Как стать автором
Обновить

Комментарии 31

Я потерял флешку со сканами, потому устротлся в компанию разрабатывающую защищенную флешку. В ней когда-нибудь будут крутые функции и поддержка ОСей кроме винды, но вы покупайте уже сейчас. А вообще тега «я пиарюсь не хватает» ведь по сути кроме рекламы в статье ничего нет.
Ну тут мне кажется вы не очень то правы. Любую статью можно рассказать в десять слов. В любом случае, спасибо за внимание.
Каков объём рутокенов красного и синего цветов? Какова совместимость этой утилиты с Крипто-Про? (в плане — не испортится ли случайно работа ЭЦП? или другие проблемы вдруг).
Flash-память
Объем 4 ГБ.
Увеличенный объем: 8-64 ГБ доступен под заказ.
Класс 10.
Скорость чтения: не менее 9,63 МБ/с.
Скорость записи: не менее 3,80 МБ/с.

Не густо :( Еще бы цену на эти 4 Гб знать.
Скорость не очень высокая так как устройство не просто флешка, но ещё и Рутокен.
Совместимость с Криптопро CSP никак не пострадает. Сценарии использования ключей с сертификатом и флешки почти никак не пересекаются.
Вообще… В тех местах где:
в каких-то местах и учреждениях интернет вообще может быть запрещен.

Втыкание флешки в USB-порт обычно вызывает визит юноши лет 40 в недорогом костюме с просьбой объяснить, зачем флешка втыкалась в компьютер… После чего, обычно, флешку, на всякий случай, забирают для проверки, не окзалась ли на ней какая-то информация, которая не должна была на ней оказаться…

Однако, запустив приложение и введя простой PIN-код

Простой пин-код быстро подбирается простым перебором. С одной стороны. С другой стороны, пин-код будет записан где-то рядом с флешкой у 99% пользователей. С третьей стороны, должен быть механизм разблокирования флешки после блокировки по количеству неверно введенных пин-кодов, иначе корпоративные клиенты быстро откажутся от… (помните анекдот? чем отличается хакер от юзера? хакер подбирает пароль с третьей попытки, а юзер — набирает с пятой).

И опять же, за последние 20 лет у меня аж на одной работе была возможность поставить любой софт на свой рабочий компьютер. Просто потому, что я пользовался личным ноутбуком.
1) если такие флешки купила вам та же компания, то они будут в белом списке
2) перебор с огромной вероятностью закончится неудачей, так как количество попыток ограничено
Анекдот помним :) Разблокирование PIN-кода защиты флеш-памяти возможно если вы знаете PIN-код администратора.
3) приложение Рутокен Диск не нужно устанавливать оно запускается с этой же флешки и не требует прав администратора компьютера для своей работы
3) приложение Рутокен Диск не нужно устанавливать оно запускается с этой же флешки и не требует прав администратора компьютера для своей работы

Это работает, только если администратор и администрация — в курсе и одобряют. Иначе — можно получить много забавных проблем… Именно с целью борьбы с этим явлением сейчас компании активно закупают средства контроля USB. (Ну и да, разрешить пользователю запускать что-то с USB — подписаться на получение кастомного трояна. Один из реально хорошо работающих методов — разбросать вокруг проходной атакуемого офиса флешки с трояном. Почти полная гарантия, что хотябы одну из них воткнут в компьютер в защищенной части сети).
Конечно, такой носитель только для сценария администратор в курсе и одобряет.
На самом деле устройство определяется как защищенная флеш часть и как отдельный CD-ROM, на котором и находится приложение разблокирующее доступ. Так что это не сценарий с доступа чего угодно с флешки.
Да и цель тут собственно другая — возможность носить конфиденциальную информацию и не парится, если ее потеряешь.
Пришёл в гости, а там или пингвин или что-то древнее типа 9х или ХР.
А может и современное, но Комод антивирус. А он всех эмуляторов СД-РОМ посылает в лес и вежливо закрывает за ними дверь (много лет назад так было).

Во многих конторах, запуск такой флешки — гарантированный способ получить трудовую с чёрной меткой.

И вообще, за такие финты, необходимо отрывать руки и ноги.

