среда, 30 марта 2011 г.

Статья в журнале "Персональные данные"

В мартовском выпуске электронного журнала "Персональные данные" опубликована первая часть совместной с Алексеем Волковым статьи под названием "Оценка рисков и защита персональных данных". Работа является своеобразным исследованием вопросов, рассмотренных ранее здесь и здесь, потому получилась достаточно объемной и разбита на две части (вторая часть выйдет в апреле). Кроме того, по соглашению с изданием, материал в течение некоторого времени будет недоступен публично, потому... следите за блогом, а пока - только анонс издания и выпуска ;)

Оценка рисков и защита персональных данных. Как оценить стоимость ПДн – и можно ли вообще это сделать? Уникальное исследование по оценке рисков и защиты персональных данных – только в ближайшем номере информационно-аналитического журнала "Персональные данные".

Читайте в мартовском номере "Персональных данных":

• Универсальная Электронная Карта (УЭК). Зачем она нужна и как будут защищаться наши данные?
• Данные должников в интернете – новая инициатива: кому и зачем это нужно?
• Практический опыт обеспечение конфиденциальности персональных данных для "высшей школы". Пути решения проблем.
• Недостоверные сведения в уведомлении в Роскомнадзор. Что ждет оператора ПДн?
• ЭКСКЛЮЗИВ! Как оценить стоимость ПДн – и можно ли вообще это сделать? Уникальное исследование специалистов по оценке рисков и защиты персональных данных.
• Скандал в Европейском парламенте: зачем Казначейству Соединенных Штатов передавали банковские данные граждан Евросоюза?
• а так же многое другое и очень интересное.

Также хотим сообщить Вам, что в настоящее время у Вас есть уникальная возможность познакомиться с материалами единственного в стране ежемесячного электронного информационно-аналитического журнала "Персональные данные" (http://www.privacy-journal.ru/), полностью посвященного вопросам обработки, хранения и защиты персональных данных субъектов. Для этого достаточно оформить подписку на наш журнал.

На страницах журнала – эксклюзивные интервью ведущих экспертов по проблеме обработки персональных данных, аналитические материалы о нововведениях в законодательстве страны, исследования, информация о мерах и средствах защиты персональных данных, так же все о состоявшихся и готовящихся семинарах и конференциях на тему персональных данных.

Будем рады видеть Вас в числе наших читателей или авторов!

С уважением, редакция журнала "Персональные данные"


От себя: без ложной скромности скажу, что всю основную работу по написанию данного материала сделал Алексей Волков, я же подкинул некоторые интересные идеи и дал комментарии по тексту.

понедельник, 28 марта 2011 г.

Народный рейтинг средств защиты

Некоторое время назад наткнулся на довольно интересный сайт: www.securityscoreboard.com

Основное его предназначение - помочь специалистам в выборе средств защиты информации. Сайт не только содержит довольно обширный перечень производителей средств защиты, но также позволяет посетителям оставлять собственное ревью, основанное на опыте личного использования, а также оценивать качество средств защиты по различным параметрам (эффективность, удобсто интерфейса и проч...).

Там же можно найти дополнительную аналитику по средствам защиты, ссылки и прочее. В общем, если перед вами стоит задача по подбору средства защиты под определенные цели, то сайт может оказаться крайне полезен.

Один минус - это западный ресурс, поэтому там производители только западные (за исключением Лаборатории Касперского). Эх... и почему у нас нет ничего подобного

суббота, 26 марта 2011 г.

Закон об электронной подписи прошел госдуму

Вчера в госдуме состоялось третье слушание законопроекта "Об электронной подписи". Законопроект принят и в ближайшее время пройдя совет федерации и президента вступит в силу.

Текст законопроекта можно скачать тут.
Электронная карта законопроекта находится здесь.

В указанном законопроекте определяются следующие нормы:
  • Правовое регулирование отношений в области использования электронных подписей
  • Виды электронных подписей
  • Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
  • Порядок использования различных видов электронных подписей
  • Требования к средствам электронной подписи и удостоверяющим центрам
  • Требования к сертификатам проверки ключа электронной подписи
Что же интересного в этом документе (некоторые выдержки):

Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами...
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии...

