Свежие посты   По годам   По датам
  • 16 Октября 2012 » Сертифицированные межсетевые экраны (часть 6)
    После достаточно затянувшегося перерыва возвращаюсь к начатой ещё в мае теме сертифицированных межсетевых экранов. Ссылки на все части этого многосерийного обзора с перечнем упоминаемых продуктов выложены теперь на отдельной странице. Там же описаны и общие критерии отбора, не буду их повторять, а сразу перейду к делу. В сегодняшней части в основном экзотические средства. Нет, они, конечно, наверняка кем-то используются и, быть может, даже в значительных количествах, но разработчики в продвижение этих брендов вкладывают не настолько много сил, чтобы их решения стали широко известны, а информацию о некоторых из продуктов вообще приходится собирать буквально по крупицам. Начнём с межсетевого экрана ССПТ-2 разработки ЗАО НПО РТК. Как утверждают сами представители компании-разработчика, ССПТ-2 представляет собой персональный компьютер специального исполнения с установленной операционной системой FreeBSD. Уникальностью продукта называется его возможность работы в прозрачном режиме. На Youtube есть видеозапись выступления Андрея Новопашенного из ЗАО НПО РТК, в котором продукт рассмотрен подробнее. Выступление достаточно длинное и на мой личный взгляд вполне себе типично-продуктовое, но секция ответов на вопросы из зала (во второй части видео) довольно любопытна. На форуме ИСПДн.ру в обсуждении ССПТ-2 всё не так красиво, как в презентации Андрея Новопашенного, но на то он и форум - жаль только, что никто от лица разработчика ничего не прокомментировал. С другой стороны, мнение потребителя для подобной категории продуктов, видимо, просто не считается важным. Ведь главное конкурентное преимущество ССПТ-2 заключается в сертификатах, особенно том, что в рамках данного обзора не рассматривается - я про сертификат ФСБ на МЭ3, который имеют гораздо меньше продуктов, чем сертификат ФСТЭК. Следующий в списке - программный межсетевой экран «Купол Э». Это ну очень таинственный продукт. Судя по всему (см. новость от 11.11.2010), его разработали в ФГУП «ЗащитаИнфоТранс». Вот, в принципе, и всё, что вообще удалось найти о «Купол Э» в открытых источниках. Теперь пару слов о Diamond VPN/FW. Разработчик – компания ТСС – достаточно новый игрок на рынке. Кто за ними стоит и что они собой представляют – предмет отдельного разговора, но компания любопытная. Взять хотя бы их Средство контроля и разграничения доступа Diamond ACS - крайне интересная разработка. Что же касается межсетевого экрана Diamond VPN/FW, то информации о нём доступно чуть больше, чем о некоторых других участниках данной части обзора, но, судя по всему, в стратегии продвижения в ТСС сделали ставку на своих партнёров – интеграторов и основную информацию о своих решениях до потребителя доводят именно через них. Коммутатор серии РТТ-А311 с программным обеспечением ROS версии 1.0.20 – следующий сегодняшний экспонат. Вроде как разрабатывает его компания ООО «Русьтелетех»: данный коммутатор был представлен на стенде SYRUS SYSTEMS на выставке Связь–Экспокомм–2012 в мае этого года именно этой компанией и именно ООО «Русьтелетех» выступила заявителем при сертификации. Согласно вот этому документу в 2012 году в волгоградской области планировалось строительство завода Русьтелетех по производству «8 типов российского телекоммуникационного оборудования, адаптированных под российские требования информационной безопасности для использования в информационных сетях органов государственной власти» на 480 рабочих мест. Трудно сказать, какова судьба завода, но пока у компании нет даже сайта. В сети разве что генерального директора ООО «Русьтелетех» можно найти: Ким Афанасий Моисеевич. С другой стороны, сертификат ФСТЭК был получен не так уж и давно (в конце прошлого года), а Афанасий Моисеевич личность очень разносторонняя (обладатель патента на производство сахара, действительный академический советник Академии инженерных наук и даже автор стихов), так что вполне может быть, что у РТТ-А311 всё ещё только впереди. Идём дальше. Комплекс РУБИКОН позиционируется компанией Эшелон не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений (СОВ или IPS). Сертификат РУБИКОН получил буквально в феврале, так что экзотикой он является возможно только из-за того, что просто пока не раскручен. С функционалом межсетевого экранирования всё более-менее ясно, а вот заявленное обнаружение вторжений - уже интересней. Например, интересно, как часто происходит обновление сигнатур IPS? И, кстати, по какому каналу скачиваются эти обновления – по доверенному или как получится? Отдельный вопрос с качеством самой базы сигнатур. С другой стороны, если межсетевой экран ещё пытается от вторжений хоть как-то защитить, то почему бы и нет? Особенно, если цена в 150 тысяч рублей за устройство с никак не анонсированной на сайте вендора производительностью устраивает. Формально, но всё же подходит под ранее введённые ограничения (действующий сертификат ФСТЭК и партия от 300 экземпляров) межсетевой экран Vyatta. Сертифицирован он МИКРОТЕСТом для Муниципального бюджетного учреждения «Центр Мединком» как раз в количестве 300 штук. Наверное, для выбора именно такого решения при всём многообразии сертифицированных межсетевых экранов на нашем рынке у Микротеста и его заказчика были свои основания. Сама компания Vyatta Inc, кстати, позиционирует своё решение (если верить Википедии) как конкурента продуктам Cisco уровня ISR 1800 — VXR 7200. Завершим сегодняшнюю часть обзора IP маршрутизатором серии RSOA700. Производит его ЗАО «Российская корпорация средств связи», уже знакомая по ранее описанному маршрутизатору RSOS6850, схожему до степени смешения с Alcatel-Lucent OmniSwitch 6850. Что за зверь RSOA700 – не ясно, но он сертифицирован в Газпромсерте (сертифкат ГО00.RU.1313.Н00164) и за пределами Газпрома, пожалуй, мало кому интересен. Сводная таблица со всеми рассмотренными сертифицированными межсетевыми экранами доступна в сервисе Scribd. Продолжение следует

