пока только вскользь. Это (ино)странное слово UTM Мировой обзор UTM-решений из соответствующих квадратов Gartner. Российские межсетевые экраны в магическом квадранте Gartner Первоапрельский пост про высокую откатоёмкость и выдающиеся откатогенерирующие возможности =) Спасибо за Forbidden! Пост с благодарностью моему хостинг-провайдеру за заботу о безопасности. (Российские криптошлюзы)++ Обзор сертифицированных ФСБ межсетевых экранов, приуроченный к получению сертификата на решение StoneGate FW/VPN компании Stonesoft. Отдельно хотел бы порекомендовать к прочтению пост Эволюция хранителей закрытых ключей недельной давности, хотя формально, конечно, число его прочтений меньше, чем у постов, представленных в рейтинге. Для меня как для автора блога уходящий год ознаменовался переездом в мае c площадки Blogspot.com на отдельный собственный домен ZLONOV.RU.  Вообще, этот домен зарегистрирован уже давно и я немало экспериментировал, пробуя разные концепции, подходы и, конечно, движки для сайтов. В итоге свой выбор остановил на Wordpress, позволяющем не просто вести блог, но и за счёт огромного набора плагинов реализовать множество разнообразного функционала. Так, например, совсем недавно получилось запустить Каталог Средств Защиты Информации, который отдельно пока не представлял, так что делаю это сейчас. В Каталоге СЗИ представлены продукты и решения, имеющие сертификаты ФСТЭК и ФСБ. По каждому СЗИ (пока не совсем по каждому, но по многим) представлено его краткое описание, изображение (это, кстати, чуть ли не самая трудная часть при заполнении каталога), приведены сертификаты со сканами (если они доступны) и проставлены теги, облегчающие поиск подходящих средств защиты. Пока в Каталоге превалируют сертифицированные межсетевые экраны и средства обнаружения атак/вторжений, по которым я делал соответствующие обзоры, но со временем будут появляться и новые СЗИ. На этом закругляюсь, поздравляю всех вас, мои дорогие читатели, с новым годом и желаю успешного 2014 года! До встречи в Сети! С праздником!

  • 23 Декабря 2013 » Эволюция хранителей закрытых ключей
    Чтобы два субъекта могли безопасно общаться друг с другом, им нужен общий разделяемый секрет - что-то, что известно только им двоим и никому больше. В современном мире в качестве субъектов выступают пользователи компьютеров и/или сервисы, а в качестве общих секретов - пароли и ключи шифрования. О последних, а точнее о способах их хранения, и поговорим. Пока криптография была только симметричной (оба абонента использовали один и тот же общий ключ и для шифрования и для расшифрования), главной проблемой была безопасная доставка ключа шифрования от одного абонента другому. Требовался очень надёжный доверенный канал передачи (личная встреча, спецпочта и т.п.) Трудно представить, как бы вообще выглядел современный Интернет, если бы не была изобретена криптография с открытым ключом, а Диффи и Хеллман (и Меркл) не предложили алгоритм, позволяющий создавать тот самый общий секрет двум абонентам прямо у всех на виду. Процесс создания общего секрета напоминает трюк фокусника и очень хорошо проиллюстрирован вот в этом небольшом ролике: Криптография с открытым ключом активно используется в том числе и для электронной цифровой подписи (ЭЦП). Собственно, сама идеология ЭЦП построена на существовании пары открытый-закрытый ключ и предположении, что закрытый ключ есть только у одного единственного человека (сервиса/сервера и т.