Свежие посты   По годам   По датам
  • 01 Декабря 2010 » Динамические техники обхода (AET)
    Финская компания Stonesoft вот уже пару месяцев как объявила о появлении нового вида угроз, называемых динамическими техниками обхода - Advanced Evasion Techniques (AETs), которым по словам её представителей подвержены практически все (в том числе именитые) системы обнаружения/предотвращения атак - Intrusion Detection/Prevention System (IDS/IPS). В лучших традициях детективного романа Stonesoft постепенно выдаёт общественности всё новые и новые подробности, используя для этого, в частности, специально запущенный сайт: www.antievasion.com В настоящее время материалов накопилось уже достаточно, чтобы попытаться понять суть проблемы и её видение глазами финского вендора.Согласно мнению Stonesoft, наиболее полно на мой взгляд изложенном в документе New Methods and Combinatorics for Bypassing Intrusion Prevention Technologies (pdf-файл), исторически стандарты сетевых протоколов разрабатывались исходя из парадигмы: передающая сторона должна отправлять данные максимально стандартным способом, а принимающая сторона должна допускать возможные отклонения от стандартов для повышения надёжности каналов связи и их общей устойчивости к возникающим при передаче ошибкам. На практике это приводит к тому, что различающиеся предаваемые сообщения принимающая сторона может собрать в одинаковые итоговые сообщения. Говоря о принципах работы систем IPS/IDS необходимо пояснить, что суть их работы сводится к поиску известных сигнатур уязвимостей в передаваемом потоке данных. Понятно, что при этом IDS/IPS  не работает с каждым пакетом по отдельности, а пытается разобрать трафик и понять, что именно передаётся. Стандартных реализаций стека протоколов TCP/IP  не так много (Windows-реализация, Linux-вариант и несколько иных) и все современные системы защиты умеют анализировать сгенерированные с их помощью потоки данных и понимать, что именно передаётся. При этом, естественно, учитывается возможность потери пакетов при передаче и допускается неправильная интерпретация передаваемых данных конечной системой из-за ошибок. Такой разбор трафика называется нормализацией (Normalization). Основная проблема заключается в том, что нормализация выполняется в предположении, что передающая сторона стремится быть максимально стандратной (согласно принятой парадигме), но злоумышленник, используя свой собственный стек протоколов TCP/IP может специально изменять передаваемый трафик так, что при его нормализации выявить саму передаваемую "полезную нагрузку" IDS/IPS  не может, а на конечной стороне всё это великолепие собирается, тем не менее, во вполне понятный поток данных. Таким образом, злоумышленник может незаметно для системы защиты передавать на сервер или рабочую станцию всё, что он пожелает, а пожелать что-то иное, кроме как сделать пакость, злоумышленник вряд ли способен. Важно сделать ещё одно лирическое отступление, прежде чем проблема, описываемая Stonesoft, предстанет перед нами во всей красе. Что такое IPS по своей сути? Это виртуальный патч всех систем в сети. Не всегда администраторы могут установить актуальные обновления на все имеющиеся у них сервера и рабочие станции - из-за нехватки времени, по причине неизученности новых патчей и стабильности их работы, из-за несовместимостей с другим установленным на сервере программным обеспечением и т.д. IPS же, выявляя в трафике попытки использовать уязвимости, закрываемые новыми патчами, берёт на себя защиту уязвимых систем, делая то, что по идее должен делать патч. Итак, организация, использующая современную "брендовую" IPS, считает себя находящейся в безопасности и уязвимость отдельных серверов (например, к тому же Conficker) её не беспокоит. Но вот упоминавшийся выше злоумышленник начинает "играться" с потоком данных, коверкая его таким образом, что ни одна IPS не может толком понять, что именно передаётся ("Может это просто шифрованный трафик? Или в канале сильные помехи?"), но конечная точка этот поток собирает во вполне осмысленный эксплойт. Этот эксплойт давно известен IPS,  но она его просто не заметила, а сервер без патчей подвергается успешной атаке. Вот так в общих чертах выглядит принцип AET, а подробности можно найти в упоминавшемся выше документе и на сайте www.antievasion.com Степень серьёзности новой угрозы пока, наверное, каждый определяет для себя сам, но именитая лаборатория ICSA проблемой явно озаботилась и, по крайней мере, данный вопрос изучает.

