СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?

СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?
Есть ряд классических российских производителей СЗИ, которые плотно работают регуляторами и выводят на рынок свои технические решения только после окончания сертификации. Но бывают и в этом механизме и сбои. Вот несколько примеров.


Пример 1. Решения по межсетевому экранированию и криптографической защите семейства ViPNet CUSTOM. Данные СЗИ обычно славились высокими классами защиты и маленькими ограничениями сертифицированных версий и завоевали большую популярность - используются многими коммерческими компаниями для защиты ПДн, используются, наверное, во всех Гос-ах.

В некотором приближении можно сказать что решением ViPNet пользуется полстраныи эти полстраны сейчас страдают – в последней сертифицированной версии 3.2 отсутствует поддержка современных ОС: Windows 8, 8.1, 10, 2012 Server. А между тем Microsoft уже закончила основную поддержку ОС Windows Vista и 7, на которых ещё работает ViPNet.

Версия ViPNet 4.0 была анонсирована аж 2012 году. С тех пор разработана уже версия 4.3.1 и до сих пор ни одного сертификата ФСТЭК или ФСБ. 3 года. Что они делают всё это время? Не могут встроить качественную закладку?

Почему регуляторы устраивают гонения на западных вендоров, не сертифицирующих обновления для закрытия уязвимостей, а тут допускают использование сертифицированного СЗИ, которое не обновлялось уже более 3 лет.


Пример 2. В документации на некоторые свежие СКЗИ указывается требование использовать антивирус, сертифицированный ФСБ России. Возьмем, например, СКЗИ КриптоПро CSP которым пользуется ещё полстраны.

“При эксплуатации СКЗИ ЖТЯИ.00083-01 должны выполняться следующие требования:

5. СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах. В период отсутствия сертифицированных ФСБ России антивирусных средств для операционной системы iOS допускается использование СКЗИ на работающих под управлением операционной системы iOS устройствах без антивирусных средств, при условии загрузки приложений на устройство, на котором используется СКЗИ, только штатным образом.”

Антивирусов, сертифицированных ФСБ России у нас раз-два: Касперский, Dr.Web и непонятное M-42. Куда смотрят другие вендоры - Nod32, Symantec, McAfee, TrendMicro, КБ SSEP, почему не проходят сертификацию в системе ФСБ России? Кто создает монополию?


Пример 3. В июне 2012 года вышли новые требования ФСТЭК России к средствам антивирусной защиты (профили САВЗ). Немалый ряд вендоров уже успели сертифицироваться по новым требованиям -Касперский, TrendMicro, McAfee, КБ SSEP. А вот один помянутый выше вендор тормозит – сертификации по новым требованиям нет у Dr. Web. А ведь требования к новым классам антивирусной защиты приводятся в приказах ФСТЭК России №17, 21, 31.

Недавно Dr.Web вывесил у себя информационное письмо по поводу использования его для защиты ГИС. С одной стороны, это может показаться разрешением использовать в определенных случаях. С другой стороны – это указание не использовать Dr. Web в новых ГИС и при повторной аттестации существующих. Аналогичные рассуждения и выводы можно провести и для ИСПДн.

Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты ГИС с СКЗИ у нас является антивирус Касперского.

(UPDATE более корректная формулировка) Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты вновь создаваемых ГИС с СКЗИ или при переаттестации существующих ГИС с СКЗИ - у нас является антивирус Касперского.


Пример 4. В феврале 2014 года ФСТЭК России утверждены требования к средствам доверенной загрузки. Прошло почти два года, а сертифицировано только одно СДЗ Alltel TRUST
Чего ждут электронные замки типа Соболь или Аккорд, средства защиты от НСД типа Dallas Lock и SecretNet? Так можно дождаться разрешения использоваться только в старых ГИС и ИСПДн.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости робота-игрушки позволяли общаться с чадом без ведома родителей

В «Лаборатории Касперского» изучили обучающего робота китайского производства и обнаружили уязвимости, которые можно использовать для получения данных о ребенке и общения с ним втайне от родителей. Вендора поставили в известность, проблемы уже решены.

Подвергнутая анализу подвижная детская игрушка, по словам экспертов, представляет собой интерактивное Android-устройство с цветным экраном, микрофоном и видеокамерой. В комплект входят игровые и обучающие приложения для детей, голосовой ассистент, средства подключения к интернету и связи с родителями через приложение, установленное на их смартфонах.

При начальном запуске робот просит обновить софт, выбрать сеть Wi-Fi, привязаться к устройству родителя (чтобы тот смог звонить и отслеживать активность и успехи ребенка), а также ввести имя и возраст пользователя.

Исследование показало, что умный гаджет общается со своим сервером по HTTP, и все данные передаются в открытом виде (сейчас перешел на HTTPS — после обновления прошивки). В результате злоумышленник мог, используя сетевой анализатор, перехватить информацию о ребенке.

Некоторые сетевые запросы тоже позволяли получить конфиденциальные данные. Так, токен доступа к API формировался на основе юзернейма, пароля и ключа, однако сервер отдавал его, не проверяя правильность пароля.

Запрос конфигурации осуществлялся по уникальному ID, однако последний можно было угадать подбором: он состоял из девяти символов и был схож с идентификатором P/N (номером партии), указанным на корпусе робота. Подобная возможность позволяла получить информацию о владельце игрушки, такую как имя, пол, возраст, IP-адрес, страна проживания.

Другой запрос по тому же ID возвращал имейл и телефонный номер родителя, а также код для привязки его мобильного устройства — одноразовый шестизначный пароль, который в отсутствие лимита на попытки ввода легко ломался брутфорсом. Заполучив такие ключи, злоумышленник мог перепривязать робота, подменив родительский аккаунт своим.

 

Исследование также выявило неадекватность защиты видеосвязи: при открытии сессии не проводилось надлежащих проверок. Из-за этого можно было, используя камеру и микрофон, звонить ребенку без ведома родителей.

 

Система обновления робота тоже оказалась несовершенной: отдаваемые с сервера архивы не заверялись подписью. В результате злоумышленник потенциально имел возможность заменить такой файл вредоносным.

«При покупке умных устройств необходимо обращать внимание не только на их развлекательные и образовательные опции, но и на уровень защищённости, — комментирует Николай Фролов, старший исследователь Kaspersky ICS CERT. — Мы рекомендуем родителям внимательно изучать обзоры умных игрушек, следить за новостями об обновлениях программного обеспечения и по возможности присматривать за ребёнком, пока он взаимодействует с таким гаджетом».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru