Свежие посты   По годам   По датам
  • 08 Февраля 2012 » JaCarta - убийца eToken?
    Всегда с интересом читаю пресс-релизы, касающиеся вопросов, в которых я в силу своего рода занятий немного разбираюсь. Вдумчивое изучение текстов, вышедших из-под пера PR-менеджеров, и дальнейшее активное “гугление” порой дают неожиданные результаты. Сегодня применим этот метод к новости о том, что “Встраиваемый модуль безопасности TSM от «Аладдин Р.Д.» сертифицирован ФСТЭК”. Текст содержит интересный пассаж о (внимание!) трёхфакторной аутентификации: TSM обеспечивает защиту от несанкционированного доступа с помощью трехфакторной аутентификации, осуществляемой по наличию аппаратного идентификатора (eToken, iButton), присутствию на нем специального логического идентификатора и знанию пользователем PIN-кода доступа. Оставим, впрочем, на совести автора тот факт, что при краже аппаратного идентификатора злоумышленник заодно получает и записанный на нём логический идентификатор, что, вообще говоря, не позволяет говорить о двух разных факторах. [box type="info" style="rounded"]UPD. 24.07.2012 На сайте "трехфакторной" поменяли на "двухфакторной", но перечисляется по-прежнему три сущности.[/box] Меня больше заинтересовало, почему пресс-релиз не совместный с Kraftway (ведь сертифицированный модуль работает только на их компьютерах)? Быть может, они выпустили отдельный пресс-релиз? В пресс-центре на сайте Kraftway данной новости обнаружено не было, но упоминание самого модуля есть в описании моделей с его поддержкой (например, Kraftway Credo KC38 и Kraftway Credo VV18). Как оказалось, поддержка данных модулей реализована уже достаточно давно, а сотрудничество в этом направлении компании и вовсе ведут с конца 2010 года. Есть на сайте Kraftway и сертификат на TSM, но особый интерес вызывает, конечно же, подробное описание характеристик и функционала TSM, взятое, судя по всему, из технический условий или паспорта изделия. Буквально в самом начале видим: TSM взаимодействует с идентифицирующими устройствами (ИУ), в качестве которых выступают ключи eToken или JaCarta в форм-факторе USB-ключа или смарт-карты. (См. Update в конце поста.) Ключи eToken - понятное дело, но, позвольте, а что за зверь такой JaCarta? В пресс-релизе Аладдин Р.Д. такое не упоминается. Google и Яндекс по запросу "jacarta" выдают явно не относящиеся к делу ссылки, да ещё и предлагают исправить написание на "jakarta", что уж совсем не из нашей оперы. "Помощь пришла откуда не ждали" - упоминание JaCarta нашлось на сайте Аладдин Р.Д. И пусть ссылка не открывается, нам теперь понятно, что искать дальше. Опущу лишние подробности и тонкости поиска, перейдя сразу к фактам. Домен jacarta.ru был зарегистрирован 04 апреля 2011 года на "Aladdin Software Security R.D. Ltd.", читай - ЗАО "Аладдин Р.Д." На официальном сайте Аладдин Р.Д. действительно присутствует (присутствовал) раздел "/catalog/jacarta/", но его поисковая индексация запрещена. Сайт jacarta.ru (набирать без www) наполнен смесью контента с официального сайта Аладдин Р.Д. и содержит упоминание некоей ООО "Алеро-Сервис" с контактами самого Аладдин Р.Д. У Алеро-Сервис есть свой сайт (заполненный пока всё тем же промежуточным контентом) и даже логотип. ООО "Алеро-Сервис" 06 октября 2011 года получило Лицензию на деятельность по разработке и (или) производству средств защиты конфиденциальной информации, что отражено в соответствующем реестре ФСТЭК. Сама компания зарегистрирована ещё 03 августа 2007 года и её генеральным директором является Груздев Сергей Львович (его полный тёзка является генеральным директором ЗАО "Аладдин Р.Д.") У компаний ООО "Алеро-Сервис" и ЗАО "Документальные Системы" есть дочернее предприятие ООО "СИС" (Сертифицированные информационные системы). [box type="info" style="rounded"]UPD. 14.02.2014 Об актуальном способе получения информации о факте аффилированности этих компаний рассказал по просьбе читателя в посте Читаем между адресных строк или Как узнать учредителей юридического лица.[/box] Что же получается? В свете непростой ситуациии в России с дистрибьюцией ключей eToken и использованием торговой марки "Aladdin" руководство Аладдин Р.