Сhockob Challenger

Самый надежный пароль

2011-10-09T23:36:00.001+04:00

Каким вы представляете для себя пароль самым надежным? Ответите, что он должен быть не словарным, случайный текст с использованием цифр и специальных символов длиною от 8 символов. Да, я соглашусь, что это будет очень, очень надежным паролем.

С таким сложным паролем метод "грубой силы" или перебора будет практически бессмысленным из-за больших временных затрат. Хотя современные аппаратные мощности супер-компьютеров смогли бы решить эту проблему в более короткие сроки - неделя, в месяц максимум.

Получается, что такой пароль не надежен для использования. Я вижу проблему в том, что пароль относительно, но всегда статичен и постоянен. Чем статичность дольше, тем больше шансов для взлома пароля. Давайте сократим статичность пароля и шансы взлома резко упадут.

Сейчас статичность пароля определяется самим пользователем системы или система вынуждает пользователя сменить пароль. В разных системах период использования пароля ограничивается разными временными интервалами. Чем выше система требует безопасности, тем чаще происходит смена пароля.

Большая проблема в таком подходе является, то что:

во-первых, человеку каждый раз приходиться придумывать новый сложный пароль, а главное запомнить его!
во-вторых, фантазия человека ограничена, память же может спутать пароль из прошлого периода.

Человек всегда допускает ошибку, которая может оказаться фатальной. Решением проблемы вижу методом двухсоставного пароля:

первая часть - статическая, классический "сложный пароль" придуманный пользователем.
вторая часть - динамическая, уникальный набор данных известный для пользователя в определенный момент времени.

По первой части достаточно ясно, что же за вторая часть. Уникальным набором данных в определенный момент времени, да еще известный пользователю, может быть только само время.

Например, пользователь проходит аутентификацию в системе, вводит первую часть - HjT6xX, при этом происходит это в 12 часов 32 минуты, он вводит вторую часть - 1230. Получился пароль - HjT6xX1230, который уникален для момента времени в 12 часов с 30 до 39 минут.

Идея этого пароля в том, что вторая часть условно зашифрована по алгоритму: с начало вводиться число часа, после вводиться округленное число минуты. Или вообще, число часа шифруется буквой, можно добавить число дня, месяца и так далее. Все зависит от фантазии.

Основным элементов динамической части - это текущее время ввода пароля, которое модифицировано по определенному алгоритму. В результате оно всегда будет разным и уникальным в течении одних суток. А на следующие сутки меняется первая часть пароля.

Параноидальная вещь получается. А ведь существуют системы с ежедневно меняющимся паролем.

S-Terra CSP VPN Gate 100

2011-09-18T17:59:00.000+04:00

В этом месяце довелось поработать с оборудованием от S-Terra, в частности с CSP VPN Gate 100. Самый обычный компьютер на базе micro ATX с установленной CentOS 5.3 и CryptoPro 3.6 Linux, единственное его назначение - это "поднятие" обычного VPN канала с использованием ГОСТовой криптографии.

Удовольствие использовать VPN шлюз с российским ГОСТ стоит около 30 000 рублей, а это еще задешево! Конечно, стоимость как всегда зашкаливает для всего оборудования, которое имеет в наличии сертификаты соответствия ФСТЭК и ФСБ, потому что продаются еще сетевые устройства под 200-300 тысяч рублей, при копеечной себестоимости.

Это не то, что бы отзыв об оборудовании S-Terra (а он будет!) так, как еще рано - нет достаточной эксплуатации под нагрузкой. А вот первые впечатления есть и они достаточно хорошие. Не смотря на то, что про достаточно большом количестве литературы от сборщика-производителя S-Terra наладить VPN канал было не так просто из-за нюансов. Поэтому скомпилировал mini guide для новичков, достаточный помочь сделать минимум не тратя времени.

Инициализация шлюза

Все просто следуйте согласно "Initialization_gatecp_guide.pdf", сложного нет: вводите номера лицензии СКЗИ, оборудования и прочего из прилагаемой документации на шлюз.

Генерация ключей

Очень долго пытался понять, как генерировать ГОСТовые ключи. В документация написано, что нужно использовать утилиту /opt/VPNagent/bin/cert_mgr, но её у меня не получалось. Понимая, что утилита использует не посредственно СКЗИ КриптоПро, то удалось сделать генерацию ключей самой СКЗИ.

Так как будем генерировать закрытый ключ и запрос на издание сертификата, который потребуется передать на CA сервер, то заранее смонтируем флеш-карту к шлюзу.

[root@cspgate ~]# Mount –t vfat /dev/sda /tmp

При генерации ключей указываем их хранение на жестком диске, при этом пароль на контейнер не задаем. Во-первым, кто его будет постоянно вводит? Во-вторых, мне так и не удалось после импортировать открытый сертификат ключа в хранилище, когда контейнер закрыт паролем.

[root@cspgate ~]# /opt/cprocsp/bin/ia32/cryptcp -creatrqst -provtype 75 -cont '\\.\HDIMAGE\gate-alfa' -both -km -dn 'CN=GATE-ALFA,O=tls,C=RU' -certusage '1.3.6.1.5.5.7.3.2' /tmp/gate-alfa.req

Поясню, что означают некоторые ключи:

-provtype 75 – тип криптопровайдера, по документации 70 или 75, выбрал 75
-both – генерировать обе составные ключа, секретную и открытую (запрос на сертификат)
-certusage – область применения ключа.

Входе генерации ключа, потребуется для ДСЧ набрать текст, а на запрос о вводе пароля на контейнер просто нажимаем Enter.

Сгенерированный ключ храниться в контейнере HDIMAGE\gate-alfa, копируем запрос на издание открытого сертификата на флеш-карту.

[root@cspgate ~]#cp /tmp/gate-alfa.req /ur/tmp
[root@cspgate ~]# umount /dev/sda

Издаем открытый сертификат ключа на CA сервере, полученный сертификат сохраняем в DER формате. Дополнительно сохраняем в DER формате сертификат CA севера и CRL сервера. Копируем сертификаты на флеш-карту, возвращаем её в шлюз.

