25.08.16

Уязвимость или закладка? В чем разница?

На волне последних новостей о Shadow Broker и частично выложенным в открытый доступ, а частично выставленном на продажу наборе вредоносного ПО, мне хотелось бы вспомнить о терминологии. А то что-то внезапно и много развелось специалистов по закладкам. Особенно в среде специалистов по поиску уязвимостей. Причем некоторые подменяют понятия "уязвимость" и "закладка" непреднамеренно, а некоторые делают это осознанно, манипулируя терминами в своих интересах, зачастую коммерческих.

Итак, я приведу три определения (в разницу терминов defect, fault, failure, error и сленгового bug вдаваться не буду - они сейчас они имеют никакого значения):
  1. Уязвимость - свойство информационной системы, обусловливающее возможность реализации угрозы безопасности обрабатываемой в ней информации (ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения"). В ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" определение немного другое. Там уязвимость - это недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. В ГОСТ Р 56545 есть еще и определение zero day, но дела это не меняет. Иными словами речь идет об ошибке в ПО или ИС, которая может привести к угрозе ИБ. Возможность реализации угрозы и разделяет ошибки и уязвимости, которые в большинстве случаев являются подмножеством ошибок.
  2. Программная закладка - это преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения. Это определение из ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения". Аналогичное определение и в более старом ГОСТ Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации". В РД ФСТЭК по недекларированным возможностям определение схожее - "программные закладки – преднамеренно внесенные в ПО функциональные объекты (то есть элементы программы, осуществляющие выполнение действий по реализации законченного фрагмента алгоритма программы), которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации".
  3. В свою очередь "недекларированные возможности" это, согласно ФСТЭК, функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки.
На мой взгляд деление очень четкое - грань проходит по понятию "умысел". Есть намерение навредить - значит речь идет о закладке. Нет такого намерения - это уязвимость. Нет возможности реализовать угрозу - речь идет об ошибке. При этом, по моему мнению, уязвимость не может считаться недекларированной возможностью, так не является функциональной возможностью ПО согласно приведенным определениям.

Поскольку в последнее время речь идет о известных и ранее неизвестных слабостях в ПО различных производителей, которые могли эксплуатироваться упоминаемыми в опубликованных материалах Shadow Broker программами, то речь идет об уязвимостях (и уязвимостях нулевого дня), но никак не о закладках. В противном случае почти все 15 тысяч уязвимостей в базе данных ФСТЭК можно тоже отнести к разряду закладок. В том числе и бреши в ПО отечественных производителей, которые, имея лицензии ФСТЭК или ФСБ, могут быть обвинены в тесных связях со спецслужбами, которые в свою очередь внедрили эти закладки для несанкционированного доступа к защищаемым системам. А почему бы и нет? Логика по крайней мере та же, что используют отдельные "эксперты", так прям и пышущие желанием найти в каждой становящейся достоянием гласности уязвимости злой умысел производителя или американских спецслужб. Желание попиариться или присосаться к государственным деньгам понятно, но стоит и просчитывать последствия своих высказываний, которые могут быть повернуты и против "экспертов", в продуктах которых могут быть тоже найдены уязвимости, которые тоже могут быть названы происками американского АНБ, российской ФСБ, белорусского КГБ, казахского КНБ и множества других структур, оканчивающихся на вторую букву русского алфавита.

ЗЫ. Кстати, Шнайер считает, что вторая часть архива Shadow Broker - это фейк, и цель была опубликовать именно первую с целью демонстрации своей мощи неизвестными хакерами, за которыми, по версии того же Шнайера, стоит... Кто бы вы думали? Да, опять Россия или, с меньшей вероятностью, Китай.

12.08.16

Шифрование как граната в руках сапера, пехотинца или обезьяны

Любая безопасность имеет цену, а шифрование особо. Когда оно защищает информацию от троянцев и киберпреступников, оно также защищает преступников от полиции, а террористов от спецслужб. Зашифрованы могут быть не только финансовые транзакции, но и переписка торговцев наркотиками или экстремистов. Любая спецслужба в любом государстве боится, что будет не в состоянии вскрыть переписку интересующих их людей в нужный момент времени. И возникает диллема - или ослабить криптографию или ограничить ее распространение с целью недопущения ее использования преступными элементами или дать возможность гражданам беспрепятственно защищать свои тайны от посторонних глаз? Этой теме я посвятил 4 заметки на этой неделе и хотел бы подвести некоторый итог.

Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
  • ввоз СКЗИ на территорию государства
  • вывоз СКЗИ с территории государства
  • разработку СКЗИ
  • использование СКЗИ.
Но даже если использование и разрешено, то спецслужбы требуют предоставить доступ к зашифрованной переписке со стороны оператора связи или разработчиков, которые должны оставить лазейки в своих продуктах, но только в благих целях (а каких же еще?). По мнению спецслужб это представляет собой баланс между правом граждан и бизнеса защищать свои данные, и правом спецслужб вторгаться в чужие тайны. И вот тут возникает несколько вопросов, на которые пока так никто и не ответил; хотя дискуссия о регулировании криптографии ведется давно, чуть ли не с конца Второй мировой войны.

Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб - это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.

Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария - она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).

Второй вопрос - если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.

Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:

  • Вредоносное ПО ZBOT использует стеганографию для рассылки своих конфигурационных файлов.
  • Вредоносное ПО Zeus, Duqu, Lurk также использовало стеганографические техники в своей работе.
  • Члены Аль-Кайеды в Германии использовали стеганографию для скрытия своих сообщений в видео файлах.
Одна из классификация методов стеганографии
У меня нет ответов на заданные вопросы. В феврале я уже писал, что шифрование - это палка о двух концах, которая и развивает ИТ/Интернет-индустрию, и помогает преступникам. И как это часто бывает, ни запрет, ни ограничения не решат тех задач, которые стоят перед спецслужбами. Тут нужно искать иные способы...

11.08.16

От депонирования криптографических ключей к свидетельствованию против себя

Если с депонированием ключей и включением обязательных закладок средств доступа спецслужб к средствам шифрования мы разобрались, то есть еще одна тема, к которой мне хотелось бы обратиться и которая пока не нашла своего отражения в российском законодательстве - о собственноручной передаче ключей шифрования спецслужбам со стороны граждан.

Эта идея не такая уж и безнадежная, как кажется с начала. Она не вызывает отторжения у производителей - им не надо ничего плохого делать со своими продуктами. Она менее масштабируема, но несмотря на это некоторые государства вместо депонирования ключей пытались внедрить способ законного получения ключей шифрования от самих пользователей по запросу правоохранительных органов. В случае отказа им грозила уголовная ответственность за неоказание помощи в расследовании преступлений. В России такой нормы нет (будем надеяться, что статья 205.6 УК РФ за недоносительство не будет трактоваться с этой точки зрения).

Поскольку в России эта тема пока неактуальна (ключи у нас требуют не от граждан, а от операторов распространения информации), я решил просто привести примеры нескольких государств, которые ввели у себя соответствующие нормы:

  • Австралия требует предоставления такой информации с 2001-го года. Наказание за отказ - 2 года тюремного заключения.
  • Бельгия требует этого с 2000-го года. Штраф за отказ - 100 тысяч евро.
  • Великобритания наказывает (и уже наказывала) за отказ в передаче ключей по требованию суда сроком до 2-х лет.
  • Индия требует предоставления этой информации с 2008-го, а Финляндия с 2011-го года.
  • Канада внедрила данное требование в широкой трактовке в 1998 году.
  • Демократичные США не имеют соответствующего законодательства, так как оно нарушило бы Пятую поправку к Американской Конституции (право не свидетельствовать против себя). Однако регулярно суды выдают соответствующие решения и в каждом конкретном случае результат разный - кто-то предоставляет ключи, кто-то нет.
  • Франция с 2001 года требует предоставления паролей и ключей в случае расследования преступлений и наказывает 5-тилетним сроком и 75 тысячами евро штрафа за отказ в предоставлении этой информации.
  • Одно из самых жестких наказаний за непредоставление ключей - в ЮАР - до 10-ти лет лишения свободы и штраф в 2 миллиона южноафриканских рендов.

