Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
24
Ноября
2013
» Только тронь меня!
Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев. Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики. Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID - это отличное решение с точки зрения безопасности. Попробую это продемонстировать. Наши смартфоны по мере становления всё более смарт- и всё менее просто -фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много. Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple - простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство. Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными. Выставлять запрос пароля только через час на мой взгляд слишком небезопасно - за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут - слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас. К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3). Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты. Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK. Цифровой PIN-код: нажать кнопку Home и ввести 4 символа. Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо. Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды. В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID - сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана. Что ещё удобно в Touch ID на мой взгляд. Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много - вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток. Палец можно прикладывать хоть вверх ногами (если так можно выразиться) - распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше. Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально). Явно удачная технология скорее всего будет использована Apple в других её устройствах - iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь. [box]Paranoid mode: ON[/box] Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен. [box]Paranoid mode: OFF[/box] Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно - хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится - удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.
13
Ноября
2013
» Сертификационные гонки по вертикали
Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране. На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы. Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года: iPad - 58 заказов iPhone - 16 заказов Android - 13 заказов Samsung Galaxy - 8 заказов Sony Xperia - 2 заказа Nokia Lumia - 0 заказов Nexus - 0 заказов (единственный имеющийся не относится к теме - "Приобретение амплификатора для проведения реакций ПЦР (Eppendorf Mastercycler nexus gradient или аналогичная)") К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские. Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”. Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось. Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее. Причина №1. Нераспространённость. Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке. Причина №2. Технические сложности. В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем. Причина №3. Частота обновления операционной системы (ОС). Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде. Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию). Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года. Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена. Теперь посмотрим на жизненые циклы iOS: Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется. Пионеры сертификационных гонок. Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS. Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что: КриптоПро версии 3.6.1 может использоваться в программно-аппаратных средах iOS версии 4.2.х, 4.3.х, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1. ViPNet Client iOS 1.1 поддерживает только iOS версии: 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4; 4.3.3 — для iPad 2; 5.0.1 — для iPad 2, iPhone 4S; 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS. При этом: должен быть выполнен джейлбрейк устройства [..], то есть разблокирован доступ к его файловой системе, и установлен менеджер пакетов Cydia. Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине. Закругляюсь Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.” Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует. Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad. В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.
08
Ноября
2013
» Парольная скорость
Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем. Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаем - после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется - руки сами всё наберут. Аналогично с токеном. Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само. Также пользователь может использовать для входа одноразовый пароль (OTP - one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону - требуется концентрация внимания на процессе ввода. Для полноты картины упомяну ещё один метод разблокировки компьютера - ввод одноразового кода (OTC - one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure, запатентовавшая PINSafe - метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше. При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств. Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера: 1 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 2 место. Пароль - даже сложный пароль со временем будет вводиться на автомате. 3 место. OTP - меняется каждый раз, нужна концентрация внимания. 4 место. OTC (PINSafe) - нужно каждый раз вычислять из секретной строки. Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее: 1 место. OTP - просто нажал кнопку или посмотрел на экран и считал одноразовый пароль. 2 место. OTC (PINSafe) - нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно. 3 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 4 место. Пароль - даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры. В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью. Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac. Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить пароль даже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0, славящийся своим низким энергопотреблением, так что дело явно в этом.
04
Ноября
2013
» (Российские криптошлюзы)++
Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице). Теперь же появился повод взглянуть на этот класс решений под немного иным углом - с точки зрения применения в них криптографии. Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь. Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом. Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования. Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом. Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значится более 2000 позиций, а в аналогичном Перечне от ФСБ - в пять раз меньше. Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России). Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу. После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером. Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика. Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты: ViPNet (разработчик ИнфоТеКС) Континент (разработчик Информзащита, Код Безопасности) CSP VPN (разработчик С-Терра СиЭсПи) ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС) StoneGate SSL VPN (разработчик Новые технологии безопасности) DioNIS (разработчик Фактор-ТС) АТЛИКС-VPN (разработчик НТЦ Атлас) Туннель (разработчик АМИКОН, ИнфоКрипт - ПАК на основе ФПСУ-IP) Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера: Модуль HSM (разработчик НТЦ Атлас, описание) М-448-1.4 (разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание) Барьер IPSec (разработчик Валидата) КриптоПро CSP/IPSec (разработчик КРИПТО-ПРО) Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно. Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился. Ситуация серьёзно изменилась в прошлом году, когда произошло знаковое (но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ. Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры? Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN. Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификацией, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ № СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee и своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная. Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.
20
Октября
2013
» Как отправлять SMS с iPad и не попасть впросак
Рассмотрим сегодня любопытный сервис от компании Мегафон - UMS (Unified Messaging Solution), позволяющий объединить в одном приложении SMS, MMS, ленты и чаты социальных сетей. Подход компании Apple, блокирующей в своих планшетах, оснащённых SIM-картами, возможность звонить, посылать короткие USSD-команды, а также отправлять и принимать SMS и MMS, понять, наверное, можно. В конце концов, iPhone тоже ведь продавать надо =) Но иногда очень хочется обойти это искусственно установленное ограничение. Конечно, можно прекрасно звонить через Skype или FaceTime, а сообщения отправлять по iMessage или через web-сайт оператора сотовой связи, но области применения каждого из этих вариантов имеют свои ограничения и неудобства, а для владельца Nokia 3310 ни один из них не оставляет шанса связаться с вами - ни позвонить, ни отправить SMS на ваш iPad у него не выйдет. К сожалению, для абонентов других сотовых операторов элегантного решения не знаю, а Мегафон для своих клиентов вот уже почти год как предлагает сервис UMS и соответствующие приложения для мобильных устройств (сейчас есть версии для iOS, Android и Windows Phone). Скачать версию UMS HD для iPad можно в App Store. Для входа в приложение нужно ввести номер телефона и пароль от Сервис-Гида. Почему в UMS используется тот же пароль, что и для доступа к Сервис-Гиду, я не понимаю. С точки зрения безопасности - это дополнительная уязвимость. Забавно, что в специально написанной для iPad версии приложения пароль предлагается установить в том числе с помощью USSD-запросов. Разработчики, мне кажется, всё же должны понимать странность таких вариантов. Но, к счастью, предусмотрен и другой способ - через личный интернет-кабинет в сервисе самообслуживания sg.megafon.ru Вот только зайти на него через, например, WiFi-подключение не выйдет, нужно воспользоваться мобильным интернетом. Несмотря на всю кажущуюся простоту, при установке этого пароля могут, конечно, возникнуть и какие-то сложности. В таком случае рекомендую решать их, обратившись непосредственно в Мегафон (контакты для Москвы). Помогают лучше, чем поиск по форумам и сайтам, проверено. Итак, все нюансы позади и приложение UMS успешно запущено. Теперь SMS-сообщения, отправляемые на номер, используемый в вашем iPad, будут не просто теряться где-то в недрах оператора, а отображаться в приложении. Удобно, что ни говори. В качестве дополнения приложение UMS позволяет подключить другие сервисы сообщений и социальные сети. Единая лента сообщений, конечно, может быть удобной, но всё же я бы не рекомендовал объединять все соцсети в одном приложении. Во всяком случае, не в приложении от Мегафон. Напомню, что с сервисом UMS связан недавний скандал, касающийся клиентов банка Тинькофф. Тогда злоумышленники, воспользовавшись несовершенством Сервис-Гида и UMS, получили доступ к SMS-сообщениям, в том числе тем, что отправлял банк. Имея такой инструмент, злоумышленники смогли менять пароли от интернет-банкинга и осуществлять переводы от имени клиентов банка Тинькофф на свои счета. В ситуации разобрались, деньги вернули, уязвимости устранили (потенциально опасная доставка SMS-сообщений от банков через сервис UMS теперь отключена), но уверенности в полной безопасности данного приложения я лично, например, не испытываю. В настройках приложения есть два обрадовавших меня по началу раздела Приватность и Безопасность. Однако, в Приватности полезны разве что отключение статистики Google и доступа приложения к адресной книге, а вот Безопасность же и вовсе на iPad не рассчитана. Включение в разделе Безопасность обязательного ввода Кода проверки по SMS - вещь, безусловно, полезная. Однако, её суть в том, что для входа нужно будет ввести пароль, отправляемый по SMS, но непоказываемый в самом приложении. Если под рукой нет телефона, в который можно переставить SIM-карту из iPad (мой вариант), то узнать этот код не получится, а потому и опцию эту никак не задействовать. К слову, в приложении можно указать любой телефон, не обязательно тот, который записан на SIM-карте, вставленной в iPad. Это даст вам возможность получать и писать сообщения с другого своего номера. Иногда это удобно. В заключение несколько рекомендаций пользователям UMS HD: установите сложный пароль от Сервис-Гид (Мегафон позволяет использовать до 26 цифр) настройте уведомление о входе в Сервис-Гид в личном кабинете на сайте sg.megafon.ru (Настройки Сервис-Гид -> Оповещение) по возможности не подключайте в приложении другие социальные сети и сервисы общения отключите в настройках доступ приложения к адресной книге отключите предпросмотр сообщений, чтобы текст входящих сообщений не появлялся на экране iPad активируйте опцию Код проверки по SMS (потребуется телефон, в который можно вставить SIM-карту из iPad, или визит в офис Мегафон) и разработчикам UMS HD: сделать отдельный от Сервис-Гида пароль для UMS установить пароль (хотя бы ПИН-код) на вход в приложение переработать механизм установки Кода проверки по SMS для iPad-версии
10
Октября
2013
» Сертифицированные межсетевые экраны (часть 9)
Почти год прошёл с момента последней актуализации таблицы сертифицированных межсетевых экранов, пришла пора обновить информацию в ней, пока она окончательно не устарела. Для оптимизации внешнего вида в самой таблице убрал ссылки - поддерживать их в актуальном состоянии не просто, а найти сайт вендора или описание продукта самостоятельно не так и сложно, а также исключил малоинформативные столбцы про ОС и актуальность - условно будем считать, что продукт актуален, пока на него действует сертификат. Посмотрим, какие изменения произошли с ноября прошлого года. Прежде всего приведу краткий список продлённых сертификатов: DioNIS Security Server v.6.0 - №359/5 до 03 мая 2015 года ИВК Кольчуга - №1094/1 до 29.06.2015 Cisco ASA-5505 - №1976 до 11.12.2015 ViPNet CUSTOM 3.2 - №1549/1 до 26.05.2016 ФПСУ-IP/Клиент - №1281 до 03.11.2015 WatchGuard Firebox - №2038 до 16.02.2016 ССПТ-2 - №2141 до 23.07.2016 (согласно разработчику) Security Studio Endpoint Protection Personal Firewall - №2170 до 20.09.2016 CSP VPN Server v. 3.1 - №2197 до 10.11.2016 CSP VPN Gate v. 3.1 - №2198 до 10.11.2016 CSP VPN Client v. 3.1 - №2199 до 10.11.2016 TrustAccess - №2146 до 30.07.2016 (согласно разработчику) TrustAccess S - №2147 до 30.07.2016 (согласно разработчику) Z-2 - №1353 до 09.03.2016 Z-2, версия 2.6 - №1353/1 до 05.08.2015 Последние два, как оказалось, рано были списаны мной со счетов, раз сертификаты на них были обновлены. Информация о некоторых продлениях пока отсутствует в реестре, но имеется на сайте разработчиков. В таблице дата окончания таких сертификатов отмечена оранжевым цветом. Теперь о "потерях". Закончили своё действие и не были продлены целый ряд сертификатов на продукты Cisco: ASA-5510, ASA-5520, Cisco ASA-5540, FWSM, 1800, 2800, 3800, 7200, 7600, 3750, 1841, 2811, 6509, 3825. Есть непродлившиеся сертфикаты у Кода Безопасности, ЛИССИ-Крипто, Check Point. Все их убрал из таблицы. «Отмучались» Proventia Server и Proventia Desktop, сильно сдавшие позиции после покупкой их производителя ISS компанией IBM. Видимо, ничего не получилось и с «псевдо-российским» RSOS6850 - сертификат на него не был продлён. Есть также несколько сертификатов Cisco, ИнфоТеКС и Stonesoft, истекших в августе, которые пока оставил в таблице, так как есть в её обновлении определённая инертность. Про Stonesoft, кстати, достоверно знаю, что сертификаты будут продлены. С сертификатом №2540 на Cisco 881 история получилась странная - ранее он присутствовал в реестре с указанием «серия», сейчас же только «20 экз.». Убираем. Забавная накладка с сертификатом №1091 на ФПСУ-IP - он всё ещё числится в реестре ФСТЭК как просроченный, хотя актуальная (не фейковая ли только?) копия присутствует на сайте вендора. Наконец, в реестре появилось значительное число новых сертифицированных межсетевых экранов как от уже присутствующих на этом рынке игроков, так и от совсем новых: D-Link DFL-260E D-Link DFL-860E D-Link DFL-1660 Kerio Control Altell NEO ПО Check Point Security Gateway R71 Filter D-Link DFL-256 Cisco 2911R Dionis NX Deep Security 8.0 Cisco ASA 5510 Cisco IE-3000-8TC ViPNet Terminal 3.0 Подробнее о новинках поговорим в следующий раз, пока же выкладываю обновлённую таблицу. Если у вас предложения/замечания - буду за них признателен. Мои контакты.
