ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Золотов. Windows 8.1: ставка на PC (а PC харкает кровью)

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Андрей Васильков. Десять лучших пакетов офисных программ

Securelist. Спам в марте 2013

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Елена Гореткина. Роль ИТ в повышении конкурентоспособности российских университетов

Сергей Бобровский. Кому сегодня выгодна борьба с пиратством и кто в нём виноват?

Алексей Лукацкий. 1 сентября в отрасли ИБ может наступить коллапс...

Олег Парамонов. Десять перспективных технологий, о которых через несколько лет узнают все

Михаил Емельянников. СМС-оповещения о движении средств по счету: всегда ли это безопасно

Евгений Золотов. Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше?

xakep.ru. Криминалистический подход к анализу временных атрибутов файлов в операционной системе семейства Microsoft Windows и файловой системе NTFS

Securelist. Спам в январе 2013

Pandalabs. По данным Pandalabs, в 2012 году была инфицирована треть мирового числа компьютеров

Евгений Золотов. Цифровые теракты: страшная сказка становится былью

Leyre. Безопасный Интернет-серфинг

Лаборатория Касперского. Операция 'Red October' — обширная сеть кибершпионажа против дипломатических и государственных структур

Юрий Михайлов. Пять древних поисковиков, которые не перевернули мир (не считая Lycos)

Алексей Лукацкий. ИБ в год Змеи. Прогнозы и перспективы

Panda Security. Уязвимости будут основной целью киберпреступников в 2013

Лаборатория Касперского. Дед Мороз:Мошенник или волшебник?

Vision 2030. Информационная безопасность в 2030 году: прежними останутся только люди

Андрей Колесов. 2012-й — юбилейный год отечественного ИТ-рынка

PC-Week. Обновление до Windows 8: ответы на наиболее часто задаваемые вопросы

Лаборатория Касперского. Факты года: TOP 5 ужасов Рунета

CRN. 10 важнейших событий 2012 года в сфере безопасности

Емельянников M.. Панегирик выставочному бизнесу [в области информационной безопасности]

Черевко С.А.. Аспекты и перспективы развития информационной безопасности мобильных устройств

Uncr0wneD. Крэкинг: практика взлома и теория защиты

3dnews. Вы не любите одноразовые пароли? Тогда мы идём к вам!

Luis Corrons. Правда ли, что там опубликованы мои откровенные фотки?..

Популярная механика. Как убить интернет

Vasilis Pappas, Michalis Polychronakis, Angelos D. Keromytis. Устранение гаджетов: противодействие возвратно-ориентированному программированию путем рандомизации кода на месте

Специалист «Лаборатории Касперского». miniFlame, он же SPE: «Элвис и его друзья»

Steve Durbin. Большие возможности — большие риски

Л.Бесцветный. Три дня InfoSecurity Russia глазами обычного человека

Мария Наместникова. Спам в августе 2012 года

Исследовательский центр "Лаборатории Касперского" (GReAT). Полный анализ командных серверов Flame

AV-Comparatives. AV-Comparatives Июль 2012: Тестирование проактивной защиты антивирусов

Ana Etxebarria. Интернет-груминг: орудие педофилов

Лукацкий Алексей. Какой была безопасность в 90-х годах?

Юрий Наместников. География киберпреступлений. Западная Европа и Северная Америка

Роб Шапланд. Методы защиты от brute-force login attack

Евгений Касперский. Что в виндовсе тебе моём?

SecurityLab. Эксперты: Малые и средние компании под угрозой хакерских атак

Доктор Веб. Обзор вирусной активности в августе 2012 года: растущие ботнеты, уязвимость Java и новые угрозы для Android

Panda Security. Подростковый секстинг: бегущие по лезвию

Дарья Гудкова и Мария Наместникова. Спам во втором квартале 2012

Евгений Касперский. Сейф для денег

PandaLabs. Ежеквартальный отчет PandaLabs

Юрий Наместников. Развитие информационных угроз во втором квартале 2012 года

Наталья Анищук. Защита от DDoS-атак: поле для творчества и фантазии

Ной Шахтман. Парадокс Евгения Касперского

WhatsBetter.ru. Что лучше: Windows 7, Vista или XP?

WhatsBetter.ru. Какой антивирус лучше?

