Свежие посты   По годам   По датам
  • 08 Ноября 2013 » Парольная скорость
    Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем. Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаем - после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется - руки сами всё наберут. Аналогично с токеном. Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само. Также пользователь может использовать для входа одноразовый пароль (OTP - one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону - требуется концентрация внимания на процессе ввода. Для полноты картины упомяну ещё один метод разблокировки компьютера - ввод одноразового кода (OTC - one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure, запатентовавшая PINSafe - метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше. При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств. Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера: 1 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 2 место. Пароль - даже сложный пароль со временем будет вводиться на автомате. 3 место. OTP - меняется каждый раз, нужна концентрация внимания. 4 место. OTC (PINSafe) - нужно каждый раз вычислять из секретной строки. Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее: 1 место. OTP - просто нажал кнопку или посмотрел на экран и считал одноразовый пароль. 2 место. OTC (PINSafe) - нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно. 3 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 4 место. Пароль - даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры. В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью. Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac. Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить пароль даже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0, славящийся своим низким энергопотреблением, так что дело явно в этом.

  • 04 Ноября 2013 » (Российские криптошлюзы)++
    Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице). Теперь же появился повод взглянуть на этот класс решений под немного иным углом - с точки зрения применения в них криптографии. Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь. Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом. Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования. Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом. Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значится более 2000 позиций, а в аналогичном Перечне от ФСБ - в пять раз меньше. Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России). Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу. После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером. Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика. Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты: ViPNet (разработчик ИнфоТеКС) Континент (разработчик Информзащита, Код Безопасности) CSP VPN (разработчик С-Терра СиЭсПи) ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС) StoneGate SSL VPN (разработчик Новые технологии безопасности) DioNIS (разработчик Фактор-ТС) АТЛИКС-VPN (разработчик НТЦ Атлас) Туннель (разработчик АМИКОН, ИнфоКрипт -  ПАК на основе ФПСУ-IP) Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера: Модуль HSM (разработчик НТЦ Атлас, описание) М-448-1.4 (разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание) Барьер IPSec (разработчик Валидата) КриптоПро CSP/IPSec (разработчик  КРИПТО-ПРО) Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно. Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился. Ситуация серьёзно изменилась в прошлом году, когда произошло знаковое (но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ. Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры? Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN. Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификацией, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ № СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee и своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная. Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.

  • 20 Октября 2013 » Как отправлять SMS с iPad и не попасть впросак