  • 10 Октября 2012 » Сертифицированные решения для iPad
    Победное шествие iPad по столам наших госчиновников, пожалуй, уже не остановить, а значит – надо как-то подводить стихийно закупаемые устройства под соответствие требованиям регулирующих органов. Давайте посмотрим, какие вообще для этого существуют варианты. Аббревиатуры BYOD, MDM и прочие заграничные понятия нас сейчас интересовать не будут – речь пойдёт исключительно о «бумажной» защите, т.е. о формальном выполнении требований руководящих и прочих документов. Основная сложность с сертифицированными решениями для платформы iOS заключается, конечно, в закрытости этой операционной системы и невозможности по умолчанию работать в ней с правами администратора. Разработчики представленных на рынке решений идут по одному из двух путей: создание некоей защищённой области, в рамках которой осуществляется работа с конфиденциальными данными jailbreak, т.е. искусственный обход ограничений операционной системы с целью повышения полномочий пользователя Первым путём пошли компании ВолгаБлоб и Digital Design. Вторым - Код Безопасности и Инфотекс. Отдельно упомяну и про Stonesoft. ВоглаБлоб поставляет средство защиты информации для iPad под названием iBlob. iBlob представляет собой защищённый почтовый клиент, в котором для шифрования и подписи электронных писем используются российские криптографические алгоритмы. Канал связи с почтовым сервером тоже защищается ГОСТом. Специализированной серверной части решение не требует и прекрасно работает, например, с тем же Exchange. Насколько мне известно, в ближайших планах компании реализация интеграции с торговыми площадками и госпорталами, где также востребована поддержка российской ЭЦП. Digital Design предлагает «Планшет Руководителя» на iPad. К почтовому клиенту добавлен функционал работы с документами в системе документооборота (DocsVision) и файловом хранилище (в т.ч. MS Office SharePoint), а также модуль визуализации показателей, выгружаемых из аналитической системы типа BI. Обязательным элементом системы является специализированный сервер системы Планшет Руководителя. Оба решения не претендуют на шифрование всего трафика планшета, а защищают только то, что действительно является критическим. Отечественные же вендоры, специализирующиеся на создании защищённых сетей, Код Безопасности и Инфотекс пошли путём создания VPN-клиентов для платформы iOS, ну а так как для перехвата и шифрования всего трафика требуются права администратора,то джейлбрейк обязателен. Клиент ViPNet Client iOS компании Инфотекс уже сертифицирован в ФСБ. После включения клиента устройство сможет соединиться только с корпоративным ViPNet Coordinator, а уже через него с остальными публичными сетевыми ресурсами или сервисами внутри организации. Аналогичное решение компания Код Безопасности анонсировала ещё в июне 2011 и даже дала по поводу этого анонса дополнительное разъяснение, но с тех пор что-то всё стихло. Даже в своей группе в Google представители компании сроки назвать не берутся. С планшетами от Apple Коду Безопасности вообще как-то не везёт – чего только стоит их «история неуспеха». Быть может потому и было принято решение о концентрации усилий на разработке решения на платформе Android. Будем надеяться, что по итогу Континент Т-10 будет всё же отличаться от того, что представлено на дружеском шарже, иллюстрирующем этот пост =) Что же касается Stonesoft, то несмотря на то, что их решение StoneGate SSL VPN поддерживает ГОСТ и было сертифицировано в ФСБ, текущая версия VPN-клиента для iOS тоже требует jailbreak, если нужна поддержка ГОСТа. В ходе своего выступления на "Львах и Гладиаторах" (INFOBEZ-EXPO 2012) глава представительства Stonesoft в России Михаил Романов рассказал, что в их компании пока окончательной надежды на достижение договорённостей с Apple не потеряли, но не исключено, что для ускорения сертифицируют всё же вариант с джейлбрейком. В сухом остатке имеем: непривязанный ни к каким серверам и шлюзам продукт iBlob, который можно купить и использовать хоть в единичном экземпляре, чуть более сложный в установке (и, видимо, более дорогой), но зато и с большим функционалом "Планшет для руководителя", уже сертифицированный ФСБ, но завязанный на инфраструктуру, клиент от Инфотекс, требующий jailbreak, аналогичный, с теми же ограничениями, без сертификата и, что печальнее, с неясной судьбой продукт от Кода Безопасности, и, наконец, временно не сертифицированный западный вариант решения от компании Stonesoft. Полноты картины ради отмечу, что на рынке присутствует также решение от компании Аладдин Р.Д., позволяющее подключать смарт-карты с поддержкой ГОСТ (та самая JaCarta) к iPad, но для его работы всё равно нужно какое-то прикладное ПО: iBlob, Планшет руководителя или что-то аналогичное.

