Вчера вышел официальный пресс-релиз о сертификации Windows 8 и Windows Server 2012 во ФСТЭК. Пресс-релиз находится в аттаче к этому посту

Вот и начался новый бизнес год в России. По традиции, он совпадает с началом учебного года, когда все, и взрослые, и подрастающее поколение, возвращается после летних отпусков и каникул к своим основным рабочим обязанностям. Возвратимся и мы. За лето произошло несколько приятных событий в области подтверждения безопасности продуктов Майкрософт - мы получили сертификаты ФСТЭК на Office 2010 Professional Plus и на новый антивирус Forefront Endpoint Protection. Более подробная информация - в прилагаемом к этому посту файле-презентации. Успехов! И не стесняйтесь задавать вопросы в этом блоге - с удовольствием отвечу.

Еще один пост для широкого круга, который я опубликовал на i-business.ru

Частенько мне задают вопрос – «сертифицирована ли в ваших продуктах криптография?».  Даже если речь идет о сертифицированных продуктах этот вопрос не праздный. Ответ на него, при этом, достаточно прост.

Если у вас продукт не сертифицированный, то, понятное дело, все криптографические функции не сертифицированы.

Если продукт сертифицирован во ФСТЭК, то, так как сертификация криптографии относится к компетенции ФСБ, то криптографические функции при сертификации во ФСТЭК не проверяются. Понятное дело, так как они входят в состав проверяемого ФСТЭК продукта, то при проверке этого продукта на соответствие требованиям ФСТЭК эти функции будут проверены косвенным образом, но не на предмет криптографических требований. Поясню на примере. По требованиям ФСТЭК в продукте, в том числе, надо проверить «качество» авторизации. Если «качество» хорошее, то продукт эту проверку прошел. Но в авторизации задействованы и криптографические функции. Выходит, что они прошли проверку? Они прошли проверку, как часть авторизации, но не проходили проверку вообще, как криптографические функции.

Поясню на примере. Вы пришли проходить техосмотр. Ваша машина должна продемонстрировать, в том числе, что может хорошо тормозить. Но для этого у нее должен работать мотор, чтобы крутить колеса, иначе нечего будет тормозить. Если тормоза оказались хорошие, то вы прошли тест на хорошие тормоза. Но прошли ли вы тест на качество двигателя? Он, конечно, участвовал в ваших тестах – крутил колеса, которые потом останавливали для теста. Но качество двигателя никто не проверял. Но есть тесты и на качество двигателя – например, количество выбросов СО в атмосферу. Но для этого надо провести тест на выбросы.

В этом примере проверка качества двигателя это аналог проверки качества криптографии. Насколько удачным получился пример судить вам. Но на нем я постарался показать, что при проверке какой-то системы в ней проверяют то, что хотят проверить. А уже потребитель должен сам понимать – проверено ли все то, что хочет именно потребитель. Или надо что-то еще проверить?

Поэтому если вас интересует сертифицированная криптография в продукте, то вам надо требовать сертификат ФСБ, либо на криптографические функции, либо на продукт в целом.

Как это делается и почему криптография столь критична для нашей сегодняшней жизни мы поговорим в следующем посте.

Успехов!

На днях мы с порталом http://i-business.ru договорились о том, что я у них буду вести блог по информационной безопасности. Для удобства читателей Technet я буду дублировать содержание блога на i-businee на Technet, давая соответствующую ссылку. Понятно, что блог на i-business предназначен для широкого круга лиц, не искушенных в технологиях. Поэтому стиль постов для читателей i-business будет максимально простым. Первый пост там посвящен проблеме сертификации ПО. Текст ниже.

Мы все используем ПО, и дома, и на работе. И для работы, и для развлечений. Но некоторые используют сертифицированное ПО. Зачем? Для чего оно вообще нужно? И для когда надо его использовать?

Вопросы, вообще говоря, не праздные. И даже в организациях, которые должны использовать сертифицированное ПО, к сожалению, не всегда знают ответы на эти вопросы.

Прежде всего надо сказать, что сертификация продукта или услуги как таковая это проверка на соответствие этого товара или услуги некоторым требованиям. Например, бывает сертификация товара на соответствие санитарным требованиям:- в том случае, например, все клавиатуры для компьютеров и DVD-фильмы проверяются на то, что прикосновение к ним не вызывает болезней кожи. Иногда говорят о сертификации специалистов: в этом случае, например, проверяется – знает ли специалист как ремонтировать Фольксваген, и если знает, то ему выдается соответаствующий сертификат. Требований к продуктам, услугам и людям в мире предъявляется великое множество, и так же много в мире разных сертификаций. Среди  их есть требования к обеспечению информационной безопасности и соответствующие системы сертификации.

Систем сертификации на соответствие требованиям информационной безопасности великое множество. Во многих странах они есть свои собственные (например по требованиям FIPS в США, по требованиям ФСБ в России), но есть и международные системы. Самая известная из них Common Criteria (Общие Критерии). Эту систему признают не так много стран, и в России сертификаты Common Criteria также не являются легитимными.

Зачем нужны сертифицированные продукты? Во многих организациях надо соблюдать определенные требования по сохранности данных. Для этого необходимо убедиться, что используемое ПО достаточно «качественное» с точки зрения  езопасности. Например, что доступ к данным на вашем компьютере невозможен постороннему человеку. Таких требований к «качеству» безопасности может быть несколько. Например, в системе сертификации ФСТЭК России есть классы защищенности 1Г, 2Б, и другие. Для обеспечения защищенности конфиденциальных данных обычно достаточно класса 1Г, этот класс защищенности  зафиксирован во внутренних регламентирующих документах многих организаций, в том числе и государственных. Именно на соответствие ему проводится большинство сертификаций продуктов такими производителями, как Microsoft, IBM, SafeNet,… И организации, кто должен защищать данные в соответствии с 1Г приобетают и используют продукты с сертификатом на 1Г. 

