Свежие посты   По годам   По датам
  • 28 Февраля 2013 » Мы выбираем, нас выбирают...
    При выборе решения в области информационной безопасности (не только, конечно, но в ИБ - особенно) редкий клиент захочет быть первым “подопытным кроликом”, на котором это самое решение будет опробовано. Даже если маркетинговые материалы завораживают, презентации кажутся более чем убедительными, а сам продукт на витрине “сверкает-серебрится”, то клиент всё равно задаст свои извечные вопросы: Какой есть опыт внедрения? Как у вас с отказоустойчивостью не на бумаге, а в жизни? Гарантия, поддержка - всё на уровне? Примеры довольных клиентов имеются? Вот и появляются публикациии историй успеха (success stories), отзывов (references) и пр., общий смысл которых прост: – Нас уже используют во всём мире, так и ты, давай, не отставай от прогресса! Перенимай передовой опыт, клиент! Будь в тренде своих соседей по рынку! Вперёд, к инновациям! Что притих-то? – Продолжай, я заинтригован. Общая структура пресс-релизов по мотивам внедрения, в целом, стандартна: заказчик XXX выбрал решение вендора YYY при помощи партнёра ZZZ. Приводятся основные проблемы, которые были “ДО” и та благодать, что наступила “ПОСЛЕ”, а так же пара цитат представителей сторон, взаимовосхваляющих друг друга. Множество нажатий клавиш, мегабайты пересланных данных, но ради чего всё это?Как думаете, самим клиентам нужны эти пресс-релизы? Хорошие отношения с партнёром (вендором или ими обоими), дополнительная скидка или какие-то иные причины могут побудить клиента дать согласие на пресс-релиз, но выигрывает ли он что-то реальное от этого? Упрочится ли его репутация от факта публичности применяемых средств защиты? Вырастет ли оборот или увеличится ли доходность? На мой взгляд, вряд ли. Что ж, заинтересованными сторонами, очевидно, в таком случае остаются вендор и партнёр. При этом логично вендоров делить на “состоявшихся” и “начинающих” со всеми, впрочем, промежуточными стадиями. Будет ли “состоявшийся” вендор (с десятками крупных заказов еженедельно) рассказывать о, например, очередных несчастных 7 компьютерах? Наверное, о сделке на несколько сотен тысяч пользователей стоит упомянуть, но про рядовые поставки как-то… нелепо. Тут, понятно, роль основных заинтересантов играют партнёры, которым нужно и вендору показать свою активность и в сознании клиентов связать себя с именем маститого разработчика. Ведь не умеющие строить канал вендоры, например, очень часто устраивают среди своих партнёров драки и бои без правил, заставляя их жестоко конкурировать между собой, а не с теми поставщиками альтернативных решений, что было бы логичнее. Мне такой подход представляется не слишком правильным, но раз на рынке это есть, значит кто-то для себя это как-то мотивированно объясняет. С другой стороны, для новых вендоров, только выходящих на рынок, конечно, любой инфоповод - это ценность. Каждое даже малозначительное событие хочется использовать для очередного упоминания своего бренда на новостных сайтах. Да вот только наличие пяти пресс-релизов об успешном внедрении нового для рынка продукта как-то невольно навевает мысль о том, что и проектов-то реально и было всего пять. Мне почему-то кажется, что новым вендорам, ищущим своих потребителей, такие истории практичнее держать в корпоративной презентации и на своём сайте в разделе “Наши клиенты”. Ведь, рассматривая покупку того или иного продукта, заказчик будет изучать сайт самого разработчика, но никак не новостные ленты. Изображение: http://demotivation.me/ujsuqtnkyocwpic.html

  • 19 Февраля 2013 » Параллельные миры АСУ ТП и ИБ
    Тематика защиты АСУ ТП в последнее время стала очень активно обсуждаться. Например, на детально проанализированной мной с точки зрения тем докладов выставке INFOBEZ-EXPO 2012 данный вопрос попал под пристальное внимание широкой ИБ-общественности и выбился в лидеры по частоте упоминаний. Вместе с тем, АСУ ТП и ИБ очень уж напоминают параллельные миры из одноимённого фильма: многое похоже, но кое-что не так. И это “кое-что” принципиально. Пожалуй, одно из основных отличий заключается в принципиально разных объектах защиты. Как правило, прежде всего защищают именно то, что представляет собой наибольшую ценность. Так вот, в классическом понимании информационной безопасности основным объектом защиты является именно что “информация”, в то время как с точки зрения АСУ ТП важнейшую ценность представляет собственно сам (технологический) “процесс”. Да простят меня ценители кристальных формулировок и строгих определений, но именно такое противопоставление мне представляется наиболее наглядным. Пара минут неработоспособности почтового сервера гораздо менее опасны для бизнеса (нарушен процесс), чем доступ посторонних к переписке генерального директора (разглашена информация). А вот показания датчиков основных параметров работы газовой турбины (разглашена информация) особой ценности не представляют, тогда как даже кратковременный сбой в её работе может привести к серьёзным последствиям (нарущен процесс). Данное простое противопоставление даёт общее понимание того, почему обычные широкораспространённые средства обеспечения информационной безопасности в офисных и даже телекоммуникационных сетях, какими бы качественными они ни были, порой просто идеологически оказываются не совместимы с сетями промышленными. Скажем, сканер уязвимостей. Как оно обычно бывает? Задали диапазон IP-адресов, выставили требуемую частоту проверки в расписании и знай себе отчёты пролистываем, да на сигналы тревоги реагируем (утрирую, конечно, но не суть). В промышленных же сетях с круглосуточным режимом работы не бывает обеденных перерывов и тихих спокойных ночей. Плановое обслуживание производится строго по регламенту и интервалы там месяцы, а то и годы. Всё остальное время сеть работает да ещё и с высокой степенью нагрузки, сильно отличающейся от обычно происходящего в тех же офисных сетях. Раз в день (не говорю уже - в час) сканировать такую сеть активным сканером - это подвергать её реальным рискам перегрузки со всеми вытекающими последствиями. Таким образом, задача сканирования сети на наличие уязвимостей, конечно же, похожа, но, как видите, имеет свои ключевые особенности. Для всех этих особенностей, естественно, нужно применять и столь же особенные методы. В данном примере, как вариант, можно рассмотреть использование так назваемых пассивных сканеров уязвимостей. Пассивные сканеры уязвимостей могут работать даже с зеркалированным трафиком, т.