среда, 12 августа 2015 г.

Новости отечественной криптографии






На досуге пробежался по сайтам основных российских вендоров в области СКЗИ. 

Что новенького и интересного обнаружил для себя за последние 2 недели:

1) Код Безопасности получил сертификаты ФСБ России на «Континент TLS VPN».
 «Континент TLS VPN Сервер» получил сертификат по классу КС2.  «Континент TLS VPN Клиент», в зависимости от исполнения - КС1/КС2.
Кстати, насколько можно судить по документации и рекламным буклетам, «Континент TLS VPN» - довольно интересное решение. Декларируется высокая производительность: для "старшей" модели IPC-3000F она составляет 5 Гбит/с (в режиме HTTPS-прокси) и 20 000 одновременных соединений, что делает данный ПАК самым производительным среди сертифицированных VPN-шлюзов (на текущий момент). Кроме того, поддерживается высокопроизводительный кластер Active-Active и работа с внешним балансировщиком. Для клиентов реализована поддержка мобильных устройств. Клиент TLS VPN, помимо Windows, поддерживает ОС Android 4.x.x и ОС iOS 6.х/7.х. Ну и сама концепция работы через браузер (шифрование на транспортном уровне) весьма удобна для пользователей. 

2) S-Terra представила модули AR01WSX с предустановленным VPN-шлюзом С-Терра Виртуальный Шлюз, для маршрутизаторов Huawei серии AR.
Таким образом, сотрудничество двух компаний продолжается. Ранее S-Terra и Huawei объявили  о подписании партнерского договора.

3) ИнфоТеКС выпустил бета-версию ViPNet LSS 1.2
Продукт предназначен для создания и проверки электронной подписи на веб-страницах с использованием СКЗИ ViPNet CSP. По понятным причинам, продукт в первую очередь представляет интерес для разработчиков решений, включающих ЭП. В версии 1.2 реализована поддержка штампов времени.

4) Компания "Национальный удостоверяющий центр" представила приложение "КриптоНУЦ" под Android. Приложение позволяет шифровать и подписывать файлы на устройстве с использованием ГОСТовых сертификатов и КриптоПро CSP. В качестве ключевых носителей могут использоваться встроенная память устройства, карты памяти microSD, Рутокен Lite и Рутокен ЭЦП Bluetooth. Есть как платная так и, что приятно, демонстрационные версии приложения, которые можно найти по ссылке выше. Поддерживаются ОС Android 4.0-4.4., ядро 3.0-3.4. Само собой, для работы требуется КриптоПро CSP.
Лично я на своем устройстве с приложением пока не экспериментировал. Если дойдут руки, сделаю небольшой обзор.




пятница, 31 июля 2015 г.

Дела давно минувших дней. Ответы на предложения по 378 приказу ФСБ



В общем-то, пятничное. 
Почти два года назад ФСБ опубликовала тогда еще проект приказа №378 по криптосредствам, и объявила сбор предложений общественности. Я как сознательный гражданин оформил свои 3 предложения и отправил на рассмотрение. После чего на них забил про них забыл (все равно ничего не изменится и.т.д.).

Но нет, оказывается, все предложения учли, рассмотрели и дали ответ. На ответ я наткнулся только сейчас да и то случайно. Вот он.

Поскольку тема уже, мягко говоря, не актуальна то особо распространяться смысла нет. Те, кто вроде меня забыл о судьбе своих предложений могут ею поинтересоваться. Те кто ответы уже видел, могут ностальгировать.
 
Всего в найденном перечне 124 предложения. Из них принято всего одно: приз выиграла Елена Б., с почтой на mail.ru :). Еще 24 - частично приняты. Остальные - не приняты.

Что касается моих предложений, только одно из трех было «частично принято». Авторы согласились уточнить, что обеспечение режима необходимо только для помещений, где размещены криптосредства, а не для всех помещений с компонентами ИС. Кстати, в итоговый вариант приказа уточнение таки вошло J.

P.S. Извиняюсь, если боян. Но больше ссылок на табличку не нашел.

четверг, 23 июля 2015 г.

Майндкарта "Нарушители информационной безопасности"

На досуге решил попробовать свои силы в области майндкарт. По следам предыдущего поста разработал карту потенциальных нарушителей информационной безопасности. Выглядит примерно следующим образом:


С онлайн вариантом работать не очень удобно из-за большого размера. 
Скачать в PDF можно здесь.

На карте представлены основные виды нарушителей, фигурирующих в нормативных документах ФСБ и ФСТЭК, а также их возможности по реализации угроз.  По старой привычке, рисовал в Visio.

P.S.
Это альфа-версия, которую в дальнейшем постараюсь дополнять. Поэтому замечания и предложения крайне приветствуются. 

P.P.S.
На разработку майндкарты подвиг прекрасный семинар Андрея Прозорова. Подробнее о майндкартах также рассказывается в его блоге здесь.



четверг, 9 июля 2015 г.