    Рассмотрим сегодня любопытный сервис от компании Мегафон - UMS (Unified Messaging Solution), позволяющий объединить в одном приложении SMS, MMS, ленты и чаты социальных сетей. Подход компании Apple, блокирующей в своих планшетах, оснащённых SIM-картами, возможность звонить, посылать короткие USSD-команды, а также отправлять и принимать SMS и MMS, понять, наверное, можно. В конце концов, iPhone тоже ведь продавать надо =) Но иногда очень хочется обойти это искусственно установленное ограничение. Конечно, можно прекрасно звонить через Skype или FaceTime, а сообщения отправлять по iMessage или через web-сайт оператора сотовой связи, но области применения каждого из этих вариантов имеют свои ограничения и неудобства, а для владельца Nokia 3310 ни один  из них не оставляет шанса связаться с вами - ни позвонить, ни отправить SMS на ваш iPad у него не выйдет. К сожалению, для абонентов других сотовых операторов элегантного решения не знаю, а Мегафон для своих клиентов вот уже почти год как предлагает сервис UMS и соответствующие приложения для мобильных устройств (сейчас есть версии для iOS, Android и Windows Phone). Скачать версию UMS HD для iPad можно в App Store. Для входа в приложение нужно ввести номер телефона и пароль от Сервис-Гида. Почему в UMS используется тот же пароль, что и для доступа к Сервис-Гиду, я не понимаю. С точки зрения безопасности - это дополнительная уязвимость. Забавно, что в специально написанной для iPad версии приложения пароль предлагается установить в том числе с помощью USSD-запросов. Разработчики, мне кажется, всё же должны понимать странность таких вариантов. Но, к счастью, предусмотрен и другой способ - через личный интернет-кабинет в сервисе самообслуживания sg.megafon.ru Вот только зайти на него через, например, WiFi-подключение не выйдет, нужно воспользоваться мобильным интернетом. Несмотря на всю кажущуюся простоту, при установке этого пароля могут, конечно, возникнуть и какие-то сложности. В таком случае рекомендую решать их, обратившись непосредственно в Мегафон (контакты для Москвы). Помогают лучше, чем поиск по форумам и сайтам, проверено. Итак, все нюансы позади и приложение UMS успешно запущено. Теперь SMS-сообщения, отправляемые на номер, используемый в вашем iPad, будут не просто теряться где-то в недрах оператора, а отображаться в приложении. Удобно, что ни говори. В качестве дополнения приложение UMS позволяет подключить другие сервисы сообщений и социальные сети. Единая лента сообщений, конечно, может быть удобной, но всё же я бы не рекомендовал объединять все соцсети в одном приложении. Во всяком случае, не в приложении от Мегафон. Напомню, что с сервисом UMS связан недавний скандал, касающийся клиентов банка Тинькофф. Тогда злоумышленники, воспользовавшись несовершенством Сервис-Гида и UMS, получили доступ к SMS-сообщениям, в том числе тем, что отправлял банк. Имея такой инструмент, злоумышленники смогли менять пароли от интернет-банкинга и осуществлять переводы от имени клиентов банка Тинькофф на свои счета. В ситуации разобрались, деньги вернули, уязвимости устранили (потенциально опасная доставка SMS-сообщений от банков через сервис UMS теперь отключена), но уверенности в полной безопасности данного приложения я лично, например, не испытываю. В настройках приложения есть два обрадовавших меня по началу раздела Приватность и Безопасность. Однако, в Приватности полезны разве что отключение статистики Google и доступа приложения к адресной книге, а вот Безопасность же и вовсе на iPad не рассчитана. Включение в разделе Безопасность обязательного ввода Кода проверки по SMS - вещь, безусловно, полезная. Однако, её суть в том, что для входа нужно будет ввести пароль, отправляемый по SMS, но непоказываемый в самом приложении. Если под рукой нет телефона, в который можно переставить SIM-карту из iPad (мой вариант), то узнать этот код не получится, а потому и опцию эту никак не задействовать. К слову, в приложении можно указать любой телефон, не обязательно тот, который записан на SIM-карте, вставленной в iPad. Это даст вам возможность получать и писать сообщения с другого своего номера. Иногда это удобно. В заключение несколько рекомендаций пользователям UMS HD: установите сложный пароль от Сервис-Гид (Мегафон позволяет использовать до 26 цифр) настройте уведомление о входе в Сервис-Гид в личном кабинете на сайте sg.megafon.ru (Настройки Сервис-Гид -> Оповещение) по возможности не подключайте в приложении другие социальные сети и сервисы общения отключите в настройках доступ приложения к адресной книге отключите предпросмотр сообщений, чтобы текст входящих сообщений не появлялся на экране iPad активируйте опцию Код проверки по SMS (потребуется телефон, в который можно вставить SIM-карту из iPad, или визит в офис Мегафон) и разработчикам UMS HD: сделать отдельный от Сервис-Гида пароль для UMS установить пароль (хотя бы ПИН-код) на вход в приложение переработать механизм установки Кода проверки по SMS для iPad-версии  