е. вообще не оказывать на реальную сеть заметного воздействия. Суть их работы заключается в анализе трафика, создаваемого работающим в сети программным и аппаратным обеспечением и выявлении (с помощью, например, Deep Packet Inspection, DPI - глубокий анализ пакетов) необновлённых версий, непропатченных серверов, уязвимого ПО и пр. В результате такого анализа выдаются рекомендации по активации соответствующих правил на системе предотвращений вторжений (IPS) и обновлении ПО до актуальной версии (что можно сделать при том же плановом обслуживании). К плюсам пассивных сканеров уязвимостей можно также отнести скорость выявления новых уязвимых узлов в сети - таковые отслеживаются системой буквально сразу же после начала работы, а не при очередном запуске сканирования. Ведь, например, ноутбук пришедшего на пару часов администратора вообще может выпасть из поля зрения обычных сканеров. Отличной иллюстрацией той самой параллельности может служить, например, вот этот топик на форуме специалистов АСУ ТП, где обсуждается обзор небезызвестной компании Positive Technologies про “Безопасность промышленных систем в цифрах”. Скажем, привычный всем ИБшникам термин “регулятор” вне “нашей” среды воспринимается ну совсем иначе. Тем не менее, пересечений становится всё больше и та самая пчелиная пыльца, хочется верить, вот-вот перестанет быть тайной… Изображение: http://filmz.ru/photos/116517/big/

  • 18 Февраля 2013 » Легальные способы конкурентной разведки
    Александр Бондаренко совершенно точно подметил при недавнем нашем с ним общении, что отсутствие свежих записей в блоге чаще всего означает высокую загруженность автора по текущим проектам (авторов типа Алексея Цискацкого не считаем). Согласен полностью - в моём случае начало года оказалось далеко не "разгрузочным", а более чем активным с точки зрения проектов. Максимум на что хватало времени помимо основной работы, друзей и семьи - это мониторинг происходящего в сфере информационной безопасности. Парочкой инструментов для упрощения такого мониторинга как раз и хотел бы сегодня поделиться. Всяческого рода новостей на ИБ рынке много и для их систематизации желательно привести всё к единому знаменателю. Стоит признать, что подписка на новостные рассылки по электронной почте сегодня актуальна только для закрытых сообществ - рассылки вендоров или, например, дистрибутров по своим партнёрам и т.п. Для всего остального я бы рекомендовал Google Reader. Данный сервис позволяет оформлять подписки на любые RSS-каналы, при этом за счёт мультиплатформенности свежие новости можно просматривать на рабочем ноутбуке, смартфоне, планшете, домашнем компьютере и т.п. Просмотренная любым способом новость помечается и не выплывает на передний фон на всех остальных устройствах. Аналогичный сервис предлагает и Яндекс.Лента, но лично для меня экосистема Яндекса так и осталось чужой. Наверное, есть другие он-лайн агрегаторы RSS-подписок, но мне они на глаза как-то не попадались. В любом случае, какой бы агрегатор вы ни использовали, подписка на RSS проблем не вызывает, но тут есть та самая "пара фишек", к которой и хотелось бы перейти. Фишка 1. Далеко не всегда интересный вам сайт имеет RSS-ленту. Следить за таким сайтом помогает бесплатный сервис page2rss, мониторящий изменения по указанному вами адресу и направляющий эти изменения в RSS-ленту. Например, именно так сейчас приходится следить за успехами трастскринов SafeTouch, так как на официальном сайте новостная лента не имеет RSS-канала. Фишка 2. Часто конкретный возможный источник появления новости бывает неизвестен, но термин/бренд/понятие представляет интерес в целом. Что ж, откройте для себя Google Aletrs: Следите за всем новым и интересным в Интернете. Оповещения Google – это сообщения, отправляемые [...] при появлении новых результатов поиска, статей или сообщений по заданному запросу. Оповещения Google – это удобный способ отслеживать: важные для вас новости; значимые для вашего бизнеса события; новые сообщения в блогах по определенному вопросу; спортивные результаты и многое другое. Уведомления о новых проиндексированных Google страницах, содержащих определённые слова или их сочетания, могут быть отправлены по электронной почте или транслированы в RSS-поток. Таким образом, задав интересующие лично вас термины и подписавшись на конкретные новостные ленты сайтов, вы будете в курсе происходящего в Рунете, что несомненно при правильном использовании даст преимущество над конкурентами. Для конкурентной разведки существуют и более изощрённые инструменты вроде Avalanche 2.5 или Крибрум, но так как оба сайта подозрительно давно не обновлялись, а самому попробовать эти решения не доводилось - рекомендовать не стану. Узнавайте новости первыми, делайте правильные выводы, оперативно принимайте верные решения и с улыбкой смотрите как отстающие конкуренты пытаются с опозданием в несколько месяцев повторить ваши удачные шаги (провести похожее мероприятие, организовать аналогичную серию вебинаров или расширить портфель конкурирующим решением). Успехов! Изображение: http://technology.bel.biz/uploads/Images/temp_file_%D1%81%D0%BB%D0%B5%D0%B6%D0%BA%D0%B01.jpg </div>

  • 24 Декабря 2012 » C Новым Гадом! ТОП-10 постов Тараса Злонова.
