Свежие посты   По годам   По датам
  • 20 Февраля 2012 » Трастскрины от Актива и СэйфТека
    В прошлом году на рынке появились сразу два продукта со сходным функционалом: Рутокен PINPad и SafeTouch. По словам некоторых заказчиков, производители сейчас усиленно нахваливают свои чудо-устройства и преподносят их чуть ли не как панацею от всех угроз дистанционного банковского обслуживания (ДБО). Давайте посмотрим, что же нам предлагают на самом деле. Эпоха парольной аутентификации при проведении платежей с использованием интернет-банкинга, к счастью, канула в Лету: банки давно перешли на цифровые сертификаты, а наиболее продвинутые предлагают клиентам хранить закрытые ключи даже уже не на жёстком диске/флешке, а в защищённой памяти токена. Самые же передовые и вовсе реализовали в своих системах ДБО поддержку токенов с аппаратно реализованным отечественным ГОСТом, из которых закрытый ключ электронно-цифровой подписи (ЭЦП) и вовсе извлечь нельзя. Казалось бы, бухгалтерам и финансистам можно спать спокойно - ключ ЭЦП надёжно защищён, но не всё так просто: оказалось, что ушлые злоумышленники научились подменять данные, которые отправляются в токен на подпись. Реализуется данное злодейство с использованием трояна (например, Silent Banker) и только при физически подключенном токене, но когда речь идёт о реальных больших деньгах - всё решаемо. Противостоять такой угрозе, в общем-то, не так и сложно: выделенный компьютер с регулярно обновляющимся антивирусом, запретом всех соединений, кроме требуемых для работы интернет-банка, урезание прав пользователя до минимума… Да вот только на практике всё сводится к банальному человеческому фактору: лень пользователя и его нежелание терпеть неудобства в работе неизбежно ведут к нарушению или неисполнению этих простых правил безопасности. В результате компьютер с установленным клиентом ДБО перестаёт быть доверенной средой со всеми вытекающими последствиями. Что же предлагают компании Актив и СейфТек для решения этой проблемы? В принципе, предложение вполне логичное: если компьютер среда недоверенная, значит, надо добавить ещё один элемент, который нельзя (или очень сложно) будет скомпрометировать. В качестве такого элемента и предлагаются трастскрины, подключаемые в разрыв между компьютером и токеном (смарт-картой). Суть работы упрощённо можно описать так: пользователь на экране устройства видит реквизиты платёжного поручения, которое отправляется на подпись, и должен подтвердить их правильность, нажав соответствующую кнопку: Подробнее с внутренним устройством SafeTouch можно познакомится, например, вот в этом патенте на полезную модель, у Рутокен PINPad принцип во многом аналогичен. К несомненным плюсам такого подхода, очевидно, можно отнести тот факт, что теперь установленный троян не сможет самопроизвольно подписывать платёжные документы - нажать на кнопку устройства он не сумеет: нужен живой человек, но вот этот самый живой человек всё также и будет самым слабым звеном. Какие мне видятся признаки отсутствия панацейности у этого решения? Во-первых, очевидно, что при большом числе транзакций устройство элементарно начнёт мешать. Что сделает с мешающим устройством пользователь? Правильно, исключит его из цепочки и будет подписывать всё “по старинке”, так что разработчикам лучше позаботится о введении опции принудительного использования трастскрина. Второй аспект - человеческая внимательность. Посмотрите на две картинки устройств SafeTouch чуть выше - как быстро вы заметите различия в них? Понятно, что злоумышленникам придётся подбирать похожие названия и реквизиты для подставных контрагентов и ограничивать свой аппетит в дорисовывании нулей к перечисляемым суммам, чтобы успешно обманывать пользователей, но, думаю, это вполне решаемо. Почти наверняка использование трастскрина усыпит бдительность пользователя и внедрение трояна, ворующего статистику платежей, станет вполне реальным. Изучение статистики (желательно, от большого числа контрагентов) подскажет дальнейшие действия. Например, все юридические лица регулярно совершают одни и те же платежи в пользу государства, уплачивая налоги и прочие сборы, а значит, создав соответствующее “фишинговое” юрлицо, можно одновременно попытаться обмануть сразу многих. В конце концов, рассылают же предприимчивые граждане письма якобы из ГИБДД с уведомлением о штрафе и левыми реквизитами. Кто-то ведь да платит, иначе и рассылок таких не было. Далее, вклинивать обманную платёжку лучше в поток подписываемых документов: вряд ли кто-то будет также внимательно сверять реквизиты в седьмом подряд платёжном поручении, как в нескольких первых. Мне вообще кажется, что спустя несколько недель активного использования нажатие кнопки “Подписать” будет происходить на автомате. Наконец, раз возможности трояна по изменению отображаемого на экране компьютера мы признали безграничными, то никто не мешает во входящем электронном письме со счётом поменять реквизиты на подставные. На экране компьютера и на экране устройства тогда будут отображены одинаково неправильные параметры платёжного поручения. Признавая компьютер недоверенным устройством, надо тогда уж не доверять ему ни в чём, и счёт с платёжными реквизитами получать по другому каналу, вот только о доверенных устройствах для получения счёта что-то я пока не слышал… Ну не рассматривать же всерьёз в качестве такового смартфон с почтовым клиентом, на который дублируется входящая почта? Что ж, панацеи в очередной раз мы не имеем, но и совсем ставить крест на трастскринах тоже было бы неправильно. Для небольших компаний с малым числом платежей устройство вполне себе оправдано, причём именно SafeTouch с его более демократичной ценой (1600 рублей против 3550 рублей у Актива). Да вот только небольшие компании не так остро осознают реальность угроз и продавать им гораздо сложнее: пойди попробуй убеди каждого по отдельности в необходимости трастскрина, да потом ещё поддержку и послепродажное обслуживание организуй. Для коммерческого успеха трастскрины должны стать массовым продуктом, поэтому без поддержки разработчиков ДБО и самих банков тут будет сложно. Впрочем, коллеги из SafeTech похоже, сами это прекрасно понимают и идут верным путём, да и Актив, судя по сайту, движется в том же направлении. Будем дальше следить за развитием событий, хотя это, конечно, было бы делать гораздо удобнее, если бы разработчики добавили себе на сайты RSS-ленты, ну, да ладно, все силы брошены на другое, понимаю =)

  • 14 Февраля 2012 » Все прыгнули - и я прыгнул....
    Тему добровольно-принудительной сертификации своих решений разработчиками средств защиты я уже поднимал, но вот появился очередной повод вернуться к ней: Система Falcongaze SecureTower успешно прошла сертификацию ФСТЭК.Меня не покидает ощущение, что производители, сертифицирующие свои продукты, часто вообще не понимают - что и для чего они делают. Бесконечная далёкость от темы и слабое “знание матчасти” невооружённым взглядом видно даже вот в этой цитате: «Учитывая факт вступления в силу в июле минувшего года Федерального закона №152-ФЗ «О персональных данных», получение сертификата ФСТЭК является для нас знаковым событием. Ведь для большинства организаций приобретение сертифицированного СЗИ не только практическая необходимость, но и возможность соответствовать требованиям регуляторов», - сказал Александр Акимов, генеральный директор компании Falcongaze. В самом законе, между тем, явно указано: "Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования", а опубликован он был в "Российской газете" от 29 июля 2006 г., в "Парламентской газете" от 3 августа 2006 г. и в Собрании законодательства Российской Федерации от 31 июля 2006 г., т.е. даже если брать последнюю публикацию, то закон действует уже более пяти(!) лет (03.08.2006+180 = 30.01.2007). Понятно, что Александр Акимов имел в виду столь нашумевшие в прошлом году изменения в данном Федеральном законе, но факт остаётся фактом - сотрудники компании, готовившие данный пресс-релиз, не очень, что называется "в теме". Ровно, кстати, как и многие заказчики. Типичный диалог выглядит примерно так: - А у вас на этот продукт есть лицензия? - Вы имеете в виду сертификат? - Да, точно. Есть на него сертификат? - А какую именно сертификацию вы имеете в виду? - Ну, не знаю... Так есть или нет? Понять компанию Falcongaze, конечно, можно: вон у большинства конкурентов какой-никакой, но сертификатик имеется, чем же они хуже? Да вот только есть ли чёткое понимание, что это за сертификат, что он даёт заказчикам и действительно ли он так уж нужен? Неизвестно ещё, кстати, какие формулировки в технических условиях указаны: там, по опыту, столько нюансов возникнуть может... Неужели общими усилиями органов по сертификации, испытательных лабораторий и регуляторов сертификация ФСТЭК окончательно скатится к чему-то вроде "одобрено ведущими собаководами"? =( Изображение: http://cvi.kz/uploads/posts/2011-07/1310153791_podborka11032011-16.jpg

  • 08 Февраля 2012 » JaCarta - убийца eToken?
