Свежие посты   По годам   По датам
  • 23 Апреля 2012 » Ой, он и меня посчитал!
    "Большая и уважаемая" компания IDC имеет весьма и весьма специфичный взгляд на рынок информационной безопасности. Вот, например, выпустили они очередной свой отчёт (новость на CNews), в котором посчитали доли на российском рынке аппаратных решений в области информационной безопасности: Cisco - 27,1% Код Безопасности - 13,9% Аладдин - 12,2% Check Point  - 12% Juniper - 7,4% остальные - 27,4 % "Лидеры рынка", конечно, перепечатали эту новость, да вот только отчёт-то весьма и весьма сомнительный... Буквально несколько вопросов: Что такое "рынок аппаратных ИБ-решений"? Сервер с установленным ПО UserGate - это аппаратное решение или программное? А как быть с продуктами, поставляемыми в виде законченных устройств с предустановленным ПО (appliance), просто ПО (software) или виртуальных решений (virtual appliance), - их куда относить? К трём разным рынкам? Компании какого типа участвовали? Если производители, тогда при чём здесь Аладдин (правильно - Аладдин Р.Д., кстати), формально до сих пор не имеющий никакого статуса у SafeNet? Что за цифры оценивались? Суммы поставок конечным пользователям в розничных ценах? А кто тогда из них стоимость очень часто включаемых услуг по внедрению вычитал? Как можно суммировать рынки межсетевых экранов, средств аутентифкации и электронных замков? Хотя, вроде как электронные замки не учитывались вовсе: "В терминологии IDC рынок аппаратных решений информационной безопасности два основных функциональных сегмента: решений по защите внешнего периметра и решений по аутентификации. В первый сегмент входят решения класса FW/VPN, IDS & IPS, UTM, Content Management, во второй – токены и смарт-карты, помогающие обеспечивать более надежную идентификацию пользователей при доступе к информационным ресурсам." В общем, отчёт хоть и занятный, но абсолютно не показательный. С таким же успехом можно было в соответствующем каталоге Яндекса аппаратные решения искать и по тематическому индексу цитируемости выводы делать, например. Изображение: http://www.e-reading.org.ua/cover/90/90628.jpg

  • 18 Апреля 2012 » Как узнать номер недели в году по дате?
    Удобнее всего использовать Excel, введя в ячейку A1 дату, а в любую другую - формулу: =ЦЕЛОЕ((A1-ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3)+ДЕНЬНЕД(ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3))+5)/7)

  • 18 Апреля 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (15/2012)
    Коллеги, представляю вашему вниманию перевод еженедельного обзора от компании Fortinet, читать который, конечно, лучше в оригинале, но для экономии времени можно ограничиться и этим постом. Представляем краткий обзор событий информационной безопасности за 9-13 апреля 2012 года (неделя 15). Основными событиями прошедшей недели можно считать выпуск обновлений компаниями Microsoft и Apple, а также усилия компании HP по предупреждению своих пользователей о поставке коммутаторов ProCurve с вредоносным кодом. HP поставляла заражённые флэш-карты. На прошлой неделе компания HP распространила предупреждение для своих покупателей о том, что часть из её коммутаторов ProCurve серии 5400 были поставлены с флэш-картами, заражёнными вредоносным программным обеспечением, которое при использовании флэш-карт на обычных компьютерах может привести к потенциальной компрометации информационных систем пользователей. HP не раскрывает детали относительно конкретного типа вредоносного обеспечения и возможных негативных последствий для информационных систем, но рекомендует поступить одним из двух способов: «вылечить» флэш-карты скачав специальный скрипт с сайта HP или обратиться к поставщику для осуществления аппаратной замены. Утилита для борьбы с трояном Flashback от компании Apple. Спустя несколько недель, в ходе