Методика разработки модели нарушителя: как скрестить ежа и ужа





- Что будет если скрестить ежа и ужа?
- Полтора метра колючей проволоки!

Те кто уже успел изучить новые методики регуляторов по моделированию угроз, наверное заметили, что большое внимание уделяется описанию потенциального нарушителя. Например, в проекте методики моделирования угроз от ФСТЭК подробно описаны виды нарушителей и их мотивация. В банке угроз ФСТЭК, для каждой угрозы задан тип и потенциал нарушителя, который может ее реализовать. В общем, модель нарушителя перестает быть простой формальностью и начинает оказывать большое влияние на перечень актуальных угроз.

Проблема в том, что подходы двух регуляторов (ФСБ и ФСТЭК) к формированию модели нарушителя, несколько отличаются. ФСБ отвечает за регулирование в области криптографии и ее методика в основном служит для выбора класса криптосредств. Соответственно, ФСБ при описании нарушителя делает упор на возможностях нарушителя по атакам на криптосредства и среду их функционирования (СФ). Методика ФСТЭК более широкая и описывает возможности нарушителя по атакам на систему в целом.

В результате перед разработчиком модели угроз стоит выбор: либо сделать две модели нарушителя по разным методикам, либо пытаться объединить подходы обоих регуляторов в едином документе.

Поэтому обычно разрабатывается два документа: модель угроз ФСТЭК (включающая свое описание нарушителей) и, отдельно, модель нарушителя ФСБ. По крайней мере так поступали безопасники в большинстве проектов, которые я видел. Две модели нарушителя в одном проекте - это то не очень логично.

В связи с выходом новых документов ФСТЭК и ФСБ, интересно насколько сблизились подходы регуляторов к к описанию потенциальных нарушителей. Стала модель нарушителя более логичной?

Модель нарушителя по ФСТЭК

В проекте методики ФСТЭК перечислены виды нарушителей и их потенциал. Потенциал нарушителя может быть высоким, средним или низким. Для каждого из вариантов задан свой набор возможностей:

Так, нарушители с низким потенциалом могут для реализации атак использовать информацию только из общедоступных источников. К нарушителям с низким потенциалом ФСТЭК относит любых "внешних" лиц, а также внутренний персонал и пользователей системы.

Нарушители со средним потенциалом имеют возможность проводить анализ кода прикладного программного обеспечения, самостоятельно находить в нем уязвимости и использовать их. К таким нарушителям ФСТЭК относит террористические и криминальные группы, конкурирующие организации, администраторов системы и разработчиков ПО.

Нарушители с высоким потенциалом имеют возможность вносить закладки в программно-техническое обеспечение системы, проводить специальные исследования и применять спец. средства проникновения и добывания информации. К таким нарушителям ФСТЭК относит только иностранные спецслужбы.


Возможности нарушителей по ФСБ

Как уже говорилось выше, у ФСБ своя методика угроз, с криптосредствами и СФ :) В недавно вышедших методических рекомендациях приводится 6 обобщенных возможностей нарушителей:
1) Возможность проводить атаки только за пределами КЗ;
2) Возможность проводить атаки в пределах КЗ, но без физического доступа к СВТ.
3) Возможность проводить атаки в пределах КЗ, с физическим доступом к СВТ.
4) Возможность привлекать специалистов, имеющих опыт в области анализа сигналов линейной передачи и ПЭМИН;
5) Возможность привлекать специалистов, имеющих опыт в области использования НДВ прикладного ПО;
6) Возможность привлекать специалистов, имеющих опыт в области использования НДВ аппаратного и программного компонентов среды функционирования СКЗИ.

Эти возможности соответствуют классам криптосредств (СКЗИ). В зависимости от того, какую возможность мы признаем актуальной, необходимо использовать СКЗИ соответствующего класса. Подробнее это детализировано в другом документе - в приказе ФСБ №378.

Конкретных примеров нарушителей (террористы, конкуренты и т.д.) в своих новых документах ФСБ не дает. Но вспомним, что ранее были методические рекомендации ФСБ 2008 г.. В них то как раз рассказывалось о 6 типах нарушителей, которые обозначались как Н1- Н6. Возможности описанные в новых документах ФСБ соответствуют тем самым нарушителям Н1 - Н6 из старых методических рекомендаций.


Объединяем нарушителей ФСТЭК и ФСБ

Если прочесть описание возможностей нарушителя, то можно заметить, что оба регулятора уделяют внимание возможностям нарушителя по использованию НДВ. Сравнив описания нарушителей у ФСТЭК и ФСБ, получим примерно следующее:
  • Нарушители с низким потенциалом по ФСТЭК – это нарушители Н1-Н3 по классификации ФСБ;
  • Нарушитель со средним потенциалом по ФСТЭК – это нарушители Н4-Н5 по классификации ФСБ.;
  • Нарушитель с высоким потенциалом по ФСТЭК – это нарушитель Н6 по ФСБ (т.е. сотрудник иностранной технической разведки).
Таким образом, для каждого нарушителя из методики ФСТЭК можно взять вполне определенный набор свойств из методики ФСБ.