    Всегда с интересом читаю пресс-релизы, касающиеся вопросов, в которых я в силу своего рода занятий немного разбираюсь. Вдумчивое изучение текстов, вышедших из-под пера PR-менеджеров, и дальнейшее активное “гугление” порой дают неожиданные результаты. Сегодня применим этот метод к новости о том, что “Встраиваемый модуль безопасности TSM от «Аладдин Р.Д.» сертифицирован ФСТЭК”. Текст содержит интересный пассаж о (внимание!) трёхфакторной аутентификации: TSM обеспечивает защиту от несанкционированного доступа с помощью трехфакторной аутентификации, осуществляемой по наличию аппаратного идентификатора (eToken, iButton), присутствию на нем специального логического идентификатора и знанию пользователем PIN-кода доступа. Оставим, впрочем, на совести автора тот факт, что при краже аппаратного идентификатора злоумышленник заодно получает и записанный на нём логический идентификатор, что, вообще говоря, не позволяет говорить о двух разных факторах. [box type="info" style="rounded"]UPD. 24.07.2012 На сайте "трехфакторной" поменяли на "двухфакторной", но перечисляется по-прежнему три сущности.[/box] Меня больше заинтересовало, почему пресс-релиз не совместный с Kraftway (ведь сертифицированный модуль работает только на их компьютерах)? Быть может, они выпустили отдельный пресс-релиз? В пресс-центре на сайте Kraftway данной новости обнаружено не было, но упоминание самого модуля есть в описании моделей с его поддержкой (например, Kraftway Credo KC38 и Kraftway Credo VV18). Как оказалось, поддержка данных модулей реализована уже достаточно давно, а сотрудничество в этом направлении компании и вовсе ведут с конца 2010 года. Есть на сайте Kraftway и сертификат на TSM, но особый интерес вызывает, конечно же, подробное описание характеристик и функционала TSM, взятое, судя по всему, из технический условий или паспорта изделия. Буквально в самом начале видим: TSM взаимодействует с идентифицирующими устройствами (ИУ), в качестве которых выступают ключи eToken или JaCarta в форм-факторе USB-ключа или смарт-карты. (См. Update в конце поста.) Ключи eToken - понятное дело, но, позвольте, а что за зверь такой JaCarta? В пресс-релизе Аладдин Р.Д. такое не упоминается. Google и Яндекс по запросу "jacarta" выдают явно не относящиеся к делу ссылки, да ещё и предлагают исправить написание на "jakarta", что уж совсем не из нашей оперы. "Помощь пришла откуда не ждали" - упоминание JaCarta нашлось на сайте Аладдин Р.Д. И пусть ссылка не открывается, нам теперь понятно, что искать дальше. Опущу лишние подробности и тонкости поиска, перейдя сразу к фактам. Домен jacarta.ru был зарегистрирован 04 апреля 2011 года на "Aladdin Software Security R.D. Ltd.", читай - ЗАО "Аладдин Р.Д." На официальном сайте Аладдин Р.Д. действительно присутствует (присутствовал) раздел "/catalog/jacarta/", но его поисковая индексация запрещена. Сайт jacarta.ru (набирать без www) наполнен смесью контента с официального сайта Аладдин Р.Д. и содержит упоминание некоей ООО "Алеро-Сервис" с контактами самого Аладдин Р.Д. У Алеро-Сервис есть свой сайт (заполненный пока всё тем же промежуточным контентом) и даже логотип. ООО "Алеро-Сервис" 06 октября 2011 года получило Лицензию на деятельность по разработке и (или) производству средств защиты конфиденциальной информации, что отражено в соответствующем реестре ФСТЭК. Сама компания зарегистрирована ещё 03 августа 2007 года и её генеральным директором является Груздев Сергей Львович (его полный тёзка является генеральным директором ЗАО "Аладдин Р.