  • 10 Октября 2013 » Сертифицированные межсетевые экраны (часть 9)
    Почти год прошёл с момента последней актуализации таблицы сертифицированных межсетевых экранов, пришла пора обновить информацию в ней, пока она окончательно не устарела. Для оптимизации внешнего вида в самой таблице убрал ссылки - поддерживать их в актуальном состоянии не просто, а найти сайт вендора или описание продукта самостоятельно не так и сложно, а также исключил малоинформативные столбцы про ОС и актуальность - условно будем считать, что продукт актуален, пока на него действует сертификат. Посмотрим, какие изменения произошли с ноября прошлого года. Прежде всего приведу краткий список продлённых сертификатов: DioNIS Security Server v.6.0 - №359/5 до 03 мая 2015 года ИВК Кольчуга - №1094/1 до 29.06.2015 Cisco ASA-5505 - №1976 до 11.12.2015 ViPNet CUSTOM 3.2 - №1549/1 до 26.05.2016 ФПСУ-IP/Клиент - №1281 до 03.11.2015 WatchGuard Firebox - №2038 до 16.02.2016 ССПТ-2 - №2141 до 23.07.2016 (согласно разработчику) Security Studio Endpoint Protection Personal Firewall - №2170 до 20.09.2016 CSP VPN Server v. 3.1 - №2197 до 10.11.2016 CSP VPN Gate v. 3.1 - №2198 до 10.11.2016 CSP VPN Client v. 3.1 - №2199 до 10.11.2016 TrustAccess - №2146 до 30.07.2016 (согласно разработчику) TrustAccess S - №2147 до 30.07.2016 (согласно разработчику) Z-2 - №1353 до 09.03.2016 Z-2, версия 2.6 - №1353/1 до 05.08.2015 Последние два, как оказалось, рано были списаны мной со счетов, раз сертификаты на них были обновлены. Информация о некоторых продлениях пока отсутствует в реестре, но имеется на сайте разработчиков. В таблице дата окончания таких сертификатов отмечена оранжевым цветом. Теперь о "потерях". Закончили своё действие и не были продлены целый ряд сертификатов на продукты Cisco: ASA-5510, ASA-5520, Cisco ASA-5540, FWSM, 1800, 2800, 3800, 7200, 7600, 3750, 1841, 2811, 6509, 3825. Есть непродлившиеся сертфикаты у Кода Безопасности, ЛИССИ-Крипто, Check Point. Все их убрал из таблицы. «Отмучались» Proventia Server и Proventia Desktop, сильно сдавшие позиции после покупкой их производителя ISS компанией IBM. Видимо, ничего не получилось и с «псевдо-российским» RSOS6850 - сертификат на него не был продлён. Есть также несколько сертификатов Cisco, ИнфоТеКС и Stonesoft, истекших в августе, которые пока оставил в таблице, так как есть в её обновлении определённая инертность. Про Stonesoft, кстати, достоверно знаю, что сертификаты будут продлены. С сертификатом №2540 на Cisco 881 история получилась странная - ранее он присутствовал в реестре с указанием «серия», сейчас же только «20 экз.». Убираем. Забавная накладка с сертификатом №1091 на ФПСУ-IP - он всё ещё числится в реестре ФСТЭК как просроченный, хотя актуальная (не фейковая ли только?) копия присутствует на сайте вендора. Наконец, в реестре появилось значительное число новых сертифицированных межсетевых экранов как от уже присутствующих на этом рынке игроков, так и от совсем новых: D-Link DFL-260E D-Link DFL-860E D-Link DFL-1660 Kerio Control Altell NEO ПО Check Point Security Gateway R71 Filter D-Link DFL-256 Cisco 2911R Dionis NX Deep Security 8.0 Cisco ASA 5510 Cisco IE-3000-8TC ViPNet Terminal 3.0 Подробнее о новинках поговорим в следующий раз, пока же выкладываю обновлённую таблицу. Если у вас предложения/замечания - буду за них признателен. Мои контакты.

  • 09 Октября 2013 » Колбаса, дороги и стандарты ИБ
    Выкладываю презентацию и диаграмму связей с сегодняшей блогер-панели: «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем», проходившей в рамках INFOBEZ-EXPO. Организаторам, коллегам-блогерам и слушателям - спасибо, было интересно! Колбаса, дороги и стандарты ИБ. from Alexey Komarov [caption id="attachment_4135" align="aligncenter" width="300"] Диаграмма связей о Стандартах[/caption]

  • 22 Сентября 2013 » Компания, которой больше нет
