Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Спустя более года после принятия Федерального Закона "Об электронной цифровой подписи" целесообразно оценить сложившуюся ситуацию
и произошедшие сдвиги в области применения ЭЦП в России. Сразу оговоримся, что проблема рассматривается с позиции потребителя телекоммуникационных услуг, то есть юридических и физических лиц - клиентов или участников различных коммерческих или государственных электронных систем.

В сегодняшнем выпуске рассылки предлагаем Вам статью Владислава Пономарева "ЭЦП в российских коммерческих и государственных структурах ", в которой автор анализирует сложившуюся ситуацию с использованием ЭЦП в различных секторах экономики.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Компания Инфотекс приняла участие во втором ежегодном межрегиональном семинаре-практикуме (конференции) "Практическое обеспечение корпоративной информационной безопасности"

Положение с использованием ЭЦП в коммерческом секторе
Коммерческие структуры продолжают использовать процедуры ЭЦП в рамках замкнутых (корпоративных) систем по схеме, для которой достаточно было соответствующих статей Гражданского кодекса и Закона "Об информации, информатизации и защите информации". Закон об ЭЦП здесь применим лишь постольку, поскольку он не нарушается, определяя правила использования ЭЦП в корпоративной системе ее владельцем. Для того чтобы обмен электронными документами с ЭЦП между участниками такой системы был юридически значимым, по-прежнему требуется дополнительное двустороннее письменное соглашение между сторонами.

Определенные сдвиги произошли только в банковско-финансовой сфере. Прежде всего следует отметить важный шаг в организационной области, который был сделан в результате подписания в конце февраля 2003 года Меморандума о создании "Ассоциации участников доверительного электронного документооборота" (АУДЭД). Его организаторами стали Ассоциация российских банков (АРБ) и Национальная ассоциация участников фондового рынка (НАУФОР). До сих пор банки, например, использовали в общем случае различное программное обеспечение и несовместимые друг с другом форматы ЭЦП, что вызывало справедливую критику со стороны клиентов, имевших отношения с рядом банков и вынужденных эксплуатировать множество программных пакетов и цифровых сертификатов ЭЦП, которые, по сути, предназначались для решения однотипных задач. Одна из основных задач АУДЭД - унификация использования соответствующего ПО в финансовой сфере.

Кроме того, внутри Ассоциации можно добиться (не нарушая Закона об ЭЦП) максимально широкого, организационно простого, технологически удобного и при этом юридически обоснованного использования алгоритма RSA наряду с отечественным ГОСТом. В рамках системы общего пользования (в соответствии с Законом об ЭЦП) это нереально. А вот при трактовке АУДЭД как замкнутой системы в принципе возможно.

Говоря о банковской сфере, следует упомянуть также чисто технологические сдвиги. Полтора-два года назад многие банки в своих системах "банк - клиент" предоставляли клиенту ключевую пару его ЭЦП в готовом виде. Это ставило клиента в крайне уязвимое положение, поскольку у банковских специалистов имелась потенциальная возможность скопировать секретный ключ клиента и использовать его для распоряжения счетом. Сейчас практически все банки дают возможность клиенту самостоятельно генерировать ключи ЭЦП на своем рабочем месте (с предоставлением для сертификации только открытого ключа).

Другой момент, заслуживающий внимания, - переход большинства банков от использования клиентских модулей, осуществляющих связь с банковским сервером через модем, минуя сеть Интернет, к клиентским модулям, реализующим связь непосредственно через Интернет. Это вполне логичное, технологически обоснованное развитие систем такого рода. Западные банки сделали акцент на интернет-банкинге уже давно и в более широком масштабе. Однако вместе с безусловными плюсами появляются и определенные минусы, которые надо учитывать.

