• Большие маневры малого бизнеса: «Альфа-Бизнес Мобайл» и его возможности
    0
    Зато оппечаточку в статье исправили… :)
  • Большие маневры малого бизнеса: «Альфа-Бизнес Мобайл» и его возможности
    0
    У вас на картинках остаток по счету — больше 7 млн. рублей.
    Вы уверены, что свойств безопасности «подтвердить операцию с помощью одноразового SMS-кода» достаточно?
    Про уязвимости SMS не говорил уже только ленивый. Есть какие-то альтернативы, чтобы не потерять всё в один момент?
  • eToken жил, eToken жив, eToken будет жить
    +4
    Небольшое уточнение насчет JaCarta и связи с Athena, о которой упоминалось выше.
    JaCarta — это некий собирательный бренд, за которым кроется продукт как раз компании Athena (их PKI-решение, чип и начинка для чипа), а на базе этого продукта Аладдин Р. Д. запилил свое ГОСТ-решение.
    Поэтому есть JaCarta без поддержки ГОСТ (в основном подходит для корпоративного рынка) — это и есть локализованный продукт компании Athena. И есть JaCarta с ГОСТ. Это чип и низкоуровневая начинка Athena, плюс реализация ГОСТов от Аладдин Р.Д.

    Блин, намудрили… Черт ногу поломает…
  • О пользе научного подхода для стартапов
    +2
    Я вам рекомендую придерживаться лучше «сделаю-продам» Так будет осмысленнее :)
  • Как стереть данные так, чтобы их не смогли восстановить спецслужбы?
    0
    Если говорить о том, что есть возможность перывания процесса путем «вырубить питание и утащить диск на анализ», то голова диска меняется до невозможности просто.

    Если есть риск «маски-шоу» и пр., то лучше все же пользоваться программным шифрованием и уничтожать ключ в случае форс-мажора. Например вот этой штукой, работающей вот с этим софтом.

    А описанный Вами способ, как я понимаю, аналогичен многократной перезаписи софтом, только без софта :)
  • Как стереть данные так, чтобы их не смогли восстановить спецслужбы?
    0
    Тогда этот способ хорош только тем, что затираение идет без участия ПО.
  • Как стереть данные так, чтобы их не смогли восстановить спецслужбы?
    0
    Я так и не понял принцип работы этой штуки… Особенно смущает
    … гарантированно затирает весь диск...
    Отмена возможна только...

    Как это гарантированно затирает с возможностью отмены?

    Кроме hardware-based может быть и software-based fulldisk encryption. Например, тот же самый TrueCrypt.
    Если зашифрована вся информация, имеющая смысл для пользователя, то уничтожение только ключа шифрования (обычно не больше одного сектора HDD) многократной перезаписью полностью уничтожает всю информацию.

    И не нужно ничего кипятить или пихать в микроволновку. Достаточно затереть ключ.
  • Разгадка к пятничному вопросу
    +13
    Опишите, пожалуйста, конкретно, как работает этот ханипот, и какие функциональные обязанности выполняет каждый из приведенных на картинке и в видео компонентов, а именно:
    — дискета
    — таблетка с надписью «Java»
    — провод
    — переходник
    — считыватель таблетки

    Без этой информации Ваш вопрос, ответ на него, а также критерии оценки правильности предложенных вариантов дают Вам сугубо негативную оценку.
  • Особенности ценообразования на контент российской периодики
    +13
    Подготовка электронной версии — работа. Это верно.

    НО! Она не может стоить столько же или больше, чем работа цепочки, которая обеспечивает наличие бумажной версии на прилавках: это от лесорубов и деревообработки до продавцов за прилавком.

    Если все же она стоит больше или столько же, то это означает некомптентность издателя при подготовке контента для цифровой дистрибуции. За это надо бить рублём издателя.

    При этом причны, выраженные в «цену поставил правообладатель», «у вас в москве денег много» и пр. — это недоработка тех, кто с ними эту цену обговаривает. Ведь на печатную версию они дали нормальную цену. Значит и на цифровую дадут, если предложить взаимовыгодное сотрудничество.
  • Очередное собеседование — взгляд работодателя
    +33
    Рискую нарваться на грубость, но в Вашем подходе есть изъян.

    Вы и Ваши коллеги намекали и напрямую говорили о кадровом голоде в вашей области — пентестинге и аудите ИБ. Но настолько глубоко специализированные кадры появляются из самостоятельной подготовки крайне (!), повторюсь — крайне (!) редко. И заполучить их на рынке — цена немного выше, чем вы привели в описании вакансии.

