Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
Указ Президента РФ "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" № 334 от 3.04.95 запрещает "использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации".
 
В сегодняшнем выпуске рассылки предлагаем Вам статью С. В. Чертопруда: "Правовые аспекты использования средств криптографической защиты информации при защите сведений, не содержащих государственную тайну", а также перечень документов, подаваемых заявителем в ФАПСИ для лицензирования отдельных видов деятельности.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Информационные сообщения по новым атакам и способам взлома, статистика по инцидентам

• [Oct17 - 31] Security Info digest #40
  
  

Новости компании Инфотекс

• Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей ".
• ОАО "Инфотекс" приглашает на работу сервис-специалиста в отдел сопровождения и клиентских проектов.

Введение
Указ Президента РФ "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" N 334 от 3.04.95 запрещает "использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации".

Пункт 4 Указа гласит, что в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запрещена "деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

В соответствии с федеральным законом Российской Федерации "О лицензировании отдельных видов деятельности" (№ 158-ФЗ от 25.09.98) обязательному лицензированию подлежит деятельность, связанная с шифровальными средствами и предоставлением услуг по шифрованию информации.

Поясним, что согласно "Системе сертификации средств криптографической защиты информации" (РОСС.RU.0001.030001 от 15.11.93) к шифровальным относятся средства:

• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
• реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
• аппаратные, программные и аппаратно-программные средства, системы комплексы изготовления ключевых документов для шифровальных средств независимо от вида носителя ключевой информации.
  
  

Процедура лицензирования
При необходимости обеспечить криптографическую защиту информации, не содержащей сведений, составляющих государственную тайну, в действующей или создаваемой корпоративной сети (системе) организация-организатор подает в ФАПСИ заявление о выдаче лицензии на осуществление деятельности, связанной с конкретными сертифицированными шифровальными средствами, прилагая пакет необходимых документов, предусмотренных федеральным законом РФ "О лицензировании отдельных видов деятельности". Образец заявления приведен в приложении 1.

В корпоративных сетях и системах, пользователями которых являются только структурные подразделения организации-организатора сети, необходимо получение лицензии на один вид деятельности - техническое обслуживание шифровальных средств.

В корпоративных сетях и системах, пользователями которых являются как структурные подразделения организации-организатора сети, так и другие юридические и/или физические лица, необходимо получение лицензий на три вида деятельности:

• распространение шифровальных средств;
• техническое обслуживание шифровальных средств;
• предоставление услуг в области шифрования информации.

Еще до получения лицензии заявитель для создания соответствующих условий осуществления лицензируемой деятельности, обучения персонала и проведения опытной эксплуатации средств криптографической защиты информации (СКЗИ) имеет право приобрести у разработчика СКЗИ или его дилера, имеющего соответствующие лицензии ФАПСИ, опытную партию сертифицированных СКЗИ и необходимой технической и эксплуатационной документации к ним. При необходимости заявитель может поручить разработчику СКЗИ или его дилеру провести встраивание СКЗИ в свои прикладные системы. При защите информации по уровню "С" заявитель может самостоятельно встроить СКЗИ в свои прикладные системы с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.

Криптографическая защита по уровню "С" организуется самим потребителем. Согласно преамбуле "Требований к заявителю на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню "С" (утверждены руководством ФАПСИ 05.01.97) "информационно-телекоммуникационные системы создаются предприятием самостоятельно на основе сертифицированных СКЗИ, встраивание которых в прикладные системы должно происходить с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ". Полный текст документа приводится в приложении 2.

Процедура лицензирования предусматривает проведение специальной экспертизы заявителя с целью оценки наличия у него возможности проводить работы по защите информации в избранных направлениях. Специальная экспертиза проводится аттестационным центром, аккредитованным ФАПСИ, на основании договора между заявителем и аттестационным центром. Экспертиза может проводиться Лицензионным и Сертификационным центрами ФАПСИ.

Специальная экспертиза организации-заявителя проводится на основании заявления и представленных заявителем документированных сведений, подтверждающих наличие у него необходимых условий для осуществления заявленных видов деятельности, а также соответствия их предъявляемым ФАПСИ требованиям. Требования ФАПСИ к заявителю приведены в приложениях 2 и 3. Сведения представляются согласно перечню, приведенному в приложении 4.

Представляемые сведения и прилагаемые к ним специально разработанные документы, регламентирующие все аспекты обращения с СКЗИ (приказы по организации в связи с внедрением СКЗИ, инструкции по безопасности СКЗИ, пункты договоров с клиентами в части использования СКЗИ и др.), должны иметь хороший уровень проработанности. При необходимости достоверность представленных заявителем сведений проверяется по месту его нахождения Аттестационным, а также Лицензионным и Сертификационным центрами ФАПСИ с возможным привлечением органов правительственной связи и информации в субъектах Российской Федерации.