  • 09 Октября 2012 » Экран, вызывающий доверие
    Полгода назад я написал о так называемых "трастскринах" - устройствах визуального контроля подписываемого с помощью смарт-карты (или токена) документа. По итогам того поста и дискуссии в комментариях Денис Калемберг (генеральный директор SafeTech) на одном из мартовских мероприятий передал мне производимое его компанией устройство "на опыты". Вот, наконец, дошли руки его пощупать и потестировать. Коробка базовой модели SafeTouch (остальные пока в разработке) лаконична и скромна – самое то для бизнес-девайса: В комплекте ничего лишнего: устройство, открепляемая подставка для вертикальной установки на стол и провод для подключения к USB. Провод коротковат, но так как разъёмы стандартные (USB и USB-mini), то проблем с его заменой/удлинением быть не должно: Инструкции в коробке не обнаружилось, что для нерозничного продукта, в принципе, объяснимо, так что первым делом, как оно водится, сразу подключаем устройство к компьютеру. На короткое время экран и кнопки загорелись, показывая свою работоспособность, после чего всё погасло и SafeTouch перешёл в режим ожидания. Через пару минут автоматически (спасибо поддержке спецификации USB CCID) установились драйвера и SafeTouch, судя по всему, стал готов к работе. С устройством мне досталась и тестовая смарт-карта с уже записанным цифровым сертификатом. На её подключение SafeTouch реагировал всё тем же кратковременным включением экрана и больше ничего заметного не происходило. Что ж, для полноценного тестирования явно нужно какое-то программное обеспечение. Пойдём на сайт разработчиков. На сайте обнаружился специальный раздел для тестирования, но для работы с ним требуется установка специального плагина для браузера (Google Chrome в моём случае). Несколько окон "Мастера установки" и готово. Кстати, прав администратора для установки плагин не запросил, что приятно. Вот теперь всё подготовлено к тестам и можно приступать. Заполняем поля тестового платёжного поручения (странно, что в названии получателя можно использовать только латиницу - надеюсь, в боевой версии такого ограничения нет) и нажимаем кнопку "Подписать".   Устройство реагирует выводом содержимого ключевых полей на свой экран. Сверяем то, что видим на мониторе компьютера, с тем, что ушло на подпись в устройство, и выбираем: подписать или нет. В зависимости от нажатой кнопки на устройстве, на мониторе компьютера видим результат подписи ("14 CD C7...") либо сообщение об ошибке ("Error in function..."), которое хочется посоветовать заменить на что-то более наглядное: "Подписание отклонено", например. Не совсем понятным осталось - почему при одних и тех же исходных данных результат подписи получается каждый раз разный. Видимо, в подписываемые данные включается ещё и время с датой. В целом, впечатления от практического тестирования SafeTouch положительные. Экран читаемый и его яркости при стандартном офисном освещении вполне хватает. Кнопки подтверждения/отмены разного размера, цвета и выпуклости - перепутать сложно. Из-за резиновых ножек подставки устройство по столу не скользит даже при подключении/отключении смарт-карты. Отсутствие необходимости установки драйверов и простая установка плагина с правами пользователя тоже импонируют. Относительно самой процедуры тестирования можно порекомендовать чуть подробнее расписать её сценарий на сайте, чтобы было нагляднее. Но, подозреваю, что к каждому, кто получает устройство на тестирование приставляется специально обученный человек, в деталях рассказывающий, что и как нажимать и что при этом происходит - и я тут просто исключение =) P.S. Если вдруг обратили внимание на неидеально горизонтальное расположение дисплея устройства на фотографиях - не обращайте внимания: данный экземпляр я собственноручно уронил с высоты чуть более метра (собственно, после чего и получил его в подарок) на жёсткое напольное покрытие. Так что можно считать, что и краш-тест SafeTouch прошёл успешное: согласитесь, не каждый современный гаджет после такого обращения будет нормально работать.

