Журнал поэкземплярного учета скзи, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)
Начат: “__” ________20__ г.Окончен: “__” ________20__ г.
N п/п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о выдаче | Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Примечание | ||||||
От кого получены | Дата и номер сопроводительного письма | Ф.И.О. пользователя СКЗИ | Дата и расписка в получении | Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ | Дата изъятия (уничтожения) | Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение) | Номер акта или расписка об уничтожении | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение N 5к приказу ФАС Россииот 16.07.2020 N 658/20
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
К началу страницы
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов – хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.
У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:
- создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
- при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
- закрытый ключ ни в какой момент времени не покидает ключевой носитель.
Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.
Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).
Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.
При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2021 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.
Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.
Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.
Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.
Организационные меры предосторожности
Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- передавать ключевой носитель третьим лицам;
- записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
- оставлять ключевой носитель без присмотра в доступных или общественных местах;
- оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
- хранить ключевой носитель в недоступном для третьих лиц месте;
при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.
Особенности учета скзи
на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.
Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.
Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 “Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”
Приказ ФАПСИ от 13 июня 2001 г. N 152 “Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну” и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152
Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.
Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.
Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении
Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.
Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.
Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.
В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://ecpexpert.ru/183628/#block_1000
Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.
В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.
В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.
Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.
§
В данной статье снимки экранов чисто симулируют операции, для конфиденциальности
Помню случай с работы, давно это было, тогда я еще работал в ИТ департаменте одной компании.
Поспорил я с админами, что, мол, система наша уязвима, и пароли хранятся в LM хешах, а это не безопасно. На самом деле это действительно плохая конфигурация хеширования паролей учетных записей, которая по умолчанию включена на WinXP и Win2003 сервере. С точки зрения хакера это лакомый кусок и почти 100% вероятность повышения привилегии в системе, как только добудится хеш.
На что один сказал ну взломай мой. Чем я собственно и занялся, что бы доказать свою правоту. В общем случае потратилось на всё примерно 6-7 часов разных попыток и размышлений, включая время брута.
А получившийся сценарий был таков:
Я просканировал порты своим любимым сканером nmap.
nmap -sS -p- -T3 -d -vv -sV -O –packet-trace -oA target 192.168.248.16
В результате получил открытые порты 135,3389. Затем решил схитрить и заспуфить IP и MAC адрес контроллера домена, а так же исходящий порт 139 с которого посылать скан.
В книге Nmap написанной самим Феодором почему то написано, что опция –S спуффинга ИП не даст полезной инфы, так, как все пакеты уйдут на заспуффленный адрес, однако у меня вышло наоборот, причем очень даже продуктивно. Данная опция действительно рулит.
nmap -sS -PN -p 0-1024 -vv -d -T3 -e eth0 –spoof-mac 01:1F:56:28:63:25 –g 139 -S 192.168.sss.ss -oA spoofsyn2 192.168.248.16
В результате было выявлено еще два порта 139 и 445.
Но, к сожалению, я так и не сообразил, что с ними делать дальше, так как я не мог ломать домен контроллер, а так, же тачки своих админов, и атаковал напрямую, а напрямую эти сервисы для меня были недоступны, время поджимало. И решил я проводить атаку на клиентской стороне, и тут случайно нашел в метасплойте прикольный модуль, который устанавливаешь локально и при попытке человека зайти на ИП адрес по протоколу SMB (139,445) перехватывает хеши паролей. Прикол был в том, что в моем случае нашему администратору даже не обязательно было вводить пароль в форму аутентификации, винда автоматом отсылала хеши хранившиеся в памяти. Использовался модуль server/capture/smb.
Следующим делом я хакнул еще пару аккаунтов наших не шибко умных сотрудниц, позвонив им, и от их имени заслал пару писем с просьбой о помощи, мол, что-то там не открывается.
В результате целевой администратор кликнул по ссылке, и у него по идее высветилось такое окно аутентификации.
А у меня в логах такое =)
Тут видно, что по сети отсылается LM хеш.
После этого я закинул файл в Cain and Abel и там расшифровал, по словарям c опцией
LM challenge.
Подобрать у меня получилось тока Цейном, остальные утилиты не принимали хеши с челленджем, даже лофткрэк не помог.
В реальности конечно пароль оказался посложней и подбирался он у меня часа 3 наверное. Но прикол в том, что в любом случае 99% LM хеш подобрался бы, если бы я использовал радужные таблицы.
Пароль был взломан. На утро я пришел и пока тот курил, залез к нему на комп по rdp, оставил смешное сообщение в блокноте, надо было видеть его недоумевающее лицо, когда тот пришел и зашел на свой комп.
Вывод один – отключайте LM хеширование!
§
В данной статье я опишу что такое токен, для чего он нужен, и разница между eToken ГОСТ и eToken Java компании Алладин.
На Российском рынке, так же есть Рутокен, это тоже средство хранения ключевой информации, с аналогичными решениями.