Д.") У компаний ООО "Алеро-Сервис" и ЗАО "Документальные Системы" есть дочернее предприятие ООО "СИС" (Сертифицированные информационные системы). [box type="info" style="rounded"]UPD. 14.02.2014 Об актуальном способе получения информации о факте аффилированности этих компаний рассказал по просьбе читателя в посте Читаем между адресных строк или Как узнать учредителей юридического лица.[/box] Что же получается? В свете непростой ситуациии в России с дистрибьюцией ключей eToken и использованием торговой марки "Aladdin" руководство Аладдин Р.Д. через ООО "Алеро-Сервис" подготовило себе запасной аэродром в виде доли в ООО "СИС" с одной стороны (напомню, что именно эту компанию SafeNet, купивший бизнес eToken, сделал российским дистрибьютором по данному направлению) и разработки аналога под названием JaCarta с другой? Что ж, если это так, то ход вполне себе закономерный: кормясь от продаж eToken, инвестировать в конкурирующую разработку, прописывать её потихоньку в сертификаты, с тем, чтобы со временем получить возможность полностью переключиться на новый носитель JaCarta и убить рынок сертифицированных eToken за счёт контроля над всеми сертификатами eToken и своих связей с заказчиками и партнёрами. Возможно, конечно, что у вас сложится свой взгляд на картину происходящего, но факты остаются фактами - дело только за их интерпретацией. Интересно, глаза кому и на чьи маленькие секреты и хитрости откроет этот пост? =) [box type="info" style="rounded"]UPD. 09.02.2012 Данный пост, очевидно, прочитали и сайт http://jacarta.ru более недоступен (редиректится). Предвидя такой поворот событий, сохранил пару скриншотов. Вот они: Кстати, из результатов поиска на aladdin-rd.ru убрали всякое упоминание о "jacarta", но скриншот с тем, что выдавалось ещё буквально вчера, есть выше в самом посте. Вас такое тщательное заметание следов не наводит на мысль о верности сделанного выше предположения? [/box] [box type="info" style="rounded"]UPD. 20.02.2012 Слушайте, всё становится ещё интереснее: теперь с сайта Kraftway убрали упоминание о поддержке JaCarta в модуле TSM! Вот так всё выглядело раньше: А вот здесь целиком исходный текст страницы в html-виде. Кэш Яндекса пока тоже выдаёт вариант с JaCarta, но, боюсь, это временно.[/box] Изображение: http://recuerdosinventados.blogspot.com/2008/03/killer-cat-periodismo-patritico.html

  • 07 Февраля 2012 » Как я чуть не "взломал" Альфа-Банк
    Сразу оговорюсь, что взлома и даже попыток такового на самом деле не было, а история больше примечательна реакцией самого банка на инцидент, произошедший по причине моей невнимательности. У Альфа-Банка есть замечательное приложение для мобильных телефонов - Альфа-Мобайл, с помощью которого можно удобно просматривать состояние своих счетов и выполнять некоторые платежи. Для входа в приложение (здесь и далее рассказываю на примере версии для iOS) нужно ввести свой логин и пароль. В отличие от того же Альфа-Клик (интернет-клиент для работы со своими счетами) не требуется вводить одноразовые пароли при входе и каждой операции, что значительно ускоряет работу с оплатой счетов и пр. На днях, войдя в очередной раз в Альфа-Мобайл, увидел вот такую замечательную картину: Вроде бы ничего необычного, да только увиденные мною счета и суммы были не моими. Естественно, я поступил так же, как поступил бы любой нормальный человек на моём месте: первым же делом перевёл все деньги себе позвонил в Альфа-Банк. К слову, реальных возможностей вывода денег со счёта при помощи Альфа-Мобайл не так много: можно лишь пополнить баланс постороннего мобильного телефона или оплатить услуги Интернет чужому провайдеру, а вот все остальные внешние переводы возможны только по заранее созданным (при помощи Альфа-Клик) шаблонам, так что злоумышленникам особо разгуляться негде. Спустя несколько минут ожидания на телефоне я соединился-таки с оператором, которому и изложил суть произошедшего: вошёл в Альфа-Мобайл и вижу чужие деньги. Оператор переключил меня на специалиста техподдержки Дмитрия, но, как оказалось, переключил ошибочно, т.