п.) В зависимости от используемого алгоритма типичная длина закрытого ключа составляет 1024 или 2048 бит (для алгоритмов, построенных на дискретных логарифмах). Если записать этот ключ 26 строчными и 26 прописными буквами латинского алфавита (aAbBcC…zZ), 10 цифрами (123…90) и, например, парой спецсимволов (.,), то потребуется 1024/log264 = 171 или 2048/log264 = 342 символа соответственно. Запомнить нечто такое обычный пользователь без спецтренировки, очевидно, не в состоянии. Закрытый ключ приходится где-то сохранять. Далее такие устройства при всём их многообразии буду для определённости называть хранителями закрытых ключей. Первоначально закрытые ключи хранили просто на жёстком диске (например, в ветке реестра ОС или в специальном файле-контейнере). Способ применяли ещё в те времена, когда по мобильному телефону только звонили, а компьютер мог быть один на отдел, так что с точки зрения удобства использования особых проблем не возникало. Проблемы были с безопасностью: понятно, что такой способ хранения закрытого ключа крайне ненадёжен. Злоумышленник, получив доступ к компьютеру, автоматически получал в своё распоряжение и закрытый ключ, пусть даже и защищённый паролем. Скопировав контейнер, злоумышленник мог уже в спокойной обстановке подобрать пароль от него и получить требуемый доступ. Позже к офлайн злоумышленникам добавилась новая угроза - трояны, похищающие информацию удалённо. Данный вид атаки вкупе с другими факторами привёл к началу использования внешних носителей для хранения закрытых ключей. В качестве ключевых носителей первоначально выступали обычные дискеты. Пользователи теперь могли работать на нескольких компьютерах, а по окончании рабочего дня запирать дискеты в сейф. От неблагонадёжных коллег и нарушителей, проникающих в помещение, такой вариант был эффективен, но троян всё так же мог похитить контейнер, правда, теперь уже только в момент использования самого носителя. Нужен был принципиально новый хранитель закрытых ключей и в качестве такового выступила смарт-карта. Упрощённо говоря, смарт-карта - это фактически компьютер с собственной операционной системой, оперативной памятью и внутренним хранилищем («жёстким диском»). Сама архитектура смарт-карт предполагает их защищённость от внешнего несанционированного доступа, так как все обращения к внутреннему содержимому возможны только через интерфейс операционной системы после ввода верного PIN-кода. Технологически смарт-карты выполняются на одном чипе и имеют защиту от прямого считывания данных с него. В Википедии приведены иные разновидности смарт-карт, в частности те, что оснащены RFID-меткой и предназначены для бесконтактной работы (считыватели на дверях, турникетах и т.д.), но нас они сегодня не интересуют. Мы говорим о контактных смарт-картах, для работы с которыми требуется отдельное устройство (встроенные встречаются крайне редко) - считыватель смарт-карт (или карт-ридер). Что действительно важно в смарт-картах с точки зрения хранения закрытых ключей, так это их встроенные возможности по выполнению математических (криптографических) операций с закрытыми ключами и даже генерации этих ключей внутри самой смарт-карты. В последнем случае закрытые ключи в принципе никогда не покидают внутренней памяти чипа смарт-карты и все действия с ними производятся операционной системой смарт-карты также внутри. Наружу выдаётся только итоговый результат, например, ЭЦП. Следующей важной вехой в эволюции хранителей закрытых ключей стало изобретение группой сотрудников израильской компании Aladdin Knowledge System (патент US 6763399 B2) смарт-карты в исполнении в виде USB-ключа. Их также называют USB-токенами. Токеном в самом широком смысле принято называть обобщённо весь класс таких устройств (есть, как вы, вероятнее всего, знаете, даже разновидности с экранами и кнопками). USB-токен хоть внешне похож на обычную флешку, представляет собой чип смарт-карты, совмещённый со считывателем (карт-ридером) и размещённый в компактном корпусе. USB-токены быстро стали популярны за счёт простоты использования, ведь для них не требовалось никакого дополнительного оборудования, а достаточно было USB-порта, имеющегося практически на любом компьютере и ноутбуке. Несмотря на всё удобство USB-токенов, смарт-карты в классическом их исполнении в