которых пресловутый флэш-троянец неистовствовал на компьютерах под управлением Mac OS X, Apple наконец-то выпустила утилиту для удаления наиболее распространённых вариантов трояна. Обновление поставляется как «Java SE 6 version 1.6.0_31 for OS X Lion 2012-003» и по словам Apple заменяет собой все предыдущие версии Java для OS X Lion. На практике обновление автоматически отключает использование Java-апплетов на всех компьютерах под управлением Mac OS Lion (но не Snow Leopard, хотя и содержит в себе программное обеспечение для удаления трояна Flashback и в этой операционной системе). Тем не менее, пользователи OS Lion могут легко включить Java-апплеты в настройках, если это требуется им, например, для работы с интернет-банкингом и пр. Как указывает Apple, Java-апплеты вновь будут автоматически заблокированы в случае неиспользования «в течение длительного периода времени». Данное обновление выполняет сделанное компании из Купертино на прошлой неделе обещание по выпуску исправления для решения проблемы с нашумевшим трояном Flashback, заразившим за прошедшие два месяца более 600 000 компьютеров. Microsoft выпустила критические обновления. На прошедшей неделе Microsoft исправила 11 уязвимостей, выпустив шесть пакетов исправлений, четыре из которых были отмечены как критические и включены в бюллетень безопасности Apple Patch Tuesday. Все вместе данные исправления закрывают уязвимости в Internet Explorer, Windows, .NET Framework, Forefront Unified Access Gateway, Windows Common Controls и Microsoft Office. Пользователям, которые устанавливают исправления в очерёдности, зависящей от их критичности, Microsoft рекомендует сначала применить патчи для Internet Explorer, включающие в общей сложности исправления пяти уязвимостей, наиболее опасная из которых позволяет злоумышленнику удалённо выполнить код в случае открытия пользователем специально подготовленной ссылки в браузере Internet Explorer. Microsoft также советует пользователям установить критическое обновление для Windows Common Controls, исправляющее уязвимость, позволяющую заражать компьютер пользователя вредоносным программным обеспечением при посещении заражённого сайта, переходе по ссылке из электронного письма или открытии инфицированного вложения, распространяемых как правило методами социальной инженерии. Microsoft также сообщила о планируемом прекращении поддержки п

  • 17 Апреля 2012 » Сертификат ФСБ на StoneGate SSL
    Сегодня компания Stonesoft объявила о довольно-таки знаковом событии для российского рынка информационной безопасности - "Получен сертификат соответствия ФСБ России на шлюз защиты удаленного доступа StoneGate SSL".Сертификат получен на классы КС1 и КС2. В Перечне средств защиты информации, сертифицированных ФСБ России западных продуктов в принципе немного, а уж VPN-решение и вовсе первое. Конечно, бесклиентский ГОСТовый VPN - это пока экзотика на нашем рынке, но проектов, возможно, потому и было мало, что качественных сертифицированных решений испытывался дефицит. Вообще, Stonesoft большие молодцы - своей политикой по адаптации современных продуктов обеспечения сетевой безопасности под требования отечественных регуляторов они уже сильно повлияли на устоявшийся казалось бы рынок межсетевых экранов. Их подход "Зачем выбирать между сертификатом и защищённостью - возьмите всё сразу!" работает на практике и завоевывает симпатии заказчиков. Новый сертификат ФСБ открывает компании дорогу на рынок ГОСТовых криптошлюзов, так что конкурентам нужно действовать быстро и решительно, а то после получения Stonesoft  (это событие ожидается уже в этом году) заветного сертификата ФСБ на классический не SSL-ный VPN расстановка сил на этом рынке может измениться до неузнаваемости.

  • 16 Апреля 2012 » V Межотраслевой форум директоров по информационной безопасности. Впечатления.