Токены представляют собой компактные устройства, содержат процессор и модули памяти, функционируют под управлением своей операционной системы. Токены фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение ключевой информации, цифровых сертификатов. Так же может использоваться как средство формирования электронной подписи (ЭП). Etoken может быть выполнен как USB устройство, так и как смарт карта.
Лично я раньше по началу думал, что все токены являются СКЗИ, но потом понял, что ошибался, если вы тоже так думаете, то советую прочесть статью дальше.
Если сравнивать два продукта то получаем следующее:
eToken ГОСТ — является средством криптографической защиты информации. На момент написания статьи может работать только с отечественными ГОСТовыми СКЗИ.
eToken ГОСТ соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001 и требованиям ФСБ России к средствам криптографической защиты информации класса КС2 и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
При работе с eToken ГОСТ секретный ключ, находящийся в токене не покидает его пределы, и его невозможно перехватить имея доступ к станции.
eToken Java – средство аутентификации и защищенного хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭП). eToken Java не является средством криптографической защиты информации.
Может использоваться не только с ГОСТовыми отечественными СКЗИ, но и с другими зарубежными криптографическими средствами.
eToken Java является программно-техническим средством защиты информации от несанкционированного доступа и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и ИСПДн до 1 класса включительно.
Ссылка на сайт производителя на сертификаты для токенов, где четко прописано, на что какой сертификат, в каждом сертификате прописано, что из себя представляет определенная модель токена:
http://www.aladdin-rd.ru/catalog/etoken/certificates/
§
Смыслом использования электронной подписи является подтверждение авторства документа или переданной информации, то есть когда стоит задача определить, что отправителем информации является именно тот, кем за себя выдает. В коммерции данная задача должна решаться и на юридическом уровне. Юридическую составляющую я опишу в конце статьи. Так же замечу, что до недавнего времени существовала фраза электронная цифровая подпись или ЭЦП, ее до сих пор часто употребляют, но согласно новому закону и утрате сил старого закона, правильней произносить просто электронная подпись или ЭП.
Виды электронной подписи
Согласно Статье 5, 63 федерального закона об электронной подписи различают два основных вида электронной подписи.
1. Простая электронная подпись.
2. Усиленная электронная подпись.
В свою очередь усиленная электронная подпись делится на две категории:
2.1. Неквалифицированная электронная подпись.
2.2. Квалифицированная электронная подпись.
Усиленная электронная подпись, как правило, использует сертификаты, которые выдаются удостоверяющими центрами.
Далее выдержка из закона:
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области, использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее – неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее – квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
3. Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
5. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.
Разница между квалифицированной и неквалифицированной электронными подписями
При использовании квалифицированной электронной подписи, используется ключ проверки электронной подписи, который содержится в квалифицированном сертификате.
Этот квалифицированный сертификат выдается только тем удостоверяющим центром, который прошел аккредитацию и проверку контролирующими органами.
Так же при подписании и проверке электронной подписи, используются сертифицированные средства криптографической защиты информации, имеющие сертификат соответствия требованиям защиты передаваемых данных. К примеру, для защиты персональных данных, при передаче по открытым канал связи, требуется использовать сертифицированные СКЗИ.
При использовании неквалифицированной электронной подписи, удостоверяющий центр не обязательно должен быть аккредитован.
Принцип действия электронной подписи
Простая электронная подпись может быть создана паролем, не обязательно криптографическим путем. Вообще данный вид подписи не серьезен и абсолютно не безопасен, потому рассматривать его нет смысла!
Защита авторства документооборота с использованием усиленной электронной подписи осуществляется за счет средств криптографической защиты информации (СКЗИ) и асимметричных алгоритмов шифрования по принципу публичный-приватный (открытый-закрытый) ключ. У отправителя имеется закрытый ключ. С помощью СКЗИ и приватного ключа отправитель подписывает документ, а получатели, имея у себя СКЗИ и сертификат (открытый ключ или ключ проверки электронной подписи) отправителя проверяют авторство.
Юридическая значимость электронной подписи
Важной составляющей в коммерции является юридическая значимость. В случае конфликта как доказать, что документ был отослан именно тем лицом и той организацией?
В такой ситуации наиболее целесообразно использовать следующий подход:
Если требуется осуществлять обмен данными с государственными органами (например какие-то гос. услуги) или данными, которые согласно законодательству должны быть защищены квалифицированной электронной подписью, то следует присоединяться к аккредитованному удостоверяющему центру, получить у них сертификаты и производить обмен с применением сертифицированных СКЗИ.
Если требуется осуществлять обмен информацией, которая не требует защиты квалифицированной электронной подписью, то можно получить сертификаты в не аккредитованном удостоверяющем центре, либо сгенерировать их на своем месте, как это часто происходить при работе с системами дистанционного банковского обслуживания(по сути само подписанный сертификат). Так же следует применять сертифицированные СКЗИ. При этом обязательно в договоре между сторонами документооборота следует внести условия, что обе стороны документооборота согласны с тем, что бы признать данную электронную подпись равнозначной ручной подписи.