Законопроектом вводится три вида подписей

Видами электронных подписей, ... являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись
(далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись).

В соответствии с законопроектом, простая электронная подпись вообще может быть сделана без криптографического преобразования (пароль, код и проч.). Неквалифицированная с помощью криптопреобразования любым средством электронной подписи, а квалифицированная - только с использованием средств электронной подписи, получивших подтверждение соответствия (читай, прошедших сертификацию). Идем дальше:

2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе <..текст пропущен..> или соглашением между участниками электронного взаимодействия

Т.е. теперь достаточно соглашения между двумя юр. лицами об использовании неквалифицированной (т.е. полученной с использованием несертифицированной криптографии) электронной подписи для придания ей легитимности.

Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.

Ну тут можно понять, что все международные сертификаты относятся к неквалифицированной электронной подписи.

Далее в законе идет статья про уполномоченные органы. Таких вводится три:
  • Уполномоченный федеральный орган, осуществляющий аккредитацию удостоверяющих центров (для тех, кто хочет выдавать квалифицированную электронную подпись)
  • Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий. Я не очень понял кто это. Министерство информационных технологий и связи ?
  • Федеральный орган исполнительной власти в области обеспечения безопасности. А это кто ? По логике получается ФСБ.
Далее в документе идут требования к средствам электронной подписи. Немного смутила вот такая фраза в документе:

Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации.

Зачем она ? Какую смысловую нагрузку несет ? Мне кажется это вообще логично для любого средства обработки информации. Главное чтобы наши ведомства под эту фразу не подвели обязательную сертификацию по НДВ всех средств электронной подписи. Это загубит все на корню.....

Далее идут требования к удостоверяющим центрам. Там ничего необычного, поэтому останавливаться не буду. Только один момент про аккредитацию:

Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.

Т.е если хотите строить бизнес на выдаче квалифицированных сертификатов (видимо понадобится для гос. служб, интернет-порталов гос. услуг и проч.), то будьте добры - аккредитуйтесь.

Ну и под занавес:

Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.

Электронный документ, подписанный электронной цифровой подписью до даты признания утратившим силу Федерального закона от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с настоящим Федеральным законом.

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Федеральный закон от 10 января 2002 года
№ 1-ФЗ «Об электронной цифровой подписи» (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) признать утратившим силу с 1 июля 2012 года.


В целом законопроект получился значительно более понятный, чем существовавший много лет закон "Об электронной цифровой подписи" (только вот про не нарушение конфиденциальности средствами электронной подписи немного смущает абзац) . Вот бы теперь еще с персональными данным наши думцы бы разобрались, вообще цены бы им не было.

пятница, 18 марта 2011 г.

И еще немного о Chronopay

Как и следовало ожидать всей правды о том, что же произошло в компании Chronopay 25-26 декабря 2010 г., широкая общественность так и не узнала. Инцидент замяли. Официальное объяснение от компании можно прочитать здесь. Я позволю себе процитировать некоторые выдержки:

Злоумышленники перевели домен нашей компании, chronopay.com, с нашего регистратора (DirectNic) на другого (Network Solutions), после чего связали домен со своим сервером, где и разместили компрометирующий нас текст.

В соответствии с общей практикой, вся информация о принадлежности домена компании хранится у сторонних компаний (т.н. «регистраторов»). Тем не менее, окончательную точку в этом вопросе ставить преждевременно: совместно с регистратором мы поднимаем сейчас всю хронологию событий.

Мы не зафиксировали ни взломов, ни даже попыток взломов систем, находящихся под управлением Chronopay.

После того как был осуществлен захват домена, по адресу payments.chronopay.com злоумышленниками была создана поддельная платежная страница, не имеющая отношения к Chronopay. Основная ее цель — создание видимости «взлома» путем сбора данных некоторых карточек с последующей публичной демонстрацией. Страница просущестовала несколько часов, и общее количество карт, перехваченных таким образом оказалось менее 600. Практически все карты, которые находятся в списке, попали туда из фальшивой платежной страницы, что подтверждается и нашей службой поддержки клиентов, производящей «прозвон» клиентов, и службами безопасности банков-эмитентов.