    Пару недель назад в самом начале сентября исполнилось (бы) 6 лет компании SafeLine, да вот только отмечать очередной день рождения было некому: в конце мая 2013 года было объявлено о покупке SafeLine дистрибутором из ГК ЛАНИТ - Treolan. Возможно, что юридическое лицо ООО “Сейфлайн” всё ещё существует: в конце концов, есть лицензии, заключённые с партнёрами и вендорами договора, которые вот так быстро не переоформишь. Вместе с тем, сам бренд, видимо, существовать окончательно перестал. SafeLine не выставляется больше на выставках, не видно статей и комментариев от имени сотрудников, да и сайт http://safe-line.ru переадресует всех на подраздел сайта Треолана. Идея, положенная в основу создававшегося в 2007 году российского специализированного дистрибутора в области информационной безопасности, была, на мой взгляд, отлична: расширение регионального присутствия и представление на российском рынке самых прогрессивных и востребованных решений от мировых лидеров в области информационной безопасности. Да и самому холдингу Информзащита такое выделение дистрибуторского бизнеса в отдельное юрлицо сулило только выгоды. Владимир Гайкович: “Выделение дистрибуции в отдельный бизнес позволяет компании «Информзащита» сосредоточить свои усилия на расширении спектра сервисов в области информационной безопасности, как приоритетного направления нашего дальнейшего развития.” Забегая вперёд, не могу не отметить, что продавали компанию почти с теми же словами =) Пётр Ефимов: “Продажа Safeline продиктована желанием акционеров ГК «Информзащиты» сосредоточить усилия на развитии основных направлений своего бизнеса — разработке средств защиты информации и оказании услуг в области ИБ. ” А пока у руля новой компании встал Михаил Савельев. Всего SafeLine пережил три периода жизни с тремя разными командами, в двух из которых мне довелось поработать. Михаила все с любовью называли человек-пароход за его непомерную активность, универсальность, эрудированность и умение делать абсолютно всё с одинаковой степенью успешности. Главные достижения SafeLine эпохи Михаила Савельева на мой субъективный взгляд - это существенное укрепление и расширение партнёрской сети, продающей продукты собственной разработки ГК Информзащита (чуть позже под разработку была также выделена отдельная компания - Код Безопасности) и начало вывода на российский рынок продуктов Fortinet. К сожалению, в конце лета 2009 года Михаил покидает SafeLine. Очень хорошо помню его проводы и то, как подарили ему бумеранг на прощание. Бумеранг, как ни странно, сработал - Михаил Савельев вернулся в конце 2011 года, правда в другую дочернюю компанию Информзащиты - Учебный Центр. SafeLine же с осени 2009 по весну 2012, дольше, кстати, чем кто-либо другой, возглавлял Василий Дубинин. Данный период лично я считаю самым успешным за всю историю компании. Любой дистрибутор, входящий в холдинг, неизбежно сталкивается с недоверием со стороны партнёров, если в холдинге присутствует такой же системный интегратор. Думаю, природу такого недоверия объяснять не нужно. SafeLine при Василии (не всеми, но) большинством партнёров начал действительно восприниматься как надёжный и независимый от кого бы то ни было дистрибутор. Другое важное достижение - это существенное увеличение доли вендорской продукции. Fortinet продолжил наращивание своего присутствия в России, а Stonesoft, например, и вовсе превратился в одного из сильнейших игроков в своём сегменте. Конечно, основная заслуга в этом у представительства Stonesoft, но и роль дистрибутора преуменьшать нельзя. Не зря же SafeLine дважды по итогам 2011 и 2012 годов получал приз “Зубр дистрибуции” от Stonesoft.  Наконец, важнейшей для меня лично заслугой Василия Дубинина является то, что костяк по крупицам собранной и годами совместной работы отлаженной команды он сумел сохранить, правда, уже в рамках NGS Distribution. Эпоха безвременья, начавшаяся с уходом Василия, закончилась в SafeLine ближе к осени 2012, когда новое пламя жизни в охладевший было труп вдохнул Олег Бакшинский и его (судя по LinkedIn) команда из другого дистрибутора - headtechnology. Могу честно сказать, что у них отлично начало получаться, но так вышло, что времени окончательно развернуться коллегам так и не дали, подрезав крылья прямо на взлёте, не позволив толком проработать даже и года. Портфель только-только начал расти, сайт преображаться, а партнёры привыкать к новым адресам сотрудников, как внезапно для многих “сейфлайн отреоланился”. В заключение всех так или иначе причастных к компании SafeLine хочу пусть и с опозданием поздравить с шестилетием компании! Ведь отмечают же выпускники школ юбилеи давно несуществующих классов, так что и нам можно =) Коллеги предшествующие, бывшие и несостоявшиеся, с праздником!

  • 19 Сентября 2013 » Как попасть на заблокированный Facebook и победить в Security Awards