к. Дмитрий, внимательно всё выслушав, переключил меня... обратно на главное меню. Очередные длительные минуты ожидания я провёл изучая чужой личный кабинет. По принуждению совету коллег попробовал перевести 100 рублей себе на телефон - чуда не произошло. В ходе дальнейшего изучения, обнаружил большое количество переводов с указанием ФИО "Иванов И.И." Логично предположив, что оказался в каком-то служебном (тестовом) личном кабинете, я тем не менее дождался оператора, которому в третий раз объяснил случившееся, и соединился теперь уже с другим специалистом, вернее, специалисткой техподдержки (кажется, Анастасией), с которой состоялся хоть и краткий, но побудивший меня написать этот пост, разговор. С моей точки зрения, ситуация, когда клиент банка попадает в чужой личный кабинет - это: "Аларм! Аларм!", но Анастасия (буду называть её так), оказалось, считает по другому. Я подробно рассказал Анастасии о случившимся безобразии, не делясь, впрочем, своими догадками о тестовом личном кабинете. Представляю примерный пересказ разговора: - < ...> Вот такая вот беда! - Ваши ФИО и кодовое слово, пожалуйста. - ФИО - пожалуйста, а кодовое слово сейчас назвать не могу (звонил из офиса). - Тогда перезвоните, когда сможете сказать. - Подождите, но я ведь вижу чужие расчётные счета! - Мне нужно знать кодовое слово, чтобы посмотреть состояние ваших счетов. - То есть вы считаете, что ситуация нормальная и ничего предпринимать не нужно? - Нужно ваше кодовое слово. - Это у вас в банке такая инструкция? - Без кодового слова я всё равно ничего не могу сделать. - Понятно, спасибо, до свидания. К концу разговора я уже окончательно убедился, что проблемы никакой нет и мне как клиенту беспокоится абсолютно не о чем: программное обеспечение, которое используется в Альфа-Банке, видимо, настолько безупречно, что никаких внештатных ситуаций с ним возникнуть не может в принципе. Иначе чем можно объяснить тот факт, что по моему заявлению никаких дальнейших действий со стороны банка не последовало? Осмелюсь предположить, что и заявление нигде и зафиксировано-то не было: раз не может быть ошибок, то и заявления регистрировать бессмысленно. На самом деле, в данном конкретном случае поводов для беспокойства действительно не было: это я сам себя "взломал", нажав случайно в главном окне приложения кнопку "Демо" вместо "Вход", а потом, глядя на самом деле на демонстрацию, подумав, что вижу чужие счета. Тем не менее, неуловимый осадок остался... А что если я найду чужой телефон с установленным приложением Альфа-Мобайл и захочу сообщить о находке в банк? Меня тоже не буду слушать без кодового слова? Надеюсь, что для такого случая инструкция в Альфа-Банке всё же предусмотрена иная. Изображение: http://pozvonkov.ru/2010/03/28/pro-dengi-bank-mashinu-i-derevnyu/ </div> </div> </div> </div>

  • 02 Февраля 2012 » Пас, вист, ГОСТ!
    Вот этот уже прошлогодний пост Евгения Шауро со сравнением различных токенов напомнил мне, что давно хотел более пристально приглядеться к современным ГОСТовым токенам. Хорошо помню, что в своё время эта тема была очень модной и неизменно вызывала интерес у самой разной аудитории.