Рассмотрение материалов заявителя (заявления со всеми необходимыми документами и экспертного заключения) в ФАПСИ и оформление лицензии производится в срок, не превышающий 30 дней.

До проведения специальной экспертизы (или параллельно с ней) заявитель должен решить вопросы, связанные с начальным оснащением СКЗИ и их освоением сотрудниками. Следует подготовить не менее двух специалистов (для взаимозаменяемости) по установке (инсталляции) и применению СКЗИ у разработчика СКЗИ, или в организациях, имеющих соответствующие лицензии ФАПСИ на деятельность, связанную с применяемыми СКЗИ.

По результатам специальной экспертизы, подтверждающим наличие у заявителя необходимых условий для осуществления указанных видов деятельности и соответствие их предъявляемым ФАПСИ требованиям, лицензия выдается заявителю - организатору конкретной корпоративной сети (системы) на право применения в данной сети (системе) конкретных шифровальных средств. Лицензия выдается на каждый лицензируемый вид деятельности. За выдачу каждой лицензии взимается лицензионный сбор в размере 10 минимальных размеров оплаты труда. Перечень шифровальных средств, разрешенных к применению, может впоследствии пополняться по согласованию с ФАПСИ.

Пользователи могут использовать в данной сети разрешенные к применению сертифицированные шифровальные средства на основании заключенных ими с организатором сети договоров, без получения отдельной лицензии ФАПСИ. В этих договорах устанавливаются обязанности сторон по обеспечению безопасности СКЗИ.

При необходимости Лицензионный и Сертификационный центры ФАПСИ выдают пользователям такой сети по их заявкам заверенную копию лицензии организатора с указанием их наименования и юридического адреса. Наличие подобной лицензии или ее копии не освобождает организатора корпоративной сети, а также пользователей от необходимости получения отдельных лицензий на право осуществления деятельности с шифровальными средствами в других сетях.

До получения лицензии ФАПСИ работа с шифровальными средствами возможна только в тестовом режиме на тестовых ключах.

• Приложение 1. Образец заявления о выдаче лицензии на осуществление деятельности, связанной с конкретными сертифицированными шифровальными средствами в данной сети (системе)
• Приложение 2. Требования к заявителю на право установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню "С"
• Приложение 3. Требования к заявителю на право реализации шифровальных средств (средств криптографической защиты информации - СКЗИ)
• Приложение 4. Представляемый заявителем перечень сведений, обосновывающих наличие на предприятии условий для установки (инсталляции), эксплуатации сертифицированных ФАПСИ шифровальных средств и предоставления услуг по шифрованию информации при защите информации по уровню "С"
  

С.В. Чертопруд (опубликовано в журнале "ВКСС Connect" #3/2001)

В среду австралийский суд приговорил некоего Витека Бодена к двум годам тюремного заключения за взлом и проникновения в систему компьютерного контроля за канализацией города Маручидор, Квинсленд.

Как сообщает The Register, взломав систему, Боден взял ее под контроль, в результате чего емкости коллектора переполнились и миллионы литров так и неочищенных нечистот вылились в окружающие водоемы.

"Жизнь прибрежной полосы умерла, вода в бухте стала черной и начала распространять невыносимое зловоние", - рассказала Жанель Бриант, представительница австралийского Агентства по защите окружающей среды.

В процессе проведения слушаний суд установил, что 49-летний Боден как минимум 46 раз атаковал городскую систему контроля за канализацией после того, как ему было отказано в работе в местном совете. Как раз в это время Боден работал в фирме Hunter Watertech, которая устанавливала систему контроля над городской канализацией.

Атаки проводились с марта по апрель прошлого года. При осуществлении последней попытки Боден был схвачен полицией прямо в машине, где были найдены передающее устройство и компьютерное оборудование.

Обследовав лаптоп злоумышленника, следствие обнаружило на его жестком диске программу, позволяющую получить доступ и полный контроль над системой управления канализацией.
(источник - http://www.netoscope.ru/, опубликовано 01.11.2001)

Sophos и Network Associates обнаружили новые почтовые вирусы Производители антивирусных программ сообщили об обнаружении двух новых вирусов. Компания Sophos предупреждает пользователей о вирусе W98/Elkern, который атакует Windows 98 и МЕ. Почтовый червь The KW32/Klez содержит в себе вирус W98/Elkern и автоматически запускает его. Червь также может разослать себя по всем адресам, содержащимся в адресной книге.

По сообщениям Sophos, червь может распространяться в письмах с различными темами, например "Hi, Hello, How are you?, Can you help me? We want peace, Where will you go? Congratulations!!!, Free XXX Pictures, A free hot porn site or Why don't you reply to me?". Вложенный файл с вирусом имеет случайное имя. Адрес отправителя письма также случаен, либо это какой-либо адрес на yahoo.com, hotmail.com или sina.com, либо один из адресов из списка, находящегося в теле вируса. В понедельник было замечено несколько случаев заражения вирусом Elkern/Klez.