Возникают вполне реальные возможности для проникновения через сеть на компьютер клиента, выполнения несанкционированных действий и, в конечном счете, считывания секретного ключа клиента и другой жизненно важной информации. Не стоит забывать и об обычной вирусной опасности, которая может периодически выводить клиентский модуль из строя. Короче говоря, помимо использования организационно-технических способов ограничения доступа к компьютеру должна быть программным образом обеспечена чистота операционной среды (индивидуальный межсетевой экран, программа контроля целостности ПО, антивирусный пакет и т. п.). Определенная сложность заключается еще и в том, что надо не просто выбрать и эффективно настроить соответствующие пакеты, а сделать то и другое так, чтобы их работа не вступала во взаимное противоречие с работой банковского модуля.

Положение с использованием ЭЦП в государственном секторе
Основное отличие для государственных структур состоит в применении (в соответствии с законодательством) только сертифицированных криптосредств, то есть исключительно отечественных алгоритмов ГОСТа для ЭЦП. Подписание Закона об ЭЦП послужило мощным если не технологическим, то психологическим стимулом к созданию различными российскими административными структурами электронных систем с применением ЭЦП. Например, судя по заявлениям в прессе правительство Москвы в настоящее время начинает разворачивать несколько программ в области информационных технологий, подразумевающих в том числе и внедрение процедуры ЭЦП в региональном масштабе.

С потребительской точки зрения наиболее интересны уже функционирующие электронные системы тех структур, с которыми часто контактируют юридические и физические лица. Эти системы заметно различаются как по подходам к реализации, так и по степени успешности.
В качестве примера рассмотрим систему предоставления юридическими лицами данных персонифицированного учета своих сотрудников для Пенсионного фонда (ПФ) и систему предоставления налоговых деклараций налогоплательщиками для Министерства по налогам и сборам (МНС). По многим параметрам они находятся в противоположных концах "спектра".

В обоих случаях право генерации ключевой пары ЭЦП пользователя делегируется администратору системы, что, естественно, вызывает негативную реакцию со стороны пользователя. Однако этим сходство исчерпывается. Системы используют программные продукты от разных отечественных производителей, которые технологически несовместимы. Это касается и форматов ЭЦП.

В системе ПФ с пользователем заключается договор, которым предусматриваются взаимное признание ЭЦП, разбор конфликтных ситуаций при использовании ЭЦП и взятие пользователем обязательства буквально выполнить "Требования
по... эксплуатации шифровальных средств по уровню С", утвержденные ФАПСИ 05.01.97 г., что довольно сложно. Организации приходится не только закупить у фирмы-дилера необходимое ПО, настроить его и выполнить весьма жесткие требования по организации рабочего места, но и оформить все это актами двух комиссий. Такая ситуация привела к тому, что по состоянию на конец марта 2003 года ни одна организация в Москве не перешла на безбумажную технологию предоставления данных в ПФ по каналам связи с использованием ЭЦП.

В системе МНС (под названием ЭОКС) организация и администрирование возложены на специализированного оператора связи - компанию "Такском". Она организует подключение к системе налоговых инспекций и налогоплательщиков. Налогоплательщик подписывает с ней договор, в котором обязуется соблюдать "Правила использования СКЗИ и ЭЦП" (выработанные "Такскомом" и имеющие частично рекомендательный характер) и "Порядок представления налоговых деклараций в электронном виде", установленный приказом по МНС от 02.04.02 г. и определяющий организационную сторону процесса (правовая сторона возлагается на соответствующее российское законодательство). Никаких дополнительных письменных соглашений между пользователем и самим МНС не заключается. Жестких требований по организации рабочих мест с составлением актов не выдвигается. Столь упрощенный и технологичный подход обеспечил подключение к ЭОКС в Москве 2 тыс. абонентов (данные на конец марта 2003 г.). Это пример наиболее успешного внедрения процедуры ЭЦП в госсекторе. Однако если учесть, что всего в столице около 250 тыс. активных юридических лиц, регулярно сдающих налоговую отчетность, то и его на данном этапе нельзя квалифицировать как триумф информационных технологий.