виде кусочка пластика долго время занимали на мировом рынке большую долю, чем USB-токены, в силу инертности корпоративных клиентов (а ведь именно они являются важнейшими потребителями таких средств), а также ряда дополнительных возможностей, таких как уже упоминавшаяся выше возможность встраивания RFID-меток и нанесения дополнительной информации на пластик - например, фото и должности сотрудника. Единый бейдж действительно в ряде случаев удобен. В России же, пропустившей этап зарождения рынка аппаратных средств аутентификации, токены в USB-исполнении стали гораздо более массовым продуктом и безраздельно царствовали на рынке несколько лет. Говоря про Российские особенности, нельзя не упомянуть, что для токенов важна поддержка отечественных криптографических алгоритмов ГОСТ. Без этого токены фактически являются эдакой защищённой флешкой - контейнер с закрытым ключом хранится во внутренней памяти, но для любых операций копируется в память компьютера со всеми вытекающими негативными последствиями. Сейчас на рынке устройств с аппаратной поддержкой ГОСТ хватает. Возвращаясь к троянам и токенам, нужно описать ещё один вид атаки, заключающийся в подменен информации, отправляемой в чип смарт-карты на подпись. Скажем, платёжное поручение, составленное пользователем системы интернет-банк, на экране отображается корректно, но на подпись в подключенный токен отправляется в искажённом трояном виде. Пользователь вводит свой PIN-код и деньги уходят не туда. Собственно говоря, продвинутому трояну пользователь нужен ровно один раз для ввода пароля от личного кабинета на сайте банка и ввода PIN-кода. Далее, всё время, пока токен подключен, уже без ведома пользователя можно подписывать и отправлять любые платёжные поручения. Ответом на такую угрозу стал новый класс устройств - «экраны доверия» или трастскрины, выводящие на свой собственный, недоступный трояну, экран основные платёжные реквизиты. Впрочем, данные устройства не являются непосредственно хранителями закрытых ключей, а служат лишь вспомогательным целям. Долгие годы всё было у токенов хорошо, они были удобны, универсальны и даже уже дёшевы, но повсеместное распространение смартфонов и планшетов вынудило продавцов средств аутентификации искать новые пути. Не берусь судить о мировых тенденциях, но на примере России было достаточно интересно наблюдать развитие ситуации. Радужную картину господства USB-токенов сильно начали портить два факта: корпоративные пользователи повадились активно использовать мобильные устройства для своей работы, а USB-портов у этих устройств не было. Да, какие-то модели планшетов их имеют, но производители самых распространённых моделей (в России особенно актуальны продукты компании Apple) этот ноутбучно-компьютерный атавизм поддерживать принципиально не хотят. Нет в большинстве, включая iOS, устройств и поддержки microSD-карт, что не позволяет использовать на них смарт-карты в таком форм-факторе, хотя они на рынке есть уже несколько лет (не знаю только - покупает ли их хоть кто-то?). С ситуацией, а в особенности с продуктами Apple, надо было что-то делать, особенно с учётом необходимости в (существенной) части проектов поддерживать ГОСТ. Первое, что пришло в голову - это, очевидно, желание как-то прикрутить уже имеющиеся токены к новым устройствам. На рынок хлынул щедрый ассортимент продуктов (часто китайских) производителей. Думаю, интересующиеся темой видели эти попытки предложить рынку считыватели для смарт-карт в виде внешнего устройства для iPhone или, например, чехла для iPad. Судя по всему, упоминавшееся мной выше мировое превосходство рынка смарт-карт над рынком USB-токенов до конца не утрачено, раз от китайских друзей так и не появилось ни одного варианта для USB-токенов. Хотя, быть может, тут дело в принципиальной технической невозможности из-за недостаточности того же питания, например, - в