Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
27
Апреля
2012
» Бесплатные антивирусы для Mac OS X
Привыкшие жить в безвирусной среде, пользователи Mac OS X внезапно столкнулись с жестокой реальностью, кишащей вредоносным программным обеспечением. Всегда красивые и стильные компьютеры и ноутбуки компании Apple, став популярными не только в среде дизайнеров и получив заметную долю рынка, автоматически превратились в мишень для злоумышленников, а посему антивирусы для Mac OS X, видимо, вот-вот станут такой же обыденностью, коей они являются для платформы Windows. Ну, а если вы пока ещё не решились на покупку антивируса для своего iMac или MacBook, воспользуйтесь бесплатными продуктами для удаления и лечения вирусов в среде Mac OS X. Их краткий обзор предлагаю вашему вниманию. Начать, пожалуй, стоит с утилиты для удаления ставшего уже знаменитым трояна Flashback от самой компании Apple с замысловатым названием Java SE 6 version 1.6.0_31 for OS X Lion 2012-003. Собственно, специально что-то скачивать и устанавливать не требуется - достаточно в главном меню Mac OS X выбрать пункт “Обновление ПО…”. Строго говоря, обновление системы - это то, что и так желательно делать регулярно, ну а если есть желание дополнительно убедиться в чистоте своего “Мака”, то можно прибегнуть к помощи специальных антивирусных программ. Вообще, версия для Mac есть практически у каждого уважающего себя антивирусного вендора, но в данном обзоре рассмотрим только представленные в магазине App Store и распоcтраняемые бесплатно. Присутствие в официальном магазине приложений компании Apple, во-первых, дополнительная гарантия надёжности самого приложения (проверка всех публикуемых приложений - это очень важное преимущество App Store перед, например, Android Marketplace), а во-вторых, это очевидное удобство в установке, что для неискушённых в вопросах “допиливания” операционной системы до рабочего состояния путём установки десятка-другого приложений пользователей Mac является не менее важным. Бесплатными же версиями выбор ограничен из тех соображений, что проблема заражения вредоносным программным обеспечением Mac OS X всё же не так актуальна, как это преподносится маркетинговыми службами антивирусных компаний и на данном этапе платить за антивирус для Mac далеко не обязательно. Всего в App Store удалось найти четыре бесплатных антивируса для Mac и самый, по моему мнению, сомнительный кандидат на установку - VirusBarrier Express. Работает продукт, как и все участники обзора, только в режиме сканирования - проактивной защиты не предусмотрено. К плюсам можно было бы отнести наличие русского языка, но так как текста практически нет, а качество перевода справки оставляет желать лучшего, то преимущество не принципиальное. Разработчик (Intego) мало известен, хотя и позиционирует себя как эксперта со специализацией на защите именно Mac, а сигнатуры обновляются раз в месяц, так что продукт в целом производит впечатление рекламного буклета для своих двух платных “старших братьев” VirusBarrier Plus и VirusBarrier X86. Следующее приложение - ClamXav. Движок используется известный и неплохо себя зарекомендовавший - ClamAV, так что качеству поиска вирусов вполне можно доверять, но вот интерфейс какой-то уж совсем неказистый, хотя и простой. Третий участник обзора - Dr.Web Light. Продукт российской компании набрал в App Store на удивление много негативных отзывов: и про неприлично долгое время сканирования, и про чрезмерную загрузку процессора с критическим перегревом, и даже просто про зависания. Может, конечно, это всё происки конкурентов, но, вообще, очень похоже, что приложение писалось в спешке и по маркетинговому заказу: Dr.Web изо всех сил старается сделать себе имя на новой волне угроз для Mac (война за Windows-машины уже проиграна?) - и пресс-релизы публикуют и специальный портал по тематике защиты от трояна Flashback запустили, так что приложение в App Store, вполне возможно, пришлось выпускать полуготовым. Ну, ничего, антивирус-то сам по себе не плохой - допилят, докрутят и можно будет пользоваться постоянно, а пока для самоуспокоения и разовой проверки тоже нормальный вариант. Наконец, четвёртый из доступных в App Store бесплатных антивирусов для Mac - Bitdefender Virus Scanner. Продукты Bitdefender не так широко известны в России, но в мировых рейтинга неизменно занимают призовые места. Обновление сигнатур заявлено ежечасное, интерфейс вполне приятен, а фоновое полное сканирование на моём не самом производительном Mac без проблем позволило работать и даже просматривать фильм. К тому же Bitdefender - единственный, кто с настройками по умолчанию обнаружил на подключенном внешнем диске в ISO-файлах букет malware под Windows-платформу. Не понравилось в Bitdefender только разве что отсутствие возможности задавать расписание для автоматического сканирования, а так - впечатление более, чем положительное. Бесплатность всех рассмотренных антивирусов для Mac OS X позволяет скачать и произвести сканирование всеми четырьмя, а для периодического повторения этой операции оставить тот, который больше понравится. Ну, по состоянию на сегодня, например, рейтинг приложений, в описании которых встречается слово “virus”, выглядит так (попали, правда, несколько штук нетематических): Изображение: http://thenewsit.ru/2012/04/mac-bolshe-ne-boitsya-virusov-flashback-10922.html
24
Апреля
2012
» (Перевод) Обзор событий информационной безопасности от Fortinet (16/2012)
Продолжаем публикацию переводов еженедельного обзора событий в области информационной безопасности от компании Fortinet. Среди прочих событий (Анонимусы как обычно устраивали свои проделки) на этой неделе (неделя 16) важными событиями информационной безопасности стали новая атака на платформу Android (ей подверглось популярное приложение для обмена фотографиями) и очередное вредоносное программное обеспечение, сбивающее с толку неискушённых в вопросах безопасности пользователей Mac. Сюрприз! Очередная угроза для Mac. На прошедшей неделе был обнаружен ещё один троянец, сеющий хаос в рядах привыкших чувствовать себя в безопасности пользователей Mac OS X. Данный мак-троянец, получивший название Backdoor OSX SabPub.a, использует уязвимость в Java (Exploitl.Java CVE-2012-0507.bf), знаменитую помимо прочего своей применимостью для эффективного обхода антивирусных сканеров. SabPub, появившийся чуть более месяца назад, создаёт для платформы Mac OS X бэкдор-туннель, который может использоваться для целенаправленных атак. После своей активации троянец соединяется с удалённым web-сайтом, являющимся командно-контрольным центром, в ожидании дальнейших инструкций от своего создателя. Как только устанавливается удалённое подключение, троянец воссоздаёт на скомпрометированной машине скриншот текущего сеанса пользователя, позволяя параллельно незаметно выполнять поступающие команды. Точные механизмы заражения, используемые троянцем Backdoor SabPub, остаются до конца не изученными, а по одному из предположений его распространение была начато с применением социальной инженерии – с рассылки фишинговых писем, содержащих ссылки на заражённые web-сайты, размещённые на территории США и Германии. Oracle выпускает «впечатляющий» патч. На прошлой неделе Oracle выпустила Critical Patch Update (CPU) – критическое обновление, содержащее 88(!) исправлений множества уязвимостей, некоторые из которых позволяют злоумышленникам получить удаленный доступ в обход механизмов аутентификации. В патч включены исправления шести брешей в безопасности, четыре из которых позволяют удалённо атаковать Oracle Enterprise Manager, а также множества других брешей в безопасности таких продуктов как Oracle Database Server, Oracle Fusion Middleware, продуктов Oracle Sun, MySQL, Oracle Enterprise Manager Grid Control, Oracle e-Business Suite, Oracle Supply Chain, Oracle PeopleSoft, Oracle Industry Applications, Oracle Financial Services, а также продуктов Oracle Primavera. «Из-за угрозы успешной атаки, Oracle настоятельно рекомендует пользователям установить данное обновление как можно скорее,» - говорится в сообщении Oracle. Ранее в этом году, 31 января, Oracle в своём ежеквартальном обновлении уже выпускала обновления, устраняющие уязвимости во множестве продуктов, возникавшие из-за коллизий при использовании функции хеширования. Ошибка в программном обеспечении Oracle WebLogic Server, Oracle Application Server и Oracle IPLANET Web Server позволяла хакерами получать удалённый доступ без прохождения аутентификации с использованием, например, имени пользователя и пароля. Анонимусы атакуют Гран-при Формулы-1. Сторонники движения Anonymous ("Анонимусы") отвлеклись на этой неделе от своих обычных шалостей и организовали распределённую атаку типа отказ в обслуживании (DDoS) на web-сайт Формулы-1, проходящей в эти дни в Бахрейне, в знак поддержки протестного антиправительственного движения в этой стране. В своём заявлении глобальная хакерская группировка сообщила, что нападение было произведено с целью привлечения внимания к замалчиваемым нарушениям прав человека, совершаемых по указаниям короля Хамада Бахрейна бен Аль Халифа, и выразила мнение, что решение организаторов знаменитой автогонки о проведении этапа Формулы-1 в Бахрейне в конечном итоге означает поддержку правительства страны, где