  • 08 Октября 2012 » Препарируем ИнфоБезопасность
    Выставочная часть состоявшейся на прошлой неделе ИнфоБезопасности производила ещё более удручающее впечатление, чем у Infosecurity, да и по сравнению с прошлым годом всё стало ещё мельче и компактнее. Конференционная же часть была сильна, а отдельные мероприятия и вовсе заслуживают самых высоких оценок («Львы и гладиаторы» и «Блоггер-панель»). Коль скоро анализ тем InfoSecurity был интересен читателям (судя по статистике популярности постов), логично аналогичное сделать и для ИнфоБеза. Итак, смешиваем следующие ингредиенты: Программа INFOBEZ-EXPO 2011 года Программа INFOBEZ-EXPO 2012 года SEO-инструмент по анализу web-страниц Напомню, что анализ делается из предположения, что частота слов в тексте программы коррелирует с актуальностью (“горячестью”) темы. Слова условно разделены на несколько типов: служебные слова, не несущие смысловой нагрузки понятия, которые имеют отношение к ИБ, но непосредственно тему не определяют бренды, т.е. названия и фамилии темы - собственно, те слова, которые однозначно задают тематику докладов и названий секций Близкие по смыслу слова, задающие темы, были объединены и для всех них была посчитана общая статистика частоты упоминания. Выкладываю топ-10 тематик и исходные данные для анализа в полюбившийся мне последнее время сервис Scribd: Анализ тем INFOBEZ-EXPO 2011-2012 by Alexey Komarov Как видно, персональные данные, облака и банковская безопасность задавали тон основным докладам на ИнфоБезопасности в этом году, а ДБО и PCI DSS (тоже очень "банковские") даже заслужили отдельного вынесения как тематики. Доступность и документооборот от лидерства в 2011 года скатились до полного отсутствия в программе 2012, зато появилась тема АСУТП, что вполне закономерно и демонстрирует высокую степень реакции организаторов на текущие тенденции (в программе той же InfoSecurity такого слова не фигурировало). Кстати, сравнение ключевых тем будет полезно ещё и тем, кто будет в 2013 году делать очередной выбор между двумя конкурирующими мероприятиями, т.к. специализации вполне себе вырисовываются. Изображение: http://rodgerdodger.files.wordpress.com/2008/09/rat1.jpg

  • 27 Сентября 2012 » Препарируем InfoSecurity
    Сегодня прошёл второй день одной из двух крупнейших отраслевых ИБ-выставок - Infosecurity Russia 2012. Какие-либо итоги подводить, пожалуй, ещё рано - завтра третий день, а через неделю - конкурирующее мероприятие от РЕСТЭК (INFOBEZ-EXPO), так что в очередной раз сравнить их можно будет позже, но определёнными выводами хотел бы поделиться. Продолжая воспринимать обе выставки исключительно как место, где можно душевно пообщаться со старыми знакомыми, в очередной раз узнать, кто и куда перешёл, да с улыбкой посмотреть вслед демонстративно тебя незамечающим личностям, не берусь объективно судить о качестве и полезности Infosecurity для отрасли в целом. В конце концов, кому-то даже удаётся отбить все свои затраты за счёт новых клиентов, а другие хоть и жалуются на в очередной раз выброшенные деньги, но суммы критическими не считают и участие принимают, ну хотя бы из соображений, что если не участвовать, то это будет выглядеть странно. Мне выставка показалась чуть даже меньше, чем в прошлом году, но уже давно и Infosecurity и ИнфоБез славятся больше своей конференционной составляющей, которую вот так взять и оценить довольно сложно - даже на трети читаемых докладов побывать невозможно, зато возможно проанализировать темы выступлений и, например, сравнить их с 2011 годом. Всего-то понадобятся: Программа Infosecurity 2011 года Программа Infosecurity 2012 года Например, вот этот SEO-инструмент по анализу web-страниц и немного терпения. Анализ делался мной из предположения, что частота слов в тексте программы коррелирует с актуальностью (“горячестью”) темы. Слова были условно разделены на несколько типов: служебные слова, не несущие смысловой нагрузки понятия, которые имеют отношение к ИБ, но непосредственно тему не определяют бренды, т.