    Високосный 2012 год был полон событий как хороших, так и не совсем. Много чего произошло, много чего поменялось: и в жизни каждого из нас, и в целом в отрасли. Мне было приятно общаться с вами на страницах моего блога, хотя, пожалуй, некоторые из читающих меня и не испытывали особого удовольствия =) В качестве подведения итогов года предлагаю вашему вниманию подборку из ТОП-10 по читаемости постов уходящего года. JaCarta - убийца eToken? Говорят, что за этот пост был объявлен персоной нон грата руководством компании Аладдин Р.Д., но так как никаких официальных версий описанного мной всё равно озвучено не было, оставлю за собой право считать, что моя трактовка событий очень близка к реальной =) Как распильщики с логикой воюют или Подводный токен История одного из коррупционных госзаказов. С печальным, к сожалению, концом. Пас, вист, ГОСТ! Обзор сертифицированных ФСБ России токенов. Сертифицированные межсетевые экраны (часть 1) Начало обзора сертифицированных ФСТЭК межсетевых экранов. Сертифицированные межсетевые экраны (часть 2) Продолжение темы. Чахнущие кащеи российского рынка ИБ Пост, вызвавший личную острую неприязнь Александра Дорофеева из НПО Эшелон и совершенно здоровую реакцию Александра Бурова из компании АльтЭль. Лучи уважения второму и непонимания первому =) Сертифицированные решения для iPad Очередной обзор сертифицированных решений - на этот раз для защиты iPad. Как я чуть не "взломал" Альфа-Банк История моего общения с представителями службы поддержки пользователей Альфа-Банка. Сертифицированные межсетевые экраны (часть 3) Третья часть длинного обзора из восьми частей. Анатомия распила Описание основных методов мошенничества при проведении госзакупок с примерами из жизни. Мой рабочий год уже заканчивается. В наступающем 2013 году обещаю возвращаться к прежним интересным темам и обязательно писать о чём-то новом и актуальном. Всем же вам хочу пожелать профессиональных успехов, честных побед и благородных достижений! И, самое главное, берегите себя, близких вам людей и сохраняйте позитивный настрой! Счастливого нового года, коллеги! До новых встреч! Изображение: http://bygaga.com.ua/uploads/posts/1355338380_sms-pozdravleniya-na-ng-2013-18.jpg

  • 21 Декабря 2012 » Назад в будущее или Вперёд в прошлое?
    "Декабрь полон новостей об изменениях в топ-менеджменте ИБ-компаний! В Коде Безопасности сменился гендиректор!"- написал Алексей Лукацкий в своём твитере позавчера. Так, с его лёгкой руки, новость стала публично известной ещё до выхода официального пресс-релиза. Вообще, смены генеральных директоров в группе компаний Информзащита в последние годы не столько даже частые, сколько интересные с точки зрения тенденции. Судите сами. ЗАО НИП Информзащита ("НИП" - системный интегратор в составе холдинга) и "прародитель" всей ГК. В настоящее время генеральным директором является Сергей Шерстобитов, ранее также работавший в НИПе. "Варяг" Павел Караулов не проработал на этой должности и полгода. Учебный центр Иформзащита (УЦ). Генеральным директором является Михаил Савельев, ранее (до 2007 года) также работавший в НИПе. TrustVerse (Трастверс - вендор в составе ГК). Генеральным директором является Герман Батасов, бывший сотрудник того же НИПа. Сегодня под "натиском" НИПовцев "пал" предпоследний оплот - вендор в составе Информзащиты - Код Безопасности (КБ), на должность генерального директора которого был назначен Андрей Голов, работавший до КБ опять-таки в НИПе. Только в SafeLine (Сейфлайн - дистрибутор Информзащиты) генеральный директор (пока ?) не из НИПа, ну и историю Национального Аттестационного Центра (НАЦ) под эту тенденцию не подстроить. Складывается ощущение, что выбранная несколько лет назад стратегия на построение холдинга скатывается к обратной централизации всех рычагов управления. Хотя, быть может, это просто ощущение... Таблица с публично доступными датами работы генеральных директоров всей ГК: здесь.

  • 19 Декабря 2012 » Ду ю спик русский?