[root@cspgate ~]# mount –t vfat /dev/sda /tmp

Импорт сертификатов в хранилище шлюза

Теперь надо импортировать все сертификаты в хранилище на шлюзе, сделать это достаточно просто с помощью утилиты. Главное вначале импортируем сертификат CA сервера, потом CRL и в конце личный сертификат.

[root@cspgate ~]# /opt/VPNagent/bin/cert_mgr import –f /tmp/ca_root.crt –t
[root@cspgate ~]# /opt/VPNagent/bin/cert_mgr import –f /tmp/crl_root.crt
[root@cspgate ~]# /opt/VPNagent/bin/cert_mgr import –f /tmp/gate-alfa.crt -kc '\\.\HDIMAGE\gate-alfa'

При импорте сертификата CA сервера обязательно указывается ключ -t, который указывает что этому корневому сертификату принудительно доверять. При импорте личного сертификата нужно указывать контейнер с закрытым ключом.

Проверяем наличие сертификатом в хранилище

[root@cspgate ~]# cert_mgr show
Found 2 certificates. Found 1 CRL

1 Status: trusted ca@test.ru,C=RU,L=Petersburg,O=Bank,CN=CARoot

2 Status: local CN=GATE-ALFA,O=tls,C=RU

3 CRL: ca@test.ru,C=RU,L=Petersburg,O=Bank,CN=CAroot

Проверяем валидность нашего сертификата

[root@cspgate ~]# cert_mgr check
1 State: Active ca@test.ru,C=RU,L=Petersburg,O=Bank,CN=CARoot
2 State: Active CN=GATE-ALFA,O=tls,C=RU

Настройка для возможности дальнейшей настройки.

По логике вещей можно уже настроить VPN канал. В инструкции к шлюзу написано, что сделать это можно через GUI интерфейс. Правда, предварительно надо установить пакет обновления, который устанавливает демон httpd, сайт и дополнительные утилиты.

Берем c https://support.s-terra.com/ из файлового обмена пакет cspvpngui-3.1-10499.noarch.rpm, сохраняем его на флеш-карту и переносим на шлюз для инсталляции.

[root@cspgate ~]# Mount –t vfat /dev/sda /ur/tmp
[root@cspgate ~]# cp /ur/tmp/cspvpngui-3.1-10499.noarch.rpm /opt
[root@cspgate ~]# rpm –i /opt/cspvpngui-3.1-10499.noarch.rpm

Проверяем конфиг демона /etc/httpd/conf/http.conf, чтобы переменная DocumentRoot равнялась "/opt/VPNagent/cspmc", а Directory указывала на "/opt/VPNagent/cspmc" и ServerName 192.168.0.1:80

В инструкции написано, чтобы настроить шлюз достаточно в окне браузера указать IP адрес интерфейса и приступить к легкой настройке через GUI. Попробуйте загрузить страницу сайта - не получиться, а попробовав запустить icmp на любой из интерфейсов - ответов не дождетесь.

Долго не мог понять в чем причина? Демон httpd работает, его конфиг исправен. Интерфейсы настроены, маршрутизация правильная, iptables чист, пока не наткнулся на маленький абзац.

Это был очередной нюанс! Весь трафик "откидывался" по-умолчанию!

В другой инструкции было найдено описание по настройке политики безопасности шлюза. Запускается утилита, которая симулирует cisco и воспринимает cisco-like команды. Мне понравился такой подход!

[root@cspgate ~]# /opt/VPNagent/bin/cs_console
cspgate>en
Password:
cspgate#conf ter
cspgate(config)#ip access-list extended WWW
cspgate(config)#permit tcp host 192.168.0.1 eq 80 host 192.168.0.2
cspgate(config)#exit
cspgate#exit
[root@cspgate ~]#

Пароль доступа в административный режим - csp, попадаешь в "почти" полноценную cisco консоль. Добавленное правило применяется сразу после выхода из утилиты.

Убедиться, что правило добавлено можно так:

[root@cspgate ~]# lsp_mgr show | grep WWW

Теперь доступ к шлюзу по протоколу http есть, можно начать настраивать политку безопасности шлюза через GUI, а для почитателей cisco можно продолжить утилитой /opt/VPNagent/bin/cs_console

Управление доступом к USB

2011-07-30T18:26:00.000+04:00

Имеется простой способ запретить пользователю компьютера с ОС Windows-семейства использовать USB устройства.

Главное условие, чтобы была файловая система NTFS, тогда достаточно запретить всем пользователям (даже SYSTEM) доступ к двум файлам:

C:\WINDOWS\INF\USBSTOR.INF
C:\WINDOWS\INF\USBSTOR.PNF

И установить ключ Start=4 в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR, который управляет запуском установки драйвера.

Хорошему системному администратору не составить труда реализовать эти условия через доменную политику. К тому же, используя разрешения на доступ к файлам и ветке реестра, какому-либо пользователю/компьютеру можно организовать разрешения запускать USB-устройства.

364П - КО ЦБ ФТС

2011-06-16T19:39:00.000+04:00

Согласно Положение 364-П "О порядке передачи уполномоченными банками и территориальными учреждениями Банка России в таможенные органы для выполнения ими функций агентов валютного контроля информации по паспортам сделок по внешнеторговым договорам в электронном виде" банки обязаны предоставить в таможню паспорта сделок, как всегда транспортную нагрузки взял на себя ТУ ЦБ.

Мы [банк] отправляем в таможню, а таможня уже на протяжении месяца не отвечает на наши сообщения, как положено по 364-П. Звонил в ЦБ: говорят, что от таможни они ничего не получают.

Складывается такое чувство, что таможне все равно.

Взаимодействие "РМП Верба-OW" и "Комита. АРМ Финансового Мониторинга"

2011-06-11T11:53:00.002+04:00

Как-то упоминал про разработчика софта «Комита», даже написал свой отзыв о его продукте «АРМ Финансового мониторинга». На этот раз дополню еще отзывом о продукте компании «Комита» - это «АРМ Финансового мониторинга» (далее – АРМ), который подготавливает отчетность для Росфинмониторинг, согласно требованиям Центрального Банка России под номером «321-П».

Имеющаяся сборка АРМ делала простой импорт из АБС данных, далее проверяла их на ошибки, где также специалист-исполнитель ведет контроль с помощью неё, и выгружала структурированный файл для отправки.