"… карточная операционная система Рутокен, целиком и полностью разработана специалистами компании «Актив» (карточная ОС Рутокен находится в реестре отечественного ПО Минкомсвязи)"


А не значит ли это, что доступ к твоим будут иметь все, кому они понадобятся? Это защита только от случайной потери. Чувствительные данные, например, бизнеса, я бы хранить не стал

Ввести длинный пароль — долго и сложно.
Вставить флешку, которая определяется как диск и флешка, зайти в диск, ввести пароль, перейти к флешке — легко и удобно.
Длинный пароль все-такие еще помнить надо. Обычно именно это главная проблема.
Про это хорошо на XKCD было.
Примерный перевод панч-лайна:
«Всего 20 лет работы, и мы натаскали пользователей на использование паролей, которые трудно запоминать человекам, но легко взламывать роботам»

И, там же показан способ получения паролей произвольной длины, которые очень легко запоминать.

Настоящие защищенные флешки — те, на которых надо набирать пин-код на самой флешке. Типа Kingston DataTraveler 2000.
Любой же ввод пинкода через компьютер — как минимум уязвим для кейлоггеров.

Да пин-код на корпусе это еще лучше. Но и ценник выше. Тут каждый выбирает, что больше подходит.
Есть одна засада с аппаратными пинкодами на корпусе — если флешка попала в руки «хорошо вооруженного» злоумышленника, у которого есть проходной USB кабель с датчиками тока и напряжения, плюс с хорошим осциллографом, большинство защит ломается по разнице в характеристике потребляемого тока при вводе правильной и неправильной цифры. При этом, 10 попыток ввода PIN гарантированно хватает на взлом (попытка в любом случае засчитывается только если пин введен весь и при этом неправильный). Бороться с этим можно, но в результате борьбы значительная часть «обычных пользователей» флешку заблокируют при первой попытке использования.

У Кингстона упомянутого, насколько я понял, нет сравнения "правильных" и "неправильных" цифр, там полноценный крипточип, сравнивающий не по цифрам, а хеши от полностью введенного пина.

Сами данные хранятся в зашифрованном виде? можно слить данные напрямую с флеш-памяти, минуя CardOS?
Давно уже запилил для такого случая набор скриптов для монтирования/размонтирования зашифрованного контейнера на флешке. А после прописывания алиасов вообще жить стало круто. Хотя можно ли такое сделать на винде — не знаю.
Отличное решение. Но плохо работает при необходимости что-то перенести на соседний комп. Выложите скрипты? Интересно посмотреть.
Вспоминается зеркальное копирование для взлома четырехзначного pin на айфоне. Действительно важные данные коротким ключем не защитишь.
Это там где по словарю перебирали? Или какая-то другая история? Если что эта флешка блокируется после 10 неверных попыток ввода(а можно и меньше поставить). Перебор тут вряд ли сработает, даже если PIN четырехзначный.
айфон тоже блокируется и данные удаляются. Для взлома полностью копируется память. Собственно действительно ограничить количество попыток ввода пароля — крайне сложно. И перебирали просто все 10к вариантов.
Разница в том, что в афоне вы можете просто скопировать всю память. Здесь механизм блокировки зашит в сам контроллер памяти. Чтобы сделать копию вам придется физически разрушить память, например снимать по слоям и делать копию. От такой атаки устройство не защищает, но это нигде и не заявляется.
Здесь механизм блокировки зашит в сам контроллер памяти

Т.е. я правильно понял, что если отпаять микросхему памяти и подпаять ее к другому контроллеру, или отпаять контроллер памяти с защитами и припаять обычный, зашифрованные данные не прочитаются?
Именно так
Вроде есть ещё флешки со сканером отпечатка пальцев. Стоят, вроде, не сильно дорого.
Очень сильно зависит от качества и способностей сканера. Как-то в одной организации столкнулись с достаточно крутым сканером (правда, еще в начале 2000-х) отпечатков. Хотели сделать систему с тонкими клиентами, со сканерами. Сотрудник садится на случайное рабочее место, вводит логин, прикладывает палец и получает свой десктоп с цитрикса. Но обнаружилось, когда в базу отпечатков занесли примерно 30 человек… любой человек открывал рабочий стол любого сотрудника.
Я это к тому, что сканеры разные бывают и сам факт его наличия еще не значит, что перебрав 2-3 десятка пальцев не найдется такой, который опознается как правильный, особенно, когда стоят они не сильно дорого…
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.