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Александр Панасенко. Угрозы в сфере информационной безопасности: итоги 2010 и прогнозы на будущее

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Кристиан Функ. Мошенничество в онлайн-играх: развитие нелегальной игровой экономики

Роман Гольд. Stuxnet: война 2.0

Вячеслав Закоржевский. Лазутчики киберкриминала

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

Берд Киви. Боевой червь Stuxnet

Юрий Машевский. Антивирусный прогноз погоды: облачно

xakep.ru. Как найти украденный ноутбук?

Евгений Асеев. Небезопасный интернет

Курт Баумгартнер. Фальшивые антивирусы: актуальные тенденции

Chad Perrin. Новый взгляд на безопасность Windows: побудит ли решение Google отказаться от продуктов Microsoft и другие компании?

Максим Букин. Безопасность виртуальных платежей

Наталья Касперская. Intel купил McAfee

Виталий Краснов. Хакеры атакуют: как уберечь DNS-сервер

Вадим Стеркин. Так ли страшен контроль учетных записей

Берд Киви. В постели со шпионами

Юрий Ильин. Zeus: вирус, который грабит банки

Виталий Краснов. Гонка вооружений антиспама нарастает

Валерий Марчук. Еще один 0-day в Microsoft Windows или Stuxnet атакует

Владислав Пономарев. Троянская война

Алехандро Мартинез-Кабрера. Стереть себя из Интернета невозможно

Ника Парамонова. Эпоха Windows XP закончилась

Владимир Жилинский. Аппаратные кейлоггеры

Берд Киви. Конфликт криптографии и бюрократии

Берд Киви. Человек против обмана

Мартин Пранкевич. На коротком поводке: ограничиваем пользователей, выслеживаем нарушителей и наводим порядок в локальной сети

Мэтью Саррел. Главные на данный момент угрозы безопасности

Татьяна Никитина. ТОР10 киберпреступлений, в которых Запад отыскал «российский след»

Берд Киви. Безмолвный очевидец

Наталья Касперская. Нужен ли пользователю интернет-паспорт?

Михаил Емельянников. Как защищать персональные данные в интернете

lifehacker.com. Как отличить одно вредоносное ПО от другого

Максим Букин. Как защититься от мобильных мошенников

habr.ru. Взлом сайта: простые советы по безопасности

Виталий Краснов. Бизнес под ударом: веб-приложения остаются «дырявыми»

Дарья Гудкова. Спам и закон

Николай Двас. Запад обвинил Россию в развязывании кибервойн

habr.ru. Узнаем пароли пользователей 1С

Анна Володина. Спам-реклама: дешево и эффективно?

arstechnica.com. Офисный копир — еще одна брешь в безопасности?

mail.ru. 10 самых опасных вирусов в истории Интернета

habr.ru. Ваш автомобиль в недалеком будущем может быть запросто взломан хакерами

Валерий Васильев. Текущее состояние ландшафта кибер-преступности

Артур Лоянич. Как украсть чужой пароль

habr.ru. Банкоматных вирусов пост

Андрей Сидельников. Цензура интернет-трафика становится обычной практикой

Берд Киви. Шпион в кармане

Юрий Машевский. CrimeWare: новый виток противостояния

THG.ru. Symantec: кризис киберпреступности не помеха

Георг Вишерски. Опасности на пути пользователей социальных сетей

Дмитрий Тараканов. За кем охотится ZeuS

Ольга Зайцева. Dr.Web 6.0: ищем изменения

Славик Маркович. Пять главных тенденций в области защиты данных в 2010 году

Дэвид Эмм. Как залатать человеческие уязвимости?

Максим Букин. «Левые» контракты и ошибочные счета

Валерий Васильев. Весна 2010: кибер-преступность и кибер-защита

Олег Зайцев. Интернет магазины — как не стать жертвой мошенников

marcofolio.net. Профилактика SQL-инъекций

Michael Kassner. Свободные адреса IPv4 почти закончились

Владимир Гайкович. Рынок ИБ — это взрослое существо в детской одежде

InfoWatch. Глобальное исследование утечек за 2009 год

habr.ru. Если пришла проверка

Леонид Черняк. Безопасность: облако или болото?

Мария Сысойкина. Internet Explorer 8: Безопасный или неуязвимый?

