Страницы

Про пароли и ASIC'и


Мощность сети биткоин достигла огромных величин, и рост не останавливается.
Всё это благодаря узкоспециализированным чипам (ASIC), созданным специально для того, чтобы считать sha256 хэши, меньшие текущей сложности сети.
Схема спроектирована таким образом, что возвращает только определённые хэши sha256 (если бы возвращала все - то потребовалась бы очень быстрая шина). Поэтому использовать сеть биткоин для подбора хэшей не выйдет.

Но мне стало интересно, на что сегодня способно человечество, если ему нужно будет подобрать чей то пароль. 

Допустим вся текущая мощность сети (847,998,392 GH/s, ~10^15 хэшей в секунду) будет направлена на подбор пароля по его SHA256 хэшу.

В табличке время подбора хэша с 50% шансом на успех указано в секундах. 


Пароль, состоящий из случайных символов, букв, заглавных букв и спецсимволов будет взломан с вероятностью 50% за полтора дня.
Всё, что меньше, будет взломано за минуты и секунды.

В реальной жизни пользователи используют гораздо более предсказуемые пароли и задача взломщика сильно упрощается. Однако для построения модели угроз уже можно иметь ввиду, что 65 бит сложности пароля - это примерно день работы суперсети (для SHA256).

Кстати хэширование считается квантовоиммунным (то есть стойкость алгоритмов хэширования не уменьшится при появлении квантовых компьютеров, в отличие от многих других криптоалгоритмов), поэтому очевидно, что роль хэша в современных и перспективных криптосистемах будет только возрастать.

Криптоапокалипс

Летом на сайте АНБ появилась весьма странная новость.
Прогресс в области создания квантовых компьютеров идёт быстрее, чем предполагалось. И АНБ теперь считает всю криптографию, построенную на эллиптических кривых, "недолгосрочным решением". Это, конечно, прямо ice bucket challenge для криптоиндустрии, которая совсем недавно закончила внедрять ECDSA везде, начиная с криптовалют и заканчивая православным ГОСТом 34.10-2012.

В качестве "временного решения" (показательно также, что АНБ не говорит КУДА нам переходить с ECDSA... старичок RSA ведь так же "квантово-взломан") предлагается перейти на кривую secp384/SHA384, однако полностью безопасными до лета 2015 года считались 256 битные кривые. Именно такие используются в биткоин, в банках и новом ГОСТе 34.10-2012 (там, правда, можно и 512 включить). 256 бит - это был порог, который человечество могло и не переступить в принципе никогда... очень не верится, что он может быть пройден в ближайшее время.

Что ещё почитать?

Электронная подпись в IoT

К 2020 году Gartner обещает 26 миллиардов "умных устройств", построенных, в большинстве своём, на проприетарных копеешных аппаратных платформах и лишенных возможности установки обновлений безопасности. Как мы будем обеспечивать защиту каналов связи в таком зоопарке?

Safe Harbour всё (?)

Как известно, наше законодательство по перс.данным во многом списано с европейского. Пересылать перс.данные европейцев внутри Евросоюза легко, но трансграничная пересылка перс.данных в страны, не обеспечивающие адекватной защиты ПДн (например, США), запрещена. Выходят они из этой ситуации очень просто с помощью  принципа "Тихой Гавани" (Safe Harbour Decision), который позволяет американским компаниям объявить о том, что они соблюдают принципы Евроконвенции, и ограничения не пересылку евроПДнов снимаются.

Нашелся один австриец, который не поверил джентельменам на слово, распечатал презенташку Сноудена и ткнул суд в слайды про дружбу Facebook с АНБ. Суд решил запретить Facebook пересылку евроПДн в США и вернуть евроПДны на родину аля 242-ФЗ.

Если в течении 3х месяцев еврозаконодатели не разродятся новым актом, объясняющим тотальный слив перс.данных граждан Евросоюза американским спецслужбам, любой гражданин ЕУ сможет засудить Google, Facebook и многих многих других.

Поживём, увидим.