После исполнитель используя «РМП Верба-OW» (далее – РМП) накладывает ЭЦП Банка на полученный файл и производит его шифрование на ключах в адрес Росфинмониторинг. Файл уходит через транспортную сеть ТУ ЦБ.

В общем ничего сложно, но исполнителю «сценарий» был трудно усеваемый и лишь подробная инструкция с картинками ему немного облегчала работу. На что он регулярно жаловался.
Покопавшись в настройках АРМ, обнаружилось интересная настройка, где упоминалась «Верба». Попробовал ею воспользоваться на стенде, но безуспешно. Позвонил в «Комиту», как всегда прошел через их «замечательный» ITIL, а после получил подтверждение имеющейся связки РМП и АРМ.

Через пару дней прислали hotfix на АРМ, после с начальником отдела программных разработок (!!!) под диктовку по телефону настроили и прогнали пару раз на работоспособность.

Все работает прекрасно, в виде диаграммы «use case» выглядит следующим образом.

Надеюсь диаграмма достаточно ясно показывает, как все работает. Исполнитель работает через АРМ, который использует СКЗИ Вербу.

Добавлю, что все работает с ключами Вербы, как на дискете, так и на токене. Единственное, что нужно обязательно сделать – это установить пароль к контейнеру ключа по-умолчанию (восемь единиц).

По вопросу получения hotfix для «АРМ Финансовый мониторинг» для работы с ключами «РМП Верба-OW» обращайтесь к компании «Комита».

Баланс usability и security при выборе СКУД

2011-06-05T11:14:00.001+04:00

Навеяно в предстоящем выборе СКУД
и обоснованности её цены перед вышестоящими чинами

СКУД - это система контроля и управления доступом, предназначенная для управления физическим доступом в помещения, здания с помощью различных способов аутентификации, которые можно разделить на биологические и аппаратно-технические методы.

Авторизация — это не то же самое что идентификация и аутентификация: идентификация — это называние лицом себя системе; аутентификация — это установление соответствия лица названному им идентификатору; а авторизация — предоставление этому лицу возможностей в соответствие с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие.

Аппаратно-техническая аутентификация

Один из первых и старый, метод основанный на считывании информации с магнитной ленты карты. Простой, но очень не надежный от подделки и кражи, а также повреждения самого носителя.

С развитием технологий, сейчас большую популярность занял метод идентификации посредством считывания с метки (транспондер) информации радиосигналом по протокол RFID. Технология RFID универсальна на столько, что её используют повсеместно все, где это возможно применить.

Биологическая аутентификация

Главное их отличие от технической - это высокая надежность носителя информации. Биологических методы идентификации много, но большинство из них редко используемые на практике. Например, аутентификация по голосу или по лицу человека. Не смотря на все, казалось бы удобства, имеют очень низкую степень защиты от подделки.

Более высокой надежностью защиты от подделки считаются отпечатки пальцев рук, но и этот метод полностью на защищен от подделки. В отличии от аутентификация по сетчатке глаз, но эта технология дорогая и имеет низкое удобство в использовании её потребителем.

Человек

Этот метод аутентификации существуют с древних времен, как только у человека появилась такая потребность.

Начиная от “Стражника”, который был вооружен и охранял доверенный ему вход. Потом с совершенствованием механики появились “Ключники”, которые хранили ключи от дверей снабженные замками.

Парадокс в том, что является самым не надежным и в то же время по надежности всегда будет на первом месте, но об этом впререди.

По каким критериям выбрать технологию аутентификации

А теперь, нужно для себя выбрать СКУД и с какой технологией аутентификации использовать её. С чего начать? Прежде всего, определимся с тем, что все современные методы аутентификации нужно оценивать только по двум понятиям: security и usability

По-русски “безопасность” и “способность к использованию”, но именно использование английской формулировки позволит получить достаточно ясную область, которую нужно рассматривать для оценки. (Мне так удобнее)

Для подготовки поста “Технология Finger Vein” использовалась информация с сайта hitachi. В поисках информации, мне встретилась интересная статья “About Finger Vein” и после прочтения её мое мнение укрепилось окончательно. В статье приведены доводы об зависимости “security” и “usability” друг от друга, в том числе на графическом примере.

Взяв за основу графический пример из статьи Hitachi, можно получить некоторый инфографик. (График сделал сознательно с английской терминологией) На нем наглядно представлена зависимость “security” и “usability”.

Существует явная зависимость цены (“Price”) от повышения степени безопасности (“security” ).

Хочу обратить внимание на “Man” и “Trusted Man”.

Никакая система не даст 100% гарантии защиты от проникновения, т.к. только человек будет гарантировать самую лучшую защиту и которая всегда будет выше, чем у любой из существующих СКУД.

Только человек является самым универсальным по отношению к “security” и “usability”. Он может быть самым надежным средством защиты (“Trusted Man”), а может и самым не надежным средством соответственно по отношении “usability”.

Объясню на примере

“Man” - это простой вахтер у входа: простой мирный человек, он добрый и приветливый, особо никого не беспокоит из посетителей. Уровень оплаты за такую работу мал, потому что высокой степени безопасности не требуется.

“Trusted Man” - это охранник у входа: обученный человек с оружием, который знает, как себя вести в штатной ситуации. У него есть инструкции, которые он строго соблюдает. Он знает степень своей ответственности и список допущенных лиц в помещение, каждого в этом списке он помнит и знает лично.

Определите для себя уровень требуемой безопасности

При выборе СКУД обязательно нужно предъявлять необходимые требования к уровню безопасности. Осознать, что уровень безопасности должен соответствовать уровню ущерба - это есть главный критерий выбора СКУД.

Поможет в этом, собственный ответ на следующий вопрос: “Какие последствия будут после проникновения?”. Ответив, казалось бы простой вопрос, можно определить требуемый уровень безопасности, а значит выбрать для себя СКУД.

В этом может помочь следующая таблица, где последствия определяют требуемый уровень безопасности, а зная уровень безопасности можно определить тип СКУД по предыдущему инфографику.

