Архив за Май, 2011

Криптоалгоритм ГОСТ 28147-89 взломан?

2 комментария

Известный исследователь, основоположник алгебраического криптоанализа wwwНиколя Куртуа утверждает, что блочный шифр ГОСТ, который в ближайшее время должен был стать международным стандартом, фактически взломан и ожидает в дальнейшем множества публикаций, которые должны развить его идеи о нестойкости этого алгоритма.

Далее приведены краткие выдержки из этой работы, которую можно рассматривать как алармистский выпад в разгаре международной стандартизации (схожими преувеличениями автор был известен и в отношении AES, однако его работы тогда оказали большое теоретическое влияние на криптоанализ, но так и не привели на сегодняшний момент к практическим атакам на сам AES). Но, возможно, это и реальное предупреждение о начале этапа «пикирующего в штопор самолёта», которое может закончиться крахом национального стандарта шифрования, как это было с алгоритмом хэширования SHA-1 и алгоритмом хэширования «де-факто» MD5.

http://www.pgpru.com/novosti/2011/soobschenijaovzlomeblochnogoshifragost2814789vrazgarusilijjpoegomezhdunarodnojjstandartizacii

ГОСТ спроектирован на обеспечение военного уровня безопасности на 200 лет вперёд. Большинство ведущих экспертов, изучавших ГОСТ, приходили к соглашению о том, что «несмотря на значительные криптоаналитические усилия на протяжении 20 лет, ГОСТ всё ещё не взломан». В 2010 году ГОСТ продвигают в ISO 18033 в качестве мирового стандарта шифрования.

Основа идей об алгебраическом криптоанализе возникла более 60 лет назад. Но только лишь за последние 10 лет были разработаны эффективные программные средства (частичного) решения множества NP-полных проблем. Было взломано некоторое число потоковых шифров. Только один блочный шифр был взломан этим методом — сам по себе слабый KeeLoq. В этой работе автор взламывает важный, реально используемый шифр ГОСТ. Он отмечает, что это первый случай в истории, когда алгебраическим криптоанализом был взломан стандартизированный государственный шифр.

 

Федеральный закон «О лицензировании отдельных видов деятельности» — первый взгляд

6 комментариев

Федеральный закон Российской федерации «О лицензировании отдельных видов деятельности» носит номер 99 и принят он 4 мая 2011 года.

Что же изменилось, на первый взгляд, в новом Законе по сравнению с 128 ФЗ с точки зрения лицензирования деятельности по защите информации?

В принципе, кардинальных изменений только два:

  1. Теперь все лицензии становятся бессрочными (при этом четко прописаны сроки возможных плановых проверок).
  2. Лицензий по деятельности, связанной с защитой информации криптографическими методами, стало вместо четырех – одна (при этом количество видов деятельности даже несколько увеличилось!).

 Теперь более подробно.

Часть 4 Статьи 9 гласит:
«Лицензии действуют бессрочно».
А в Статье 19, в части 9 сказано:
«Основанием для включения плановой проверки лицензиата в ежегодный план проведения плановых проверок является:
1) истечение одного года со дня принятия решения о предоставлении лицензии или переоформлении лицензии;
2) истечение трех лет со дня окончания последней плановой проверки лицензиата;…»

То есть через год после получения лицензии и в последующем через каждые три года к лицензиату могут планово приехать проверяющие.
Причины внеплановых проверок остались, в принципе, те же.

Для тех. кто уже работает по полученным лицензиям, надо особо обратить внимание на две части Статьи 22:
«3. Предоставленные до дня вступления в силу настоящего Федерального закона лицензии на виды деятельности, указанные в части 1 статьи 12 настоящего Федерального закона, действуют бессрочно.
4. Предоставленные до дня вступления в силу настоящего Федерального закона лицензии на виды деятельности, наименования которых изменены, а также такие лицензии, не содержащие перечня работ, услуг, которые выполняются, оказываются в составе конкретных видов деятельности, по истечении срока их действия подлежат переоформлению в порядке, установленном статьей 18 настоящего Федерального закона, при условии соблюдения лицензионных требований, предъявляемых к таким видам деятельности. Переоформленные лицензии действуют бессрочно».

При этом часть 3 интересна больше лицензиатам ФСТЭК России, а часть 4 – лицензиатам ФСБ России.
Это разделение интересов связано как раз со вторым кардинальным изменением (см. выше) и обуславливается лицензируемыми видами деятельности по защите информации, точнее, с теми изменениями, которые они претерпели.

Виды деятельности, подлежащие лицензированию, приведены в статье 12 Закона.
Что касается области лицензирования ФСТЭК России, то она осталась без изменений:

«4) разработка и производство средств защиты конфиденциальной информации;
5) деятельность по технической защите конфиденциальной информации»,
а что касается ФСБ России, то здесь произошли изменения.
Как уже говорилось, лицензия, скорее всего, будет одна, но выдаваться она будет на разные виды деятельности:
«1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (крипто графических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

Как видите, появился новый вид деятельности: выполнение работ, которого раньше не было. Кроме того, такие виды деятельности, как распространение и техническое обслуживание теперь распространяются (простите за тавтологию) и на информационные системы и телекоммуникационные системы, защищенные с использованием шифровальных (криптографических) средств. Раньше, в предыдущем Законе на эти системы распространялись только разработка и производство.
Есть в этой части и еще один важный момент – появилось понятие: «для обеспечения собственных нужд юридического лица или индивидуального предпринимателя».