  • 30 Ноября 2010 » Рейтинг CNews Security 2010 «Крупнейшие ИТ-компании России в сфере защиты информации»
    В деловом журнале Cnews № 51 за 2010 год (тематический номер “Информационная безопасность”) опубликован Рейтинг крупнейших ИТ-компаний, работающих в сфере защиты информации, подготовленный Агентством CNews Analytics (CNA РБК). Сам журнал в формате pdf доступен по ссылке: http://filearchive.cnews.ru/mag/2010/10/cnews_51.pdf А вот собственно, и рейтинг: По сравнению с прошлым годом интересен рост компании R-Style на 46%, позволивший компании с прошлогоднего четвёртого места “прыгнуть” сразу на второе, оттеснив Leta Group и Информзащиту на третье и четвёртое места соответственно. В плотную к лидерам подобрались также Softline (с 11 места года назад) и Аквариус (первый раз в рейтинге).

  • 30 Ноября 2010 » InfoSecurity. Запоздалый отзыв.
    В традиционной для финального квартала года суете даже недавняя выставка InfosecurityRussia-2010 уже успела подзабыться, что уж говорить про октябрьскую ИнфоБезопасность. Тем не менее хочу поделиться своими размышлениями, посетившими меня в ходе посещения InfoSecurity, пусть даже непосредственно к самой выставке они имеют косвенное отношение.Суть наблюдения частично нашла своё отражение в названиях залов на InfoSecurity: Стратегии, Перспективы и Регулирование.Говоря о стратегиях в области информационной безопасности, российские компании пытаются найти для себя ответ на вопросы - как максимально эффективно применить имеющиеся сегодня технологии и средства, как правильно выстроить защиту, как оптимизировать ресурсы и подготовить инфраструктуру безопасности к завтрашнему дню? (Оценка эффективности, минимизация рисков, управление безопасностью и т.д.)Обсуждая перспективы, обычно подразумевают тот самый завтрашний день - что нас ждёт, какие есть тенденции, какие новые угрозы нам предстоит встретить лицом к лицу и как правильно подготовиться к этой встрече? (SaaS, облачные вычисления, виртуализация, новейшие техники обхода и т.п.)И вот, наконец, переходим к самому интересному - регулирование. Да, требования и стандарты (отраслевые и государственные) есть не только в России, но в нашей стране они имеют, так сказать, свою уникальную специфику.Вы только подумайте: лучшие умы всерьёз бьются над вопросом обеспечения контроля целостности для терминального решения, встраивания электронного замка для предотвращения несанкционированной загрузки в виртуальных инфраструктурах, поддержкой национальных криптографических алгоритмов при бесклиентском SSL-соединении или сертификации системы предотвращения вторжений по мало кому понятной процедуре, установленной ФСБ...На дворе XXI век IT, а в России пытаются увязать современные технологии с руководящими документами ФСТЭК от 1992 года. Многих понятий, к которым мы сегодня привыкли, в то время просто ещё не существовало!При всём при этом, кстати, не факт, что жизнь упростится с выходом какого-нибудь документа под названием "Руководящий документ. Средства облачных вычислений. Защита от несанкционированного доступа к средствам управления виртуальной инфраструктуры. Показатели защищённости". Боюсь, что скорее наоборот...Что же касается самих выставок, то, к сожалению, на ИнфоБезопасность не удалось побывать, но со слов коллег, несмотря на более слабую представленность стендистов, программная часть была интереснее и насыщеннее.Для любителей статистики привожу сводные данные из двух подведений итогов (итоги ИнфоБезопасность, итоги InfoSecirity): Мероприятие INFOBEZ-EXPO/ ИнфоБезопасность InfoSecurity Russia Сроки, место проведения 5–7 октября 2010, Москва, ЦВК «ЭКСПОЦЕНТР», павильон №7 17-19 ноября 2010, Москве, КВЦ "Сокольники" Организатор ЗАО «ВО «РЕСТЭК®» Компания "Гротек" (Groteck Business Media) Общее количество участников 53 104 Общее количество посетителей 3730 4019 Мероприятия деловой программы Пленарное заседание, 2 Форума, более 26 круглых столов и секций, 18 семинаров,более 60 выступлений и презентаций участников, 3 Специальных мероприятия(«Брейн-ринг: ИТ-директор vs директора СБ»; «Экспертная панель 2010»; «ЛЬВЫ и ГЛАДИАТОРЫ-2010»). 65 в залах и на сцене + 88 мероприятий на стендах