Уровень безопасности	Последствия проникновения через защиту
LOW	Последствия проникновения не важны
GUARDED	Последствия проникновения нанесут возможный последующий ущерб.
ELEVATED	Последствия проникновения нанесут ущерб.
HIGH	Последствия проникновения нанесут непоправимый ущерб
SEVERE	Последствия проникновения нанесут непоправимый ущерб, в том числе и последующую череду ущербов.

Финансовая сторона безопасности

Будьте готовы выделить большие деньги на внедрение СКУД, и чем выше уровень безопасности, тем объем бюджета может расти и не всегда линейно.

Введение в Misuse Case

2011-05-27T20:50:00.001+04:00

Это метод моделирования бизнес процессов на базе «Use Case» используемый в менеджменте информационной безопасности. «Misuse Case» поддерживает принцип моделирования, когда прорабатывается именно негативное событие (вариант злоупотребления) для какого-либо бизнес-процесса.

От себя замечу, что бизнес-процесс не имеющий негативного события — это не показатель, что он супер-защищен и не имеет уязвимости, а лишь свидетельствует о том, что он мало изучен с точки зрения безопасности.

Появление набора негативных событий у бизнес-процесса, зачастую основываются на уже имеющихся прецедентах и на опыте аналитика, полученного при работе с другими бизнес-процессами.

Графическое представление варианта злоупотребления (Misuse Case) рисуются вместе с вариантами использования (Use Case) соблюдая принципы:

Актеров должно быть двое — это «Нарушитель» и «Пользователь», даже если это формально одно и тоже лицо. Оба актера отображаются и выделяются разными цветами, обычно «Нарушитель» красный.
Элемент определяющий цель негативного события — вариант злоупотребления (Misuse Case), обозначается цветом «Нарушителя».
Цель использования бизнес-процесса — это вариант использования (Use Case), обозначается цветом «Пользователя»
«Threaten» (Угроза) — это отношение определяющее факт, который определяет возможность достижения цели «Нарушителем», описывается с помощью элемента варианта использования (Use Case).
«Mitigate» (Ослабление) — это отношение определяющий факт, который уменьшает достижение цели варианта злоупотребления (Misuse Case).

Вот так я понимаю метод «Misuse Case», для более подробного изучения обратитесь к документации (http://folk.uio.no/nik/2001/21-sindre.pdf, http://www.idi.ntnu.no/emner/tdt4237/papers/Paper3_SecReq_MisuseCases.pdf).

Англоязычная часть интернета более содержательна на эту тему, чем его русская часть, поэтому диаграмма составленная на простом примере будет более показательна.

Рассмотрим следующее событие: инсайдер получает доступ к финансовым данным Банка. Согласитесь, что внутри банка возможна негативная деятельность инсайдера. Он сможет получить не легитимный доступ к АБС, получит определенные финансовые данные, которые после сможет использовать в качестве товара.

Выделим основные элементы для диаграммы:

Use Case — вариант использования: Автоматизированная банковская система (АБС)
Misuse Case — вариант злоупотребления: несанкционированный доступ к АБС
Актеры: Пользователь — рядовой сотрудник банка имеющий легитимный доступ к АБС, Нарушитель — рядовой сотрудник банка не имеющий доступа к АБС.

Используя выделенный набор, отобразим факт варианта использования АБС актером «Пользователь». У актера «Инсайдер» цель — это вариант злоупотребления к АБС, т.е. «Несанкционированный доступ». По методу Misuse Case, используем отношение «Threaten» определяющее факт злоупотребления «Несанкционированным доступом» к «АБС».

На выделенный вариант злоупотребления «Несанкционированный доступ» существует процесс противодействия — это аутентификации доступа к АБС. Добавим его на диаграмму в виде варианта использования «Аутентификация», а для отображения его факта укажем отношение «Mitigate».

В результате последний рисунок показывает модель негативного события в достаточно информативном и ясном виде, как вариант злоупотребления «Misuse Case».

Про фальшивые терминалы оплаты

2011-05-20T21:57:00.001+04:00

Не раз каждый из нас пользовался терминалом оплаты на улице, которые повсеместно появились в больших городах. Удобно, баланс на телефоне приблизился к нулю, - подошел прямо на улице к терминалу и пополнил свой счет на 100 рублей.

Так за день к этому терминалу подойдет человек 10, а то и 20, за неделю их будет больше 100. Все они сделают платеж от 100 до 500 рублей, а кто-то сделает пополнение своей банковской карты на 10 000 рублей.

Сделал платеж в этом терминале и пошел дальше, а платеж не пришел. Пройдет еще час, а баланс не пополняется - ты подумаешь, что придет завтра. На следующий день уже забываешь о нем, а если вспоминаешь, то говоришь - "ладно, придет позже" и вновь забываешь.

Так происходит не с одним тобой, а с той сотней человек, которые пользовались тем терминалом. Большинство из них забывает окончательно о не пришедшем платеже, потому что потребуется возвращаться и выяснять причины, писать заявления и так далее, а человек пополнивший свою банковскую карту на 10 000 рублей нет - он забил тревогу.

Итак, хочу рассказать, что на улицах Питера появились фальшивые терминалы оплаты. Они выглядят абсолютно, как все остальные терминалы в городе, так же обклеены знакомыми брендами и названиями, но в них есть маленький нюанс. Он заключается в том, что эти терминалы просто принимают денежные купюры и все - больше ничего.

Один из таких терминалов на прошлой недели сняли оперативники МВД, совместно с нашей службой безопасности, не далеко от Сенной площади, в одном из самых проходных мест города.

В его "чреве" было обнаружены больше 40 000 рублей. Получается очень доходный бизнес, стоимость фальшивого терминала около 10 000 рублей. Это обычный ПК в железном корпусе.

Если установить такой терминал в проходном месте и опустошать его раз в день, то окупиться он за 2-3 дня.

Лицензия ФСТЭК и Персональные данные

2011-02-22T10:56:00.003+03:00

Бытует мнение, что Банкам и другим юрлицам требуется иметь лицензию от ФСТЭК, потому что их персональные данные необходимо защищать, в соответствии с нормативами по ТЗКИ.

Все правильно и логично, но только для государственных структур: налоговая, пенсионный фонд, таможня, казначейство, НИИ и прочие органы, где не просто идет обработка информации, там многая информация с грифом секретности.

