Свежие посты   По годам   По датам
  • 30 Мая 2012 » Сертифицированные межсетевые экраны (часть 4)
    Продолжая обзор сертифицированных межсетевых экранов, мы всё ближе подходим к концу реестра ФСТЭК, а это означает, что актуальных решений будет становиться всё больше. Итак, в четвертой части обзора (все части) вашему вниманию предлагаются: ЗАСТАВА, Континент, Атликс-VPN, ESET NOD32 Firewall и Altell NEO. Открывает сегодняшний парад сертифицированных средств межсетевого экранирования разработка компании Элвис-Плюс – семейство продуктов ЗАСТАВА. Свою историю ЗАСТАВА ведёт аж с 1997 года, что вообще-то могло бы предполагать высокое качество и проработанность продукта, но так как это российское сертифицированное программное обеспечение, обычная (без сертификатов) версия которого даже и не поставляется, то ситуация немного иная. Взять, к примеру, ту же Cisco: несертифицированные версии вполне себе продаются, а вот ЗАСТАВЫ, как, кстати, и многих других продуктов этого обзора, без голограммы ФСТЭК в продаже найти не удастся. Вообще, компаний, продающих ЗАСТАВУ совсем немного, что по моему субъективному мнению может означать практическую сложность внедрения и низкую степень распространённости ЗАСТАВЫ. Действительно, при комплексном внедрении ЗАСТАВЫ потребуется приобрести не только дополнительные сервера, но и сторонние продукты, такие как лицензии КриптоПро, электронные замки (Соболь/Аккорд), а то и вовсе полноценный удостоверяющий центр (УЦ КриптоПро). Обилие сертификатов (6 штук) на различные варианты ЗАСТАВ простоты в конфигурации решения тоже не добавляет. В общем, посоветуйтесь со своим интегратором, прежде чем принимать решение о покупке. Следующий в списке – АПКШ «Континент». Опять-таки российский, не имеющий несертифицированного исполнения, но хотя бы с внятным модельным рядом и единым сертификатом (№1905 от 10.09.2009). Небольшая путаница только с клиентом для рабочих мест – Континент-АП, для которого действуют три разных сертификата. Важно отметить, что этот абонентский пункт (АП) как самостоятельное решение применяться не может – обязательно потребуется аппаратно-программный Континент, так что его использование в качестве персонального МЭ затруднительно. Кстати, и сам АПКШ «Континент» достаточно редко используется именно как межсетевой экран по причине высокой цены. Его удел – это всё же построение распределённых защищённых сетей с шифрованием по ГОСТ, благо соответствующие сертификаты ФСБ имеются. Вообще, с АПКШ «Континент» знаком очень хорошо, но при этом особо ничего плохого, кроме разве что пары забавных баек, про него сказать не могу: из всех аналогичных отечественных изделий он, пожалуй, один из лучших. Ну, устарел, конечно, и функционально от современного оборудования отстаёт, зато сертификаты высокого уровня, а в новой версии 3.6, глядишь, год-другой отставания и сократят. Редкий гость новостных сайтов Атликс-VPN разработки ФГУП «НТЦ «Атлас» формально имеет сертификат как межсетевой экран, но является пришельцем с другого сегмента рынка: средства для создания высокозащищённых виртуальных частных сетей с использованием российских криптографических алгоритмов. Приведу лишь несколько любопытных моментов с сайта продукта и пойдём дальше. Аналоги: неизвестны. Базовая цена: от 231 044 руб. (интересно, кстати, откуда 44 рубля взялись?) Время на изготовление: до 2-х месяцев Формально ещё действующий сертификат на следующий межсетевой экран ESET NOD32 Firewall, похоже, продлеваться не будет, так как даже описания такого продукта на сайте разработчика найти не удалось, а как славно всё начиналось в 2008 году. Далее идёт Altell NEO версии 1.0 с достаточно слабым сертификатом МЭ4 и без НДВ, что для российских разработок вообще говоря не очень характерно. Ситуация была исправлена буквально в этом месяце и на новую версию Altell NEO версии 1.5 получены сертификаты МЭ3 и НДВ3. Что касается самого продукта и его функционала, то после прошлогоднего поста к изучению данного изделия не возвращался, а коллеги из АльтЭль всё так же предлагают звонить… Все сертифицированные межсетевые экраны из этой части обзора внесены в таблицу. Продолжение следует…

  • 24 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (20/2012)