Д. через ООО "Алеро-Сервис" подготовило себе запасной аэродром в виде доли в ООО "СИС" с одной стороны (напомню, что именно эту компанию SafeNet, купивший бизнес eToken, сделал российским дистрибьютором по данному направлению) и разработки аналога под названием JaCarta с другой? Что ж, если это так, то ход вполне себе закономерный: кормясь от продаж eToken, инвестировать в конкурирующую разработку, прописывать её потихоньку в сертификаты, с тем, чтобы со временем получить возможность полностью переключиться на новый носитель JaCarta и убить рынок сертифицированных eToken за счёт контроля над всеми сертификатами eToken и своих связей с заказчиками и партнёрами. Возможно, конечно, что у вас сложится свой взгляд на картину происходящего, но факты остаются фактами - дело только за их интерпретацией. Интересно, глаза кому и на чьи маленькие секреты и хитрости откроет этот пост? =) [box type="info" style="rounded"]UPD. 09.02.2012 Данный пост, очевидно, прочитали и сайт http://jacarta.ru более недоступен (редиректится). Предвидя такой поворот событий, сохранил пару скриншотов. Вот они: Кстати, из результатов поиска на aladdin-rd.ru убрали всякое упоминание о "jacarta", но скриншот с тем, что выдавалось ещё буквально вчера, есть выше в самом посте. Вас такое тщательное заметание следов не наводит на мысль о верности сделанного выше предположения? [/box] [box type="info" style="rounded"]UPD. 20.02.2012 Слушайте, всё становится ещё интереснее: теперь с сайта Kraftway убрали упоминание о поддержке JaCarta в модуле TSM! Вот так всё выглядело раньше: А вот здесь целиком исходный текст страницы в html-виде. Кэш Яндекса пока тоже выдаёт вариант с JaCarta, но, боюсь, это временно.[/box] Изображение: http://recuerdosinventados.blogspot.com/2008/03/killer-cat-periodismo-patritico.html

  • 07 Февраля 2012 » Как я чуть не "взломал" Альфа-Банк
    Сразу оговорюсь, что взлома и даже попыток такового на самом деле не было, а история больше примечательна реакцией самого банка на инцидент, произошедший по причине моей невнимательности. У Альфа-Банка есть замечательное приложение для мобильных телефонов - Альфа-Мобайл, с помощью которого можно удобно просматривать состояние своих счетов и выполнять некоторые платежи. Для входа в приложение (здесь и далее рассказываю на примере версии для iOS) нужно ввести свой логин и пароль. В отличие от того же Альфа-Клик (интернет-клиент для работы со своими счетами) не требуется вводить одноразовые пароли при входе и каждой операции, что значительно ускоряет работу с оплатой счетов и пр. На днях, войдя в очередной раз в Альфа-Мобайл, увидел вот такую замечательную картину: Вроде бы ничего необычного, да только увиденные мною счета и суммы были не моими. Естественно, я поступил так же, как поступил бы любой нормальный человек на моём месте: первым же делом перевёл все деньги себе позвонил в Альфа-Банк. К слову, реальных возможностей вывода денег со счёта при помощи Альфа-Мобайл не так много: можно лишь пополнить баланс постороннего мобильного телефона или оплатить услуги Интернет чужому провайдеру, а вот все остальные внешние переводы возможны только по заранее созданным (при помощи Альфа-Клик) шаблонам, так что злоумышленникам особо разгуляться негде. Спустя несколько минут ожидания на телефоне я соединился-таки с оператором, которому и изложил суть произошедшего: вошёл в Альфа-Мобайл и вижу чужие деньги. Оператор переключил меня на специалиста техподдержки Дмитрия, но, как оказалось, переключил ошибочно, т.к. Дмитрий, внимательно всё выслушав, переключил меня... обратно на главное меню. Очередные длительные минуты ожидания я провёл изучая чужой личный кабинет. По принуждению совету коллег попробовал перевести 100 рублей себе на телефон - чуда не произошло. В ходе дальнейшего изучения, обнаружил большое количество переводов с указанием ФИО "Иванов И.