Компания Network Associates предупреждает о другом почтовом черве Antset, который пытается выдать себя за патч, защищающий от трояна Ants, обнаруженного в прошлом месяце. Вирус пытается послать себя по всем адресам, найденным в адресной книге или кэше браузера. Червь распространяется в письме с темой "ANTS Version 3.0".
(источник - http://www.cnews.ru/, опубликовано 31.10.2001)

Хакеры лишили New York Times доступа к Интернету

Во вторник вечером в редакции The New York Times на несколько часов прервалась связь с Интернетом из-за DDoS-атаки, устроенной неизвестными хакерами.

По словам системного администратора New York Times, компьютеры редакции, выполняющие роль брандмауэров (средство для защиты остальных компьютеров от хакерских атак) стали получать огромные потоки электронных запросов, что и заблокировало доступ.

Любопытно, что о новой волне DDOS-атак заговорили в США еще на прошлой неделе. Computer Emergency Response Team (CERT) опубликовала предупреждение, согласно в хакерских конференциях активно обсуждаются методы проведения атак с использованием "зомбированных" маршрутизаторов. Маршутизаторы, отвечающие за контроль интернет-трафика, зачастую защищены хуже, чем остальные компоненты компьютерных систем. Хакеры могут взламывать маршрутизаторы с помощью стандартных паролей, которыми их снабжают производители, а затем использовать для "нацеливания" DDoS-атаки (т.е. большого потока лже-запросов) на заданный сайт, что и делает его недоступным.

Практически одновременно с CERT озаботился DDoS-атаками и Пентагон. Как сообщает NewsBytes, в прошлый четверг Минобороны США объявило о конкурсе на лучшую "технику или технологию, защищающую от DDoS-атак”. После рассмотрения предложенных заявок часть участников тендера будут приглашены продемонстрировать свои методы защиты на конференции Denial of Service Defenses Technology Conference, которая пройдет 18-19 декабря в Арлингтоне.
(источник - http://www.netoscope.ru/, опубликовано 31.10.2001)

Министерство обороны США приняло решение снабдить своих военных и гражданских служащих электронными идентификационными карточками. Они обеспечат доступ в здания, включая Пентагон, и в компьютерные сети.

4,3 миллиона человек предполагается обеспечить индивидуальными смарт-карточками в течение 18 месяцев. Считается, что смарт-карты со встроенной микросхемой хорошо защищены от хакеров. Карточка размером с кредитку заменит стандартные зеленые жетоны служащих министерства обороны.

С электронной карточкой служащий сможет заходить на специальные закрытые военные сайты и пользоваться зашифрованной электронной почтой. Таких сайтов в Сети более 900. Авторизация на них занимает от 10 до 15 минут. Система безопасности проверяет индивидуальный номер, фотографию и отпечатки пальцев пользователя.

Если карточка потеряется, ее цифровые подписи дезактивируются, а служащий получит новую. Одна смарт-карта обойдется правительству приблизительно в 8 долларов
(источник - http://www.netoscope.ru/, опубликовано 30.10.2001)

Компания McAfee предупреждает, что дыра в ее антивирусном пакете VirusScan 4.5.1 оказалась серьезнее, чем было объявлено на прошлой неделе.

При работе с почтовой программой Outlook Express версий 5.5 и 6 с среде Windows 2000 или XP повреждается файл .dbx, в котором хранится корреспонденция. В результате Outlook "забывает" пользователя, воспринимая его как нового.

McAfee выпустила заплатку к сбойному антивирусу, количество пользователей которого насчитывает 70 миллионов человек. Избежать потери почты можно также с помощью опции "Compact Messages In The Background" Outlook Express. Кроме того, компания рекомендует отключить проверку почты в антивирусном сканере.
(источник - http://www.netoscope.ru/, опубликовано 29.10.2001)

Правительство США начало расследование факта атаки сайта Национальной администрации по океану и атмосфере (NOAA). Известная группа пакистанских хакеров оставила сообщение с угрозами и требованием выдать экстремистской организации Al Qaeda некоторую конфиденциальную информацию. Данное сообщение, по заверениям хакеров, будет находиться на сайте до тех пор, пока США не согласятся с их условиями.