    Сегодня Роскомнадзор внёс Facebook в реестр запрещенных сайтов, а Оргкомитет INFOBEZ-EXPO сообщил об обнулении текущих результатов голосования в премии Security Awards 2013. Объединяют в моём сегодняшнем посте эти два на первый взгляд несвязанных события такие понятия как анонимайзер и прокси. Про анонимность как-то раз уже писал, рассмотрев тогда отличный способ по анонимизации - пакет Tor Browser Bundle. Проект жив до сих пор и позволяет обращаться к нужным сайтам не напрямую со своего IP-адреса, а, пройдя по цепочке из трёх последовательных прокси-серверов, через один из тысяч выходных узлов, разбросанных по всему миру. Каждый отправляемый пакет при этом трёхкратно шифруется, что достаточно эффективно затрудняет попытки отслеживания изначального адреса отправителя. Подменив, таким образом, свой IP-адрес на IP-адрес выходного узла, можно получить доступ к заблокированным цензурой сайтам. Обойти наш российский пресловутый чёрный список этим способом в большинстве случаев труда не составит, по крайней мере, пока власти не начнут бороться с входными узлами сети Tor. На картинке ниже моя страничка Facebook, открытая через Tor Browser. Кстати, попасть в свою учётную запись из-за левого IP было не так просто. Однако, далеко не всегда анонимность используется для борьбы с цензурой или защиты неприкосновенности частной жизни. Этот же инструмент можно применять и, например, для накручивания счётчиков в интернет-голосованиях. Самое простое средство для защиты от повторного голосования - это использование cookie, небольших файлов с пометкой о том, что пользователь уже голосовал, сохраняемых в кэше браузера. При этом можно легко проголосовать повторно просто открыв другой браузер, а, регулярно очищая кэш браузера, можно голосовать и вовсе неограниченно. Впрочем, такое совсем примитивное средство защиты от повторного голосования чаще используются лишь как дополнительное. Другой способ понять, голосовал ли этот пользователь ранее, состоит в сохранении его IP-адреса в списке уже проголосовавших. При этом, правда, из работающих через один внешний IP-адрес (характерно для офисных сетей и сетей локальных провайдеров) пользователей проголосовать сможет только самый первый. Если я правильно понял, то в голосовании Security Awards 2013 как раз этот способ и использовался.  Коллеги из одной компании не могли проголосовать на работе, но с успехом делали это со смартфонов, дома, из гостиниц или при работе через WiFi в каком-нибудь кафе. Но и такой способ защиты далёк от совершенства. Рассказывая в прошлый раз о Tor Browser Bundle я упоминал уже кнопку Сменить личность, при нажатии на которую происходит повторное соединение с сетью Tor. Узел выхода при этом тоже меняется, а значит, меняется и IP-адрес с точки зрения системы голосования. Впрочем, для реального накручивания такой ручной способ вряд ли эффективен: соединение с сетью Tor происходит достаточно долго, да и смена личности занимает сопоставимое время. Однако, нужно понимать, что готовый инструмент для анонимного web-сёрфинга Tor Browser Bundle просто и не предназначен для накруток, на его примере я лишь продемонстрировал сам принцип. Вместе с тем, подозреваю, что для знающих людей создать для сети Tor свою собственную утилиту, перебирающую IP-адреса, совсем не трудно. Ведь ищутся же в сети легче лёгкого утилиты для перебора внешних прокси-серверов. Кстати, использование прокси является ещё одним способом обхода блокировки сайтов, обмана онлайн-голосований или, ещё не упомянутой мной, цели искусственного увеличения счётчиков посещения сайтов. Самые простые в использовании - это, конечно, web-прокси, представляющие собой специализированные web-сайты. На этих сайтах нужно лишь указать интересующий вас заблокированный ресурс и web-прокси зайдёт на него со своего IP-адреса, а вам покажет открывшуюся страничку. С точки зрения провайдера вы будете читать не запрещённый контент, а пользоваться каким-то непонятным web-сайтом, к которым у цензурщиков претензий нет. Вот, например, неплохой агрегатор web-прокси - http://proxer.ru Вы вводите нужный адрес и сайт переадресует вас на один из web-прокси, выбранный из его регулярно актуализирующейся базы. Вернёмся, впрочем, к Security Awards 2013. Организаторы помимо обнуления промежуточных итогов голосования обещают ввести дополнительные средства защиты. Не знаю, конечно, какие именно способы будут использоваться, будем надеяться, такие, что позволят успешно бороться с накрутками. Впрочем, после беглого прочтения статьи Полный гид по накрутке онлайн-голосований на Хакере, в которой только что рассмотренный мной вопрос подмены IP-адреса удостоился лишь пары абзацев, начал испытывать определённый скепсис по поводу возможности такого быстрого создания эффективной системы голосования с нуля.

  • 31 Августа 2013 » UTM... как это по-русски?