09
Октября
2013
» Колбаса, дороги и стандарты ИБ
Выкладываю презентацию и диаграмму связей с сегодняшей блогер-панели: «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем», проходившей в рамках INFOBEZ-EXPO. Организаторам, коллегам-блогерам и слушателям - спасибо, было интересно! Колбаса, дороги и стандарты ИБ. from Alexey Komarov [caption id="attachment_4135" align="aligncenter" width="300"] Диаграмма связей о Стандартах[/caption]
22
Сентября
2013
» Компания, которой больше нет
Пару недель назад в самом начале сентября исполнилось (бы) 6 лет компании SafeLine, да вот только отмечать очередной день рождения было некому: в конце мая 2013 года было объявлено о покупке SafeLine дистрибутором из ГК ЛАНИТ - Treolan. Возможно, что юридическое лицо ООО “Сейфлайн” всё ещё существует: в конце концов, есть лицензии, заключённые с партнёрами и вендорами договора, которые вот так быстро не переоформишь. Вместе с тем, сам бренд, видимо, существовать окончательно перестал. SafeLine не выставляется больше на выставках, не видно статей и комментариев от имени сотрудников, да и сайт http://safe-line.ru переадресует всех на подраздел сайта Треолана. Идея, положенная в основу создававшегося в 2007 году российского специализированного дистрибутора в области информационной безопасности, была, на мой взгляд, отлична: расширение регионального присутствия и представление на российском рынке самых прогрессивных и востребованных решений от мировых лидеров в области информационной безопасности. Да и самому холдингу Информзащита такое выделение дистрибуторского бизнеса в отдельное юрлицо сулило только выгоды. Владимир Гайкович: “Выделение дистрибуции в отдельный бизнес позволяет компании «Информзащита» сосредоточить свои усилия на расширении спектра сервисов в области информационной безопасности, как приоритетного направления нашего дальнейшего развития.” Забегая вперёд, не могу не отметить, что продавали компанию почти с теми же словами =) Пётр Ефимов: “Продажа Safeline продиктована желанием акционеров ГК «Информзащиты» сосредоточить усилия на развитии основных направлений своего бизнеса — разработке средств защиты информации и оказании услуг в области ИБ. ” А пока у руля новой компании встал Михаил Савельев. Всего SafeLine пережил три периода жизни с тремя разными командами, в двух из которых мне довелось поработать. Михаила все с любовью называли человек-пароход за его непомерную активность, универсальность, эрудированность и умение делать абсолютно всё с одинаковой степенью успешности. Главные достижения SafeLine эпохи Михаила Савельева на мой субъективный взгляд - это существенное укрепление и расширение партнёрской сети, продающей продукты собственной разработки ГК Информзащита (чуть позже под разработку была также выделена отдельная компания - Код Безопасности) и начало вывода на российский рынок продуктов Fortinet. К сожалению, в конце лета 2009 года Михаил покидает SafeLine. Очень хорошо помню его проводы и то, как подарили ему бумеранг на прощание. Бумеранг, как ни странно, сработал - Михаил Савельев вернулся в конце 2011 года, правда в другую дочернюю компанию Информзащиты - Учебный Центр. SafeLine же с осени 2009 по весну 2012, дольше, кстати, чем кто-либо другой, возглавлял Василий Дубинин. Данный период лично я считаю самым успешным за всю историю компании. Любой дистрибутор, входящий в холдинг, неизбежно сталкивается с недоверием со стороны партнёров, если в холдинге присутствует такой же системный интегратор. Думаю, природу такого недоверия объяснять не нужно. SafeLine при Василии (не всеми, но) большинством партнёров начал действительно восприниматься как надёжный и независимый от кого бы то ни было дистрибутор. Другое важное достижение - это существенное увеличение доли вендорской продукции. Fortinet продолжил наращивание своего присутствия в России, а Stonesoft, например, и вовсе превратился в одного из сильнейших игроков в своём сегменте. Конечно, основная заслуга в этом у представительства Stonesoft, но и роль дистрибутора преуменьшать нельзя. Не зря же SafeLine дважды по итогам 2011 и 2012 годов получал приз “Зубр дистрибуции” от Stonesoft. Наконец, важнейшей для меня лично заслугой Василия Дубинина является то, что костяк по крупицам собранной и годами совместной работы отлаженной команды он сумел сохранить, правда, уже в рамках NGS Distribution. Эпоха безвременья, начавшаяся с уходом Василия, закончилась в SafeLine ближе к осени 2012, когда новое пламя жизни в охладевший было труп вдохнул Олег Бакшинский и его (судя по LinkedIn) команда из другого дистрибутора - headtechnology. Могу честно сказать, что у них отлично начало получаться, но так вышло, что времени окончательно развернуться коллегам так и не дали, подрезав крылья прямо на взлёте, не позволив толком проработать даже и года. Портфель только-только начал расти, сайт преображаться, а партнёры привыкать к новым адресам сотрудников, как внезапно для многих “сейфлайн отреоланился”. В заключение всех так или иначе причастных к компании SafeLine хочу пусть и с опозданием поздравить с шестилетием компании! Ведь отмечают же выпускники школ юбилеи давно несуществующих классов, так что и нам можно =) Коллеги предшествующие, бывшие и несостоявшиеся, с праздником!
19
Сентября
2013
» Как попасть на заблокированный Facebook и победить в Security Awards
Сегодня Роскомнадзор внёс Facebook в реестр запрещенных сайтов, а Оргкомитет INFOBEZ-EXPO сообщил об обнулении текущих результатов голосования в премии Security Awards 2013. Объединяют в моём сегодняшнем посте эти два на первый взгляд несвязанных события такие понятия как анонимайзер и прокси. Про анонимность как-то раз уже писал, рассмотрев тогда отличный способ по анонимизации - пакет Tor Browser Bundle. Проект жив до сих пор и позволяет обращаться к нужным сайтам не напрямую со своего IP-адреса, а, пройдя по цепочке из трёх последовательных прокси-серверов, через один из тысяч выходных узлов, разбросанных по всему миру. Каждый отправляемый пакет при этом трёхкратно шифруется, что достаточно эффективно затрудняет попытки отслеживания изначального адреса отправителя. Подменив, таким образом, свой IP-адрес на IP-адрес выходного узла, можно получить доступ к заблокированным цензурой сайтам. Обойти наш российский пресловутый чёрный список этим способом в большинстве случаев труда не составит, по крайней мере, пока власти не начнут бороться с входными узлами сети Tor. На картинке ниже моя страничка Facebook, открытая через Tor Browser. Кстати, попасть в свою учётную запись из-за левого IP было не так просто. Однако, далеко не всегда анонимность используется для борьбы с цензурой или защиты неприкосновенности частной жизни. Этот же инструмент можно применять и, например, для накручивания счётчиков в интернет-голосованиях. Самое простое средство для защиты от повторного голосования - это использование cookie, небольших файлов с пометкой о том, что пользователь уже голосовал, сохраняемых в кэше браузера. При этом можно легко проголосовать повторно просто открыв другой браузер, а, регулярно очищая кэш браузера, можно голосовать и вовсе неограниченно. Впрочем, такое совсем примитивное средство защиты от повторного голосования чаще используются лишь как дополнительное. Другой способ понять, голосовал ли этот пользователь ранее, состоит в сохранении его IP-адреса в списке уже проголосовавших. При этом, правда, из работающих через один внешний IP-адрес (характерно для офисных сетей и сетей локальных провайдеров) пользователей проголосовать сможет только самый первый. Если я правильно понял, то в голосовании Security Awards 2013 как раз этот способ и использовался. Коллеги из одной компании не могли проголосовать на работе, но с успехом делали это со смартфонов, дома, из гостиниц или при работе через WiFi в каком-нибудь кафе. Но и такой способ защиты далёк от совершенства. Рассказывая в прошлый раз о Tor Browser Bundle я упоминал уже кнопку Сменить личность, при нажатии на которую происходит повторное соединение с сетью Tor. Узел выхода при этом тоже меняется, а значит, меняется и IP-адрес с точки зрения системы голосования. Впрочем, для реального накручивания такой ручной способ вряд ли эффективен: соединение с сетью Tor происходит достаточно долго, да и смена личности занимает сопоставимое время. Однако, нужно понимать, что готовый инструмент для анонимного web-сёрфинга Tor Browser Bundle просто и не предназначен для накруток, на его примере я лишь продемонстрировал сам принцип. Вместе с тем, подозреваю, что для знающих людей создать для сети Tor свою собственную утилиту, перебирающую IP-адреса, совсем не трудно. Ведь ищутся же в сети легче лёгкого утилиты для перебора внешних прокси-серверов. Кстати, использование прокси является ещё одним способом обхода блокировки сайтов, обмана онлайн-голосований или, ещё не упомянутой мной, цели искусственного увеличения счётчиков посещения сайтов. Самые простые в использовании - это, конечно, web-прокси, представляющие собой специализированные web-сайты. На этих сайтах нужно лишь указать интересующий вас заблокированный ресурс и web-прокси зайдёт на него со своего IP-адреса, а вам покажет открывшуюся страничку. С точки зрения провайдера вы будете читать не запрещённый контент, а пользоваться каким-то непонятным web-сайтом, к которым у цензурщиков претензий нет. Вот, например, неплохой агрегатор web-прокси - http://proxer.ru Вы вводите нужный адрес и сайт переадресует вас на один из web-прокси, выбранный из его регулярно актуализирующейся базы. Вернёмся, впрочем, к Security Awards 2013. Организаторы помимо обнуления промежуточных итогов голосования обещают ввести дополнительные средства защиты. Не знаю, конечно, какие именно способы будут использоваться, будем надеяться, такие, что позволят успешно бороться с накрутками. Впрочем, после беглого прочтения статьи Полный гид по накрутке онлайн-голосований на Хакере, в которой только что рассмотренный мной вопрос подмены IP-адреса удостоился лишь пары абзацев, начал испытывать определённый скепсис по поводу возможности такого быстрого создания эффективной системы голосования с нуля.