технические нюансы так глубоко не вникал. В любом случае в России смарт-карт на порядки меньше, так что корпоративным клиентам пришлось бы либо раскошеливаться сразу на смарт-карту и два карт-ридера (один для iPad, а второй для ноутбука), либо носить смарт-карту и USB-токен одновременно. Понятно, что это очень неудобно. Собственно, даже комбинация телефон + карт-ридер + смарт-карта уже далека от эргономичной. Кстати, когда Apple поменяла в своих телефонах контактный разъём с 30-pin на 9-pin к этой троице ещё добавлялся соответствующий переходник, что выглядело уже совсем как какой-то монстрообразный конструктор «собери себе ЭЦП». Всё же мобильное устройство на то и мобильное, что подключать к нему что-то кроме наушников, кабеля питания (ну, и док-станции, если это можно назвать «подключать») никому и никогда не будет удобно. Нужно было другое решение. К слову, как и в случае с компьютерами эпохи становления хранителей закрытых ключей контейнер с закрытым ключом можно хранить непосредственно на самом мобильном устройстве, имея, впрочем, схожие проблемы с безопасностью с поправкой на тот факт, что украсть/потерять мобильное устройств не в пример легче, чем ноутбук. Безопасность такого решения очевидно слаба: пользователю каждый раз вводить сложный пароль от контейнера неудобно, а простой быстро подберёт злоумышленник. Чуть отвлекаясь, замечу, что несмотря на всё удобство использования самого телефона в качестве токена (многие системы многофакторной бестокенной аутентификации предлагают именно такой подход) - это не самая лучшая идея с точки зрения безопасности. Телефон никак нельзя считать доверенной средой и по причине роста числа мобильных вирусов и в силу простоты утраты контроля пользователя над ним. Итак, мы остановились на поиске нового решения. По сути, что такое мобильность? А это не в последнюю очередь - отсутствие проводов и контактных подключений. Популярные в последнее время смарт-часы, смарт-браслеты и прочие смарт-штуки общаются с мобильными устройствами исключительно по Bluetooth-протоколу, версия 4.0 которого так удачно обзавелась энергосберегающим режимом работы, позволяющим таким устройствам при всей их компактности работать дни и недели. Так что путь дальнейшей эволюции вполне понятен - Bluetooth-решения. Мне на сегодняшний день известны два варианта беспроводного подключения хранителей закрытых ключей к мобильным устройствам. Первое - от создателей «собери-себе-ЭЦП» конструктора, а второе - удобное. Китайская компания Feitian (наверняка есть и другие - эти под руку попались) предлагает Bluetooth-считыватель для смарт-карт, которым, пожалуй, удобнее пользоваться, чем подключаемым к разъёму, но который не лишён всех остальных недостатков в виде вытекающей из малой распространённости в России смарт-карт задачи по модификации парка аппаратных устройств аутентификации и необходимости носить (и не терять) несколько предметов сразу. Поступающие от некоторых энтузиастов предложения не вытаскивать смарт-карту из считывателя, а сам считыватель - из кармана брюк, извините, серьёзно воспринимать не могу. Устройство же, которым я завершу сегодняшнюю хронологию хранителей, было представлено компанией Актив совсем недавно. Речь про их Рутокен ЭЦП Bluetooth. Чип смарт-карты встроен в небольшого размера коробочку, в которой также находится (как я понимаю) аккумулятор, Bluetooth-передатчик и необходимые элементы для осуществления работы проводного подключения. При подключении кабелем к USB-порту ноутбука/компьютера устройство распознаётся как обычный Рутокен и может использоваться для всех типичных задач - аутентификация, ЭЦП и т.