граждан безнаказанно угнетают, пытают и убивают. Анонимусы отметили, что представители этого жестокого режима, угрожающие применением огнестрельного оружия в отношении граждан, если протесты продолжатся, получат значительную прибыль от проведения гонки. За истекшие годы Анонимусы с их постоянной вовлечённостью в дискуссии о важнейших мировых политических вопросах сделали, что называется, себе имя и даже попали в список 100 самых влиятельных людей в мире по версии журнала Тайм. Правда, несмотря на то, что коллектив хакеров занял первое место среди web-аудитории журнала с 395 793 голосами, в итоговом списке их поставили только на 36 место. «Фотонапасть» для Android. Создатели вредоносных программ для мобильных платформ пририсовали себе ещё одну звёздочку на фюзеляже, реализовав успешную атаку на приложение для обмена фотографиями Instagram. Пользователей Instagram обманом принуждали установить на свой телефон с Android фальшивую копию популярного приложения, которая в фоновом режиме начинала рассылать SMS-сообщения на платные короткие номера. Вредоносная программа, родина авторов которой предположительно является Россия, показывает пользователям сетевого магазина приложений Android Marketplace фальшивую главную страницу, выдавая себя за популярное приложение Instagram, и ничего не подозревающая жертва скачивает поддельное приложение, позволяющее злоумышленникам рассылать с его телефона SMS-сообщения. За последний год число вредоносных программ для Android стремительно увеличивалось по мере роста интереса киберпреступников к этой открытой и слабо контролируемой самой Google мобильной платформе. Приложение для обмена фотографиями Instagram стало одной из главных мишеней для хакеров после того как в начале месяца небольшая компания-раз
23
Апреля
2012
» Ой, он и меня посчитал!
"Большая и уважаемая" компания IDC имеет весьма и весьма специфичный взгляд на рынок информационной безопасности. Вот, например, выпустили они очередной свой отчёт (новость на CNews), в котором посчитали доли на российском рынке аппаратных решений в области информационной безопасности: Cisco - 27,1% Код Безопасности - 13,9% Аладдин - 12,2% Check Point - 12% Juniper - 7,4% остальные - 27,4 % "Лидеры рынка", конечно, перепечатали эту новость, да вот только отчёт-то весьма и весьма сомнительный... Буквально несколько вопросов: Что такое "рынок аппаратных ИБ-решений"? Сервер с установленным ПО UserGate - это аппаратное решение или программное? А как быть с продуктами, поставляемыми в виде законченных устройств с предустановленным ПО (appliance), просто ПО (software) или виртуальных решений (virtual appliance), - их куда относить? К трём разным рынкам? Компании какого типа участвовали? Если производители, тогда при чём здесь Аладдин (правильно - Аладдин Р.Д., кстати), формально до сих пор не имеющий никакого статуса у SafeNet? Что за цифры оценивались? Суммы поставок конечным пользователям в розничных ценах? А кто тогда из них стоимость очень часто включаемых услуг по внедрению вычитал? Как можно суммировать рынки межсетевых экранов, средств аутентифкации и электронных замков? Хотя, вроде как электронные замки не учитывались вовсе: "В терминологии IDC рынок аппаратных решений информационной безопасности два основных функциональных сегмента: решений по защите внешнего периметра и решений по аутентификации. В первый сегмент входят решения класса FW/VPN, IDS & IPS, UTM, Content Management, во второй – токены и смарт-карты, помогающие обеспечивать более надежную идентификацию пользователей при доступе к информационным ресурсам." В общем, отчёт хоть и занятный, но абсолютно не показательный. С таким же успехом можно было в соответствующем каталоге Яндекса аппаратные решения искать и по тематическому индексу цитируемости выводы делать, например. Изображение: http://www.e-reading.org.ua/cover/90/90628.jpg
18
Апреля
2012
» Как узнать номер недели в году по дате?
Удобнее всего использовать Excel, введя в ячейку A1 дату, а в любую другую - формулу: =ЦЕЛОЕ((A1-ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3)+ДЕНЬНЕД(ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3))+5)/7)
18
Апреля
2012
» (Перевод) Обзор событий информационной безопасности от Fortinet (15/2012)
Коллеги, представляю вашему вниманию перевод еженедельного обзора от компании Fortinet, читать который, конечно, лучше в оригинале, но для экономии времени можно ограничиться и этим постом. Представляем краткий обзор событий информационной безопасности за 9-13 апреля 2012 года (неделя 15). Основными событиями прошедшей недели можно считать выпуск обновлений компаниями Microsoft и Apple, а также усилия компании HP по предупреждению своих пользователей о поставке коммутаторов ProCurve с вредоносным кодом. HP поставляла заражённые флэш-карты. На прошлой неделе компания HP распространила предупреждение для своих покупателей о том, что часть из её коммутаторов ProCurve серии 5400 были поставлены с флэш-картами, заражёнными вредоносным программным обеспечением, которое при использовании флэш-карт на обычных компьютерах может привести к потенциальной компрометации информационных систем пользователей. HP не раскрывает детали относительно конкретного типа вредоносного обеспечения и возможных негативных последствий для информационных систем, но рекомендует поступить одним из двух способов: «вылечить» флэш-карты скачав специальный скрипт с сайта HP или обратиться к поставщику для осуществления аппаратной замены. Утилита для борьбы с трояном Flashback от компании Apple. Спустя несколько недель, в ходе которых пресловутый флэш-троянец неистовствовал на компьютерах под управлением Mac OS X, Apple наконец-то выпустила утилиту для удаления наиболее распространённых вариантов трояна. Обновление поставляется как «Java SE 6 version 1.6.0_31 for OS X Lion 2012-003» и по словам Apple заменяет собой все предыдущие версии Java для OS X Lion. На практике обновление автоматически отключает использование Java-апплетов на всех компьютерах под управлением Mac OS Lion (но не Snow Leopard, хотя и содержит в себе программное обеспечение для удаления трояна Flashback и в этой операционной системе). Тем не менее, пользователи OS Lion могут легко включить Java-апплеты в настройках, если это требуется им, например, для работы с интернет-банкингом и пр. Как указывает Apple, Java-апплеты вновь будут автоматически заблокированы в случае неиспользования «в течение длительного периода времени». Данное обновление выполняет сделанное компании из Купертино на прошлой неделе обещание по выпуску исправления для решения проблемы с нашумевшим трояном Flashback, заразившим за прошедшие два месяца более 600 000 компьютеров. Microsoft выпустила критические обновления. На прошедшей неделе Microsoft исправила 11 уязвимостей, выпустив шесть пакетов исправлений, четыре из которых были отмечены как критические и включены в бюллетень безопасности Apple Patch Tuesday. Все вместе данные исправления закрывают уязвимости в Internet Explorer, Windows, .NET Framework, Forefront Unified Access Gateway, Windows Common Controls и Microsoft Office. Пользователям, которые устанавливают исправления в очерёдности, зависящей от их критичности, Microsoft рекомендует сначала применить патчи для Internet Explorer, включающие в общей сложности исправления пяти уязвимостей, наиболее опасная из которых позволяет злоумышленнику удалённо выполнить код в случае открытия пользователем специально подготовленной ссылки в браузере Internet Explorer. Microsoft также советует пользователям установить критическое обновление для Windows Common Controls, исправляющее уязвимость, позволяющую заражать компьютер пользователя вредоносным программным обеспечением при посещении заражённого сайта, переходе по ссылке из электронного письма или открытии инфицированного вложения, распространяемых как правило методами социальной инженерии. Microsoft также сообщила о планируемом прекращении поддержки п
17
Апреля
2012
» Сертификат ФСБ на StoneGate SSL
Сегодня компания Stonesoft объявила о довольно-таки знаковом событии для российского рынка информационной безопасности - "Получен сертификат соответствия ФСБ России на шлюз защиты удаленного доступа StoneGate SSL".Сертификат получен на классы КС1 и КС2. В Перечне средств защиты информации, сертифицированных ФСБ России западных продуктов в принципе немного, а уж VPN-решение и вовсе первое. Конечно, бесклиентский ГОСТовый VPN - это пока экзотика на нашем рынке, но проектов, возможно, потому и было мало, что качественных сертифицированных решений испытывался дефицит. Вообще, Stonesoft большие молодцы - своей политикой по адаптации современных продуктов обеспечения сетевой безопасности под требования отечественных регуляторов они уже сильно повлияли на устоявшийся казалось бы рынок межсетевых экранов. Их подход "Зачем выбирать между сертификатом и защищённостью - возьмите всё сразу!" работает на практике и завоевывает симпатии заказчиков. Новый сертификат ФСБ открывает компании дорогу на рынок ГОСТовых криптошлюзов, так что конкурентам нужно действовать быстро и решительно, а то после получения Stonesoft (это событие ожидается уже в этом году) заветного сертификата ФСБ на классический не SSL-ный VPN расстановка сил на этом рынке может измениться до неузнаваемости.