    Cпасибо Евгению Царёву, который меня, а точнее Тараса Злонова, пригласил на V Межотраслевой форум директоров по информационной безопасности, открывшийся сегодня. Делюсь своими впечатлениями.В самом первом форуме 2008 года мне довелось поучаствовать в качестве докладчика, а вот теперь, благодаря Евгению и своему блогу, предстал в ипостаси представителя прессы =) Сравнивая мероприятия, разнесённые во времени на пять лет (в 2009-2011 на форуме побывать не довелось), прежде всего хочу отметить рост числа участников: в далёком теперь 2008 году в том же зале стояли столы и людей присутствовало явно меньше, теперь же на плотно выстроенных в ряды стульях свободных мест было мало. Именно из-за общего количества участников в фойе, где были представлены стенды, было довольно тесно и в перерывах приходилось буквально протискиваться между коллегами и колоннами. Пожалуй, пришло время подыскивать другую площадку, попросторнее. Открыл форум и модерировал первую его часть Виктор Минин, чей опыт ведения подобных мероприятий на мой взгляд только отточился за прошедшие годы. В первой части были доклады представителей регуляторов, заказчиков, интеграторов и вендоров. Приведу вкратце содержание некоторых из них. Олег Залунин, представитель ФСБ. Как это принято, выступал без презентации, по бумажке =) Говорил о новой нормативной базе  в сфере защиты персональных данных (ПДн). По его словам, работа над проектами законов внутри ФСБ завершена и документы отправлены на согласование во ФСТЭК и Роскомнадзор. Обещал публикацию данных законопроектов на сайте ФСБ в ближайшее время. Из основных нововведений: ввод понятий "уровень защищённости" и "категория нарушителей". Как рассказал Олег, одна из идей, которую закладывали в новые документы - минимизация затрат тех операторов ПДн, которые уже привели свои системы в соответствие требованиям законодательства, а также неужесточение требований к системам защиты. Тем не менее, всем, кто уже проделал работу по выполнению устаревших теперь требований, всё равно придётся пересмотреть модель нарушителя и внести ряд других изменений (в частности, в изданные акты), связанных с новым понятием "уровень защищённости". Уже после доклада, в ходе ответов на вопросы, Олег Залунин подчеркнул, что требования будут едиными для госорганов и коммерческих компаний, а отвечая на вопрос про трансграничную передачу ПДн посоветовал "идти от практики". Виталий Лютиков, представитель ФСТЭК. Напомнил о выходе руководящего документа (РД) для систем предотвращения вторжений (IPS), обратив внимание, что впредь упор будет делаться именно на сертификацию по общим критериям (ОК) с применением оценочных уровней доверия (ОУД). Анонсировал скорый выход РД для антивирусов, а в чуть более отдалённой перспективе - модулей доверенной загрузки, двухфакторной аутентификации и DLP. Так что, сертификация по техническим условиям (ТУ), видимо, доживает свои последние год-два. Также в выступлении Виталий посетовал на "некоторых авторов статей", дезинформирующих читателей своей неправильной трактовкой изменений в законодательстве о лицензировании. На традиционный вопрос о необходимости получения лицензии при использовании средств защиты для собственных нужд прозвучал не менее традиционный ответ: "Решение о необходимости наличия лицензии принимается самостоятельно, а для официального ответа можете обратиться с официальным запросом в соответствующий территориальный орган". Затем Виталию раза четыре в разных вариациях задали один и тот же вопрос о необходимости использовать именно сертифицированных средств для защиты ПДн. Ответ каждый раз был утвердительным со ссылкой на постановление правительства №330.  - Ну, а что делать, если просто нет сертифицированных средств защиты? - Алексей Лукацкий. - Разработать! - Виктор Минин. (смех в зале) Далее выступал Алексей Лукацкий, говоривший о тенденциях в области информационной безопасности (монетизация, кибервойны и пр.), ну, да свою презентацию, думаю, Алексей у себя в блоге лучше представит. Дмитрий Костров поделился "приятной" новостью о том, что в новом разрабатываемом федеральном законе, вносящем изменения в законы "О связи" и "Об информации, информационных технологиях и о защите информации", планируется внести ряд положений, суть которых сводится к тому, что операторы связи будут обязаны закрывать доступ к сайтам в трёхдневный срок при отсутствии реакции со стороны владельцев и хостинг-провайдеров: "Решат три эксперта, что это детская порнография и - хлоп! - Facebook закрыли". Далее последовало несколько докладов от заказчиков (Северсталь, АШАН, Абсолют Банк, ВТБ24) - интересных, но малоконкретных в силу ограничений на разглашение внутренней информации, и от интеграторов (NVision Group, Инфосистемы Джет) - тоже более теоретических, чем прикладных. Завершил предобеденную сессию коллега из Avanpost с классическим "рекламным" докладом, не сумевшим, надеюсь, испортить аппетита участникам. Ведь кормить в Холидей Инн Сущевский, как я помню по 2008 году (в этот раз уехал раньше), должны более, чем достойно. Удачного всем участникам, докладчикам и организаторам завтрашнего второго дня! Надеюсь, коллеги поделятся впечатлениями от остальных выступлений.

  • 06 Апреля 2012 » Как "правильно" представить Umbrella Security российской аудитории?
    Сегодня у нас пятница и можно немного отойти от скучных и серьёзных тем. За время работы в области информационной безопасности мне довелось повидать немало презентаций зарубежных компаний, пытающихся с разной степенью успеха покорить наш отечественный рынок. Как оказалось, у всех них (презентаций) есть достаточно много общего и я с удовольствием представляю вам Типовую презентацию вымышленного иностранного бренда, выходящего на российский рынок. Итак, Обзор продуктов компании Umbrella Security Хорошего вам дня и приятных выходных!