    В прошлый раз, благодаря Gartner, мы определились с понятием UTM (Unified Threat Management) и раскладом на этом сегменте рынка в мировом масштабе. Сегодня давайте посмотрим на всё это нашими отечественными глазами. Прежде всего стоит отметить, что сама идеология UTM как многофункционального комбайна в наших широтах, несмотря на определённые усилия пары поколений маркетологов, всё никак не приживётся. Ну, вот нет веры в то, что одна универсальная коробка в состоянии заменить целый их набор. При этом аргументы о комплексности обработки трафика и экономии средств и времени на администрирование не действуют и всё тут. Впрочем, оставим это, перейдя к сути. UTM-устройствам в России не очень повезло, так как помимо прочего они включают в себя функционал межсетевого экранирования, требования к которому ещё с незапамятных 90-х годов сформулировала Гостехкомиссия (ныне ФСТЭК). Вот и получилось, что UTM-решения вынуждены были прежде всего играть на одном поле с классическими межсетевыми экранами, несмотря на принципиально иное предназначение. Новые же требования ФСТЭК теперь касаются и такого функционала UTM как система предотвращения вторжений и антивирусная защита. Как это скажется на рынке UTM в России - нам ещё предстоит понять. При этом не секрет, что у многих (если не сказать - большинства) иностранных вендоров сертификация, особенно та, что связана с предоставлением доступа к исходному коду, вызывает оторопь. Их можно понять. Много ли найдётся желающих в той же Европе, не говоря уже об Америке, купить решение по безопасности, “в исходных кодах которого ковырялось кровавое КГБ”? Тем не менее, находятся компании, для которых российский рынок действительно важен. Трудно представить, какими именно словами, но их региональные менеджеры всё же убеждают своих западных коллег в том, что нужно осуществить дополнительные финансовые и ресурсные инвестиции для успеха в России. Ведь, как показывает опыт, частенько вендоры считают, что их мировой успех обрекает их на автоматическую победу в России, что, конечно же, мягко говоря, не так. За годы активного общения с западными UTM-вендорами для себя выбрал три основных критерия, определяющих их перспективность на нашем рынке: Готовность к сертификации. Без этого всё остальное можно даже и не рассматривать, к сожалению. Готовность к инвестициям - российский офис, сайт на русском языке и пр. Кстати, помимо вопроса выделения денег, отдельно нужно позаботиться о надёжном российском партнёре. Читал я тут некоторые переводы на русский язык, выполненные дорогими западными агентствами... Поверьте, многие из нас на английском пишут лучше =) Готовность к выстраиванию адекватного канала. Это важно. Регистрация сделки за работающим партнёром - это основа основ, но есть и много других мелочей. Далеко не все это понимают. Вооружённые моим субъективным восприятием, давайте теперь взглянем на главных игроков Квадрата Gartner в сегменте UTM через амбразуру российской реальности. Fortinet В России три официальных дистрибутора: NGS Distribution, Мерлион и SafeLine, которого не так давно приобрел другой дистрибутор - Треолан (ГК ЛАНИТ), партнёрская сеть насчитывает двух партнёров уровня GOLD и шесть уровня SILVER, партнёров с более низким статусом Fortinet на своём сайте не указывает. Локальный офис присутствует и, насколько мне известно, перманентно расширяется. Русскоязычный сайт: http://fortinet.su В настоящее время сертифицирована модель FortiGate-60C на МЭ4*, в планах более масштабная сертификация на МЭ3 и НДВ4** осенью 2013 года. Check Point Как и у Fortinet - три дистрибутора: МОНТ, OCS, RRC, а партнёров побольше: уровня Gold - 8, Silver - 13 и Bronze - 52. Российский офис существует уже давно. Сайт на русском языке: http://rus.checkpoint.com Сертифицированы Checkpoint UTM-1 Edge N на МЭ4 и Check Point Security Gateway R71 на МЭ3, НДВ4. Дальнейших планов найти в сети не удалось, но, подозреваю, что они есть. Dell (SonicWall) Именно по направлению SonicWall значится лишь один дистрибутор SecNet, а вот сервис поиска партнёров у меня так ни одного и не выдал. Ни русского сайта, ни локального офиса не обнаружилось. У Dell, конечно, они есть, но пока на решения SonicWall я бы их наличие не распространял. Сертификации нет и не предвидится. WatchGuard Эксклюзивный дистрибутор - Rainbow Security, партнёров обнаружено со статусом Professional - 4 и Associate - 2. Локального офиса нет, а роль сайта выполняет раздел с “человеконепонятной” ссылкой на сайте дистрибутора. Есть сертификат ФСТЭК у WatchGuard Firebox XTM 11 на МЭ3. Sophos Дистрибутором в России является Фактор Груп, в числе партнёров значатся: Platinum - 2, Gold - 1 и Silver - 10. Офиса нет. Русский сайт: http://astarots.ru Сертификат немного странный, но всё же имеется: Антивирусный программный продукт Sophos версии 3.1.2, встроенный в программное обеспечение почтового сервера Kerio Connect версии 7.1.3 - ТУ с ограничениями. Что планируется дальше - не известно. [box type=”info” style=”rounded”]UPD. 22.09.2013 Оказалось, что ещё действует сертификат, полученный ранее (до переименования) на ASTARO Security Gateway Software Network Appliance 8 – по 3 классу для МЭ, по 4 уровню контроля для НДВ с ограничениями. Спасибо Сергею Борисову за подсказку. Итоговую таблицу обновил.