Мы видим, что многие страны, не имея возможности обязать депонировать ключи и не имея собственных разработчиков средств шифрования, которые могли бы встраивать системы восстановления ключей или иные лазейки, требуют от граждан и бизнеса предоставлять ключи шифрования по мотивированным запросам со стороны государства. Россия в этом плане наступает на пятки другим государствам, начав с требования выдавать ключи только от распространителей информации, зарегистрированных в специальном реестре ФСБ.

Для защиты прав пользователей от законных запросов со стороны судебных и правоохранительных органов существует даже специальное ПО (функция ПО), реализующее так называемое отрицаемое шифрование (deniable encryption), то есть возможность пользователю убедительно отрицать факт зашифрования информации или доказать отсутствие возможности расшифровать информацию. Из наиболее популярных программ, реализующих эту функцию, можно назвать TrueCrypt или OpenPuff.

10.08.16

Что ЦРУ думает о законе Яровой или 7 случаев, когда шифрование не стало препятствием для приговора

Продолжу тему с Поручениями Президента. На этот раз я бы хотел привести несколько цитат представителей американского ЦРУ о законе Яровой. Точнее, бывшего директора ЦРУ и АНБ Майкла Хайдена. И не о законе Яровой, а о попытках США внедрить лазейки в разрабатываемые у них средства шифрования. Хайден 26-го июля этого года дал расширенное интервью радиостанции "Эхо Москвы". Приведу фрагмент, который касается именно шифрования.

К. ОрловаА кстати какая ваша позиция по шифрованию (речь идет о кейса "ФСБ против Apple" - А.Л.)?
М. ХайденЯ в принципе за и я здесь не один. Макконнелл, Майкл Чертофф, Кит Александр, который после меня работал в АНБ…, мы все поддерживаем «Эппл» и нам кажется, что это оправдано с точки зрения безопасности. Нам не кажется, что это вопрос Конституции. Я не юрист, но если вы спросите меня, имеет ли правительство право требовать от «Эппл» открывать свои коды, я скажу, что да, но мне кажется это плохая идея. Я объясню – почему. Нужно защищать Штаты от всех видов угроз. Глава национальной разведки уже последние пару лет твердит: как вы думаете, какая основная угроза для Штатов. Угроза из киберпространства. Киберпреступления. А правительству очень сложно будет защитить нас от киберпреступников. По сути «Эппл» защищает мой телефон, его разработчики или Самсунг, Майкрософт, в зависимости от того, какой у вас аппарат. Иначе говоря, в киберпространстве мы будем полагаться на гражданские компании, которые должны защищать нашу информацию. Наши данные. Поэтому если я, к примеру, борюсь с террористической угрозой, всегда возникает проблема, есть единственный способ ее решить – сказать человеку, который занимается кибербезопасностью: слушай, нужно тут снять защиту, мне нужно вскрыть телефон. Нужно подумать очень хорошо, потому что любой человек, который разбирается в вопросе, скажет, что если снизить уровень защищенности, уровень шифрования, даже если это обоснованное решение, то это серьезная уступка и возникает вопрос, мы реально готовы пожертвовать уровнем безопасности всех американских телефонов, чтобы раскрыть это преступление. Я на это отвечу «нет».
К. ОрловаНо возникает вопрос, здесь действительно ограниченный уровень угрозы…
М. ХайденВ Сан-Бернардино. Да, они вскрыли телефон и что. Ничего особенного не нашли.
К. ОрловаНо угроза-то существует. Террористическая угроза существует. Может быть она меньшая, чем угроза, если мы будем вскрывать телефоны.
М. ХайденСмотрите. Если мы примем закон, технологическое развитие закончится. Вот этого вы хотите?
К. ОрловаНу вот у нас в России так.
М. ХайденНет, мы так не хотим. Технологии должны развиваться. Я всю жизнь занимаюсь безопасностью. Я руководил Агентством по национальной безопасности, могу сказать, что неважно, что говорит конгресс или говорят суды, шифрование будет все сложнее взломать. И я советую правительству с этим просто смириться. Можно продолжать пытаться, но шифрование будет все более совершенным. Я вот смотрю на ваш телефон, можно собрать огромное количество информации. Я очень много могу узнать о вас, даже не взламывая ваш телефон. А поэтому мне кажется, что шифрование будет и должно шифроваться. Но если мы не будем знать содержание сообщений, это не значит, что мы не будем собирать разведданные. Нужно просто адаптироваться к новой реальности. Бесполезно пытаться бороться с качественным шифрованием.

Мне в этом интервью понравился последний абзац. Даже если представить что Хайден лукавит и скрывает свою истинную позицию, вольно или невольно он говорит правду. Нельзя ограничить распространение шифрования. Уже нельзя. Это как ограничивать распространение кибероружия, ссылаясь на опыт нераспространения оружия ядерного. Не работает.

Ну и чтобы не ограничивать заметку просто перепечаткой чужого интервью, хочу вновь вернуться к истории, а точнее четырем историям.

В 1991-м году 4 американских моряка были убити боливийскими террористами. В процессе расследования в руки правительственных агентов попали некоторые файлы, зашифрованные самописным, некоммерческим алгоритмом. Файлы были дешифрованы за 12 часов, а найденная в них информация позволила найти и задержать террористов.

В 1993-м году Рамзи Юзеф провел теракт против Всемирного торгового центра в Нью-Йорке, взорвав в гараже под ним грузовик с взрывчаткой. К счастью взрывчатки оказалось мало и взрыв только сотряс здание, но башни не сложились, как предполагалось. В процессе расследования некоторые файлы на компьютере Юзефа были расшифрованы правительственными агентами. Интересный факт: в файлах были найдены планы использования самолетов коммерческих авиакомпаний как тараны (Юзеф первый догадался до такого варианта теракта).

В 1995-м году известная секта "Аун Син Рикё" распылила в токийском метро газ зарин. Свою переписку секта вела в защищенном виде и использовала для этого алгоритм RSA, который был успешно взломан... за счет найденного в процессе арестов на дискете ключа.

В 2001-м году был арестован за измену и шпионаж в пользу России сотрудник ФБР Роберт Ханссен. Часть доказательств его вины хранилась на его карманном компьютере Palm III, который был скопирован и расшифрован агентами ФБР, осуществляющими расследование. Позже Ханссен сам признался в измене, чтобы избежать смертной казни.

В 2011-м году были арестованы члены германского отделения Аль-Кайеды на компьютерах которых были обнаружены доказательства террористической деятельности, скрытые с помощью стеганографии в порно-видео. Следователи успешно дешифровали эти данные.

В 2013-м году в Великобритании был задержан айтишник Пол Тейлор, который хранил детскую порнографию на его лептопе, зашифрованным с помощью бесплатного и свободно скачиваемого из Интернет ПО TrueCrypt. Попытки расшифровать зашифрованный виртуальный диск не увенчались успехом, что не помешало найти доказательства против Тейлора. Часть фотографий была найдена во временных файлах. Кроме того, в истории браузера были найдены и другие доказательства вины Тейлора.

В 2016-м году сотрудники ФБР сумели взломать заблокированный мобильный телефон iPhone, принадлежавший участнику нападения на мирных граждан в калифорнийском Сан-Бернадино Саиду Фаруку. И помощи компании Apple, а также решения суда, не понадобилось.

Адвокаты систем депонирования и экспортного контроля приводили эти случаи как доказательства того как криминальный и террористический мир активно использует шифрование в своей деятельности и этому надо противостоять с помощью предлагаемых в 1993-96 годах инициатив американского правительства. Но... как ни странно, они играют на руку и противникам этих инициатив. Во-первых, правительственные агенты смогли получить доступ к зашифрованным файлам и без системы депонирования или лазеек в алгоритмах. Во-вторых, только один из упомянутых преступников был американцем, а на остальных не распространялись американские законы. Наконец, три преступления из шести происходили за рубежом и никакие экспортные ограничения, существовавшие на тот момент не предотвратили приобретение стойкой криптографии преступниками; в одном случае преступники использовали даже собственноручно разработанный алгоритм, а в одном - скачанный из Интернет TrueCrypt.