  • 30 Ноября 2010 » 9/1001. LastPass - Ваш последний пароль.
    Каждый из нас зарегистрирован на большом количестве онлайн ресурсов: блог, почта, социальные сети… Нравится нам это или нет, но единственным широкораспространённым и доступным на сегодняшний день способом проверки пользователя на всех этих сайтах остаётся пароль. Мы знаем, что пароль лучше выбирать подлиннее и посложнее и, допустим, один такой пароль мы даже в состоянии запомнить. Ну, даже парочку. А пять? семь? десять? Вряд ли. Сегодня рассмотрим один из вариантов решения этой проблемы - онлайн-сервис для хранения паролей LastPass.Официальный сайт LastPass неплох, но местами русифицирован, по-моему, с помощью Google Translate:<blockquote>Никогда не забудете ни один пароль, и входить на сайт одним щелчкомНо это всё мелочи, а сам сервис просто отличный! По сути LastPass - это дополнение к браузеру (плагин), который позволяет автоматически генерировать пароли, сохранять их в личном онлайн-кабинете и автоматически же подставлять при повторном обращении на сайт. “Последний пароль, который Вы должны запомнить” - это пароль от Вашего онлайн-кабинета учётной записи в сервисе LastPass.Вот несколько скриншотов с официального сайта (на самом деле интерфейс есть и на русском):<div></div> В целом, всё достаточно несложно и разобраться большого труда не составит. Почему же я выбрал данное решение для себя и рекомендую его Вам?Главная фишка LastPass - это, конечно, мобильность. Мало кто сегодня работает на одном компьютере - как минимум в дополнение к домашнему есть рабочий, а ещё ноутбук и, быть может, даже не один. Есть очень неплохие программы (например, RoboForm), портативные версии которых можно носить с собой на USB-флешке и использовать где угодно, но в случае с LastPass носить вообще ничего не требуется. Оказавшись на необитаемом острове с чужим ноутбуком и доступом в сеть Интернет (ну, всякое в жизни бывает =) ) Вы сможете войти в сервис LastPass, с его помощью получить доступ к своей почте и послать сообщение с просьбой о помощи. Почему сразу не войти в почту? Я, например, к основному своему почтовому ящику пароля просто не помню, потому что LastPass сгенерировал мне что-то вроде: 0It3iML4GLGs8bYVcZpxesfIcOxsamTP Запомнить это, сами понимаете, просто не реально. Ко всем остальным сервисам пароли могут быть такой же длины и сложности. При обращении к конкретному сайту LastPass самостоятельно заполняет требуемые поля и может даже нажимать кнопку “Войти” (зависит от настроек). Самое главное - правильно выбрать пароль к самому LastPass. Это будет единственный сложный пароль который всё же придётся запомнить. Хотя на самом деле лучше завести себе ещё один почтовый ящик с не менее сложным, чем к LastPass, паролю и использовать его как резервный для восстановления доступа к основному ящику на случай, если вдруг с LastPass что-то случится или доступ к нему будет утрачен.Вторая фишка LastPass - это мультиплатформенность. Он работает на/в/с Windows, Mac OS, Linux, Solaris, BSD, ETC, Firefox, Google Chrome, Internet Explorer, Safari, Opera, iPad, iPhone, Android, Dolphin Browser, BlackBerry, Windows Mobile, HP webOS, Symbian S60 и этот список продолжает расширяться. Поддержка самртфонов позволяет использовать надёжные пароли и иметь доступ к любимым онлайн сервисам даже при работе с мобильных устройств!Третья фишка состоит в том, что LastPass бесплатен! Конечно, у него есть Premium версия, которая даёт дополнительные возможности (в частности, версии для iPhone и Android в бесплатном варианте не доступны), но для большинства задач бесплатной версии вполне достаточно.Когда начнёте активно пользоваться LastPass - постарайтесь не забыть, что это не просто средство для удобного хранения всех паролей в одном месте, а реальная возможн