И." Логично предположив, что оказался в каком-то служебном (тестовом) личном кабинете, я тем не менее дождался оператора, которому в третий раз объяснил случившееся, и соединился теперь уже с другим специалистом, вернее, специалисткой техподдержки (кажется, Анастасией), с которой состоялся хоть и краткий, но побудивший меня написать этот пост, разговор. С моей точки зрения, ситуация, когда клиент банка попадает в чужой личный кабинет - это: "Аларм! Аларм!", но Анастасия (буду называть её так), оказалось, считает по другому. Я подробно рассказал Анастасии о случившимся безобразии, не делясь, впрочем, своими догадками о тестовом личном кабинете. Представляю примерный пересказ разговора: - < ...> Вот такая вот беда! - Ваши ФИО и кодовое слово, пожалуйста. - ФИО - пожалуйста, а кодовое слово сейчас назвать не могу (звонил из офиса). - Тогда перезвоните, когда сможете сказать. - Подождите, но я ведь вижу чужие расчётные счета! - Мне нужно знать кодовое слово, чтобы посмотреть состояние ваших счетов. - То есть вы считаете, что ситуация нормальная и ничего предпринимать не нужно? - Нужно ваше кодовое слово. - Это у вас в банке такая инструкция? - Без кодового слова я всё равно ничего не могу сделать. - Понятно, спасибо, до свидания. К концу разговора я уже окончательно убедился, что проблемы никакой нет и мне как клиенту беспокоится абсолютно не о чем: программное обеспечение, которое используется в Альфа-Банке, видимо, настолько безупречно, что никаких внештатных ситуаций с ним возникнуть не может в принципе. Иначе чем можно объяснить тот факт, что по моему заявлению никаких дальнейших действий со стороны банка не последовало? Осмелюсь предположить, что и заявление нигде и зафиксировано-то не было: раз не может быть ошибок, то и заявления регистрировать бессмысленно. На самом деле, в данном конкретном случае поводов для беспокойства действительно не было: это я сам себя "взломал", нажав случайно в главном окне приложения кнопку "Демо" вместо "Вход", а потом, глядя на самом деле на демонстрацию, подумав, что вижу чужие счета. Тем не менее, неуловимый осадок остался... А что если я найду чужой телефон с установленным приложением Альфа-Мобайл и захочу сообщить о находке в банк? Меня тоже не буду слушать без кодового слова? Надеюсь, что для такого случая инструкция в Альфа-Банке всё же предусмотрена иная. Изображение: http://pozvonkov.ru/2010/03/28/pro-dengi-bank-mashinu-i-derevnyu/ </div> </div> </div> </div>

  • 02 Февраля 2012 » Пас, вист, ГОСТ!
    Вот этот уже прошлогодний пост Евгения Шауро со сравнением различных токенов напомнил мне, что давно хотел более пристально приглядеться к современным ГОСТовым токенам. Хорошо помню, что в своё время эта тема была очень модной и неизменно вызывала интерес у самой разной аудитории.

  • 26 Января 2012 » Чахнущие кащеи российского рынка ИБ
    Очень меня умиляет отношение отдельных отечественных вендоров к открытому обсуждению разрабатываемых ими продуктов. В прошлом году, например, написал пост про межсетевые экраны АльтЭль, так директор московского представительства Александр Буров первым же делом предложил (http://zlonov.blogspot.com/2011/05/who-is-mr-altell.html#disqus_thread) лично встретиться для обсуждения всех моих вопросов. Потом, правда, поостыл и куда-то слился запропал, мои вопросы оставил без ответа, на связь в Skype не вышел. С Александром позже мне всё же удалось пообщаться на одной из выставок и его желание отвечать на вопросы устно и приватно стало понятным: ответы были уклончивыми, формулировки расплывчатыми, а фразы недосказанными, как будто Александр немножко стеснялся продаваемого им продукта. Примечательным моментом в разговоре был его ответ на вопрос о том, почему не стал отвечать на вопросы Тараса Злонова. "Да чего комментировать какие-то домыслы о нашей связи с Восьмым управлением?" - отмахнулся Александр. Ни на что не намекаю, но в посте никаких управлений я не упоминал, а только рассуждал о возможной причастности "высокопоставленных чиновников" =) - Это ты барашка моего украл? - Серого с одним рогом? Нет, не я. На прошлой же неделе имел удовольствие вступить в переписку с другим Александром - Дорофеевым, директором по развитию ЗАО "НПО "Эшелон". Заинтересовал меня один из программных продуктов Эшелона, который захотелось протестировать (нет, Александр, названия писать не буду - сами его "пиарьте" =) ). Знаете, что сразу предложил мне Александр? Правильно: приезжайте в офис, пообщаемся. Александр проявил недюжинные детективные