Нередко спецслужбы аппелируют к различным преступлениям, которые могли бы быть предотвращены, если бы у спецслужб был доступ к зашифрованным компьютерам или смартфоном. В октябре 2014-го года глава ФБР привел три таких случая:

  • Смерть двухлетней Эбигейл Лара-Моралес в 2011-м году. Анализ телефонных звонков и SMS показал, что родители погибшей девочки даже не пытались связаться со скорой помощью и не предприняли никаких усилий для помощи своему ребенку.
  • Смерть 12-тилетнего мальчика от рук насильника в Шревепорте (Луизиана) в 2010-м году. Анализ мобильного телефона показал, что насильник выманил ребенка из дома под видом встречи с девочкой, которая нравилась подростку.
  • В 2010-м году в Сакраментов пьяный водитель проехал на красный свет и сбил молодую пару, гулявшую с 4-мя собаками. Собаки погибли сразу, молодой человек скончался через сутки. Преступника нашли по GPS-координатам в его мобильном устройстве.
Однако на самом деле, во всех трех случаях все было не совсем так, как об этом говорил директор ФБР. Журналисты, проведшие собственные расследования, выяснили, что:
  • В случае с Эбигейл ее родители и так были лишены родительских прав после рождения и дочь им вернули незадолго до ее гибели.  При этом родителей неоднократно наказывали за насильственные действия над ребенком и отсутствие должного ухода. Отсутствие звонков в скорую помощь, что можно было определить и без доступа к мобильному устройству, никак не повлияло на решение суда.
  • В случае со смертью мальчика от рук насильника ситуация была тоже отличной от той, которую обрисовал директор ФБР, продвигающий свои идеи. Преступник уже не раз сталкивался с правосудием в качестве насильника и был внесен в соответствующую базу. После убийства он уезжал с места преступления, но у него закончился бензин. Проезжающий мимо шериф остановился проверить машину и обнаружил внесенного в базу насильника. А спустя несколько часов недалеко от места проверки заглохшего автомобиля был найден труп мальчика и... оброненные ключи насильника, которые и послужили основной уликой в деле против него.
  • Наконец, в последнем случае все было еще проще. Никакой GPS не анализировался для отслеживания местоположения преступника, сбившего пару с 4-мя собаками. Когда он уезжал с места преступления его остановил дорожный патруль, желающий проверить, почему на проезжающей мимо машине вмятина на капоте и крыле. Остановленный преступник был не только пьян, но и находился под действием наркотиков. Кроме того... он сам признался в преступлении. Никакой анализ GPS тут просто был не нужен.

Поэтому к словам бывшего главы АНБ и ЦРУ стоит прислушаться. И ориентироваться не только на ограничение средств шифрования, но и на развитие иных механизмов, которые бы позволили спецслужбам и правоохранительным органам идентифицировать преступников и собирать доказательства их деятельности.

ЗЫ. Интересная подборка кейсов, когда правоохранительные и спецслужбы смогли/не смогли взломать зашифрованные файлы подозреваемых лиц и преступников.

09.08.16

Как российским разработчикам СКЗИ могут закрыть выход на Запад

Продолжу тему с депонированием ключей и включением лазеек в отечественные средства шифрования, которые могут быть узаконены согласно двум поручениям Президента, о которых я написал вчера. Какой бы вариант не был выбран, он будет иметь катастрофические последствия для отечественной индустрии СКЗИ, исключая отдельные направления, в которых будет установлена обязанность применять средства шифрования и отказаться от этого будет нельзя.

Про эти последствия говорили до и во время принятия "закона Яровой", хотя и с упором на рынок телекоммуникаций. На рынок шифрования просто никто не обращал внимания. Во-первых, он пока не такой уж и большой, а во-вторых, сами производители средств шифрования, являющиеся лицензиатами ФСБ, не будут противоречить органу, который эти лицензии и выдает. Да и рано пока говорить о последствиях - подзаконные акты еще не приняты и мы не знаем, к чему это все приведет. Однако можно вновь обратиться к истории и посмотреть, о чем говорили в США, во времена принятия инициативы Clipper, во время законопроекта SAFE, во времена нашумевших законов Patriot Act и USA Freedom Act.

Кто будет покупать продукты, о которых известно, что они содержат закладки для спецслужб? Никто. Для американской экономики это было бы серьезным потрясением - продукция Microsoft, Cisco, Apple, Oracle и других ИТ-компаний распространена по всему миру и отказ от нее стал бы сильным ударом по доминирующей позиции Америки в ИТ-мире (это если не брать потери для каждой из компании в отдельности). Для России, которая иногда меняет риторику и вместо импортозамещения говорит о экспортопригодности, такие закладки стали сразу бы могильной плитой, не позволившей выбраться продукции за пределы локального рынка. Да и на локальном рынке объемы продаж бы сильно просели - кто захочет покупать решение о котором известно, что оно уязвимо и вся информация может на законных основаниях утечь в ФСБ; даже если скрывать и особо нечего? Хотя где вы видели компанию или человека, которым нечего скрывать?

Когда в Конгрессе обсуждался так и не принятый законопроект SAFE, с высокой трибуны прозвучало следующее: "Некоторые облачают дебаты вокруг криптографии в доспехи сражения приватности и безопасности. Наши активные консультации со стейкхолдерами, однако, привели нас к выводу, что проблему можно свести к борьбе безопасности с безопасностью. Криптография защищает критическую инфраструктуру, торговые секреты, финансовые транзакции, частную жизнь и информацию. В тоже самое время, криптография мешает силовым ведомствам отслеживать преступников, собирать доказательства, предотвращать террористические атаки и защищать общественный порядок. Изначально, законодатели и некоторые представители силовых ведомств верили, что решение на поверхности: законодательно предоставить силовикам доступ к зашифрованной информации по решению суда. К сожалению, затея повлекла за собой нежелательные последствия. В частности, встал вопрос о необходимости редизайна средств криптографии для встраивания так называемых “back doors” – уязвимостей, снижающих общий уровень защищенности криптосредств. В действительности, такие закладки обязательно будут использованы плохими парнями, но не обязательно дадут выигрыш хорошим парням. Глобальная индустрия стремительно меняется. Клиенты настаивают, чтобы компании встраивали средства криптографии в свои продукты на повседневном, бытовом уровне. Мы только сейчас начинаем понимать всю степень влияния этой глобальной трансформации. Если США наложат ограничения на использование криптографии, американские технологические компании могут потерять свой конкурентное преимущество на глобальном рынке. Более того, исследования показывают, что 2/3 предложений криптографических продуктов находятся за пределами США. Таким образом, плохие парни все равно смогут получить эту технологию от зарубежных поставщиков не находящихся под юрисдикцией США".

В 1998 году The Software Alliance (BSA) опубликовало отчет, в котором оценило потери от внедрения систем депонирования ключей. Согласно этим оценкам было выделено 4 категории затрат/потерь:
  • операционные затраты (поддержка и контроль ключей, реагирование на запросы),
  • пользовательские затраты (выбор, использование и поддержка соответствующих систем, а также потери, связанные со случайным раскрытием информации),
  • затраты на редизайн средств шифрования,
  • государственные затраты (тестирование средств депонирования, их сертификация, аттестация специальных служащих, работа с запросами).
В итоге получились следующие консервативные цифры:
  • общие прямые затраты - 7,7 миллиардов долларов США в год,
  • пользовательские затраты - 1,7 миллиарда долларов в год,
  • затраты бизнес- и домашних пользователей на то, чтобы соответствовать требованиям по депонированию - 6 миллиардов долларов в год,
  • средняя ежегодная стоимость реализации одного решения суда на доступ к зашифрованным коммуникациям - 12 миллионов долларов США.
К счастью, так и не удалось проверить на практике, насколько эти оценки были верны. Зато ущерб можно прикинуть после того, как Сноуден разоблачил американские спецслужбы, которые следили за людьми по всему миру и могли по своему желанию вмешиваться в процесс поставки любой ИТ-продукции из США и внедрять в нее закладные устройства. Фактов последнего так и не было представлено, но несмотря на это шумиха в прессе привела к падению продаж многих американских ИТ-компаний как внутри США, так и за ее пределами. Вот несколько примеров:
  • сокращение продаж Cisco на 7% в странах с растущей экономикой, а например, в Китае - на 18%
  • германское правительство отказало Verizon в продлении контракта на оказание Интернет-услуг
  • американские облачные провайдера могут потерять в следующие три года от 22 до 35 миллиардов долларов США. Forrester Research предсказывает и того больше - 180 миллиардов за 3 года.
  • Qualcomm видит недоверие со стороны зарубежных партнеров и прогнозирует снижение продаж в ряде регионов. Об этом же говорят в Microsoft, IBM и HP.
  • 25% канадских и британских компаний (а они должны быть лояльны США) перенесли свои данные из американских облачных хранилищ.
  • Бразильцы отказали компании Boeing в контракте на сумму в 4,5 миллиарда долларов (он ушел в Saab).
  • 47% пользователей по опросу Harris'а изменили свое поведение в Интернет после того, как стало известно о слежке со стороны АНБ, а 26% стало меньше покупать в онлайн и пользоваться Интернет-банкингом.
  • Многие американские компании стали строить центры обработки данных за пределами США, чтобы обезопасить данные своих зарубежных клиентов (а это миллиардные затраты).
  • Еще больше примеров можно найти тут и тут
Конечно речь идет не о системах депонирования ключей, но указанные примеры все равно легитимны - они также говорят о вмешательстве спецслужб в деятельность ИТ/ИБ-компаний и последовавших за этим потерях. Да, в случае с российскими компаниями, потери будут ниже - и объемы не те, и международной экспансии пока не произошло. Но потери будут. Вплоть до полного краха выхода на зарубежные рынки - в случае наличия легальных закладок со стороны ФСБ российские продукты ничем не будут отличаться от того, что АНБ пыталась сделать в 1993-м году с системой депонирования ключей и от того, что оно сделало с системой глобальной прослушки PRISM спустя двадцать лет.