е. названия и фамилии темы, собственно, те слова, которые однозначно задают тематику докладов и названий секций Близкие по смыслу слова, задающие темы, были объединены и для всех них была посчитана общая статистика частоты упоминания. Вот здесь можно скачать исходный excel-файл целиком, я же приведу только топ-10 понятий, наиболее часто встречающихся в программе 2012 года, и изменение этой частоты по сравнению с прошлым 2011 годом. Анализ тем Infosecurity 2012 (в сравнении с 2011) from Alexey Komarov Как можно видеть из итоговой таблицы, значительно возрос интерес к “мобильным” технологиям (BYOD, MDM и прочее) и “национальному” (стандарты, в частности). Тема “персональных” данных начинает приедаться, безопасность “доступа” тоже уже малоактуальна (видимо, сложно что-то новое в этой области сказать), а “облака” и “DLP” и вовсе крайне много потеряли в частоте упоминания. “Непрерывность” и вовсе с радара пропала. Зато на подходе свежее - “мошенничество” и всякого рода “устройства”, в 2011 году никак не упоминавшиеся. Конечно, данный поверхностный анализ на полноту и безошибочность не претендует, но, согласитесь, определённое представление даёт. Интересно, кстати, будет сравнить тематику ИнфоБеза - их программа тоже уже давно на сайте висит. [box type=”info” style=”rounded”]UPD. 08.10.2012 Сделал аналогичный анализ для ИнфоБезопасности (INFOBEZ-EZPO).[/box] Изображение: http://fotki.yandex.ru/users/ki-ra/view/175947/?page=5

  • 18 Сентября 2012 » Немного анонимности в этот промозглый осенний вечер
    Как говорил мне один мудрый человек, нельзя нравится абсолютно всем: недовольные найдутся всегда, так что даже 60% - это уже хороший результат, а 80% так и вовсе отличный. На примере данного блога имел возможность лично убедиться, что посты могут вызывать у читателей прямо противоположные чувства. При этом кто-то отмалчивается, никак не реагируя на опубликованное, кто-то с открытым забралом вступает в публичную переписку/комментирование, ну а иные предпочитают писать от вымышленного либо вовсе чужого имени. Вот только Интернет давно перестал быть анонимным и не стоит думать, что указание при комментировании в блоге чужого адреса электронной почты поможет замести следы. Как-то раз беглый анализ статистических данных счётчиков, установленных в частности, в этом блоге, позволил мне без особого труда выяснить про одного из таких комментаторов его IP-адрес и домашнего провайдера, устройство, с которого осуществлялся выход в сеть интернет и даже производителя домашней беспроводной точки. Версия браузера, операционная система, разрешение экрана, город и много другое - тоже не являются секретом (ссылка 1, ссылка 2). Совокупность всех этих сведений, а так же поведенческий анализ, могут позволить достаточно точно идентифицировать конкретного человека даже обычному владельцу блога, не говоря уже о провайдерах или органах правопорядка. Вместе с тем, Интернет полон людей не желающих раскрывать своей личности и обладающих достаточными знаниями и навыками для этого. Но, что самое приятное, простые и удобные средства анонимизации доступны даже и не очень подготовленным пользователям. В частности, участники знаменитого проекта Tor создали и регулярно поддерживают бесплатный пакет Tor Browser Bundle (доступный, кстати, и на русском языке) для платформ Windows, MacOS X, Linux и Android, включающий в себя браузер Firefox преднастроенный для работы в сети Tor. Подключение к Tor и запуск браузера происходят автоматически: Теперь ваш IP адрес будет определяться неверно, а кнопка "Сменить личность" позволит ещё и регулярно его менять на некий другой случайный. Правда, настройки Tor Browser Bundle по умолчанию не позволяют оставлять комментарии с использованием Disqus (система комментирования, которая установлена в том числе в этом блоге), так что определённые шаги по деанонимизации придётся выполнить: Конечно, для настоящей анонимности одного Tor Browser Bundle мало. Как справедливо указывают его создатели, для этого придётся менять свои привычки. С другой стороны, не так уж и часто порядочным людям приходится прибегать к подобным средствам. Хороший пример из жизни этого же блога - использование Tor для анонимного комментирования моего поста про новый токен JaCarta. Вот какой IP адрес был у его автора: 62.113.219.6

  • 06 Сентября 2012 » Я оглянулся посмотреть...