  • 05 Апреля 2012 » Мораль подальше отложив...
    Время от времени в своём блоге я публикую достаточно, скажем так, провокационные материалы, адресованные явно или косвенно отдельным персонажам или целым компаниям. Часть из таких постов остаётся практически незамеченной, другая же вызывает обсуждения, ответные реакции, а то и вовсе выливается в те или иные офлайн последствия. При всём этом, хоть кто-то иногда невнимательно читает Disclaimer и пытается думать, что я действую как представитель конкретной компании, все мысли были и остаются сугубо моими личными оценочными суждениями. Другое дело - пресс-релизы, статьи и посты в блогах, которые пишутся от лица компании, т.е. являются официальными. Мне всегда казалось, что в официальном сообщении компании не место мелочности, дрязгам, пошлости и прочему, но мою точку разделяют далеко не все. Характерно, что раньше "публичные разборки" между конкурентами (а я сейчас говорю исключительно о рынке информационной безопасности) носили достаточно мирный характер. Вот, например, компания Аладдин Р.Д. пишет словами журналиста CNews о своих конкурентах в 2006 году: Отметим, что USB-токены, не основанные на архитектуре "смарт-карта + кард-ридер", например, ruToken, "Шипка", выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно). Технологическое превосходство над конкурентом обосновывается логически, а не на уровне эмоций, да и изложено всё достаточно корректно. А вот отрывок из интервью коммерческого директора компании Актив Дмитрия Горелова от 2004 года: Алексей Доля: Чем Rutoken отличается от своего конкурента eToken (компания Aladdin Software Security R.D.)? Дмитрий Горелов: eToken - достойный продукт. Один из первых USB-токенов, появившихся на мировом рынке. Этот идентификатор успешно продвигается на российском рынке дистрибьютором компании Аlаddin Knоwlеdge Systеms, Ltd - российской компанией Aлaддин Р.Д.. Ранее я говорил, что USB-токены сделаны на основе стандартов, пришедших из мира смарт-карт. Функционально наши идентификаторы во многом схожи, т.к. сделаны по одним стандартам. Основные отличия Rutoken от западных аналогов: полностью российское происхождение, аппаратная реализация российских криптографических алгоритмов, более низкие розничные цены. Согласитесь, вполне уважительный ответ без визга, писка и истерик. Вернёмся в наше время. Читающая личную e-mail переписку своих сотрудников компания SearchInform радостно рапортует о том, что её специалиста техподдержки пригласили пройти собеседование в компанию Инфосистемы Джет. Трудно сказать, единственный ли это случай в истории SearchInform, когда их сотрудника позвали куда-то ещё, или их доблестная система слежения сработала первый раз за время своей эксплуатации, а то может дальновидный специалист техподдержки (ну не мог же он не знать о слежке!) таким нестандартным способом решил попробовать получить определённые преференции от своего работодателя... Всё это можно только предполагать, но вот сам факт предания этого случая огласке и выбранные формулировки вполне конкретно "попахивают" чем-то неприятным: Очень надеюсь, что руководство компании Инфосистемы Джет сделает правильные выводы об этической составляющей данного поступка и предпримет соответствующие меры в отношении своих сотрудников - Марии Сигаевой и Дмитрия Кононова. Также надеюсь на публичные извинения руководства Инфосистемы Джет по факту произошедшего инцидента. Я – за цивилизованную конкуренцию. Переманивание сотрудников из конкурирующей компании я считаю недопустимым. Лев Матвеев, генеральный директор SearchInform. Наверное, Лев нанимает только не имеющих опыта работы студентов или специалистов из пищевой промышленности, а приходя к нему на работу в SearchInfrom вы обречены вечно трудиться там, даже если условия вас не устраивают... В общем, ничего красивого и элегантного в таких PR-ходах нет: скандалы, интриги, расследования (с). Конечно, в нашем с Александром Дорофеевым размене любезностями (13 Comments и 0 Reactions) тоже не было, но мы и не действуем как официальные лица (по крайней мере я). Кстати, про SearchInform мне рассказывали байку, что на всех семинарах их представители уверено говорят о своей доле на рынке в 57%. Помню, очень понравился ответ на это коллег из ТКБ: - 57 говорят? Странно: и у нас 57... </div> Изображение: http://www.rusradio.ru/upload/contents/395/%D0%BC%D0%BE%D1%80%D0%B0%D0%BB%D1%8C-600-24-02-1.jpg