После появления закона о персональных данных производители стали делать сертификацию своих продуктов и на соответствие этим требованиям. Классы информационных систем, обрабатывающих персональные данные, имеют нумерацию от класса 1 (К1, самая высокая степень защиты) до класса 4. И в сертификатах, выданных ФСТЭК, теперь можно увидеть слова типа «продукт может использоваться при создании информационных систем персональных данных до 2 класса  ключительно». Список организаций, которые должны использовать продукты, сертифицированные на соответствие требованиям защиты персональных данных, включает в сеюбя почти все организации страны – в организациях работают люди, и
их учетные данные хранятся в отделах кадров.

Есть и редкие сертификаты – сертификаты от ФСБ. Для их получения надо обязательно предоставлять для исследования исходные коды продуктов. Есть только пара зарубежных производителей, которые могут похвастаться такими  ертификатами. На этой неделе в прессе был анонс получения таких раритетов – вы без труда сможете их найти самостоятельно.

Вам же пожелаю не обращать на сертифицированные продукты никакого внимания – если вашей организации они не нужны, и заручиться поддержкой экспертов в этом вопросе – если вы все-таки столкнетесь с такой потребностью. Не забывайте в этом случае о получении сертифицированных обновлений к продуктам (даже к антивирусам) – поддержание безопасности это процесс, а не одноразовое действие!

Успехов!

7-8 февраля работал 14-й ИНФОФОУМ - главная конференция страны по информационной безопасности www.infoforum.ru

Мы на нем делали несколько презентаций. Две из них - на пленарном заседании о текущих итогах сертификации и на секционном об организации защищенных облаков - приаттачены к данному посту. Как я и обещал на конференции. Пользуйтесь! Там, как всегда, есть свежие данные по уязвимостям основных продуктов. 

Перезалил презы, у кого-то предыдущие не открывались.

 Сегодня прочитал любопытную статью http://open.cnews.ru/news/top/index.shtml?2012/02/01/475520 о том, что, как пишет CNEWS  "Минкомсвязи засекретило «русскую Windows», так как она полностью американская". Раньше я никогда бы не подумал, что сторонники СПО могут таким образом конкурировать друг с другом, но времена, видимо, меняются. Но на мысль написать этот пост меня навели не внутренние притиворечия внутри СПО (что нормально для любого сообщества), а, как пишет CNEWS в статье. использование "в качестве прототипа национальной операционной системы России дистрибутива Red Hat Enterprise Linux 5". Это ведь довольно старый дистрибутив, подумал я, и решил посмотреть, а сколько там в нем нашли уязвимостей за время его жизни.Ведь известно, что чем дольше ПО живет на свете, тем больше у него можно обнаружить уязвимостей - просто для их поиска есть больше времени :-)

Оказалось что на сегодня у Red Hat Desktop Linux 5.х обнаружена 1801 уязвимость. Первая версия этого дистрибутива (5.0) вышла в марте 2007, последняя (5.7) в июле 2011. Для наших оценок скорости обнаружения уязвимостей чем дольше продукт на рынке при том же самом числе обнаруженных уязвимостей, тем почетней это для продукта. Поэтому возьмем для расчетов максимальное время жизни этого дистрибутива. Итак, у дистрибутива 5.х за 10+4*12+1=59 месяцев обнаружено 1801 уязвимость, скорость обнаружения уязвимостей =30,5 уязвимостей в месяц

У новейшего продукта Red Hat Desktop Linux 6, вышедшего в сентябре 2010, за 4+12+1= 17 месяцев обнаружено на сегодня 596 уязвимостей, скорость обнаружения уязвимостей 35,0 уязвимостей в месяц

Ubuntu Linux 8.04 - многие верят в миф о том, что дистрибутивы Ubuntu не имеют уязвимостей - вышел в апреле 2008, за 9+12+12+12+1= 46 месяцев у него обнаружено 1459 уязвимостей, скорость обнаружения уязвимостей 31,7 уязвимостей в месяц

Новейший Ubuntu Linux 11.10 вышел в октябре 2011, за 3+1= 4 месяца у него 156 уязвимостей, скорость обнаружения уязвимостей 39,00 уязвимостей в месяц

То есть для различных дистрибутивов СПО скорость обнаружения уязвимостей в них составляет более 30 новых уязвимостей в месяц

А как у проприетарного ПО? Посмотрим на аналогичные продукты Microsoft

Windows 7 вышла в октябре 2009, за 3+12+12+1=28 месяцев у нее найдено 190 уязвимостей, скорость обнаружения уязвимостей 6,78 уязвимостей в месяц

Старенькая Windows XP вышла в октябре 2001 года, за 3+10*12+1=124 месяца у нее нашли 519 уязвимостей, скорость обнаружения уязвимостей 4,18 уязвимостей в месяц

То есть для различных Windows скорость обнаружения в них новых уязвимостей в 5-8 РАЗ МЕНЬШЕ скорости обнаружения уязвимостей в продуктах СПО. Причем даже если взять Window разработки более чем 10-летней давности (Windows XP) и сравнить с новейшим продуктом СПО Ubuntu Linux 11.10, то скорости обнаружения уязвимостей для них будут различаться в 39,00:4,18=9,33  - в ДЕВЯТЬ с лишним раз!

Именно поэтому, как мне кажется, производителям СПО-дистрибутивов (Ubuntu, в частности) приходится производить все новые и новые дистрибутивы (у Ubuntu по 2 релиза в год), чтобы число уязмостей в них было не столь устрашающим для заказчиков. Но при высокой скорости обнаружения уязвимостей этот трюк не спасает.

В чем причина таких разных скоростей? Уверен, что причина просто в качестве управления разработкой и тестирования продукта. Надеюсь, что коллеги из СПО сообщества все-таки начнуть применять на практике принципы создания защищенных продуктов, так хорошо описанные в опубликованных книгах об SDL (Security Development Lifecycle) и защищенных кодах (на русской переведена книга, которая так и называется "защищенный код") 

Старания и знаний вам, разработчики.