  • 27 Ноября 2010 » Только факты и один слух
    C российской компанией Aladdin (ЗАО “Аладдин Р.Д.”), по всей видимости, что-то происходит. По рынку ходят самые разные слухи и кривотолки. К сожалению, сама компания не хочет/не может/не считает нужным давать какие-либо комментарии о происходящем, по крайней мере публично. Давайте не будем верить слухам, а просто посмотрим на факты. Чтобы не быть голословным, для начала приведу несколько подтверждений того, что что-то случилось, а ясности на рынке нет. “А никто, случаем, не в курсе, что у нас с Аладдином творится? Снаружи выглядит, что SafeNet отжал основной домен у нашего местного, а местный пересел на новый. И контакты разные” , - пишет hijaq в своём ЖЖ. “Народ, кто-нибудь знает что с Aladdin в России случилось? Позвонить за свой счет не хочу, а за счет организации нет возможности, в офисе нет связи. Раньше их CRM - присылало уведомление о запросе в техподдержку, сейчас тишина. Пишу письмо сотрудникам, получаю сообщение адреса нет такого. Сайт изменился - стал домен Aladdin-rd.ru Изменил домен - пришло сообщение, что письмо доставлено, но прочитает ли его кто-нибудь там? Кто знает, они живы, здоровы, после открытия в России представительства Safenet на Тверской?” - спрашивает krserv на форуме Ru.Board. Обе записи остались без комментариев… Ну а теперь факты (во избежание путаницы с разными самоназваниями и западным брендом Aladdin российскую компанию будем называть АЛАДДИН). 1993. АЛАДДИН (называвшийся тогда, видимо, как-то иначе) становится представительством некоей EliaShim Microcomputers, производящей ключи для защиты программного обеспечения 1995. Израильская компания Aladdin Knowledge Systems покупает EliaShim Microcomputers и АЛАДДИН становится уже её представительством. 10 апреля 1995 - вот дата официального рождения АЛАДДИН. С тех самых пор АЛАДДИН, являясь самостоятельным юридическим лицом, развивает в России продажи ключей HASP для защиты программного обеспечения (крупнейший заказчик - 1С),  появившихся в виде прототипа в 1999 году ключей для аутентификации пользователей eToken, проактивную систему безопасности eSafe (вошла в портфель Aladdin Knowledge Systems в 2005 году) и свою собственную разработку - систему шифрования Secret Disk (первые версии датируются 2001 годом). Всё вышеизложенное можно прочитать на сайте самой компании в разделе История, заканчивающимся пафосным абзацем о юбилее компании в 2010 году: В этом году компания АЛАДДИН отметила свой юбилей и подвела итоги 15-летней работы на российском рынке. За этот период компания обеспечила поставку более 3,8 миллиона ключей для защиты программного обеспечения и более 1,2 миллиона электронных ключей eToken (USB-ключей и смарт-карт). Клиентами АЛАДДИН по направлению HASP стали около 2700 компаний, а с использованием устройств eToken было реализовано свыше 1800 проектов у более чем 700 предприятий и учреждений. А теперь несколько фактов, которые (пока?) не нашли отражения в официальной летописи. середина 2008. Инвестиционный холдинг Vector Capital предложил владельцам израильской Aladdin Knowledge Systems продать их долю по $14.50 за акцию, на что получил отказ с мотивацией, что компания стоит значительно дороже. февраль 2009. Владельцы Aladdin Knowledge Systems продали свои доли по цене $11.50, получив деньги наличными. март 2009. Vector Capital завершил процесс покупки Aladdin Knowledge Systems и передал компанию под управление руководства SafeNet - другой своей компании,  купленной чуть ранее - в 2007 году. Информации об этом на русском языке не так много, но в западных источниках можно найти дополнительную информацию в подтверждение вышенаписанного: Wikipedia.org: Aladdin Knowledge Systems Wikipedia.org: SafeNet Shuster, Shmuel (March 2009). Vector completes Aladdin takeover. Information Security: Vector Capital приобретает ещё 19% акций Aladdin Knowledge Systems Ltd.: сумма сделки оценивается в 160 млн.$ Information Security: Крупное слияние на мировом рынке аутентификации VectorCapital.com: Aladdin Knowledge Systems Completes Merger with Vector Capital Affiliate Итак, сделка завершена более чем полтора года назад. Всё это время АЛАДДИН (тот, который российский) продолжал работать без каких-либо внешних изменений. Вероятно, являясь грамотными управленцами, руководство SafeNet не торопилось что-либо менять в работе ни израильской Aladdin Knowledge Systems, ни, тем более, АЛАДДИНа. Однако сейчас изменения явно начали проходить. Переходим к следующей порции фактов. Наши дни. Бывшие домены Aladdin Knowledge Systems (www.aladdin.com и www.aks.com) редиректом отправляют на сайт SafeNet с выдачей вот такого уведомления: Наши дни. Бывший домен российского АЛАДДИНа (www.aladdin.ru) без всякого предупреждения перенаправляет на русский мини-сайт SafeNet. 06 сентября 2010. АЛАДДИН регистрирует два новых сайта www.aladdin-rd.ru и www.aladdinrd.ru (записи в сервисе Whois: https://www.nic.ru/whois/?query=aladdin-rd.ru и https://www.nic.ru/whois/?query=aladdinrd.ru). Сама компания АЛАДДИН никак изменение доменного имени (важного, в общем-то, элемента корпоративного бренда) не комментирует, на главной странице просто указано: Внимание! Компания «Аладдин Р.Д.» перешла на новое доменное имя - www.aladdin-rd.ru. В связи с этим изменились адреса электронной почты сотрудников. Пример адреса электронной почты: aladdin@aladdin-rd.ru. Наши дни. Бывший логотип, который использовал АЛАДДИН, проходит ряд трансформаций: Все эти метамарфозы в режиме реального времени могли наблюдать партнёры и заказчики компании на сайте, в информационых рассылках и в приглашениях на мероприятия. Кстати, никаких официальных заявлений по поводу изменения логотипа компания также не сделала: в Пресс-центре ничего на эту тему нет. Видимо, ребрендинг было решено (пришлось?) делать в последний момент и толком подготовиться не получилось. Наши дни. Среди дистрибьюторов на сайте SafeNet в России АЛАДДИН не значится: АЛАДДИНа вообще нет среди 15 российских партнёров SafeNet, размещённых на сайте, хотя в пресс-релизе от 19 апреля 2010 указывалось: В настоящее время Aladdin является официальным дистрибьютором Aladdin Knowledge Systems на территории Российской Федерации и стран ближнего зарубежья и партнёром компании SafeNet с уникальным статусом SafeNet Security Solutions Partner. Итак, фактов было приведено достаточно, чтобы попытаться осмыслить, что же происходит. Стараясь подавать факты нейтрально, всё же позволю себе в заключение предположить, что SafeNet, по всей видимости, принял решение избавиться от бренда Aladdin, но российская компания АЛАДДИН так просто этого сделать не может хотя бы потому, что все сертификаты выданы на компанию с названием ЗАО “Аладдин Р.Д.”, а их переполучение - не такой простой процесс. Интересно в свете всего вышеизложенного обратиться к интервью С.Груздева от 2 марта 2009 года в PC Week: Сам же глава этой компании Сергей Груздев отложил комментарии, касающиеся продвижения продуктов SafeNet, до завершения всех процедур, заявив при этом, что данная сделка не окажет существенного влияния на структуру бизнеса его компании. “Aladdin Software Security R.D. не является классическим дистрибьютором Aladdin Knowledge Systems, – сказал он. – Мы представляем собой независимую российскую компанию, принимающую собственные управленческие решения, самостоятельно строящую свою продуктовую политику исходя из нашего понимания природы и специфики бизнеса в сфере информационной безопасности”. Ну и в конце, как и было обещано, после обилия фактов и “пруфлинков” поделюсь слухом, дошедшим до меня, сразу предупреждая, что достоверного (запись телефонного разговора или показания под присягой) его подтверждения у меня нет: Говорят, что руководство компании АЛАДДИН искренне считает, что бывшие сотрудники АЛАДДИН рапространяют по рынку слухи о проблемах у компании, связанных с её взаимодействием с SafeNet. Более того, руководители (-ль) АЛАДДИН звонят (-ит) на новые места работы своих бывших сотрудников и рассказывают о том, как непорядочно и даже подло ведут себя эти люди, распуская грязные сплетни и дискредитируя АЛАДДИН в глазах её бизнес-партнёров. Вот такой вот слух. Пожалуйста, не распространяйте его, особенно если Вы бывший сотрудник АЛАДДИНа =)