  • 11 Марта 2012 » Оптический токен от SafeNet (vs трастскрины)
    В целях обеспечения безопасности систем дистанционного банковского обслуживания (ДБО) разработчики предлагают всё новые и новые способы защиты. В прошлый раз рассмотрели две новинки российского рынка, теперь перенесёмся за границу: речь пойдёт об оптическом токене от компании SafeNet. Чьи именно технологические разработки легли в основу нового устройства сказать сложно - SafeNet за последние годы скупила довольно много игроков рынка информационной безопасности. Название, однако, заимствовано из продуктовой линейки купленной в 2009 году компании Aladdin Knowledge Systems: устройство носит имя eToken 3500. Новый токен позиционируется как оптический и суть его работы сводится к следующему: Пользователь при входе в интернет-банк вводит одноразовый пароль, сгенерированный при помощи eToken 3500 (устройство фактически получается гибридное). В данном смысле eToken 3500 ничем особо не отличается от любого другого OTP-генератора (генератора одноразовых паролей - One-Time Password). Пользователь заполняет платёжное поручение, указывая платёжные реквизиты и сумму платежа. Основной риск, с которым позволяет бороться eToken 3500, заключается в том, что троян, внедрённый на компьютер пользователя, может отображать в браузере одни значения, а в банк (или на подпись в подключенный токен) передавать иные. Программное обеспечение системы ДБО на основании введённых пользователем данных генерирует специальное динамическое изображение и выводит его на экран. В данном изображении могут быть закодированы критические параметры платежа: например, сумма и номер счёта. При помощи встроенного оптического сканера eToken 3500 распознаёт полученное изображение, для чего устройство нужно поднести к экрану. Очевидно, что невозможность встраивания сканера с высокой разрешающей способностью ввиду миниатюрности устройства, и послужило причиной того, что распознаётся специально подготовленное динамическое изображение, а не просто цифры с экрана. Считанные с экрана параметры (сумму и номер счёта) eToken 3500 выводит на своём экране и просит пользователя нажатием кнопки подтвердить их правильность. Устройство генерирует ЭЦП для считанных им и подтверждённых пользователем значений параметров и выводит на экран некий код, вычисленный на основе полученной ЭЦП, длинной до 10 цифр. Полученный код пользователь вводит в окно запроса системы ДБО. Банк получает параметры платежа и код, вычисленный токеном, и проверят правильность транзакции. Общий принцип работы eToken 3500 во многом похож на принципы работы трастскринов, рассмотренных ранее: пользователю предлагается проверить критические параметры платёжного поручения на доверенном устройстве до вычисления ЭЦП. Таким образом, пользователь может быть уверен в том, что банк получит поручение именно с теми значениями, которые он вводил: подмена критических параметров платежа трояном будет выявлена на стороне банка из-за несовпадения кода ЭЦП, а поменять этот код злоумышленник не может, так как он вычисляется внутри устройства на основе отображаемых на экране и подтверждаемых пользователем параметров. Плюсы eToken 3500 по сравнению с трастскринами: большая мобильность (устройство имеет размеры 65x30x11 мм) возможность использования без подключения к компьютеру, теоретически возможно даже использование смартфонов нет необходимости приобретать дополнительное устройство (для использования SafeTouch, например, обязательно требуется ещё смарт-карта) есть встроенная аутентификация по одноразовым паролям (OTP) Недостатки eToken 3500 по сравнению с трастскринами: выводимая для проверки пользователем информация может быть только цифровая и иметь длину не более 10 цифр используется не ЭЦП, а лишь некая её производная, по длине не превышающая 7 бит (существует всего 10*10 вариантов выводимого кода, что меньше, чем 2^7=128 ) нет поддержки ГОСТ алгоритмов большие временные затраты на подпись одного платёжного поручения из-за необходимости распознавания динамического изображения Устройство, без сомнения, интересное, но вот практическая сторона его применения остаётся под вопросом. По опыту, такие устройства будят любопытство пользователей, но продаются плохо. Ссылка на flash-презентацию eToken 3500.