Знаний о продуктах вам, уважаемые заказчики. 

Как уже сообщалось в прессе (мы выпустили пресс-релиз), ФСТЭК выписала сертификаты на Windows 7 c SP1, Windows Server 2008 R2 c SP1, Biztalk Server 2009 и Forefront Identity Manager 2010. В выпущенных сертификатах указано, что все эти продукты могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании систем обработки персональных данных до 2 класса включительно. Презентация по текущему состоянию дел по сертификации приложена. Пользуйтесь!  

Многие спрашивают - каков список существующих на сегодня сертифицированных продуктов Microsoft? И какая работа идет по сертификации новых продуктов? Ответ в приложенной презентации. Пользуйтесь!

Уважаемые читатели! Неделя безопасности, проведенная в нашем блоге, завершилась, и сегодня мы публикуем ответы Владимира Мамыкина на те ваши вопросы, на которые мы не успели ответить в постах.

На этом мы, естественно, не закрываем тему информационной безопасности и будем продолжать освещать ее в будущем. Если у вас остались вопросы по ИБ, на которые вы не можете найти ответ, вы можете задать его в блоге Владимира Мамыкина http://blogs.technet.com/mamykin/

Спасибо за ваше участие!

Директор: Хотелось бы услышать что-то и про финансовую безопасность в Сети.
Много слышал о хищении денег с помощью Интернет-банкинга. Как небольшая компания, может обезопасить себя? Есть ли какие рекомендации и программные средства?

Для корректного ответа на этот вопрос нужно уточнить: вы как небольшая компания просто пользуетесь банкингом либо вы сами предоставляете финансовые услуги и будете выстраивать вашу инфраструктуру так, чтобы защититься от атак.

Для обычных пользователей банковских служб все правила защиты одинаковы. Самая большая проблема на этом фронте — фишинг. Его суть в том, что, приходя на сайт известного банка, вы попадаете на поддельную страницу. Есть несколько способов ее подделать, например, скопировать весь внешний вид страницы. От этого у солидных банков есть защита — они не только проверяют и шифруют соединение с клиентом, но и удостоверяют подлинность своих серверов с помощью цифровых сертификатов.

Мошенники также могут попытаться заманит вас на поддельный сайт, сделав в адресе незаметное изменение, например, заменив одну букву на похожую. Еще одна возможность похитить ваши реквизиты доступа – подсадить в ваш ПК скрытый вирус, который при входе на сайт вашего банка, в котором вы пользуетесь интернет-банкингом, фиксирует и отправляет атакующему последовательность нажатых вами клавиш, так называемый "keylogger". Либо подменить на подлинном сайте только форму авторизации с помощью ActiveX, отсылающего ваши данные на сторонний сайт.

Предотвратить такие атаки достаточно просто. В современных браузерах есть средства антифишинга, которые проверяют, является ли сайт доверенным и не позволяют отправлять информацию на сторонние сайты.

Если же вы сами предоставляете финансовые услуги, то вам необходимо следовать простым правилам, подходящим для любой организации: поставить хороший межсетевой экран, антивирусное средство и т.д. Кроме этого, для финансовых организаций особенно важно, чтобы серверы приложений не находились в DMZ зоне. Все жизненно важные приложения должны оставаться за пределами этой зоны. Желательно также использовать серверы очередей, как это делают ведущие банки мира, чтобы предотвратить атаки "насквозь".

Mike: Владимир, расскажите, пожалуйста, какие есть решения для безопасности мобильных телефонов?

Тема безопасности мобильных устройств сегодня более чем актуальна. Основная проблема заключается в том, что пользователи недостаточно осведомлены о том, что такое защита данных и от чего защищаться. Если в компьютерном мире люди привыкли использовать хотя бы антивирус, то технический уровень пользователей мобильных устройств (а их в разы больше) часто не позволяет эффективно распространять культуру безопасности в этой сфере. Ведь мобильными устройствами пользуются, в том числе, дети и пожилые люди.

С ростом популярности смартфонов количество мобильных угроз возрастает экспоненциально вместе с возможностями существующих платформ. Сразу договоримся: есть безопасность корпоративного и домашнего мобильного устройства. С точки зрения домашнего пользователя необходимо иметь хотя бы антивирус, что не всегда реализуемо. К сожалению, производители антивирусных средств пока не слишком озабочены завоеванием этого широкого и перспективного рынка. Но появление вирусов на всех платформах говорит о том, что мы в начале этой "битвы за мобильные", и надо к ней готовится.

Чтобы обеспечить безопасность корпоративных пользователей, мобильное устройство должно отвечать нескольким требованиям. Во-первых, необходима возможность ограничивать установку ПО на телефон. Во-вторых, требуется интеграция с политиками безопасности домена, чтобы для каждого пользователя из каталога (например Active Directory) все доменные политики могли быть удаленно «накатаны» в телефон. В-третьих, нужна удаленная установка ПО и обновлений, получение различных отчетов. Наконец, в-четвертых, необходима возможность удаленно стирать всю информацию на телефоне, если он утерян, и т.п.

Самое удивительное – некоторые из этих функций реализованы почти во всех платформах, но все перечисленные мной требования обеспечивают лишь немногие. Проверьте у производителей, кто все эти функции поддерживает. Вы будете и удивлены, и нет J

Moby: а зачем MS занимается разработкой решений по безопасности? ведь есть огромное количество производителей с именем - Каспертский, Симантек и др. лично я с большим удивлением узнал, что MS делает анитивирус.

От решения по информационной безопасности требуется не только качество, но и высокая степень интеграции с теми устройствами и приложениями, с которыми вы работаете. Особенно это важно для компаний, то есть корпоративных, а не частных пользователей. Производители решений ИБ часто не имеют возможности на должном уровне интегрировать свои технологии с другими продуктами. Здесь возможны два варианта.