д. В беспроводном же варианте устройство… тоже остаётся Рутокеном. Полноценную поддержку беспроводной работы (включая аутентификацию при входе в операционную систему) для настольных систем в компании Актив обещают реализовать в ближайшее время, а поддержка в качестве внешней смарт-карты для мобильного устройства должна быть добавлена в соответствующее мобильное приложение непосредственно его (приложения) разработчиком. Например, разработчиком банковского мобильного приложения. Для этого, конечно, требуется какое-то время, но зато когда всё сделано, удобство использования потрясающее. Мне довелось увидеть полноценную работу Рутокен ЭЦП Bluetooth с приложениями линейки Защищённая Мобильность от Digital Design и это было впечатляюще. Рутокен ЭЦП Bluetooth просто лежит в кармане/сумке, а на планшете идёт полноценная работа с ним как с самой обычной смарт-картой. Например, можно открыть зашифрованное электронное письмо или поучаствовать в торгах на электронной площадке. При потере связи (когда устройство слишком далеко) приложение может закрываться и требовать повторного ввода PIN-кода. Носить с собой одно устройство и без проблем использовать свои закрытые ключи для операций на ноутбуке/планшете/смартфоне в течение 10-12 часов (заявленное время работы при активном использовании, при переводе устройства в спящий режим оно увеличивается до недель) - это действительно удобно. Тем же устройством можно быстро разблокировать ноутбук, введя достаточно простой PIN-код, но получив уровень безопасности, сопоставимый с длинным и сложным паролем. Не так давно я уже упоминал любопытное приложение Knock, которым продолжаю с удовольствием пользоваться, но мне в нём всё же не хватает возможности установки именного этого простого PIN-кода, хотя я и понимаю, что такое пожелание противоречит даже названию продукта. Дело в том, приложение реагирует всё же не на звук, как может показаться, а на движение телефона при постукивании по нему, и мой кот научился, гуляя по дивану, на котором лежит телефон, задействовать его акселлерометр нужным образом. Коту я, конечно, доверяю, но от других предпочёл бы иметь подстраховку в виде простенького, но бессмысленного без телефона PIN-кода из нескольких символов. Так что после реализации поддержки Рутокен ЭЦП Bluetoth для OS X с удовольствием перешёл бы на него. Да, чуть не забыл, в этом устройстве реализована полноценная поддержка алгоритма ГОСТ, ведь Актив всё же российская компания. ГОСТ используется и для защиты Bluetooth-канала между мобильным устройством и самим Рутокен, что действительно здорово - никакой китайский ридер смарт-карт таким похвастаться, естественно, не может. Полноценная поддержка ГОСТ (с использованием КриптоПро CSP) реализована и в упоминавшейся мной Защищённой Мобильности, так что союз трёх российских разработчиков (Актив, Digital Design и КриптоПро) получился крайне продуктивным. Что будет дальше происходить с хранителями закрытых ключей предсказать не берусь. Возможно, что у авторов проекта Nymi всё получится и их прототип приведёт к тому, что данный ролик станет нашей реальность: Не представляю, правда, как в Nymi встроить российскую криптографию. Подозреваю, что  без участия самих разработчиков - никак. А вот что вполне реально можно сделать, так это совместить Рутокен ЭЦП Bluetooth и трастскрин. Ведь Рутокен ЭЦП Bluetooth лишь убирает провода, но никак не защищает от описанного мной выше трояна всемогущего, установленного на компьютере и подменяющего платёжки. Кстати, даже могу представить, кто мог бы такое совмещённое устройство выпустить - компания Актив, у которой среди продуктов есть и трастскрин (пока проводной). Всё же собственное производство имеет свои преимущества над иными подходами, когда просто перепродаются чужие решения, адаптированные под российские реалии, или когда под новоявленный рынку бренд собирают солянку из продуктов разных производителей. Между прочим, если бы в YotaPhone кроме/вместо второго экрана вставили чип смарт-карты с независимой от телефона операционной системой и поддержкой ГОСТ, был бы действительно инновационный российский продукт.