    Тут появляются два варианта:
    — инвестировать в кадр (платить небольшую ЗП на протяжении некоторого времени, когда он учится, а также вбухивать ресурсы на обучение) и получить привязанного специалиста
    — искать готового специалиста и платить ему много и сразу.
    Как я понимаю, инициатор холивара ожидала от вас инвестиций. При этом у меня складывается ощущение, что платить готовому специалисту вы не очень то хотите.

    Если копнуть глубже, то при инвестировании в человека компания преследует собственную выгоду — получить квалифицированный кадр в будущем. То есть время и труд объекта инвестиций должны оплачиваться: ему нужно что-то кушать. А Вы говорите — идите учитесь, в интенетах много всего, и потом приходите. Этот подход подразумевает только вашу (компании) выгоду, а не обоюдное сотрудничество компания — работник. А это не соотносится с тезисом о кадровом голоде.

    С другой стороны — для инвестиций должна быть база. Вот ее компания вправе требовать. Но без фанатизма типа «вот вам ноут и делайте инъекцию».

    Я очень люблю (платонически) вашу компанию и то, что вы делаете. Но при работе с кандидатами вам нужно искать баланс интересов.

    А девушке-кандидату — трезво оценивать свои способности. И заканчивать жаловаться.
  • EFF предлагает реформу патентной системы
    0
    Кроме п. 4, вызывает сомнение п. 6.
    Нужны четкие критерии оценки «крошечности» или «некрошечности» части продукта. Даже крошечная часть может быть ключевой в конкурентоспособности продукта в целом.
  • Получение бесплатных ключей ЭЦП в Украине
    +1
    А не подскажете, в связи с чем принято решение использования хранения ключей в файлах?
    Хищение ключей с флешек, жесткого диска, реестра и пр. различные зловреды освоили еще в 2007 (!) году.
    А в Украине есть замечательные смарт-карты и токены, поддерживающие ваши стандарты в области криптографии. И, насколько мне известно, они довольно широко распространены.
  • Получение бесплатных ключей ЭЦП в Украине
    +1
    Я правильно понимаю, что ключевая пара после генерации сохраняется на флешку/CD-R? И, как следствие, подлежит копированию?
  • Распознаём изображение с токена при помощи камеры
    +2
    Если я правильно понял суть Вашего девайса, то происходит следующее: по команде из компьютера (например, по нажатию short key), девайс жмет на кнопку на токене снимает результат, после чего изображение передается в компьютер на анализ.

    Таким образом, компьютер управляет событием генерации и получает результат. Причем Ваша программа выводит результат в машиночитаемом виде (но это уже не принципиально).

    Идеологически, недоверенному компьютеру (вирус, вредоносное ПО, шпионский софт и пр.) ничего не мешает без Вас послать команду на генерацию OTP и получить его значение. Вот и нарушение безопасности.

    Об оговорках («кому это надо?», «можно унести токен с собой», «процесс генерации видно» и пр.) я писАл выше. Но мы сейчас руссуждаем о принципах :)
  • Распознаём изображение с токена при помощи камеры
    +3
    Замечательная статья и замечательный способ повышения удобства. Но давайте я попробую на пальцах объяснить, в каком месте нарушается безопасность.

    Основная идея автономных OTP-токенов в том, что физически разделяются «каналы» генерации и доставки секрета в момент аутентификации. То есть у вас для генерации секрета используется токен, а для его доставки — компьютер и сеть.
    В этой связке недоверенными являются компьютер и сеть передачи данных. Именно поэтому им не позволено генерировать или хранить секрет. Это делает автономное устройство, на которое недоверенный компьютер или недоверенный субъект в сети никак (теоретически) не может повлиять, потому что для генерации секрета нужно физически нажать кнопку и ручками ввести одноразовый пароль. А у компьютера или субъекта в сети ручек нету.

    Что Вы делаете. Вы даете недоверенному компьютеру возможность управлять генерацией секрета, то есть даете ему ручки. Весь смысл автономного OTP-токена коту под хвост :)

    Но в оправдание можно сказать что
    — это не массовый продукт, уязвимости в вашем ПО и принципах работы искать никто не будет
    — токен всегда можно забрать с собой (это нужно делать обязательно, когда Вас нет)
    — это удобно :)

    Но Ваш Security Manager, если ему не зря платят зарплату, должен Вас очень сильно отругать за такое изобретение.
  • Общаемся с SIM-картой на низком уровне
    0
    Скажите, пожалуйста, если есть такая информация.
    Позволяют ли современные ОС для смарт-фонов «общаться» с сим-картой напрямую, используя TPDU/APDU?