16
Апреля
2012
» V Межотраслевой форум директоров по информационной безопасности. Впечатления.
Cпасибо Евгению Царёву, который меня, а точнее Тараса Злонова, пригласил на V Межотраслевой форум директоров по информационной безопасности, открывшийся сегодня. Делюсь своими впечатлениями.В самом первом форуме 2008 года мне довелось поучаствовать в качестве докладчика, а вот теперь, благодаря Евгению и своему блогу, предстал в ипостаси представителя прессы =) Сравнивая мероприятия, разнесённые во времени на пять лет (в 2009-2011 на форуме побывать не довелось), прежде всего хочу отметить рост числа участников: в далёком теперь 2008 году в том же зале стояли столы и людей присутствовало явно меньше, теперь же на плотно выстроенных в ряды стульях свободных мест было мало. Именно из-за общего количества участников в фойе, где были представлены стенды, было довольно тесно и в перерывах приходилось буквально протискиваться между коллегами и колоннами. Пожалуй, пришло время подыскивать другую площадку, попросторнее. Открыл форум и модерировал первую его часть Виктор Минин, чей опыт ведения подобных мероприятий на мой взгляд только отточился за прошедшие годы. В первой части были доклады представителей регуляторов, заказчиков, интеграторов и вендоров. Приведу вкратце содержание некоторых из них. Олег Залунин, представитель ФСБ. Как это принято, выступал без презентации, по бумажке =) Говорил о новой нормативной базе в сфере защиты персональных данных (ПДн). По его словам, работа над проектами законов внутри ФСБ завершена и документы отправлены на согласование во ФСТЭК и Роскомнадзор. Обещал публикацию данных законопроектов на сайте ФСБ в ближайшее время. Из основных нововведений: ввод понятий "уровень защищённости" и "категория нарушителей". Как рассказал Олег, одна из идей, которую закладывали в новые документы - минимизация затрат тех операторов ПДн, которые уже привели свои системы в соответствие требованиям законодательства, а также неужесточение требований к системам защиты. Тем не менее, всем, кто уже проделал работу по выполнению устаревших теперь требований, всё равно придётся пересмотреть модель нарушителя и внести ряд других изменений (в частности, в изданные акты), связанных с новым понятием "уровень защищённости". Уже после доклада, в ходе ответов на вопросы, Олег Залунин подчеркнул, что требования будут едиными для госорганов и коммерческих компаний, а отвечая на вопрос про трансграничную передачу ПДн посоветовал "идти от практики". Виталий Лютиков, представитель ФСТЭК. Напомнил о выходе руководящего документа (РД) для систем предотвращения вторжений (IPS), обратив внимание, что впредь упор будет делаться именно на сертификацию по общим критериям (ОК) с применением оценочных уровней доверия (ОУД). Анонсировал скорый выход РД для антивирусов, а в чуть более отдалённой перспективе - модулей доверенной загрузки, двухфакторной аутентификации и DLP. Так что, сертификация по техническим условиям (ТУ), видимо, доживает свои последние год-два. Также в выступлении Виталий посетовал на "некоторых авторов статей", дезинформирующих читателей своей неправильной трактовкой изменений в законодательстве о лицензировании. На традиционный вопрос о необходимости получения лицензии при использовании средств защиты для собственных нужд прозвучал не менее традиционный ответ: "Решение о необходимости наличия лицензии принимается самостоятельно, а для официального ответа можете обратиться с официальным запросом в соответствующий территориальный орган". Затем Виталию раза четыре в разных вариациях задали один и тот же вопрос о необходимости использовать именно сертифицированных средств для защиты ПДн. Ответ каждый раз был утвердительным со ссылкой на постановление правительства №330. - Ну, а что делать, если просто нет сертифицированных средств защиты? - Алексей Лукацкий. - Разработать! - Виктор Минин. (смех в зале) Далее выступал Алексей Лукацкий, говоривший о тенденциях в области информационной безопасности (монетизация, кибервойны и пр.), ну, да свою презентацию, думаю, Алексей у себя в блоге лучше представит. Дмитрий Костров поделился "приятной" новостью о том, что в новом разрабатываемом федеральном законе, вносящем изменения в законы "О связи" и "Об информации, информационных технологиях и о защите информации", планируется внести ряд положений, суть которых сводится к тому, что операторы связи будут обязаны закрывать доступ к сайтам в трёхдневный срок при отсутствии реакции со стороны владельцев и хостинг-провайдеров: "Решат три эксперта, что это детская порнография и - хлоп! - Facebook закрыли". Далее последовало несколько докладов от заказчиков (Северсталь, АШАН, Абсолют Банк, ВТБ24) - интересных, но малоконкретных в силу ограничений на разглашение внутренней информации, и от интеграторов (NVision Group, Инфосистемы Джет) - тоже более теоретических, чем прикладных. Завершил предобеденную сессию коллега из Avanpost с классическим "рекламным" докладом, не сумевшим, надеюсь, испортить аппетита участникам. Ведь кормить в Холидей Инн Сущевский, как я помню по 2008 году (в этот раз уехал раньше), должны более, чем достойно. Удачного всем участникам, докладчикам и организаторам завтрашнего второго дня! Надеюсь, коллеги поделятся впечатлениями от остальных выступлений.
06
Апреля
2012
» Как "правильно" представить Umbrella Security российской аудитории?
Сегодня у нас пятница и можно немного отойти от скучных и серьёзных тем. За время работы в области информационной безопасности мне довелось повидать немало презентаций зарубежных компаний, пытающихся с разной степенью успеха покорить наш отечественный рынок. Как оказалось, у всех них (презентаций) есть достаточно много общего и я с удовольствием представляю вам Типовую презентацию вымышленного иностранного бренда, выходящего на российский рынок. Итак, Обзор продуктов компании Umbrella Security Хорошего вам дня и приятных выходных!
05
Апреля
2012
» Мораль подальше отложив...