    В пылу традиционно горячей предновогодней поры не могу всё же не найти время на этот пост. На переговорах с представителями западных вендоров, планирующих выйти на российский рынок, вопрос русификации сайта, маркетинговых материалов, технической документации и техподдержки обсуждается практически всегда, но вот на практике именно до последнего руки почти никогда и не доходят. А жаль. Так получилось, что за последние несколько недель мне пришлось пообщаться с несколькими западными компаниями сегмента B2B, работающими в России. Пару из них хотелось бы "отметить особо". Компания Citrix. Русскоязычной поддержки обнаружено не было. Сам интерфейс их сервиса GoToWebinar тоже локализации не предполагает. Ну, да ладно, это - мелочи. А вот путаница с часовыми поясами - это уже серьёзно. Запланированный на 11:00 утра вебинар при добавлении в календарь Outlook самопроизвольно смещается на 12:00. Соответственно, все уведомления зарегистрировавшимся участникам о грядущем мероприятии тоже на час сдвигаются. Рассылка напоминания о предстоящем через час вебинаре (исключительно на английском языке, к сожалению) приходит тогда, когда он уже начался. Наши ли президенты со своей чехардой принятий/отмен зимнего времени виноваты или программисты Citrix - не знаю. Знаю только, что мой запрос принят был в работу службой поддержки ещё 4 декабря (дату его первоначального отправления им сейчас уже и не припомню), но, спустя 2 недели, воз и ныне там. Планируя каждый новый вебинар на площадке GoToWebinar, приходится держать в голове эту "особенность" сервиса и принимать какие-то меры, чтобы не потерять слушателей =( Компания Adobe. В свете сложностей с русификацией сервисов GoToWebinar от Citrix пришлось искать альтернативные сервисы. Один из выборов пал на Adobe Connect. А жаль. Какая там техподдержка... Даже получить коммерческое предложение оказалось крайне сложной задачей. Сколько стоит Adobe Connect - знают лишь избранные, тщательно хранящие эту тайну в секрете, ну, по крайней мере, от всех своих потенциальных покупателей из России точно. А при чём здесь русский язык? - спросите вы. Поясню. Формулировать описание проблемы на неродном языке не так просто. Использовать иронию, гиперболы и прочие словесные штуки, (по личному опыту очень) помогающие в общении по электронной почте, на английском языке для большинства пользователей вообще нереально. Позвонить и голосом обсудить проблемы из-за разницы во времени и языкового барьера опять-таки затруднительно. Вот и получается, что даже самые хорошие TechSupport "лажают". Подытожем. Вкладывая деньги в рекламу и продвижение своего продукта в конкретной стране нужно всегда помнить о качестве двух важных вещей: Простота локальной покупки - когда местное "поделие" купить доступнее и понятнее, его и выбрать проще; Постпродажное сопровождение - "сарафанное радио" при выборе решения для покупки или при желании увеличения числа пользователей/расширении функционала играет далеко не последнюю роль. Успешной всем экспансии в Россию и сопредельные русско-понимающие страны! Картинка: http://abunda.ru/29376-nazvaniya-brendov-po-russki-87-shtuk.html

  • 14 Ноября 2012 » Сертифицированные межсетевые экраны (часть 8)
    В сегодняшней завершающей части саги о сертифицированных межсетевых экранах представлены Ideco ICS 3, Трафик Инспектор 2.0, ASTARO, Интернет Контроль Сервер, Juniper NetScreen 5GT и CSP VPN Server и Client v. 3.1 компании S-Terra. Ну а так как реестр ФСТЭК недавно обновился, то дополнят картину свежие сертификаты на СКЗИ Континент-АП 3.6, Cisco CGS 2500 и Altell NEO версии 1.5. Ideco ICS 3 компании Айдеко серьёзно выделяется среди других продуктов на рынке сертифицированных межсетевых экранов. Вернее, наоборот, выделяется своей «несерьёзностью». Судите сами: «Любая новая функция, кнопочка и вкладочка интерфейса появляется…», « …воплотить наши задумки в этом гениальном продукте», «Наши планы на будущее? Держать нос по ветру и интегрировать новые технологии». Апофеозом всей этой веселушности является, конечно же мультиблокбастер «Добрыня Сисадминыч и Айдеко-кладенец». Нестандартные и свежие подходы – это само по себе хорошо, конечно, но есть всё же свои устоявшиеся правила игры, так что каким ветром Айдеко занесло именно в этот сегмент рынка – остаётся только гадать. Возможно, это было желание заработать немного на модной теме защиты персональных данных, возможно, что-то иное. Об успехах сертифицированного решения косвенно можно судить по тому, что сертифицирована третья версия Ideco ICS, а актуальной является уже пятая. Вообще, данный продукт очень мне напомнил UserGate Proxy & Firewall 5.2.F от Entensys из одного из прошлых обзоров, с той лишь разницей, что заявителем для Ideco ICS выступило не ЗАО «АЛТЭКС-СОФТ», а другое