    Предстоящее изменение записей в моей трудовой книжке немного отвлекло меня от ведения блога, поэтому с небольшой задержкой, но всё же представляю вашему вниманию очередной перевод обзора от компании Fortinet. Атаки на отказ в обслуживании, видимо, можно назвать основным трендом прошлой двадцатой недели 2012 года, хотя, как ни странно, далеко не для всех из них можно указать конкретные мировые хакерские группировки, являющиеся их организаторами. Помимо этого, технологические гиганты Apple и Google сделали важный вклад в безопасность, выпустив целый набор обновлений, а «первый киберцарь» США сообщил, что покидает государственную службу. Представляем основные события за период 14-18 мая. Apple закрывает уязвимости серией обновлений. Всю прошлую неделю компания Apple была занята «латанием дыр», начав с исправления недостатков в старой версии своей операционной системы Leopard (Mac OS X 10.5), повышая её защищённость от пресловутого Flashback Trojan. Выпущенное обновление удаляет наиболее распространённые варианты вредоносного Flashback Trojan в ОС Leopard и отключает Java-плагин по умолчанию в web-браузере Safari. Другое обновление, также представленное Apple на прошлой неделе, отключает устаревшие версии проигрывателя Adobe Flash Player, а затем направляет пользователей на сайте Adobe для скачивания его свежей версии. Позднее на этой неделе Apple ещё больше повысила защищённость, выпустив патч для QuickTime, исправляющий в общей сложности 17 различных уязвимостей, многие из которых позволяли злоумышленникам удалённо атаковать компьютеры пользователей и красть их данные или выполнять атаки типа «отказ в обслуживании». Типичная атака, использующая описываемые уязвимости, начиналась с отправки мультимедийного файла Quicktime и обманного принуждения пользователя к его открытию методом социальной инженерии. Оновление Quicktime до версии 7.7.2 исправляет уязвимости в Windows 7, Vista, Windows XP SP2 и более поздних версий. «Анонимусы» открыли огонь на DDoS-поражение индийского правительства. Глобальная группа хакеров Anonymous направила своё кибервооружение против Верховного суда Индии, организовав атаку типа “отказ в обслуживании” в знак протеста против решения правительства о блокировании некоторых сайтов для обмена видео и торрентами. Помимо сайта Верховного Суда были атакованы также web-сайты Департамента телекоммуникаций, Министерства по информационным технологиям и двух партий: Индийской народной партии и Индийского национального конгресса. «Мы никак не повреждаем сами web-сайты. Мы просто хотим, чтобы сайты для обмена файлами были разблокированы», - говорится в микроблоге Twitter Анонимусов. Ближе к концу недели группа хакеров продолжила атаки во второй по численности стране мира, вызывая сбои «отказ в обслуживании» сайтов президента и индийского подразделения CERT. Анонимусы похоже также планировали совершить нападения на кинокомпанию Reliance Big Entertainment и сайт индийского правительства india.gov.in. В настоящее время все периодические уходившие «на профилактические работы» на прошлой неделе сайты полностью восстановлены и функциональны. Google исправляет множественные ошибки. Компания Google с выпуском 19 версии браузера Chrome исправила более 20 уязвимостей в его системе безопасности, восемь из которых получили рейтинг «высокий риск». Большинство уязвимостей были выявлены и исправлены в очередном обновлении, в частности, благодаря программе поощрения, в рамках которой эксперты и исследователи получают награды за обнаруженные ошибки, отправленные в компанию. В списке исправленных недостатков были и связанные с ошибками переполнения при обработке OGG и PDF, степень риска которых была признана высокой из-за открывающихся возможностей по их дальнейшему использованию для киберзлоумышленников. Чума DDoS поразила Pirate Bay и WikiLeaks. Два наиболее одиозных сайта в Интернете – The Pirate Bay и WikiLeaks – подверглись атаке отказ в обслуживании на прошлой неделе. Анонимусы подозревались в организации этого нападения, но глобальная группировка хакеров опровергла свою причастность к нападению на The Pirate Bay. Последние же на своей странице в Facebook сообщили, что имеют определённые предположения о тех, кто стоял за атакой, но считают, что это скорее всего действительно не Анонимусы. Подозрения, впрочем, не были совсем беспочвенными: The Pirate Bay в последнее время достаточно критически публично отзывались об акции Анонимусов против web-сайта Virgin Media. Между тем, известный своими публикациями секретной переписки сайт WikiLeaks на прошлой неделе подвергся шквальной DDoS-атаке, в результате которой новые публикации пришлось даже временно перенести на другой зеркальный сайт. Оба сайта уходили в офф-лайн на достаточно длительные периоды времени всю прошлую неделю, но, похоже, полностью восстановили свою работу на этой. До настоящего времени организатор атаки остаётся неизвестным и пока ещё никто не взял на себя ответственность за неё. Первый киберцарь США выходит на пенсию. Говард Шмидт (Howard Schmidt), часто называемый «первым киберцарём», назначенный в своё вермя на должность в Белом Доме президентом Обамой, объявил о своих планах уйти в отставку после чуть более двух лет работы в Белом Доме и более сорока лет в индустрии информационной безопасности. Шмидт пришёл в Белый Дом, имея за плечами богатейший опыт в