Первый: производители инфраструктурного ПО интегрируют продукты в свои системы, приобретая их на правах роялти (это можно часто видеть на примере антивирусных систем, встроенных в межсетевые экраны).

Второй: производитель видит, что у него есть возможность сделать продукты ИБ, например, базового уровня. Могу привести пример: в свое время в Windows XP SP2 появился базовый межсетевой экран, избавивший множество людей от необходимости покупать межсетевой экран отдельно. Таким образом мы снабдили тапочками людей, гуляющих босиком в лесу с колючими шишками. Это сильно сказалось на всей экосистеме  интернета, которая стала значительно более безопасной. Многие до этого даже не знали, что такое межсетевой экран и для чего он нужен и в общем-то продолжают не знать. То же самое с антивирусами – у нас есть первоклассное средство, которое мы поставляем бесплатно, чтобы улучшить экосистему Интернета. Конечно, есть и платное решение для корпоративной защиты, которое сделано на том же самом антивирусном движке, но уже с теми возможностями, которые необходимы для обеспечения защиты инфраструктуры предприятий.

Надо сказать, что Microsoft уже давно делает не только антивирусы, но и межсетевые экраны, системы контроля доступа, фильтрации спама и другие средства защиты.

Viking: в продолжении вопроса Бетси. Микрософт регулярно выпускает всякие бюлетени безопасности, которые закрывают дырки. не так давно было сообщение о рекордном закрытии. а почему нельзя сразу делать софт, который не будет иметь столько дыр? посмотрите на Apple.

Необходимо подчеркнуть, что любой софт имеет уязвимости. Даже если их нет на момент выпуска, то они появляются с развитием методов атак. Например, скорость процессоров сегодня позволяет простым лобовым перебором (bruteforce attack)достаточно быстро найти ключ шифрования для DES, который 20 лет назад, когда DES был национальным алгоритмом шифрования США, был бы невзламываемым. Это пример того, что даже простое развитие технологий приводит к ухудшению защиты. Если же к развитию атаки добавляется острый ум, то атака может использовать возможности системы, которые ранее не представлялись опасными для атаки, и, соответственно, не защищались.

Конечно, есть ПО, которое многие считают неуязвимым, например, тот же Apple, который некоторое время назад имел сравнительно малую долю рынка и использовался в основном для обучения и графических работ. То есть «вскрыв» ПО Apple, преступники получали доступ к дизайнерским разработкам или учебным материалам, то есть информации, которая не представляет никакого интереса с точки зрения ее коммерческой ценности. С тех пор как Apple перешла на платформу Intel, количество атак на нее выросло. Оно до сих пор не так значительно, так как у компании нет серверных решений, используемых, например, банками и другими организациями. Тем не менее, даже при сегодняшнем небольшом интересе хакеров к этой платформе, она уже достигла "лидерства" по числу уязвимостей. 

Другой "лидер" по числу уязвимостей - продукты на базе открытого ко��а. Серверы и рабочие станции с программным обеспечением на базе открытого кода используются в финансовых и т. д. коммерческих организациях. Следовательно, интерес к ним намного выше, и количество найденных "дыр" в них также велико. Еще одна причина кроется в том, что для предотвращения уязвимостей, необходимо правильно организовать разработку и тестирование, что в условиях распределенной модели разработки, которая характерна для открытого ПО, достаточно сложно. Microsoft сталкивается с этим при покупке компаний. Зачастую при ближайшем знакомстве с кодом приложений, которые были разработаны в покупаемой компании, выясняется, что прежде чем выпустить продукт под нашим брендом, требуется переписать весь код в соответствии с нашими требованиями по безопасности. Например, несколько лет назад мы приобрели компанию Sybari с лидирующим на мировом рынке продуктом, который собирались включить в свою линейку. Однако выход этого продукта пришлось задержать на год в связи с тем, что весь код продукта пришлось переписать в соответствии с нашими внутренними требованиями безопасности к коду.

Михаил Воронов: Владимир, спасибо за "неделю"!
Недавно в блоге был пост про облачный сервис к SmartScreen, фильтрующий загрузки приложений, если у них нет заслуженной «репутации». В связи с этим у меня возник такой вопрос: а будут ли облака еще как-нибудь использованы для защиты? Какие вы со своей точки зрения предложили бы варианты?
Спасибо!

Ситуация с облаками несколько противоположна. В силу того, что это новая технология, безопасность которой интересует множество клиентов, в том числе и государственных, большая часть работы по  обеспечению безопасности облаков идет в направлении использования уже зарекомендовавших себя правил, существующих для обычных приложений. Да, возникают вопросы, необычные для корпоративных сетей, например, вопросы изоляции приложений в виртуальных средах, особенно если эти приложения запущены различными владельцами, но эти проблемы решаемы. Я бы не стал говорить, что облака предоставят новые средства безопасности. Наоборот, можно утверждать, что они смогут использовать весь спектр существующих мер безопасности, разработанных  для обычных, не облачных применений.

Николай: Владимир, спасибо за участие! Мне давно никто толком не может ответить на сравнительно простой вопрос. Один знакомый ИТ специалист (причем, сильный специалист) утверждает, что не пользуется никаким антивирусом, использует только firewall. Возможно ли, даже будучи продвинутым администратором чувствовать себя в безопасности без программной защиты? или это абсолютно неправильно? Заранее благодарен за ответ.

Спасибо DmitryVS за то, что он почти ответил на ваш вопрос. Я бы добавил от себя только следующее: не всякий межсетевой экран имеет встроенное антивирусное средство и не всякий антивирус годен для защиты от всех видов угроз. Некоторые, например, не обрабатывают почтовый SMTP трафик, если вы используете почтовый клиент. Если вы работаете с почтой через веб-интерфейс, используя браузер - не бойтесь, это не про вас J Современные антивирусы HTTP трафик понимают и в реальном времени фильтруют. С этой точки зрения антивирус - необходимая вещь, но вам нужно быть внимательным к тому, от чего он не может вас защитить, чтобы по возможности избегать небезопасной работы.