Ниже приведена статья 6, 63 федерального закона об электронной подписи:
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
3. Если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.
4. Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов.
§
Потенциальные нарушители бывают разные и у них могут быть разные мотивы. Для сотрудника в чьи обязанности входит обеспечение информационной безопасности, очень полезно знать с кем имеешь дело. В данной статье я познакомлю с основными типами из них. Следует понимать мотивацию злоумышленника, так как это позволяет создавать модели угроз и предвидеть потенциальные шаги нарушителя.
Вообще слово хакер изначально имеет положительное определение, так как на самом деле хакер это тот кто любит программировать. Но с приходом голливудских фильмов и мифов, хакерами стали называть всех кто взламывает информационные системы. В данной статье хакером я буду называть любого злоумышленника, пытающегося навредить жертве, просто мне так проще.
Всех хакеров можно разделить по источнику:
Так же хакеров можно подразделить по их целям:
Всех хакеров, которые представлены выше можно разделить по мотивации
Мотивированный тип нарушителя самый опасный, так как он не остановится не перед чем и будет продолжать атаки до тех пор пока вся его мотивация не иссякнет, либо он не добьется поставленной задачи. Атаки таких хакеров носят нацеленный характер, с предварительным сбором информации о цели и более продуманной тактикой и более большим арсеналом методов и программ.
На сегодняшний день основной мотивацией для хакера может быть либо денежная выгода, либо активизм. Активизм это политическая неприязнь к другой стране или политическому режиму, примером может служить группировка Анонимаус на западе.
Что бы более наглядно было видно кем может быть и что может натворить мотивированный хакер приведу пример выходящий за рамки вон ниже:
ZivKoren/Polaris
Слева направо: Muzher, Shadde, and Ramy Badir in the village of Kafr Kassem outside Tel Aviv.
h_ttp://www.4law.co.il/badir1204.htm
На фото 3 брата Бадир, которые слепы и ничего не могут видеть с рождения, но при этом они сумели взломать в Израиле, телекоммуникационные и телефонные компании, военную коммуникацию, слили 20 000 номеров кредитных карт и думаю много чего еще.
Один из них по имени Ramy сам изучал языки программирования C, C , Basic, Java, HTML, PHP, CGI.
Кстати говоря Израильские системы безопасности считаются самыми защищенными и надежными в Мире.
§
Каждая кредитная организация (банк), отправляет отчетность в центральный банк. Так же отправляются различные данные по счетам клиентов, подозрительным платежам и прочей информацией. Так данные передаются в федеральные службы, например Федеральную налоговою службу, службу валютного контроля. Данный обмен часто происходит по каналам центрального банке.
Что бы защитить передаваемые данные от перехвата и искажения между кредитной организацией и центральным банком, используются средства криптографической защиты информации. В данной статье я опишу как происходит генерация ключей шифрования и взаимодействие с центром управления ключевыми системами Центрального банка Российской Федерации. Данная статья будет полезна всем кто работает и занимается криптографией в коммерческих банках.
Сразу хочу заметить, что обмен данными кредитной организации и центрального банка в разных городах нашей страны, может отличаться, так как в каждом регионе есть свой территориальный орган центрального банка, порой даже использующий отличающееся программное обеспечение. Данная статья описывает процесс получения и генерации ключей, только в Москве и работе с ЦУКС МГТУ БР.
Данная статья НЕ содержит какой либо секретной информации, так как вся информация по сути весит на сайте центрального банка и FTP сервере центрального банка. Так же много всего есть на форумах. Вся информация в данной статье носит только публичный характер.
Что бы защитить обмен данными между кредитной организацией и ЦБ используется средства криптографической защиты информации Верба-OW. При обмене данными используют код аутентификации (КА) (это аналог электронной подписи) и ключ шифрования (КШ) (приватный ключ). У обеих сторон имеются справочники с кодами аутентификации и открытыми ключами, и стороны используют эти справочники что бы зашифровать друг на друга сообщения.
Ниже я опишу алгоритм взаимодействия с ЦУКС ЦБ:
При получении и оформлении ключей взаимодействуют два подразделения — от кредитной организации это информационная безопасность – администратор СКЗИ, а от Банка России это Центр управления ключевыми системами Центрального банка Российской Федерации.
Ежегодно происходит плановая смена ключей два раза. Каждый раз Банк России присылает в кредитную организацию письмо уведомление.
Первый раз смена происходит весной, меняются КШ и КА, для обмена с федеральными службами (ФС), при этом кредитная организация ничего не генерирует, а только получает дискеты с ключами в Банке России. Как правило это дискеты с ключами шифрования в двух экземплярах, а так же дискета со справочником открытых ключей — КА.