SOC-форум


11.11.15 состоялся SOC-форум, посвященный построению и развитию центров мониторинга ИБ в России. Всю повестку мероприятия можно описать тремя словами: SOC/SIEM, ГосСОПКА, Финцерт.


Пару слов об отечественном рынке ИТ/ИБ

Частенько слышу в последнее время про то, что импортозамещение приведёт лишь к тому, что рынок наш покинут крупные западные вендоры. Мол никто не будет из-за ~5% доли отечественного рынка в прибыли европейского региона вкладывать миллионы в сертификацию, перевод на русский язык, перенос серверов в Россию и так далее. Никому не интересно инвестировать в нашу страну много денег потому, что рынок у нас маленький и для крупных игроков интереса не представляет.

Статистики по рынку ИТ/ИБ у меня нет (да и вся аналитика в этой области, обычно, высосана из пальца..), но есть замечательная статистика по использованию сети Интернет в мире на Википедии. Думаю, количество пользователей сети достаточно точно коррелирует если не с объемом рынка ИТ, то хотя бы с его потенциалом. Так вот Россия на 6 месте в мире и на первом месте в Европе по количеству активных пользователей сети. А русский язык вообще на втором месте в мире по использованию в глобальной сети после, конечно, английского.

Потенциал у российского ИТ/ИБ рынка большой, и только совсем недалёкий вендор обменяет его на уже давно поделенные рынки Европы, где рост продаж на 5% в год считается феерическим успехом.

Поэтому угрозы и истерики отдельных западных ИТ компаний следует воспринимать как попытки выбить себе экономические преференции, не более.



ГОСТ шифрование в SAP

При построении распределенных корпоративных ИТ систем неизбежно появляется потребность в использовании сертифицированной криптографии. На 90% эта потребность покрывается большим парком различных сертифицированных VPN решений. Однако шифрование на сетевом/транспортном уровне имеет ряд недостатков: удобным можно назвать только site-to-site решения (криптошлюзы), которые не решают проблему внутреннего нарушителя (снифера), открытым остаётся так же вопрос удалённого доступа.

Шифрование на уровне приложений частенько является более экономичным и удобным решением, и тут начинаются проблемы.

95% имеющихся на рынке продуктов, заявляющих о наличии шифрования "по ГОСТу", на деле используют внешние библиотеки (например, КриптоПро CSP). Отсюда и появляется огромная пропасть между двумя понятиями: "Наш продукт реализует шифрование по ГОСТу" и "Наш продукт реализует сертифицированное шифрование".

Если в первом случае использования Crypto API от КриптоПро CSP действительно достаточно, то во втором случае необходимо открыть формуляр на КриптоПро и прочитать в нём п.1.5:

1.5 При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
- при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд. 

Таким образом, если в вашей системе будут персональные данные, или ваша компания учавствует в госзакупках  - то пожалуйте в 8 Центр ФСБ России за согласованием.

Несмотря на то, что факт этот известен не первый год, поток маркетингового вранья из уст вендоров не пересыхает. Будьте внимательны и вовремя стряхивайте лапшу с ушей!

PS "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" давно уже устарели

Электронный ящик - персональные данные


Не прошло и 9 лет действия 152-ФЗ, как РКН, наконец-таки, разъяснил, что же является персональными данными. 

Адрес места жительства ИП - ПДн

Апелляционное определение Волгоградского областного суда от 24.04.2014 по делу N 33-4427/2014 В удовлетворении заявления о признании незаконным представления прокурора об устранении нарушений законодательства о защите персональных данных отказано, так как оспариваемое представление прокурора вынесено в адрес истца в соответствии с законом и в пределах его компетенции.

Адрес места жительства ИП (он же адрес регистрации ИП и адрес осуществления деятельности ИП) - персональные данные, доступ к которым ограничен законом (см. п.5 ст.6 ФЗ от 8 августа 2001 г. N 129-ФЗ ). 

То есть CRMки, где хранятся только "юрики", это, скорее всего, ИСПДн. Их нужно переносить в Россию и защищать по всем нормам 152-фз.