[/box] Cyberoam Всё просто. Дистрибутора, партнёров, сайта на русском языке, локального офиса, сертификатов и планов по их получению - нет ничего =) NETASQ Относительно недавно подписали соглашение об эксклюзивной дистрибуции с NGS Distribution. В ближайшее время будет запущен сайт http://netasq.ru, а сертификация запланирована на 2014 год. Пока всё. Cisco Официальный список дистрибуторов найти не удалось, но вроде бы как вот они: CompTek, OCS, RRC, Marvel. Партнёров много: Gold - 19, Silver - 6, Premier Certified - 162, Select Certified - 336. Сайт руссифицирован: http://www.cisco.com/web/RU, местный офис, пожалуй, самый крупный среди всех остальных участников сравнения. Сертифицированы Cisco ASA-5505 на МЭ3 и ТУ***, Cisco ASA 5510 на МЭ4, Cisco ASA 5500-X на МЭ-3 и ещё коммутаторы и маршрутизаторы, не относящиеся, впрочем, к понятию UTM. В планах на ближайшее время - сертификация Cisco IPS, но, как я понимаю, в отличие от Fortinet и Check Point - опять без НДВ. Juniper Networks Дистрибуторы: Landata, Netwell, OCS, партнёров к моему удивлению оказалось совсем немного: Elite - 6 и Select - 7. Местный офис и сайт в наличии: http://www.juniper.net/ru/ru/ Из сертифицированного - только 331 экземпляр Juniper NetScreen 5GT на МЭ3 (видимо под проект), дальнейшие планы туманны. Итоги В заключение приведу сводную таблицу состояния основных показателей, оценив (как обычно - субъективно) по 5-бальной шкале такие параметры как Текущее состояние сертификации, Планы по сертификации, Наличие российского офиса, Русскоязычный сайт, Выстроенность канала в России. [table id=11 /] Итоговые выводы по двум постам каждый может сделать самостоятельно. Мой взгляд всё же скорее тяготит к дистрибуторскому восприятию вендоров, а у каждого из заказчиков своё представление о том, что ему подходит больше. Использованные сокращения МЭ3, МЭ4 -  С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5, при этом, чем выше класс, тем жёстче требования. Сами требования прописаны в документе: Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. ** - Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. *** ТУ - технические условия.

  • 16 Августа 2013 » Это (ино)странное слово UTM
    В прошлом месяце компания Gartner выпустила уже четвёртый по счёту Магический Квадрат, посвящённый исследованию UTM-решений (Magic Quadrant for Unified Threat Management). Давайте посмотрим на включённых в этот отчёт вендоров с точки зрения ретроспективы их представленности во всех четырёх квадратах. К сожалению, термин UTM не имеет устойчивого общепринятого перевода на русский язык (ну, не считать же таковым “унифицированное управление угрозами”, в самом деле!) и его понимание порой различается. Сама компания Gartner определяет UTM как многофункциональное устройство для обеспечения сетевой безопасности, используемое компаниями малого и среднего бизнеса (SMB - small or midsize businesses). При этом в представлении Gartner типичная средняя (SMB) компания имеет от 100 до 1000 сотрудников и годовой оборот от 50 миллионов до одного миллиарда долларов. UTM-устройство по мнению Gartner должно как минимум обеспечивать: стандартные функции межсетевого экранирования с контролем состояний сетевых соединений / Standard network stateful firewall functions; возможность организации удалённого доступа с использованием VPN для подключения пользователей и соединений вида точка-точка / Remote access and site-to-site virtual private network (VPN) support; функциональность Web-шлюза безопасности с проверками на наличие вредоносного трафика, URL-фильтрацией и контролем приложений / Secure Web gateway (SWG) functionality (anti-malware, URL and application control); предотвращение сетевых вторжений, направленных на защиту рабочих станций / Network intrusion prevention focused on workstation protection. Посмотрим теперь на сами квадраты и расположение в них основных игроков за период 2009-13: Fortinet. Является бессменным лидером данного квадрата с 2009 года по нынешний день. Из основных недостатков Gartner указывает частое обновление аппаратных платформ и программных прошивок, что требует постоянного переобучения инженеров и сотрудников техподдержки. Также заказчики часто отмечают, что реальная производительность при включении web-фильтрации и антивирусного сканера оказывается существенно ниже заявляемой в документации. Check Point. Начав с квадранта нишевых игроков в 2009 году, Check Point в 2013 стал вторым игроком в квадранте лидеров, уступая только Fortinet. Gartner