    Решений по защите экрана мобильного телефона/смартфона от посторонних взглядов не так много: защитная плёнка, проецирующие очки, да существующая пока только в виде разработки технология от Apple - вот, пожалуй, и всё. Для компьютера же есть и другие варианты. Мне, например, в ходе пробного тестирования очень понравился продукт PrivateEye от компании Oculis Labs. Суть программы достаточно проста: используя web-камеру компьютера или ноутбука, PrivateEye следит за тем, чтобы лицо пользователя постоянно было обращено к экрану. Стоит отвернуться - экран превращается в крупно пиксельную кашу: При этом PrivateEye запоминает лицо "своего" пользователя (или пользователей) и умеет отличать его от остальных, поэтому, когда кто-то пытается заглянуть в монитор из-за плеча, PrivateEye скрывает экран и выводит лицо подсматривающего в красной рамке: Из интересного можно отметить интеграцию с групповыми политиками Microsoft Group Policy, а также анонсированную недавно специальную версию для Citrix XenDesktop, которая позволяет использовать технологию PrivateEye на любом устройстве с web-камерой и поддержкой XenDesktop, включая Mac, планшеты и смартфоны. Работает программа стабильно, но качество работы, конечно, во многом определяется качеством web-камеры. На ноутбуке, с его небольшим экраном и близко расположенной к нему клавиатурой проблем практически не бывает, а при работе на стационарном десктопе могут быть сложности у невладеющих слепой печатью пользователей - если слишком опустить лицо к клавиатуре, web-камера может "потерять" вас. Большой (обычно) экран десктопа и широкие углы обзора тоже сказываются на качестве защиты - увидеть его содержимое можно издалека или сбоку, не попав в зону обзора web-камеры. К сожалению, в розницу PrivateEye не продаёт

  • 05 Сентября 2012 » СЗИ от НСД. Обзор рынка.
    Есть в нашей российской действительности такое понятие как СЗИ от НСД - средства защиты информации от несанкционированного доступа. Требования регуляторов, изначально рассчитанные на госорганы, но распространённые (во многом благодаря закону о Персональных данных) в том числе и на небольшие коммерческие компании, создали целый огромный рынок таких средств с совокупным объёмом под миллиард рублей. Краткий обзор этого рынка сделал в сегодняшнем своём выступлении на семинаре NGS Distribution. Вот презентация полностью: Современный рынок СЗИ от НСД from NGS Distribution Темой СЗИ от НСД сейчас занимаюсь достаточно плотно и в ближайшее время планирую чуть подробнее рассказать об этом. Изображение: http://www.fialki.ru/node/8138

  • 23 Августа 2012 » Логика - Пила, счёт 0:1
    В прошлом посте я написал об одном забавном аукционе, по документации которого поступило аж два запроса на разъяснение от потенциального участника. Ответы заказчика на справедливые, в общем-то, вопросы сильно походили на подготовленные заинтересованными в распиле очередного бюджета лицами. Аукцион должен был состоятся 23 августа в 10:00, но не состоялся. В качестве причины, по которой аукцион не состоялся, названо то, что “допущена только одна заявка”, а всего заявки подали три участника (разверните Лот №1, чтобы их увидеть): ЗАО «Актив-софт» ЗАО НТЦ «Специальные системы» ЗАО «Сириус» Актив-софт является разработчиком ключей Rutoken и, судя по всему, именно они и писали те самые понравившиеся мне запросы на разъяснение. Заявке Актив-софт в допуске было отказано. К сожалению, причины отказа не опубликованы (вернее, доступ к протоколу закрыт), но что-то мне подсказывает, что причиной послужило несоответствие тем самым требованиям о виртуальных Java-машинах. НТЦ Специальные системы - контора лично мне не известная. Судя по неактуализирующемуся сайту, обилию лицензий и открытой вакансии, занимаются специфической деятельностью по аттестации объектов. Роль их в данном аукционе туманна, но заявка тоже была отклонена. Единственный участник, чья заявка была признана соответствующей требованиям, - это Сириус, 100% акций которого владеет ООО “Интеллект Технолоджи”. Филиалы Сируса созданы в Краснодаре, Ростове-на-Дону, Владивостоке, Омске, Владикавказе, Волгограде, Саратове и Каспийске, а сама компания занимает 68 место в рейтинге CNews 100 2011 года. Про обратную же сторону одного из флагманов юга России лучше у коллег с Кубани спросить или вот тут почитать, если интересно. Вернёмся к аукциону. Итак, подано три заявки, две отклонили, аукцион не состоялся, так как действительно глупо проводить аукцион с одним участником и поэтому комиссия из 10 человек единодушно решила: 5.1. Признать заявку... «Сириус» соответствующей требованиям... 5.2. В течение четырех дней ... направить оператору электронной площадки проект государственного контракта.... ...при этом государственный контракт заключается на условиях, предусмотренных документацией ... по начальной (максимальной) цене..., что составляет - 3 107 321 рублей 20 копеек. В общем, как пел Андрей Миронов в роли Остапа Бендера: "Моих грехов разбор оставьте до поры. Вы оцените красоту игры!" Мы и оценили, господа: в документацию вписаны липовые требования, заявки двух из трёх участников отклонены и контракт заключён по начальной максимальной цене. Успешного вам осваивания ваших 20 копеек =) Изображение: http://demotivators.to