Природа - лучший вирусописатель

Каждый человек примерно год своей жизни болеет простудой, вызываемой риновирусами. В 40% случаев заболевание проходит без симптомов, в остальных случаях наша иммунная система реагирует на болезнь соплями.

Лечат простуду антибиотиками, которые неплохо справляются с бактериями, но абсолютно бесполезны против вирусов. Так врачи сужают последствия неправильного диагноза (ибо схожие симптомы могут быть вызваны и болезнетворными бактериями), ну и эффект плацебо никто не отменял. Иногда мы пьем сиропы от кашля, которые немного снимают симптомы излишней активности собственной иммунной системы (но никак не борются с источником болезни) и привносят в нашу жизнь легкий азарт наступления описанных в инструкции нежелательных последствий в виде лихорадки, учащённого сердцебиения и, в конечном счете, смерти. Примерно так же нам продают DLP в мире ИБ.

Сам риновирус - это 10 "строчек кода" (ген) + белковая оболочка (для сравнения, в геноме человека более 20 000 ген). Большая часть "кода", к тому же, не меняется от штамма к штамму. Не смотря на это, вакцины от риновирусов в природе нет и на горизонте пока что не видно, а наша иммунная система отгребает от этой "самоделки" каждую зиму.

Главная и самая удивительная особенность вирусов - их никто не писал. Они появились сами и эволюционируют быстрее, чем любая другая биологическая система, которую мы наблюдаем.

Возможно ли такое в компьютерном мире? Наверное, да, ибо с увеличением хаоса Интернет всё больше будет напоминать автономную саморазвивающуюся систему, в которой вполне возможна эволюция. А хаос будет расти хотя бы из-за 25 миллиардов вещей из "Интернета вещей", которых Гартнер ждёт к 2020 году. Поживём, увидим.

А пока что наши девайсы, как маленькие дети, тянут любую гадость из сети себе в рот и мы это часто даже не замечаем, ибо потеряли давно уже контроль над установленным софтом и его сетевыми соединениями.

Что ещё почитать?


Новости с криптофронтов


Пару хороших новостей из мира криптовалют:

Если рождение криптовалют немного пугает банки и платежные системы (так как цель криптовалют - создать децентрализированную сеть, в которой банки и платежные системы будут не нужны), то технологии криптовалют вызывают у банков просто таки огромный интерес. 

Возьми открытые исходные коды биткоин, замени Proof-of-Work на Консенсус (например, на базе задачи византийских генералов)  и получишь централизованную на уровне ядра управляемую и контролируемую распределенную сеть, способную стать источником доверия в любой сети вплоть до IoT. Profit! 
Криптография ещё никогда так близко не подбиралась к бизнесу, а значит деньги туда потекут рекой...

DIY. Gurkhas Sword


Объём важной для нас информации растёт из года в год, а привычку контролировать доступ к сети своих устройств и приложений мы оставили где-то во временах диалапа. Ещё чуть-чуть и мы шагнём в облака, где о контроле за потоками информации можно будет забыть.
Как не потерять след своих документов в глобальной паутине под катом.

Безопасность шрифтов в Windows 10


Не так давно исследователь из команды Google Project Zero нашел серьезную дырку в драйвере шрифтов Windows, которая позволяла выполнить код злоумышленника на практически любой версии Windows, открыв специально сконструированный документ или вебстраницу. Предположительно через эту дырку была заражена и корпоративная сеть Касперского.

Интересная презентация про пароли с DEF CON

Набрел на интересную презентацию с DEFCON  (альтернативный линк) про подбор паролей к bitcoin кошелькам.
Собственно, сам bitcoin кошелек есть немного причёсанный хэш SHA256, которые многие используют сегодня для хранения паролей в базах данных и вебприложениях, поэтому тема актуальна и за пределами криптовалют.

Оставь след в Вечности. Учимся засовывать ерунду в блокчеин


Кажется мир потихоньку уже отошёл от первого шока криптовалют, и на развалинах первой волны криптостартапов появляются уже весьма здравые идеи о том, как использовать технологии bitcoin "в мирных целях" (ну то есть без наркорынков и попыток свергнуть национальные валюты).