Илья: Владимир, здравствуйте! Разрешите задать пользовательский вопрос: я пробовал много различных антивирусных систем. Большая часть имеет раздельные модули для сканирования различных угроз (надстройка браузера, e-mail, сканер оперативной памяти, и т.п.). Меня всегда интересовало насколько такая структура оправдана? И второй вопрос к той же теме – только что узнал о существовании антивируса Microsoft (краснею), его движок также интегрируется со всеми продуктами (браузер, outlook, итп.)? Имеет в этом случае значение какой браузер или почтовый клиент используется?

Для разных видов защиты нужны различные модули, так как все надстройки имеют разную структуру и протоколы, с которыми они работают (как я говорил в предыдущем ответе). Это как в медицине: А почему не придумали лекарство от всех болезней? J Болезни же нацелены на разные органы, и лечить их необходимо индивидуально. По поводу второй части вопроса скажу, что при использовании Microsoft Security Essentials не имеет значения, какой вы используете браузер, можете пользоваться любым. Тему почтового клиента я также затронул в предыдущем ответе. Вы должны убедиться, что ваш антивирус понимает SMTP трафик. Мы, например, не встроили в наш бесплатный антивирус проверку почтового клиента, поступив корректно по отношению к тем производителям, которые продают свои решения с такой проверкой. SMTP трафик мы фильтруем на почтовом сервере. Вы будете точно защищены, если не будете использовать почтовый клиент, а будете заходить на почту через браузер.

Оук: Вопросы остались: неужели информационная безопасность майкрософт занимается не только технологической безопасностью, но и социотехникой?

Обеспечение информационной безопасности на 70  состоит из организационных мер и только на 30% из технических. Мы хорошо умеем делать технические решения, но понимаем, что без массовых знаний об остальных 70% эти усилия малоэффективны. Поэтому мы объясняем, что такое социотехника, как правильно организовывать рабочие места, процессы и многое другое. Просвещение — это отдельное направление нашей деятельности, несущее знания об информационной безопасности обществу, чтобы повысить защиту от киберугроз.

Pavel Shvedov: фишинг - интересная тема, скажите, Владимир, а появляются какие-либо более изощренные методы атак, или "индустрия" пока остановилась на совершенствовании существующих?

В одном из первых ответов я продемонстрировал, чем занимается фишинг и как с ним бороться, поэтому отвечу кратко. В таком понятии, как "атака", сложно разделить методы на принципиально новые и просто усовершенствованные. Совершенствование атак ведется по всем возможным направлениям, которые только могут быть. Если кому-то в злоумышленную голову приходит новая идея, она, возможно, будет реализована, по крайней мере, к этому будут приложены все усилия. Если же становится возможно усовершенствовать старые методы с помощью нового подхода, такая угроза становится более опасной.

Есть хороший пример. Многие давно привыкли к бесчисленным предложениям отправить СМС с оплатой за какой-нибудь небольшой бонус. В последнее время этот метод усовершенствовался, и киберпреступники начали активно «играть» на эмоциях жертвы. Представьте себе законопослушного человека, который по неосторожности набрел на вирус, блокирующий доступ к управлению компьютером и выводящий на экран сообщение, в котором говорится, что работа ПК будет продолжена только после отправки СМС на такой-то номер. При этом сообщение сопровождает картинкой абсолютно аморального, провокационного или компрометирующего характера. Естественно, у любого человека рука сама потянется к мобильнику от страха быть подвергнутым публичной клевете. Это прорыв в социотехнике.

Такие ситуации наглядно показывают, как сегодня развиваются атаки, но кто предупрежден, тот вооружен J Необходимо трезво оценить свое положение, понять, что никакие переводы никого никогда не спасали от вирусов, и, в конце концов, позвонить разбирающимся в вопросе специалистам.

Оук: Про корпоративную безопасность хотелось бы услышать больше. Наверняка, спецы по информационной безопасности часто сталкиваются с охотниками за информацией, информационными шпионами и прочими представителями новой профессии прмышленного шпионажа. Вам приходилось? Как от них защититься?

Надо сказать, что 100%-ной защиты в принципе не существует. Вы можете только понизить риски той или иной угрозы. Сложнее всего защищаться от внутренних угроз, исходящих от сотрудников компании. Одним из лучших способов борьбы с этой угрозой является хороший.. отдел кадров! Его работа заключается в найме лояльных к компании работников, проведении мероприятий, повышающих удовлетворенность штата своей работой, поощрении карьерных амбиций и многом другом, чтобы не было обиженных сотрудников, недовольных своей зарплатой, работой или начальством. Ведь не зря говорят, что информационная безопасность – это менеджмент, а человек - самое слабое звено.

Мне лично не приходилось сталкиваться с кражей информации изнутри. А внешнюю безопасность всегда можно поддерживать, имея хорошие знания. Могу сказать, что наш сайт подвергается более чем 100 000 атакам в день. Это самый атакуемый неправительственный корпоративный ресурс в мире. При этом ни одна атака, будь то простая DDoS атака или атака с различными векторами, не увенчалась успехом. Это говорит о том, что при правильной организации защиты, просвещенных сотрудниках и корректных политиках конфиденциальности и безопасности, вы можете чувствовать себя в безопасности.