08.08.16

Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования

Последние поручения Президента по криптографии и закон Яровой дали столько пищи для размышлений, что я решил им посвятить им сразу несколько заметок. Я уже написал про:
  • историю гонений на криптографию в России
  • косяки закона Яровой
  • поручение Президента оснастить всех граждан России бесплатной криптографией
  • извещение ФСБ на поручение Президента
  • все ветви регулирования криптографии в России

Но на достигнутом останавливаться рано. Сегодня я бы хотел вспомнить, как в мире пытались внедрить то, что было поручено Президентом России. Кто не помнит, то Президент поручил решить ровно две задачи:
  • исключить применение на каналах связи оборудования, позволяющего вмешиваться в работу криптографических протоколов, исключая спецслужбы и правоохранительные органы,
  • передавать все ключи шифрования в адрес ФСБ.

Реализовать эти две задачи можно по разному. Я навскидку накидал 5 вариантов:
  • обеспечить депонирование мастер-ключа,
  • обязать разработчиков реализовывать систему восстановления ключей,
  • организовать ответвление незашифрованного трафика в адрес спецслужб (а-ля СОРМ),
  • реализовать слабый криптоалгоритм, позволяющий легко дешифровать переписку или имеющий иные закладки, известные спецслужбам,
  • заставить пользователей самостоятельно передавать ключи шифрования спецслужбам.
А теперь обратимся к истории. В 1992-м году в США заговорили о системе депонирования ключей (key escrow), которая бы позволяла спецслужбам по решению суда получить ключи шифрования пользователей и восстановить всю защищенную переписку. Предполагалось, что такая функция будет встроена во все средства шифрования, разрабатываемые в США. Альтернативой, также обсуждаемой в США, стала система trap door, позволяющая встраивать в оборудование специальную лазейку, которая бы позволяла спецслужбам дешифровывать информацию даже не имея актуального ключа шифрования. Знакомо, да? 1992-й год. Почти 25 лет назад.

В 1993-м году администрация Клинтона предложила специальный чип Clipper, который был разработан в АНБ и NIST и включал новый криптографический алгоритм Skipjack, призванный заменить DES. 80-тибитный Skipjack считался более надежным, чем 56-тибитный DES, однако все ключи шифрования должны были храниться в специальной государственной базе данных (ох уж это стремление государства к всяким базам данных, реестрам, регистрам и другим кадастрам). Технология депонирования ключей была встроена в сам чип и производители, которые должны были встраивать Clipper в телефоны (стандартные и мобильные), должны были передавать ключи соответствующим федеральным ведомствам. Для того, чтобы продвинуть этот чип на рынок администрация Клинтона предложила оснастить все компьютеры и телефоны, используемые в госорганах, этим чипом, обеспечив тем самым большой госзаказ на него. Столь большой заказ должен был снизить стоимость на изготовление чипа и сделать его привлекательным и для бизнеса.

Чип Clipper
Однако инициатива с Clipper предсказуемо наткнулась на сопротивление американского бизнеса и общественности, которое сопровождалось тремя ключевыми тезисами:
  • чип Clipper нарушает права гражданина на тайну переписки и личной жизни,
  • с практической точки зрения возник вопрос к защищенности базы данных ключей шифрования и что пришлось бы делать государству, если бы база была бы взломана и ключи украдены,
  • алгоритм Skipjack был засекречен и независимые исследователи не имели возможности проанализировать его на предмет уязвимостей и скрытых возможностей. У экспертов было стойкое подозрение, что помимо базы данных ключей алгоритм содержал ряд функций, которые позволяли получать доступ к зашифрованным данным даже при отсутствии актуального ключа.
В итоге идея с чипом Clipper провалилась, но это не помешало Администрации Клинтона в 1995-м году выйти с обновленным планом Clipper II. Помимо прочего в новой версии Clipper допускались частные базы ключей, к которым все равно могли получить доступ сотрудники спецслужб. 20 мая 1996 года был выпущен документ под названием “Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure”, который критики сразу обозвали Clipper III. Эта инициатива отличалась от предыдущих больше интеллектуальностью - она не использовала никаких чипов Clipper, идея которых была похоронена. Вместо этого была предложена инфраструктура управления ключами (Key Management Infrastructure), которая позволяла рядовым гражданам и бизнесу простой способ удостоверения сертификатов открытых ключей, так нужных в электронной коммерции. По сути речь шла о федеральном удостоверяющем центре ценой использования которого стали… ключи пользователей. Как и две предыдущих идея эта тоже была похоронена под критикой со стороны экспертов.

1-го октября 1996-го года администрация Клинтона вышла с очередной инициативой, которая должна была вступить в силу с 1-го января 1997 года. Речь шла о переходе ответственности за экспорт криптографии из рук Министерства Юстиции в Министерство торговли, длина ключей, разрешенных к экспорту без ограничений была увеличена с 40 бит до 56, а американские производители получили право экспортировать более стойкую криптографию, запрашивая соответствующее разрешение в Минторге. Однако все оказалось не столько радужно - право на экспорт сопровождалось требованием встраивания в средства шифрования механизма восстановления ключей (key recovery), позволяющего спецслужбам получать доступ к защищенным коммуникациям. Очевидно, что данная инициатива была опять встречена негативно, но Администрация Клинтона, устав биться с противниками усиления нацинальной безопасности, сдала все полномочия по решению вопроса с криптографией в Конгресс.

Спустя непродолжительное время в Конгресс был внесен законопроект - “Security and Freedom Through Encryption Act” (SAFE), который зафиксировал сразу несколько важных моментов:
  • запрет требования от американских производителей встраивать в свои продукты подсистемы депонирования или восстановления ключа,
  • разрешение производить, распространять и использовать на территории США любые средства шифрования независимо от используемого алгоритма и длины ключа,
  • разрешение экспортировать криптографию (исключая ее применение для военных или террористических целей), если аналогичный продукт уже присутствует на международном рынке,
  • запрет использования средств шифрования для криминальных целей.
Кстати, в одну из редакций этого законопроекта предлагали включить норму, что любое импортируемое в США криптографическое оборудование или ПО, должно иметь функции восстановления ключей шифрования, но она не прошла. Сегодня в США нет никаких ограничений на импорт средств шифрования.

SAFE обсуждался в США почти 2 года, но так и не был принят. После в Конгресс вносилось множество иных законопроектов, которые должны были урегулировать вопросы применения и экспорта средств шифрования:
  • The Promote Reliable On Line Transactions to Encourage Commerce and Trade (PROTECT) Act.
  • The Electronic Rights for the 21st Century Act.
  • The Encryption for the National Interest Act.
  • The Secure Public Networks Act.
  • и еще около десятка законов, которые в той или иной степени затрагивали тему шифрования.
Но никто из них так и не был в итоге подписан Президентом США. С 2001-го года в Конгресс США не вносился ни один законопроект в этой области.