Деревья Меркла, блокчейны (blockchain) и распределенные леджеры (distributed ledger) заплели половину силиконовой долины и Эстонии (благодаря упрощённому электронному способу регистрации юрлиц в этой стране).

Блокчеин предлагается сегодня как лекарство от любых болезней, и, кстати, заслуженно, ведь блокчеин обладает рядом уникальных свойств:
1. открыто всё: от транзакций до исходных кодов клиентов и служб
2. децентрализация/распределённость и, как следствие, высочайшая отказоустойчивость и доступность. Только в сети bitcoin сейчас 6000 полноценных нод, размазанных по всей планете
3. невозможность подделки блоков - главная особенность всех криптовалют. Целостность 80 уровня!
4. временные метки идут в комплекте с любой транзакцией
5. дешево! Стоимость добавления информации в блокчеин равна минимальной стоимости транзакции (то есть десятые доли цента)
6. достаточно анонимно. Транзакцию можно запустить в сеть через Tor. Транзакция облетит несколько сотен/тысяч нод прежде чем попасть в блокчеин. Ноды по-умолчанию не хранят IP адреса источников транзакций.

Первое альтернативное применение блокчейна - это УЦ. Далее - DNS, регистрация документов, обмен публичными ключами или крипточат!

Чуть более сложные вещи - это цветные монеты и умные контракты. Оба этих феномена способны со временем совершить революцию в финансовом мире. При благоприятном развитии событий лет эдак через 5 KSI заменит RSA, а Ripple будет соперничать со SWIFT!

Так как же использовать блокчеин в своих целях? Мануальчик под катом.

Криптопати от Яндекса: ГОСТ или не ГОСТ?


В пятницу в Яндексе прошел семинар, посвященный отечественным криптоалгоритмам.
Мероприятие было бесплатное, однако регистрация закончилась достаточно рано, но групповой разум в беде не бросил и я таки попал на мероприятие.

Зал хорош. Кофе, чай и печеньки были (правда до фрешей и пиццы в мыло.ру не дотягивает).
Выступали представители Крипто.про, ТК26 и Яндекса. Презентации опубликованы.

Мои мысли и чувства под катом.

Грядущие разъяснения 242-ФЗ

Роскомнадзор не опубликовал обещанных разъяснений норм 242-ФЗ, однако, судя по всему, это сделает в ближайшее время Минкомсвязи как надстоящая организация, уполномоченная давать трактовку положений ФЗ.

Какова позиция регулятора и что нам ждать через 2 недели.

Spear phishing


Фишинг сегодня - это короткая дорожка к чужой информации. Зачем искать зеродеи, ломать защиту и прятаться от антивирусов, если у вас есть прямой доступ к гораздо менее формализованным системам, способным пропускать проверки безопасности, игнорировать предупреждения и обладающим при этом весьма высокими привилегиями?

Текущая позиция Роскомнадзора по 242-ФЗ

На днях состоялась встреча Роскомнадзора с представителями бизнеса, посвящённая вопросам исполнения 242-ФЗ. Говорят, на этой неделе должны быть выложены разъяснения Роскомнадзора по этому поводу. Пока их нет, почитайте, что говорит регулятор под катом.

Комментарии на комментарии Роскомнадзора


В РКН не так давно сменилась команда. Результатом стали платные комментарии от сотрудников Роскомнадзора, ознакомиться с которыми я рекомендую каждому.
Учитывая предыдущую традицию публиковать свои разъяснения на сайте, новый способ доводить позицию ведомства по злободневным вопросам до населения вызывает, мягко говоря, множество вопросов. Лично я вижу в этом коррупцию и желание отдельных сотрудников Роскомандзора получать гонорар за то, за что они уже получают свою зарплату из моих налогов. Ну да ладно. Ближе к делу...