31
Августа
2013
» UTM... как это по-русски?
В прошлый раз, благодаря Gartner, мы определились с понятием UTM (Unified Threat Management) и раскладом на этом сегменте рынка в мировом масштабе. Сегодня давайте посмотрим на всё это нашими отечественными глазами. Прежде всего стоит отметить, что сама идеология UTM как многофункционального комбайна в наших широтах, несмотря на определённые усилия пары поколений маркетологов, всё никак не приживётся. Ну, вот нет веры в то, что одна универсальная коробка в состоянии заменить целый их набор. При этом аргументы о комплексности обработки трафика и экономии средств и времени на администрирование не действуют и всё тут. Впрочем, оставим это, перейдя к сути. UTM-устройствам в России не очень повезло, так как помимо прочего они включают в себя функционал межсетевого экранирования, требования к которому ещё с незапамятных 90-х годов сформулировала Гостехкомиссия (ныне ФСТЭК). Вот и получилось, что UTM-решения вынуждены были прежде всего играть на одном поле с классическими межсетевыми экранами, несмотря на принципиально иное предназначение. Новые же требования ФСТЭК теперь касаются и такого функционала UTM как система предотвращения вторжений и антивирусная защита. Как это скажется на рынке UTM в России - нам ещё предстоит понять. При этом не секрет, что у многих (если не сказать - большинства) иностранных вендоров сертификация, особенно та, что связана с предоставлением доступа к исходному коду, вызывает оторопь. Их можно понять. Много ли найдётся желающих в той же Европе, не говоря уже об Америке, купить решение по безопасности, “в исходных кодах которого ковырялось кровавое КГБ”? Тем не менее, находятся компании, для которых российский рынок действительно важен. Трудно представить, какими именно словами, но их региональные менеджеры всё же убеждают своих западных коллег в том, что нужно осуществить дополнительные финансовые и ресурсные инвестиции для успеха в России. Ведь, как показывает опыт, частенько вендоры считают, что их мировой успех обрекает их на автоматическую победу в России, что, конечно же, мягко говоря, не так. За годы активного общения с западными UTM-вендорами для себя выбрал три основных критерия, определяющих их перспективность на нашем рынке: Готовность к сертификации. Без этого всё остальное можно даже и не рассматривать, к сожалению. Готовность к инвестициям - российский офис, сайт на русском языке и пр. Кстати, помимо вопроса выделения денег, отдельно нужно позаботиться о надёжном российском партнёре. Читал я тут некоторые переводы на русский язык, выполненные дорогими западными агентствами... Поверьте, многие из нас на английском пишут лучше =) Готовность к выстраиванию адекватного канала. Это важно. Регистрация сделки за работающим партнёром - это основа основ, но есть и много других мелочей. Далеко не все это понимают. Вооружённые моим субъективным восприятием, давайте теперь взглянем на главных игроков Квадрата Gartner в сегменте UTM через амбразуру российской реальности. Fortinet В России три официальных дистрибутора: NGS Distribution, Мерлион и SafeLine, которого не так давно приобрел другой дистрибутор - Треолан (ГК ЛАНИТ), партнёрская сеть насчитывает двух партнёров уровня GOLD и шесть уровня SILVER, партнёров с более низким статусом Fortinet на своём сайте не указывает. Локальный офис присутствует и, насколько мне известно, перманентно расширяется. Русскоязычный сайт: http://fortinet.su В настоящее время сертифицирована модель FortiGate-60C на МЭ4*, в планах более масштабная сертификация на МЭ3 и НДВ4** осенью 2013 года. Check Point Как и у Fortinet - три дистрибутора: МОНТ, OCS, RRC, а партнёров побольше: уровня Gold - 8, Silver - 13 и Bronze - 52. Российский офис существует уже давно. Сайт на русском языке: http://rus.checkpoint.com Сертифицированы Checkpoint UTM-1 Edge N на МЭ4 и Check Point Security Gateway R71 на МЭ3, НДВ4. Дальнейших планов найти в сети не удалось, но, подозреваю, что они есть. Dell (SonicWall) Именно по направлению SonicWall значится лишь один дистрибутор SecNet, а вот сервис поиска партнёров у меня так ни одного и не выдал. Ни русского сайта, ни локального офиса не обнаружилось. У Dell, конечно, они есть, но пока на решения SonicWall я бы их наличие не распространял. Сертификации нет и не предвидится. WatchGuard Эксклюзивный дистрибутор - Rainbow Security, партнёров обнаружено со статусом Professional - 4 и Associate - 2. Локального офиса нет, а роль сайта выполняет раздел с “человеконепонятной” ссылкой на сайте дистрибутора. Есть сертификат ФСТЭК у WatchGuard Firebox XTM 11 на МЭ3. Sophos Дистрибутором в России является Фактор Груп, в числе партнёров значатся: Platinum - 2, Gold - 1 и Silver - 10. Офиса нет. Русский сайт: http://astarots.ru Сертификат немного странный, но всё же имеется: Антивирусный программный продукт Sophos версии 3.1.2, встроенный в программное обеспечение почтового сервера Kerio Connect версии 7.1.3 - ТУ с ограничениями. Что планируется дальше - не известно. [box type=”info” style=”rounded”]UPD. 22.09.2013 Оказалось, что ещё действует сертификат, полученный ранее (до переименования) на ASTARO Security Gateway Software Network Appliance 8 – по 3 классу для МЭ, по 4 уровню контроля для НДВ с ограничениями. Спасибо Сергею Борисову за подсказку. Итоговую таблицу обновил.[/box] Cyberoam Всё просто. Дистрибутора, партнёров, сайта на русском языке, локального офиса, сертификатов и планов по их получению - нет ничего =) NETASQ Относительно недавно подписали соглашение об эксклюзивной дистрибуции с NGS Distribution. В ближайшее время будет запущен сайт http://netasq.ru, а сертификация запланирована на 2014 год. Пока всё. Cisco Официальный список дистрибуторов найти не удалось, но вроде бы как вот они: CompTek, OCS, RRC, Marvel. Партнёров много: Gold - 19, Silver - 6, Premier Certified - 162, Select Certified - 336. Сайт руссифицирован: http://www.cisco.com/web/RU, местный офис, пожалуй, самый крупный среди всех остальных участников сравнения. Сертифицированы Cisco ASA-5505 на МЭ3 и ТУ***, Cisco ASA 5510 на МЭ4, Cisco ASA 5500-X на МЭ-3 и ещё коммутаторы и маршрутизаторы, не относящиеся, впрочем, к понятию UTM. В планах на ближайшее время - сертификация Cisco IPS, но, как я понимаю, в отличие от Fortinet и Check Point - опять без НДВ. Juniper Networks Дистрибуторы: Landata, Netwell, OCS, партнёров к моему удивлению оказалось совсем немного: Elite - 6 и Select - 7. Местный офис и сайт в наличии: http://www.juniper.net/ru/ru/ Из сертифицированного - только 331 экземпляр Juniper NetScreen 5GT на МЭ3 (видимо под проект), дальнейшие планы туманны. Итоги В заключение приведу сводную таблицу состояния основных показателей, оценив (как обычно - субъективно) по 5-бальной шкале такие параметры как Текущее состояние сертификации, Планы по сертификации, Наличие российского офиса, Русскоязычный сайт, Выстроенность канала в России. [table id=11 /] Итоговые выводы по двум постам каждый может сделать самостоятельно. Мой взгляд всё же скорее тяготит к дистрибуторскому восприятию вендоров, а у каждого из заказчиков своё представление о том, что ему подходит больше. Использованные сокращения МЭ3, МЭ4 - С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5, при этом, чем выше класс, тем жёстче требования. Сами требования прописаны в документе: Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. ** - Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. *** ТУ - технические условия.