Время от времени в своём блоге я публикую достаточно, скажем так, провокационные материалы, адресованные явно или косвенно отдельным персонажам или целым компаниям. Часть из таких постов остаётся практически незамеченной, другая же вызывает обсуждения, ответные реакции, а то и вовсе выливается в те или иные офлайн последствия. При всём этом, хоть кто-то иногда невнимательно читает Disclaimer и пытается думать, что я действую как представитель конкретной компании, все мысли были и остаются сугубо моими личными оценочными суждениями. Другое дело - пресс-релизы, статьи и посты в блогах, которые пишутся от лица компании, т.е. являются официальными. Мне всегда казалось, что в официальном сообщении компании не место мелочности, дрязгам, пошлости и прочему, но мою точку разделяют далеко не все. Характерно, что раньше "публичные разборки" между конкурентами (а я сейчас говорю исключительно о рынке информационной безопасности) носили достаточно мирный характер. Вот, например, компания Аладдин Р.Д. пишет словами журналиста CNews о своих конкурентах в 2006 году: Отметим, что USB-токены, не основанные на архитектуре "смарт-карта + кард-ридер", например, ruToken, "Шипка", выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно). Технологическое превосходство над конкурентом обосновывается логически, а не на уровне эмоций, да и изложено всё достаточно корректно. А вот отрывок из интервью коммерческого директора компании Актив Дмитрия Горелова от 2004 года: Алексей Доля: Чем Rutoken отличается от своего конкурента eToken (компания Aladdin Software Security R.D.)? Дмитрий Горелов: eToken - достойный продукт. Один из первых USB-токенов, появившихся на мировом рынке. Этот идентификатор успешно продвигается на российском рынке дистрибьютором компании Аlаddin Knоwlеdge Systеms, Ltd - российской компанией Aлaддин Р.Д.. Ранее я говорил, что USB-токены сделаны на основе стандартов, пришедших из мира смарт-карт. Функционально наши идентификаторы во многом схожи, т.к. сделаны по одним стандартам. Основные отличия Rutoken от западных аналогов: полностью российское происхождение, аппаратная реализация российских криптографических алгоритмов, более низкие розничные цены. Согласитесь, вполне уважительный ответ без визга, писка и истерик. Вернёмся в наше время. Читающая личную e-mail переписку своих сотрудников компания SearchInform радостно рапортует о том, что её специалиста техподдержки пригласили пройти собеседование в компанию Инфосистемы Джет. Трудно сказать, единственный ли это случай в истории SearchInform, когда их сотрудника позвали куда-то ещё, или их доблестная система слежения сработала первый раз за время своей эксплуатации, а то может дальновидный специалист техподдержки (ну не мог же он не знать о слежке!) таким нестандартным способом решил попробовать получить определённые преференции от своего работодателя... Всё это можно только предполагать, но вот сам факт предания этого случая огласке и выбранные формулировки вполне конкретно "попахивают" чем-то неприятным: Очень надеюсь, что руководство компании Инфосистемы Джет сделает правильные выводы об этической составляющей данного поступка и предпримет соответствующие меры в отношении своих сотрудников - Марии Сигаевой и Дмитрия Кононова. Также надеюсь на публичные извинения руководства Инфосистемы Джет по факту произошедшего инцидента. Я – за цивилизованную конкуренцию. Переманивание сотрудников из конкурирующей компании я считаю недопустимым. Лев Матвеев, генеральный директор SearchInform. Наверное, Лев нанимает только не имеющих опыта работы студентов или специалистов из пищевой промышленности, а приходя к нему на работу в SearchInfrom вы обречены вечно трудиться там, даже если условия вас не устраивают... В общем, ничего красивого и элегантного в таких PR-ходах нет: скандалы, интриги, расследования (с). Конечно, в нашем с Александром Дорофеевым размене любезностями (13 Comments и 0 Reactions) тоже не было, но мы и не действуем как официальные лица (по крайней мере я). Кстати, про SearchInform мне рассказывали байку, что на всех семинарах их представители уверено говорят о своей доле на рынке в 57%. Помню, очень понравился ответ на это коллег из ТКБ: - 57 говорят? Странно: и у нас 57... </div> Изображение: http://www.rusradio.ru/upload/contents/395/%D0%BC%D0%BE%D1%80%D0%B0%D0%BB%D1%8C-600-24-02-1.jpg
11
Марта
2012
» Оптический токен от SafeNet (vs трастскрины)
В целях обеспечения безопасности систем дистанционного банковского обслуживания (ДБО) разработчики предлагают всё новые и новые способы защиты. В прошлый раз рассмотрели две новинки российского рынка, теперь перенесёмся за границу: речь пойдёт об оптическом токене от компании SafeNet. Чьи именно технологические разработки легли в основу нового устройства сказать сложно - SafeNet за последние годы скупила довольно много игроков рынка информационной безопасности. Название, однако, заимствовано из продуктовой линейки купленной в 2009 году компании Aladdin Knowledge Systems: устройство носит имя eToken 3500. Новый токен позиционируется как оптический и суть его работы сводится к следующему: Пользователь при входе в интернет-банк вводит одноразовый пароль, сгенерированный при помощи eToken 3500 (устройство фактически получается гибридное). В данном смысле eToken 3500 ничем особо не отличается от любого другого OTP-генератора (генератора одноразовых паролей - One-Time Password). Пользователь заполняет платёжное поручение, указывая платёжные реквизиты и сумму платежа. Основной риск, с которым позволяет бороться eToken 3500, заключается в том, что троян, внедрённый на компьютер пользователя, может отображать в браузере одни значения, а в банк (или на подпись в подключенный токен) передавать иные. Программное обеспечение системы ДБО на основании введённых пользователем данных генерирует специальное динамическое изображение и выводит его на экран. В данном изображении могут быть закодированы критические параметры платежа: например, сумма и номер счёта. При помощи встроенного оптического сканера eToken 3500 распознаёт полученное изображение, для чего устройство нужно поднести к экрану. Очевидно, что невозможность встраивания сканера с высокой разрешающей способностью ввиду миниатюрности устройства, и послужило причиной того, что распознаётся специально подготовленное динамическое изображение, а не просто цифры с экрана. Считанные с экрана параметры (сумму и номер счёта) eToken 3500 выводит на своём экране и просит пользователя нажатием кнопки подтвердить их правильность. Устройство генерирует ЭЦП для считанных им и подтверждённых пользователем значений параметров и выводит на экран некий код, вычисленный на основе полученной ЭЦП, длинной до 10 цифр. Полученный код пользователь вводит в окно запроса системы ДБО. Банк получает параметры платежа и код, вычисленный токеном, и проверят правильность транзакции. Общий принцип работы eToken 3500 во многом похож на принципы работы трастскринов, рассмотренных ранее: пользователю предлагается проверить критические параметры платёжного поручения на доверенном устройстве до вычисления ЭЦП. Таким образом, пользователь может быть уверен в том, что банк получит поручение именно с теми значениями, которые он вводил: подмена критических параметров платежа трояном будет выявлена на стороне банка из-за несовпадения кода ЭЦП, а поменять этот код злоумышленник не может, так как он вычисляется внутри устройства на основе отображаемых на экране и подтверждаемых пользователем параметров. Плюсы eToken 3500 по сравнению с трастскринами: большая мобильность (устройство имеет размеры 65x30x11 мм) возможность использования без подключения к компьютеру, теоретически возможно даже использование смартфонов нет необходимости приобретать дополнительное устройство (для использования SafeTouch, например, обязательно требуется ещё смарт-карта) есть встроенная аутентификация по одноразовым паролям (OTP) Недостатки eToken 3500 по сравнению с трастскринами: выводимая для проверки пользователем информация может быть только цифровая и иметь длину не более 10 цифр используется не ЭЦП, а лишь некая её производная, по длине не превышающая 7 бит (существует всего 10*10 вариантов выводимого кода, что меньше, чем 2^7=128 ) нет поддержки ГОСТ алгоритмов большие временные затраты на подпись одного платёжного поручения из-за необходимости распознавания динамического изображения Устройство, без сомнения, интересное, но вот практическая сторона его применения остаётся под вопросом. По опыту, такие устройства будят любопытство пользователей, но продаются плохо. Ссылка на flash-презентацию eToken 3500.