Ответственный администратор средств криптографической защиты информации кредитной организации, получив дискеты вырабатывает иммитовставки на справочниках КА, устанавливает все это хозяйство пользователям, согласно инструкции полученной в ЦУКС ЦБ и ведет учет СКЗИ в журналах СКЗИ.
Второй раз смена ключей происходит осенью для обмена с Банком России, при которой каждая кредитная организация генерирует свой собственный КА и КШ. Так же осенью кредитная организация генерирует КА для федеральных служб. Всего по сути осенью генерируются ключи на двух носителях, один для федеральных служб -КА, другой для Банка России — КШ и КА. При генерации обязательно делаются копии ключевых носителей, на всякий случай.
Генерация ключей происходит с использованием СКЗИ Верба-OW и с использованием лицензионной дискеты и номером и серией ключа, о которых сообщает ЦУКС ЦБ. Ежегодно данная серия меняется.
Как правило номера имеют примерно такое значение:
2025-941044 — открытый КШ для Банка России(на первом носителе)
2025-941044-01 — КА для Банка России (на первом носителе)
2025-941044-02 — КА для федеральных служб (на втором носителе)
Ниже снимки экрана при генерации ключей в Вербе:
Генерация КШ и КА для ЦБ
Генерация КА для ФС
Затем делается транспортная дискета в двух экземплярах, на которую помещаются открытый КШ, и два КА для ЦБ и ФС. Как правило это файлы с расширениями .lfx и .pub и названия у них соответствует номеру ключа. Данные файлы лежат в директории HD1, дискеты на которую СКЗИ Верба записывала ключ. Так же печатаются карточки КШ и КА, это такие одно страничные листки с байтами ключа и полями для подписи и печати.
На данной карточке проставляют свои подписи руководители кредитной организации, а так же проставляется печать кредитной организации. Руководители кредитной организации которые проставляют свою подпись, а также сама печать, должны обязательно присутствовать в списке первых и вторых лиц кредитной организации, которые указаны на карте подписей и оттиска печати этой кредитной организации. Данную карточку можно запросить обычно в бухгалтерии, так же копия этой карты хранится в ЦУКС ЦБ, и её при смене руководителей следует актуализировать и направлять в ЦУКС ЦБ.
После этого доверенное лицо приходит в ЦУКС ЦБ, передает туда транспортную дискету с открытыми ключами, карточки регистрации ключей и получает от ЦУКС ЦБ, их справочники открытых ключей и один экземпляр карточки регистрации ключей с их печатью и подписью. Затем Администратор СКЗИ кредитной организации выдает ключи пользователям и ведет учет.
Карта регистрации ключей
Дельные советы для администраторов СКЗИ кредитных организаций:
Что бы соблюсти все законы и требования по средствам криптографической защиты информации необходимо все ключевые носители ставить на поэкземплярный учет в том числе и дискеты. Открытые ключи следует хранить не менее пяти лет.
Все журналы выдачи, ключи и пароли следует хранить в сейфе.
Так же сейф нужен тем сотрудникам которые используют СКЗИ, для хранения своих ключевых носителей.
Если у вас выдается ключ каждому сотруднику, который шлет информацию, а так и должно по идее быть, то рекомендую использовать не дискеты в качестве ключевых носителей, а токены, они безопаснее и долговечнее, а так же их легче учитывать, единственное нужно будет копировать ключи с дискеты на токены, но это сделать можно с помощью Вербы-OW.
Генерацию и работу с ключами следует делать на отдельной автономной станции, не подключенной к сети. Данная станция должна находится в защищенном помещении, иметь систему аппаратной защиты от несанкционированного доступа (НСД). В качестве защиты от НСД, могу порекомендовать СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа – http://www.accord.ru/amdz.html.
Советую создать регламент и инструкцию, с пошаговыми действиями и снимками экрана, так как ключи меняются редко, через год процедуру забываешь, а потом можно накосячить, а косячить тут нельзя, так как Банк России в случае нарушений, может оштрафовать кредитную организацию, причем на кругленькую сумму, плюс к тому инициировать проверку.
§
Бывает так, что работать специалистом в сфере информационной безопасности, это не только сидение за своим компьютером и выполнение стандартных или рутинных задач. Иногда приходится анализировать информацию, в том числе решать аналитические головоломки, так сказать продумывать действия врага на шаг вперед.
В крупных компаниях работают некоторые сотрудники которые не только, нарушают политики безопасности, случайным образом, но и порой нарушают закон, сотрудничают с мошенниками и подделывают документы.
Утро понедельника началось как обычно начинается рабочая неделя, делаю отчеты по вирусным атакам и заношу в общую статистику.
Сутра начальник поставил важную задачу, сегодня после 20:00, нужно будет созвониться с другим сотрудником из СБ, и снять данные с компьютера вероятного злодея.
Потом еще ответил на пару писем в почте. К полдню запустил сканирование сканерами уязвимостей Xspider и Nessus на несколько ресурсов, а сам пошел обедать. Надо сказать кормят у нас не дорого, и при этом неплохо.