Positive SIEM

Вчера Positive Technologies презентовала свой новый продукт класса SIEM MaxPatrol X.
Шаг логичный и последовательный: от логов и уязвимостей к аналитике и кореляции событий. Продукт  будет построен на одной платформе с MaxPatrol, но может существовать и без сканера. Сертификация во ФСТЭК (и Минобороны) планируется к концу года по НДВ4 и ТУ.
Мысль нормодателей в области ИБ плавно течет в сторону контроля, реакции на инциденты и сбора событий информационной безопасности, поэтому успех отечественному сертифицированному продукту  уже гарантирован только за счёт комплаянса/импортозамещения (что, кстати, создаёт и определенные сложности для будущего продукта. PT рискует вырастить очередной продукт для "домашнего использования", доминирующий в России, но неизвестный на западе).

Защита персональных данных по-русски или пару слов про 242-ФЗ

Месяц назад хакерская группа Шалтай-Болтай выложила в сеть содержимое личного почтового ящика главы Роскомнадзора Александра Жарова. В слитой переписке было много как личной информации (личные фотографии и видеоролики, сканы паспортов близких, мед.справки и многое другое), так и рабочие письма. Ирония этого слива в том, что год назад Жаров отказал в защите тысячам людей, чьи аккаунты отечественных почтовых сервисов утекли в сеть.
Судьба?

Среди слитой переписки был ответ генеральному директору Ассоциации европейского бизнеса Ф.Шауффу по вопросам о 242-ФЗ. Ничего революционного в документе нет, однако кому-нибудь все равно может пригодиться.

Посмотрел кино про Крым


На днях посмотрел 2х часовой фильм про возвращение Крыма.
Стоит сказать, что пропаганду (в хорошем смысле этого слова) достойно снимать, к сожалению, у нас так и не научились. Сцены про усталых казаков, пришедших согреться в храм, или пробирки с порошком, которые хотели сбросить в водохранилище, вызывают только слезы умиления.
Но некоторые вещи меня заинтересовали. Теперь придется ждать лет дцать пока Путин уйдет на пенсию и напишет мемуары, чтобы узнать детали :(

Твой телефон следит за тобой


Параноик — это тот, кто хоть чуть-чуть представляет, как на самом деле обстоят дела...

Мы еще не вступили в век интернета вещей, но уже потеряли контроль за своими гаджетами. Когда то очень давно было время диалапа, и мы следили за доступом всех своих приложений в сеть, так как это было важно: зазеваешься, и твои диалап высосет какой-нибудь Acrobat Reader с никому не нужным апдейтом на целых 20 мегабайт.
Но пришла пора широкополосного доступа, и производители программного обеспечения решили, что нам это больше уже не нужно. Гораздо важнее собирать о пользователе и его окружении всё что можно, дабы знать наперед, что ему нужно  можно продать.

Как я сходил на Security Meetup от Mail.ru



9 апреля Mail.ru организовал небольшую встречу ИБшников у себя в офисе. Формат встречи был выбран весьма удачно: после работы, несколько неглубоких и средних по продолжительности докладов где-то на 2 часа в сумме, большие перерывы и бесплатная еда. Есть время как послушать других, так и пообщаться с коллегами (или поесть!).

В общем, больше всего меня впечатлили не сами доклады (о них можно почитать в отчете Мылару на Хабре), а организация собрания и офис компании.

И ещё раз про Gemalto


Я уже писал свои мысли и чувства про взлом Gemalto, но этих самых мыслей накопилось вот ещё на один пост.

Давайте представим, что GCHQ поимело Gemalto полностью, как написано на их слайде (надо, правда, учесть, что слайды делаются для руководства, а значит успехи GCHQ могут быть преувеличены).
Что тогда? Какие риски и возможные последствия могут наступить для нас с вами?

Подобный анализ будет так же полезен тем, что он может показать насколько вся наша инфраструктура уязвима в случае компрометации всего одного вендора.

Пару трюков для владельцев Sony Playstation


1. Покупайте игры на отдельный аккаунт. Так их легче потом дать поиграть другу или продать. Если аккаунт активирован в системе, то в его игры могут играть все остальные аккаунты. Сейвы и трофеи при этом идут на активный аккаунт (на ваш основной). Система поддерживает одновременно до 16 аккаунтов!

Покупайте чужие аккаунты с играми осторожно, ибо аккаунт контролирует тот, кому принадлежит ящик. Часто так же продают ворованные аккаунты. Будьте осторожны.