....

Мы хотели бы отметить, что данная ситуация безусловно является внештатной и, по имеющимся на сегодня данным, произошедшей не по нашей вине.

К сожалению, пострадали владельцы карт, попавшие на фальшивую платежную страничку — их карты оказались скомпрометированными. Мы прилагаем все усилия для того, чтобы устранить последствия этого кибер-хулиганства, оказать посильное содействие.


Тем не менее интересно во всей истории с Chronopay другое. Злоумышленники вели себя предельно публично: разместили поддельное объявление от имени компании, выкладывали в живом журнале информацию о "взломе", номера кредитных карт, сертификаты и прочее. Становится понятно что целью этих людей было не хищение номеров карт (такие вещи как правило проводятся скрытно, чтобы можно было украсть деньги до тех пор, пока владельцы не заблокировали свои карты), а дискредитация компании. Кому же мог так насолить Chronopay ? Вот тут и начинается самое интересное. Недавно в блоге известно специалиста по информационной безопасности, Брайна Кребса, появилась статья "Chronopay's Scareware Diaries". Полностью переводить статью не хочу, обозначу только самое интересное:

Примерно год назад инсайдер (чье имя не известно) устроил слив внутренней информации (почтовая переписка, документы и проч.) компании. В том числе эта информация попала в руки Брайна Кребса. Если верить этим документам, Chronopay помимо прочего занимается обработкой платежных транзакций для компаний, работающих в так называемом сегменте "рискованного бизнеса". Т.е это онлайн-продажа порно, табака, медицинских препаратов и программного обеспечения. В 2009 году газета Washington Post печатала статью о результатах расследования этой деятельности компании. Однако, согласно "слитым" материалам, Chronopay занимается не только обработкой транзакций:
  • Испанское подразделение Chronopay создало компанию Innovagest2000 и оплатило все расходы по регистрации, веб-хостингу, аренде телефонной линии для тех. поддержки и проч. Указанная компания предоставляла техническую поддержку для продукта под брендом Pandora Software (довольно известный поддельный антивирус или как иначе говорят "scareware").
  • Сотрудники компании Chronopay создали две компании на Кипре - Yioliant Holdings и Flytech Classic Distribution Ltd. (оплатив все счета), зарегистрировав на них домены software-retail.com и creativity-soft.com соответственно. Оба домена использовались для распространения поддельного антивирусного программного обеспечения (а несчастные американцы платили по 50-150 баксов за удаление несуществующих вирусов).
  • В марте 2010 г. компания Chronopay начала обработку транзакций для сайта icpp-online.com, который использовался для запугивания пользователей сообщениями о наличии у них на компьютерах контента, нарушающего авторские права, с последующим вымоганием денег.
  • Компания Chronopay создала компанию (вновь оплатив все накладные расходы) Martindale Enterprises Ltd., которая занималась распространением поддельного антивируса под названием Shield-EC. Chronopay процессил транзакции по приобретению указанного ПО.
Неплохо правда ? Так что видимо то, что мы все наблюдали представляет собой ничто иное как "кибер-разборку". Т.е. "ломали" Chronopay не потому что он белый и пушистый, а скорее совсем наоборот. Это раньше братки друг друга на пустыре "мочили", а теперь 21-век, нанотехнологии и все такое....

И под занавес еще немного. Нашел вот тут:

"У хронопаев началось параноидальное недоверие к клиентам. Вот что они мне ответили на мэйл с вопросом - почему мой платёж отклоняется :

Здравствуйте!
Ваш платёж отклоняется автоматической системой контроля над платежами. Наша служба безопасности может помочь провести платёж, но для этого потребуется дополнительная верификация данных в виде скана копии лицевой стороны Вашей карты и разворота паспорта, либо водительского удостоверения. Документы Вы можете отправить на адрес электронной почты rdoc@chronopay.com"

Странно, а зачем компания Chronopay требует сканы документов с пользователей ?
И вот еще здесь:

Почему-то для осуществления оплаты с помощью банковской карты ChronoPay требует ввести кучу лишних персональных данных плательщика (см. https://payments.chronopay.ru/?product...nguage=ru). Зачем оператору мои ФИО, адрес и телефон вместе с электронной почтой? Ведь ОАО "Мосэнергосбыт" однозначно идентифицирует меня по лицевому счету: Книга; Абонент;К.р.!