Выбираем подходящих нарушителей и избавляемся от остальных

Остается только определиться, каких нарушителей рассматривать для конкретной информационной системы. А это регулятор сам подсказывает нам, уже на этапе классификации системы.

В случае государственной информационной системы, приглядимся к п.25 приказа ФСТЭК №17. В нем сказано:
  • для информационных систем 1 класса защищенности, система защиты должна обеспечивать нейтрализацию угроз от нарушителя с высоким потенциалом;
  • для информационных систем 2 класса защищенности - нейтрализацию угроз от нарушителя со средним потенциалом;
  • для информационных систем 3 и 4 классов защищенности- нейтрализацию угроз от нарушителя с низким потенциалом.
То есть, хотя бы предварительно классифицировав систему, мы можем сделать вывод о том, какие виды нарушителей регулятор считает для нее актуальными.

Остается лишь описать данных нарушителей в модели нарушителя, а нарушителей с более высоким потенциалом исключить. Аргументы для исключения "лишних" нарушителей можно взять из приложения к методике моделирования угроз ФСБ. 

В случае, если система не относится к ГИС, стоит взглянуть на три типа угроз из ПП 1119:
  • Угрозы 1-го типа - связаны с наличием НДВ в системном ПО. 
  • Угрозы 2-го типа связаны с наличием НДВ в прикладном ПО. 
  • Угрозы 3-го типа не связаны с наличием НДВ в ПО.
Угрозы 1 типа явно может использовать только нарушитель с высоким потенциалом. Угрозы 2 типа - нарушитель со средним потенциалом, а угрозы 3 типа - с низким. Поскольку большинство операторов рассматривают актуальными только угрозы 3 типа, то потенциал у нарушителей будет низкий.

Резюме

У новых методик ФСТЭК и ФСБ есть внятные точки соприкосновения. Грамотно комбинируя обе методики, можно разработать общую и непротиворечивую модель угроз. А заодно и снизить потенциал нарушителя и класс используемых средств защиты. 
  1. Многое зависит и от класса (уровня защищенности) информационной системы. Нужно проявлять осторожность и не завышать класс без веских на то оснований. Иначе можно "попасть" на нарушителей со средним и высоким потенциалом (и получить повышенные требования к средствам защиты).
  2. Для каждого класса можно подобрать подходящих нарушителей из методики ФСТЭК (при этом обоснованно исключив остальных нарушителей).
  3. Каждый нарушитель из методики ФСТЭК соотносится с определенным типом нарушителей из методики ФСБ (а также с соответствующим классом криптосредств)
Получившаяся "картина мира" представлена в таблице.



ПП 1119
Приказ ФСТЭК №17
Проект методики определения угроз ФСТЭК
Методические рекомендации ФСБ по моделированию угроз
Метод. рек. ФСБ 2008
Приказ ФСБ 378

Тип
угроз

Класс ГИС и соотв. набор мер
Потенциал
нарушителя
Вид нарушителя
Обобщенные возможности нарушителя относительно СКЗИ
Тип нарушителя ФСБ
Класс
СКЗИ

3 тип
К3, К4
Низкий
Внешние субъекты (физические лица)
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  только  за  пределами контролируемой зоны
Н1
КС1

Бывшие работники (пользователи)

Лица, обеспечивающие функционирование информационных систем или обслуживающих инфраструктуру оператора
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  в  пределах контролируемой  зоны,  но  без  физического  доступа  к аппаратным средствам (далее    АС), на которых реализованы СКЗИ и среда их функционирования
Н2
КС2

Лица, привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных работ
Возможность самостоятельно осуществлять создание способов атак,  подготовку  и  проведение  атак  в  пределах контролируемой  зоны  с  физическим  доступом  к  АС,  на которых реализованы СКЗИ и среда их функционирования
Н3
КС3

Пользователи информационной системы

2 тип
К2

Средний
Администраторы информационной
системы и администраторы безопасности
Возможность  привлекать  специалистов,  имеющих  опыт
разработки и анализа СКЗИ (включая специалистов в области
анализа  сигналов  линейной  передачи  и  сигналов  побочного
электромагнитного излучения и наводок СКЗИ)
Н4
КВ

Террористические, экстремистские группировки

Возможность  привлекать  специалистов,  имеющих  опыт
разработки и анализа СКЗИ (включая специалистов в области
использования  для  реализации  атак  недокументированных
возможностей прикладного программного обеспечения)
Н5

Преступные группы (криминальные структуры)

Конкурирующие организации

Разработчики, производители, поставщики  программных,  технических  и программно-технических средств

3 тип
К1
Высокий
Специальные службы иностранных государств (блоков государств)
Возможность  привлекать  специалистов,  имеющих  опыт разработки и анализа СКЗИ (включая специалистов в области
использования  для  реализации  атак  недокументированных возможностей  аппаратного  и  программного  компонентов среды функционирования СКЗИ)
Н6
КА