К тому же, медаль имеет и оборотную сторону. В системе МНС отсутствует досудебный порядок разрешения конфликтных ситуаций и нет соглашения, в котором пользователь в прямом виде признавал бы эквивалентность ЭЦП своей рукописной подписи в отношениях с МНС (т. е. соответствующие статьи ГК РФ здесь неприменимы). В то же время сертификационный центр компании "Такском", выдающий сертификаты ЭЦП, не имеет статуса федерального удостоверяющего центра. Следовательно, без дополнительного письменного соглашения между сторонами электронная цифровая подпись на базе этих сертификатов не должна признаваться в судебной инстанции юридическим аналогом собственноручной подписи. Вообще говоря, это дает возможность недобросовестному налогоплательщику подавать в электронном виде ложные налоговые декларации, не опасаясь будущих судебных разбирательств.

Оценивая ситуацию в целом, можно сказать следующее. С одной стороны, в государственном секторе имеются административные и другие рычаги, с помощью которых можно проще и быстрее, чем в коммерческой сфере, добиться если не совместимости, то единообразия использования соответствующего ПО. С другой - министерства и ведомства, похоже, предпочитают учиться лишь на собственных ошибках, не учитывая накопленный опыт коммерческого сектора, т. е. строят автономные системы с ЭЦП на технологически разнородных программных пакетах, используя к тому же различные организационные подходы. Простая мысль, что активность абонентов при подключении к таким системам (а следовательно, и эффективность их применения) напрямую зависит от степени удобства для потребителя телекоммуникационных услуг использования их в совокупности, т. е. от их унификации, пока не принимается в расчет

Перспективы использования ЭЦП в системах общего пользования на базе инфраструктуры удостоверяющих центров
Закон об ЭЦП, по сути, не внес сколь-нибудь существенных изменений в практику применения ЭЦП в замкнутых (корпоративных) системах. Основная польза, которую он мог бы принести, - это юридически правомерное применение ЭЦП в рамках систем общего пользования без необходимости заключать двусторонние письменные соглашения. Для этого достаточно было бы получить сертификат ЭЦП в федеральном удостоверяющем центре, играющем роль электронного нотариуса. Правда, применение в соответствии с Законом исключительно отечественных криптоалгоритмов означало бы построение систем общего пользования только в рамках РФ, но это уже другой вопрос.

Ныне действующие центры, называющие себя "удостоверяющими", функционируют на основе нескольких лицензий в области защиты информации, что делает их деятельность законной, но не превращает их в федеральные удостоверяющие центры в соответствии с Законом об ЭЦП. Более корректно называть их сертификационными, поскольку их сертификаты используются только внутри замкнутых систем и, следовательно, по сути они являются корпоративными.

Однако создание инфраструктуры лицензированных удостоверяющих центров тормозится по двум причинам.

Во-первых, до сих пор не утверждены соответствующие акты: Указ о назначении уполномоченного органа, который, в частности, регистрировал бы открытые ключи самих центров, и Положение о лицензировании удостоверяющих центров. В связи с передачей с 01.07.03 г. функций ФАПСИ (которое по логике должно было стать уполномоченным органом) в другие силовые ведомства все в очередной раз отложилось.

Во-вторых, технологически нецелесообразно создавать сеть удостоверяющих центров, которые используют несовместимое ПО. Это означает, что пользователь сможет контактировать в телекоммуникационной сети только с теми абонентами, которые получают ЭЦП в том же центре. Такая схема не намного лучше ныне существующей совокупности замкнутых систем и дискредитирует саму идею применения ЭЦП в системах общего пользования.