Для Банков получается маразм (у нас и так хватает требований), поэтому многие коллеги не спешат получать лицензию ФСТЭК - ждут. Ходят слухи об уточнении законов: юрлица не оказывающие услуги по работе с персональными данными требование наличия лицензии не будет распространяться.

Значит лицензия потребуется юрлицам предоставляющим услугу другим. Например, дата-центрам предоставляющие свои хранилища и мощности, где имеется место обработки, хранения персональных данных, потребуется наличие лицензии ФСТЭК.

Замечу, что получить лицензию от ФСТЭК труднее, чем от ФСБ и это даже не финансовая составляющая проблемы, которая исчисляется миллионами. Моя ассоциация с процедурой получения лицензии от ФСТЭК - это подобие "Синдрома Паркинсона", когда защита информации уходит маниакальный маразм на фоне организации, где отсутствует обработка информации с грифом секретности.

Лицензия ФСТЭК - это в случаи обработки данных с грифом секретности.

Подробности технического сбоя в ЦБ 15 февраля 2011

2011-02-21T12:24:00.002+03:00

Напомню, что 15 февраля 2011 года произошел глобальный технический сбой в ЦБ, который затронул всю Россию. Результатом сбоя стало то, что 15 января "банковский день" был открыт в 16 часов 20 минут по МСК, из-за чего он был продлен до 21 часов по МСК.

Причина сбоя указанная в ранее (http://chockob.blogspot.com/2011/02/technical-failure-in-central-bank-at.html) является не достоверной. Как говорилось, информация была получена мной
от третьего человека.

А на самом деле ЧП было следующем:

утром в одном из трех дата-центров ЦБ (судя по масштабам - схема "звезда" - это московский) на уровне железа вышел из строя целый кластер, кстати построенный на базе IBM трехлетней давности.

Восстановить вышедшее звено бизнес-процесса не удалось из-за отсутствия параллельного (страхующего) кластера. Силами технического персонала, к вечеру был собран "кластер" из завалявшегося железа.

Ох, чувствую будет принят стандарт "Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации", к обязательным требованиям.

Мы начали готовиться...

Рутокен работает через RDP

2011-02-20T20:44:00.001+03:00

Знаете, что Rutoken "перебрасывается" через удаленный рабочий стол на удаленную станцию?

Да, теперь можно использовать аппаратный ключ Рутокен на территориально удаленном компьютере через протокол RDP.

Например, при использовании тонких клиентов на базе Windows CE, где драйвер Рутокен устанавливать не требуется и предложения установить игнорировать, можно сразу использовать Рутокен на удаленном рабочем столе другого компьютера. Главное удаленный рабочий стол (mstsc) был версии от 6.1.7600, тогда "проброс" Рутокен происходит корректно.

За eToken сказать не могу, нет потребности...

Новый регулятор 152-ФЗ

2011-02-18T12:48:00.001+03:00

Роскомнадзор в "пролете", потому что уже этим летом новым регулятором в области персональных данных станет Прокуратура РФ.

Всё становиться намного серьезнее, т.к. с Прокуратурой шутки плохи. Если что-то не по-закону или нарушения закона, то сразу постановление о приостановлении деятельности организации, а далее и передача дела в суд и заключение должностных лиц под стражу на время следствия.

Вот оно - "единое окно"! Только понимая какой уровень коррупции во власти, все это будет извращено для удобства некоторых "царьков" и "князьков". Теперь не угодный бизнес можно будет "заказать" и все будет по-закону, потому что найти нарушения 152-ФЗ - не проблема. Главное умей трактовать 152-ФЗ по своему - "закон, что дышло...."

Но буду надеяться на лучшее

Технический сбой в ЦБ в масштабах страны

2011-02-15T19:49:00.010+03:00

Предистория или просто совпадение?!

Центральный Банк РФ два года назад инициировал новые требования для банковской системы РФ, взяв за основу документ “242-П” и ряд стандартов по управлению качеством и другой “солянки” из этой тематике.

В результате, благодаря стараниями участников Совета АРБ и ЦБ был получен стандарт “Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации”, который буквально 1 февраля 2011 года был обновлен до версии 7.2.

В предчувствии того, что ЦБ в скором времени будет требовать соблюдение нового стандарта, некоторые банки уже активно опробывают его требования на себе. И делают они это оправдано так, как практика принятия СТО БР ИББС показала, что рекомендации могут перейти в требования.

Технический сбой в ЦБ в масштабах страны

А в это время, сам ЦБ в лице управления по Санкт-Петербургу, начиная с самого утра 15 февраля 2011 года по “техническим причинам” не осуществляет прием (и отправку) данных от Банков, т.е. банк не может осуществлять работу со своим корреспондентским счетом. Проще говоря значит, что платежные поручения юридических лиц не исполнялись Банком.

Технические причины, совпали с сегодняшним плановым тестированием обновленного формата УФЭБС версии 1.3.1. Текущая версия 1.2.1 отличается от новой лишь “квитками”, в остальном изменения формата не коснулось.

Как правильный Банк мы оповестили о возникших проблемах в ЦБ, а вот само регулятор молчит перед банками.

Update 15-00

Сенаторов М.Ю., заместитель председателя ЦБ, публично заявил на проходящей в Башкортастане третьей межбанковской конференции «Информационная безопасность банков», о технических проблемах в “информационной системе ЦБ”, которая затронула всю Россию.

Update 16-40

В 16-20 электронный обмен с ЦБ восстановился и продлен до 21-00 по мск.
Экономика России замерла на один банковский день.
Дальнейшее развитие единой национальной системы платежей дает много вопросов.

Update 19-30

Общался с коллегой, по его информации:

...при разговоре с ЦБ о возникшей проблемы, на заднем фоне слышен был мат и разговор о том, что "эти пид%ы накатили на рабочую базу тестовую"....

Учитывая, что сегодня началось тестирование новой версии УФЭБС, то очень реально.

Сдается мне, что новый стандарт в очень скором времени будет обязательным.

Удаляем скрытую информацию из документа

2011-02-09T21:21:00.001+03:00

Не секрет, что за многими "софтверными гигантами" уже давно наблюдается тенденция "слежения за пользователем". Возьмем Microsoft Office, - к любому созданному документу дополнительно добавляется различная служебная и "не служебная" информация, которая явно в документе для пользователя не отображается.