2. Покупайте игры на двоих или на троих. Есть группы в социальных сетях, которые организуют такие "закупки".

3. Покупайте.. в Украине! Создавайте украинские PSN аккаунты, привязывайте русские карты, покупайте игры на русском (украинского в PSN все равно нет) в гривнах. Из-за разницы в курсе выходит почти в 2 раза дешевле.

нужна карта украинского банка :(

4. Халявную подписку PSN+ можно раздобыть так:
- регистрируешь новый аккаунт;
- активируешь его на своей приставке (тогда действие подписки распространяется на все остальные аккаунты);
- привязываешь карту и покупаешь пробную бесплатную подписку PSN+ на 14 дней;
- убираешь в настройках PSN аккаунта галку "автоматически пополнять кошелек";
- через 14 дней повторяешь процедуру с новым аккаунтом.

Веселых вечеров! :)

Парсим базу угроз ФСТЭК


Как мы знаем, ФСТЭК на днях запустил портал с угрозами и уязвимостями ГИС/АСУ ТП.
Идея отличная, содержимое любопытное, но форма отображения не совсем удобна.

Кликать по каждой ссылке чтобы посмотреть каждую угрозу очень неудобно. Гораздо удобнее иметь все угрозы и уязвимости в одном файле, из которого их можно автоматически выуживать в соответствие с заданными параметрами. Для этого подойдет XLS, XLSX, XML, но никак не HTML.


Конкурентная разведка от Масаловича

В среду был на бесплатном семинаре Андрея Масаловича по конкурентной разведке.
Это уже третий раз когда я слушаю одного и того же спикера с одной и той же темой и если будет четвертый раз - то я обязательно пойду снова :).

Очень немного у нас людей в сфере ИБ, которые могут 3 часа свободно удерживать аудиторию от засыпания при наличии бесплатного вайфая. И это без "крутых презенташек с котиками", "конкурсов на внимательность" и прочей лабуды, а исключительно за счёт собственной харизмы и знаний, как и должно быть.


Сравнение bugbounty программ от Яндекса и Мэил.ру

В октябре прошлого года я делал анализ утекших паролей Яндекса и Мэил.ру. Как выяснилось, многие ящики были не заблокированы службами безопасности (например, клиенты "Яндекс.Почта для домена", "Mail.ru для Бизнесса", а так же множество ящиков "@inbox.ru@mail.ru", "@mail.ru@mail.ru" и т.д.) по причине недостаточно внимательной работы с утёкшей базой.
Сразу после публикации статьи мне пришла в голову идея написать им в службу безопасности, так как у этих компаний есть действующие программы bugbounty.


Пару мыслей про взлом Gemalto


Мне вот интересно, кто и как решает какую новую порцию сливов "от Сноудена" опубликовать? Имея на руках "сотни мегабайт материалов АНБ", у вас, вероятно, есть выбор, чье грязное белье выставить на публику сегодня.
Причем в некоторых случаях комментарии от самих компаний поступают мгновенно, а в других случаях (как это, например, и произошло с Gemalto) официального пресс-релиза приходится ждать неделю. Почему так? Может быть, одних придупреждают заранее, а другим решают устроить "сюрприз"?
Эти публикации всегда сопровождаются шумихой на бирже. Акции компании падают, и те, кто подготовился к этому заранее, могут неплохо заработать.
Вот и взлом Gemalto произошел в весьма интересное время.

Новости ФСТЭК с ТБФорума


Я редко пишу о новостях, вся суть которых сводится к изменениям, которые ждут нас в будущем. Дело это неблагадарное, ибо не раз уже случалось так, что это самое будущее не наступало или серьезно отличалось от заявленного. Вспомните, хотя бы, историю с поднятием штрафов за ПДн....

Но сегодня, пожалуй, можно сделать исключение.

Вся правда об аудите



Все чаще и чаще в сфере ИБ начинают рассматривать Аудит как форму внешнего контроля эффективности. В таких случаях важно понимать особенности и ограничения аудита, чтобы не остатьcя потом с разбитым корытом.