Привыкшие жить в безвирусной среде, пользователи Mac OS X внезапно столкнулись с жестокой реальностью, кишащей вредоносным программным обеспечением. Всегда красивые и стильные компьютеры и ноутбуки компании Apple, став популярными не только в среде дизайнеров и получив заметную долю рынка, автоматически превратились в мишень для злоумышленников, а посему антивирусы для Mac OS X, видимо, вот-вот станут такой же обыденностью, коей они являются для платформы Windows. Ну, а если вы пока ещё не решились на покупку антивируса для своего iMac или MacBook, воспользуйтесь бесплатными продуктами для удаления и лечения вирусов в среде Mac OS X. Их краткий обзор предлагаю вашему вниманию. Начать, пожалуй, стоит с утилиты для удаления ставшего уже знаменитым трояна Flashback от самой компании Apple с замысловатым названием Java SE 6 version 1.6.0_31 for OS X Lion 2012-003. Собственно, специально что-то скачивать и устанавливать не требуется - достаточно в главном меню Mac OS X выбрать пункт “Обновление ПО…”. Строго говоря, обновление системы - это то, что и так желательно делать регулярно, ну а если есть желание дополнительно убедиться в чистоте своего “Мака”, то можно прибегнуть к помощи специальных антивирусных программ. Вообще, версия для Mac есть практически у каждого уважающего себя антивирусного вендора, но в данном обзоре рассмотрим только представленные в магазине App Store и распоcтраняемые бесплатно. Присутствие в официальном магазине приложений компании Apple, во-первых, дополнительная гарантия надёжности самого приложения (проверка всех публикуемых приложений - это очень важное преимущество App Store перед, например, Android Marketplace), а во-вторых, это очевидное удобство в установке, что для неискушённых в вопросах “допиливания” операционной системы до рабочего состояния путём установки десятка-другого приложений пользователей Mac является не менее важным. Бесплатными же версиями выбор ограничен из тех соображений, что проблема заражения вредоносным программным обеспечением Mac OS X всё же не так актуальна, как это преподносится маркетинговыми службами антивирусных компаний и на данном этапе платить за антивирус для Mac далеко не обязательно. Всего в App Store удалось найти четыре бесплатных антивируса для Mac и самый, по моему мнению, сомнительный кандидат на установку - VirusBarrier Express. Работает продукт, как и все участники обзора, только в режиме сканирования - проактивной защиты не предусмотрено. К плюсам можно было бы отнести наличие русского языка, но так как текста практически нет, а качество перевода справки оставляет желать лучшего, то преимущество не принципиальное. Разработчик (Intego) мало известен, хотя и позиционирует себя как эксперта со специализацией на защите именно Mac, а сигнатуры обновляются раз в месяц, так что продукт в целом производит впечатление рекламного буклета для своих двух платных “старших братьев” VirusBarrier Plus и VirusBarrier X86. Следующее приложение - ClamXav. Движок используется известный и неплохо себя зарекомендовавший - ClamAV, так что качеству поиска вирусов вполне можно доверять, но вот интерфейс какой-то уж совсем неказистый, хотя и простой. Третий участник обзора - Dr.Web Light. Продукт российской компании набрал в App Store на удивление много негативных отзывов: и про неприлично долгое время сканирования, и про чрезмерную загрузку процессора с критическим перегревом, и даже просто про зависания. Может, конечно, это всё происки конкурентов, но, вообще, очень похоже, что приложение писалось в спешке и по маркетинговому заказу: Dr.Web изо всех сил старается сделать себе имя на новой волне угроз для Mac (война за Windows-машины уже проиграна?) - и пресс-релизы публикуют и специальный портал по тематике защиты от трояна Flashback запустили, так что приложение в App Store, вполне возможно, пришлось выпускать полуготовым. Ну, ничего, антивирус-то сам по себе не плохой - допилят, докрутят и можно будет пользоваться постоянно, а пока для самоуспокоения и разовой проверки тоже нормальный вариант. Наконец, четвёртый из доступных в App Store бесплатных антивирусов для Mac - Bitdefender Virus Scanner. Продукты Bitdefender не так широко известны в России, но в мировых рейтинга неизменно занимают призовые места. Обновление сигнатур заявлено ежечасное, интерфейс вполне приятен, а фоновое полное сканирование на моём не самом производительном Mac без проблем позволило работать и даже просматривать фильм. К тому же Bitdefender - единственный, кто с настройками по умолчанию обнаружил на подключенном внешнем диске в ISO-файлах букет malware под Windows-платформу. Не понравилось в Bitdefender только разве что отсутствие возможности задавать расписание для автоматического сканирования, а так - впечатление более, чем положительное. Бесплатность всех рассмотренных антивирусов для Mac OS X позволяет скачать и произвести сканирование всеми четырьмя, а для периодического повторения этой операции оставить тот, который больше понравится. Ну, по состоянию на сегодня, например, рейтинг приложений, в описании которых встречается слово “virus”, выглядит так (попали, правда, несколько штук нетематических): Изображение: http://thenewsit.ru/2012/04/mac-bolshe-ne-boitsya-virusov-flashback-10922.html
Продолжаем публикацию переводов еженедельного обзора событий в области информационной безопасности от компании Fortinet. Среди прочих событий (Анонимусы как обычно устраивали свои проделки) на этой неделе (неделя 16) важными событиями информационной безопасности стали новая атака на платформу Android (ей подверглось популярное приложение для обмена фотографиями) и очередное вредоносное программное обеспечение, сбивающее с толку неискушённых в вопросах безопасности пользователей Mac. Сюрприз! Очередная угроза для Mac. На прошедшей неделе был обнаружен ещё один троянец, сеющий хаос в рядах привыкших чувствовать себя в безопасности пользователей Mac OS X. Данный мак-троянец, получивший название Backdoor OSX SabPub.a, использует уязвимость в Java (Exploitl.Java CVE-2012-0507.bf), знаменитую помимо прочего своей применимостью для эффективного обхода антивирусных сканеров. SabPub, появившийся чуть более месяца назад, создаёт для платформы Mac OS X бэкдор-туннель, который может использоваться для целенаправленных атак. После своей активации троянец соединяется с удалённым web-сайтом, являющимся командно-контрольным центром, в ожидании дальнейших инструкций от своего создателя. Как только устанавливается удалённое подключение, троянец воссоздаёт на скомпрометированной машине скриншот текущего сеанса пользователя, позволяя параллельно незаметно выполнять поступающие команды. Точные механизмы заражения, используемые троянцем Backdoor SabPub, остаются до конца не изученными, а по одному из предположений его распространение была начато с применением социальной инженерии – с рассылки фишинговых писем, содержащих ссылки на заражённые web-сайты, размещённые на территории США и Германии. Oracle выпускает «впечатляющий» патч. На прошлой неделе Oracle выпустила Critical Patch Update (CPU) – критическое обновление, содержащее 88(!) исправлений множества уязвимостей, некоторые из которых позволяют злоумышленникам получить удаленный доступ в обход механизмов аутентификации. В патч включены исправления шести брешей в безопасности, четыре из которых позволяют удалённо атаковать Oracle Enterprise Manager, а также множества других брешей в безопасности таких продуктов как Oracle Database Server, Oracle Fusion Middleware, продуктов Oracle Sun, MySQL, Oracle Enterprise Manager Grid Control, Oracle e-Business Suite, Oracle Supply Chain, Oracle PeopleSoft, Oracle Industry Applications, Oracle Financial Services, а также продуктов Oracle Primavera. «Из-за угрозы успешной атаки, Oracle настоятельно рекомендует пользователям установить данное обновление как можно скорее,» - говорится в сообщении Oracle. Ранее в этом году, 31 января, Oracle в своём ежеквартальном обновлении уже выпускала обновления, устраняющие уязвимости во множестве продуктов, возникавшие из-за коллизий при использовании функции хеширования. Ошибка в программном обеспечении Oracle WebLogic Server, Oracle Application Server и Oracle IPLANET Web Server позволяла хакерами получать удалённый доступ без прохождения аутентификации с использованием, например, имени пользователя и пароля. Анонимусы атакуют Гран-при Формулы-1. Сторонники движения Anonymous ("Анонимусы") отвлеклись на этой неделе от своих обычных шалостей и организовали распределённую атаку типа отказ в обслуживании (DDoS) на web-сайт Формулы-1, проходящей в эти дни в Бахрейне, в знак поддержки протестного антиправительственного движения в этой стране. В своём заявлении глобальная хакерская группировка сообщила, что нападение было произведено с целью привлечения внимания к замалчиваемым нарушениям прав человека, совершаемых по указаниям короля Хамада Бахрейна бен Аль Халифа, и выразила мнение, что решение организаторов знаменитой автогонки о проведении этапа Формулы-1 в Бахрейне в конечном итоге означает