В сентябре 1998-го года в правила экспорта средств шифрования были внесены правки, которые уточнили список стран и индустрий, в которые можно продавать американские средства шифрования без ограничения, а в остальных случаях требовалась соответствующая лицензия Министертсва торговли США (про экспорт криптографии из США я уже писал). Требования к системе депонирования ключей были ослаблены, а чуть позже, в январе 2000 года и вовсе отменены. Связано это было не только с трудностями, с которыми столкнулась Администрация Клинтона, но и с принятием в декабре 1998 года Вассенаарских соглашений, которые по сути запретили депонирование ключей. США пытались получить определенные преференции при экспорте средств шифрования, отнесенных к технологиям двойного назначения, но им это не удалось. Отсутствие консенсуса в рабочей группе и привело к отказу США от своих планов.

В конце 90-х годов идею с депонированием ключей пытались адаптировать во Франции. В январе премьер-министр Жюспен заявил о желании внедрить такую систему, но уже в марте работы в этом направлении были ослаблены. Тайвань, заявивший о своей системе депонирования в 1997 году, спустя год объявил о сдвиге своих планов на более дальний срок.

Сегодня всего несколько стран официально говорят о депонировании ключей. Испания, требует это для телекоммуникаций с 1998 года, но так и не запустила систему в промышенную эксплуатацию. Великобритания несколько лет продвигала политику, согласно которой национальные удостоверяющие центры могли получить соответствующую лицензию на работу только при условии вытребования приватных ключей у пользователей. Позже от этой политики отказались и в Великобритании.

Сегодня в США нет никаких законов, обязывающих американских производителей встраивать какие-либо лазейки в подсистемы шифрования своих продуктов (достаточно вспомнить нашумевший кейс "ФБР против Apple", который доказывает, что несмотря на звучащие теории заговора американских спецслужб с американскими же производителями, ничего такого нет)! Хотя в инициативном порядке такие системы создавались. Очень неплохой обзор делала Дороти Деннинг. И хотя он был написан в 1996-м году, сами принципы там описаны недурно. На государственном уровне я сейчас не припомню стран, которые бы требовали от своих производителей реализовывать системы депонирования криптографических ключей. И вот спустя 25 лет Россия вступает на этот путь.

ЗЫ. Очень хорошо о том, почему государственная система депонирования не взлетит было написано в 1997-м году известными специалистами по безопасности Райвестом, Шнайером, Диффи, Беллоуином, Андерсоном и другими.

05.08.16

От кибербезопасности к устойчивости информационных систем

Для пятницы заметка; чтобы не особо вдумываться. Да и сам не готов сейчас глубоко копать тему. Но хочу обратить внимание, что сейчас активно стала подниматься тема обеспечения уже не кибербезопасности, как задачи предотвращения угроз, а киберустойчивости (я считаю, что resilience лучше переводить как "устойчивость", а не "эластичность" или "упругость"), как возможности системы осуществлять свои функции даже в условиях непрерывных атак.

Наиболее актуальна эта тема для критических инфраструктур, где она и находит свое применение в последнее время. Первой стала Австралия, которая еще 6 лет назад выпустила целый набор документов по обеспечению устойчивости своих критических инфраструктур.



За Австралией подтянулись американцы,
а потом и европейское агентство ENISA стало выпускать отчеты по киберустойчивости - то, на транспорте,

то в государственных облаках...


У нас пока с устойчивостью, кроме оборонки, не очень хорошо. Пока только ЦБ упоминает ее в своих материалах. Но лиха беда начало...

Вообще тема очень интересная.


ЗЫ. Resilience можно попробовать перевести и как "живучесть", но это скорее военный термин, хоть и схожий по сути.

04.08.16

Когда безопасность только мешает бизнесу, нанося ему реальный финансовый ущерб

Продолжая тему, начатую презентацией про обоснование финансовых инвестиций в ИБ, которую я читал на питерской Payment Security, я бы хотел привести кейс, который с цифрами в руках доказывает, что безопасность может мешать бизнесу, снижая его доходы. Если мы "продаем" ИБ под соусом борьбы с угрозами или выполнения регулятивных требований, то эта тема обычно не всплывает и безопасник может думать, что он делает благое дело. Но когда мы начинаем оперировать цифрами и деньгами, ситуация может поменяться и поменяться кардинально. В этом обратная сторона медали под названием "финансовое измерение ИБ" - может оказаться так, что ИБ наносит ущерб бизнесу, увеличивая потери, а не противодействуя их снижению.

Я не буду приводить скучные и набившие оскомину примеры про блокирование выхода в Интернет или торможение персонального компьютера антивирусом (хотя они тоже измеримы). Поговорим о системе защиты финансовых транзакций по платежным картам 3D Secure, используемой как Visa, так и Master Card. Считается, что эта технология призвана защитить от мошеннических операций и это верно. Но значит ли это, что применять ее надо всегда и везде? Например, приложение "Парковки Москвы" от Электронной Москвы не использует 3D Secure. И Аэрофлот при покупке билетов тоже. А еще AppStore, Amazon, Одноклассники и куча других ресурсов. Значит ли это, что эти компании не беспокоятся о своей безопасности? Ни в коем случае. Просто бизнес важнее.

Посмотрите на статистику социальной сети Badoo. В России 3D Secure была включена принудительно с самого начала. После ее отключения число успешных платежей выросло на 20% (!). В Италии включение 3D Secure привело к падению объема платежей на 10-15%. В США включение 3D Secure привело к тому, что пользователи Badoo перестали платить вообще, а в Южной Африке число успешных платежей после отключения 3D Secure привело к положительной динамике.

Доля успешных платежей до и после включения 3D Secure в разных странах присутствия Badoo
Это очень хороший пример того, как технология безопасности, которая призвана помогать бизнесу, может ему мешать. Разумеется, данные Badoo не означают, что 3D Secure плоха и не нужна. Совсем нет. Просто надо четко осознавать место и область применения 3D Secure. Необходимо проводить соответствующие исследования, чтобы иметь на руках цифры, помогающие принять нужное решение. Например, на конференции Payment Security, на круглом столе, посвященном дилемме "Удобство или безопасность" представитель Сбербанка привел интересные цифры. Оказывается, число опротестований платежей в "Парковки Москвы" составляет всего несколько... десятков рублей (!) за 3 года работы сервиса. Несколько десяткой рублей! И зачем при таких цифрах внедрять 3D Secure?

В случае с Аэрофлотом ситуация схожая. Зачем там 3D Secure? Есть ли там мошенничества при продаже билетов? Ведь все равно билет будет выписан на конкретного человека с паспортными данными, позволяющими его идентифицировать. Да и этот покупатель физически придет на рейс и его можно задержать, если он мошенник. Видимо в Аэрофлоте посчитали объем мошенничества и конверсию (то есть отношение числа покупателей билетов с числом посетителей сайта Аэрофлота или с числом тех, кто билеты забронировал) и оказалось, что снижение конверсии от включения 3D Secure приводит к бОльшим потерям, чем мошенничество при отключенной 3D Secure.

Аналогичная ситуация с конверсией и для других сайтов с большим числом клиентов и покупок по картам - Amazon или AppStore. Снижение числа успешных платежей на 20% - это огромные деньги в масштабах этих компаний, которые они не готовы терять. Тем более, что существуют и другие способы защиты от мошенничества, без 3D Secure. Например, в платежной системе ASSIST работает своя антифрод система, которая снижает число мошеннических операций без снижения конверсии и без 3D Secure (по данным ASSIST процент успешных платежей при использовании 3D Secure ниже на 15-20%, чем без этой технологии). Badoo тоже разработала свою антифрод-систему, чтобы не ухудшать бизнес-показателей.

Еще один пример, когда ИБ мешает бизнесу, - это различные проверки, которые раздражают пользователей сайтов электронной коммерции. Чем больше кликов и операций заставляют сделать пользователя (даже с благой целью повышения защищенности и защиты от мошенничества), тем ниже конверсия и число успешных оплат.