юрлицо из холдинга ЦБИ-Сервис - ЗАО «Профиль Защиты». Трафик Инспектор 2.0 разработки Смарт-Софт тоже радует креативом в духе «Конкурс Лучший Админ» и «Собирай GOLDы». По ощущениям, этот участник обзора даже ещё больше похож на UserGate Proxy & Firewall, чем Ideco ICS, хотя заявителем разработчик выступил самостоятельно и текущая не сертифицированная версия не так далеко ушла от той, контрольная сумма которой зафиксирована в соответствующих документах. Идём дальше. Интернет Контроль Сервер как будто специально назван ООО “А-Реал Консалтинг” так, чтобы затруднить поиск на сайте госзакупок конкурсов, объявленных на его приобретение: все три слова из названия легко можно встретить в конкурсной документации на самый широкий спектр оборудования и программного обеспечения. Разработчики «Интернет Контроль Сервер» сами сравнивают себя с Ideco ICS и UserGate и не будем им в этом мешать (странно, правда, что Трафик Инспектор не указали). Вообще говоря, до этой части обзора я даже и не подозревал, что существует такое количество межсетевых экранов (малознакомые названия всё старался на потом отложить), которые жили себе в своём отдельном мире, конкурировали сами с собой, но в погоне за модной темой стали дружно получать сертификаты, не особо даже понимая этот рынок и его механизмы. Например, в А-Реал Консалтинг всерьёз полагают, что участие в Infosecurity 2012 “оправдает все ожидания и принесет реальный результат”. Представить же себе уровень погружения в тему персональных данных можно, например, просмотрев вот эту запись вебинара «Сертифицированный ФСТЭК межсетевой экран ИКС». Участников, кстати, в пике было 15 человек, включая докладчика. Интересно, сколько ещё разработчиков стоят в очередь на получение сертификатов ФСТЭК, открывающих им дорогу в новый прекрасный и полный богатств, как им кажется, мир сертифицированных продуктов? Продолжим. Межсетевой экран ASTARO был разработан одноимённой компанией, которую в мае 2011 купила SOPHOS. Дистрибутором ASTARO на территории России было ЗАО “ФАКТОР ГРУП” и SOPHOS, судя по всему, менять этого не стал, так что сертификат на Программное обеспечение ASTARO Security Gateway Software Network Appliance 8 был благополучно в ноябре 2011 выдан заявителю ЗАО «Фактор груп». По данной ссылке можно познакомится с документацией на продукт более детально. С меня же хватило фразы об ограничении по применению: «При использовании изделия для обеспечения безопасного взаимодействия защищаемой сети с сетями общего пользования необходимо обеспечить аутентификацию запросов из сети общего пользования методами устойчивыми к активному прослушиванию». Juniper NetScreen 5GT используется в банке Русский Стандарт в количестве 331 экземпляр, - гласит очередной сертификат. Так что, если нравится оборудование этого производителя, то можно купить и сертифицировать требуемую вам партию, что, правда, увеличит стоимость. Естественно, что сертифицировать по запросу можно, если и не любое решение, то достаточно широкий спектр. А вообще странно, что у Juniper нет в России сертифицированного производства. Наконец, заслуженный боец игрок рынка сертифицированных решений – компания ЗАО «С-Терра СиЭсПи» и её сертифицированные Сервер безопасности CSP VPN Server. Версия 3.1, Шлюз безопасности CSP VPN Gate. Версия 3.1 и Клиент безопасности CSP VPN Client. Версия 3.1. S-Terra - извечный конкурент Кода Безопасности и Инфотекса (теперь ещё и STONESOFT), на немного другом, правда, сегменте. Как чисто межсетевые экраны решения S-Terra не так популярны, взлёт компании в своё время обеспечило технологическое сотрудничество с компанией Cisco, а в особенности - знаменитый модуль NME-RVPN, который позволяет использовать ГОСТ-шифрование совместно с оборудованием Cisco 2800/3800 и 2900/3900 ISR. Но это, всё же, немного другая история и про криптошлюзы с поддержкой российских алгоритмов говорить надо отдельно. В заключительную (до очередного обновления реестра ФСТЭК) версию таблицы со всеми рассмотренными сертифицированными межсетевыми экранами также включены: СКЗИ Континент-АП 3.6 - клиент, дополняющий экосистму криптошлюза АПКШ «Континент» 3.6 Cisco CGS 2500 - более старшая модель, чем уже рассмотренный ранее «теперь банановый» Cisco CGS 2000 Altell NEO версии 1.5, сертифицированный теперь на соответствие МЭ2. Класс высокий, о чём косвенно можно судить по тому, что даже отечественных продуктов с таким классом мало, а из не отечественных таковым обладает вообще только один - StoneGate Firewall. На этом затянувшийся на полгода обзор временно можно считать законченным. На 14 ноября 2012 года других сертифицированных в значительных количествах актуальных межсетевых экранов в реестре ФСТЭК пока не значится.

  • 14 Ноября 2012 » Как защитить свой аккаунт Skype от взлома?