  • 23 Ноября 2010 » Особая, маркетинговая магия
    Есть такой довольно знаменитый магический квадрант (иногда переводят - квадрат) Гартнера (Gartner`s Magic Quadrant). Суть его заключается в наглядном графическом отображении места игроков на каком-либо рынке в конкретный период времени.

  • 11 Августа 2010 » 8/1001. Скрытие файлов от посторонних
    Иногда возникает необходимость скрыть от посторонних один или несколько файлов, хранящихся на компьютере. Например, доступ к компьютеру могут иметь несколько человек или рабочий компьютер с личными фотографиями остаётся надолго один в офисе. Что можно предпринять для решения этой задачи?

  • 13 Июля 2010 » 7/1001. Безопасность mail.ru
    Возвращаясь к ранее начатой теме о защищённости электронной почты, продолжим рассматривать безопасность mail.ru и прежде всего постараемся снизить те риски, о которых уже говорилось раньше (часть 1, часть 2). Быть может, мы сможем сделать не так много, но определённые возможности всё же есть. Итак, что можно посоветовать пользователю mail.ru, которому не безразлично, кто читает его почту?

  • 06 Июля 2010 » 6/1001. Шифрование в Интернет
    Рассматривая вопросы безопасности в сети Интернет нельзя не упомянуть шифрование в Интернет, ведь шифрование – это основной способ сохранения информации в тайне.

  • 02 Июля 2010 » 5/1001. Безопасность mail.ru
    Сегодня мы продолжим говорить про безопасность mail.ru и в первую очередь посмотрим, как данный портал защищает своих пользователей от подбора паролей и защищает ли вообще.