Компания Apple славится своим умением давать новую жизнь казалось бы давно известным технологиям. Так получилось и с биометрическим сканером отпечатков пальцев. Touch ID в новых iPhone 5s в отличие от множества самых разных сканеров отпечатков, встраиваемых в ноутбуки вот уже много лет, просто работает, чтобы там ни говорили скептики. Критики Touch ID в Интернете найти можно предостаточно, в том числе активно критикуются вопросы, связанные с безопасностью новой технологии. Но давайте попробуем взглянуть на вопросы безопасности Touch ID под другим углом: я утверждаю, что Touch ID - это отличное решение с точки зрения безопасности. Попробую это продемонстировать. Наши смартфоны по мере становления всё более смарт- и всё менее просто -фонами накопили такое количество личной информации о нас (SMS, фотографии, почта, пароли от соцсетей и для доступа к банковским счетам, электронные билеты и т.п.), что, казалось бы, только абсолютно беспечные пользователи могут не беспокоиться о попадании всей этой информации к посторонним в случае утери или кражи смартфона. Но, как это ни странно, и как мы все это прекрасно знаем, таких пользователей очень много. Простейшая блокировка телефона с помощью четырёхсимвольного цифрового PIN-кода (в терминологии Apple - простой пароль) и та используется далеко не всеми, что уж говорить о более длинных алфавитных паролях. Причина тому вполне понятна: в посте Парольная скорость я уже рассуждал на тему важности такого аспекта процесса аутентификации как скорость (и простота) его прохождения для пользователя. При любой возможности пользователь стремится упростить аутентификацию, а уж если и соглашается на какие-то усложнения, то только если они адекватны его собственным представлениям о размере потенциального личного ущерба в случае негативных последствий. В этом плане использование, например, в случае iPhone простого пароля доступа, интервала перед его запросом в 15 минут и автоматического удаления информации после 10 неудачных попыток представляются оптимальными по соотношению безопасность / удобство. Алфавитный пароль вводить очень неудобно, как и использовать меньший, чем 15 минут, временной интервал: ведь согласно свежим исследованиям, среднестатистический пользователь разблокирует экран телефона 110 (!) раз в день. Суммарные временные затраты при коротких интервалах и/или длинне пароля даже в 8 символов будут значительными. Выставлять запрос пароля только через час на мой взгляд слишком небезопасно - за это время может произойти слишком многое и оставленный без присмотра телефон может быть кем-то использован. Хотя тут, конечно, всё индивидуально. Скажем, мне самому ранее казалось, что 15 минут - слишком много и нужно устанавливать 1 минуту. Решайте сами, насколько недоверенная среда вокруг вас. К недостаткам PIN-кода можно отнести и то, что его легко подсмотреть со стороны, особенно если вы часто разблокируете телефон в присутствии какого-то слишком любопытного человека. Наконец, PIN-код, используя камеру и микрофон смартфона, может узнать установленное на него приложение, что доказали исследователи из Кембриджского университета, создав приложение PIN Skimmer, определяющее PIN-код по положению лица в моменты нажатия цифр PIN-кода, при этом сами события нажатия определялись по звуку (тесты проводились на Google Nexus-S и Galaxy S3). Использование сканера отпечатков пальцев решает многие проблемы. Взять, к примеру, время разблокирования. В это не так просто поверить, но при использовании Touch ID разблокирование iPhone происходит также быстро, как и в случае вовсе без установленной парольной защиты. Алфавитный пароль: нажать кнопку Home, ввести пароль и нажать OK. Цифровой PIN-код: нажать кнопку Home и ввести 4 символа. Без пароля: нажать кнопку Home и смахнуть по нижней части экрана слева направо. Touch ID: нажать кнопку Home и задержать на ней палец на доли секунды. В общем, при взгляде на эту диаграмму, становится очевидным главное преимущество Touch ID - сочетание высокой безопасности и простоты использования. Сопоставимое с вариантом Без пароля время на разблокировку позволило Apple пойти на ещё большее повышение безопасности: при использовании Touch ID нельзя установить интервал, в течение которого аутентификация при разблокировке не будет запрашиваться (те самые рекомендуемые мною выше по тексту 15 минут). При включении Touch ID ваш палец/пароль будут запрашиваться сразу после каждой блокировки экрана. Что ещё удобно в Touch ID на мой взгляд. Можно зарегистрировать несколько отпечатков и не только своих, а, например, членов семьи. Правда, нужно учесть, что чем больше пальцев зарегистрировано, тем дольше будет время разблокировки. Кстати, не сразу, но мне удалось-таки заставить распознавать iPhone кончик носа, правда разблокировка редко происходит с первой попытки, так что практической пользы от этого не так много - вряд ли действительно зимой можно будет пользоваться Touch ID, не снимая перчаток. Палец можно прикладывать хоть вверх ногами (если так можно выразиться) - распознаётся прекрасно в любом положении. К тому же, система, по заверениям Apple, самообучающаяся и со временем начинает работать только лучше. Touch ID можно использовать и для покупок в магазинах Apple: iTunes Store, App Store, iBooks Store (хотя, последнее для России пока не очень актуально). Явно удачная технология скорее всего будет использована Apple в других её устройствах - iPad, MacBook и пр. Что же касается видео, где демонстрируется обход Touch ID поддельным отпечатком пальца, то нужно понимать, что без специального оборудования, определённых навыков, наличия вашего качественного отпечатка и удачи провернуть такое злоумышленнику не удастся. В общем, я бы стал беспокоится об этом только если бы стал чьим-то объектом целенаправленной охоты, хотя в таком случае, пожалуй, о Touch ID надо будет переживать уже в последнюю очередь. [box]Paranoid mode: ON[/box] Да, ещё ведь есть опасность, что Apple или, что хуже, посторонние отдельные личности и организации смогут получить с помощью Touch ID ваши отличного качества отпечатки и использовать их в своих корыстных и коварных планах. Компания Apple уверяет, что к самому сканеру никакие сторонние приложения доступа не имеют, а вместо отпечатков используются их хеши, из которых восстановить обратно отпечатки нельзя, при этом эти хеши никуда не передаются, а сохраняются в специальной области процессора A7. Более того, конкретный экземпляр сканера Touch ID жёстко привязан к конкретному же A7, что ещё больше повышает безопасность. Конечно, компании Apple можно не верить, но тогда лучше iPhone 5s вообще не пользоваться или нажимать кнопку Home только в перчатках: сканер ведь встроен и теоретически может считывать ваш отпечаток даже если в Настройках Touch ID выключен. [box]Paranoid mode: OFF[/box] Наверное, в ближайшее время можно ожидать на рынке всплеска числа биометрических сканеров, встраиваемых не только в смартфоны, но и в самые разные устройства. Да вот только есть тут одна загвоздка: для того, чтобы сделать что-то действительно качественное, нужны существенные затраты, которые позволить себе может далеко не каждый производитель. А продавцов дешёвых, работающих кое-как сканеров отпечатков на рынке и сейчас предостаточно - хоть область потребительской электроники возьмите, хоть корпоративные решения. На волне интереса к теме, быть может и продадут они чуть больше, чем могли бы, но кардинально ситуация не изменится - удобные и надёжные биометрические сканеры могут быть дорогими, но пока не могут быть массовыми.
Современные смартфоны и планшеты со всё нарастающим успехом заменяют стационарные компьютеры и ноутбуки не только при использовании в личных целях, но и для решения бизнес-задач, а в последние годы - и в государственных структурах, в том числе и в нашей стране. На том же сайте Госзакупок можно найти уже не только конкурсы на поставку iPhone в кожаных чехлах или отмененный (к счастью для бюджета) заказ на сувенирную продукцию «Планшетные компьютеры «iPad 3» и комплектующие», но и задания на интеграцию продукции компании Apple в самые различные государственные информационные системы. Госзаказчик у нас, как известно, абы что покупать не станет, поэтому конкурсов с упоминанием конкурентов мобильным продуктам Apple на сайте Госзакупок меньше, значительно меньше. Вот, например, общее число всех заказов по состоянию на 13 ноября 2013 года: iPad - 58 заказов iPhone - 16 заказов Android - 13 заказов Samsung Galaxy - 8 заказов Sony Xperia - 2 заказа Nokia Lumia - 0 заказов Nexus - 0 заказов (единственный имеющийся не относится к теме - "Приобретение амплификатора для проведения реакций ПЦР (Eppendorf Mastercycler nexus gradient или аналогичная)") К слову, давно не следил за сайтом http://zakupki.gov.ru и был приятно удивлён, что одна из описанных мною в Анатомии распила коррупционных уловок перестала работать: речь о подмене русских букв схожими латинскими и наоборот. “Android” и “Аndrоid” выдают при поиске одинаковый результат, хотя во втором варианте “А” и “о” русские. Госзаказчикам, однако, помимо качества приобретаемого товара и его, скажем так, пафосности, часто важен и ещё один аспект - наличие на него сертификата. При этом частенько они сами не до конца понимают, что это такое и зачем им это нужно (“А у вас есть лицензия ФСТЭК на этот продукт?”), но при наличии соответствующего документа чувствуют себя спокойнее. Наверное, считают, что раз сертифицированное, то точно “не накажут”. Спрос, как известно, рождает предложение и в реестре ФСТЭК можно найти сертифицированные решения на любой вкус и цвет, да вот только ничего сертифицированного под использование на мобильных платформах мне найти не удалось. Причин тому, на мой взгляд, несколько, а точнее - три. Рассмотрим их подробнее. Причина №1. Нераспространённость. Создание, сертификация и поддержка в актуальном состоянии продукта - это затраты, которые надо хотя бы окупить. Когда имел прямое отношение к продажам такого глубоко бесполезного, на мой взгляд, класса решений как СЗИ от НСД (средство защиты информации от несанкционированного доступа), имел возможность лично убедиться, что запросы на этот тип продуктов для платформы Linux приходили хорошо, если пару раз за год. Кто под такой рынок будет делать продукт? Не знаю, если только тот, у кого высвободился лишний ресурс, который нечем занять, а переориентировать на другие задачи сложно? Недавно, к слову, на рынке появилось-таки СЗИ от НСД, но, право, решение под OS X было бы и то востребованнее, а то вон бедные сотрудники ФТС закупают iMac с сертифицированной Windows XP. Итак, мобильных устройств, видимо, пока всё же в госсекторе не так много, чтобы кардинально изменить картину рынка и простимулировать вендоров на выпуск специализированных сертифицированных решений в массовом порядке. Причина №2. Технические сложности. В продукции Apple, являющейся более популярной (как это продемонстрировано выше) среди российских чиновников, серьёзно ограничена свобода разработчика, ведь ему запрещено сильно вмешиваться в системные процессы. Впрочем, про закрытость iOS, вынуждающую разработчиков идти на jailbreak, уже говорил в посте Сертифицированные решения для iPad. Повторяться не буду, а предлагаю посмотреть на ещё один важный аспект - на частоту выхода новых операционных систем. Причина №3. Частота обновления операционной системы (ОС). Думаю, ни для кого не секрет, что процедура сертификации СЗИ строга и требовательна к тем средам (операционным системам), в которых функционирует это самое средство защиты информации. Строго говоря, для каждого из вариантов среды функционирования надо собирать отдельный стенд и проводить собственные испытания. В сопроводительной документации к сертифицированному СЗИ допустимые условия по возможным операционным системам (и иногда ещё аппаратным платформам) указываются в явном виде. Поэтому, даже если сертифицированное СЗИ физически способно работать, например, в новой версии ОС, то де-факто всё равно использоваться не может, так как нарушены условия эксплуатации. Вот и получается, что поддержка обновлённой ОС для разработчика не только техническая задача (заставить работать), но и, если угодно, управленческая (вложить деньги в очередную сертификацию). Посмотрим теперь на даты выхода операционных систем семейства Windows, для которых сертифицированных решений разработано предостаточно. Мы можем видеть, что средний период между выходом двух версий этой ОС (XP - Vista - 7 - 8) составляет чуть менее 4 лет, а мажорные обновления (считай, сервис-паки SP1/2/3) выходят примерно раз в полтора года. Процесс сертификации, даже если он уже выстроен годами и максимально отлажен, по веремени всё равно достаточно значителен. Так сложилось, что для Windows все регламенты и процедуры успевают быть отработанными за приемлемый рынком срок. Да, те же пресловутые СЗИ от НСД для Windows 8 появились далеко не сразу, но и сама эта ОС до сих самых пор пока не так уж и распространена. Теперь посмотрим на жизненые циклы iOS: Даже опуская минорные (новая цифра после второй точки) обновления, получаем скорость выхода и самой версии и мажорных релизов в 4 раза выше, чем в случае с Windows. Сертифицировать что-либо, устаревающее уже через год, - занятие, поверьте, неблагодарное. К тому же, в отличие от Windows, подавляющее большинство пользователей переходит на новую ОС в первые же дни её выхода. Наверное, можно заставить чиновника использовать iOS 5 и сегодня, но, ИМХО, вся пафосность от использования iPhone для него сразу потеряется. Пионеры сертификационных гонок. Несмотря на описанные выше трудности, есть всё же два исключения из общих правил - это компании КриптоПро и Инфотекс. Оба разработчика получили на свои изделия сертификат ФСБ (но не ФСТЭК), КриптоПро - в марте 2013 на СКЗИ КриптоПро CSP версии 3.6.1, а Инфотекс - в сентябре 2012 на ПК ViPNet Client for iOS. Вместе с тем, в качестве подтверждения моих рассуждений о разности в скорости сертификации и обновления мобильных операционных систем, можно лично убедиться (спасибо обеим компаниям за наличие документации в свободном доступе), что: КриптоПро версии 3.6.1 может использоваться в программно-аппаратных средах iOS версии 4.2.х, 4.3.х, 5.0.1, 5.1, 5.1.1, 6.0, 6.0.1. ViPNet Client iOS 1.1 поддерживает только iOS версии: 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4; 4.3.3 — для iPad 2; 5.0.1 — для iPad 2, iPhone 4S; 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS. При этом: должен быть выполнен джейлбрейк устройства [..], то есть разблокирован доступ к его файловой системе, и установлен менеджер пакетов Cydia. Никаких iOS 7, iPhone 5s и iPad Air, как мы видим, нет и в помине. Закругляюсь Помимо требующего обязательного jailbreak клиента для iOS Инфотекс ещё выпустил ViPNet Client for Android. Однако, как мы убедились, чиновники наши предпочитают другую платформу и, как мне представляется, самым реальным вариантом развития событий будет тот, который уже можно наблюдать на примере отдельных ситуаций: 30 шт. ViPNet Client iOS закуплены вот с такими условиями: “Программный сервис устанавливается на планшетные компьютеры Apple iPad 4, функционирующие под управлением iOS6 версии не выше 6.1.2.” Формально поставленный продукт не удовлетворяет требованиям, но ни заказчика Министерство информационных технологий и связи Ростовской области, ни победителя ГАУ РО РЦИС - это, похоже, не волнует. Допускаю, впрочем, что на сайте Инфотекс устаревшая документация и с сертификацией под iOS 6.1.2 и iPad 4 всё в порядке. Или, быть может, кто-то просто ошибся, указав в конкурсной документации не ту iOS и не то поколение iPad. В конце концов, тому, кто устанавливает правила, можно играть так, как угодно лично ему. Остальным остаётся лишь подстраиваться или выбывать из игры.
Говоря о паролях, часто рассуждают на тему их длины и сложности. При этом на две противоположные чаши весов чаще всего кладут надёжность пароля и трудность его запоминания соответственно. При этом редко рассматривают такой аспект как скорость и сложность ввода пароля пользователем. Простой пример. Обычный офисный сотрудник за день разблокирует свой рабочий компьютер раз десять, если не больше. Сходил на обед, отвлёкся на разговор с коллегой, долго говорил по телефону, отошёл за чаем - после каждого из этих действий (при соответствующей настройке времени до блокировки, конечно) нужно заново вводить пароль. При этом, даже если пароль достаточно сложный, то всё равно многократно повторенное действие запомнится чисто механически и вскоре времени на ввод много не потребуется - руки сами всё наберут. Аналогично с токеном. Если для разблокирования компьютера надо подсоединить токен и ввести PIN-код от него, то опять-таки через какое-то время пользователь доведёт свои действия до автоматизма и особых проблем не будет. Более того, требования к PIN-коду могут быть гораздо слабее, чем к паролю (ведь это лишь один из двух факторов аутентификации) и поэтому пользователь будет разблокировать компьютер вероятнее всего ещё быстрее, чем в случае с паролем. Да, какие-то пару секунд надо потратить на подключение самого токена, но зато не нужно нажимать Ctrl-Alt-Delete, ведь после подключения токена окно для ввода PIN-кода появится само. Также пользователь может использовать для входа одноразовый пароль (OTP - one-time password), который отображается на экране его устройства (OTP-токена) или приходит по SMS. Одноразовый пароль как правило совсем короткий и ввести его, казалось бы, недолго. Да вот только он каждый раз разный, а это значит, что никакого механического запоминания быть не может. На практике ввод очередного нового шестизначного OTP может занять времени больше, чем привычного 10-12 символьного пароля, заученного пальцами наизусть. Не может также быть речи и о вводе OTP в ходе активного разговора по телефону - требуется концентрация внимания на процессе ввода. Для полноты картины упомяну ещё один метод разблокировки компьютера - ввод одноразового кода (OTC - one-time code). Одноразовый код как и одноразовый пароль используется только один раз (спасибо, Кэп!), после чего меняется, но в отличие от одноразового пароля, одноразовый код пользователь не получает (от устройства или по SMS), а вычисляет самостоятельно. Такой вариант предлагает, например компания Swivel Secure, запатентовавшая PINSafe - метод вычисления одноразового кода из секретной строки. PIN-код, который знает только пользователь, означает позиции символов, которые нужно взять из секретной строки, чтобы получить OTC. Принцип работы PINSafe объяснён на картинке выше. При этом секретная строка может просто выводится пользователю на экран входа в операционную систему. Метод по своей сложности использования сопоставим с вводом одноразового пароля: после некоторого числа итераций считывать с секретной строки одноразовый код можно довольно быстро, ведь нужно лишь посмотреть какие именно символы стоят на тех местах, которые заложены в PIN-коде. Зато PINSafe не требует дополнительных устройств. Обобщая, можно рассмотренным методам так распределить места за простоту (скорость) прохождения пользователем аутентификации при частой разблокировке компьютера: 1 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 2 место. Пароль - даже сложный пароль со временем будет вводиться на автомате. 3 место. OTP - меняется каждый раз, нужна концентрация внимания. 4 место. OTC (PINSafe) - нужно каждый раз вычислять из секретной строки. Любопытно, что если мы возьмём для примера не типичного офисного сотрудника, а, скажем, разъездного агента, который в офисе бывает два-три раза в неделю, чтобы отчитаться о своей работе, внеся информацию в корпоративную CRM, то ситуация будет иной. Свой сложный пароль такой пользователь будет запоминать несколько месяцев, вполне возможно, что как раз до того времени, как его снова нужно будет менять. Для редких входов в систему OTC и, особенно, OTP будут гораздо удобнее: 1 место. OTP - просто нажал кнопку или посмотрел на экран и считал одноразовый пароль. 2 место. OTC (PINSafe) - нужно помнить только короткий PIN-код, а уж принцип формирования OTC из секретной строки запомнить элементарно. 3 место. Токен (+PIN-код) - PIN-код проще пароля и вводить его легче. 4 место. Пароль - даже не очень сложный пароль скорее всего придётся куда-то записать, это вам даже владельцы нескольких банковских карточек, некоторые из которых используются очень редко, с готовностью подтвердят, хотя и помнить-то надо всего лишь четыре цифры. В общем, в зависимости от конкретной ситуации более удобной может оказаться либо одна либо другая технология. Очень важно при выборе конкретного метода аутентификации помнить, что пользователи всегда будут стремиться упростить себе жизнь тем или иным способом и делать они это будут чаще всего в ущерб безопасности, так что лучше заранее всё продумать за них и выбрать правильный баланс между простотой использования и надёжностью. Завершу пост роликом, наглядно демонстрирующим ещё один интересный вариант разблокирования компьютера, правда, применимый только для Mac. Данное любопытное приложение Knock сейчас как раз тестирую на себе и хочу сказать, что пока мне нравится. Разблокировать ноутбук действительно очень удобно, плюс появилась возможность установить пароль даже ещё длиннее и сложнее, чем был до этого. Есть, правда, небольшая задержка между выводом ноутбука из сна и переходом его в состояние готовности принять тук-тук, но зато связанных с сокращением срока работы батарейки проблем никаких не оказалось. Правда, в моём случае и ноутбук и телефон поддерживают стандарт Bluetooth 4.0, славящийся своим низким энергопотреблением, так что дело явно в этом.