Аналогичная ситуация с временем загрузки страница - чем дольше грузится сайт из-за тех же проверок безопасности, тем ниже лояльность пользователя, выше их отток и ниже конверсия (если сайт что-то продает). В качестве примера возьмем сайт ФСБ. Я не знаю, как у других, но у меня главная страница грузится просто омерзительно долго и длительное время (десятки секунд) выглядит вот так:


С сайтом ФСБ, правда, ситуация с конверсией не работает, - он не зарабатывает денег и никакой альтернативы этому сайту нет. Поэтому приходится подолгу ждать отображения контента. На других же сайтах долгая загрузка приводит к потерям. Допустим сайт продает в день на 100 тысяч рублей. Всего одна секунда задержки загрузки страницы из-за проверки WAF или встроенными в сайт модулями проверки вводимых в поля форм значений приводит к годовым потерям в 2,5 миллиона рублей. 1 секунда = 2,5 миллиона рублей! А если это не 100 тысяч рублей, а столько же тысяч долларов? Потери составят уже 2,5 миллиона долларов! По статистике односекундная задержка в загрузке странице приводит к снижению конверсии на 7%, то есть к прямым потерям. И кто в такой ситуации будет положительно относиться к безопасности?

Понятно, что на конверсию влияет не только и не столько безопасность, сколько множество других параметров - дизайн страницы, навигация, контент, юзабилити, отсутствие персонализации, отсутствие призыва к действию и т.п. Но и ИБ тоже вносит свой вклад в общие потери, которые нужно учитывать и, не отказываясь от безопасности, предлагать альтернативные варианты. Как это было сделано в случае с Badoo или ASSIST. В противном случае говорить о вкладе ИБ в бизнес не приходится и лучше эту тему вообще не ставить на повестку дня - получится только хуже.

03.08.16

Изменение правил надзора за персональными данными

Не то, чтобы это новость, скорее для напоминания - Правительство, как и обещаловнесло в Госдуму законопроект о наделении Правительства России полномочием по установлению порядка государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства. Ничего нового в этом законопроекте нет - я про него уже писал. Прошлогодний проект Постановления Правительства приказал долго жить.

Роскомнадзор получит право самостоятельно определять правила надзора за ПДн. Все логично - сам надзирает, сам и правила для себя пишет. Ничего нового я от этого не жду - РКН или оставит свой административный регламент неизменным, либо внесет туда незначительные правки, узаконив и так сложившуюся практику проведения проверок. В частности, могут добавить следующие темы:

  • добавление к выездным и документарным проверкам мероприятий систематического наблюдения
  • уточнение критериев формирование плана проверок, в частности усиление контроля за организациями, обрабатывающими ПДн значительного количества субъектов ПДн, а также биометрических и спецкатегорий ПДн
  • расширение оснований для внеплановых проверок
  • уточнение права доступа в любые помещения, исключая архивы и помещения с гостайной
  • уточнение порядка привлечение аккредитованных экспертов.

Также Минкомсвязь подготовил проект приказа "О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346", который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.

02.08.16

Аппаратная закладка в корпоративную сеть, о которой молчал Сноуден

Тема недокументированных возможностей на системном или прикладном уровне программного обеспечения не дает покоя многим специалистам по информационной безопасности, которые либо закладывают эту проблему в свою модель угроз, либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. Однако бывают и более простые способы вторжения в корпоративную сеть, даже в физически изолированную от внешнего мира.

Вот два кейса из практики Cisco Red Team, которые повторяются из раза в раз, в разных компаниях, в разных странах мира, включая и Россию. Первый достаточно банален - подбрасывание заранее "заряженных" флешек перед офисом компании-жертвы. Поставьте себя на место рядового сотрудника. Вы утром находите флешку на парковке перед офисом или на своем этаже в бизнес-центре. Ваша реакция? С очень высокой вероятностью, особенно если флешка выглядит новенькой, вы поднимете ее. И мысли у вас будут предсказуемые - от "может она большого объема" до "а вдруг там что-то интересненькое". А уж если на флешке написать "фото с корпоратива" или "фото Оли", то вероятность того, что вы эту флешку поднимите и воткнете в свой компьютер будет приближаться к 100%.


Как показывает наш опыт, не было еще ни одной компании, которая бы не попалась на эту, дешевую в реализации, но эффективную "удочку".


Мне можно возразить, что средства контроля периферийных носителей спасают от этой напасти. Кроме того, заражение компьютера и захват управления им еще не означают, что злоумышленник может выйти наружу и отправить украденную внутри информацию. Я не буду вступать в полемику, приводя примеры того, что и флешки контролируются далеко не всегда, и существует куча способов инкапсулировать украденную информацию в плохо контролируемый на периметре DNS-трафик. Я рассмотрю второй кейс, который также почти всегда дает эффект в рамках работы Cisco Red Team.

Речь идет об аппаратных закладках. Но не о тех, что внедряются на уровне операционной системе оборудования или в виде отдельных чипов, о которых писал Сноуден, но которых никто не видел. Речь идет о платформе Raspberry Pi, которая может быть использована для создания портативных компьютеров, которые могут быть подключены к корпоративной сети для негласного съема информации.


Масштаб этого устройства дает ему возможность долго оставаться незамеченным, если его подключить в какой-нибудь переговорке или в лобби офиса компании-жертвы. Отследить его, особенно если оно работает в пассивном режиме сниффера, достаточно сложно. В зависимости от реализации оно может как накапливать информацию без ее передачи наружу (достаточно повторно прийти в компанию и снять его), так и пытаться "слить" все через стандартные каналы или через встроенный беспроводной интерфейс. Ниже представлено видео того, как действовал сотрудник Cisco Red Team у одного из заказчиков (на английском языке, но там все понятно).



За кадром остался показ сотруднице на reception фальшивого письма о необходимости проведения регламентных работ, которое не вызвали никаких подозрений. Дальше к IP-телефону было подключено портативное устройство съема информации и дело оказалось в шляпе. Если IP-телефоны в компании внедряются без учета требований по ИБ, без соответствующей сегментации сети, без настроек шифрования, без контроля доступа, то злоумышленник может не только перехватывать голосовой трафик или "притвориться" телефоном и попробовать вывести из строя цифровую АТС, но и проникнуть внутрь других сегментов сети с последующим распространением по ней. Обнаружить такую "закладку" непросто; в отличие от ее создания и внедрения.

Выводы из этих двух кейсов будут очень простыми:

  • далеко не всегда проникновение в сеть осуществляется через периметр
  • пользователи по-прежнему остаются самым слабым звеном
  • пентест не позволяет отследить такие проблемы
  • существуют гораздо более практичные способы "аппаратного" проникновения, чем мифические закладки от вендоров или от спецслужб.


А бороться с ними можно следующими методами:
  • повышение осведомленности персонала
  • сегментирование сети (в том числе и динамическое)
  • анализ аномалий во внутренней сети
  • контроль сетевого доступа
  • физический осмотр мест, доступных для посещения.

01.08.16

Криптографический кракен разбрасывает свои щупальца

Как-то снизошло на меня, что надо обновить ключевые презентации/заметки по регулированию криптографии в России, среди которых были следующие:
Все-таки достаточно много времени прошло с тех пор и мы получили немало новых нормативных документов, говорящих о необходимости применения средств шифрования в настоящем или ближайшем будущем. В итоге у меня получился этакий криптографический кракен, разбросавший свои щупальца по совершенно различным направлениям и темам, объем которых ну оооочень велик. Ассоциация с кракеном не случайна. Это легендарное головоногое чудовище, пожиравшее корабли, бороздящие просторы мирового океана, и препятствующее развитию судоходства и мировой экономики.


Если вспомнить, то у нас тема шифрования по требованиям ФСБ обычно всплывает только в контексте госорганов, которые общаются между собой, а также внутри себя. Это несколько сотен тысяч точек присутствия и, как следствие, соответствующее число СКЗИ (аппаратных или программных). Сюда можно приплюсовать сегмент взаимодействия коммерческих организаций с госорганами. Например, в рамках выполнения госзаказа, а также в рамках присоединения к различным государственных информационных систем - ГИС ГМП и т.п. На мой взгляд, это не очень большой сегмент рынка СКЗИ, который все-таки присутствует в России (если не брать в расчет сдачу отчетности в электронной форме с электронной подписью). Отдельно можно упомянуть сегмент удостоверяющих центров и решений по электронной подписи, но тут я затрудняюсь оценить масштаб рынка и насколько он отличается от других щупальцев кракена.