указывает, что завышенная цена является важной причиной, по которой заказчики не выбирают решения Check Point, другое неудобство - в слишком сложной системе лицензирования по сравнению с конкурентами. Dell (ранее SonicWALL). Ранее всегда уступал Fortinet лишь немного, но после покупки SonicWALL Dell`ом в 2012 году позиция ухудшилась (во многом из-за неразберихи в партнёрском канале). Gartner также  предупреждает, что Dell явно более ориентирован на high-enterprise рынок, чем SMB, о чём в частности говорят недавние обновления в продуктах. WatchGuard. Неизменно присутствует в квадранте лидеров почти всегда на одном и том же месте. Из недостатков отмечается большое число дублирующих друг друга сервисов и продуктов, приводящее к путанице. Другие вендоры на рынке по опросам в WatchGuard конкурентную угрозу себе вообще не видят. Sophos (ранее Astaro). Два последних года попадает в квадрант лидеров, хотя и очень близко к его границе. Пользователи Sophos жалуются на низкое качество сервисов, слабый функционал VPN и недостаточную прозрачность контроля пользовательской активности. Улучшения также требуются функциональности контроля приложений в части интеграции с пользовательскими политиками. Cyberoam. Близок к квадранту лидеров, но пока находится среди визионеров. Причины Gartner называет следующие - низкая популярность решения, особенно в Северной Америке, и излишняя концентрации на борьбе с конкурентами: компания вместо продвижения своего бренда занимается дискредитацией других. NETASQ. Неизменно находясь в квадранте визионеров, с переменным успехом пытается попасть в квадрант лидеров. Gartner отмечает, что у NETASQ достаточно мало заказчиков за пределами Европы, Ближнего Востока и Африки (EMEA), а недавнее приобретение NETASQ компанией Cassidian (подразделение Европейского аэрокосмического и оборонного концерна - EADS) может привести к смещению фокуса от SMB рынка к более крупным компаниям. Cisco. Место компании в квадрате практически не меняется. Gartner указывает, что Cisco не воспринимается рынком как бренд для SMB и именно её продукты чаще других заменяются конкурентами. Juniper Networks. Извечный сосед Cisco по квадранту визионеров. Как и для Cisco отмечается ориентированность в стратегии и продуктовой линейке на более крупные компании, а также отсутствие сильного сфокусированного на SMB партнёрского канала. В квадрант нишевых игроков в 2013 году Gartner включил также Huawei, gateProtect, Clavister и Kerio, но подробнее на них останавливаться не будем. Совсем исключены из отчёта (в разные годы) Trustwave, Netgear, IBM (линейка Proventia) и McAffee (линейка SnapGear). В заключение приведу оценку рынка и прогноз Gartner. Мировой объём рынка UTM данная аналитическая компания в 2012 году оценивает в $1,53 млрд., что на 18,7% больше показателей 2011 года. Gartner предполагает, что данный сегмент рынка будет расти значительно быстрее других на рынке безопасности, но отмечает и ряд факторов, влияющих на снижение темпов роста. Тем не менее,  среднегодовой темп роста до 2018 года оценивается примерно в 15%. В России же рынок UTM имеет ряд особенностей, отличающих его от общемировых, но об этом поговорим в следующий раз.

  • 14 Августа 2013 » Достаточно облачно
    Мероприятие Eurocloud Russia (RCCPA) “Облачные сервисы: обмен и интеграции данных. Куда движемся?”, проводившееся совместно с бизнес-инкубатором РЭУ им. Г.В. Плеханова оставило отличное послевкусие. Приятно было встретить коллег, которых давно не видел, послушать (некоторых) докладчиков, да и самому выступить. Сначала, как и обещал, выкладываю свою презентацию Не свисти - паролей не будет!. Она прежде всего обзорная (и только потом уже про Swivel), а потому открывала цикл обсуждения различных аспектов аутентификации. Не свисти - паролей не будет! from Alexey Komarov Вопросов и в ходе выступления и после было много, за что аудитории большое спасибо. Непринуждённая атмосфера, задаваемая модератором Михаилом Орешиным, располагала и к корректным спорам и лёгкому дружескому троллингу =) Из докладов хотел бы выделить выступление Владимира Иванова (Компания "Актив"), представившего интересный обзор актуальных проблем аутентификации при использовании облачных технологий, а также рассказ о своём облачном сервисе Алексея Фёдорова, директора StartPack. С данным резидентом бизнес-инкубатора мне посчастливилось познакомиться ещё весной этого года при посещении ИТ-парка в Казани. Решение более чем просто заслуживающее внимания: единый биллинг, брокерские услуги (один договор вместо, например, пяти), единая точка входа и единый интерфейс контроля и управления доступом пользователей. Выступление Алексея было интересным и очень тематическим - не то, что моё =) Организаторам сплошные благодарности и только две просьбы: если для показа презентаций планируете использовать LibreOffice - лучше предупреждайте заранее =) И вторая: зовите чаще!