  • 10 Августа 2012 » Как распильщики с логикой воюют или Подводный токен
    Тему откатов и распилов в области информационной безопасности я уже как-то в своём блоге поднимал, но тема это такая, что сколько её ни поднимай, а новый повод всё равно находится чуть ли ни каждый день. Вот и сейчас привлёк моё внимание один Открытый аукцион в электронной форме на «Право заключения государственного контракта на поставку USB – ключей для нужд ФМС России». Контракт вполне себе не маленький 3 107 321,20 руб. (к примеру, если верить данным Росстата о прожиточном минимуме в России, на эти деньги 52 пенсионера могут прожить целый год). Документация к этому аукциону была размещена очень забавно. Если вы скачаете её по этой ссылке, то увидите, что выложена была не текстовая версия документа, а его копия в виде графического tif-файла(!). Хитро придумал представитель заказчика г-н П.Б.Жданов и его коллеги – сайт Госзакупки графические файлы ведь не индексирует, а значит “посторонние”, не знающие об этом конкурсе от “доверенных лиц”, даже расширенным поиском по ключевым словам его не найдут. Для индексации доступен был лишь вот этот малоинформативный документ с самой общей информацией. Так что аукцион разве что по “USB ключ” можно было отыскать. В самой конкурсной документации ключевых слов, естественно, гораздо больше, вот кто-то и придумал “подстраховаться”. Как обычно, самое интересное в документации – это Технические требования к поставляемым ключам. Вот они: Для удобства - ссылка на распознанные страницы 23-24 документа. USB-ключей, а тем более сертифицированных, вообще-то у нас и так немного, но в данном случае заказчик пошёл ещё дальше и в явном виде указал вполне себе конкретную модель. Убедиться в этом можно, например, поискав «Микросхема смарт-карты Atmel AT90SC25672RCT-USB (Atmel AT90SC25672R)» в Google или Яндексе. Вообще, конечно, надо отдать должное тому, кто готовил аукцион – всё же текст в технических требованиях не на 100% соответствует описанию на сайте поставщика, но факт ограничения конкуренции тем не менее очевиден. Очевиден настолько, что кто-то (предполагаю, что один из конкурентов) обратился в ФМС России с просьбой дать разъяснения. Полный список вопросов и те ответы, которые дал на них представитель заказчика С.И. Голиков приведены здесь. Вот краткая суть с моими комментариями: Вопрос 1.Для чего будут использоваться ключи и какая ОС используется? Ответ. Для использования ЭЦП в информационной системе ФМС, ОС Win 7 x32. Но на всякий случай впишем и MacOs и Linux Вопрос 2. Возможна ли поставка ключей, не построенных на базе Atmel AT905C25672RCT-USB (Atmel AT90SC25672R) и если нет, то почему? Без конкретного ответа, но внесены изменения в Технические требования. Да, слишком уж нагло прописали, не думали, видимо, что отсканированную документацию кто-то отыщет… Вопрос 3. Почему прописаны требования к наличию западных стандартов шифрования RSA 1024 / 2048, DES, 3DES, SHA-1? Ответ. Планируется использовать USB-ключи в том числе и для аутентификации в домене Windows с использованием технологии Smart Card Logon. В домен вообще-то можно и по ГОСТовым сертификатам входить – у КриптоПро даже решение отдельное для этого есть. Вопрос 4. Для чего в требования к сертификации указано дополнительное условие о наличии ОУД2? Без конкретного ответа, но внесены изменения в Технические требования. "Ладно-ладно, уберём – у нас и другие ограничения конкурентов прописаны". Вопрос 5. Совместимость с какими конкретно средствами криптографической защиты информации требуется? Ответ. Требуются сертификаты совместимости USB-ключа с СКЗИ "КриптоПро CSP" Какую юридическую силу имеют эти «сертификаты совместимости» - не очень понятно, но штука вроде модная, все их получают. Вопрос 6. Для чего требуется водонепроницаемость корпуса (стандарту IP Х8 - IEC 529 - Защита от воды при неограниченном времени погружения на определённую глубину). «ФМС России планирует использование USB-ключей в подводной среде?» =) (смайлик мой, цитата дословная) Без конкретного ответа, но внесены изменения в Технические требования. Может известному аквалангисту Макаревичу один ключ хотели подарить? =) Вопросы 7-8. Технические требования сокращают список возможных производителей до одного производителя. Вы сознательно нарушаете ст. 41.6, п. 1, Главы 3.1 и ст. 34, п. 3 и 3.1, Главы 3 Федерального