Как сообщил на прошлой неделе cотрудник NOAA Грэг Эрнандес (Greg Hernandez), сервер был отключен на несколько часов, но затем снова возобновил свою работу.
(источник - http://www.cnews.ru/, опубликовано 26.10.2001)

[Oct17 - 31] Security Info digest #40(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

В kernel ОС SuSe Linux версий 6.3, 6.4, 7.0, 7.1, 7.2, 7.3и некоторых других обнаружено несколько багов, благодаря которым, при
наличии локального доступа к системе злоумышленник может получить уровень доступа root или устроить DoS атаку.
Подробнее:
http://www.securityfocus.com/archive/1/222969
Так же, простейший патч в виде модуля доступен по:
http://www.securityfocus.com/archive/1/223076

В Squid версии 2.4-STABLE1 обнаружена возможность ДоС атаки.
Ошибка обнаружена в части программы, которая обрабатывает FTP запросы.
Результатом ДоС атаки может стать прерывание в работы демона squid.
Следует отметить, что уязвимый пакет Squid поставляется вместе с OS RedHat Linux версий 6.2 (alpha, i386, sparc), 7.0 (alpha, i386), 7.1 (alpha, i386, ia64), а так же 7.2 (i386).
Подробнее:
http://www.securityfocus.com/archive/1/221995
http://www.squid-cache.org/bugs/show_bug.cgi?id=233

В OS IRIX версий от 6.5 до 6.5.12f обнаружена возможность ДоС атаки, которая позволяет удаленному злоумышленнику вызывать сбой в работе системы и kernel panic.
Отметим, что IRIX версии 6.5.13 не подвержен такой уязвимости.
Подробнее:
http://www.securityfocus.com/archive/1/222152

В SSH версии от 1.2.24 по 1.2.31 (ssh.com), а так же F-SECURE SSH 1.3.x, OpenSSH во всех версиях до 2.3.0 и OSSH 1.5.7 (реализованным Bjoern Groenvall) обнаружено переполнение буфера, позволяющее злоумышленнику получить доступ пользователя root.
Уязвимости не подвержены следующие релизы SSH: SSH2 (ssh.com): все 2.x (те, что поддерживают SSH1 - уязвимы), OpenSSH 2.3.0, SSH 1.2.32 (ssh.com, выпущенный 10/22/2001), Cisco SSH, LSH (протокол версии 1 не поддерживается).
Подробнее:
http://razor.bindview.com/publish/advisories/adv_ssh1crc.html

Приглашаем принять участие в семинаре, проводимом компанией Инфотекс в рамках партнерской программы с Информационной системой оптовой торговли ИСОТ: "Создание защищенных телекоммуникаций для корпораций, дистрибьюторских и партнерских сетей ".

Вопросы семинара:

Сетевые решения ViPNet - инструмент для повышения эффективности бизнеса.
- Информация о компании Инфотекс
- Лицензии и сертификаты, выданные компании
- Клиенты, партнеры и проекты компании
- Технология VPN компании Инфотекс

Продуктовый ряд ViPNet
- Выгоды от использования технологии ViPNet
- Стратегия продвижения решений ViPNet
- Технология ViPNet.
- Драйвер ViPNet - основа защищенной сети
- Основные модули комплекса
- Основные функции
- Основные режимы работы
- Интерфейсы и сервисы программы
- "Деловая почта" - защищенный документооборот

ГУП "Москачество" - пример внедрения технологии ViPNet.
- О компании ГУП "Москачество"
- Проблемы безопасности информационных ресурсов.
- Характеристики внедренного ViPNet-решения
- Бизнес- выгоды от внедрения ViPNet- решения

Семинар состоится 19 декабря.
О месте проведения семинара будет объявлено позднее.

Чтобы принять участие в семинаре необходимо зарегистрироваться. Форма для регистрации находится здесь.
Вопросы по семинару просьба отправлять Головкиной Ирине.

ОАО "Инфотекс" приглашает на работу сервис-специалиста в отдел сопровождения и клиентских проектов.

Описание должности:
- работа на "горячей" телефонной линии
- установка, наладка, конфигурирование программных решений компании "Инфотекс" на основе контрактов по установке и обслуживанию
- сервисное сопровождение Клиентов: по телефону, электронной почте, путем выезда к Клиенту (возможны выезды за пределы Москвы)
- сопровождение выпуска, передача и установка новых версий программных решений компании
- проведение учебных занятий в учебном классе компании или на территории заказчика

Требования к кандидату:
- знание внутреннего устройства Интернет, протоколов TCP/IP, протоколов высокого уровня HTTP, FTP, SMTP, POP, IMAP, NetBIOS и др.; знание сетевых технологий (Proxy/Firewall, Internet) и, желательно, криптографии
- отличное знание операционных систем Windows 95/98, Windows NT/2000; инсталляция и настройка
- умение работать с людьми (ведение переговоров, проведение учебных занятий и т.д.)
- знание технического английского (умение читать и переводить английскую документацию на ПО)
- отсутствие проблем со службой в рядах вооруженных сил РФ
- образование высшее

Резюме просьба направлять по адресу hotline@infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.