До сих пор попытки выработать единые отечественные форматы ЭЦП в рамках стандарта Х.509 и унифицировать соответствующее ПО предпринимали лишь группы фирм-разработчиков. Следует упомянуть соглашение о сотрудничестве в этой области между ФГУП НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс" в ноябре 2002 года. Еще раньше компании ЗАО "Сигнал-Ком" и "Новый Адам" предложили структуру и формат полей сертификата ЭЦП, удовлетворяющего положениям статьи 6 Закона об ЭЦП и максимально соответствующего стандарту Х.509 и рекомендациям RFC 2459, RFC 3039. К сожалению, ФАПСИ при общем одобрительном отношении к этим инициативам не сочло необходимым или просто не успело до своей реорганизации оказать им существенную координирующую поддержку и централизованно разрешить проблему. Вопрос по-прежнему находится "в подвешенном состоянии". Учитывая, что от момента окончательного согласования унифицированных стандартов до приведения в соответствие с ними всего продаваемого и эксплуатируемого ПО пройдет немало времени, очевидно, что перспективы создания эффективной инфраструктуры удостоверяющих центров в России остаются весьма туманными.

Владислав Пономарев. (Опубликовано в журнале "Мир связи. Connect!")

За взлом различных операционных систем участника хакерского чемпионата получат разное количество очков: ОС семейства Windows оцениваются в 1 очко, Macintosh - 5 очков, Unix - 5 очков. Обещанная награда за участие в хакерском соревновании – 500 МБ дискового пространства для онлайнового хранения данных, что, по словам экспертов, звучит несколько бессмысленно – ведь хакеры, способные взломать тысячи компьютеров, легко могут "одолжить" столько места на корпоративных серверах.

По словам представители ФБР Билла Мюррея (Bill Murray), ФБР очень серьезно отнеслось к данной акции. По его словам, взлом веб-сайтов – это преступление, и участники хакерского соревнования будут найдены и преданы правосудию.

Как заявили вчера представители Министерства национальной безопасности США, им также известно о планах хакеров, однако делать официальное предупреждение они пока не собираются. "Честно говоря, соревнования хакеров проводятся часто, и мы не думаем, что они настолько серьезны, что стоит делать предупреждение", - заявил представитель министерства Дэвид Рэй (David Wray).

Однако, по сообщению экспертов, сотрудничающих с Министерством национальной безопасности, они владеют достоверной информацией о запланированных атаках и уже зарегистрировали несколько пробных взломов, свидетельствующих о том, что хакеры выискивают слабые места в защите корпоративных и правительственных сайтов.

В то же время, Совет ИТ-директоров (Chief Information Officers Council), входящий в Административно-бюджетное управление (одно из основных подразделений администрации президента США), разослал вчера федеральным агентствам и экспертам по информационной безопасности предупреждения с просьбой усилить защиту федеральных веб-сайтов.

Как полагают эксперты корпорации Symantec, рядовым пользователям интернета, не имеющим собственных веб-сайтов, вряд ли стоит опасаться направленных хакерских атак. Принадлежащей Symantec сети глобального мониторинга интернета не удалось пока зарегистрировать никакой массовой активности хакеров.

В то же время, как предупреждает нью-йоркская компания Office of Cyber-Security and Critical Infrastructure Coordination, цель хакеров - взломать шесть тысяч сайтов за шесть часов. Специалисты советуют интернет-провайдерам и другим организациям изменить пароли, более тщательно отслеживать посещение сайтов, снять с серверов необязательные функции и установить самые свежие "заплатки" и обновления ПО от таких разработчиков, как Microsoft.
(источник - http://www.cnews.ru/, опубликовано 03.07.2003)

Как сообщается на сайте CNET News, на прошлой неделе окружной суд штата Вирджиния признал право компании WhenU.com, разрабатывающей ПО с рекламным модулем, аналогичным Gator, размещать рекламу конкурентов на сайте фирмы U-Haul (эта компания занимается перевозками грузов в США). Ранее она подала иск против WhenU.com, обвинив последнюю в нарушении прав на торговую марку, нечестной конкуренции и покусительстве на авторские права.