  • 26 Января 2012 » Чахнущие кащеи российского рынка ИБ
    Очень меня умиляет отношение отдельных отечественных вендоров к открытому обсуждению разрабатываемых ими продуктов. В прошлом году, например, написал пост про межсетевые экраны АльтЭль, так директор московского представительства Александр Буров первым же делом предложил (http://zlonov.blogspot.com/2011/05/who-is-mr-altell.html#disqus_thread) лично встретиться для обсуждения всех моих вопросов. Потом, правда, поостыл и куда-то слился запропал, мои вопросы оставил без ответа, на связь в Skype не вышел. С Александром позже мне всё же удалось пообщаться на одной из выставок и его желание отвечать на вопросы устно и приватно стало понятным: ответы были уклончивыми, формулировки расплывчатыми, а фразы недосказанными, как будто Александр немножко стеснялся продаваемого им продукта. Примечательным моментом в разговоре был его ответ на вопрос о том, почему не стал отвечать на вопросы Тараса Злонова. "Да чего комментировать какие-то домыслы о нашей связи с Восьмым управлением?" - отмахнулся Александр. Ни на что не намекаю, но в посте никаких управлений я не упоминал, а только рассуждал о возможной причастности "высокопоставленных чиновников" =) - Это ты барашка моего украл? - Серого с одним рогом? Нет, не я. На прошлой же неделе имел удовольствие вступить в переписку с другим Александром - Дорофеевым, директором по развитию ЗАО "НПО "Эшелон". Заинтересовал меня один из программных продуктов Эшелона, который захотелось протестировать (нет, Александр, названия писать не буду - сами его "пиарьте" =) ). Знаете, что сразу предложил мне Александр? Правильно: приезжайте в офис, пообщаемся. Александр проявил недюжинные детективные способности, походя упомянув моё место работы и место расположения офиса, но продукт на тестирование так и не дал, сославшись на отсутствие демо версии и боязнь "чёрного пиара" с моей стороны. Что тут ещё комментировать? Делаем продукты "ради бумажки", всеми правдами и неправдами лоббируем их покупку госзаказчиками, а открыто обсуждать и давать на тесты стесняемся? Что ж, каждый делает свой выбор самостоятельно. В заключение хочу выразить уважение моему хорошему знакомому Антону Разумову из Check Point. Наше с ним открытое обсуждение особенностей встраивания ГОСТ алгоритмов в продукты Check Point (http://zlonov.blogspot.com/2012/01/blog-post.html#disqus_thread) - вот отличный показатель того уровня зрелости компании и её сотрудников, до которого некоторым ещё расти и расти. UPD 27.01.2012. Как выяснилось, отказ Александра Дорофеева в предоставлении демо-версии был вызван вот чем: "... продукт совместим и протестирован только с определенными версиями BIOS, поэтому как таковой демо-версии </div>

  • 17 Января 2012 » Сертификация или профанация?
    В свете повальной необходимости в использовании сертифицированных решений для защиты информации в нашей стране вендоры теми или иными способами пытаются эти самые заветные сертификаты получить. Самые востребованные сертификаты, пожалуй, от ФСТЭК. При этом процесс их получения более-менее отлажен, испытательных лабораторий хватает, да и самих сертификатов получено уже под 3500 штук (см. Список сертифицированных ФСТЭК средств защиты информации). Правда, не всё так хорошо с этой сертификацией: зафиксированные контрольные суммы программного обеспечения не позволяют, например, проводить обновления прошивок устройств, а скачивание обновлений сигнатур частенько осуществляется по недоверенным каналам, что, вообще-то, не очень хорошо. Но, ёмкость рынка сертификации и получаемый из воздуха доход с лёгкостью позволяют закрывать глаза на такие мелкие нестыковочки. Другое дело - сертификация ФСБ. Даже сам Перечень средств защиты информации, сертифицированных ФСБ России значительно короче (менее 300 сертификатов), что косвенно подтверждает известный факт о сложности и длительности процессов получения этих сертификатов. Таким образом, наличие документа от ФСБ является важным конкурентным преимуществом. Ведь заказчик порой просто вынужден выбирать решение, которое его, быть может, и не очень устраивает, но зато обладает нужной “бумажкой”. Понимая это, кто-то из разработчиков сертификаты получает, а кто-то использует несколько иные методы… На прошлой неделе в ходе анализа продуктового портфеля один из наших инженеров высказал уверенность, что продукты Check Point сертифицированы в ФСБ (в части использования VPN). Как оказалось, мнение такое действительно на рынке существует: Если же производитель соглашается использовать российское шифрование, то и такая сертификация вполне может быть получена. Примером этому является сертификация по требованиям ФСБ нескольких продуктов Check Point и модулей для маршрутизаторов Cisco.  