А действительно, зачем нужно вводить эти данные ?

вторник, 15 марта 2011 г.

Конференция PCI DSS Russia 2011

Сегодня выступал на конференции PCI DSS Russia с докладом о том какие тонкости присутствуют при реализации требований стандарта PCI DSS. Мероприятие собрало немалое количество участников, думаю что не меньше сотни (официально зарегистрировалось более 200). На конференции также присутствовали представители VISA и MasterCard, но их доклады были довольно общими, были обозначены основные намерения платежных систем по повышению общего уровня безопасности, но какие будут санкции в отношении тех, кто не выполняет требования PCI DSS в России так и остается непонятным. Как и остается неясным то, каким образом VISA и MasterCard планируют воздействовать на российские торгово-сервисные предприятия, которые в настоящий момент вообще "забили" на стандарт.
Я не удержался и задал вопрос про Chronopay и недавний инцидент. Ответ меня удивил: VISA не проводила никаких мероприятий по расследованию этого инцидента, потому что (! внимание) ни один банк-член VISA не обратился к ним с претензией в отношении Chronopay.
Также из зала задавался вопрос о том, будет ли официальный перевод стандарта PCI DSS, но по словам Ильи Медведовского (Digital Security), которому удалось по этому вопросу пообщаться с представителями PCI Council, в ближайший год такого перевода можно точно не ждать (учите коллеги инглиш и читайте в подлиннике :) ).

На вторую половину конференции я остаться не смог, судя по программе там планировались интересные доклады на тему безопасности ДБО.

В целом мероприятие получилось интересным, но все же не хватало реальных "историй успеха" в плане внедрения требований стандарта. Думаю многим было бы интересно послушать доклады не только от консультантов (да да... несмотря на то, что я сам работаю в консалтинге...), но и непосредственно клиентов (опыт клиентов всегда более востребован у аудитории). Думаю организаторам стоит это учесть на будущее.

P.S. Моя презентация ниже:

View more presentations from abondarenko.

четверг, 10 марта 2011 г.

Семинар RISSPA "Безопасность облачных вычислений"

Вчера в офисе компании Cisco прошел первый в этом году семинар, посвященный безопасности облачных инфраструктур. Людей было немало, что безусловно свидетельствует об интересе к семинарам RISSPA вообще и к тематике облачной безопасности в частности.

Начал семинар Евгений Климов, который рассказал о том, что представляет собой Cloud Security Alliance и с какой целью было создано российское отделение этого альянса на базе сообщества RISSPA.

Следующим было выступление вашего покорного слуги. Презентацию прилагаю:

View more presentations from abondarenko
Затем, после небольшого перерыва, выступал Павел Антонов, который рассказал о том, какие вопросы следует задавать провайдеру облачных услуг и на что обращать внимание выбирая такого провайдера.

Завершилось мероприятие выступлением Дениса Безкоровайного из компании TrendMicro. Денис рассказал о существующих технологиях обеспечения безопасности данных в облаке с использованием механизмов шифрования.

Надо сказать, что практически во всех презентациях фигурировал материал, выпущенный европейским сообществом ENISA и посвященный описанию рисков и возможных мер защиты при использовании облачных сервисов. Так как сайт этой организации в последние несколько дней работает очень нестабильно, то выкладываю указанный материал отдельно.

Презентации и запись webex-трансляции думаю будут доступны в ближайшее время для тех, кто не смог присутствовать на мероприятии.

Для тех, кто желает активно участвовать в работе CSA Russian Chapter - вступайте в группу на сайте LinkedIn (вас еще нет на сайте LinkedIn ? вы многое теряете !).

Обновление 28.03.2011: на сайте RISSPA появился фотоотчет о прошедшем мероприятии.

понедельник, 7 марта 2011 г.