Что скрытно сохраняется в документе

Сохраняются комментарии и отметки об отслеживании изменений версий, когда документ редактируется совместно несколькими пользователями, то он содержит контрольные отметки изменений в документе, а также комментарии пользователей и их имена.

Сохраняются свойства документа и личные сведения. У документа существуют метаданные (свойства документа), которые могут включать сведения: имя автора, названия документа, дата создания и описание, что понятно и стандартно. Но также могут быть автоматически добавлены: заголовки электронных писем, отправленных на рецензию; маршруты документа; пути к принтеру.

Сохраняются свойства сервера документов. В случаи использования Microsoft Windows SharePoint, то в документе будет информация касающаяся расположения данного сервера.

Что могут сделать со скрытой информацией

Скрытую информацию из документа достаточно легко извлечь и в дальнейшем использовать в качестве социального инженеринга и другого промышленного шпионажа. Как использовать полученную информацию по-говорим в будущем.

Как удалить скрытую информацию из документа

В новом Word 2007 существует встроенный мастер - "Инспектор документов", который позволяет удалить всю скрытую информацию из документа.

Через "Общее меню редактора", выберите "Подготовить", где будет "Инспектор документов".

В случаи, когда документ еще не сохранен, то перед вызовом инспектора появится предупреждение с вопросом о сохранении.

Установите флажки на нужных типах и нажмите кнопку "Проверить". По окончании проверки в окне инспектора будут отображены результаты проверки.

Нажав "Удалить все" будут удалены соответствующие данные раздела, после можно повторно провести проверку, нажав "Повторить проверку".

Обладатели старых MS Office для удаления скрытой информации из документа придется пользоваться утилитой "Надстройка Office 2003/XP: Средство удаления скрытых данных"

Подробная информация об удаление скрытой информации из документов Microsoft Office

Документация PCI DSS по-русски

2011-01-26T20:15:00.000+03:00

Не смотря на имеющийся практический опытом работы по комплексной защите информации и работы с Российскими регуляторами, для меня не сразу ясными были ответы по некоторым вопросам из PCI DSS.

Большинство ответов были получены, а значит заполнены "пробелы знаний" в PCI DSS, из различных источников: Сообщество профессионалов PCI DSS, Управление соответствием стандартам PCI в России, но больше проходиться сверяться с первоисточником - PCI Security Standards Council.

Для начинающих осваивать международные требования защиты информации в индустрии платёжных карт, могут начать изучение с изданий PCI DSS переведенных на русский язык НИП "Иформзащита".

PDCA

2011-01-16T13:23:00.005+03:00

В теории управления качеством существует такое понятие, как "Цикл Деминга", главная методика, которого спрятана под аббревиатурой PDCA, включающая в себя четыре действия:

Plan - планирование
Do - выполнение
Check - проверка
Act - воздействие.

Она также известна в англоязычной литературе под формулировками: "Deming Cycle", "Shewhart cycle", "Deming Wheel" или "Plan-Do-Study-Act".

PDCA универсален для всех

Методология PDCA имеет настолько универсальный и простой алгоритм действий, что его можно применять в различных областях работы. Методология применима, как в работе сантехника (возьмем случай "идеального сантехника") и руководителя фирмы.

У каждого человека из примера есть своя цель: у сантехника, чтобы работал водопровод, канализация и т.д.; у руководителя фирмы, чтобы бизнес приносил деньги. Для достижения своих целей каждый из них делает абсолютно разную работу относительно друг друга, но PDCA для достижения своих целей одинаково подходит им обоим.

Как использовать алгоритм PDCA

Plan - Планирование. Установите цели и процессы, которые необходимы для достижения этих целей. Планируйте работу процесса с расчетов выделения и распределения ресурсов необходимых для достижения цели.

Do - Выполнение. Выполняйте процесс в соответствии с планами. Одновременно собирая контрольную информацию по ключевым показателям.
Check - Проверка. В ходе исполнения процесса анализируйте получаемую информации, отмечайте наличие отклонений от плана и пытайтесь установить их причины.

Act - Воздействия. Применяйте меры (корректировку) по устранению причин отклонения от запланированного результата. Изменяйте распределения ресурсов для процесса.

Особенностью алгоритма предложенного Демингом является то, что алгоритм выполняется циклически. Последовательно переходя каждую контрольную точку Plan-Do-Check-Act, все равно нужно возвращаться к точке Plan, чтобы начать сначала. Как говориться: "Нет пределу совершенству".

Попробуйте использовать алгоритм Plan-Do-Check-Act для достижения своих целей и вам понравиться с какой легкостью они будут достигаться.

Узнать больше об Управлении качеством на русском языке можно через книгу "Процессный подход к управлению. Моделирование бизнес-процессов", авторы Репин В.В., Елиферов В.Г. (ISBN 978-5-94938-063-5)

Мойте руки после банкомата

2011-01-15T12:23:00.002+03:00

Конечно я догадывался, но все оказалось хуже...

Британские учены из компании BioCote исследовали гигиенические пробы с клавиатур банкоматов расположенных в больших городах Англии. По результатам исследований, в микрофлоре на кнопках банкоматах оказалась множество болезнетворных бактерий. "...банкоматы загрязнены бактериями практически так же, как общественные туалеты", - рассказал автор эксперимента микробиолог Richard Hastings, пишет dailymail.co.uk.

Общественное мнение граждан Англии всегда считало, что самыми грязными местами являются общественные туалеты, поэтому ученые были удивлены результатами. Следующими по-загрязненности идут поручни в общественном транспорте и дверные ручки в офисах.

Как говорили нам в советском детстве: "мойте руки перед едой", теперь буду мыть руки после общественного транспорта.

Хронопэй и последствия взлома

2010-12-28T22:09:00.003+03:00

Взломали ЗАО "Хронопэй", он же www.chronopay.com, которая исполняет роль Процессинга в банковских платежах через Интернет.

Что конкретно взломали: сайт или процессинг, не буду давать комментарии, потому что блогосфера жужжит по полной и определить, где правда или черный пиар уже сложно. Но добавлю свои "пять копеек" из интересующей меня области информационной безопасности.