Информация на сайте вендора о сертификации и поддержке ГОСТ оказалась крайне скудна: Теперь это решение предлагается с поддержкой шифрования по российскому алгоритму ГОСТ в дополнение к стандартным алгоритмам шифрования SSL. Российские компании получили возможность использовать лидирующее решение для организации защищенного доступа по SSL VPN, интегрируемого в инфраструктуру централизованного управления Check Point в комбинации с шифрованием трафика, использующим российские алгоритмы шифрования. Пришлось искать альтернативные источники информации. Максимум полезного по указанной теме обнаружилось в презентации Антона Разумова, выложенной им в свободный доступ. Она, правда, датируется мартом 2010 года, но иллюстрирует общий подход вендора к вопросу сертификации в ФСБ: Как встроено СКЗИ от КриптоПро в продукты Check Point Собственно, из этих нескольких слайдов следует вот что: сертификата ФСБ у Check Point нет поддержка ГОСТ реализована встроенным КриптоПро заключения о корректности встраивания на КриптоПро нет Таким образом, сфера применения ГОСТового решения от Check Point весьма и весьма узка. Использованное изображение: http://www.anti-malware.ru/images/approved_by_anti-malware_b.gif

  • 11 Января 2012 » Подстава от iPhone
    В iOS 5 появилась замечательная функция iMessage, позволяющая обмениваться сообщениями по сетям WiFi и 3G. Но, как оказалось, пользоваться ей надо с осторожностью. Вообще, встроенный чат - это, конечно, удобно. Вот только в iPhone его встроили прямо в сервис обмена SMS/MMS: только по цвету сообщения и можно догадаться как оно ушло - через сотового оператора (зелёные) или сеть Интернет (синие). Кстати, при проблемах с сетью синие сообщения зеленеют - т.е. доставка происходит всё равно. Находясь на новый год в роуминге, купил местную СИМ-карту, чтобы не переплачивать за звонки, СМС и доступ в Интернет (кстати, по сути, я ведь использовал абсолютно те же мощности обоих операторов и почему цена так разительно отличалась, мне не особо понятно; ну да ладно). Так вот, в очередной раз меняя местную СИМку на российскую, чтобы почитать новогодние поздравления, обнаружил, что моя переписка с другим пользователем iPhone происходит вне зависимости от оператора. Вообще говоря, всё вполне логично - в iMessage привязка идёт к Apple ID и/или самому устройству, но никак не к СИМ-карте. Но вот на практике данная особенность оказалась несколько неожиданной. Т.е. другой человек отвечает на ваше прошлое сообщение, а оно приходит, несмотря на переставленную СИМку, на то же устройство. Всегда казалось естественным: вынул СИМ-карту - прекратил всю переписку. Но, друзья мои, теперь совсем иные времена: переставляя СИМ-карту и отдавая телефон другому человеку уже нельзя быть уверенным, что он не получит сообщения от вашего собеседника. Включите бдительность и не забывайте её подзаряжать! Изображение: http://gad.ru/data/upload/ck/images/funny_iphone.jpg

  • 23 Декабря 2011 » Порочная система и двойные стандарты
    В продолжение прошлого поста о коррупции решил написать ещё несколько строк. Вот мы частенько поругиваем полицейских, особенно сотрудников ГИБДД, за взяточничество и иногда просто вымогательство. Давайте, однако, посмотрим на два аспекта. Про первый расскажу на своём примере. Начав работать в области информационной безопасности, я первое время активно перенимал опыт коллег и, конечно же, учился у своих руководителей. Ведь я оказался в незнакомой мне среде и, пытаясь понять правила игры, во всю смотрел по сторонам и анализировал, чтобы не оказаться в чужом монастыре со своим уставом. Адаптивность - наше всё. Да, меня научили многому, но, к сожалению, в том числе и тому, что печёночный бизнес приносит успех и маржу. Нет, сами механизмы коммерчески прибыльного распития алкоголя, золочения ручки высокопоставленным чинушам и прочие мерзости мной не изведаны до сих пор, но то, что откат рулит, мне внушили достаточно чётко. Спасибо, что не привлекали меня непосредственно к схемам распила, но закрывать глаза на, например, явно бредовые приобретения государственными организациями бесполезных для них продуктов всё же научили. Я это всё к чему? Да к тому, что любой человек, оказавшись в полицейской системе, вынужден под неё подстраиваться, иначе она его просто отторгнет как чужеродное тело. Идея с реформой милиции, кстати, по сути своей прекрасна (вычистим всех), да вот воплощение подкачало =( Второй момент - двойные стандарты. Выпили вечером. Хорошо так (ибо обстановка располагала). А утром за руль. Ну, очень надо. Поехали. Пост ГИБДД. Остановили, понюхали. АГА! Да, вы нормально едете. Вы опытный водитель, сто лет за рулём, не лихачите и не борзеете на дороге. Привычная доза накануне не представляет ни для кого опасности - вы даже специально аккуратнее едете. НО есть закон про содержание алкоголя в крови. Всё, лишение прав. Дальнейший сценарий понятен. И сотруднику ГИБДД, взявшему круглую сумму, вы, по большому счёту, признательны, хотя и презираете его в душе. Ровно так же желание получить бонус и желание побороть коррупцию в масштабах государства борятся внутри каждого ИБшника, сохранившего в себе хоть сколько-нибудь порядочности. Кому и зачем всё вышеизложенное было написано - пока с уверенностью сказать не могу. Так, витает что-то в воздухе в виде мыслей… Изображение http://demotivation.me/l14eym6wkq29pic.html

  • 22 Декабря 2011 » Распилить изволите?