закона №94-ФЗ? Допустима ли поставка других ключей с аналогичными по своей функциональности характеристиками? Ответ. По имеющейся у ФМС России информации, закупаемый товар, соответствующий характеристикам, установленным в документации об открытом аукционе в электронной форме производят целый ряд производителей. Весь рынок не в курсе, а ФМС знает целый ряд таких производителей, надо же… Обновлённая версия технических требований стала выглядеть вот так: Справедливость восторжествовала? Нет, конечно! Ведь будущий откат, наверняка, оговорён и попилен, или наоборот “серьёзным” людям “правильные” конверты ещё раньше занесли – не знаю, как там точно у них всё делается. Посмотрите, как ловко играют мошенники. Вроде бы убрали и микросхему Atmel AT905C25672RCT-USB (Atmel AT90SC25672R), и “подводный” стандарт IP Х8 - IEC 529 и объективно не нужный уровень доверия ОУД 2, но вписали “реализацию виртуальной машина Java (полностью совместимая со стандартом Sun Java Card)”. В общем, конкуренция всё также осталась ограниченной, какой бы там мифический ряд производителей ни был ФМС известен. Наш неизвестный борец за справедливость повторно обратился к ФМС за разъяснениями. Вопросы с ответами второго разъяснения полностью тут, а кратко с комментариями так: Вопрос 1. На российском рынке средств электронной подписи операционная система смарт-карты, включающая реализацию виртуальной машина Java (полностью совместимой со стандартом Sun Java Card), есть только в USB-ключах одного производителя. Просим разъяснить реальную и обоснованную необходимость в наличии указанного требования. Ответ. Государственная информационная система миграционного учёта (далее ГИСМУ), оператором которой является ФМС России, в качестве своей основной технологии реализации прикладной функциональности отдельных информационных систем входящих в состав ГИСМУ применяет технологию Java. В связи с этим, для целей реализации расширенной прикладной функциональности по обеспечению информационной безопасности информации, собираемой и обрабатываемой в ГИСМУ, нами было принято решение задействовать расширенные возможности современных электронных ключей для достижения указанных целей на основе применения в качестве программного компонента ряда информационных систем, входящих в состав ГИСМУ, апплетов, загружаемых и исполняющихся на электронных ключах. Ответ ФМС я привёл полностью из "любви к искусству": так и представляю себе чиновника, пишущего этот ответ про технологию Java, - долго, наверное, формулировки подбирал =) А по сути-то написан бред: Java в прикладной информационной системе и Java-апплеты в памяти ключа - это персонажи совсем из разных опер. А уж как там и что они в сертифицированный ключ собрались загружать – это я бы с удовольствием посмотрел. Крутые спецы в ФМС работают, ничего не скажешь . Вопрос 2. Какой объем СВОБОДНОЙ (т.е. доступной для пользователя) памяти USB-ключа необходим? Ответ. Не менее 64 КБ и не более 72 КБ. Ага, и ни килобайтом больше! Вопрос 3. Допускается ли использование носителей, поддерживающих технологию Smart Card Logon и алгоритмы RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1? Ответ. Допускается при выполнении всех требований документации. Отличный ответ: ненужные на самом деле требования можно не выполнять, если они выполнены. Вопрос 4. USB-ключи закупаются для ЭЦП, для чего необходимо использование интерфейсов SSL v3 и IPSec/IKE? Ответ. Доступ уполномоченных лиц в ФГИС ФМС России осуществляется, в том числе, посредством защищенного удаленного доступа с использованием протоколов SSL и IPSec/IKE, при этом аутентификация пользователей осуществляется посредством сертификатов ЭП. Не видел, конечно, я их систему, но как-то сомнительно. Вопрос 5. Требование наличия Microsoft CCID подразумевает использование USB-ключей без какого-либо дополнительного ПО, однако, по условиям сертификации ФСТЭК программно-аппаратного комплекса (ПАК) установка дополнительного ПО необходима. Возможна ли поставка решения, в соответствии с сертификацией которого, все необходимые для работы драйвера входят в состав сертифицированного программно-аппаратного комплекса? Комплектность поставляемого оборудования должна соответствовать требованиям, изложенным в формуляре на сертифицированное изделие. Требования по сертификации установлены в документации об открытом аукционе в электронной форме. Отписка, а не ответ по сути. Второе разъяснение было дано 01 августа и по его итогам изменения в Технические требования уже не вносились. С этой даты новых обновлений на сайте пока больше нет. Сам аукцион состоится 23.08.2012 в 11:30 – посмотрим, чем закончится эта история… [box type=”info” style=”rounded”]UPD. 23.08.2012 Чуда не произошло: Логика - Пила, счёт 0:1.[/box] Изображение: http://byaki.net/kartinki/7520-podvodnyjj_mir.html