    Новость об уязвимости Skype сегодня разлетелась по блогам, соцсетям и даже новостным агентствам. Для меня всё началось вот с этой публикации на Хабрахабр: http://habrahabr.ru/post/158545/ (картинка взята оттуда же). Если ещё не в курсе - почитайте, там всё подробно расписано. В этом посте хочу в двух слова рассказать о том, что делать, чтобы никто не угнал ваш аккаунт, пока уязвимость не исправлена и нет официальных комментариев от владеющей Skype компании Miscrosoft. Суть уязвимости ("дыры") заключается в том, что зная логин Skype и адрес электронной почты, на который этот логин зарегистрирован, можно получить доступ к этому аккаунту. Соответственно, адрес нужно поменять, но я бы рекомендовал задуматься над другим первым шагом. 1. Сотрите историю сообщений. Сделать это можно из интерфейса самой программы: Инструменты -> Настройки -> Чаты и SMS -> Открыть дополнительные настройки -> Очистить историю. Это позволит сохранить в тайне от потенциального злоумышленника прошлую историю переписки, пока вы меняете свой адрес электронной почты и вообще разбираетесь в происходящем. Конечно, стирать историю нужно только в том случае, если последствия от того, что кто-то её прочтёт, для вас будут хуже, чем от того, что вы сами утратите всю свою переписку. Если переписка стёрта или вы решили, что в ней ничего нет секретного, - переходите ко второму шагу. 2. Выберите новый адрес электронной почты в качестве основного (Primary email) для аккаунта Skype. У каждого из нас адресов может быть много, но для гарантированной защиты нужно использовать тот, который никому неизвестен. Лучше всего зарегистрировать новый, который логически никак не связан с текущим. что-то вроде 7AhknX8o@gmail.com (заглавные буквы на самом деле не имеют значения, просто я использовал генератор паролей для выбора имени). 3. Смените основной адрес электронной почты (Primary email) для аккаунта Skype на новый. Через интерфейс приложения этого сделать не получится. Нужно зайти на web-сайт Skype в настройки своего профиля https://secure.skype.com/portal/profile и отредактировать Контактные данные (Contact Details), добавить новый адрес электронной почты (Add email address) и нажать Сохранить (Save). Теперь выберите Редактировать (Edit) и укажите новый адрес в качестве основного. После сохранения и ввода пароля вы увидите сообщение "Your profile has been updated.", а на электронную почту (на оба адреса) придёт соответствующее уведомление. Всё, теперь ваш аккаунт привязан к адресу, который никто не знает. Можно спокойно ожидать исправления уязвимости, после чего при желании перейти обратно на старый адрес электронной почты таким же способом. Если вы получили уведомление об изменении адреса электронной почты Skype до того, как начали делать это самостоятельно, значит вы уже стали жертвой мошенничества и нужно срочно восстанавливать свои права доступа. P.S. К Skype у меня и так доверия было не много (Что не так со Skype?), а после сегодняшнего ещё сильнее захотелось всерьёз задуматься об альтернативе.

  • 08 Ноября 2012 » Анатомия распила-2
    Нет, меня пока не посадили и даже обвинения в краже СаратовЛеса (я оттуда родом) пока не предъявили. Прошлый пост (Анатомия распила) про методы, используемые для организации распильных конкурсов с заранее известным победителем большинству моих знакомых открыто комментировать трудно, потому отдельное большое спасибо всем, кто свои комментарии всё же оставил. В частных беседах коллеги со мной соглашаются на все 100%, но… Но… Одно большое НО… Мне тоже, к счастью, есть что терять, НО я продолжу. Представим себя на месте порядочного человека, обнаружившего явные признаки нарушения в закупке, размещённой очередным госзаказчиком на соответствующем сайте. Кстати, реально оказаться на этом месте довольно просто - сделайте на сайте Госзакупок поиск по хорошо вам знакомым названиям продуктов или ключевым словам, имеющим отношение к близкой вам тематике, а ещё лучше - подпишитесь на RSS-рассылку автоматических результатов такого поиска (сайт Госзакупки это позволяет) и всего одну неделю просто в фоновом режиме помониторьте происходящее. Время сейчас подходящие - конец года. Распил  Освоение бюджета идёт полным ходом и материала для анализа у вас будет предостаточно. При правильных ключевых словах в попадающих в вашу выборку закупках вы без труда разглядите нарушения, описанные в прошлом посте. Нарушение обнаружено - что дальше? А дальше давайте определимся, от чьего имени вы действуете. По большому счёту - варианта два: гражданин, не желающий, чтобы уплачиваемые им налоги шли в карман вороватых чинуш, или представитель юридического лица, чьи интересы нарушаются в ходе данной госзакупки. Сразу скажу, что у гражданина, действующего в одиночку шансов на успех (отмена неправильной закупки, привлечение к ответственности виновных и т.п.) практически нет. К сожалению, так говорить могу опираясь на свой собственный опыт: обнаружив ту самую нахальную попытку попилить вкусную сумму, я отправил по электронной почте письмо в ФАС и самому организатору конкурса, заполнил на сайте ФАС форму обратной связи и даже отправил по факсу собственноручно подписанное заявление. На сайте ФАС такой способ подачи жалобы обозначен как вполне легитимный, потому отправлять запрос почтой или лично обращаться в канцелярию я не стал, а зря… По сей день (с 24 августа) абсолютно никакого ответа я не получил. Вот, кстати, текст моего обращения: В Федеральную антимонопольную службу России. Мои обращения просто проигнорировали. Как я понимаю - чтобы не создавать прецедент. Вы только представьте себе ситуацию, когда ФАС по заявлениям отдельных граждан, не обладающих таким числом читателей их ЖЖ/блога, как, например, Алексей Навальный, начнёт реально наказывать организаторов конкурса или, хотя бы, эти конкурсы отменять… Госзакупки просто встанут. Не буду спорить, что