области кибербезопасности, ранее работая, в частности, на должности директора по IT-безопасности (CISO) в Microsoft, а также на высших государственных должностях в сфере информационной безопасности при президенте Джордже Буше. Шмидт, который подаёт в отставку в конце этого месяца, является одним из идейных вдохновителей разработки национальной стратегии достоверного установления личности в киберпространстве (Trusted Identities in Cyberspace) – инициативы, которая направлена на внедрение альтернативных методов аутентификации для онлайн проверки пользователей. В частности, данная инициатива позволит пользователям применять сквозную однократную аутентификацию при использовании различных сервисов в сети Интернете. Считается, что разрабатываемый механизм будет более безопасным, чем большинство нынешних технологий аутентификации. [hr]

  • 23 Мая 2012 » Hack the Lab от Stonesoft
    Компания Stonesoft уже не первый год проводит мероприятие под названием "Hack the Lab", в рамках которого участникам предлагается ближе познакомиться с миром хака, взлома и проникновения. В очередном Hack the Lab, проводившемся на прошлой неделе в Хельсинки, в числе других представителей официальной (СМИ) и неофициальной (блоггеры) прессы довелось принять участие и мне. Первый день двухдневного тренинга начался с общего введения в проблематику хакерства, после чего мы приступили непосредственно к выполнению заданий. В тестовой лаборатории был сымитирован сегмент сети некоей компании, занимающейся приготовлением и доставкой бургеров. Мы же, играя роль хакеров, находились как бы в сети Интернет и знали только адрес публичного web-сервера. Нашей задачей было добыть секретный рецепт бургера, проникнув во внутреннюю сеть компании. Быть может, более продвинутым коллегам было не так интересно, но мне очень понравилось сканировать порты, выявлять версии используемого программного обеспечения, применять к ним эксплойты и получать доступ к самым различным ресурсам - от базы данных всех кредитных карточек до рабочих станций администраторов сети. Основное, чему учишься, выполняя взломы под чутким руководством финских коллег, это то что: защита должна быть эшелонированной, так как уязвимость, например, в публичном web-сервере позволяет уже от его имени пробраться глубже внутрь корпоративной сети, где средства защиты в отличие от периметра применяются всё же далеко не всеми. защита обязательно должа включать в себя непрерывный мониторинг событий информационной безопасности, так как любая аномалия в сети - это хороший повод проверить текущее состояние дел и, возможно, успеть предотвратить проникновение. ну, и наконец, идеального программного обеспечения не бывает: ломали мы самые разные системы, пусть даже и умышленно непропатченные для облегчения нашей работы. Не то чтобы это были вновь открываемые истины, но в ходе Hack the Lab знакомишься с ними как то особенно тесно. Кстати, все наши взломы и проникновения в режиме реального времени отображались на большом экране, куда было выведено окно логов StoneGate IPS, настроенной на работу в режиме детектирования. Во второй день нас ждал подробный рассказ о динамических техниках обхода (AET - advanced evasion techniques), с помощью которых злоумышленник может обойти системы предотвращения вторжения и атаковать уязвимый сервер или рабочую станцию внутри сети. Применение AET было нам наглядно продемонстрировано только на примере оборудования от McAfee, но лишь по причине ограниченности времени - по словам специалистов Stonesoft, продукты всех ведущих разработчиков пропускают атаки с применением AET. Кроме того, из-за особенностей самих техник, внедрение "противоядия" от них требует очень серьёзных переработок в ядре самой системы предотвращения вторжения, что, естественно, не может быть выполнено быстро. Именно поэтому, отдельные вендоры предпочитаю просто не обращать внимание на проблему AET и делать вид, что ничего не происходит, используя знаменитую защиту Чубаки: Tема AET, вообще, очень интересна, хотя и не так проста для понимания. В одном из следующих постов постараюсь к ней обязательно вернуться. В заключении хочу ещё раз поблагодарить коллег из Stonesoft за приглашение! Кстати, вот впечатления ещё одного участника - Евгения Царёва. Изображение: http://3.bp.blogspot.com/_WwuuFlhlZSg/TONscXO1XgI/AAAAAAAAAM8/EfLEorEhAe4/s1600/chewbacca_defense.jpg

  • 16 Мая 2012 » Сертифицированные межсетевые экраны (часть 3)