поддержку правительства страны, где граждан безнаказанно угнетают, пытают и убивают. Анонимусы отметили, что представители этого жестокого режима, угрожающие применением огнестрельного оружия в отношении граждан, если протесты продолжатся, получат значительную прибыль от проведения гонки. За истекшие годы Анонимусы с их постоянной вовлечённостью в дискуссии о важнейших мировых политических вопросах сделали, что называется, себе имя и даже попали в список 100 самых влиятельных людей в мире по версии журнала Тайм. Правда, несмотря на то, что коллектив хакеров занял первое место среди web-аудитории журнала с 395 793 голосами, в итоговом списке их поставили только на 36 место. «Фотонапасть» для Android. Создатели вредоносных программ для мобильных платформ пририсовали себе ещё одну звёздочку на фюзеляже, реализовав успешную атаку на приложение для обмена фотографиями Instagram. Пользователей Instagram обманом принуждали установить на свой телефон с Android фальшивую копию популярного приложения, которая в фоновом режиме начинала рассылать SMS-сообщения на платные короткие номера. Вредоносная программа, родина авторов которой предположительно является Россия, показывает пользователям сетевого магазина приложений Android Marketplace фальшивую главную страницу, выдавая себя за популярное приложение Instagram, и ничего не подозревающая жертва скачивает поддельное приложение, позволяющее злоумышленникам рассылать с его телефона SMS-сообщения. За последний год число вредоносных программ для Android стремительно увеличивалось по мере роста интереса киберпреступников к этой открытой и слабо контролируемой самой Google мобильной платформе. Приложение для обмена фотографиями Instagram стало одной из главных мишеней для хакеров после того как в начале месяца небольшая компания-раз
"Большая и уважаемая" компания IDC имеет весьма и весьма специфичный взгляд на рынок информационной безопасности. Вот, например, выпустили они очередной свой отчёт (новость на CNews), в котором посчитали доли на российском рынке аппаратных решений в области информационной безопасности: Cisco - 27,1% Код Безопасности - 13,9% Аладдин - 12,2% Check Point - 12% Juniper - 7,4% остальные - 27,4 % "Лидеры рынка", конечно, перепечатали эту новость, да вот только отчёт-то весьма и весьма сомнительный... Буквально несколько вопросов: Что такое "рынок аппаратных ИБ-решений"? Сервер с установленным ПО UserGate - это аппаратное решение или программное? А как быть с продуктами, поставляемыми в виде законченных устройств с предустановленным ПО (appliance), просто ПО (software) или виртуальных решений (virtual appliance), - их куда относить? К трём разным рынкам? Компании какого типа участвовали? Если производители, тогда при чём здесь Аладдин (правильно - Аладдин Р.Д., кстати), формально до сих пор не имеющий никакого статуса у SafeNet? Что за цифры оценивались? Суммы поставок конечным пользователям в розничных ценах? А кто тогда из них стоимость очень часто включаемых услуг по внедрению вычитал? Как можно суммировать рынки межсетевых экранов, средств аутентифкации и электронных замков? Хотя, вроде как электронные замки не учитывались вовсе: "В терминологии IDC рынок аппаратных решений информационной безопасности два основных функциональных сегмента: решений по защите внешнего периметра и решений по аутентификации. В первый сегмент входят решения класса FW/VPN, IDS & IPS, UTM, Content Management, во второй – токены и смарт-карты, помогающие обеспечивать более надежную идентификацию пользователей при доступе к информационным ресурсам." В общем, отчёт хоть и занятный, но абсолютно не показательный. С таким же успехом можно было в соответствующем каталоге Яндекса аппаратные решения искать и по тематическому индексу цитируемости выводы делать, например. Изображение: http://www.e-reading.org.ua/cover/90/90628.jpg
Удобнее всего использовать Excel, введя в ячейку A1 дату, а в любую другую - формулу: =ЦЕЛОЕ((A1-ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3)+ДЕНЬНЕД(ДАТА(ГОД(A1-ДЕНЬНЕД(A1-1)+4);1;3))+5)/7)
Коллеги, представляю вашему вниманию перевод еженедельного обзора от компании Fortinet, читать который, конечно, лучше в оригинале, но для экономии времени можно ограничиться и этим постом. Представляем краткий обзор событий информационной безопасности за 9-13 апреля 2012 года (неделя 15). Основными событиями прошедшей недели можно считать выпуск обновлений компаниями Microsoft и Apple, а также усилия компании HP по предупреждению своих пользователей о поставке коммутаторов ProCurve с вредоносным кодом. HP поставляла заражённые флэш-карты. На прошлой неделе компания HP распространила предупреждение для своих покупателей о том, что часть из её коммутаторов ProCurve серии 5400 были поставлены с флэш-картами, заражёнными вредоносным программным обеспечением, которое при использовании флэш-карт на обычных компьютерах может привести к потенциальной компрометации информационных систем пользователей. HP не раскрывает детали относительно конкретного типа вредоносного обеспечения и возможных негативных последствий для информационных систем, но рекомендует поступить одним из двух способов: «вылечить» флэш-карты скачав специальный скрипт с сайта HP или обратиться к поставщику для осуществления аппаратной замены. Утилита для борьбы с трояном Flashback от компании Apple. Спустя несколько недель, в ходе которых пресловутый флэш-троянец неистовствовал на компьютерах под управлением Mac OS X, Apple наконец-то выпустила утилиту для удаления наиболее распространённых вариантов трояна. Обновление поставляется как «Java SE 6 version 1.6.0_31 for OS X Lion 2012-003» и по словам Apple заменяет собой все предыдущие версии Java для OS X Lion. На практике обновление автоматически отключает использование Java-апплетов на всех компьютерах под управлением Mac OS Lion (но не Snow Leopard, хотя и содержит в себе программное обеспечение для удаления трояна Flashback и в этой операционной системе). Тем не менее, пользователи OS Lion могут легко включить Java-апплеты в настройках, если это требуется им, например, для работы с интернет-банкингом и пр. Как указывает Apple, Java-апплеты вновь будут автоматически заблокированы в случае неиспользования «в течение длительного периода времени». Данное обновление выполняет сделанное компании из Купертино на прошлой неделе обещание по выпуску исправления для решения проблемы с нашумевшим трояном Flashback, заразившим за прошедшие два месяца более 600 000 компьютеров. Microsoft выпустила критические обновления. На прошедшей неделе Microsoft исправила 11 уязвимостей, выпустив шесть пакетов исправлений, четыре из которых были отмечены как критические и включены в бюллетень безопасности Apple Patch Tuesday. Все вместе данные исправления закрывают уязвимости в Internet Explorer, Windows, .NET Framework, Forefront Unified Access Gateway, Windows Common Controls и Microsoft Office. Пользователям, которые устанавливают исправления в очерёдности, зависящей от их критичности, Microsoft рекомендует сначала применить патчи для Internet Explorer, включающие в общей сложности исправления пяти уязвимостей, наиболее опасная из которых позволяет злоумышленнику удалённо выполнить код в случае открытия пользователем специально подготовленной ссылки в браузере Internet Explorer. Microsoft также советует пользователям установить критическое обновление для Windows Common Controls, исправляющее уязвимость, позволяющую заражать компьютер пользователя вредоносным программным обеспечением при посещении заражённого сайта, переходе по ссылке из электронного письма или открытии инфицированного вложения, распространяемых как правило методами социальной инженерии. Microsoft также сообщила о планируемом прекращении поддержки п
Сегодня компания Stonesoft объявила о довольно-таки знаковом событии для российского рынка информационной безопасности - "Получен сертификат соответствия ФСБ России на шлюз защиты удаленного доступа StoneGate SSL".Сертификат получен на классы КС1 и КС2. В Перечне средств защиты информации, сертифицированных ФСБ России западных продуктов в принципе немного, а уж VPN-решение и вовсе первое. Конечно, бесклиентский ГОСТовый VPN - это пока экзотика на нашем рынке, но проектов, возможно, потому и было мало, что качественных сертифицированных решений испытывался дефицит. Вообще, Stonesoft большие молодцы - своей политикой по адаптации современных продуктов обеспечения сетевой безопасности под требования отечественных регуляторов они уже сильно повлияли на устоявшийся казалось бы рынок межсетевых экранов. Их подход "Зачем выбирать между сертификатом и защищённостью - возьмите всё сразу!" работает на практике и завоевывает симпатии заказчиков. Новый сертификат ФСБ открывает компании дорогу на рынок ГОСТовых криптошлюзов, так что конкурентам нужно действовать быстро и решительно, а то после получения Stonesoft (это событие ожидается уже в этом году) заветного сертификата ФСБ на классический не SSL-ный VPN расстановка сил на этом рынке может измениться до неузнаваемости.