Хорошенько поев, и придя на свое место, дали мне задание отследить некоторых сотрудников кто куда ходил в интернет. Сижу и думаю, а чего за ними следить, запустил свой баш скрипт, скачал логи и разложив по папочкам отправил по почте начальнику, пускай там их руководители сами решают, куда можно, куда нельзя ходить, а тратить рабочее время и ресурсы это не по мне. Вообще бывает, так люди просят, но при этом не могут объяснить что им действительно надо.
Потом разбирался с новым программным обеспечением и средствами криптографической защиты информации, установил на сервер парочку программ и дописал технический регламент по СКЗИ.
К вечеру выяснилось, что данные злодея нужно будет снимать ночью, когда все уйдут, негласно и при этом не оставив следов. Собрав с собой диски с программным обеспечением по снятию образов, и другие инструменты, стал ждать часа икс, параллельно, сходив в кафе. Где-то в полночь поступила команда от нашего наблюдающего, что все сотрудники покинули офис и мы выдвинулись к объекту. Зашли через вход, охрана нас впустила, потом тихо поднялись на этаж. И зашли в помещение, где находился комп предполагаемого злодея. После этого провели фото и видео фиксацию всех вещей, что бы зафиксировать что, где и как лежит, а то бывает так возьмешь что-то подвинешь, а потом не помнишь как лежало.
Паролей у меня не было, но это не мешало, пришлось перезагрузить компьютер и потом загрузиться с живого диска, слил все файлы, за 20 минут. После этого я придумал сделать небольшой саботаж, что бы выглядело, так как будто неполадки в сети питания, и компьютер перегрузился в связи с этим. Это свело бы все подозрения предполагаемого злодея на нет. Потом отнесли все данные к себе и поехали домой.
§
В данной статье речь пойдет о доверии между людьми. Доверие между людьми это уверенность, в поступке другого человека определенным образом. С точки зрения психологии, доверие это открытые, положительные взаимоотношения между людьми, содержащие уверенность в порядочности и доброжелательности другого человека, с которым доверяющий находится в тех или иных отношениях. В данной статье я решил описать более философский, нежели практический взгляд, надеюсь он заставит многих людей, читающих данную статью задуматься.
С точки зрения информационной безопасности лучше вообще никому не доверять, но тогда невозможно будет наладить работу в компании и корпоративное общение, поэтому приходится идти на компромисс. Если скажем в одном отделе и подразделении работают 6 человек, это не значит, что следует всем им давать доступ к одному информационному ресурсу. Доступ следует давать тем кому он необходим в рамках работы и кому можно информацию эту доверить.
Доверять или нет, каждый человек решает сам, на основе предполагаемых угроз и рисков в своей голове. Но к сожалению очень часто многие угрозы остаются не учтены. Приведу пример с ключами от квартиры. Соседка говорит вам, что вы можете оставить копию своих ключей от квартиры ей и в случае чего, она всегда сможет открыть вам дверь. Некоторые кто живет один кстати так делают. У меня был такой случай, и я ключи не оставил, не только потому что не доверяю человеку, но и потому что человек не бдителен и сам иногда забывает закрыть свою дверь или вообще оставляет ключи в замке с другой стороны своей двери (старость не радость).
Отсюда вырисовывается что доверие строится не только на том злодей человек или нет, но и на других факторах:
Отдельно расскажу про лояльность. Люди склонны так рассуждать в тех условиях в которых живут и эти условия формируют у них мышление. Сейчас пошла мода предлагать так называемые услуги в обучении этическому хакингу, тесты на проникновение и многие сидят и спрашивают, что такое тесты на проникновение, кто такой этический хакер и что такое этичность вообще. Помню в России один преподаватель курсов CEH: Certified Ethical Hacking сказал, что это тот человек, который не нарушает закон. По закону он прав.
Но что такое закон? Закон по сути это набор норм и правил в стране, который люди обязаны соблюдать, но мир огромен и если я буду дизсамблировать коммерческую программу в России, мне ничего не сделают, а вот в США за это уже посадят в тюрьму, а в каких нибудь тропических момбасах, можно не нарушая закона, вообще несанкционированный доступ получать, если канал в интернет есть.
В Китае военные хакеры занимаются взломом и кибер-шпионажем, и при этом для Китая они этичны, так как защищают интересы своего государства, они патриоты и служат своей стране и народу, но для другого государства они представляют угрозу.
Поэтому полностью этичных людей не бывает, так же как и законопослушных, люди всегда враждебно настроены против какой-то социальной группы лиц. Мошенник против государства и простых граждан. Полицейский против мошенников. Простые граждане против друг друга. Все они нарушают те или иные законы или этику. К примеру простой гражданин просматривает фильм в интернете, за который должен по идее платить, а так это нарушение авторских прав и должно повлечь за собой ответственность, так как это тоже самое, что и воровство.
Так же отдельно по поводу закона хочу привести еще одну догму, если человек хороший, этичный и не нарушает закон, это не значит, что он закон никогда не нарушит. Практически все свои привычные действия человек осуществляет находясь в привычной для него среде, как только среда обитания меняется и появляются новые факторы оказывающие влияние на мозг человека, человек начинает менять свои суждения, стереотипы и порой даже меняется сам по себе. Это значит, что любой человек может нарушить закон и кому-то навредить. Приведу пример: хороший, доброжелательный сотрудник работает в компании никому пароль свой не сообщает, у него захватывают в заложники семью и говорят, ты нам доступ к серверу с данными или деньгами, мы тебе семью живой. В результате человека могут запугать и он доступ возможно даст причем от страха не сообщит в правоохранительные органы. Это вполне адекватная реакция инстинкта самосохранения и выживания заложенная, еще с рождения и можно сказать приобретенная на генетическом уровне. Из данного примера вырисовывается ситуация, что завербовать и сделать инсайдером можно практически любого человека, зная его слабые психологические стороны. Если не смогут подкупить, то смогут запугать или по печени дать.
На мой взгляд гибкое понимание того как устроен человек позволяет избегать сложных ситуаций, не совершать необдуманных поступков и очень хорошо выставлять уровни доверия внутри любой организации.
§
Недавно в новостях пронеслась буря статей по поводу того, что правительство хочет прикрыть анонимный доступ к Wi-Fi. Конечно тут есть смысл, государство хочет четко контролировать кто куда лезет и кто кому пишет.
Вычислить человека через общедоступный WLAN представляет трудность, это могут в принципе сделать спецслужбы, но при условии, что там будут работать грамотные опера или специалисты имеющие технические знания в области сетей и криминалистики, в принципе я знаю как это можно сделать, так как сам являюсь специалистом по беспроводным технологиям и знаю как их защищают и взламывют, так же знаком с методами расследования. Но это требует аналитики и времени это работа в поле и каждого троля искать довольно накладно и не выгодно.
По факту постановление говорит о компаниях которые предоставляют услуги связи, любая кафешка на деле может эти услуги не предоставлять, хотя иметь открытую точку доступа. Или арендовать её у провайдера, вобщем все равно эти постановления можно обойти.
Что касается идентификации вопрос очень спорный. Система фильтрации да и вообще защита беспроводных сетей стандарта 802.11 abgn, ломается элементарно. Правительство хочет осуществлять фильтрацию по мак адресу, а он элементарно подделывается и виден в эфире, так это по сути 2 уровень OSI модели. Аутентифиакция на портале скорее всего будет привязываться к мак адресу. На практике же внедрить общий доступ в кафе по паспорту очень не удобно.
Ничего из этого постановления не получится. Получится только обязать провайдеров брать паспотрные данные за предоставление услуг связи, что они и так давно уже делают.
§
На сегодняшний день, очень многие крупные компании и государственные организации прибегают к возложению ряда работ по внедрению и поддержке IT решений, в том числе и по внедрению решений в области информационной безопасности на интеграторов и подрядчиков.
Как правило компании прибегают к аутсорсу и работам аутсайдеров в связи с выгодой, так как у заказчика есть определенный срок, внедрить какое-то решение своими силами и в данные временные рамки не представляется возможным. Так же не представляется возможным внедрение своими силами в связи с нехваткой специалистов, не достаточной квалификации и не выгодностью найма новых специалистов по проекту. Время поджимает, а конкурентное преимущество на рынке нужно наращивать.
Выгодно это бывает и директорам и руководителям, так как бывает за договора с интеграторами они получают своего рода откат в кругленькую сумму денег и соответственно поддерживают бизнес отношения с другими своими коллегами из других компаний.
В компании которая хочет, что бы информация была на хорошем уровне защищенности и которая пользуется услугами интеграторов для внедрения новых ИТ решений, обязательно должна быть группа специалистов, которые достаточно компетентны в той технологии которую внедряют интеграторы. Эта группа специалистов должна пройти должное обучение по технической части и соответственно должна контролировать работу интегратора и подстраивать оборудование и программное обеспечение под себя.
Почему это жизненно важно с точки зрения информационной безопасности объясню ниже:
1. Интеграторы работают по принципу воткнул и забыл, то есть они вам ставят к примеру роутер или устанавливают сервер, но не настраивают его безопасным образом, а просто ставят конфигурацию по умолчанию, что бы все работало. Как правило это ведет к лишним не нужным сервисам, которые несут в себе угрозу несанкционированного доступа.
2. Интеграторы очень часто используют и оставляют пароли по умолчанию, к различным сервисам, и так же понятно что эти пароли нужно менять, после того как работы выполнены, так как интегратор не должен иметь доступа туда как по договору, так и на деле. Часто бывает так что пароли ставят 12345678, к информационным ресурсам хранящим, серьезную информацию. Так же на момент внедрения, данные ресурсы становятся наиболее уязвимы, в этот промежуток времени возрастает шанс взлома и установки программ типа Trojan и Backdoor, для последующего несанкционированного снятия информации.
