6 марта 2022 г.

Что почитать на досуге специалисту по информационной безопасности

Этот материал был впервые опубликован в Методическом журнале "Bнутренний контроль в кредитной организации", №1, 2022.

Поделюсь своими впечатлениями об относительно новых для меня книгах по темам, связанным с информационной безопасностью, которые удалось прочитать за последнее время.

2 марта 2022 г.

Об использовании ГОСТ SSL(TLS)-сертификатов


Павел Луцик (КриптоПро) об использовании ГОСТ SSL(TLS)-сертификатов:


"Друзья, вчера одним из иностранных удостоверяющих центров (УЦ) были неожиданно отозваны выданные им SSL(TLS)-сертификаты веб-сайтов крупнейших российских банков (ЦБ, Промсвязьбанк, ВТБ), что привело к невозможности защищенного доступа пользователей к этим сайтам. За последние несколько лет подобная ситуация возникает, к сожалению, не впервые и есть ненулевой риск, что эта негативная тенденция продолжится.

В этой связи остро встает вопрос диверсификации защищенного доступа к веб-сайтам организаций. Достичь этого можно разными способами. Например, получив несколько сертификатов в разных международных УЦ. Но здесь опять же есть риск того, что и эти УЦ в какой-то момент отзовут выданные ими сертификаты.

Одним из возможных способов диверсификации может стать обеспечение поддержи ГОСТ TLS посредством использования сертификата, выданного отечественным УЦ, который можно задействовать в случае отзыва сертификата, выданного зарубежным УЦ.

Что для этого необходимо:

Получить сертификат в отечественном УЦ, например, в этом: https://tlsca.cryptopro.ru/tls.htm.

На стороне пользователя (при доступе к веб-сайту с ПК) установить одну из актуальных версий КриптоПро CSP и один из браузеров, поддерживающих ГОСТ TLS (Яндекс.Браузер, Internet Explorer, Chromium Gost). При этом важно отметить, что лицензия на КриптоПро CSP при одностороннем TLS (односторонняя аутентификация сервера по сертификату сервера), не требуется. Кроме этого, что не менее важно, при использовании сертификата, полученного в указанном выше УЦ, доверие к корневому сертификату данного УЦ и выданным им сертификатам, на стороне пользователя обеспечивается автоматически, т.к. корневой сертификат данного УЦ зашит в дистрибутив актуальных версий КриптоПро CSP и устанавливается в ОС автоматически при установке на ПК пользователя ПО КриптоПро CSP.

На стороне пользователя (при доступе к веб-сайту с мобильного устройства с ОС Android или iOS) реализовать для мобильного приложения поддержку ГОСТ TLS посредством CryptoPro CSP SDK, в том числе возможно использование механизма SSL Pinning. Использовать мобильные браузеры для доступа к веб-сайту по ГОСТ TLS, к сожалению, не получится, т.к. в настоящее время мобильных браузеров, поддерживающих ГОСТ TLS, не существует.
По любым вопросам, коллеги, обращайтесь, на info@cryptopro.ru или мне в личку, готовы будем помочь."

28 декабря 2021 г.

Доверие и преданность или ловля и слежка?

Поговорим о вопросах этики и доверия.

Вряд ли мир придёт к единому подходу к этике при использовании цифровых технологий (распознавание лиц, данные в облаке, применение ИИ, слежка за сотрудниками, неприкосновенность частной жизни), потому что весь предыдущий мировой опыт свидетельствует о невозможности добиться согласия по множеству других философских вопросов, важных для людей.

26 ноября 2021 г.

Итоги 2021 или Каждый выплывает как может

При написании итогов года буду по сложившейся с прошлого года традиции опираться на записи из своей ленты в Facebook за 2021.

Телефоны на деревьях

Символом 2021-ого года, как мне кажется, могут быть телефоны на деревьях, которые развешивали частные водители-курьеры Amazon, чтобы получать быстрее заказы. Это стало следствием ужесточившейся конкуренции в условиях вынужденной из-за пандемии самоизоляции людей.