  • 20 Февраля 2012 » Трастскрины от Актива и СэйфТека
    В прошлом году на рынке появились сразу два продукта со сходным функционалом: Рутокен PINPad и SafeTouch. По словам некоторых заказчиков, производители сейчас усиленно нахваливают свои чудо-устройства и преподносят их чуть ли не как панацею от всех угроз дистанционного банковского обслуживания (ДБО). Давайте посмотрим, что же нам предлагают на самом деле. Эпоха парольной аутентификации при проведении платежей с использованием интернет-банкинга, к счастью, канула в Лету: банки давно перешли на цифровые сертификаты, а наиболее продвинутые предлагают клиентам хранить закрытые ключи даже уже не на жёстком диске/флешке, а в защищённой памяти токена. Самые же передовые и вовсе реализовали в своих системах ДБО поддержку токенов с аппаратно реализованным отечественным ГОСТом, из которых закрытый ключ электронно-цифровой подписи (ЭЦП) и вовсе извлечь нельзя. Казалось бы, бухгалтерам и финансистам можно спать спокойно - ключ ЭЦП надёжно защищён, но не всё так просто: оказалось, что ушлые злоумышленники научились подменять данные, которые отправляются в токен на подпись. Реализуется данное злодейство с использованием трояна (например, Silent Banker) и только при физически подключенном токене, но когда речь идёт о реальных больших деньгах - всё решаемо. Противостоять такой угрозе, в общем-то, не так и сложно: выделенный компьютер с регулярно обновляющимся антивирусом, запретом всех соединений, кроме требуемых для работы интернет-банка, урезание прав пользователя до минимума… Да вот только на практике всё сводится к банальному человеческому фактору: лень пользователя и его нежелание терпеть неудобства в работе неизбежно ведут к нарушению или неисполнению этих простых правил безопасности. В результате компьютер с установленным клиентом ДБО перестаёт быть доверенной средой со всеми вытекающими последствиями. Что же предлагают компании Актив и СейфТек для решения этой проблемы? В принципе, предложение вполне логичное: если компьютер среда недоверенная, значит, надо добавить ещё один элемент, который нельзя (или очень сложно) будет скомпрометировать. В качестве такого элемента и предлагаются трастскрины, подключаемые в разрыв между компьютером и токеном (смарт-картой). Суть работы упрощённо можно описать так: пользователь на экране устройства видит реквизиты платёжного поручения, которое отправляется на подпись, и должен подтвердить их правильность, нажав соответствующую кнопку: Подробнее с внутренним устройством SafeTouch можно познакомится, например, вот в этом патенте на полезную модель, у Рутокен PINPad принцип во многом аналогичен. К несомненным плюсам такого подхода, очевидно, можно отнести тот факт, что теперь установленный троян не сможет самопроизвольно подписывать платёжные документы - нажать на кнопку устройства он не сумеет: нужен живой человек, но вот этот самый живой человек всё также и будет самым слабым звеном. Какие мне видятся признаки отсутствия панацейности у этого решения? Во-первых, очевидно, что при большом числе транзакций устройство элементарно начнёт мешать. Что сделает с мешающим устройством пользователь? Правильно, исключит его из цепочки и будет подписывать всё “по старинке”, так что разработчикам лучше позаботится о введении опции принудительного использования трастскрина. Второй аспект - человеческая внимательность. Посмотрите на две картинки устройств SafeTouch чуть выше - как быстро вы заметите различия в них? Понятно, что злоумышленникам придётся подбирать похожие названия и реквизиты для подставных контрагентов и ограничивать свой аппетит в дорисовывании нулей к перечисляемым суммам, чтобы успешно обманывать пользователей, но, думаю, это вполне решаемо. Почти наверняка использование трастскрина усыпит бдительность пользователя и внедрение трояна, ворующего статистику платежей, станет вполне реальным. Изучение статистики (желательно, от большого числа контрагентов) подскажет дальнейшие действия. Например, все юридические лица регулярно совершают одни и те же платежи в пользу государства, уплачивая налоги и прочие сборы, а значит, создав соответствующее “фишинговое” юрлицо, можно одновременно попытаться обмануть сразу многих. В конце концов, рассылают же предприимчивые граждане письма якобы из ГИБДД с уведомлением о штрафе и левыми реквизитами. Кто-то ведь да платит, иначе и рассылок таких не было. Далее, вклинивать обманную платёжку лучше в поток подписываемых