    Продолжаем обзор сертифицированных межсетевых экранов (все части). Сегодня на очереди экзотический ФПСУ-IP, бессчётные Cisco, малоактуальные Proventia, Z-2 и Microsoft ISA Server 2006, а на закуску - ViPNet от Инфотекса. Следующий сертифицированный межсетевой экран в реестре ФСТЭК с актуальным сертификатом на серию – «ФПСУ-IP/Клиент», сертифицированный по классу МЭ5 сам по себе и по МЭ3 в связке с базовым МЭ «ФПСУ-IP». Разработка ООО “АМИКОН” – штука весьма специфическая. Судя по описанию на сайте - это целая экосистема с собственным крипто-шлюзом, крипто-ядром и даже USB-ключом для аутентификации. Заявлено внедрение более 15 000 экземпляров в защищённых информационных системах Банка России, Сбербанка РФ, ОАО ЛУКОЙЛ, АКБ «Альфа Банк» и в ряда других организаций. Партнёрской сети у АМИКОНа замечено не было, продажи, видимо, идут напрямую, так что особо про продукт сказать нечего – ареал его обитания как-то не очень пересекается с моим. Отмечу лишь, что в одном из вариантов исполнения «ФПСУ-IP» используется “собственная 32-разрядная DOS-подобная ОС”, а интерфейс вызывает приятные ностальгические воспоминания о студенческих годах и моих первых шагах в программировании: Тем не менее, продукт развивается, в декабре даже новая версия вышла. Кстати, в реестре ФСТЭК сертификат №1091 на сам «ФПСУ-IP» значится как просроченный, но на сайте разработчика висит уже его обновлённый вариант. Далее по списку опять сертифицированный межсетевой экран от Cisco. Модуль Cisco FWSM для коммутаторов Cisco Catalyst 6500 и маршрутизаторов Cisco 7600 сертифицирован серией по 4 классу для МЭ и на соответствие ТУ. Не являюсь специалистом Cisco, но вроде бы модуль жив и продаётся. А чтобы уже закончить с решениями от Cisco, вместе с этим модулем внёс в таблицу все остальные маршрутизаторы и коммутаторы Cisco, сертифицированные серией как межсетевые экраны: Cisco 1800, Cisco 2800, Cisco 3800, Cisco 7200, Cisco 7600, Cisco 3750, Cisco 1841, Cisco 2811, Cisco 6509, Cisco 3825, Cisco 2900, Cisco 3900, Cisco 3925E и Cisco 881. К слову, видно, что на некоторые модели сертификаты продлевались, а на некоторые (не попавшие в таблицу) – нет. Для конкурентов, размышляющих над целесообразностью сертификации своих моделей – отличная информация к размышлению, ну а мы движемся дальше. Говоря о сертифицированных межсетевых экранах, нельзя не упомянуть Proventia Server и Proventia Desktop, сертификаты на которые, полученные в своё время ЗАО НИП «Информзащита» продолжают действовать. Популярное некогда решение от компании ISS после покупки последней компанией IBM, судя по всему, переживает не самые лучшие времена, так что возьму на себя смелость поставить под сомнение актуальность этих 1000 и 300 сертифицированных экземпляров. На Proventia, кстати, есть и более новые сертификаты, но в них уже не прописан класс МЭ. Следующий сертифицированный межсетевой экран в очередной раз демонстрирует сложности установления актуальности отечественных разработок. Творение Инфосистем Джет - межсетевой экран «Z-2» - имеет действующий сертификат. Некоторые компании до сих пор его предлагают на своих сайтах и даже приглашают на курсы, но продукт, видимо, снят с продаж, хотя никаких анонсов, как это обычно бывает, об этом не было. На мысль о неактуальность наводят наличие лишь очень старых описаний и новостей. Полагаю, смысла включать Z-2 в таблицу нет. Точно также пропустим и сертифицированный межсетевой экран Microsoft ISA Server 2006 SE. Его вроде бы ещё можно купить, но будет ли кто-то это добровольно делать? Завершим же сегодняшнюю часть обзора, не в обиду ранее упомянутым компаниям будет сказано, одним из действительно серьёзных отечественных игроков рынка сертифицированных межсетевых экранов. Компания Инфотекс не первый год вполне себе успешно поставляет продукты семейства ViPNet. Актуальные сертификаты на межсетевые экраны есть для ViPNet CUSTOM 3.1, ViPNet Coordinator HW и ViPNet Office 2.2. ViPNet CUSTOM – это целое семейство решений и без анализа задания по безопасности судить о сертифицированном функционале достаточно сложно, но, по идее, за межсетевое экранирование отвечают вот эти компоненты: ViPNet Coordinator (Windows) – программный сервер защищенной сети ViPNet, устанавливаемый на ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит). ViPNet Coordinator (Linux) – полнофункциональный программный сервер защищенной сети ViPNet, устанавливаемый на ОС Linux с ядрами 2.4.2/31 -2.6.2/32 (дистрибутивы RedHat, Suse и др.) ViPNet Client (Клиент) – программный комплекс для ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищённой почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. ViPNet Coordinator HW – это аппаратный криптошлюз и межсетевой экран, поставляемый в модификациях HW-VPNM, HW100, HW1000 и HW2000 (последний вариант, правда, сертификата ФСТЭК по каким-то причинам не имеет). По сути своей все ViPNet Coordinator HW – это аппаратные платформы с залитым дистрибутивом Linux и программным обеспечением ViPNet Coordinator Linux. Данные «железные» варианты исполнения ViPNet Coordinator появились сравнительно недавно как ответ на продуктовую линейку АПКШ «Континент» извечного конкурента – «Кода Безопасности» (ГК «Информзащита»), имеющего в своём портфеле исключительно аппаратные криптошлюзы. Наконец, ViPNet Office – это программный межсетевой экран, предназначенный для небольших и средних организаций. Вот только его текущая версия 3.1 сертификата ФСТЭК пока не имеет (только ФСБ) и как сертифицированный межсетевой экран использоваться не может, а версия 2.2 имеет сертификат ФСТЭК, но не сертифицирована в ФСБ. В общем, чехарда с версиями и сертификатами наводит на мысль о сомнительной актуальности этого решения как сертифицированного межсетевого экрана. Говоря в целом, нужно отметить, что с использованием продуктов VipNet можно комплексно защитить произвольное число локальных сетей и рабочих станций, но, судя по личному опыту настройки и известным мне сравнительным анализам, решение от Инфотекс имеет определённые неудобства эксплуатационного характера. Тем не менее, ViPNet прочно «засел» в некоторых рыночных нишах (РЖД, ТФОМС, Сбербанк), косвенным доказательством чему, например, является их прямое упоминание на этой вот Схеме голосового набора: Все сертифицированные межсетевые экраны из этого и предыдущих обзоров уже в таблице. Продолжение следует…

  • 15 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (19/2012)
    Новая неделя и новый обзор от специалистов Fortinet, посвящённый основным событиям информационной безопасности. Обновления, опять обновления и, ну надо же, патчи! Завершившаяся 19 неделя года 7-11 мая ознаменовалась серьёзными обновлениями, выпущенными крупными игроками рынка. Теперь наиболее распространённые операционные системы, web-браузеры и приложения стали чуть более безопасными. Представляем основные новости информационной безопасности за неделю. Три критических обновления во «вторник патчей». В своём регулярном вторничном обновлении по безопасности компания Microsoft представила в общей сложности семь бюллетеней, три из которых получили рейтинг «критический». Всего же было исправлено 23 уязвимости в Microsoft Windows, Office, Silverlight и .NET Framework. В своём блоге Microsoft акцентирует внимание на установке критического обновления MS12-034 для исправления 10 уязвимостей в Office, Windows, .Net Framework и Silverlight. Данные уязвимости подвергали пользователей опасности быть атакованными при открытии заражённого документа или посещении заражённого web-сайта, в которых используются внедрённые файлы шрифтов TrueType. Кроме того, Редмонд рекомендует пользователям повысить приоритет установки патча, исправляющего другую уязвимость в Microsoft Word, также считающуюся критической. Данная уязвимость позволяет хакеру удаленно выполнить вредоносный код, когда пользователь открывает специально подготовленный файл RTF, доставленный ему, например, по электронной почте. Побудить пользователя к открытию файла злоумышленник может при помощи какого-либо метода социальной инженерии. Сайт Amnesty International заражал трояном Ghost RAT. На прошлой неделе сайт организации по борьбе за права человека Amnesty International стал жертвой хакеров, которые внедрили вредоносное программное обеспечение, заражавшее ничего не подозревающих посетителей сайта троянской программой Gh0st RAT. Для заражения хакеры использовали известную уязвимость Java. По словам исследователей из Websense, обнаруживших данную атаку, в код сайта Amnesty International был внедрён Java-скрипт, загружавший Gh0st RAT на «непропатченные» Windows-машины посетителей web-сайта. В случае успешной загрузки и установки троян позволял похищать финансовую, личную и другую конфиденциальную информацию с компьютера жертвы, включая данные учётных записей и пароли к ним. В настоящее время вредоносное программное обеспечение с сайта Amnesty International удалено полностью. Троянец Gh0st RAT, впервые обнаруженный в прошлом году, относится к так называемым Advanced persistent threat (APT), угрозам, включающим в себя многочисленные сложные методы атак. Считается, что Gh0st RAT был создан по инициативе китайских хакеров, известных в частности получившей название "Nitro" атакой на энергетические компании в 2011 году. Adobe пересматривает подход к платам за обновления. Хорошая новость заключается в том, что компания Adobe выпустила на прошлой неделе крупное обновление безопасности, закрывающее, среди прочего, уязвимость в Photoshop 12 (Creative Suite 5) как для Windows, так и для Mac платформ. Проблема же заключалась в том, что пользователям пришлось бы заплатить за это обновление. Описываемая уязвимость возникает при обработке TIFF-изображений и в случае успешной атаки предоставляет злоумышленникам возможность удалённого выполнения вредоносного кода для получения доступа к сетевым ресурсам с правами самого пользователя, открывшего заражённый TIFF-файл. Однако, вместо