Про сертифицированные ФСТЭК межсетевые экраны (МЭ) писал уже много раз (полный список обзоров доступен на отдельной странице). Теперь же появился повод взглянуть на этот класс решений под немного иным углом - с точки зрения применения в них криптографии. Традиция добавлять к межсетевому экрану (FW) функциональность VPN-сервера зародилась довольно давно и является настолько удачной и логичной (некоторые так и пишут - FW/VPN), что найти периметровый (шлюзовой) межсетевой экран (особенно в аппаратном исполнении) без поддержки VPN не так и просто. Возможно, что они есть, но мне такие что-то сходу не припоминаются. Поправьте в комментариях, если ошибаюсь. Естественно, что при построении VPN (виртуальных частных сетей) хочется получить канал действительно надёжно защищённый, что предполагает использование сильной криптографии (high encryption). А в России, как известно, область сильной криптографии не менее сильно регулируется, ведь VPN-сервер по сути своей является ни чем иным, как криптошлюзом. Можно утверждать, что сертифицированный в соответствии с российским законодательством VPN-сервер обязательно должен иметь поддержку алгоритма ГОСТ и сертификат ФСБ, коль скоро именно данное ведомство курирует у нас вопросы шифрования. Даже при сертификации во ФСТЭК в качестве межсетевого экрана в продуктах класса FW/VPN рекомендуется отключать сильную криптографию, оставляя только алгоритм DES с длиной ключа 56 бит. Другое дело, что не все это делают, а если и делают, то, как вариант, могут продать (подарить) ключ активации сильной криптографии, отправив его просто по электронной почте. Впрочем, сейчас не об этом. Сертификация в ФСБ имеет, конечно, что-то схожее с аналогичной процедурой во ФСТЭК, но она точно гораздо сложнее - косвенно это можно оценить, например, по тому факту, что в реестре сертифицированных средств ФСТЭК значится более 2000 позиций, а в аналогичном Перечне от ФСБ - в пять раз меньше. Сам перечень средств, сертифицированных ФСБ, конечно, не радует в плане своего оформления, представляя собой таблицу, вставленную в doc-документ. Попытка скопировать эту таблицу в Excel не сильно помогает - некоторые ячейки получаются произвольно-хаотично объединены странными группами, а некоторые (например, изготовитель, название продукта и его описание) наоборот разбиты на произвольное число строк от 2 до 6, даты начала и окончания действия сертификата расположены в соседних по вертикали(!) ячейках и т.д. Наверное, работать можно привыкнуть и с таким представлением информации, но для своего удобства я сделал Перечень в более приятном глазу и автоматическому фильтру Excel виде (доступен по этой ссылке: Перечень средств защиты информации, сертифицированных ФСБ России). Однако, если с формой ещё можно что-то сделать, то разобраться в содержании под силу только глубоко разбирающемуся в теме специалисту. Какой-либо классификации продуктов особо не предусмотрено, да ещё и каждый разработчик называет изделие по своему усмотрению. Немного спасают более-менее сходные описания выполняемых функций, но разобраться в них удалось не сразу. После вдумчивого изучения представленных в Перечне продуктов пришёл к (надеюсь, оправдавшему себя) предположению, что интересующие нас сегодня криптошлюзы - это те изделия, в описании функций которых упоминается протокол IP и криптографическая защита. Таких сертификатов оказалось целых 80, но реально продуктов гораздо меньше, так как присутствуют отдельные сертификаты на разные версии продуктов или даже их модули, а в некоторых случаях на каждое исполнение выписан отдельный сертификат с отдельным номером. Итак, отфильтровав строки в Excel, давайте посмотрим, чем же нам можно пользоваться для шифрования IP-трафика. Из уже встречавшихся в обзорах сертифицированных ФСТЭК межсетевых экранов имеют сертификаты ФСБ такие продукты: ViPNet (разработчик ИнфоТеКС) Континент (разработчик Информзащита, Код Безопасности) CSP VPN (разработчик С-Терра СиЭсПи) ЗАСТАВА (разработчик ЭЛВИС-ПЛЮС) StoneGate SSL VPN (разработчик Новые технологии безопасности) DioNIS (разработчик Фактор-ТС) АТЛИКС-VPN (разработчик НТЦ Атлас) Туннель (разработчик АМИКОН, ИнфоКрипт - ПАК на основе ФПСУ-IP) Дополнительно присутствуют два узкоспециальных изделия и два (если я правильно понял) криптографических провайдера: Модуль HSM (разработчик НТЦ Атлас, описание) М-448-1.4 (разработчик ГУ спецпрограмм Президента РФ, РЦЗИ ФОРТ, описание) Барьер IPSec (разработчик Валидата) КриптоПро CSP/IPSec (разработчик КРИПТО-ПРО) Как видно, число межсетевых экранов, сертифицированных не только во ФСТЭК, но и в ФСБ крайне мало - фактически можно говорить лишь о семи игроках. Такое малое количество вендоров позволяет сильным - чувствовать себя в относительной безопасности, а остальным - достаточно комфортно находится в своей узкой нише. Любое изменение устоявшегося равновесия не на руку никому из них, ну, лидерам рынка так уж точно. Второе наблюдение, которое можно сделать - почти все продукты изначально российского производства. Да, компания-разработчик сертифицированного ФСБ СКЗИ может быть только российским юридическим лицом, но и сами продукты в большинстве своём представляют собой отечественные продукты, положа руку на сердце, разрабатываемые исключительно для выполнения требований регуляторов. Каких-либо серьёзных успехов за пределами России (кроме, понятно, сопредельных дружеских государств) никто из представленных отечественных вендоров со своими разработками пока не добился. Ситуация серьёзно изменилась в прошлом году, когда произошло знаковое (но, быть может, тогда ещё не такое значительное) событие: доработанный до требований российских реалий продукт StoneGate SSL был сертифицирован ФСБ. Изначально разрабатываемый для открытого коммерческого мирового рынка продукт получил сертификат ФСБ - есть ли в Перечне ещё такие примеры? Но, всё же, это был не классический IPSec криптошлюз, а SSL-решение со всеми вытекающими нюансами, к которым рынку ещё нужно было привыкнуть. Примерно в то же время, что и для StoneGate SSL, была анонсирована сертификация StoneGate FW/VPN. Мы можем догадываться и предполагать, с какими трудностями пришлось столкнуться команде, занимавшейся этой сертификацией, но все они были успешно преодолены и в октябре StoneGate FW/VPN получил сертификат ФСБ № СФ/124-2027 от 04.10.2013 (пока в Перечне от 07.10.2013 почему-то отсутствует). Вот теперь уже можно говорить, что на рынке криптошлюзов появилась прямая угроза для действующих игроков. При этом, если вспомнить, что StoneGate - это коммерчески успешный в мире продукт, настолько успешный, что компания Stonesoft даже стала лакомым кусочком для McAfee и своим продуктовым портфелем расширила линейку решений данного вендора, то становится ясно - угроза эта более, чем просто немного опасная. Понятно, что этот рынок достаточно инертен и не стоит ждать резких изменений уже завтра. В конце концов, есть выстроенные каналы сбыта, определённая инсталляционная база, которую вот так единоразово не обновишь, да и какие-то личные человеческие отношения и договорённости, как это водится, наверняка, имеют место быть. Вместе с тем, событие это, без сомнения, важное для всего рынка и теперь у российских заказчиков и интераторов, реализующих проекты, есть отличная альтернатива привычному прежнему набору сертифицированных решений для построения шифрованных каналов передачи данных с использованием российской криптографии.
Рассмотрим сегодня любопытный сервис от компании Мегафон - UMS (Unified Messaging Solution), позволяющий объединить в одном приложении SMS, MMS, ленты и чаты социальных сетей. Подход компании Apple, блокирующей в своих планшетах, оснащённых SIM-картами, возможность звонить, посылать короткие USSD-команды, а также отправлять и принимать SMS и MMS, понять, наверное, можно. В конце концов, iPhone тоже ведь продавать надо =) Но иногда очень хочется обойти это искусственно установленное ограничение. Конечно, можно прекрасно звонить через Skype или FaceTime, а сообщения отправлять по iMessage или через web-сайт оператора сотовой связи, но области применения каждого из этих вариантов имеют свои ограничения и неудобства, а для владельца Nokia 3310 ни один из них не оставляет шанса связаться с вами - ни позвонить, ни отправить SMS на ваш iPad у него не выйдет. К сожалению, для абонентов других сотовых операторов элегантного решения не знаю, а Мегафон для своих клиентов вот уже почти год как предлагает сервис UMS и соответствующие приложения для мобильных устройств (сейчас есть версии для iOS, Android и Windows Phone). Скачать версию UMS HD для iPad можно в App Store. Для входа в приложение нужно ввести номер телефона и пароль от Сервис-Гида. Почему в UMS используется тот же пароль, что и для доступа к Сервис-Гиду, я не понимаю. С точки зрения безопасности - это дополнительная уязвимость. Забавно, что в специально написанной для iPad версии приложения пароль предлагается установить в том числе с помощью USSD-запросов. Разработчики, мне кажется, всё же должны понимать странность таких вариантов. Но, к счастью, предусмотрен и другой способ - через личный интернет-кабинет в сервисе самообслуживания sg.megafon.ru Вот только зайти на него через, например, WiFi-подключение не выйдет, нужно воспользоваться мобильным интернетом. Несмотря на всю кажущуюся простоту, при установке этого пароля могут, конечно, возникнуть и какие-то сложности. В таком случае рекомендую решать их, обратившись непосредственно в Мегафон (контакты для Москвы). Помогают лучше, чем поиск по форумам и сайтам, проверено. Итак, все нюансы позади и приложение UMS успешно запущено. Теперь SMS-сообщения, отправляемые на номер, используемый в вашем iPad, будут не просто теряться где-то в недрах оператора, а отображаться в приложении. Удобно, что ни говори. В качестве дополнения приложение UMS позволяет подключить другие сервисы сообщений и социальные сети. Единая лента сообщений, конечно, может быть удобной, но всё же я бы не рекомендовал объединять все соцсети в одном приложении. Во всяком случае, не в приложении от Мегафон. Напомню, что с сервисом UMS связан недавний скандал, касающийся клиентов банка Тинькофф. Тогда злоумышленники, воспользовавшись несовершенством Сервис-Гида и UMS, получили доступ к SMS-сообщениям, в том числе тем, что отправлял банк. Имея такой инструмент, злоумышленники смогли менять пароли от интернет-банкинга и осуществлять переводы от имени клиентов