По верхним двум пунктам, интеграторы так поступают по двум причинам — лень и не компетентность в сфере ИБ.
А теперь приведу показательный пример из собственной жизни.
Работал я некоторое время инженером в одной организации, контора не большая, но с хорошим блатным названием, скажу лишь что она звучит серьезно. Информация там не секретная, но могли проскочить данные, которые не следует знать каждому на улице. И была там точка одна, которая имела связь с головным офисом, построена была так что канал шел к провайдеру через шлюз с сетевым экраном, а потом через не мощный роутер с Wi-Fi функцией.
На тот момент должность у меня была инженер, но так как я увлекался ИБ, и много изучал в этой сфере, всегда хотел улучшить информационную безопасность в компании в которой я работаю.
Пришел я значит в эту серверную комнату, администратор мне начал показывать шлюз и как что работает, потыкавшись 10 минут, увидел, что правила на сетевом экране шлюза стоят в политике – разрешить все внутрь и изнутри. То есть по сути шлюз с сетевым экраном стоит, но ничего не контролирует и не блокирует, спросив у администратора почему так, тот мне сказал, что сам в этом не разбирается, а вот интегратор, чего-то пришел 2 месяца назад, копался там целый час, у него ничего не получалось и решил оставить так, лишь бы работало. Но это еще только цветочки.
Потом выяснилось, что между шлюзами ГО и офиса отсутствует VPN, хотя его можно было легко поднять, технология позволяла и все ПО лицензионное стояло. На роутере включен Wi-Fi доступ, который не нужен вообще, но он еще и открытый и без пароля и вещает на полную мощность. То есть можно было не только перехватывать все данные между ГО и дочерним офисом, сидя с ноутбуком около здания, но и влезть в сеть и атаковать сетевой экран на прямую, тем более что ОС шлюза не часто обновлялась. В принципе туда бы залез даже студент, не имея приватного хакерского софта.
Конечно же я все исправил и настроил VPN, и даже политику написал, но после этого случая, сделал вывод, что интеграторов и аутсорсеров, следует контролировать в любом случае.
§
Качнул в сетях файлы тыренных паролей о которых, так везде писали в начале сентября. Посмотрел и делаю вывод, что возможно эти утечки были давно, однако в паблик попали недавно.
Лично мне это пригодится, так как теперь можно занести эти пароли в свои вордлисты и использовать так скажем, для аудита. Так как порой пароли попадаются уникальные, которых нет ни в одном вордлисте, но так как теперь он в паблике, это значит, что такой пароль следует считать не безопасным.
Вообще делаю вывод, что скоро аутентификация перейдет на токены и сертификаты, с развитием GPU и появлением таких утилит, как oclhashcat, pyrit и т.п. перебирать пароли стало намного легче. Вот например сегодня добрутфорсил пароль к сети одного банка, в котором провожу тестирование на проникновение, перебрал более полторы миллиарда паролей, но пароль так и не подошел, а жаль, я уж надеялся, что удастся пролезть, причем хэндшэйки я перехватывал, как деаутентификацией клиентов, так и подставной точкой доступа. На все ушло времени порядка 3 дней.
§
Недавно сдал экзамен на сертифкацию Сертифицированного этического хакера или как его там называют Certified Ethical Hacker.
Что могу сказать о самой программе. Материал по обучению довольно обширный всего более 4000 листов, которые представляют из себя скрины слайдов и текста на английском. В общем из обучения вынес для себя некоторые новые вещи, много вещей знал до этого. Само обучение мне не очень понравилось, так как уложить 4000 страниц в пять дней просто не реально и тренер больше пролистывал, на каждой теме мало останавливались. Но не страшно я потом все это дело прочитал
А вот экзамен я считаю полный отстой. ОН сложный, но сложен он не тем, что заумные задачи, а тем что есть плохо сформулированные вопросы и ответы, а уж человеку у которого английский не родной язык в двойне сложно. Создалось впечатление, что либо там писали пьяные, либо далекие, либо специально завалить хотят. В частности были такие вопросы, когда из четырех вариантов ответа, два правильных, а выбрать нужно один, собственно какой выбирать не понятно. У меня были дополнительные тесты, которые решал в инете и качнул себе на мобилу, тесты эти почти точ в точ с экзаменов и там были ляпы те же. Тем кто хочет сдать данный экзамен, могу сказать одно без подготовки по этим вопросам, не здадут, так как там был вопрос даже про законодательство в США и некоторые организационные вещи например N-tier model или многоуровневая модель ИТ. Некоторые вопросы не освещались в учебном материале. Кстати такие же отзывы я встречал на английских форумах.
