Как Telegram на самом деле хранит ваши данные в облаке или еще раз про моделирование угроз

Во все еще неопубликованной методике моделирования угроз ФСТЭК есть такой пункт, как необходимость включить в модель угроз описание информационной системы, что позволит правильно очертить границы защищаемого объекта и учесть все угрозы, связанные с ним, в том числе и неявные (вот тут я про это более подробно рассказывал). И вот, находясь в командировке с последующим отпуском в США, я столкнулся с интересным кейсом, который иллюстрирует классическую...

Подробнее…

Уязвимость или закладка? В чем разница?

На волне последних новостей о Shadow Broker и частично выложенным в открытый доступ, а частично выставленном на продажу наборе вредоносного ПО, мне хотелось бы вспомнить о терминологии. А то что-то внезапно и много развелось специалистов по закладкам. Особенно в среде специалистов по поиску уязвимостей. Причем некоторые подменяют понятия "уязвимость" и "закладка" непреднамеренно, а некоторые делают это осознанно, манипулируя терминами в своих интересах, зачастую коммерческих. Итак, я приведу три определения (в разницу терминов defect, fault,...

Подробнее…

Шифрование как граната в руках сапера, пехотинца или обезьяны

Любая безопасность имеет цену, а шифрование особо. Когда оно защищает информацию от троянцев и киберпреступников, оно также защищает преступников от полиции, а террористов от спецслужб. Зашифрованы могут быть не только финансовые транзакции, но и переписка торговцев наркотиками или экстремистов. Любая спецслужба в любом государстве боится, что будет не в состоянии вскрыть переписку интересующих их людей в нужный момент времени. И возникает диллема...

Подробнее…

От депонирования криптографических ключей к свидетельствованию против себя

Если с депонированием ключей и включением обязательных закладок средств доступа спецслужб к средствам шифрования мы разобрались, то есть еще одна тема, к которой мне хотелось бы обратиться и которая пока не нашла своего отражения в российском законодательстве - о собственноручной передаче ключей шифрования спецслужбам со стороны граждан. Эта идея не такая уж и безнадежная, как кажется с начала. Она не вызывает отторжения у производителей - им не надо ничего плохого делать со своими продуктами. Она менее масштабируема, но несмотря на это...

Подробнее…

Что ЦРУ думает о законе Яровой или 7 случаев, когда шифрование не стало препятствием для приговора

Продолжу тему с Поручениями Президента. На этот раз я бы хотел привести несколько цитат представителей американского ЦРУ о законе Яровой. Точнее, бывшего директора ЦРУ и АНБ Майкла Хайдена. И не о законе Яровой, а о попытках США внедрить лазейки в разрабатываемые у них средства шифрования. Хайден 26-го июля этого года дал расширенное интервью радиостанции "Эхо Москвы". Приведу фрагмент, который касается именно шифрования. К. Орлова ― А кстати какая ваша позиция по шифрованию (речь идет о кейса "ФСБ против Apple" - А.Л.)? М. Хайден ― Я в принципе...

Подробнее…

Как российским разработчикам СКЗИ могут закрыть выход на Запад

Продолжу тему с депонированием ключей и включением лазеек в отечественные средства шифрования, которые могут быть узаконены согласно двум поручениям Президента, о которых я написал вчера. Какой бы вариант не был выбран, он будет иметь катастрофические последствия для отечественной индустрии СКЗИ, исключая отдельные направления, в которых будет установлена обязанность применять средства шифрования и отказаться от этого будет нельзя. Про эти последствия говорили до и во время принятия "закона Яровой", хотя и с упором на рынок телекоммуникаций....

Подробнее…

Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования

Последние поручения Президента по криптографии и закон Яровой дали столько пищи для размышлений, что я решил им посвятить им сразу несколько заметок. Я уже написал про: историю гонений на криптографию в России косяки закона Яровой поручение Президента оснастить всех граждан России бесплатной криптографией извещение ФСБ на поручение Президента все ветви регулирования криптографии в России Но на достигнутом останавливаться рано. Сегодня я бы хотел...

Подробнее…

От кибербезопасности к устойчивости информационных систем

Для пятницы заметка; чтобы не особо вдумываться. Да и сам не готов сейчас глубоко копать тему. Но хочу обратить внимание, что сейчас активно стала подниматься тема обеспечения уже не кибербезопасности, как задачи предотвращения угроз, а киберустойчивости (я считаю, что resilience лучше переводить как "устойчивость", а не "эластичность" или "упругость"), как возможности системы осуществлять свои функции даже в условиях непрерывных атак. Наиболее...

Подробнее…

Когда безопасность только мешает бизнесу, нанося ему реальный финансовый ущерб

Продолжая тему, начатую презентацией про обоснование финансовых инвестиций в ИБ, которую я читал на питерской Payment Security, я бы хотел привести кейс, который с цифрами в руках доказывает, что безопасность может мешать бизнесу, снижая его доходы. Если мы "продаем" ИБ под соусом борьбы с угрозами или выполнения регулятивных требований, то эта тема обычно не всплывает и безопасник может думать, что он делает благое дело. Но когда мы начинаем оперировать...

Подробнее…

Изменение правил надзора за персональными данными

Не то, чтобы это новость, скорее для напоминания - Правительство, как и обещало, внесло в Госдуму законопроект о наделении Правительства России полномочием по установлению порядка государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства. Ничего нового в этом законопроекте нет - я про него уже писал. Прошлогодний проект Постановления Правительства приказал долго жить. Роскомнадзор получит право самостоятельно определять правила надзора за ПДн. Все логично - сам надзирает, сам и правила...

Подробнее…

Аппаратная закладка в корпоративную сеть, о которой молчал Сноуден

Тема недокументированных возможностей на системном или прикладном уровне программного обеспечения не дает покоя многим специалистам по информационной безопасности, которые либо закладывают эту проблему в свою модель угроз, либо активно пишут о якобы внедренных закладках в ПО или железо различных иностранных или отечественных производителей. Однако бывают и более простые способы вторжения в корпоративную сеть, даже в физически изолированную от внешнего...

Подробнее…

Криптографический кракен разбрасывает свои щупальца

Как-то снизошло на меня, что надо обновить ключевые презентации/заметки по регулированию криптографии в России, среди которых были следующие: 8 типов шифровальных средств в России 4 ветви регулирования криптографии в России регулирование криптографии в России. Все-таки достаточно много времени прошло с тех пор и мы получили немало новых нормативных документов, говорящих о необходимости применения средств шифрования в настоящем или ближайшем будущем....

Подробнее…