  • 06 Декабря 2013 » Отечественные системы обнаружения атак/вторжений
    В вышедшем на прошлой неделе обзоре корпоративных IPS-решений на российском рынке от Anti-Malware всё хорошо, кроме, собственно, самого обзора именно российских решений. Позволю себе немного дополнить коллег. Как и большинство продуктов на нашем рынке средств информационной безопасности, системы детектирования/предотвращения атак можно классифицировать по следующим двум признакам: сертификация: отсутствует сделана минимальная «для галочки» высокий уровень сертификации признанность (распространённость) продукта: известен и используется в мире присутствует только на региональном рынке В зависимости от сочетания этих двух параметров можно так описать тип вендора, принимая во внимание, конечно, что на практике, ситуация чаще всего будет смешанная. Теперь, собственно, перейдём к отечественным IPS/IDS, сам факт существование которых во многом определяется наличием соответствующих требований регуляторов. Формализованные требования к этому классу решений достаточно давно (с 2002 года) существуют у ФСБ, а с прошлого года появились и у ФСТЭК. ФСБ называет этот класс устройств СОА (системы обнаружения атак) и выделяет 4 класса - от Г до А (от низшего к высшему), при этом каждый последующий класс включает весь функционал предыдущих. Требования ФСБ имеют пометку «Для служебного пользования» и просто так их не достать. ФСТЭК такие системы называет СОВ (системы обнаружения вторжений), что невероятно удобно, так как сертификацию ФСБ и ФСТЭК ни за что не спутаешь =) С сутью требований ФСТЭК чуть легче: есть хотя бы общая информация в письме на сайте ФСТЭК, где поясняется, что всего устанавливается шесть классов защиты СОВ (шестой - низший). Соответствующие профили защиты для классов с шестого по четвёртый на сайте ФСТЭК отсутствуют (хотя в письме указано иное), но в Интернет их найти при желании можно. Всего по требованиям ФСБ, согласно Перечня... сертифицировано шесть продуктов (все отечественные), а по новым требованиям ФСТЭК пока только четыре  (два отечественных и два импортных). При этом есть ещё IDS, сертифицированные во ФСТЭК на соответствие техническим условиям (ТУ) ещё до вступления в силу новых требований к СОВ, но сегодня нас интересуют только отечественные производители, а таковы среди этих решений только два. Итоговый список отечественных IDS и их сертификатов выглядит так: [caption id="attachment_5093" align="aligncenter" width="708"] Отечественные системы обнаружения атак[/caption] Со мной можно спорить, но по моему мнению все данные продукты чётко попадают в категорию "Бумаженщиков", как бы обидно такое определение для них ни звучало. К сожалению, по некоторым решениям общедоступные сведения есть только обрывочные, что связано, видимо, с их очень специфической областью применения. По части отечественных систем обнаружения атак чуть ли не самым информативным источником оказалась вот эта презентация представителя ФСБ Д.Н. Сатанина. Найденные в сети Интернет описания всех продуктов добавил в соответствующий раздел Каталога СЗИ и дабы не дублировать информацию из Каталога в посте, привожу только ссылки на продукты: Аргус, версия 1.0 Аргус, версия 1.5 Детектор атак «Континент» (на базе АПКШ Континент 3.7) Рубикон Ручей-М Тор Форпост ViPNet IDS Каталог СЗИ пока в стадии наполнения и вполне может содержать неточности, хотя я этого старался максимально избежать. Что же касается полноты, то объём информации и число представленных средств защиты информации обязательно будут увеличиваться.

  • 24 Ноября 2013 » Только тронь меня!
    Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев. Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики. Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID - это отличное решение с точки зрения безопасности. Попробую это продемонстировать. Наши смартфоны по мере становления всё более смарт- и всё менее просто -фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много. Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple - простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство. Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными. Выставлять запрос пароля только через час на мой взгляд слишком небезопасно - за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут - слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас. К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3). Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты. Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK. Цифровой PIN-код: нажать кнопку Home и ввести 4 символа. Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо. Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды. В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID - сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана. Что ещё удобно в Touch ID на мой взгляд. Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много - вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток. Палец можно прикладывать хоть вверх ногами (если так можно выразиться) - распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше. Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально). Явно удачная технология скорее всего будет использована Apple в других её устройствах - iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь. [box]Paranoid mode: ON[/box] Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен. [box]Paranoid mode: OFF[/box] Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно - хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится - удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.