ЗАО "Хронопэй" сертифицирована по PCI DSS, а это не "филькина грамота", которую можно купить за дешево. Для сертификации нужно не только официально заплатить несколько миллионов рублей, но и пройти в несколько этапов проверку бизнес-процессов, документации и тестов, один из которых - это "проникновение злоумышленника". Обращаю внимание, тест на проникновение - это когда из вне пытаются попасть через контролируемую зону.

И кому-то удалось пройти через контролируемую зону ЗАО "Хронопэй", а это значит облажалась не только Хронопэй, но и организация проводившая сертификацию. Аккредитацию PCI DSS имеют в России всего семь организации, какая из них проводила сертификацию Хронопэй, мне не известно. Хотя для PCI DSS важен сам факт утечки, не её степень последствий и объем урона, значит вскоре начнется процесс расследования аккредитованной организации.

Зная кто-такой Павел Рублевский (владелец Хронопэй) и его прошлые методы работы с парнерами, то можно предположить, что процесс сертификации проходил в ускоренном темпе за счет дополнительного, хорошего денежного вливания.

~~Нельзя исключить, что через некоторое время в России будет шесть организации с PCI DSS аккредитацией.~~

Update 02/01/2011

Сертификацию Хронопэй проводила немецкая компания Security Research & Consulting GmbH, по информации от rauf.

Отзыв об "Комита Курьер JE"

2010-12-22T20:11:00.001+03:00

Предыстория - ИБ и "Комита Курьер JE"

Первый же звонок, совершенный мной этим утром, был в support компании "Комита". После стандартного приветствия "айвиара", разговор был соединен с оператором call-центра.

Просьба оператора назвать ИНН моего банка, которого я естественно не помню и не запоминал никогда, ввела меня в некоторое замешательство. Конечно, когда ты звонишь в ЦБ и тебя спрашивают БИК твоего банка - это понятно, вопросов нет. Но когда саппорт просит сообщить ИНН организации для того, чтобы тебе смогли оказать помощь (консультацию), то получается "интересный" у них ITIL...

Найдя ИНН банка и сообщив его оператору, меня соединили со "2й линией саппорта" - Евгением Г., ему была пересказана обнаруженная проблема с софтом "Комита Курьер JE". Евгений, взволнованно, сообщил мне, что открытого хранения пароля/логина не происходит при работе с СУБД Oracle, а с СУБД MSSQL такого не может быть. В результате наш разговор завершился тем, что он перезвонить после дополнительных консультации с разработчиками.

Позже Евгений Г. позвонил и уверил, что будет сделан "горячий" hotfix, который после обеда будет выслан нам. Действительно, присланный hotfix пришел после обеда в виде скомпилированных java-классов, которые следовало заменить поверх имеющихся. Оставалось за комментировать строки с параметрами логин/пароль, значение которых для надежности были стерты мной.

Теперь у нас "Комита Курьер JE" обращается к БД в защищенном виде, а как у остальных владельцев лицензий не ясно.

В результате моя оценка, по 5-ти бальной шкале, работы сотрудников компании "Комита" получается следующий:

Оценка - 1, разработчикам за ошибки в ИБ, которые профессионал не допускает.

Оценка - 3, хороший программист должен замечать ошибки разработчика, за это 2, но за оперативность hotfix'a плюс 1.

Оценка - 3, вторая линия саппорта должна быть морально готовым к любым вопросам.

Оценка - 5, первая линия саппорта - молодцы!

ИБ и "Комита Курьер JE"

2010-12-21T20:51:00.003+03:00

В соответствии с соблюдением норм "СТО БР ИББС", довелось познакомиться с программным продуктом компании "Комита" под названием "Комита Курьер JE".

Сказать, что я находился в шоке после знакомства с этим софтом - это ничего не сказать, я в ярости!

Хочу знать программиста-~~долбаеба~~, который решил использовать хранение аутентификационных параметров к базе данных MS SQL в простом текстовом конфиге. Даже, 9-ти классиник понимает, что в открытом виде хранить логин и пароль SQL-пользователя - маразм!!!

Как назло их support работает с 9 до 18, завтра буду выяснять, что за Х-ню нам подсунули

PS Видимо в БСС ушли самые лучшие кадры программистов....

Продолжение - Отзыв об "Комита Курьер JE

Защита ригеля от взлома банкомата

2010-12-15T20:50:00.002+03:00

По ранее описанному нашлось наглядное видео имитирующее пособие взлома банкомата, где видно, как один из виновников ранее легкого вскрытия банкомата справляется с мощнейшими ударами, которые он раньше не выдерживал.

Все это благодаря "рукастым" людям из разных компаний, которые придумали и сделали различные варианты укреплений и защит своих банкоматов, что теперь такой способ взлома банкомата не возможен и этому подтверждение на видео.

Видео с сайта банкоматчик.ру, где специалисты компаний "КРИСО" тестируют защиту ригеля.

На прошлой работе инженеры использовали чуть другую модификацию "упора", но суть была практически такая же, как у специалистов КРИСО.

Фото: ericschmiedl.com

MS SQL Server: Active Directory vs SQL Server

2010-12-14T20:40:00.006+03:00

Существует два вида аутентификации пользователя к базе данных на MS SQL Server:

Windows Authentication - через доменную авторизацию Active Directory;
SQL Server Authentication - через учетную запись самого MS SQL Server.

Какая проверка подлинности пользователей лучше: Active Directory или SQL Server, выберите первый вариант? Думаю, что ваше мнение измениться на противоположное.

Так делает большинство, потому что - это удобно

Для получения доступа к БД на MS SQL Server, большинство используют авторизацию через Active Directory, потому что это упрощает многие аспекты работы для системного администратора и даже администратора ИБ.

И большинство технических специалистов считают такой подход правильным и надежным, мое же мнение - напрасно так считают! При использовании доступа к базе данных через Windows Authentication не возможно обеспечит защиту ИБ компании от инсайдера.

Что мешает пользователю получить доступ к содержимому базы данных каким-либо не авторизованными приложением? Ничего не помешает, потому что согласно политике Active Directory он уже авторизованный и доверенный пользователь, который получить доступ используя свой доменный логин и пароль.