существуют специальные “аукционные тролли”, цель работы которых - “докопаться” до организатора и сорвать конкурс любой ценой. Боитесь троллей? - наймите нормальных специалистов, умеющих отличать бредовые требования ТЗ от реальных, но не позволяйте превращать госзакупки в посмешище. В конце концов, на гражданина, обратившегося в ФАС первый раз в своей жизни не надо сразу ставить клеймо “кляузника” и отправлять его письма в корзину, даже не читая. Переходим ко второму варианту: юрлицо. Ваша компания оказалась “за бортом” крупного госконтракта, так как разрабатываемые/поставляемые ею продукты имеют на 1 Кбайт меньше памяти или на 2 МГц большую частоту? Что ж, три раза вы можете подать запрос на разъяснение. Вы можете указать, что подсемейство микросхемы или поддержку устаревшей файловой системы FAT16 нельзя вносить в техническое задание, и потребовать внесение изменений в ТЗ, но знайте, что на каждое из трёх ваших максимально разрешённых запросов ответят примерно так: “бла-бла-бла это не имеет значения” “бла-бла-бла внесём изменения” и впишут новые требования “бла-бла-бла мы вспомнили, почему эта фишка важна” В данном случае “лезть на рожон” - это фактически подставлять свою компанию. Выиграть и не суметь заключить контракт - вполне реальный сценарий. Вас могут не допускать до выполнения работ по самым нелепым поводам, затягивать подписание актов и любыми иными способами мешать. Вы готовы к такому? А ваш работодатель? А, так вы сами работодатель? И что, думаете, хоть одна продажная чинуша после такого вашего поведения захочет с вами иметь дело? Вы ведь честный и весь в белом, а ему детей за границей учить надо, да и джипчик поистрепался - пора новый закупать покупать. По итогу. Даже в рамках действующего законодательства бороться с распилом можно. Но для такой борьбы нужна железная воля и поддержка общественности. Одному человеку сделать что-то практически не реально. Владельцу бизнеса вмешиваться в происходящее - рисковать своим бизнесом. Нужны другие формы и стратегии. Есть идеи? - подключайтесь. На фото: Ты кто такой? Читай техзаданье!! Изображение: http://art.mau.ru/foto/kids/031.jpg

  • 22 Октября 2012 » Анатомия распила
    Скоро представилось Чичикову поле гораздо пространнее: образовалась комиссия для построения какого-то казенного весьма капитального строения. В эту комиссию пристроился и он, и оказался одним из деятельнейших членов. Комиссия немедленно приступила к делу. Шесть лет возилась около здания; но климат, что ли, мешал или материал уже был такой, только никак не шло казенное здание выше фундамента. А между тем в других концах города очутилось у каждого из членов по красивому дому гражданской архитектуры: видно, грунт земли был там получше. Н.В.Гоголь, «Мертвые души» Уверен, что не буду далёк от истины, сказав, что если вы хоть раз сталкивались с госзакупками, то прекрасно представляете масштабы коррупции в этой системе, хотя, может, точнее будет сказать, что всех масштабов вы себе даже и не представляете. Не берусь давать точную количественную оценку этим масштабам ни при закупках решений и услуг в области информационной безопасности, ни, тем более, в целом по стране. Скажу только, что за несколько месяцев мониторинга государственных закупок сертифицированных средств защиты информации сколько-нибудь значительного по бюджету заказа, не содержащего нарушения, мне так и не удалось встретить. Другой вопрос, что использовать эти нарушения для отмены или другого влияния на ход закупки, как правило, практически нереально. Система госзакупок у нас прежде всего регулируется Федеральным Законом № 94 "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", и этот закон неспроста является рекордсменом по количеству поправок и многими юристами признаётся одним из самых коррупционных законов в отечественном законодательстве. Даже прямое следование букве закона (при наличии, конечно, определённой поддержки со стороны определённых же лиц), позволяет безнаказанно распоряжаться госбюджетом как своим собственным. Но, про методы и трудности борьбы с распилом поговорим отдельно (Анатомия распила-2), а пока же вернёмся к нему самому. Просматривая в последнее время десятки конкурсных документаций ежедневно, получил определённое представление о тех методах, которые наиболее часто используются нечестными на руку заказчиками и хотел бы поделится именно ими, рассказать о самих механизмах – так сказать, об анатомии распила. Начать, пожалуй, стоит с того, что упомянутый уже ФЗ-94 предполагает несколько способов размещения государственного заказа: путём проведения торгов: - конкурс - аукцион - аукцион в электронной форме без проведения торгов: - запрос котировок - у единственного поставщика (исполнителя, подрядчика) - на товарных биржах В интересовавшей меня сфере поставки сертифицированных средств защиты информации самыми распространёнными были варианты: открытый аукцион в электронной форме (ОАЭФ) и запрос котировок, про них и поговорим подробнее. Начнём со второго. Что такое запрос котировок и как он устроен? Достаточно просто. Госзаказчик публикует конкурсную документацию, в которой указывает цену, содержание и сроки исполнения контракта. Все желающие принять участие – потенциальные подрядчики – направляют свои ценовые предложения. Победителем объявляется предложивший наиболее низкую цену. Всё предельно просто, единственный критерий оценки котировочных заявок – их цена. Казалось бы… На практике же госзаказчики, просто информируют «своего» подрядчика о ценовых предложениях других участников с тем, чтобы он мог хоть на рубль, но установить цену ниже и победить. Доказать такой сговор трудно, если не сказать «невозможно», сама процедура запроса котировок отличается оперативностью и простотой, но, к сожалению для мошенников, для размещения заказа методом запроса котировок цена контракта не должна превышать 500 000 рублей в квартал по одной группе товаров. Поэтому и стараются как можно больше закупок провести на суммы, недотягивающие до этого рубежа буквально чуть-чуть. Например, по состоянию на 18 октября: в диапазоне от 475 000 до 500 000 на этапах Подача заявки и Работа комиссии находилось 7122 заказа; в диапазоне от 500 001 до 525 000 на тех же этапах только 809 заказов, т.