Ассоциация Электронных Торговых Площадок и Aladdin обеспечат безопасность госзакупок

Александр Панасенко 19 Февраля 2010 - 17:28

...

Основной задачей «Ассоциации Электронных Торговых Площадок» (АЭТП) является создание и успешное функционирование в России единого интерактивного пространства, что позволит объединить усилия всех электронных торговых систем, действующих в нашей стране. Благодаря широкому территориальному охвату, вступление в АЭТП обеспечивает вхождение в единое информационное электронное пространство федерального масштаба.

Стратегической целью партнерства Aladdin и АЭТП является обеспечение информационной безопасности заказчиков и поставщиков, а также других участников закупок товаров и услуг для государственных и муниципальных нужд. Для развития электронной коммерции важное значение имеет электронная цифровая подпись (ЭЦП), как механизм, обеспечивающий юридическую значимость операций, происходящих в системе электронных торгов между поставщиками и заказчиками. Требования законодательства, связанные с применением ЭЦП, обязывают сохранять в тайне закрытые (секретные) ключи электронной цифровой подписи. Для этой цели компания Aladdin предлагает использовать eToken – персональное средство аутентификации и безопасного хранения ключевой информации, сертифицированное ФСТЭК России (сертификат ФСТЭК России №1883 от 11 августа 2009 г.).

eToken аппаратно поддерживает работу с цифровыми сертификатами и электронной цифровой подписью, что обеспечивает высокий уровень безопасности при использовании ЭЦП в электронных торговых системах. Одним из примеров применения eToken является совместное решение АЭТП, компаний «КРИПТО-ПРО» и «Цифровые технологии» по организации юридически значимого ЭДО в системе электронной торговли и предоставления услуг по выдаче ЭЦП через сеть Аккредитованных удостоверяющих центров. В рамках решения eToken выступает как один из сертифицированных ключевых носителей, предназначенных для хранения контейнеров закрытых ключей, защищенных PIN-кодом.

Стоит отметить, что корректность работы ключевых носителей eToken со СКЗИ «КРИПТО-ПРО» подтверждена сертификатом совместимости, согласно которому пользователи КриптоПро CSP могут применять eToken для хранения закрытых ключей и сертификатов ключей подписи, а также для обеспечения аутентификации и защищенного доступа пользователей к специализированным информационным ресурсам.

Комментируя заключение соглашения с АЭТП в Aladdin подчеркивают, что целью партнерства является совершенствование торгово-закупочной деятельности российских организаций и повышение уровня информационной безопасности электронного документооборота.
Со своей стороны в АЭТП отмечают, что партнерство с компанией Aladdin позволяет расширить сферу применения технологий защиты информационных систем электронной коммерции и торговли. Работа в данном направлении призвана обеспечить поиск эффективных решений в сфере информационной безопасности, что в конечном итоге поможет свести к минимуму риски участников электронных торгов.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 28 Мая 2026 - 09:19

Потенциально опасные программы Шпионские программы Программы слежения Домашние пользователи

Сайты научились следить за пользователями через задержки в работе SSD

У сайтов появился новый способ шпионить за пользователями. Исследователи описали атаку под кодовым названием FROST, которая позволяет веб-страницам отслеживать активность человека через едва заметные задержки в работе SSD.

Полное название техники — Fingerprinting Remotely Using OPFS-based SSD Timing.

Работает она так: сайт загружает в браузере специальный JavaScript, работает с файловым хранилищем OPFS и внимательно смотрит, как меняется время операций чтения с накопителя.

По этим микрозадержкам можно понять, какие сайты открыты у пользователя в других вкладках и даже какие приложения запущены на устройстве.

И да, пользователю для этого почти ничего не нужно делать. Достаточно просто открыть сайт, на котором размещён атакующий код. Никаких кликов, разрешений и подозрительных загрузок, всё происходит тихо и незаметно.

В основе FROST лежит принцип атаки по сторонним каналам. Разные процессы обращаются к одному и тому же SSD, создают нагрузку, а атакующий сайт измеряет задержки при собственных операциях ввода-вывода.

Затем эти данные прогоняются через заранее обученную свёрточную нейросеть, которая пытается распознать активность пользователя по характерным следам.

Особенно неприятно здесь, что атака работает прямо из браузера. Предыдущие атаки такого типа на SSD обычно требовали более низкоуровневого доступа, а FROST обходится возможностями современных веб-платформ. Браузеры давно перестали быть просто окошками для сайтов: сегодня в них крутятся офисные пакеты, редакторы фото и видео, IDE и другие тяжёлые веб-приложения.

Для работы FROST используется OPFS — Origin Private File System, изолированное файловое хранилище, которое сайт может создать для своих задач. Формально оно находится в песочнице и отделено от других сайтов и системы. Но этого оказалось достаточно, чтобы измерять задержки операций чтения и строить по ним отпечаток активности.

Правда, у техники есть серьёзные ограничения. Атакующему сайту нужен очень большой OPFS-файл, скорее всего, размером от гигабайта и выше. Массовая эксплуатация такого трюка быстро стала бы заметной: пользователи могли бы увидеть странный расход дискового пространства. Кроме того, файл должен находиться на том же SSD, активность которого пытаются анализировать. Для вкладок браузера это обычно не проблема, а вот приложения на другом накопителе FROST уже не увидит.

Исследователи полноценно проверили атаку на macOS-устройстве с чипом M2. На Linux они показали, что базовый механизм измерения задержек SSD из JavaScript тоже работает, но полный сценарий атаки не запускали. Windows в исследовании не тестировали.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!