банка Тинькофф на свои счета. В ситуации разобрались, деньги вернули, уязвимости устранили (потенциально опасная доставка SMS-сообщений от банков через сервис UMS теперь отключена), но уверенности в полной безопасности данного приложения я лично, например, не испытываю. В настройках приложения есть два обрадовавших меня по началу раздела Приватность и Безопасность. Однако, в Приватности полезны разве что отключение статистики Google и доступа приложения к адресной книге, а вот Безопасность же и вовсе на iPad не рассчитана. Включение в разделе Безопасность обязательного ввода Кода проверки по SMS - вещь, безусловно, полезная. Однако, её суть в том, что для входа нужно будет ввести пароль, отправляемый по SMS, но непоказываемый в самом приложении. Если под рукой нет телефона, в который можно переставить SIM-карту из iPad (мой вариант), то узнать этот код не получится, а потому и опцию эту никак не задействовать. К слову, в приложении можно указать любой телефон, не обязательно тот, который записан на SIM-карте, вставленной в iPad. Это даст вам возможность получать и писать сообщения с другого своего номера. Иногда это удобно. В заключение несколько рекомендаций пользователям UMS HD: установите сложный пароль от Сервис-Гид (Мегафон позволяет использовать до 26 цифр) настройте уведомление о входе в Сервис-Гид в личном кабинете на сайте sg.megafon.ru (Настройки Сервис-Гид -> Оповещение) по возможности не подключайте в приложении другие социальные сети и сервисы общения отключите в настройках доступ приложения к адресной книге отключите предпросмотр сообщений, чтобы текст входящих сообщений не появлялся на экране iPad активируйте опцию Код проверки по SMS (потребуется телефон, в который можно вставить SIM-карту из iPad, или визит в офис Мегафон) и разработчикам UMS HD: сделать отдельный от Сервис-Гида пароль для UMS установить пароль (хотя бы ПИН-код) на вход в приложение переработать механизм установки Кода проверки по SMS для iPad-версии
Почти год прошёл с момента последней актуализации таблицы сертифицированных межсетевых экранов, пришла пора обновить информацию в ней, пока она окончательно не устарела. Для оптимизации внешнего вида в самой таблице убрал ссылки - поддерживать их в актуальном состоянии не просто, а найти сайт вендора или описание продукта самостоятельно не так и сложно, а также исключил малоинформативные столбцы про ОС и актуальность - условно будем считать, что продукт актуален, пока на него действует сертификат. Посмотрим, какие изменения произошли с ноября прошлого года. Прежде всего приведу краткий список продлённых сертификатов: DioNIS Security Server v.6.0 - №359/5 до 03 мая 2015 года ИВК Кольчуга - №1094/1 до 29.06.2015 Cisco ASA-5505 - №1976 до 11.12.2015 ViPNet CUSTOM 3.2 - №1549/1 до 26.05.2016 ФПСУ-IP/Клиент - №1281 до 03.11.2015 WatchGuard Firebox - №2038 до 16.02.2016 ССПТ-2 - №2141 до 23.07.2016 (согласно разработчику) Security Studio Endpoint Protection Personal Firewall - №2170 до 20.09.2016 CSP VPN Server v. 3.1 - №2197 до 10.11.2016 CSP VPN Gate v. 3.1 - №2198 до 10.11.2016 CSP VPN Client v. 3.1 - №2199 до 10.11.2016 TrustAccess - №2146 до 30.07.2016 (согласно разработчику) TrustAccess S - №2147 до 30.07.2016 (согласно разработчику) Z-2 - №1353 до 09.03.2016 Z-2, версия 2.6 - №1353/1 до 05.08.2015 Последние два, как оказалось, рано были списаны мной со счетов, раз сертификаты на них были обновлены. Информация о некоторых продлениях пока отсутствует в реестре, но имеется на сайте разработчиков. В таблице дата окончания таких сертификатов отмечена оранжевым цветом. Теперь о "потерях". Закончили своё действие и не были продлены целый ряд сертификатов на продукты Cisco: ASA-5510, ASA-5520, Cisco ASA-5540, FWSM, 1800, 2800, 3800, 7200, 7600, 3750, 1841, 2811, 6509, 3825. Есть непродлившиеся сертфикаты у Кода Безопасности, ЛИССИ-Крипто, Check Point. Все их убрал из таблицы. «Отмучались» Proventia Server и Proventia Desktop, сильно сдавшие позиции после покупкой их производителя ISS компанией IBM. Видимо, ничего не получилось и с «псевдо-российским» RSOS6850 - сертификат на него не был продлён. Есть также несколько сертификатов Cisco, ИнфоТеКС и Stonesoft, истекших в августе, которые пока оставил в таблице, так как есть в её обновлении определённая инертность. Про Stonesoft, кстати, достоверно знаю, что сертификаты будут продлены. С сертификатом №2540 на Cisco 881 история получилась странная - ранее он присутствовал в реестре с указанием «серия», сейчас же только «20 экз.». Убираем. Забавная накладка с сертификатом №1091 на ФПСУ-IP - он всё ещё числится в реестре ФСТЭК как просроченный, хотя актуальная (не фейковая ли только?) копия присутствует на сайте вендора. Наконец, в реестре появилось значительное число новых сертифицированных межсетевых экранов как от уже присутствующих на этом рынке игроков, так и от совсем новых: D-Link DFL-260E D-Link DFL-860E D-Link DFL-1660 Kerio Control Altell NEO ПО Check Point Security Gateway R71 Filter D-Link DFL-256 Cisco 2911R Dionis NX Deep Security 8.0 Cisco ASA 5510 Cisco IE-3000-8TC ViPNet Terminal 3.0 Подробнее о новинках поговорим в следующий раз, пока же выкладываю обновлённую таблицу. Если у вас предложения/замечания - буду за них признателен. Мои контакты.
Выкладываю презентацию и диаграмму связей с сегодняшей блогер-панели: «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем», проходившей в рамках INFOBEZ-EXPO. Организаторам, коллегам-блогерам и слушателям - спасибо, было интересно! Колбаса, дороги и стандарты ИБ. from Alexey Komarov [caption id="attachment_4135" align="aligncenter" width="300"] Диаграмма связей о Стандартах[/caption]
Пару недель назад в самом начале сентября исполнилось (бы) 6 лет компании SafeLine, да вот только отмечать очередной день рождения было некому: в конце мая 2013 года было объявлено о покупке SafeLine дистрибутором из ГК ЛАНИТ - Treolan. Возможно, что юридическое лицо ООО “Сейфлайн” всё ещё существует: в конце концов, есть лицензии, заключённые с партнёрами и вендорами договора, которые вот так быстро не переоформишь. Вместе с тем, сам бренд, видимо, существовать окончательно перестал. SafeLine не выставляется больше на выставках, не видно статей и комментариев от имени сотрудников, да и сайт http://safe-line.ru переадресует всех на подраздел сайта Треолана. Идея, положенная в основу создававшегося в 2007 году российского специализированного дистрибутора в области информационной безопасности, была, на мой взгляд, отлична: расширение регионального присутствия и представление на российском рынке самых прогрессивных и востребованных решений от мировых лидеров в области информационной безопасности. Да и самому холдингу Информзащита такое выделение дистрибуторского бизнеса в отдельное юрлицо сулило только выгоды. Владимир Гайкович: “Выделение дистрибуции в отдельный бизнес позволяет компании «Информзащита» сосредоточить свои усилия на расширении спектра сервисов в области информационной безопасности, как приоритетного направления нашего дальнейшего развития.” Забегая вперёд, не могу не отметить, что продавали компанию почти с теми же словами =) Пётр Ефимов: “Продажа Safeline продиктована желанием акционеров ГК «Информзащиты» сосредоточить усилия на развитии основных направлений своего бизнеса — разработке средств защиты информации и оказании услуг в области ИБ. ” А пока у руля новой компании встал Михаил Савельев. Всего SafeLine пережил три периода жизни с тремя разными командами, в двух из которых мне довелось поработать. Михаила все с любовью называли человек-пароход за его непомерную активность, универсальность, эрудированность и умение делать абсолютно всё с одинаковой степенью успешности. Главные достижения SafeLine эпохи Михаила Савельева на мой субъективный взгляд - это существенное укрепление и расширение партнёрской сети, продающей продукты собственной разработки ГК Информзащита (чуть позже под разработку была также выделена отдельная компания - Код Безопасности) и начало вывода на российский рынок продуктов Fortinet. К сожалению, в конце лета 2009 года Михаил покидает SafeLine. Очень хорошо помню его проводы и то, как подарили ему бумеранг на прощание. Бумеранг, как ни странно, сработал - Михаил Савельев вернулся в конце 2011 года, правда в другую дочернюю компанию Информзащиты - Учебный Центр. SafeLine же с осени 2009 по весну 2012, дольше, кстати, чем кто-либо другой, возглавлял Василий Дубинин. Данный период лично я считаю самым успешным за всю историю компании. Любой дистрибутор, входящий в холдинг, неизбежно сталкивается с недоверием со стороны партнёров, если в холдинге присутствует такой же системный интегратор. Думаю, природу такого недоверия объяснять не нужно. SafeLine при Василии (не всеми, но) большинством партнёров начал действительно восприниматься как надёжный и независимый от кого бы то ни было дистрибутор. Другое важное достижение - это существенное увеличение доли вендорской продукции. Fortinet продолжил наращивание своего присутствия в России, а Stonesoft, например, и вовсе превратился в одного из сильнейших игроков в своём сегменте. Конечно, основная заслуга в этом у представительства Stonesoft, но и роль дистрибутора преуменьшать нельзя. Не зря же SafeLine дважды по итогам 2011 и 2012 годов получал приз “Зубр дистрибуции” от Stonesoft. Наконец, важнейшей для меня лично заслугой Василия Дубинина является то, что костяк по крупицам собранной и годами совместной работы отлаженной команды он сумел сохранить, правда, уже в рамках NGS Distribution. Эпоха безвременья, начавшаяся с уходом Василия, закончилась в SafeLine ближе к осени 2012, когда новое пламя жизни в охладевший было труп вдохнул Олег Бакшинский и его (судя по LinkedIn) команда из другого дистрибутора - headtechnology. Могу честно сказать, что у них отлично начало получаться, но так вышло, что времени окончательно развернуться коллегам так и не дали, подрезав крылья прямо на взлёте, не позволив толком проработать даже и года. Портфель только-только начал расти, сайт преображаться, а партнёры привыкать к новым адресам сотрудников, как внезапно для многих “сейфлайн отреоланился”. В заключение всех так или иначе причастных к компании SafeLine хочу пусть и с опозданием поздравить с шестилетием компании! Ведь отмечают же выпускники школ юбилеи давно несуществующих классов, так что и нам можно =) Коллеги предшествующие, бывшие и несостоявшиеся, с праздником!