Представители When-U.com выразили удовлетворение решением суда. По их мнению, рабочий стол пользователя - это такая же рекламная площадка, как и страницы веб-сайтов. Более того, "навешивание" баннеров поверх окон с веб-страницами в WhenU.com считают развитием стандартной модели размещения рекламы в интернете, хотя и признают, что "некоторые этого не понимают".
(источник - http://www.cumpulenta.ru/, опубликовано 03.07.2003)

Присутствовавшие на конференции отметили, что закон позволит упростить процедуры поступления товаров на рынок, а также узаконит права контрольно-надзорных органов. Особое внимание компании обратили на отсутствие в законе запрета на принятие корпоративных стандартов. Производители и поставщики средств и систем защиты информации также отметили ряд опасностей, связанных с вступлением в силу ФЗ "О техническом регулировании". Среди них - необязательность следования требованиям регламентов со стороны производителей, возможное снижение качества продукции и отсутствие ответственности за него.

Участники дискуссий сочли рискованным чрезмерное усиление влияния зарубежных поставщиков на внутрироссийский рынок. Пессимисты предрекают "вымирание российских разработчиков систем защиты информации".

В результате были сформулированы конкретные предложения компаний федеральным министерствам и ведомствам. В частности, предлагается сохранить на переходный период порядок применения технических требований к средствам обеспечения информационной безопасности. Предлагается назначить ответственный государственный орган за разработку технических регламентов в области информационной безопасности, а также исключить лицензирование использования любых средств защиты информации.

Кроме того, участники мероприятия считают, что было бы оправданным совместить испытательные лаборатории и сертификационные центры различных ведомств – ФАПСИ, ФСБ, Гостехкомиссии, МО – в "одно окно", например, при Совете Безопасности РФ.

По мнению представителей компаний, пока не совсем ясно, защиту какого рода информации гарантирует государство. С этим вопросом также необходимо определиться законодательным органам. Участники предложили внести в ФЗ "О техническом регулировании" поправки, направленные на ввод технических регламентов по информационной безопасности. Кроме того, была отмечена необходимость принятия законов "О служебной тайне", "О защите информации", "О стандартах в сфере информационных технологий и средств защиты информации", а также новой редакции закона об ЭЦП.

Участниками мероприятия было указано на опасность превращения процесса выработки стандартов в "арену конкурентной борьбы" как между отраслевыми министерствами, так и между представителями крупного бизнеса. В связи с этим было рекомендовано перевести консультации между властью и бизнесом на постоянно действующую основу.
(источник - http://www.cnews.ru/, опубликовано 29.05.2003)

Если это правда, то данное наблюдение может подлить масла в огонь разгорающейся борьбы со спамерами. В начале этого месяца Федеральная торговая комиссия (FTC) США запросила у Конгресса дополнительные полномочия на преследование и наказание тех, кто занимается массовой рассылкой e-mail. А в середине мая FTC и правоохранительные службы других государств разослали предупредительные письма операторам 1000 серверов e-mail с призывом закрыть свои ретрансляторы.

По разным оценкам, процент спама в трафике e-mail составляет от 30% до 75%. По данным MessageLabs, почти 70% спама поступает из серверов с открытыми ретрансляторами. Однако старший инженер по антивирусам компании Network Associates Крейг Шмугар считает вывод о связи между открытыми ретрансляторами и вирусами натянутым.

"Конечно, было бы интересно сопоставить ретрансляторы спама с ретрансляторами вирусов, если их можно так назвать, но убедиться в том, что эти машины заражены вирусом, нелегко". Шмугар находит корреляции другое объяснение: компьютеры, уязвимые к вирусам, с большей вероятностью могут загружать программы, превращающие систему в открытый ретранслятор. Шмугар отмечает также, что на основании 14%-ной корреляции нельзя делать окончательные выводы.