  • 13 Ноября 2013 » Сертификационные гонки по вертикали
    Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране. На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы. Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года: iPad - 58 заказов iPhone - 16 заказов Android - 13 заказов Samsung Galaxy - 8 заказов Sony Xperia - 2 заказа Nokia Lumia - 0 заказов Nexus - 0 заказов (единственный имеющийся не относится к теме - "Приобретение амплификатора для проведения реакций ПЦР (Eppendorf Mastercycler nexus gradient или аналогичная)") К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские. Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”. Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось. Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее. Причина №1. Нераспространённость. Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке. Причина №2. Технические сложности. В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем. Причина №3. Частота обновления операционной системы (ОС). Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде. Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию). Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года. Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена. Теперь посмотрим на жизненые циклы iOS: Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется. Пионеры сертификационных гонок. Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS. Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что: КриптоПро версии 3.6.1 может использоваться в программно-аппаратных средах iOS версии 4.2.х, 4.3.х, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1. ViPNet Client iOS 1.1 поддерживает только iOS версии: 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4; 4.3.3 — для iPad 2; 5.0.1 — для iPad 2, iPhone 4S; 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS. При этом: должен быть выполнен джейлбрейк устройства [..], то есть разблокирован доступ к его файловой системе, и установлен менеджер пакетов Cydia. Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине. Закругляюсь Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.” Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует. Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad. В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.

  • 08 Ноября 2013 » Парольная скорость
    Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем. Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаем - после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется - руки сами всё наберут. Аналогично с токеном. Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само. Также пользователь может использовать для входа одноразовый пароль (OTP - one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону - требуется концентрация внимания на процессе ввода. Для полноты картины упомяну ещё один метод разблокировки компьютера - ввод одноразового кода (OTC - one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure, запатентовавшая PINSafe - метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше. При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств. Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера: 1 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 2 место. Пароль - даже сложный пароль со временем будет вводиться на автомате. 3 место. OTP - меняется каждый раз, нужна концентрация внимания. 4 место. OTC (PINSafe) - нужно каждый раз вычислять из секретной строки. Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее: 1 место. OTP - просто нажал кнопку или посмотрел на экран и считал одноразовый пароль. 2 место. OTC (PINSafe) - нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно. 3 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 4 место. Пароль - даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры. В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью. Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac. Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить пароль даже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0, славящийся своим низким энергопотреблением, так что дело явно в этом.

  • 04 Ноября 2013 » (Российские криптошлюзы)++
    Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице). Теперь же появился повод взглянуть на этот класс решений под немного иным углом - с точки зрения применения в них криптографии. Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь. Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом. Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования. Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом. Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значится более 2000 позиций, а в аналогичном Перечне от ФСБ - в пять раз меньше. Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России). Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу. После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером. Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика. Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты: ViPNet (разработчик ИнфоТеКС) Континент (разработчик Информзащита, Код Безопасности) CSP VPN (разработчик С-Терра СиЭсПи) ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС) StoneGate SSL VPN (разработчик Новые технологии безопасности) DioNIS (разработчик Фактор-ТС) АТЛИКС-VPN (разработчик НТЦ Атлас) Туннель (разработчик АМИКОН, ИнфоКрипт -  ПАК на основе ФПСУ-IP) Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера: Модуль HSM (разработчик НТЦ Атлас, описание) М-448-1.4 (разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание) Барьер IPSec (разработчик Валидата) КриптоПро CSP/IPSec (разработчик  КРИПТО-ПРО) Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно. Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился. Ситуация серьёзно изменилась в прошлом году, когда произошло знаковое (но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ. Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры? Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN. Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификацией, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ № СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee и своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная. Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.