Сегодня Роскомнадзор внёс Facebook в реестр запрещенных сайтов, а Оргкомитет INFOBEZ-EXPO сообщил об обнулении текущих результатов голосования в премии Security Awards 2013. Объединяют в моём сегодняшнем посте эти два на первый взгляд несвязанных события такие понятия как анонимайзер и прокси. Про анонимность как-то раз уже писал, рассмотрев тогда отличный способ по анонимизации - пакет Tor Browser Bundle. Проект жив до сих пор и позволяет обращаться к нужным сайтам не напрямую со своего IP-адреса, а, пройдя по цепочке из трёх последовательных прокси-серверов, через один из тысяч выходных узлов, разбросанных по всему миру. Каждый отправляемый пакет при этом трёхкратно шифруется, что достаточно эффективно затрудняет попытки отслеживания изначального адреса отправителя. Подменив, таким образом, свой IP-адрес на IP-адрес выходного узла, можно получить доступ к заблокированным цензурой сайтам. Обойти наш российский пресловутый чёрный список этим способом в большинстве случаев труда не составит, по крайней мере, пока власти не начнут бороться с входными узлами сети Tor. На картинке ниже моя страничка Facebook, открытая через Tor Browser. Кстати, попасть в свою учётную запись из-за левого IP было не так просто. Однако, далеко не всегда анонимность используется для борьбы с цензурой или защиты неприкосновенности частной жизни. Этот же инструмент можно применять и, например, для накручивания счётчиков в интернет-голосованиях. Самое простое средство для защиты от повторного голосования - это использование cookie, небольших файлов с пометкой о том, что пользователь уже голосовал, сохраняемых в кэше браузера. При этом можно легко проголосовать повторно просто открыв другой браузер, а, регулярно очищая кэш браузера, можно голосовать и вовсе неограниченно. Впрочем, такое совсем примитивное средство защиты от повторного голосования чаще используются лишь как дополнительное. Другой способ понять, голосовал ли этот пользователь ранее, состоит в сохранении его IP-адреса в списке уже проголосовавших. При этом, правда, из работающих через один внешний IP-адрес (характерно для офисных сетей и сетей локальных провайдеров) пользователей проголосовать сможет только самый первый. Если я правильно понял, то в голосовании Security Awards 2013 как раз этот способ и использовался. Коллеги из одной компании не могли проголосовать на работе, но с успехом делали это со смартфонов, дома, из гостиниц или при работе через WiFi в каком-нибудь кафе. Но и такой способ защиты далёк от совершенства. Рассказывая в прошлый раз о Tor Browser Bundle я упоминал уже кнопку Сменить личность, при нажатии на которую происходит повторное соединение с сетью Tor. Узел выхода при этом тоже меняется, а значит, меняется и IP-адрес с точки зрения системы голосования. Впрочем, для реального накручивания такой ручной способ вряд ли эффективен: соединение с сетью Tor происходит достаточно долго, да и смена личности занимает сопоставимое время. Однако, нужно понимать, что готовый инструмент для анонимного web-сёрфинга Tor Browser Bundle просто и не предназначен для накруток, на его примере я лишь продемонстрировал сам принцип. Вместе с тем, подозреваю, что для знающих людей создать для сети Tor свою собственную утилиту, перебирающую IP-адреса, совсем не трудно. Ведь ищутся же в сети легче лёгкого утилиты для перебора внешних прокси-серверов. Кстати, использование прокси является ещё одним способом обхода блокировки сайтов, обмана онлайн-голосований или, ещё не упомянутой мной, цели искусственного увеличения счётчиков посещения сайтов. Самые простые в использовании - это, конечно, web-прокси, представляющие собой специализированные web-сайты. На этих сайтах нужно лишь указать интересующий вас заблокированный ресурс и web-прокси зайдёт на него со своего IP-адреса, а вам покажет открывшуюся страничку. С точки зрения провайдера вы будете читать не запрещённый контент, а пользоваться каким-то непонятным web-сайтом, к которым у цензурщиков претензий нет. Вот, например, неплохой агрегатор web-прокси - http://proxer.ru Вы вводите нужный адрес и сайт переадресует вас на один из web-прокси, выбранный из его регулярно актуализирующейся базы. Вернёмся, впрочем, к Security Awards 2013. Организаторы помимо обнуления промежуточных итогов голосования обещают ввести дополнительные средства защиты. Не знаю, конечно, какие именно способы будут использоваться, будем надеяться, такие, что позволят успешно бороться с накрутками. Впрочем, после беглого прочтения статьи Полный гид по накрутке онлайн-голосований на Хакере, в которой только что рассмотренный мной вопрос подмены IP-адреса удостоился лишь пары абзацев, начал испытывать определённый скепсис по поводу возможности такого быстрого создания эффективной системы голосования с нуля.
В прошлый раз, благодаря Gartner, мы определились с понятием UTM (Unified Threat Management) и раскладом на этом сегменте рынка в мировом масштабе. Сегодня давайте посмотрим на всё это нашими отечественными глазами. Прежде всего стоит отметить, что сама идеология UTM как многофункционального комбайна в наших широтах, несмотря на определённые усилия пары поколений маркетологов, всё никак не приживётся. Ну, вот нет веры в то, что одна универсальная коробка в состоянии заменить целый их набор. При этом аргументы о комплексности обработки трафика и экономии средств и времени на администрирование не действуют и всё тут. Впрочем, оставим это, перейдя к сути. UTM-устройствам в России не очень повезло, так как помимо прочего они включают в себя функционал межсетевого экранирования, требования к которому ещё с незапамятных 90-х годов сформулировала Гостехкомиссия (ныне ФСТЭК). Вот и получилось, что UTM-решения вынуждены были прежде всего играть на одном поле с классическими межсетевыми экранами, несмотря на принципиально иное предназначение. Новые же требования ФСТЭК теперь касаются и такого функционала UTM как система предотвращения вторжений и антивирусная защита. Как это скажется на рынке UTM в России - нам ещё предстоит понять. При этом не секрет, что у многих (если не сказать - большинства) иностранных вендоров сертификация, особенно та, что связана с предоставлением доступа к исходному коду, вызывает оторопь. Их можно понять. Много ли найдётся желающих в той же Европе, не говоря уже об Америке, купить решение по безопасности, “в исходных кодах которого ковырялось кровавое КГБ”? Тем не менее, находятся компании, для которых российский рынок действительно важен. Трудно представить, какими именно словами, но их региональные менеджеры всё же убеждают своих западных коллег в том, что нужно осуществить дополнительные финансовые и ресурсные инвестиции для успеха в России. Ведь, как показывает опыт, частенько вендоры считают, что их мировой успех обрекает их на автоматическую победу в России, что, конечно же, мягко говоря, не так. За годы активного общения с западными UTM-вендорами для себя выбрал три основных критерия, определяющих их перспективность на нашем рынке: Готовность к сертификации. Без этого всё остальное можно даже и не рассматривать, к сожалению. Готовность к инвестициям - российский офис, сайт на русском языке и пр. Кстати, помимо вопроса выделения денег, отдельно нужно позаботиться о надёжном российском партнёре. Читал я тут некоторые переводы на русский язык, выполненные дорогими западными агентствами... Поверьте, многие из нас на английском пишут лучше =) Готовность к выстраиванию адекватного канала. Это важно. Регистрация сделки за работающим партнёром - это основа основ, но есть и много других мелочей. Далеко не все это понимают. Вооружённые моим субъективным восприятием, давайте теперь взглянем на главных игроков Квадрата Gartner в сегменте UTM через амбразуру российской реальности. Fortinet В России три официальных дистрибутора: NGS Distribution, Мерлион и SafeLine, которого не так давно приобрел другой дистрибутор - Треолан (ГК ЛАНИТ), партнёрская сеть насчитывает двух партнёров уровня GOLD и шесть уровня SILVER, партнёров с более низким статусом Fortinet на своём сайте не указывает. Локальный офис присутствует и, насколько мне известно, перманентно расширяется. Русскоязычный сайт: http://fortinet.su В настоящее время сертифицирована модель FortiGate-60C на МЭ4*, в планах более масштабная сертификация на МЭ3 и НДВ4** осенью 2013 года. Check Point Как и у Fortinet - три дистрибутора: МОНТ, OCS, RRC, а партнёров побольше: уровня Gold - 8, Silver - 13 и Bronze - 52. Российский офис существует уже давно. Сайт на русском языке: http://rus.checkpoint.com Сертифицированы Checkpoint UTM-1 Edge N на МЭ4 и Check Point Security Gateway R71 на МЭ3, НДВ4. Дальнейших планов найти в сети не удалось, но, подозреваю, что они есть. Dell (SonicWall) Именно по направлению SonicWall значится лишь один дистрибутор SecNet, а вот сервис поиска партнёров у меня так ни одного и не выдал. Ни русского сайта, ни локального офиса не обнаружилось. У Dell, конечно, они есть, но пока на решения SonicWall я бы их наличие не распространял. Сертификации нет и не предвидится. WatchGuard Эксклюзивный дистрибутор - Rainbow Security, партнёров обнаружено со статусом Professional - 4 и Associate - 2. Локального офиса нет, а роль сайта выполняет раздел с “человеконепонятной” ссылкой на сайте дистрибутора. Есть сертификат ФСТЭК у WatchGuard Firebox XTM 11 на МЭ3. Sophos Дистрибутором в России является Фактор Груп, в числе партнёров значатся: Platinum - 2, Gold - 1 и Silver - 10. Офиса нет. Русский сайт: http://astarots.ru Сертификат немного странный, но всё же имеется: Антивирусный программный продукт Sophos версии 3.1.2, встроенный в программное обеспечение почтового сервера Kerio Connect версии 7.1.3 - ТУ с ограничениями. Что планируется дальше - не известно. [box type=”info” style=”rounded”]UPD. 22.09.2013 Оказалось, что ещё действует сертификат, полученный ранее (до переименования) на ASTARO Security Gateway Software Network Appliance 8 – по 3 классу для МЭ, по 4 уровню контроля для НДВ с ограничениями. Спасибо Сергею Борисову за подсказку. Итоговую таблицу обновил.[/box] Cyberoam Всё просто. Дистрибутора, партнёров, сайта на русском языке, локального офиса, сертификатов и планов по их получению - нет ничего =) NETASQ Относительно недавно подписали соглашение об эксклюзивной дистрибуции с NGS Distribution. В ближайшее время будет запущен сайт http://netasq.ru, а сертификация запланирована на 2014 год. Пока всё. Cisco Официальный список дистрибуторов найти не удалось, но вроде бы как вот они: CompTek, OCS, RRC, Marvel. Партнёров много: Gold - 19, Silver - 6, Premier Certified - 162, Select Certified - 336. Сайт руссифицирован: http://www.cisco.com/web/RU, местный офис, пожалуй, самый крупный среди всех остальных участников сравнения. Сертифицированы Cisco ASA-5505 на МЭ3 и ТУ***, Cisco ASA 5510 на МЭ4, Cisco ASA 5500-X на МЭ-3 и ещё коммутаторы и маршрутизаторы, не относящиеся, впрочем, к понятию UTM. В планах на ближайшее время - сертификация Cisco IPS, но, как я понимаю, в отличие от Fortinet и Check Point - опять без НДВ. Juniper Networks Дистрибуторы: Landata, Netwell, OCS, партнёров к моему удивлению оказалось совсем немного: Elite - 6 и Select - 7. Местный офис и сайт в наличии: http://www.juniper.net/ru/ru/ Из сертифицированного - только 331 экземпляр Juniper NetScreen 5GT на МЭ3 (видимо под проект), дальнейшие планы туманны. Итоги В заключение приведу сводную таблицу состояния основных показателей, оценив (как обычно - субъективно) по 5-бальной шкале такие параметры как Текущее состояние сертификации, Планы по сертификации, Наличие российского офиса, Русскоязычный сайт, Выстроенность канала в России. [table id=11 /] Итоговые выводы по двум постам каждый может сделать самостоятельно. Мой взгляд всё же скорее тяготит к дистрибуторскому восприятию вендоров, а у каждого из заказчиков своё представление о том, что ему подходит больше. Использованные сокращения МЭ3, МЭ4 - С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5, при этом, чем выше класс, тем жёстче требования. Сами требования прописаны в документе: Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. ** - Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. *** ТУ - технические условия.