Cпасибо Евгению Царёву, который меня, а точнее Тараса Злонова, пригласил на V Межотраслевой форум директоров по информационной безопасности, открывшийся сегодня. Делюсь своими впечатлениями.В самом первом форуме 2008 года мне довелось поучаствовать в качестве докладчика, а вот теперь, благодаря Евгению и своему блогу, предстал в ипостаси представителя прессы =) Сравнивая мероприятия, разнесённые во времени на пять лет (в 2009-2011 на форуме побывать не довелось), прежде всего хочу отметить рост числа участников: в далёком теперь 2008 году в том же зале стояли столы и людей присутствовало явно меньше, теперь же на плотно выстроенных в ряды стульях свободных мест было мало. Именно из-за общего количества участников в фойе, где были представлены стенды, было довольно тесно и в перерывах приходилось буквально протискиваться между коллегами и колоннами. Пожалуй, пришло время подыскивать другую площадку, попросторнее. Открыл форум и модерировал первую его часть Виктор Минин, чей опыт ведения подобных мероприятий на мой взгляд только отточился за прошедшие годы. В первой части были доклады представителей регуляторов, заказчиков, интеграторов и вендоров. Приведу вкратце содержание некоторых из них. Олег Залунин, представитель ФСБ. Как это принято, выступал без презентации, по бумажке =) Говорил о новой нормативной базе в сфере защиты персональных данных (ПДн). По его словам, работа над проектами законов внутри ФСБ завершена и документы отправлены на согласование во ФСТЭК и Роскомнадзор. Обещал публикацию данных законопроектов на сайте ФСБ в ближайшее время. Из основных нововведений: ввод понятий "уровень защищённости" и "категория нарушителей". Как рассказал Олег, одна из идей, которую закладывали в новые документы - минимизация затрат тех операторов ПДн, которые уже привели свои системы в соответствие требованиям законодательства, а также неужесточение требований к системам защиты. Тем не менее, всем, кто уже проделал работу по выполнению устаревших теперь требований, всё равно придётся пересмотреть модель нарушителя и внести ряд других изменений (в частности, в изданные акты), связанных с новым понятием "уровень защищённости". Уже после доклада, в ходе ответов на вопросы, Олег Залунин подчеркнул, что требования будут едиными для госорганов и коммерческих компаний, а отвечая на вопрос про трансграничную передачу ПДн посоветовал "идти от практики". Виталий Лютиков, представитель ФСТЭК. Напомнил о выходе руководящего документа (РД) для систем предотвращения вторжений (IPS), обратив внимание, что впредь упор будет делаться именно на сертификацию по общим критериям (ОК) с применением оценочных уровней доверия (ОУД). Анонсировал скорый выход РД для антивирусов, а в чуть более отдалённой перспективе - модулей доверенной загрузки, двухфакторной аутентификации и DLP. Так что, сертификация по техническим условиям (ТУ), видимо, доживает свои последние год-два. Также в выступлении Виталий посетовал на "некоторых авторов статей", дезинформирующих читателей своей неправильной трактовкой изменений в законодательстве о лицензировании. На традиционный вопрос о необходимости получения лицензии при использовании средств защиты для собственных нужд прозвучал не менее традиционный ответ: "Решение о необходимости наличия лицензии принимается самостоятельно, а для официального ответа можете обратиться с официальным запросом в соответствующий территориальный орган". Затем Виталию раза четыре в разных вариациях задали один и тот же вопрос о необходимости использовать именно сертифицированных средств для защиты ПДн. Ответ каждый раз был утвердительным со ссылкой на постановление правительства №330. - Ну, а что делать, если просто нет сертифицированных средств защиты? - Алексей Лукацкий. - Разработать! - Виктор Минин. (смех в зале) Далее выступал Алексей Лукацкий, говоривший о тенденциях в области информационной безопасности (монетизация, кибервойны и пр.), ну, да свою презентацию, думаю, Алексей у себя в блоге лучше представит. Дмитрий Костров поделился "приятной" новостью о том, что в новом разрабатываемом федеральном законе, вносящем изменения в законы "О связи" и "Об информации, информационных технологиях и о защите информации", планируется внести ряд положений, суть которых сводится к тому, что операторы связи будут обязаны закрывать доступ к сайтам в трёхдневный срок при отсутствии реакции со стороны владельцев и хостинг-провайдеров: "Решат три эксперта, что это детская порнография и - хлоп! - Facebook закрыли". Далее последовало несколько докладов от заказчиков (Северсталь, АШАН, Абсолют Банк, ВТБ24) - интересных, но малоконкретных в силу ограничений на разглашение внутренней информации, и от интеграторов (NVision Group, Инфосистемы Джет) - тоже более теоретических, чем прикладных. Завершил предобеденную сессию коллега из Avanpost с классическим "рекламным" докладом, не сумевшим, надеюсь, испортить аппетита участникам. Ведь кормить в Холидей Инн Сущевский, как я помню по 2008 году (в этот раз уехал раньше), должны более, чем достойно. Удачного всем участникам, докладчикам и организаторам завтрашнего второго дня! Надеюсь, коллеги поделятся впечатлениями от остальных выступлений.
Сегодня у нас пятница и можно немного отойти от скучных и серьёзных тем. За время работы в области информационной безопасности мне довелось повидать немало презентаций зарубежных компаний, пытающихся с разной степенью успеха покорить наш отечественный рынок. Как оказалось, у всех них (презентаций) есть достаточно много общего и я с удовольствием представляю вам Типовую презентацию вымышленного иностранного бренда, выходящего на российский рынок. Итак, Обзор продуктов компании Umbrella Security Хорошего вам дня и приятных выходных!