В завершение нашего разговора мы приведем общее число найденных уязвимостей в известных продуктах по состоянию на 1 декабря 2010 (с сайта secunia.com)

Серверные операционные системы:

Sun Solaris 10                                                     970

Red Hat Enterprise Linux Server v.5              1313     

FreeBSD 6.x                                                         86

Microsoft Windows Server 2008                      194

Клиентские операционные системы:                               

Apple Mac OS X –                                          1408                                  

Red Hat Enterprise Linux Client v.5              1426     

Ubuntu Linux 8.04 (апрель 2008)                 1119

Windows XP                                                      394

Windows 7                                                           69

Системы управления базами данных:                             

Oracle Database 11.x                                     271                                   

IBM DB2 9.x                                                        94                                   

MySQL 5.x                                                           66                                   

Microsoft SQL Server 2005                              18

Microsoft SQL Server 2008                                0

Браузеры:

Mozilla Firefox 3.5.x                                       122

Opera 9.x                                                           56

Google Chrome 5.x                                          56

Microsoft Internet Explorer 8.x                         67

Межсетевыеэкраны:                                

Cisco ASA 7.x                                                   69                                   

Microsoft ISA Server 2006                                 7

MicrosoftForefrontTMG                                      2

Меня иногда спрашивают, как найти эти данные на сайте secunia. Отвечаю: идете на http://secunia.com, выбираете производителя (например, Apple), выбираете продукт (например, Macintosh OS X), попадаете на нужную страницу (в нашем случае это http://secunia.com/advisories/product/96/). В правой колонке с надписью «Affected by» смотрите число уязвимостей («Vulnerabilities»). Не путать с «Advisories» - это не уязвимости, а «комплекты уязвимостей», в них могут быть от одной до сотен уязвимостей. Я об этом писал в постах одно-двухлетней давности.

До новых встреч!

на сайте новостей www.ms4press.ru мы сегодня, 18 ноября 2010, объявили о неделе информационной безопасности, во время которой будем освещать некоторые вопросы этой тематики, и самое главное - собирать от читателей вопросы, на которые я отвечу в конце недели. Присоединяйтесь! Более подробная ссылка на неделю безопасности - http://clck.ru/2enm  

Вчера закончилась организованная Министерством здравоохранения и социального развития РФ конференция, посвященонная информационным технологиям в медицине - "ИТМ 2010". Презентация моего доклада, посвященная защите персональных данных на платформе Microsoft, приаттачена. Было много вопросов в кулуарах, если не на все из них вы получили ответ - спрашивайте в этом блоге. Успехов! 

Хорошая новость - вчера получены сертификаты ФСТЭК на Windows 7 и Windows Server 2008 R2.

Сертификат №2180 от 30.09.2010 удостоверяет, что Windows 7 в редакциях "Профессиональная", "Корпоративная" и "Максимальная" может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Сертификат №2181 от 30.09.2010 удостоверяет, что Windows Server 2008 R2 в редакциях "Standard", "Enterprise" и "Datacenter" может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 2 класса включительно.

Сертификат для Windows 7 приаттачен для ознакомления

По просьбе читателей добавил сертификаты на Windows Server 2008 и SQL Server 2008. На Windows Server 2008 R2 сертификат выложу вечером

все сертификаты в одном файле

09.10.2010 - Изменения по просьбе читателей в прикрепленном файле - там сейчас сертификаты на Windows 7, Windows Server 2008 R2 и SQL Server 2008

Прекрасная новость для предприятий малого бизнеса - с начала октября 2010 бесплатный антивирус Microsoft Security Essentials будет доступен и для предприятий с числом компьютеров не более 10. Скачать антивирус, как и для обычного домашнего использования, можно по прежней ссылке непосредственно с сайта Microsoft http://www.microsoft.com/security_essentials/ или http://www.microsoft.com/security_essentials/?mkt=ru-ru. У домашних пользователей MSE уже заслужил славу надежного защитника от вирусов, шпионских программ и других вредоносных программ.

Предвижу некоторые вопросы, и сразу постараюсь дать на них ответы.

1. Отличается ли MSE для малого бизнеса от MSE для домашних пользователей? - Нет, не отличается.

2. Чем отличается MSE для малого бизнеса от платного антивируса Forefront? - В антивирусе Forefront (Forefront Client Security) существует централизованное управление, которое позволяет управлять этим продуктом на тысячах компьютеров предприятия. MSE же устанавливать надо на каждый компьютер отдельно. Но антивирусное ядро в этих продуктах одно и то же - поэтому и домашний пользователь, и малое предприятие, и крупная организация будут пользоваться одним и тем же ядром, обладателем престижных наград по прохождению международных антивирусных тестов.

3. Почему можно использовать только на предприятиях с 10 и менее компьютерами? - Малый бизнес испытывает непростые нагрузки в период своего становления, и мы стараемся помочь ему развиваться. Компании с бОльшим числом компьютеров, как правило, более устойчивы, и уже могут позволить себе оплачивать услуги и по обеспечению информационной безопасности. 

4. Какие конфигурации компьютеров поддерживает MSE? - Это 32-х и 64-х битные операционные системы Windows XP с SP2 и выше, Windows Vista, Windows 7.

5. На каких языках существует MSE, и существует ли поддержка для пользователей? - MSE существует на 25 языках, в том числе и на русском. Бесплатная поддержка MSE осуществляется через сообщество на http://answers.microsoft.com/en-us/protect/default.aspx, или посредством e-mail.

Некоторые интересные ссылки по теме:

Линейка продуктов Forefront по обеспечению информационной безопасности (на англ) http://www.microsoft.com/forefront/en/us/default.aspx

Описание подходов Microsoft к обеспечению безопасности для бизнеса (Business Ready Security) (на англ) http://www.microsoft.com/forefront/en/us/business-ready-security.aspx

Скачивайте и пользуйтесь на здоровье!   

Многих интересует вопрос - какие продукты Майкрософт сертифицированы во ФСТЭК и ФСБ? В праттаченном файле вы найдете не только эту информацию, но и планы по сертификации, где скачать бесплатные средства и др.

Пользуйтесь!

Давно я не публиковал данных с сайта http://secunia.com по уязвимостям наиболее популярных продуктов различных производителей. Слайд с уязвимостями на сегодня, 10 сентября 2010, приаттачен. Пользуйтесь!