А значит нельзя исключить такую модель угрозы: менеджер по продажам и система CRM

Менеджер используя свой Windows Authentication аккаунт получает доступ через MS Access к данным базы данных, и начинает "обрабатывать" их в обход клиентского приложения системы CRM, которым он пользуется обычно в своей работе. Ему не составит труда это сделать, потому что он довернный пользователь и его допустят к БД на MS SQL Server.

"Ничего страшного, ведь он и так с ними работает" - кто-то скажет и сильно ошибется, потому что менеджер сможет сделать:

любые изменения в данных и эти изменения не будут отражены (кем и чего изменялось) в системе журналирования CRM;
данные из базы данных могут быть легко скопированы и унесены, например, клиентские контакты;
данные в базе могут быть массово изменены или удалены;

А теперь стало страшно?!

Тогда хватить лениться и начинаем использовать SQL Server Authentication аккаунты для каждого пользователя. При этом клиентская часть CRM настраивается так, чтобы менеджер не знал пароля для подключения к базе данных, он должен знать логин/пароль входа в клиентскую часть CRM.

Я вас переубедил?

Магафон убил идею с одноразовыми паролями

2010-12-12T17:40:00.002+03:00

Московский представитель Мега~~жмота~~фона ввел новую услуг под названием SMS+, которая позволяет формировать автоответы по sms, вести историю sms, а также.... сделать переадресацию SMS-сообщений на другие номера телефонов.

Услуга новая, даже полезная и интересная, но очень опасная и бестолковая, потому что идея с одноразовыми паролями получаемыми через SMS стала очень уязвимой и бессмысленной. Казалось бы такой простой и надежный метод авторизации через одноразовые пароли теперь фактически дает возможность утечки ключевой информации.

Из-за возможности переадресации sms создается большая угроза безопасности для владельцев Интернет-Банка, где используется одноразовый пароль получаемый по SMS. Ладно, раньше делали дубликаты sim-карт по фиктивным доверенностям и получали доступ к Интернет-Банку, то сейчас становиться еще проще простого - надо взломать услугу.

Путем подбора или кражи пароля к этой услуги, можно включить переадресацию всех входящих SMS-сообщений на сторонний сотовый номер телефона и получить доступ к Интернет-Банку.

А конкуренция, в скором времени, заставит появиться данную услугу у региональных представителей Мега~~жмота~~фона, а также его конкурентов из "большой тройки", и тогда будет много, много краж денег.

Уже сейчас, коллеги из ИБ московского банка ВТБ совершают "мозговой штурм" и задают один из главных вопросов российской действительности - "Что делать?". Пятница для них оказалась черной, потому что у них был прецедент, когда с помощью переадресовывания sms был получен доступ к Интернет-Банку и почти 2 миллиона рублей улетели во Псков.

У кого-то будет теплый Новый Год на лазурном пляже теплого, тихого моря. Соблюдайте безопасность.

Численность штата ЦБ

2010-12-06T20:35:00.003+03:00

С телевизоров периодически появляются высказывания, особенно среди политиков модно об этом говорить, о сокращении численности чиновников.

Этот процесс "реформирования" коснулся Центрального Банка России, который затеял в целях совершенствования системы взаимодействия с территориальными учреждениями ЦБ, сокращать свою численность.

Проведенные организационно штатные мероприятия позволили сократить численность работников Центрального Банка России, в ходе которых были исключены "раздвоенные должности" и отправлены на пенсию пенсионеры, что дало около 1 700 человек.

Почти на две тысячи человек сокращен штат! А что такое две тысячи человек? Это городской поселок с несовершеннолетними и стариками в Ростовской области, это средний градообразующий завод в регионах, это почти штат одной смены в цеху Череповецкого литейно-механического завода.

Все эти сравнения меркнут, когда выясняется сколько всего численность Центрального Банка России.... и особенно в сравнении с аналогичными странами на душу населения.

Забавные соотношения получаются, правда?

А вот еще интересные цифры от Центра экономических исследований МФПА

	Численность персонала	Среднемесячные расходы на одного сотрудника, $
Народный банк Китая	14 0450	н.д.
Банк России	75 416	1 597
Резервный банк Индии	28 884	84
ФРС США	19 433	5 252
Банк Франции	13 972	10 861
Национальный банк Украины	11 181	648
Немецкий Бундесбанк	10 972	6 719
Банк Японии	5 057	6 984

Работа с USB накопителями в организации

2010-12-04T11:47:00.000+03:00

Все известные мне программные продукты под ОС Windows не могут пройти следующие требования:

Кто может использовать USB-накопитель.

Мне требуется четко определить каким пользователям (учетные записи AD или Local) на компьютере можно использовать USB-накопитель.
Где можно использовать USB-накопитель

Мне требуется четко определить на каких компьютерах может быть использован USB-накопитель.
Какой именно USB-накопитель можно использовать.

Мне требуется четко определить какие USB-накопители могут быть использованы, а также каким пользователям и на каких компьютерах.
Когда можно использовать USB-накопитель

Мне требуется четко определить временные интервалы, когда можно использовать конкретный USB-накопитель на определенном компьютере с указанным пользователем.
Система оповещений

Оповещать администратора информационной безопасности об инциденте, а также выполнении события заданного в правилах разрешения. Обязательно оповещать, если агент после установки "не вышел на связь", а компьютер в сети.
Система администрирования

Отображение полной картины состояния защиты. Система отчетов для анализа. Идеально - система с web-интерфейсом управления через https.
Агентское приложение

Удаленная, "теневая" и принудительная инсталляция агента на ОС компьютера. Невозможность выгрузки или обхода загрузки агента приложения. Идеально - отсутствие агента в диспетчере задач.
Стоимость лицензий

Для информационной безопасности стоимость лицензии на использование не важна, но она должна быть адекватной.

Послесловие

Конечно, встречаются программные продукты, которые выполняют первые четыре требования, но вот серверная и/или агентская часть желает быть лучшего, а потому остается делать по старинке, как раньше приходилось делать на старой жуткой работе, опечатывать USB порты и раз в месяц проводить инспецию с записью в журнал осмотра.