документов: вряд ли кто-то будет также внимательно сверять реквизиты в седьмом подряд платёжном поручении, как в нескольких первых. Мне вообще кажется, что спустя несколько недель активного использования нажатие кнопки “Подписать” будет происходить на автомате. Наконец, раз возможности трояна по изменению отображаемого на экране компьютера мы признали безграничными, то никто не мешает во входящем электронном письме со счётом поменять реквизиты на подставные. На экране компьютера и на экране устройства тогда будут отображены одинаково неправильные параметры платёжного поручения. Признавая компьютер недоверенным устройством, надо тогда уж не доверять ему ни в чём, и счёт с платёжными реквизитами получать по другому каналу, вот только о доверенных устройствах для получения счёта что-то я пока не слышал… Ну не рассматривать же всерьёз в качестве такового смартфон с почтовым клиентом, на который дублируется входящая почта? Что ж, панацеи в очередной раз мы не имеем, но и совсем ставить крест на трастскринах тоже было бы неправильно. Для небольших компаний с малым числом платежей устройство вполне себе оправдано, причём именно SafeTouch с его более демократичной ценой (1600 рублей против 3550 рублей у Актива). Да вот только небольшие компании не так остро осознают реальность угроз и продавать им гораздо сложнее: пойди попробуй убеди каждого по отдельности в необходимости трастскрина, да потом ещё поддержку и послепродажное обслуживание организуй. Для коммерческого успеха трастскрины должны стать массовым продуктом, поэтому без поддержки разработчиков ДБО и самих банков тут будет сложно. Впрочем, коллеги из SafeTech похоже, сами это прекрасно понимают и идут верным путём, да и Актив, судя по сайту, движется в том же направлении. Будем дальше следить за развитием событий, хотя это, конечно, было бы делать гораздо удобнее, если бы разработчики добавили себе на сайты RSS-ленты, ну, да ладно, все силы брошены на другое, понимаю =)

  • 14 Февраля 2012 » Все прыгнули - и я прыгнул....
    Тему добровольно-принудительной сертификации своих решений разработчиками средств защиты я уже поднимал, но вот появился очередной повод вернуться к ней: Система Falcongaze SecureTower успешно прошла сертификацию ФСТЭК.Меня не покидает ощущение, что производители, сертифицирующие свои продукты, часто вообще не понимают - что и для чего они делают. Бесконечная далёкость от темы и слабое “знание матчасти” невооружённым взглядом видно даже вот в этой цитате: «Учитывая факт вступления в силу в июле минувшего года Федерального закона №152-ФЗ «О персональных данных», получение сертификата ФСТЭК является для нас знаковым событием. Ведь для большинства организаций приобретение сертифицированного СЗИ не только практическая необходимость, но и возможность соответствовать требованиям регуляторов», - сказал Александр Акимов, генеральный директор компании Falcongaze. В самом законе, между тем, явно указано: "Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования", а опубликован он был в "Российской газете" от 29 июля 2006 г., в "Парламентской газете" от 3 августа 2006 г. и в Собрании законодательства Российской Федерации от 31 июля 2006 г., т.е. даже если брать последнюю публикацию, то закон действует уже более пяти(!) лет (03.08.2006+180 = 30.01.2007). Понятно, что Александр Акимов имел в виду столь нашумевшие в прошлом году изменения в данном Федеральном законе, но факт остаётся фактом - сотрудники компании, готовившие данный пресс-релиз, не очень, что называется "в теме". Ровно, кстати, как и многие заказчики. Типичный диалог выглядит примерно так: - А у вас на этот продукт есть лицензия? - Вы имеете в виду сертификат? - Да, точно. Есть на него сертификат? - А какую именно сертификацию вы имеете в виду? - Ну, не знаю... Так есть или нет? Понять компанию Falcongaze, конечно, можно: вон у большинства конкурентов какой-никакой, но сертификатик имеется, чем же они хуже? Да вот только есть ли чёткое понимание, что это за сертификат, что он даёт заказчикам и действительно ли он так уж нужен? Неизвестно ещё, кстати, какие формулировки в технических условиях указаны: там, по опыту, столько нюансов возникнуть может... Неужели общими усилиями органов по сертификации, испытательных лабораторий и регуляторов сертификация ФСТЭК окончательно скатится к чему-то вроде "одобрено ведущими собаководами"? =( Изображение: http://cvi.kz/uploads/posts/2011-07/1310153791_podborka11032011-16.jpg