разработки отдельного патча, компания Adobe сообщила, что исправление будет включено в обновление программного обеспечения до последней платной версии Photoshop CS6. Данное заявление вызвало резко негативную реакцию со стороны пользователей, недовольных тем, что их вынуждают платить за ошибки в программном обеспечении, совершённые самой Adobe, поэтому идя навстречу пожеланиям Adobe сообщила всё же в итоге, что сейчас готовит к выпуску бесплатный патч. Apple выпускает обновления системы безопасности. На прошлой неделе компания Apple выпустила обновление, исправляющее четыре уязвимости в web-браузере Safari и блокирующее запуск старых уязвимых версий проигрывателя Adobe Flash Player. Обновление относится к Safari 5.1.7 для Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X v10.7.4 Lion Server, OS X v10.7.4 Lion, Windows 7, Vista, XP SP2 или более поздней версии. Помимо прочего, последнее обновление от Apple предотвращает доступ к Safari проигрывателя Adobe Flash Player 10.1.102.64 и более ранних версий, так как Adobe уже выпустила Flash Player 11 для Mac. В дополнение к предотвращению запуска старых версий Flash Player в браузере Safari, обновление исправляет четыре уязвимости в WebKit, движке рендеринга с открытым исходным кодом, на базе которого построены и Safari и Google Chrome. Данные уязвимости делали возможными атаки межсайтового скриптинга и вызывали ошибки при работе с оперативной памятью. Одна из уязвимостей, исправленных обновлением, как сообщает Computerworld, была выявлена участником конкурса Pwnium, организованном Google в рамках конференции CanSecWest в марте этого года. Победитель получил денежный приз в $60,000 за успешное использование уязвимости в браузере Chrome. U.S. Computer Emergency Readiness Team предупреждает, что несвоевременная установка обновления может привести к тому, что злоу

  • 11 Мая 2012 » Сертифицированные межсетевые экраны (часть 2)
    В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК) мы остановились на продукте «ИВК Кольчуга». Итак, судя по описанию на сайте, ИВК Кольчуга представляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль, только там сразу ещё и аппаратная платформа поставляется. Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия. В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал. Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIX на МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения. Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающим разрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях. Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО “АМТ-Груп”, будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки, так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535 и добираемся до Cisco ASA. Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520 и 5540 по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505 или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице. Продолжение следует…

  • 10 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (18/2012)
    Короткая российская рабочая неделя, заканчивающаяся третьей подряд рабочей субботой, вносит хаос и сумятицу в ряды офисных сотрудников. Попробуем настроиться на рабочий лад чтением очередного обзора от специалистов Fortinet. Тон событиям в области информационной безопасности на этой 18й неделе года задавали множественные уязвимости. Так, компания Adobe исправила критическую ошибку в Flash, а эксперты по безопасности предупредили об обнаруженных «дырах» в PHP. Intel между тем, похоже наконец-то решила, что делать с ранее приобретённой McAfee. Представляем очередной обзор событий информационной безопасности. Adobe выпускает критический патч. Компания Adobe на прошлой неделе выпустила исправление для уязвимости в Flash, которая играла ключевую роль в атаках на Windows-версию Flash, используемую в web-браузере Interner Explorer. В целом, последние обновления безопасности Adobe для платформ Windows, Mac, Linux и Android направлены на исправление уязвимостей, позволявших хакерам удалённо осуществлять DOS-атаки (атаки вида «отказ в обслуживании»), приводившие к сбоям в системах пользователей и позволявшие получать доступ к удалённому управлению компьютерами пользователей для последующей кражи личных данных и информации. Согласно последним распространённым отчётам данная уязвимость активно используется при адресных атаках, когда пользователя обманом с применением методов социальной инженерии заставляют запускать заражённые файлы, присланные по электронной почте. Ошибка в PHP открывает путь для атак. На прошлой неделе U.S. Computer Emergency Response Team предупредила о критической уязвимости в PHP, позволяющей удалённо выполнить вредоносный код, что может рассматриваться как возможный инструмент для проведения атак