    Например, можно ли из приложения под iOS/Android считать СМС прямо с сим-карты, как в Вашем примере?
  • Технологии работы с электронной подписью
    +1
    PGP — именно модно.

    Я нисколько не сомневаюсь в безопасности решений PGP/GPG, но они находят свое применение именно в сегменте частной безопасности, делая упор на простое распространение ключевой информации между участниками обмена.

    Для уровня Enterprise и «серьезных» взаимоотношений, как выше отмечал пользователь dendery, необходимо управление ключами, основанное на единой точке доверия. На сегодняшний день это технология PKI и Удостоверяющие Центры. Именно они призваны связать конкретное физическое лицо с его открытым ключом. Это необходимо для того, чтобы всегда был известен ответчик по конкретному инцеденту.

    По Вашим вопросам:
    > Соответствует ли этот стандарт статье 10 закона об электронной подписи?
    Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей.
    В данной статье не требований, которым что-то могло бы соответствовать или нет

    > К какому виду подписи его можно отнести исходя из статьи 9?
    Статья 9. Использование простой электронной подписи
    Статья описывает использование простой подписи

    Возможно ли его использовать как доказательство в суде?
    Возможно, в случае наличия между участниками обмена соглашения, соответствующего части 2 статьи 9 63-ФЗ.
  • Технологии работы с электронной подписью
    0
    Практически любое устройство, с которым с составе идет библиотека PKCS#11 (токен, смарт-карта, HSM и пр.), обладает своими специфичными функциями.
    Например, функции инициализации устройства, задания специфичных для конкретной реализации параметров.

    Специфичные вещи никак не могут быть стандартизованы, поэтому для выполнения подобных операций возможно внедрение расширений PKCS#11.

    Для примера, если Вы посмотрите SDK практически на любую смарт-карту, например eToken PRO (Java) или Gemalto TPC, то их реализация PKCS#11 имеет ряд расширений как раз для подобных целей.
  • Технологии работы с электронной подписью
    –2
    Прошу Вас не интерпретировать мои слова по-своему.
    Посмотрите, пожалуйста, 5-й абзац, прежде чем присваивать мне слова о том, что управление ключами не причем.
    Повторюсь еще раз. Управление ключами — отдельная тема, которая в данной статье не затрагивалась. Для ее раскрытия необходимо уделять внимание не технологиям работы с электронной подписью, а технологиями построения PKI.
  • Технологии работы с электронной подписью
    0
    Тема несколько обширна и освящение поднятых Вами вопросов — не одной статьи об'ем.
    То, что Вы не увидели того, что хотите — извините, не угодил.

    Относительно Ваших вопросов:
    1. Мультиподпись в статье описана. Подробности — прошу смотреть стандарт или задать корректно интересующий вопрос.
    2. Нотариат относится больше к юридическому аспекту ЭП, а не к техническому. Это тема отдельной дискуссии.
    3. Управление ключами при работе с ЭП — удел PKI. Читайте внимательно и смотрите ссылки.
    4. См. П. 3.
    5. Это вообще не относится к теме статьи. См. введение.

    Готов обсудить интересующие вопросы при корректной их постановке. Мешать все темы в одну кучу — будет либо скомкано и ничего не понятно, либо очень много букв.

    Если интересно, можно создать цикл статей на эту тему, раскрывающих все аспекты.
  • Интересные решения для электронной подписи в браузере
    +1
    Кстати о «подержать».
    Если уж мы тут обмениваемся любезностями, может Вы нам тоже дадите подержать вашу поделку?
    А то, насколько мне известно, компания, обладающая сверхопытом и всеми возможными сертификатами и лицензиями не очень далеко ушла от прототипа :)
  • Интересные решения для электронной подписи в браузере
    –1
    Как я посмотрю, у вашей компании нет других аргументов :)

    Забавно на это смотреть. Многое говорит о позиции и методах работы.
  • Интересные решения для электронной подписи в браузере
  • Интересные решения для электронной подписи в браузере
    0
    При использовании sTunnel есть ложка дегтя, о которой Вы не рассказали.

    Дело в том, что эта программа самостоятельно открывает TLS-соединение с нужным сервером. При широкой распространенности этого решения неизбежно возникают ситуации, когда корпоративная сетевая политика предписывает работать нестандартными способами (прокси, VPN, ограничения портов, веб-фильтры и т. д.). И часто возникают ситуации, когда sTunnel просто не работает.