способности, походя упомянув моё место работы и место расположения офиса, но продукт на тестирование так и не дал, сославшись на отсутствие демо версии и боязнь "чёрного пиара" с моей стороны. Что тут ещё комментировать? Делаем продукты "ради бумажки", всеми правдами и неправдами лоббируем их покупку госзаказчиками, а открыто обсуждать и давать на тесты стесняемся? Что ж, каждый делает свой выбор самостоятельно. В заключение хочу выразить уважение моему хорошему знакомому Антону Разумову из Check Point. Наше с ним открытое обсуждение особенностей встраивания ГОСТ алгоритмов в продукты Check Point (http://zlonov.blogspot.com/2012/01/blog-post.html#disqus_thread) - вот отличный показатель того уровня зрелости компании и её сотрудников, до которого некоторым ещё расти и расти. UPD 27.01.2012. Как выяснилось, отказ Александра Дорофеева в предоставлении демо-версии был вызван вот чем: "... продукт совместим и протестирован только с определенными версиями BIOS, поэтому как таковой демо-версии </div>

  • 17 Января 2012 » Сертификация или профанация?
    В свете повальной необходимости в использовании сертифицированных решений для защиты информации в нашей стране вендоры теми или иными способами пытаются эти самые заветные сертификаты получить. Самые востребованные сертификаты, пожалуй, от ФСТЭК. При этом процесс их получения более-менее отлажен, испытательных лабораторий хватает, да и самих сертификатов получено уже под 3500 штук (см. Список сертифицированных ФСТЭК средств защиты информации). Правда, не всё так хорошо с этой сертификацией: зафиксированные контрольные суммы программного обеспечения не позволяют, например, проводить обновления прошивок устройств, а скачивание обновлений сигнатур частенько осуществляется по недоверенным каналам, что, вообще-то, не очень хорошо. Но, ёмкость рынка сертификации и получаемый из воздуха доход с лёгкостью позволяют закрывать глаза на такие мелкие нестыковочки. Другое дело - сертификация ФСБ. Даже сам Перечень средств защиты информации, сертифицированных ФСБ России значительно короче (менее 300 сертификатов), что косвенно подтверждает известный факт о сложности и длительности процессов получения этих сертификатов. Таким образом, наличие документа от ФСБ является важным конкурентным преимуществом. Ведь заказчик порой просто вынужден выбирать решение, которое его, быть может, и не очень устраивает, но зато обладает нужной “бумажкой”. Понимая это, кто-то из разработчиков сертификаты получает, а кто-то использует несколько иные методы… На прошлой неделе в ходе анализа продуктового портфеля один из наших инженеров высказал уверенность, что продукты Check Point сертифицированы в ФСБ (в части использования VPN). Как оказалось, мнение такое действительно на рынке существует: Если же производитель соглашается использовать российское шифрование, то и такая сертификация вполне может быть получена. Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco.  Информация на сайте вендора о сертификации и поддержке ГОСТ оказалась крайне скудна: Теперь это решение предлагается с поддержкой шифрования по российскому алгоритму ГОСТ в дополнение к стандартным алгоритмам шифрования SSL. Российские компании получили возможность использовать лидирующее решение для организации защищенного доступа по SSL VPN, интегрируемого в инфраструктуру централизованного управления Check Point в комбинации с шифрованием трафика, использующим российские алгоритмы шифрования. Пришлось искать альтернативные источники информации. Максимум полезного по указанной теме обнаружилось в презентации Антона Разумова, выложенной им в свободный доступ. Она, правда, датируется мартом 2010 года, но иллюстрирует общий подход вендора к вопросу сертификации в ФСБ: Как встроено СКЗИ от КриптоПро в продукты Check Point Собственно, из этих нескольких слайдов следует вот что: сертификата ФСБ у Check Point нет поддержка ГОСТ реализована встроенным КриптоПро заключения о корректности встраивания на КриптоПро нет Таким образом, сфера применения ГОСТового решения от Check Point весьма и весьма узка. Использованное изображение: http://www.anti-malware.ru/images/approved_by_anti-malware_b.gif

  • 11 Января 2012 » Подстава от iPhone
    В iOS 5 появилась замечательная функция iMessage, позволяющая обмениваться сообщениями по сетям WiFi и 3G. Но, как оказалось, пользоваться ей надо с осторожностью. Вообще, встроенный чат - это, конечно, удобно. Вот только в iPhone его встроили прямо в сервис обмена SMS/MMS: только по цвету сообщения и можно догадаться как оно ушло - через сотового оператора (зелёные) или сеть Интернет (синие). Кстати, при проблемах с сетью синие сообщения зеленеют - т.е. доставка происходит всё равно. Находясь на новый год в роуминге, купил местную СИМ-карту, чтобы не переплачивать за звонки, СМС и доступ в Интернет (кстати, по сути, я ведь использовал абсолютно те же мощности обоих операторов и почему цена так разительно отличалась, мне не особо понятно; ну да ладно). Так вот, в очередной раз меняя местную СИМку на российскую, чтобы почитать новогодние поздравления, обнаружил, что моя переписка с другим пользователем iPhone происходит вне зависимости от оператора. Вообще говоря, всё вполне логично - в iMessage привязка идёт к Apple ID и/или самому устройству, но никак не к СИМ-карте. Но вот на практике данная особенность оказалась несколько неожиданной. Т.е. другой человек отвечает на ваше прошлое сообщение, а оно приходит, несмотря на переставленную СИМку, на то же устройство. Всегда казалось естественным: вынул СИМ-карту - прекратил всю переписку. Но, друзья мои, теперь совсем иные времена: переставляя СИМ-карту и отдавая телефон другому человеку уже нельзя быть уверенным, что он не получит сообщения от вашего собеседника. Включите бдительность и не забывайте её подзаряжать! Изображение: http://gad.ru/data/upload/ck/images/funny_iphone.jpg

  • 23 Декабря 2011 » Порочная система и двойные стандарты
    В продолжение прошлого поста о коррупции решил написать ещё несколько строк. Вот мы частенько поругиваем полицейских, особенно сотрудников ГИБДД, за взяточничество и иногда просто вымогательство. Давайте, однако, посмотрим на два аспекта. Про первый расскажу на своём примере. Начав работать в области информационной безопасности, я первое время активно перенимал опыт коллег и, конечно же, учился у своих руководителей. Ведь я оказался в незнакомой мне среде и, пытаясь понять правила игры, во всю смотрел по сторонам и анализировал, чтобы не оказаться в чужом монастыре со своим уставом. Адаптивность - наше всё. Да, меня научили многому, но, к сожалению, в том числе и тому, что печёночный бизнес приносит успех и маржу. Нет, сами механизмы коммерчески прибыльного распития алкоголя, золочения ручки высокопоставленным чинушам и прочие мерзости мной не изведаны до сих пор, но то, что откат рулит, мне внушили достаточно чётко. Спасибо, что не привлекали меня непосредственно к схемам распила, но закрывать глаза на, например, явно бредовые приобретения государственными организациями бесполезных для них продуктов всё же научили. Я это всё к чему? Да к тому, что любой человек, оказавшись в полицейской системе, вынужден под неё подстраиваться, иначе она его просто отторгнет как чужеродное тело. Идея с реформой милиции, кстати, по сути своей прекрасна (вычистим всех), да вот воплощение подкачало =( Второй момент - двойные стандарты. Выпили вечером. Хорошо так (ибо обстановка располагала). А утром за руль. Ну, очень надо. Поехали. Пост ГИБДД. Остановили, понюхали. АГА! Да, вы нормально едете. Вы опытный водитель, сто лет за рулём, не лихачите и не борзеете на дороге. Привычная доза накануне не представляет ни для кого опасности - вы даже специально аккуратнее едете. НО есть закон про содержание алкоголя в крови. Всё, лишение прав. Дальнейший сценарий понятен. И сотруднику ГИБДД, взявшему круглую сумму, вы, по большому счёту, признательны, хотя и презираете его в душе. Ровно так же желание получить бонус и желание побороть коррупцию в масштабах государства борятся внутри каждого ИБшника, сохранившего в себе хоть сколько-нибудь порядочности. Кому и зачем всё вышеизложенное было написано - пока с уверенностью сказать не могу. Так, витает что-то в воздухе в виде мыслей… Изображение http://demotivation.me/l14eym6wkq29pic.html

  • 22 Декабря 2011 » Распилить изволите?