В последнее время очень многие наши Заказчики и Партнеры интересуются тем, как можно при помощи продуктов Microsoft защитить персональные данные в соответствии с Федеральным законом 152 "О персональных данных". Вчера, 26 февраля, мы проводили очередную встречу с Заказчиками на эту тему. Презентация, в которой я изложил состояние и ближайшие планы по сертификации наших продуктов в ФСБ и ФСТЭК находится в приложении к этому посту. Пользуйтесь!

Известный американский инстритут стандартов и технологий NIST (National Institute of Standards and Technology) опубликовал драфт Руководства по управлению рисками в области информационной безопасности для государственных организаций США. В создании Руководства как всегда принимали участие представители Министерства обороны, Национального агенства безопасности, ряда бизнес структур. Руководство содержит практические рекомендации, и может быть использовано для нужд создания аналогичных инструкций и для российских организаций, по крайней мере в части ознакомления с опытом решения таких задач за рубежом.

Драфт приаттачен, пользуйтесь.   

Google выложил для скачивания плагин для IE, который оставляет внешний вид IE таким же, но меняет движок IE на движок от от браузера Chrome. Сделано это якобы для того, чтобы заменить устаревшие возможности IE6 по работе с Сети. Вопрос в том, нужно ли это кому-нибудь?

Эта ситуация напоминает мне разговор с одной антивирусной компанией, который произошел несколько лет тому назад. Мне позвонили из уважаемой антивирусной компании и задали вопрос "Сколько можно ждать плагина для уязвимости в IE5, которую использует такой-то вирус (приводится название вируса)? Наша сервисная служба не знает, что отвечать заказчикам о том, как защититься". Я был признаться сильно удивлен тем, что антивирусная компания не знает что отвечать заказчикам, обеспокоенным наличием данной уязвимости в IE5. "А вы не пробовали предлагать им скачивать давно-давно существующий IE6, в которой указанный вами вирус не работает? Браузер ведь скачивается бесплатно". Компания была приятно удивлена таким простым решением.

Так и сейчас с плагином от Google. Тот, кто хочет иметь новые возможности работы с Сетью, пользуется не IE6, а IE8. А тем, кто хочет заменить свой IE6 или даже IE7 на что-то более современное, имеет смысл скачать не плагин, а просто новый браузер IE8.

По поводу уязвимостей браузеров и всего остального - в аттаче таблица уязвимостей с secunia.com на сегодня, 25 сентября. Там, кстати, новый рекорд - Apple Mac OS X преодолела сомнительную планку в 1000 уязвимостей

Пользуйтесь, и успехов всем вам!

Давненько не брал я в руки клавиатуру, что есть неправильно. Ну а перед Новым годом надо бы и осмотреться, поразмышлять.

Во-первых – всех вас с Новым годом! Удачи и здоровья вам и вашим родным и близким!

Новый год нам предрекают сложный, мировой кризис... Но так ли это страшно, и что делать в этой ситуации? Позволю себе дать несколько оценок.

1.       Кризис – это не страшно. Мы в России переживаем их постоянно, подчас даже не замечая. Конечно, этот кризис будет позаметнее, но не более того. Вспомните, как мы пережили кризис 1998 года. Ничего, все обошлось. Стали сильнее, умнее. Могу привести интересный пример. Я в 1998 году в сентябре сразу после начала кризиса пришел в компанию Медиалингва, которая в течение нескольких лет была убыточной компанией. И в течение кризиса, во время, когда казалось, что все продажи софта «встали», мы сделали компанию самоокупаемой. За несколько месяцев увеличили продажи более, чем в 10 раз. И это во время кризиса. И это для софта, который тогда предпочитали красть, а не покупать. Это говорит о том, что важно как вы работаете, и что вы делаете. Кризис заставляет вас переосмысливать обычные вещи. Переосмыслите их так, чтобы выиграть от кризиса. Это реально можно сделать.

2.       Что делать, если у вас возникает проблема с работой. Это тоже не страшно. Пример: в 1998 году я ушел из компании Союз за месяц до кризиса, я не знал что он случится. И искал работу в самый сложный период – когда кризис только разразился. И нашел ее в течение месяца, причем с повышением базового оклада (в Медиалингве). Для того, чтобы не пропасть на рынке труда во все времена, а не только во время кризиса, надо учиться и овладевать новыми навыками. Учиться постоянно. В кризис это особенно важно. В это время избавляются от тех, кто плохо работает. И стараются подешевле нанять тех, кто работает хорошо. Покажите всем, что вы отлично умеете работать – и у вас никогда не будет проблем с работой.

3.       Стройте планы на будущее. Кризис, как говорят хорошие финансисты, это время, когда надо покупать подешевевшие активы. Для нас, не-финансистов, это означает, что кризис - это время выбора стратегии развития на будущее. Собственного развития. Если у вас возникли финансовые проблемы, то, возможно, вы просто не принимали во внимание те риски, которые должны были бы принимать. Например, возможность вот такого вот кризиса. Посмотрите на свою ситуацию – может еще что-то надо скорректировать, чтобы почувствовать себя поустойчивее? Например, повысить квалификацию на каких-то курсах, или даже получить степень МВА.

4.       Будте оптимистами. Помните, что этот кризис зародился просто в головах людей, тех, кому показалось, что тех прибылей, на которые они рассчитывали, им недостаточно. Кризисы – они вообще всегда идут из головы. Кризисы всегда – это кризисы доверия. Поэтому не дайте себя обмануть – ничего ужасного не произошло и не произойдет. Всем будет нужна нефть, металлы, программы, ваши знания, и знания ваших детей и близких. Ведите себя так, чтобы не сеять лишнюю напряженность – и тогда люди рядом с вами будут паниковать меньше, и эти круги спокойствия и уверенности в завтрашнем дне будут расходить все шире и шире. И этим самым вы поможете всем нам выйти из этого кризиса. Начнем с себя!

Еще раз всем вам – С Новым годом! И чтобы всем нам пройти следующий год без больших потерь, и стать сильнее, умнее, и мудрее!