    По этой причине очень ограниченно используются похожие продукты. Например, InterPro от Сигнал-Ком.
  • Интересные решения для электронной подписи в браузере
    0
    Браузер пользователя работает по HTTP.
    sTunnel, получая запросы по HTTP, перенаправляет их на нужный сервер (указанный в его настройках) по TLS-соединению. Он тут работает как прокси.
    Так что конечный браузер даже не знает, что его защищают
  • Слепая подпись на основе ГОСТ 34.10-2001
    0
    В криптостойкости ГОСТ 34.10-2001 у меня никаких сомнений нет :) Вопрос был к предлагаемым дополнениям.
    Благодарю за пояснения.
  • Слепая подпись на основе ГОСТ 34.10-2001
    0
    Насколько я понял из описания, тайна голосования обеспечивается маскированием хеша бюллетеня.
    Было бы неплохо привести описание маскирования/демаскирования более подробно (криптостойкость, откуда математические выкладки и пр.).
    Или данные преобразования соответсвуют какому-либо криптоалгоритму?
  • Умри, агент, умри!
    0
    У нас вопрос в том, что все взаимоотношения порождает Наймодатель.

    И пока Наймодатель первым делом будет идти к риэлтеру — ничего не изменится. Никакие сайты и рейтинги не будут действовать. Максимум, чего можно будет добиться — появится несколько риэлтеров с высоким уровнем доверия. Но чем это отличается от существующих крупных агентств?

    А Наймодатель идет к риэлетру по одной причине: «зачем мне морочиться — пусть все делает агент. Мне все равно это бесплатно».

    ИМХО, в сложившейся у нас ситуации с жильем (дефицит), риэлтерские услуги по найму жилья должны регулироваться законодательно: платит и наймодатель и наниматель. Но тут возникает вопрос контроля, завязывающийся на НДФЛ со сдачи жилья в найм. А это уже совсем другой вопрос…

    Сложная ситуация, которая полностью повернута этими пронырами в свою сторону. Значит есть спрос.
  • Щит и Меч в системах ДБО
    0
    Евгений,
    Я бы на Вашем месте поостерегся говорить о доверии, так как используемые Вашей компанией методы и технологии довольно далеки от категории «доверенные». Если Вам интересно, могу конкретизировать.
    Если Вы сомневаетесь в профессионализме компании SafeTech, то прошу аргументировать свои слова и привести обоснование, отличное от «зарабатывается годами» и «неизвестно кто».
    Как мне кажется, в если в довольно тесном кругу специалистов по защите ДБО Вы называете основателей компании SafeTech «неизвестно кем», то Вы, мягко говоря, сами мало знакомы с темататикой.
  • Convergence — возможная замена Certification Authority System
    0
    Наверное, Вы правы.
    Я так думаю, здесь уже вступила в силу оптимизация расходов со стороны УЦ.
  • Convergence — возможная замена Certification Authority System
    0
    Ну Вы же должны понимать, что сертификат — своего рода страховка. Здесь Вы также, как и при страховании, перекладываете ответственность.
    УЦ, в свою очередь, оценивает риски (риск что УЦ вводят в заблуждение, риск компрометации закрытого ключа УЦ и пр.), соотношение между величиной этих рисков и затратами на их минимизацию (стоимость проверки владельца открытого ключа по определенному уровню контроля, стоимость защиты инфраструктуры УЦ и пр.), страховую премию (стоимость сертификата) и из этих величин выводит стоимость страховой выплаты (величина ответственности).

    Это всего лишь значит, что Сбербанк эта сумма страховой выплаты устраивает. Вот и все. В противном случае для Сбера сертификат стоил бы дороже, так как повышается ответственность УЦ.
  • Convergence — возможная замена Certification Authority System
    +3
    Я конечно рискую нарваться на грубость, но, на мой взгляд, предпосылки создания Convergence появились из-за непонимания принципов PKI.

    УЦ не продает воздух под видом сертификатов. Идеологический принцип УЦ — перемещение ответственности за принятие решения о доверии тому или иному открытому ключу на организацию, которая выдала сертификат (удостоверение) открытого ключа.
    То есть Вы платите не за набор бит, а за ответственность, которую несет УЦ, удостоверяя Ваш открытый ключ. Чем выше ответственность, тем серьезнее будут проверки перед выдачей сертификата (EV-сертификаты)

    По поводу стоимости сертификатов — УЦ несет финансовую и другую ответственность за то, что он выдал сертификат именно владельцу открытого ключа. Исходя из этого, УЦ крайне заинтересован в том, чтобы его инфраструктура была в безопасности в разрезе конфиденциальность-целостность-доступность. В случае нарушения одного из этих свойств — с УЦ может быть привлечен к ответственности. Для примера, в России минимальный размер обеспечения ответственности УЦ — 5 млн. рублей.