Третьим щупальцем можно назвать рынок тахографов, которые, как известно, должны использовать средства шифрования, а число колесных средств, на которые распространяются требования соответствующего Постановления Правительства измеряется по данным Минтранса одним миллионом, а по версии отдельных специалистов аж 3-мя миллионами. Несмотря на критику Минэкономразвития приказ Минтранса об использовании тахографов отменен не был и в текущей версии содержит требования к тахографам и картам идентификации и аутентификации водителей, контрольных органов, мастерских и автотранспортных предприятий, обязательно использующих СКЗИ в соответствие с ПКЗ-2005. При этом тахографы подлежат регулярной замене один раз в три года (традиционный срок для сертифицированных СКЗИ). В перспективе речь может идти об оснащении такими устройствами и всех легковых автомобилей, поставляемых в Россию или собираемых в нашей стране - данные слухи регулярно всплывают в контексте требований по системе ЭРА-ГЛОНАСС.

Четвертое ответвление - это недавнее поручение Президента об оснащении граждан, общающихся с госорганами, бесплатными решениями по шифрованию. Если посмотреть на тот же портал госуслуг, то сегодня на нем, по словам министра связи и массовых коммуникаций, зарегистрировано 30 миллионов пользователей (хотя в феврале их было всего 17 миллионов). Хотя до RSA, которая оснастила своими алгоритмам все мобильные устройства в мире, нам еще далеко.

Пятая "рука" будет держать тему контрольно-кассовой техники, обновленный закон о которой был принят 15 июля этого года и который содержит нормы об оснащении всех контрольно-кассовых аппаратов (а их по оценкам несколько миллионов) средствами шифрования, соответствующими требованиям ФСБ (сами требования пока отсутствуют).

Шестое щупальце у нас тянется к теме ввоза иностранных шифровальных средств на территорию России, о чем я писал уже неоднократно (тут и тут). Без экспертизы средств шифрования со стороны ФСБ дело не обходится и таким образом контролируется проникновение зарубежных средств шифрования - самостоятельных или встроенных в смартфоны, телевизионные приставки, ноутбуки, принтеры и т.п.

Кстати, насчет телевидения. У Минкомсвязи уже был приказ №3 от 2006-го года, устанавливающий обязанность шифровать систему цифрового телевизионного вещания DVB, число приемников которой оценивалось в 55 миллионов устройств. Тема не взлетела - было много противников. Поэтому в качестве щупальца кракена я это направление включать не стал. Также в качестве щупальца я бы пока не стал рассматривать тематику Всеобъемлющего Интернета, хотя согласно дорожной карты по развитию в России технологий Интернета вещей, наши регуляторы задумываются о создании национальных протоколов IoT и решении вопросов безопасности в них.

Седьмым отростком можно назвать тематику персональных данных и 378-й приказ ФСБ, который несмотря на все спорные моменты и юридические толкования, трактуется регулятором вполне однозначно - в Интернет персональные данные передаваться в открытом виде не могут (хотя сама ФСБ это свое же требование и игнорирует) и для их защиты должны применяться сертифицированные шифровальные средства. А это немного немало, но 4 миллиона юридических лиц и индивидуальных предпринимателей, существующих сейчас по версии Росстата.

Наконец последний тентакль (это синоним щупальца) у нас протянулся к теме банкоматов, платежных и электронных терминалов, коих в России по данным Банка России на 1-е апреля этого года насчитывалось порядка двух миллионов. Мы помним, что ФСБ совместно с Банком России подготовили поэтапный план перехода на отечественную криптографию в Национальной системе платежных карт, а это значит, что российскими HSM "с ГОСТом", а также чиповыми картами с тем же ГОСТом, будут оснащаться все банкоматы и платежные терминалы. Сейчас сложно говорить о числе карт "Мир", которые будут постепенно оснащаться отечественными средствами шифрования, согласованными с 8-м Центром ФСБ, но уже до конца этого года НСПК планирует эмитировать 16 миллионов карт (пока без отечественных криптоалгоритмов). У того же Сбербанка уже выпущено 116 миллионов карт. Если предположить, что планы НСПК по выходу на международный рынок воплотятся в жизнь, то объем карточной эмиссии НСПК и "Мир" будет измеряться сотнями миллионов. По данным свежего отчета о мировом рынке карт та же UnionPay на сегодняшний день имеет 5,3 миллиарда (!) карт, обгоняя Visa и MasterCard и занимая первое место в мире по числу выпущенного платежного пластика. Да, до UnionPay нам еще далековато, но ориентир уже понятен - рынок средств шифрования (а HSM в банкомат, не говоря уже о самой платежной карте являются таковыми средствами криптографической защиты информации) вырастет значительно.

Интересная картина получается. Тихой сапой, но требование по применение отечественной криптографии проникает постепенно в различные сферы российской экономики, попутно поднимая "с колен" российских разработчиков СКЗИ (хотя они и так не бедствовали). И если до воплощения однажды озвученной идеи о мировом господстве на базе нашей криптографии еще пока очень далеко, то охватить всю Россию - задача вполне подвластная нашему регулятору, смотрящему далеко вперед, как и положено государственным деятелям такого масштаба и уровня компетенции.

29.07.16

Рынок средств защиты информации в России: до санкций и после. Часть вторая

Хочу продолжить вчерашнюю заметку о том, что принесли санкции и импортозамещение на отечественный рынок ИБ и смогли ли отечественные вендоры воспользоваться своим привилегированным положением, предложив заказчикам нечто новое? На фоне новостей о том, что российским силовикам разрешили вновь закупать западное ПО и разговорах о том, что это только первая ласточка к возврату на круги своя, было бы интересно увидеть, какие сюрпризы преподнесли российские разработчики средств защиты.

Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.

Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:
  • 2012-2013 годы
    • средства вычислительной техники (СВТ), то есть средства защиты от несанкционированного доступа по классификации ФСТЭК
    • средства гарантированного уничтожения информации
    • "доверенные" операционные системы
    • антивирусы
    • средства аутентификации
    • защищенные СУБД (точнее их две или три)
    • межсетевые экраны
    • средства резервного копирования
  • 2013-2014 годы (в дополнение к вышеупомянутым)
    • системы обнаружения вторжений
    • сканеры защищенности
    • средства защиты СУБД
    • анализаторы исходных кодов
    • электронные замки
    • средства защиты корпоративной сотовой связи
    • средства инвентаризации ресурсов
  • 2014-2015 годы (в дополнение к вышеупомянутым)
    • средства безопасного хранения информации
    • сканер защищенности АСУ ТП
    • DLP
    • средства контроля конфигурации
    • средства защиты приложений
    • VDI и средства терминального доступа
    • средства отражения DDoS-атак
    • коммутаторы
  • 2015-2016 годы (в дополнение к вышеупомянутым)
    • WAF
    • SIEM
    • однонаправленные МСЭ
Если сравнивать с мировым рынком ИБ, то ситуация достаточно печальная. Там регулярно появляются какие-то свежие темы и решения. А у нас?.. Государству, как заказчику именно сертифицированных средств защиты, не нужны новые решения - нужны прошедшие оценку соответствия. Такая ситуация была 20 лет назад - такой ситуация и осталась. В 2007 году я написал статью "Западный или российский производитель ИБ: кого выбрать?", вызвавшую много споров, и заставившую моего бывшего руководителя, Володю Гайковича, написать ответный материал. И надо признать, что с тех пор почти ничего не поменялось. Причины такой ситуации остались те же - излишняя зависимость от регуляторики, отсутствие исследований (а зачем, если есть сертификат), отсутствие нормального маркетинга (хотя Twitter освоили почти все).