е. почти в 9 (!) раз меньше. Быстро и с минимумом усилий освоить 500 000 – это хорошо, но аппетиты у чинуш ныне уже не настолько скромные, чтобы довольствоваться такой суммой, поэтому научились они получать желаемый результат и при проведении более сложных типов закупок. Обычные оффлайновые аукционы и конкурсы (ещё иногда употребляют слово «тендер»), постепенно уходят в прошлое. Сейчас уже не надо готовить пачки документов («Акакий, ты опять забыл приложить нашу лицензию?!»), запечатывать их в конверты, доставлять по указанному адресу, а потом ещё присутствовать на церемонии вскрытия. Открытый аукцион в электронной форме (ОАЭФ) существенно сокращает время подрядчиков на подготовку к торгам и, по идее, должен серьёзно повышать прозрачность и открытость закупок – ведь всё совершается на электронных торговых площадках, удостоверяется ЭЦП и автоматически протоколируется. Казалось бы… Но пытливые умы, жаждущие наживы, и тут изобрели варианты. Основных подходов два: скрыть заказ от конкурентов («несвоих» подрядчиков) или недопустить их до участия. Итог один: аукцион признают несостоявшимся и контракт заключают с единственным участником, да ещё и по начальной максимальной цене. К слову, при проведении запросов котировок оба этих метода (скрыть и недопустить) тоже повсеместно используются. Заказы публикуются на сайте госзакупок и просто так их не спрятать, поэтому для сокрытия заказа в ход идут: неинформативные наименования заказов (чтобы из названия нельзя было понять, о чём вообще речь); умышленные искажения документации (опечатки, подмена русских букв латинскими и пр.); использование неиндексируемых форматов файлов (размещение архивов, скан-копий или фотографий документов и т.п.); размещение заказа в максимально неудобное время (вечер пятницы или конец сокращённого рабочего дня накануне праздников). Таким образом, ещё на самом первом этапе минимизируется число потенциальных участников: конкуренты просто могут не узнать о существовании самого заказа или узнать слишком поздно. Вариантов же недопущения участников гораздо больше. При этом часто конкуренты «недопускают себя сами», т.е. отказываются от участия, потому что анализ документации явно показывает: конкурс распильный и выполнить его требования невозможно. К тому же, выигрыш в чьём-то чужом распильном конкурсе часто вообще может обернуться серьёзными проблемами (про это тоже в Анатомии распила-2). Чтобы не допустить возможности участия других поставщиков, в конкурсной документации, например: указываются нереальные сроки исполнения контракта, которые под силу только тем, кто узнал о нём заранее; поставка товара сочетается с оказанием специализированных услуг (например, аттестация объектов информатизации), для исполнения которых требуется наличие редкой лицензии; объединяются разнородные товары от значительного числа производителей, не оставляя шансов «чужим» компаниям даже просто успеть узнать цены, не то что договориться с вендорами/дистрибуторами об условиях и сроках поставки. Самый же наглый на мой взгляд способ (он же и один из самых распространённых) – это, конечно, указание характеристик конкретного товара с тем, чтобы аналоги хоть по одному пункту, но не прошли. При сочетании наглости и сговора получаем шаблонное описание товара в техническом задании (ТЗ). Например, такое описание-заготовка есть почти у каждого производителя СЗИ от НСД (средства защиты информации от несанкционированного доступа), но благое желание вендора помочь в составлении ТЗ на практике выливается в то, что шаблоны без малейших изменений кочуют из документации в документацию. Кстати, не советую в такие шаблоны включать вариативность: могут всем на посмешище просто вставить оба взаимоисключающих варианта =) При сочетании наглости, сговора и глупости получаем описание, скопированное один в один с сайта разработчика. Звучит смешно и нелепо, но это правда, и прецедентов таких не мало. Все указываемые, свойственные только одному продукту характеристики, никакой реальной полезности, как правило, не несут и служат только для ограничения конкуренции. Любые же попытки докопаться до истины и убедить переделать документацию, к сожалению, ни к чему не приводят: извиваясь ужом, подключая технических специалистов, заказчик упорно стоит на своём, заменяя одни липовые требования другими или, припёртый к стенке, внезапно вспоминает (пример этого есть по этой ссылке, которая, заслуживает вообще отдельного поста), что вот-де раньше он какую-то такую штуку закупил, что теперь для совместимости с ней никакие другие товары, кроме одного единственного и неповторимого не подойдут. Наконец, как запасной вариант, в случае несрабатывания всех предыдущих, используется отклонение участника по формальным признакам: мелкая ошибка в поданной заявке; непредоставление малозначительной информации; неправильное истолкование требований конкурсной документации (в требования специально могут включать «логические мины», не вызывающие подозрений, но предполагающие двойное толкование). К сожалению, всё вышеописанное – это не какие-то единичные случаи, хотя я и привёл лишь несколько ссылок, а совершенно обыденные вещи, происходящие каждый день открыто и у всех на глазах. В следующей части (Анатомия распила-2) планирую рассказать о вариантах противодействия распильным и откатным конкурсам и главных проблемах, которые при этом могут возникать. На фото – котэ в шоке: https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-ash3/578565_286605014774595_391965869_n.jpg