Но несмотря на это, экзамен я сдал на 92% из 70% меньше чем за полтора часа из данных 4 часов, это 125 вопросов. Парень в центре удивился, сказал, что то вы быстро))
§
В данной статье я затрону очень важный момент по организации работ по тестированию на проникновение(пентест). Статья будет полезна всем тем кто оказывает такие услуги и тем кто хочет эту услугу заказать.
Начну с самого основного. Многие компании по информационной безопасности предлагают сейчас тест на проникновение на рынке ИБ. В основном предлагают сделать пентест по трем вариантам black box, grey box и white box. Это стандартные сценарии которыми пользуются и в других странах.
Вот в чем различия между этими методами:
Black box — проводится тестирование при котором не известно ничего о компании, только её название.
Grey box — проводится когда есть частичная информации о компании, когда кроме названия есть например пул IP адресов, которые можно просканировать или список E-mail адресов.
White box — проводится когда есть полная информация о компании, это полная схема сети, доступ в офис или даже к коммуникационному оборудованию.
Посмотрев законодательство и услуги на западе и у нас, и опираясь на собственный опыт, могу точно сказать, что в коммерческой среде, по информационной безопасности возможно использовать только два метода — grey box и white box.
Почему нельзя использовать Black box в коммерции? Все очень просто, исполнитель коим является аудитор или пентестер(компания или частный консультант) просто напросто рискует понести уголовную и другую ответственность если будет проводить тестирование на проникновение по методу Black box, потому что юридически он никак не защищен, так как в договоре и в других договорных документах, имеющих юридическую силу не прописаны границы тестирования до конца. К примеру там не прописывается точный пул IP адресов или точный адрес компании, эту информацию во время разведки берут из баз данных WHOIS, но эти базы данных не имеют какой либо юридической силы и ни кто не застрахован от сбоев или не актуализации в тех же WHOIS.
Что бы более лучше понять все риски приведу два примера:
Первый из моей практики. Как то раз я предложил провести тестирование безопасности в компании в которой я работал. ИТ департамент согласился и админ написал мне на листке IP адреса в DMZ зоне. На следующий день были выходные и я занялся работой. Выявил один сервер начал проводить атаку на ДНС. Точно не помню что именно делал, но на следующий день, порт вдруг стал не доступен. Выяснил что он скорее всего фильтруется, но никто его фильтровать не мог, так как админы все отдыхали и никаких IPS не было. Я почувствовал не ладное и прекратил тестирование, переключился на WI-FI, через который кстати и проник в сеть в конце.
Когда пришел на работу выяснилось, что админ ошибся циферкой в IP адресе, чей был сервер не знаю, но это вполне реальный пример из жизни, за который можно было получить по голове, даже не имея злого умысла.
Приведу второй реальный вариант. Очень часто работы по тестированию на проникновение заказывают крупные банки и холдинги. Как правило это крупная компания, которая входит в группу компаний с распределенными уставными капиталами(например Газпром, ВТБ и прочие). Так как компания крупная она может не только арендовать недвижимость, но и иметь собственную. Так же в этих компаниях часто многие работы делают аутсорсеры – например ЧОП, всякие уборщицы ,столовые и даже некоторый IT персонал. Крупная компания может сдавать им в аренду свой офис, а так же сдавать в аренду недвижимость примыкающую к основному офису другим частным не связанным с ней юридическим лицам. Два разных не связанных между собой юридических лица, находящихся в одном и том же здания часто используют одни и те же телекоммуникации и даже сетевое оборудование. Возможно сети не связаны между собой, но они реально договорившись между собой, могут использовать внешний IP адрес зарегистрированный на компанию Заказчика услуг по тестирования на проникновения. В результате можно просканировать пул IP адресов найденный в базе WHOIS или даже прописанный в ТЗ незнающим специалистом и атаковать маршрутизатор или сервер, который по факту и юридически, компании заказчику не принадлежит, так же как и не принадлежит информация хранящаяся на серверах или проходящая через маршрутизатор на периметре сети. Не смотря на соблюдение этических норм результат может быть плачевен — незаконный доступ к информации, блокировка информации и прочие статьи УК РФ.
Из приведенных примеров ясно, что использовать Black box в коммерции нельзя. Единственные кто могли бы использовать Black box, это те, кого несмотря на случайный взлом не той компании освободят от ответственности, но если учесть что по закону даже правохранительные органы должны запрашивать разрешение на прослушку и доступ к частной жизни, то даже они не могут в принципе по закону без риска для себя, использовать данный метод.
На мой взгляд наилучшим сценарием является метод Grey box, когда дается некоторая информация о компании, к примеру периметр сети, доменные имена и она прописывается в договоре, границах тестирования и других документах являющихся юридически значимыми. В такой ситуации ответственность с исполнителя услуг по тестированию на проникновение в случае чего, можно будет снять.
Хочу сказать что наше законодательство пока что плохо заточено под подобного рода услуги и даже на западе где такие услуги появились еще в 90-е годы, не все так гладко.
§