    Люди, между нами говоря, любят иногда посчитать чужие деньги, поэтому, в частности, так популярны всевозможные рейтинги и статистические отчёты о долях рынка, занимаемом месте по оборотам и пр. Не открою секрет, если скажу, что в отрасли информационной безопасности (ИБ) в нашей стране немаловажную роль в формировании этого самого оборота играют государственные закупки. Небольшие и средние компании пока в большинстве своём только зреют до чего-то большего, чем антивирус и бесплатный межсетевой экран на *nix-платформе, крупные коммерческие структуры придирчиво выбирают решение по соотношению цена/эффективность, рассчитывают возврат на инвестиции (ROI) и иные трёх- и больше буквенные показатели, а государственные организации исправно закупают. Закупают по приказу сверху, закупают, потому что деньги в бюджете на этот год остались и их надо освоить, а то на следующий год не дадут, закупают, потому что очередной чинуша попарился с кем-то в бане, закупают, потому что надо достроить загородный дом и сыну дать приличное образование… Закупают. Точнее, пилят. Мне мало довелось работать в областях, отличных от ИБ, поэтому о ситуации в них могу судить лишь косвенно. Ну, а про ситуацию на знакомой территории могу рассуждать свободнее. Итак, все взрослые адекватные люди, проработавшие хотя бы несколько лет в области ИБ прекрасно понимают, что и как тут устроено. Возьмите топ-10, 50, да хоть 100 блогеров в нашей сфере и спросите их - понимают ли они, на чём делают значительную (порой очень значительную) часть капитала их компании? Если отношения ваши доверительные и обстановка располагает - ответ будет однозначным. Вот вам и оборот для рейтингов. Компании, получившие лобистскую поддержку, в одночасье выстреливают в топ, а потерявшие влиятельных друзей - скатываются ближе ко дну… Таких историй знающие люди могут рассказать более, чем одну. Мне повезло, я работаю в дистрибьюторской компании. Мы не общаемся напрямую с заказчиками. Вернее, общаемся, но крайне редко. Наше всё - это наша партнёрская сеть. Мы любим их и всячески стараемся помогать. Но вот наши любимые партнёры регулярно сталкиваются с простой до безобразия ситуацией: я бы купил у вас на 100 миллионов с удовольствием, но вот вы бы мне 10% / 20% / 30% / … не могли бы в вот этом конвертике/портфельчике/чемоданчике/… принести налом? Когда я вижу бессмысленные с точки зрения здравой логики спецификации, главная цель которых - завысить бюджет, когда решения закупаются без учёта реальной инфраструктуры, когда покупают сертифицированные по самое не балуй, но устаревшие на 5 и более лет продукты, мне стыдно за мою страну. Мелкая (по сравнению с общей численностью граждан) кучка продажных людей существ распределяет финансовые потоки по своему усмотрению без какого-либо контроля со стороны остальной части населения и считает это (внимание!) нормальным. Друзья, не буду ни к чему революционному призывать. Просто задумайтесь на секунду - вы сами тоже считаете это нормальным? Точно? А, может, попробуем что-то поменять? Изображение: http://piratemedia.ru/media/k2/items/cache/91f509849f6467bb518faf710f229661_XL.jpg

  • 24 Ноября 2011 » Бей своих, чтоб чужие боялись
    Хороший пример правильного подхода к безопасности демонстрирует компания Google, регулярно помещая в спам уведомления о моих комментариях к мои собственным же постам на Blogspot.Ну а что? Формально ведь письмо действительно отправлено не с моего аккаунта. И сколько я ни пытался объяснять Gmail, что это не спам - бесполезно: эти уведомления регулярно забраковываются. Кстати, справка у компании Google просто великолепная. Про спуфинг (в котором Google, по сути, сам себя и подозревает) написано просто и доходчиво, даже с жизненными примерами. Вот все бы так.