на web-сайты, использующие уязвимую версию PHP. В частности, уязвимость возникает при обработке параметров строки запроса из PHP-файлов. Когда широко используемый для web-разработок язык сценариев PHP используется в связке с CGI, в исполняемый код передаются параметры строки запросов, которые из-за выявленной ошибки в PHP могут обрабатываться скриптом таким образом, что позволят злоумышленнику совершить удалённую атаку. В случае успешности атаки хакеры могут использовать брешь для получения финансовой или иной конфиденциальной информации, запуска сбоя системы, проведения атаки отказа в обслуживании или выполнения вредоносного кода с привилегиями web-сервера, что даст им возможность взять под свой контроль всю систему целиком. Команда, которая обнаружила ошибку, сообщила, что они ожидали выхода патча для PHP уже в течение нескольких месяцев и не сообщали об уязвимости широкой общественности. Тем не менее, по чьей-то случайности помеченная как «закрытая» ошибка в PHP была перенесена в категорию «публичных» и в конечном итоге была опубликована в Reddit. Google знала о сборе данных автомобилями Street View. Кто бы мог подумать? На прошлой неделе FCC опубликовала доклад, согласно которому Google действительно знала, что её автомобили, разъезжающие по улицам и фотографирующие местность для сервиса Street View, занимались съёмом данных с личных Wi-Fi-маршрутизаторов на протяжении добрых трёх лет до того, как это стало всем известно в апреле 2010 года. Первоначально, в 2007 году, выяснилось, что Google сканировала идентификаторы (SSID) и MAC-адреса, но впоследствии выяснилось, что собиралось больше информации: e-mail адреса и даже пароли. В ходе расследования FCC вскрылось, что один из инженеров Google обсуждал со старшим менеджером вопрос сбора личной информации пользователей из беспроводных сетей street-view-мобилями в период с мая 2007 по май 2010 года. Тем не менее, не доказано, что любопытство Google нарушало законодательство, а FCC пока не может предоставить достаточно доказательств того, что поисковый гигант незаконно использовал собранную информацию. Спустя почти два года Intel раскрывает свои планы относительно McAfee. Intel поделилась планами по встраиванию в свою продуктовую линейку решений компании McAfee, приобретённой ранее, как это впервые было объявлено летом 2010 года, за 7.6 миллиарда долларов. Основное направление интерграции согласно заявлению связано с облачными технологиями. В частности, Intel сообщила, что планирует интегрировать разработку McAfee для управления политиками в физических, виртуальных и облачных средах – ePolicy Orchestrator (ePO) – в собственные устройства обеспечения безопасности, оснащённые Intel Trusted Execution Technology (Intel TXT). Встроенные проверки и управление политиками Intel TXT также могут быть интегрированы с решением Management for Optimized Virtual Environments AntiVirus (MOVE AV), предлагающим набор стандартных защитных механизмов, включающих антивирус, а также средств повышения производительности и эффективности использования виртуальных рабочих станций и серверов. Кроме того, процессорный гигант заявил, что планирует использовать Cloud Security Platform (CSP) от McAfee в целях повышения безопасности при использовании мобильных устройств и центров обработки данных. Предлагаемый функционал защиты будет дополнять Deep Defender – совместная разработка Intel и McAfee, обеспечивающая на аппаратном уровне защиту с использованием встраиваемой в процессоры технологии виртуализации Intel. Deep Defender эффективен при обнаружении угроз, которые трудно выявить традиционными механизмами безопасности операционных систем. Android вновь стал мишенью для атак. Пользователи Android при посещении заражённого сайта могут стать жертвами атаки со стороны вредоносного программного обеспечения, самостоятельно скачивающегося в фоновом режиме. Новая атака, получившая название NotCompatible, реализуется с использованием встраивания IFRAME в заражённые сайты. Автоматически скачанное вредоносное программное обеспечение впоследствии устана

  • 04 Мая 2012 » Отличный сервис по рисованию анимированых gif
    Адрес: http://gifovina.ru/

  • 04 Мая 2012 » Сертифицированные межсетевые экраны (часть 1)
    Сегодня межсетевой экран – это один из немногих компонентов системы информационной безопасности, принуждать приобретать который практически никого не надо. Даже систему предотвращения вторжений уже нужно активно продавать, а, например, до внедрения системы мониторинга событий информационной безопасности некоторые компании и вовсе, что называется, «не доросли». Зато межсетевой экран покупают и крупные компании и небольшие организации, даже домашние пользователи понемногу привыкают к «сетевым экранам», «файерволам» и прочим дополнениям к антивирусам.