Время от времени в своём блоге я публикую достаточно, скажем так, провокационные материалы, адресованные явно или косвенно отдельным персонажам или целым компаниям. Часть из таких постов остаётся практически незамеченной, другая же вызывает обсуждения, ответные реакции, а то и вовсе выливается в те или иные офлайн последствия. При всём этом, хоть кто-то иногда невнимательно читает Disclaimer и пытается думать, что я действую как представитель конкретной компании, все мысли были и остаются сугубо моими личными оценочными суждениями. Другое дело - пресс-релизы, статьи и посты в блогах, которые пишутся от лица компании, т.е. являются официальными. Мне всегда казалось, что в официальном сообщении компании не место мелочности, дрязгам, пошлости и прочему, но мою точку разделяют далеко не все. Характерно, что раньше "публичные разборки" между конкурентами (а я сейчас говорю исключительно о рынке информационной безопасности) носили достаточно мирный характер. Вот, например, компания Аладдин Р.Д. пишет словами журналиста CNews о своих конкурентах в 2006 году: Отметим, что USB-токены, не основанные на архитектуре "смарт-карта + кард-ридер", например, ruToken, "Шипка", выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно). Технологическое превосходство над конкурентом обосновывается логически, а не на уровне эмоций, да и изложено всё достаточно корректно. А вот отрывок из интервью коммерческого директора компании Актив Дмитрия Горелова от 2004 года: Алексей Доля: Чем Rutoken отличается от своего конкурента eToken (компания Aladdin Software Security R.D.)? Дмитрий Горелов: eToken - достойный продукт. Один из первых USB-токенов, появившихся на мировом рынке. Этот идентификатор успешно продвигается на российском рынке дистрибьютором компании Аlаddin Knоwlеdge Systеms, Ltd - российской компанией Aлaддин Р.Д.. Ранее я говорил, что USB-токены сделаны на основе стандартов, пришедших из мира смарт-карт. Функционально наши идентификаторы во многом схожи, т.к. сделаны по одним стандартам. Основные отличия Rutoken от западных аналогов: полностью российское происхождение, аппаратная реализация российских криптографических алгоритмов, более низкие розничные цены. Согласитесь, вполне уважительный ответ без визга, писка и истерик. Вернёмся в наше время. Читающая личную e-mail переписку своих сотрудников компания SearchInform радостно рапортует о том, что её специалиста техподдержки пригласили пройти собеседование в компанию Инфосистемы Джет. Трудно сказать, единственный ли это случай в истории SearchInform, когда их сотрудника позвали куда-то ещё, или их доблестная система слежения сработала первый раз за время своей эксплуатации, а то может дальновидный специалист техподдержки (ну не мог же он не знать о слежке!) таким нестандартным способом решил попробовать получить определённые преференции от своего работодателя... Всё это можно только предполагать, но вот сам факт предания этого случая огласке и выбранные формулировки вполне конкретно "попахивают" чем-то неприятным: Очень надеюсь, что руководство компании Инфосистемы Джет сделает правильные выводы об этической составляющей данного поступка и предпримет соответствующие меры в отношении своих сотрудников - Марии Сигаевой и Дмитрия Кононова. Также надеюсь на публичные извинения руководства Инфосистемы Джет по факту произошедшего инцидента. Я – за цивилизованную конкуренцию. Переманивание сотрудников из конкурирующей компании я считаю недопустимым. Лев Матвеев, генеральный директор SearchInform. Наверное, Лев нанимает только не имеющих опыта работы студентов или специалистов из пищевой промышленности, а приходя к нему на работу в SearchInfrom вы обречены вечно трудиться там, даже если условия вас не устраивают... В общем, ничего красивого и элегантного в таких PR-ходах нет: скандалы, интриги, расследования (с). Конечно, в нашем с Александром Дорофеевым размене любезностями (13 Comments и 0 Reactions) тоже не было, но мы и не действуем как официальные лица (по крайней мере я). Кстати, про SearchInform мне рассказывали байку, что на всех семинарах их представители уверено говорят о своей доле на рынке в 57%. Помню, очень понравился ответ на это коллег из ТКБ: - 57 говорят? Странно: и у нас 57... </div> Изображение: http://www.rusradio.ru/upload/contents/395/%D0%BC%D0%BE%D1%80%D0%B0%D0%BB%D1%8C-600-24-02-1.jpg
В целях обеспечения безопасности систем дистанционного банковского обслуживания (ДБО) разработчики предлагают всё новые и новые способы защиты. В прошлый раз рассмотрели две новинки российского рынка, теперь перенесёмся за границу: речь пойдёт об оптическом токене от компании SafeNet. Чьи именно технологические разработки легли в основу нового устройства сказать сложно - SafeNet за последние годы скупила довольно много игроков рынка информационной безопасности. Название, однако, заимствовано из продуктовой линейки купленной в 2009 году компании Aladdin Knowledge Systems: устройство носит имя eToken 3500. Новый токен позиционируется как оптический и суть его работы сводится к следующему: Пользователь при входе в интернет-банк вводит одноразовый пароль, сгенерированный при помощи eToken 3500 (устройство фактически получается гибридное). В данном смысле eToken 3500 ничем особо не отличается от любого другого OTP-генератора (генератора одноразовых паролей - One-Time Password). Пользователь заполняет платёжное поручение, указывая платёжные реквизиты и сумму платежа. Основной риск, с которым позволяет бороться eToken 3500, заключается в том, что троян, внедрённый на компьютер пользователя, может отображать в браузере одни значения, а в банк (или на подпись в подключенный токен) передавать иные. Программное обеспечение системы ДБО на основании введённых пользователем данных генерирует специальное динамическое изображение и выводит его на экран. В данном изображении могут быть закодированы критические параметры платежа: например, сумма и номер счёта. При помощи встроенного оптического сканера eToken 3500 распознаёт полученное изображение, для чего устройство нужно поднести к экрану. Очевидно, что невозможность встраивания сканера с высокой разрешающей способностью ввиду миниатюрности устройства, и послужило причиной того, что распознаётся специально подготовленное динамическое изображение, а не просто цифры с экрана. Считанные с экрана параметры (сумму и номер счёта) eToken 3500 выводит на своём экране и просит пользователя нажатием кнопки подтвердить их правильность. Устройство генерирует ЭЦП для считанных им и подтверждённых пользователем значений параметров и выводит на экран некий код, вычисленный на основе полученной ЭЦП, длинной до 10 цифр. Полученный код пользователь вводит в окно запроса системы ДБО. Банк получает параметры платежа и код, вычисленный токеном, и проверят правильность транзакции. Общий принцип работы eToken 3500 во многом похож на принципы работы трастскринов, рассмотренных ранее: пользователю предлагается проверить критические параметры платёжного поручения на доверенном устройстве до вычисления ЭЦП. Таким образом, пользователь может быть уверен в том, что банк получит поручение именно с теми значениями, которые он вводил: подмена критических параметров платежа трояном будет выявлена на стороне банка из-за несовпадения кода ЭЦП, а поменять этот код злоумышленник не может, так как он вычисляется внутри устройства на основе отображаемых на экране и подтверждаемых пользователем параметров. Плюсы eToken 3500 по сравнению с трастскринами: большая мобильность (устройство имеет размеры 65x30x11 мм) возможность использования без подключения к компьютеру, теоретически возможно даже использование смартфонов нет необходимости приобретать дополнительное устройство (для использования SafeTouch, например, обязательно требуется ещё смарт-карта) есть встроенная аутентификация по одноразовым паролям (OTP) Недостатки eToken 3500 по сравнению с трастскринами: выводимая для проверки пользователем информация может быть только цифровая и иметь длину не более 10 цифр используется не ЭЦП, а лишь некая её производная, по длине не превышающая 7 бит (существует всего 10*10 вариантов выводимого кода, что меньше, чем 2^7=128 ) нет поддержки ГОСТ алгоритмов большие временные затраты на подпись одного платёжного поручения из-за необходимости распознавания динамического изображения Устройство, без сомнения, интересное, но вот практическая сторона его применения остаётся под вопросом. По опыту, такие устройства будят любопытство пользователей, но продаются плохо. Ссылка на flash-презентацию eToken 3500.