    Люди, между нами говоря, любят иногда посчитать чужие деньги, поэтому, в частности, так популярны всевозможные рейтинги и статистические отчёты о долях рынка, занимаемом месте по оборотам и пр. Не открою секрет, если скажу, что в отрасли информационной безопасности (ИБ) в нашей стране немаловажную роль в формировании этого самого оборота играют государственные закупки. Небольшие и средние компании пока в большинстве своём только зреют до чего-то большего, чем антивирус и бесплатный межсетевой экран на *nix-платформе, крупные коммерческие структуры придирчиво выбирают решение по соотношению цена/эффективность, рассчитывают возврат на инвестиции (ROI) и иные трёх- и больше буквенные показатели, а государственные организации исправно закупают. Закупают по приказу сверху, закупают, потому что деньги в бюджете на этот год остались и их надо освоить, а то на следующий год не дадут, закупают, потому что очередной чинуша попарился с кем-то в бане, закупают, потому что надо достроить загородный дом и сыну дать приличное образование… Закупают. Точнее, пилят. Мне мало довелось работать в областях, отличных от ИБ, поэтому о ситуации в них могу судить лишь косвенно. Ну, а про ситуацию на знакомой территории могу рассуждать свободнее. Итак, все взрослые адекватные люди, проработавшие хотя бы несколько лет в области ИБ прекрасно понимают, что и как тут устроено. Возьмите топ-10, 50, да хоть 100 блогеров в нашей сфере и спросите их - понимают ли они, на чём делают значительную (порой очень значительную) часть капитала их компании? Если отношения ваши доверительные и обстановка располагает - ответ будет однозначным. Вот вам и оборот для рейтингов. Компании, получившие лобистскую поддержку, в одночасье выстреливают в топ, а потерявшие влиятельных друзей - скатываются ближе ко дну… Таких историй знающие люди могут рассказать более, чем одну. Мне повезло, я работаю в дистрибьюторской компании. Мы не общаемся напрямую с заказчиками. Вернее, общаемся, но крайне редко. Наше всё - это наша партнёрская сеть. Мы любим их и всячески стараемся помогать. Но вот наши любимые партнёры регулярно сталкиваются с простой до безобразия ситуацией: я бы купил у вас на 100 миллионов с удовольствием, но вот вы бы мне 10% / 20% / 30% / … не могли бы в вот этом конвертике/портфельчике/чемоданчике/… принести налом? Когда я вижу бессмысленные с точки зрения здравой логики спецификации, главная цель которых - завысить бюджет, когда решения закупаются без учёта реальной инфраструктуры, когда покупают сертифицированные по самое не балуй, но устаревшие на 5 и более лет продукты, мне стыдно за мою страну. Мелкая (по сравнению с общей численностью граждан) кучка продажных людей существ распределяет финансовые потоки по своему усмотрению без какого-либо контроля со стороны остальной части населения и считает это (внимание!) нормальным. Друзья, не буду ни к чему революционному призывать. Просто задумайтесь на секунду - вы сами тоже считаете это нормальным? Точно? А, может, попробуем что-то поменять? Изображение: http://piratemedia.ru/media/k2/items/cache/91f509849f6467bb518faf710f229661_XL.jpg