    Поэтому системы типа Convergence — только для частных пользователей, играющих в безопасность. Эта система немасштабируема и нежизнеспособна при пересчете в деньги.
  • Как студенту-фрилансеру стать руководителем
    0
    Позволю себе добавить.

    Хороший руководитель, помимо всего прочего, должен брать на себя риски, в отличие от подчиненных. В случае выбора неправильно вектора развития (цели) именно руководитель несет ответственность перед командой и бизнесом в целом.

    Наградой за риск и правильно принятые решения является, обычно, более высокий процент от прибыли бизнеса в целом.
  • Токены vs Пароли
    +1
    Вы не совсем правы.
    Программные токены существуют. Они так и называются — Software Token. Но они используются немного для других целей в основном в средах Enterprise.

    Пример: инфраструктуры предприятия настроена только на аутентификацию по сертификатам. Ключи всех сотрудников на токенах. Сотрудник поехал в командировку и сломал/потерял токен.

    Решение: администратор формирует сотруднику Software Token, который действует только в течение короткого промежутка времени (1-2 дня) и высылает ему по открытым каналам. Сам «токен» под паролем. Непосредственно работу с Software Token осуществляют драйвера от нормального «токена».

    Зачем?: чтобы инфраструктура предприятия работала и сотрудник мог осуществлять свою деятельность вне зависимости от нештатных ситуаций.

    Пруф: см. Виртуальный токен
  • Токены vs Пароли
    +1
    Хотя, неверное не совсем обязательно иметь сам сертификат соответствия, достаточно выполнять требования к используемым криптографическим схемам и рекомендации по противодействию атакам на токены.
  • Токены vs Пароли
    +1
    Те, которые имеют сертификат соответствия Common Criteria по уровню не ниже EAL 4.
    Еще было бы неплохо иметь сертификацию FIPS, так как Америкосовское правительство довольно трепетно относится к безопасности своих информационных систем.
  • Токены vs Пароли
    +1
    Поправочка: физ. лица считают, что это слишком дорогая мера безопасности.
  • Токены vs Пароли
    0
    Но я Вас умоляю, при тех затратах для злоумышленника для подбора корректной последовательности, проще дать ключеносцу кирпичом по черепушке.
    Здесь именно в том и дело, что OTP значения генерируются при помощи OTP-токена пользователя. Например, подходим к столу зазевавшегося пользователя, берем его OTP-токен, нажимаем на кнопку генерации OTP и запоминаем 6 цифр OTP.
    Пока пользователь не аутентифицируется в системе с новым OTP — этот будет действителен. И Админ сможет узнать только при разборе инцидента, когда будет уже поздно.

    Ну так кроме ключа с токена злоумышленник еще и должен знать пароль юзера и пин к токену.
    Мало того, при успешной аутентификации этот ключ становится недействительным (хотя, наверное, это зависит от настроек сервера).

    OTP сделаны для того, чтобы можно было не опасаться за их перехват при передаче по каналам связи. При передаче Event Based OTP с какими угодно доп. параметрами (пин, соль или еще что-то) будет временной интервал, в течение которого OTP будет действовать.
  • Токены vs Пароли
    +3
    Вы не совсем правы.
    Токены обычно нужны для двухфакторной аутентификации. Первый фактор — фактор владения токеном, второй фактор — фактор знания пин-кода к токену. Только при наличии двух факторов сразу система должны работать штатно. Это необходимо на случай, если токен будет украден.
    Если на выполнение каких-либо операций, связанных с личностью пользователя (аутентификация, генерация ЭЦП, извлечение данных и пр.), не запрашивается пин-код, то это однофакторная аутентификация, основанная на факторе владения.
  • Токены vs Пароли
    +1
    На OTP-токены есть ряд известных и легко реализуемых атак.

    Например, если OTP-токен формирует Event Based OTP, то злоумышленник может в тайне от пользователя сгенерировать один-два OTP значения, запомнить/переписать их и воспользоваться.
    Если злоумышленнику не удалось ими воспользоваться, то пользователь об этом не узнает в силу специфики работы с Event Based OTP.
    C Time Based существует временной интервал, в течение которого действует OTP значение и т. п.

    Нормальный криптографический токен в любом случае надежнее.