Криптография и теория заговора

Очень часто на различных конференциях приходится слышать от представителей ФСБ, что использование несертифицированных средств криптографической защиты является одним из наиболее частых и достаточно серьезных нарушений (особенно, что касается защиты персональных данных). И то, что большинство компаний в России используют VPN-решения западных производителей (несертифицированные), и то, что даже государственные органы (например, сайт nalog.ru) используют SSL-шифрование с алгоритмом AES и то, что для защиты магистральных сетей (у провайдеров и не только) просто нет решений, способных шифровать на гигабитных скоростях, их не сильно волнует (проблемы негров шерифа не ...). Когда же пытаешься расспросить, в чем же смысл такой драконовской меры, то в ответ как правило звучит "а что там в их алгоритмах, вдруг закладки какие ?".... и получат наши вероятные противники возможность читать нашу информацию....(это я уже от себя) Ну тут я конечно не могу утверждать есть они там или нет, но наверное если бы мы говорили про защиту гос. тайны, важнейших секретов страны, способных повлиять на ее обороноспособность и проч., то тут вопросов бы вообще не возникло, конечно же надо применять исключительно наши разработки (причем наверное тоже засекреченные). Когда же мы говорим про коммерческие организации и, отчасти, государственные и муниципальные (где не идет речь об обработке действительно важной и секретной информации), то тут вполне уместно применение западных аналогов (по крайней мере оно не должно возбраняться), если наши слишком плохи или их просто нет.

А в качестве доказательства того, что не так то просто сломать известные крипто-алгоритмы хочу привести пример с бесплатным решением TrueCrypt:

вот заметка, в которой говорится о том, что в ходе расследования одного преступления, совершенного банковским работником в Бразилии у него был изъят жесткий диск, который предположительно мог содержать доказательные материалы. Однако, диск был зашифрован с использованием 2х средств криптографической защиты, одним из которых был - TrueCrypt, довольно известный продукт, которым лично я также пользуюсь. После безуспешных попыток сломать криптографию самостоятельно бразильские полицейские передали диск в ФБР, однако и они не смогли его расшифровать.

Что это доказывает ? На мой взгляд это говорит о том, что либо теория заговора (что у американцев есть секретные ключи ко всем западным криптоалгоритмам) несостоятельна, либо то, что если такие "магические" ключи и есть, то ФБР и другие западные спец. службы не будут раскрывать факт их наличия для решения мелких задач (т.е. берегут на случай большой войны или чего-то подобного). Т.е. они никогда не воспользуются таким козырем, чтобы, например, украсть персональные данные, обрабатываемые в каком-нибудь пенсионном фонде или интернет-магазине (повторюсь про серьезные государственные секреты, к которым могут быть отнесены персональные данные некоторых людей, мы не говорим).

P.S. Во всем прогрессивном мире криптография уже вошла в обычную жизнь большинства людей, она есть везде (телефон, компьютер, интернет) и все ей активно пользуются, а мы по-прежнему носимся с ней, как с ядерным оружием. Слава богу не заставляют регистрировать каждое СКЗИ по месту прописки :) .... Вот так вот, господа.

четверг, 3 марта 2011 г.

Инциденты ИБ в России

Буквально дней 10 назад мне пришла в голову мысль о том, что в рунете вообще нет никаких ресурсов, позволяющих отслеживать инциденты информационной безопасности. У нас вообще все очень плохо с разглашением подобной информации, т.к. компании стараются держать это в секрете. На западе же есть масса сайтов, на которых можно получить информацию об инцидентах. Вот, например, довольно известный ресурс - datalossdb.org.

На волне этих мыслей я вместе с Женей Климовым создал подгруппу на сайте LinkedIn, посвященную опубликованию и обсуждению произошедших инцидентов. Сейчас уже опубликовано 7 сообщений, но это только начало. Регистрируйтесь коллеги на LinkedIn (если вас там еще нет) и вступайте в группу RISSPA|Лента инцидентов ИБ.

Я надеюсь, что наличие этой группы несколько изменит ситуацию с замалчиванием сведений об инцидентах, ну и заодно постепенно будет накапливаться статистика, которая будет безусловно полезна в работе специалиста по информационной безопасности.