MessageLabs убеждена, что недавние эпидемии компьютерных вирусов могли быть вызваны спамерами сознательно. Компания уже предупреждала, что вирус Sobig и предшествующие ему варианты могут быть делом рук спамеров. Возможно, эти программы специально предназначены для того, чтобы превращать домашние компьютеры в огромный пул открытых ретрансляторов для спамеров, предполагает Сержент.

Проведенный MessageLabs анализ показывает, что этот вирус открывает ряд "портов" - каналов связи, по которым программы получают данные из сети. Последний вариант вируса, Sobig.E, открывает пять таких портов и загружает по ним дополнительное ПО, превращающее зараженные компьютеры в открытый ретранслятор. Этот механизм может загружать и другие программы, такие как ПО дистанционного управления и "троянские кони".

Сержент указывает также на временные рамки: каждый вариант вируса распространяется в течение примерно трех недель, что может служить дополнительным свидетельством целенаправленного создания этих программ. Например, распространение Sobig.E прекратится 14 июля.

Шмугар из Network Associates подтвердил существование серии из пяти портов, но сказал, что его компания пока не проанализировала механизм обновления ПО. Однако другая фирма, специализирующаяся на защите e-mail, не смогла подтвердить корреляции, обнаруженной MessageLabs.

Конкурирующая с MessageLabs компания Postini просеяла 1,8 млрд электронных писем, зарегистрированных за последние 40 дней, и не обнаружила заметной корреляции. "Мы не заметили никакого дымящегося ствола", - сказал главный технолог Postini Скотт Петри. Тем не менее Петри признает, что Postini, возможно, копала недостаточно глубоко. Свидетельства MessageLabs во многом опираются на первую эпидемию Sobig, начавшуюся в январе.
(источник - CNET News.com, опубликовано 01.07.2003)

Законопроект представлен Дианой Фейнштейн (Dianne Feinstein) – сенатором от штата Калифорния, где аналогичный закон был принят несколько дней назад. В отличие от последнего, общефедеральный закон более гибок и не предусматривает права потребителей возбуждать против компаний судебные иски.

Предложения калифорнийского сенатора прямо противоположны обещаниям администрации Буша обеспечить неразглашение информации о жертвах хакерских атак, чтобы стимулировать их сотрудничество с ФБР и другими спецслужбами
(источник - http://www.SecurityLab.ru/, опубликовано 01.07.2003)

Семинар, проводившийся в рамках программы повышения квалификации специалистов по информационной безопасности, состоялся 24-28 июля в г. Сочи.

В ходе семинара рассматривались актуальные вопросы развития информационной безопасности применительно к работе российских компаний, ведомств, промышленных организаций и банков. Особое внимание было уделено рассмотрению практики решения проблем, возникающих при реализации правовых, организационных и программно-аппаратных методов противодействия угрозам информационной безопасности.

Специалисты компании "Инфотекс" выступили с докладом "Практические подходы к созданию структуры удостоверяющих центров корпоративного уровня", актуальность темы которого определялась современной концепцией PKI, а также законом "Об электронной цифровой подписи".

Особое внимание было уделено тому, что компания "Инфотекс" уже более 10 лет занимается комплексным решением вопросов, связанных с обеспечением информационной безопасности сетей корпоративного уровня. В аспекте практического использования технологии ViPNet в докладе был описан программно-аппаратный комплекс ViPNet и отмечено, что VPN является обязательным элементом в структуре Удостоверяющего центра (УЦ), который, в свою очередь, совмещает в себе функции "классического" УЦ и функции удаленного центра регистрации пользователей как филиала УЦ.

На специально созданном стенде была продемонстрирована работа описанного программно-аппаратного комплекса ViPNet [Удостоверяющий Центр].

Доклад и демонстрация возможностей комплекса вызвали оживленный интерес, которому способствовала еще и теплая атмосфера семинара-практикума, на котором присутствовали представители государственных ведомств и коммерческих структур, телекоммуникационных и промышленных компаний, ведущих компаний-интеграторов в сфере информационной безопасности.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.