  • 02 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (17/2012)
    Пока у нас майские праздники и почти повсеместная расслабленность, злоумышленники не дремлют, как, впрочем, и доблестные борцы с ними =) Представляю очередной перевод обзора событий информационной безопасности от компании Fortinet. Атакам на этой неделе подвергалось буквально всё – от Mac OS X до серверов баз данных Oracle. Тон событиям задавали также проблемы с утечками учётных данных пользователей и процесс принятия спорного законопроекта об обмене информацией. Утечка исходного кода VMware. На прошлой неделе компания VMware подтвердила факт утечки, в результате которой в сети был опубликован исходный код ESX гипервизора, и сообщила, что публикации могут быть продолжены. Ответственность за случившееся взял на себя хакер под псевдонимом Hardcore Charlie, известный также своим заявлением о причастности к взлому сети военного подрядчика China National Import & Export Corp (Китайская Национальная Экспортно-Импортная Компания), совершённому ранее в этом месяце. «Общедоступность исходного кода не обязательно означает, что для клиентов VMware возникли дополнительные риски. VMware всегда активно делилась своими исходными кодами при взаимодействии с другими участниками отрасли с целью расширения области применимости средств виртуализации», - заявил в своём блоге Иэн Малхолланд (Iain Mulholland), директор VMware Security Response Center. Хакер Hardcore Charlie в своём твиттере поделился планами публикации исходных кодов EMC, которыми он по его словам обладает. Microsoft усиливает парольную защиту сервиса Hotmail. Редмондская компания доработала на прошлой неделе службу восстановления паролей почтового web-сервера Hotmail, исправив уязвимость из-за которой опасности подвергались учётные записи более чем 360 миллионов пользователей. Ошибка в программном обеспечении позволяла злоумышленникам, в частности, использовать расширение для браузера Firefox для удалённого сброса пароля от учётной записи Hotmail путём модификации отправляемых данных, а также автоматически распознавать символы защитного механизма CAPTCHA при помощи модуля MSL Live Hotmail. После нажатия кнопки «Reset» хакеры могли подменять запрос и вводить собственные данные в запрос о сбросе пароля. К счастью для 360 миллионов пользователей Hotmail, ошибка была обнаружена и исправлена достаточно быстро. В Microsoft узнали об уязвимости 20 апреля и выпустили обновление уже на следующий день. Широкая общественность об исправлении была информирована ещё в конце прошлой недели. Нижняя палата конгресса США приняла CISPA. Спорный законодательный акт Cyber Information Sharing and Protection Act (CISPA) с 248 голосами «за» и 168 «против» был принят на прошлой неделе Палатой представителей США (The United States House of Representatives), несмотря на негативную общественную реакцию со стороны защитников частной жизни и представителей научных кругов, которые утверждали, что этот акт нарушает неприкосновенность права тайны частной жизни. Законопроект, поддерживаемый такими компаниями как Facebook, AT&T, Intel и рядом других торгово-финансовых и технологических организаций, помимо прочего предоставляет федеральному правительству широкую свободу действий в обмене секретной информацией о киберпреступниках и киберугрозах с компаниями США. Одновременно CISPA устраняет многие ограничения на обмен информацией между самими коммерческими компаниями. Главный сторонник законопроекта и его разработчик Майк Роджерс (Mike Rogers) расценивает случившееся как важный шаг в правильном направлении обеспечения комплексной защиты сетей США от киберпреступников из России и Китая. Тем не менее, противники CISPA, в том числе Центр демократии и технологий (Center for Democracy and Technology), а также Американский союз гражданских свобод (ACLU), называют применительную базу законопроекта «слишком размытой» и утверждают, что он будет использоваться для нарушения свобод и прав на частную жизнь обычных пользователей Интернета. Критические проблемы у Oracle. Критическая уязвимость во всех версиях сервера базы данных Oracle, позволяющая удалённо выполнять произвольный код, остаётся неисправленной до конца даже после выпущенного компанией накануне критического обновления Critical Patch Update (CPU), сообщается в отчётах за прошлую неделю. Из-за ошибки в службе TNS Listener, отвечающей за перенаправление запросов на соединение от клиента к серверу, злоумышленники могут перехватить трафик сервера и выполнить в системе произвольный вредоносный код. Уязвимость, которой подвержены все версии Oracle 8i, 9i, 10g и 11g (11g R2), позволяет получать полный контроль над данными, передаваемыми между сервером и клиентами, подменять сессии пользователей и внедрять в них произвольный код и данные. В апрельском обновлении Oracle уже исправляла ошибки в TNS Listener, но, как выяснилось, исправление не применимо к текущим версиям базы данных Oracle, в результате чего многие пользователи остались беззащитными перед атаками, эксплуатирующими эту уязвимость. Новый вариант Flashback атакует Mac. Очередной вариант троянца Flashback был обнаружен на инфицированных машинах пользователей Mac OS X на прошлой неделе. На этот раз компания Intego, специализирующаяся на разработках по обеспечению безопасности Mac, сообщила о вредоносном программном обеспечении, устанавливающемся на компьютеры пользователей Mac без необходимости ввода пароля. По словам представителей Intego, новая версия Flashback, известная как Flashback.S, копирует себя полностью в одну из домашних папок пользователя, содержащих ~/Library/LaunchAgents/com.java.update.plist или ~/.jupdate, после чего удаляет всё содержимое папки ~/Library/Caches/Java/cache, чтобы стереть вредоносный java-апплет из заражённого Mac и избежать обнаружения себя антивирусными программами. Троянец Flashback,