Что это такое и как трактовать это понятие, Закон ответа не дает. Исходя из устных объяснений, озвученных ранее на различных форумах и конференциях представителями регулятора, можно сделать вывод, что это понятие применяется только в случае защиты информации между собственными подразделениями и (или) дочерними организациями.

В остальном, существенных изменений не проглядывается.

Правда, некоторые уважаемые участники блогосферы, пишущие про информационную безопасность, говорят, что новый Закон не позволяет ФСТЭК России требовать наличия лицензии на ТЗКИ только на том основании, что операторы персональных данных (ПДн) обязаны защищать ПДн в ИСПДн, …. но это ошибка. Ни в одной статье нового Закона, включая часть 4 Статьи 8 нет никаких посылов к такому прочтению Закона:
«Статья 8. Лицензионные требования

4. К лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции».

Здесь речь идет только о лицензионных требованиях, которые должны быть прописаны в Постановлениях правительства и ни о чем более.

Федеральный закон «О лицензировании отдельных видов деятельности» № 99 от 4 мая 2011 года вступает в силу 3 ноября 2011. После этого должны быть подписаны соответствующие Постановления Правительства.

Так что живем пока по прежнему Закону, коллеги! 😕

Ссылка на текст ФЗ-99 «О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ».

Исходный код ZeuS просочился в Сеть

Ваш отзыв

Zeus

Исходный код последней версии ZeuS просочился в интернет, предоставляя каждому комплект инструментов для генерации вредоносных программ, который обычно продается за $10 000.

Полный исходный код доступен, по меньшей мере, в трех различных местах, что гарантирует постоянный доступ к нему широких масс, сообщил Питер Крус, исследователь из датской фирмы CSIS Security. Хотя утечка кода может снизить количество денег, получаемых за malware kit, с другой стороны это может привести к созданию новых вирусов, которые клонируют существующий код и создают новые функции или сервисы на его базе.

«Исходный код распространялся до настоящего момента в закрытых сообществах или покупался преступниками за значительную сумму денег», — написал Крус в сообщении. «Благодаря обнародованию всего кода мы, очевидно, увидим новые версии/обновления или усовершенствования в целом. Если это разрастется за пределы подпольной хакерской экосистемы, то может принести значительный вред».

Продаваемый в преступном мире за тысячи долларов, ZeuS известен как инструмент для разработки кастомизированных троянов, которые посылают банковские учетные данные жертв на сервера под контролем злоумышленника. Премиум-версии включают техническую поддержку и расширенные возможности, они  способны обходить двухфакторную систему аутентификации, предлагаемую некоторыми финансовыми учреждениями. Хотя существуют и конкурирующие crimekits, такие как Eleonore, ZeuS считается одним из наиболее мощных и широко используемых комплектов.

Но за последние годы ZeuS претерпел значительное количество потрясений. В сентябре исследователь безопасности Билли Риос обнаружил серьезную уязвимость в ZeuS, которая позволяет как whitehats (этическим хакерам), так и blackhats (злоумышленникам) устанавливать контроль над ботнетами, построенными на его основе. Примерно в то же время власти Великобритании, США и Восточной Европы предъявили обвинения в отмывании миллионов долларов, перекаченных из взломанных ZeuS банковских аккаунтов, десяткам людей.

Совсем недавно исследователи нашли доказательства того, что кодовая база ZeuS была объединена с SpyEye. И в марте Крус из CSIS обнаружил, что исходный код ZeuS продается на подпольных форумах.

Публикация исходного кода ZeuS вероятно гарантирует, что никто больше не будет платить за standalone-версию программы, по крайней мере до тех пор, пока создатели не добавят новые функции, которые сейчас недоступны. Пока остается неясным, кто выпустил код и почему.

Растущие неприятности ZeuS во многом совпадают с проблемами, которые нормальные пакеты программного обеспечения испытывают по мере роста популярности.

«Мне действительно нравится факт, что поскольку криминальное программное обеспечение становится все более совершенным, его разработчикам и специалистам по техническому обслуживанию придется столкнуться с такими же трудностями, что и в традиционном ПО – патчами безопасности, пиратством, защитой IP, разработкой дополнительных возможностей и даже PR», — заявил Риос, который является бывшим исследователем безопасности Microsoft. «Я нахожу это забавным».

Лучшие практики по обеспечению безопасности домашней сети

Ваш отзыв

Агентство национальной безопасности (NSA) опубликовало документ, где в общих чертах представлены «Лучшие практики для обеспечения безопасности домашней сети».

Документ представляет хороший краткий обзор того, что каждый должен делать для обеспечения безопасности своих систем. Если ты тертый калач в области технологий, то для тебя там не будет ничего нового (следовать советам или нет в конце концов зависит от тебя), но для среднестатистического домашнего пользователя в документе представлен бездонный кладезь информации.

Большинство информации касается общих принципов — обновляй ОС и приложения, применяй ПО для обеспечения безопасности, используй хорошие пароли и SSL–шифрование в сети. Но некоторая информация немного неожиданна. Интересна рекомендация использовать полное шифрование жесткого диска, также как и предупреждение, что мобильные телефоны, снабженные камерами, могут хранить месторасположения при помощи фото. Совет включить защиту данных на  iPad (что в равной степень применимо и к iPhone, но NSA не упоминает это) также является дельным, но это интересный и специфичный момент, который уже выходит за рамки домашней сети.

В целом АНБ представило вполне дельный документ — в нем мало ответов на вопрос «как», но все же это неплохой учебник по безопасности для начинающих.