Возобновляю свои регулярные публикации уязвимостей в основных информационных продуктах. За 50 дней перерыва на сайте secunia.com, с которого я беру информацию, произошли интересные изменения. В лучшую сторону. Ранее вся статистика на сайте велась в так называемых advisories - некоторых пакетах уязвимостей, найденных исследователями. Смысл этих advisories состоял в том, что при обнаружении какой-либо уязвимости исследователь обнаруживает не всегда только одну уязвимость, но иногда больше. Например, в одной из advisores для Mac OS X было несколько десятков уязвимостей. Именно advisories, как правило, являются объектами патчей. То есть патчи закрывают некоторый набор уязвимостей, найденных исследователями. Подробное описание всех уязвимостей в каждом из advisories на сайте было всегда. Но общей статистики по ним не велось. Но в силу того, что в среднем во всех advisories было одинаковое количество уязвимостей, то сравнивая число  advisories для продуктов можно было в какой-то степени осознать из взаимное качественное положение в отношении безопасности. При этом это "качественное" сравнение, естественно, базировалось на "количественном сравнении". Вообще говоря, это все было написано, правда несколько другими словами, на сайте secunia.com. Конечно, я мог сам методично брать и из advisories "выковыривать" уязвимости и проводить сравнение числа именно уязвимостей. Но доказывать, что я эту работу провожу корректно у меня не было ни малейшего желания. Потому что всегда существовал большой шанс того, что любой человек скажет - "Этим цифрам верить нельзя. Методология их появления неясна. Это должен быть независимый анализ". 

И вот теперь на сайте произошли приятные изменения - добавилась новая цифра - общее число именно уязвимостей (vulnrerabilities) для каждого продукта. И эти цифры от независимого исследователя - от secunia.com.

Никаких масштабных перестановок в рейтинге безопасности продуктов не произошло. В списке продуктов появились несколько новых позиций. Я решил показать уязвимости Linux Ubuntu, которую многие апологеты Open Source часто приводят как чуть ли не самую безопасную операционную систему. Посмотрите на цифры - они говорят сами. Обратите внимание, я привел цифры по двум дистрибутивам Ubuntu - по 7.10 и по 8.04. Эти цифры означают, что первая из этих ОС вышла в октябре 2007 (7.10), а вторая в апреле 2008 (8.04). За эти короткие периоды жизни этих систем в них находят по 30 уязвимостей в месяц! И это при том, что Windows XP и Vista находят только по 3 уязвимости в месяц. Общее число уязвимостей в Ubuntu тоже бОльше Windows. Да и зачем выпускать новую ОС каждые пол-года, если число уязвимостей не уменьшается? Процесс разработки им надо улучшать, процесс разработки... Я об этом уже ранее говорил.

Привел статистику по ядру Linux - в нем сегодня более 280 уязвимостей. Это означает, что любой наш российский дистрибутив Linux (ALT Linux, МСВС от Минобороны, и другие) имеют не меньше этого числа уязвимостей. А значит проигрывают по числу уязвимостей Windows. А если принять во внимание то, что вряд ли разработчики этих систем пишут совсем без программистских ошибок, и то, что ошибки программистов Red Hat добавили в свой дистрибутив не менее 200 новых уязвимостей, то выигрыш Windows в безопасности еще выше. 

Файл в приложении - пользуйтесь.    

Тема возврата инвестиций в информационную безопасность (ИБ) приобретает особую актуальность в связи с текущими финансовыми проблемами рынков. Денег хотят все. В том числе и сотрудники отделов ИБ. До кризиса расходы российских компаний на ИБ были на уровне 0,5% ИТ бюджета, а наших зарубежных коллег - 5% от ИТ бюджета. Первая цифра - это данные российских чиновников, озвученные ими на Инфофоруме в январе 2008. Вторая цифра - из отчета CSI за 2008 год. Как вы думаете - этот 10-кратный разрыв сократится во время кризиса? Он увеличится еще больше. К этому надо быть готовым нашим специалистам по ИБ. Почему это происходит? Даже на фоне не уменьшающихся абсолюнтых цифр на затраты на ИБ.

Краткий экскурс. По результата отчета CSI 2008 более 90% зарубежных компаний используют инструменты расчета возврата инвестиций в ИБ. По моим оценкам у нас в России более 99% компаний наоборот, не пользуются расчетом инвестиций в ИБ. Более того, некоторые компании, даже специализирующиеся на оказании услуг в области ИБ, с трибуны утверждают, что такой возврат инвестиций невозможно рассчитать. А за рубежом все эти расчеты делают. Удивительно! Надо, по-видимому, дождаться, когда заказчики потребуют таких расчетов, и тогда сервисным компаниям придется выучить урок, как это делается. 

Так вот, именно потому, что наши зарубежные коллеги умеют объяснить своим финансовым директорам, зачем с финансовой точки зрения вкладывать средства в ИБ, они пользуются бюджетами, в 10 раз пропорционально превышающими наши ИБ бюджеты. И до тех пор, пока наши CISO не начнут разговаривать со своими финансистами на их языке финансов, бюджеты на ИБ в российских компаниях будут непропорционально маленькими по сравнению с нашими зарубежными коллегами. А в период кризиса объяснять финансисам зачем вам деньги становится не в пример сложнее. Делайте выводы.

На эту тему CNEWS опубликовало интервью со мной в 11 ноябрьском номере бумажного журнала CNEWS. На их сайте текста статей нет. Просьба не рассматривать это сообщение, как побудительный мотив для покупки журнала :-))

Как обычно в начале месяца привожу уязвимости продуктов по материалам сайта secunia.com. Добавил в базы данных Oracle Database 11.x и IBM DB2 9.x. 

Пользуйтесь. 

В приложении очередной слайд с уязвимостями продуктов по состоянию на 1 сентября 2008. Источник - сайт secunia.com, как обычно. Добавил столбец по изменениям за последний месяц. Пользуйтесь на здоровье...