Итог печален - государственные структуры защищены не очень хорошо (мягко скажем) и с мертвой точки ситуация не сдвинется в обозримом будущем. Даже несмотря на очень неплохой 17-й приказ, который описывает большое количество защитных мер, совпадающих с лучшими мировыми практиками. Но под многие из них нет руководящего документа, утверждающего требования к той или иной мере. Нет требования; покупать решение никто не будет. И разрабатывать никто не будет. А если будут, то на соответствие чему сертифицировать? Техусловиям? А как потом это продать, если в сертификате нет четкого ответа о соответствии тому или иному классу или возможности работать в ГИС такого-то класса защищенности? И все возвращается на круги своя. А в условиях ужесточения правил сертификации ситуация и вовсе выглядит патовой...

На этом можно было бы закончить анализ реестра сертифицированных решений ФСТЭК, но это было бы неправильно. Все-таки есть у нас и положительные изменения, но они не касаются ни реестра, ни политики государства на импортозамещение, ни регуляторики. Есть компании, которые создают продукты, не благодаря, а вопреки усилиям государства. И ориентированы эти компании на решение нужд заказчиков, которых бумажки интересуют во вторую очередь (если вообще интересуют). Это Infowatch, Solar Security, Positive Technologies, Qrator, Wallarm и множество других. Было бы неверно завершить блиц-анализ текущей ситуации без упоминания этих компаний. Поэтому я превращу изначально планировавшийся диптих в триптих - в одной из следующих заметок обновлю презентацию про "домотканные" решения с указанием новинок нашего рынка.

В заключение хотел бы привести свою презентацию 2007 года, в которой я рассматриваю разницу подходов к разработке средств защиты в России и в мире.


Разработка средств защиты в России и на Западе: разность подходов from Aleksey Lukatskiy

Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":



28.07.16

Рынок средств защиты информации в России: до санкций и после. Часть первая

Мое отношение к импортозамещению известно многим - я и не скрываю свою в целом отрицательную точку зрения на то, как это делается в России (именно на то, как это делается, а не на саму идею). Я не раз говорил и буду повторять, что сначала надо создать свое, а потом уже выдавливать чужое, но никак не наоборот. Также я не раз говорил, что даже то, что у нас пытается подать как импортозамещение является профанацией, призванной продавить интересы отдельных компаний, но никак ни отрасли в целом. Властям же в целом совершенно наплевать на отрасль ИТ и ИБ и никаких реальных шагов для развития ИТ/ИБ-отрасли у нас не делается. Но все это демагогия и тренировка в риторике. Я решил попробовать найти некое численное выражение сложившейся ситуации.

В качестве источника для своего блиц-исследования я взял последний реестр сертифицированных средств защиты информации ФСТЭК, на базе которого мне хотелось понять динамику сертификации средств защиты информации. Конечно, это не является стопроцентным отражением ситуации на рынке импортозамещения, но учитывая, что основной целевой аудиторией для импортозамещения являются госорганы, а госорганы обязаны применять только сертифицированные средства защиты информации, то по реестру можно с определенной долей уверенность судить и о общем состоянии отечественного рынка ИБ и его ответе на санкции и последовавшее за ним импортозамещение. В качестве точки отсчета я взял 6 марта 2014 года - именно от этой даты начинается история санкций против России и, соответственно, разговоры об импортозамещении.

Для чистоты эксперимента я взял два временных интервала - два года до санкций и два года после. Если предположить, что санкции и импортозамещение должны были повлиять на рынок средств защиты информации, то, в теории, численные показатели реестра (сертификаты, новые продукты, новые компании и т.п.) должны были возрасти как раз после 6 марта 2014-го года (с учетом определенной задержки на время сертификации).

Итак, вот что у меня получилось. Общее число сертификатов за указанные периоды времени выглядит следующим образом. В период с 6-го марта 2014 года число сертификатов росло, но, на мой взгляд, это является не отражением санкций, а продолжением роста, начавшегося в предыдущие годы. Учитывая длительность сертификации, говорить о тренде можно было бы с 2015-го года, в котором произошел... не рост, а падение числа выданных сертификатов.


"Отечественные СрЗИ", указанные на гистограмме, означает, что средство защиты произведено российской компанией. "Традиционные СрЗИ" означает, что речь идет именно о классических средствах защиты информации, исключая тематику борьбы с утечками по техническим каналам (генераторы шума, защита от виброакустики и т.п.). Также в традиционные СрЗИ я не включал всяческие защитные знаки, защитную фольгу, а также различные информационные системы и прикладное ПО, которое в массовом порядке различные госорганы и производители ринулись сертифицировать по техническим условиям.

Мы видим, что число сертификатов стало сокращаться. Интересно будет посмотреть статистику в следующем марте, чтобы говорить о сложившемся тренде или случайной девиации.


Можно предположить, что снижение числа сертификатов связано с тем, что заявители стали подаваться не на партии или единичные экземпляры, а на "серийное производство". Но и это не так - число сертификатов по схеме "серия" также неуклонно падает.


Возможно это связано с усилением требований по сертификации на отсутствие недекларированных возможностей, которое неявно ФСТЭК стала требовать от многих производителей - отечественных и зарубежных. Явно это требование войдет в новую редакцию 17-го приказа, согласно которой, все государственные и муниципальные информационные системы, начиная с минимального класса, будут требовать наличия сертификата на отсутствие НДВ. А это требование выполнить очень непросто - и нашим разработчикам, и иностранным. Особенно в концепции Agile, когда цикл разработки сокращается и внесение изменений в ПО становится более оперативным и динамичным. Сертификация на отсутствие НДВ в такой ситуации работает не очень хорошо. Отсюда и снижение числа соответствующих "ндвшных" сертификатов.


Отдельно меня интересовал вопрос, как соотносится число сертифицированных решений российского и иностранного происхождения. Вспоминая слайд ФСТЭК на их конференции в прошлом (а не в этом) году, у меня сложилось впечатление, что российские производители средств защиты набирают обороты и обходят иностранцев.


Прямой анализ реестра ФСТЭК говорит о схожей тенденции - соотношение числа сертификатов на иностранные и отечественные продукты примерно одинаковое и почти не изменилось после санкций. Иностранцы как сертифицировали свои решения, так и сертифицируют; просто в абсолютных цифрах число сертификатов стало меньше. Вот как это выглядит по годам - до и после санкций.





Однако в реальности ситуация оказалась немного иной. Если отбросить тему защиты информации от утечек по техническим каналам и сертификацию уникальных информационных систем и прикладного ПО, которые входят в понятие "отечественные СрЗИ", то соотношение будет уже совсем иным - иностранцы (а они не сертифицируют в России ни генераторы шума, ни уникальные разработки под конкретного заказчика) превалируют на отечественном рынке.


И санкции и импортозаместительная риторика никак не повлияла на соотношение в лучшую сторону. Даже наоборот (посмотрите на данные 2012-го года). Дальше ситуация остается неизменной - соотношение "иностранцев" и "патриотов" составляет примерно 3 к 1.





Вот такая статистика на основе публичных данных (проверить мои выкладки может любой желающий). И предварительный вывод, который я могу сделать на основе анализа реестра сертифицированных средств защиты ФСТЭК, очень прост. Санкции и курс на импортозамещение никак не повлияли на развитие отечественного рынка ИБ. Предварительный он потому, что во-первых, прошло пока всего два с небольшим года. А, во-вторых, снижение числа сертифицированных решений (западных или российских) может быть связано с усилением требований по сертификации ФСТЭК, которые усложнили процесс для любого типа разработчика - отечественного и иностранного.

Более того. Могу предположить, что взятый ФСТЭК курс на непрерывный мониторинг уязвимостей в сертифицированных продуктах, усиление требований в новых РД, и обязательность сертификации на НДВ для многих случаев, приведет к еще большему снижению числа сертифицированных решений и сокращению рынка сертификации средств защиты информации. Стартапы войти в эту "реку" не смогут по причине нехватки средств и непонимания всей процедуры. "Иностранцам" постепенно перекрывают кислород. Останутся только "старички", давно наладившие контакты с регулятором и испытательными лабораториями и ориентированные в первую очередь на выполнение именно регулятивных требований, а не удовлетворение потребностей заказчика.

ЗЫ. В абсолютных цифрах могут быть незначительные погрешности. Все-таки вручную анализировать Excel-ный файлик непросто; особенно с учетом нечеткости в названии продуктов, упомянутых в сертификатах. А вот относительные цифры остаются неизменными.