  • 23 Ноября 2011 » Умирающие шифровальщики
    Всего несколько лет назад программы для шифрования данных на жёстких дисках были невероятно популярны, при чём не только в корпоративной среде, но и среди обычных пользователей. Предложений было так много, что порой даже складывалось ощущение, что только ленивый их не пишет. Что же происходит на этом рынке сейчас? Для начала немного истории. В силу своих профессиональных обязанностей в 2006-08 годах внимательно следил за российским рынком систем шифрования данных, писал статьи на эту тему и знал, что называется, "в лицо" всех основных игроков. Даже сам был активным пользователем Secret Disk и не мог представить свой компьютер/ноутбук без него. Сейчас же мне даже в голову не приходить что-то шифровать на диске! Основная угроза для моих личных данных сейчас - это, пожалуй, троян, от которого шифрование всё равно не поможет, а фотографий много он не утащит - спасибо Yota: коннект, оставленный на день всё равно к вечеру обычно рвётся. При мне же, очевидно, любая ненормальная сетевая активность будет сразу замечена и пресечена на корню. Что касается доступа гостей/членов семьи/сантехников-садовников к стационарному компьютеру, то кого попало не надо приглашать в гости, жить надо так, чтобы нечего было скрывать от домочадцев, а сантехников дальше ванной/кухни пускать в принципе не стоит - это они пусть в фильмах по спальням ходят =) Проверено на себе - такие простые правила работают. К тому же, пароль на вход и разграничение прав доступа никто не отменял. На ноутбуке же для командировок личных данных я не храню, а доступ к корпоративным данным получаю или через OWA (Outlook Web Acces) или по RDP. Ну, останется после моих сессий какой-то кэш на жёстком диске, но в нашем мире столь незначительный объём данных устареет быстрее, чем кто-то реально сможет им воспользоваться. Стоит ли при учёте всего вышесказанного жертвовать производительностью ради мифической защиты от кражи непонятно чего и не очень понятно кем? Я бы не стал. Кстати, об основных игроках того времени. Годы прошли, что с ними стало? StrongDisk компании Физтехсофт. Последняя версия вышла в декабре 2010 года, почти год назад. Вы верите в успешность этого продукта на рынке? Я - нет. Secret Disk компании Аладдин Р.Д. Последняя версия - июль 2011. Получше, но, во-первых, насколько я могу судить, руководство этой компании частенько допускает просчёты в объектах (продукты/технологии) и субъектах (собственные сотрудники) инвестирования (на эту тему готовлю отдельный пост). Во-вторых, в мае была устроена акция по снижению цен, а это, поверьте моему опыту, говорит о неудовлетворительных продажах. Вы акций на iPhone от компании Apple много видели? Я - ни одной. В-третьих, 15 ноября была рассылка по подписчикам (на сайте этой информации не нашёл) вот о чём: Компания «Аладдин Р.Д.» сообщает об обновлении в комплектации коробочных версий Secret Disk Server NG. Теперь она будет дополнена комплектом подачи сигнала «тревога» с USB-подключением, стоимость коробки Secret Disk Server NG при этом останется прежней. Тоже тревожный звоночек, согласитесь. ZDisk компании SecureIT. Самое свежее обновление, которое смог найти в их Пресс-центре - июль 2010 года. В ноябре 2010 провели акцию со скидкой 50% на один из компонентов системы шифрования. Был, правда, вебинар летом 2011 по серверной версии, но сколько там было посетителей - история умалчивает. Зато про их недоDLP новостная лента так и пестрит сообщениями. Что ж, хороший урок предыдущему игроку в своевременности смена курса развития компании. Был ещё импортный PGPDisk, бесплатный TrueCrypt и ещё целая куча самого разного софта. Даже в эпоху расцвета они популярностью пользовались довольно специфической - сейчас же, скорее всего, вообще остались очень нишевыми решениями. Да, ведь было ещё детище InfoWatch - CryptoStorage. Последнюю версию, датированную октябрём 2010 годазачем-то вытащили из пыльного чулана этим летом и показали германцам. Ребята пришли на падающий рынок, вложили, полагаю, не менее $1M и даже затрат наверняка не отбили. Но они InfoWatch, им можно =) Подведём итоги. Основные законадатели мод рынка систем шифрования жёстких дисков прошлых лет в большинстве своём давно забросили разработки, устраивают акции, анонсируют скидки, в новостных лентах минимум пресс-релизов о внедрении, новых игроков не видно и не слышно... Как вы считаете -  этот сегмент рынка умирает или уже умер? </div>