Александра Бершадская. Биометрическая идентификация: о надежности технологии

Валерий Васильев, Дмитрий Сергеев. Человек — самое слабое звено в ИБ

Иван Шадрин. Корпорации стали уязвимее для хакерских атак

Michael Kassner. Информационная безопасность: что год 2010-й нам готовит?

xakep.ru. 2009: cамые громкие дела ушедшего года

Tom's Hardware Guide. Резервирование и восстановление данных: обзор трёх решений для Windows 7

Игорь Бахарев, Андрей Ковалевский. Торрент потерял только имя

Павел Борисов. Пойман автор порноролика в Москве

Иван Шадрин. Фальшивые антивирусы научились запугивать пользователей

Андрей Крупин. Социальный бэкап

Иван Шадрин. Бизнес уходит в «облака»

Алексей Лукацкий. Информационная безопасность 2010

Андрей Крупин. Ещё раз о защите WiFi-сетей

Raymond.СС. Тестирование антивирусов на быстродействие (Raymond.CC, февраль 2010)

habr.ru. Распространенные заблуждения про банковские карточки

Максим Букин. Монетизация «зловредов»

Андрей Крупин. Киберугрозы: сценарий будущего по версии «Лаборатории Касперского»

Иван Шадрин. От программ-вымогателей можно избавиться вручную

George Kurtz. Операция «Aurora». Удар по Google и прочим

Алексей Алексеев. Как украсть мегабайт

Татьяна Фомичева. Вирус, ложь и видео

winblog.ru. Изучаем скрытые возможности Windows 7

VirusInfo. Кошелек или жизнь: деактивация троянов-вымогателей

Берд Киви. Сюжет из «Плейбоя»

Майор Мышкин. За что могут посадить компьютерщика?

Иван Шадрин. Скорая компьютерная помощь: мошенники по вызову

Андрей Колесов. Антивирусная атака Microsoft

Сергей Яремчук. Новый оборонительный рубеж: обзор популярных систем отражения локальных угроз

Борис Лихтман, Андрей Сидельников. Правительства берут интернет под контроль

Виталий Камлюк. Экосистема ботнетов

Мачей Жарек. %^ef$g73$5r(@&#!! — несколько слов о шифровании и алгоритмах

Андрей Крупин. Безопасность в Windows 7 во всех ракурсах

Дмитрий Копытин. Безопасность при межпроектном взаимодействии

habr.ru. Вы несете деньги в Банк, Банки несут деньги в Bitrix

Андрей Анненков, Ольга Федина. Чужая ОС — потемки, или Где купить XP

Валентин Маков. Сайтокрушение

Mark Russinovich. Миф о дублировании SID компьютера

itsec.ru. SSL-защита ваших данных

Андрей Крупин. Обзор Returnil Virtual System 2010

Лариса Погонина. Скандальное потепление

Андрей Родин. Наилучшая защита беcпроводных сетей

Рик Фэрроу. Переполнение буфера

Берд Киви. Атака c воздуха

Игорь Осколков. Google Chrome OS — это просто, быстро и безопасно!

Вячеслав Закоржевский. Лжеспасатели

katkovonline.com. Ботнет: «был твой — стал мой» или как ботнеты работают

Валерий Васильев. Защита персональных данных накануне 01.01.10

Michael Kassner. Десять способов обнаружения вредоносного ПО

Вадим Стеркин. Управление UAC в Windows 7 и Windows Server 2008 R2

Хайрук Сергей. Проверка на зрелость: сертификация средств антивирусной защиты

Brien Posey. Десять наиболее распространенных проблем, которые можно решить редактированием реестра

Наталья Касперская. Защита от утечек в малом бизнесе — неосвоенный кусок пирога!

SecurityLab.ru. Статистика уязвимостей web-приложений за 2008 год

habr.ru. Способы сокрытия IP-адреса в сети Internet

Дон Рейзингер. 10 аргументов, чтобы остаться на XP до выхода Windows 7 SP1

Николас Колаковски. Windows 7 завершит эпоху Windows XP

Марина Мякишева. Infosecurity 2009: под страхом ФЗ о персональных данных

Алексей Лукацкий. Психология и информационная безопасность

Евгений Зобнин. Устоять любой ценой: методы борьбы с DoS/DDoS-атаками

Дмитрий Чеканов. Режим Windows XP Mode и VirtualBox: когда без XP не обойтись

Кристиан Функ. Ловушки интернета

Игорь Крейн. Бесплатный антивирус Microsoft разгонит платных конкурентов?

Рашид Нургалиев. Электронный патруль

Дмитрий Дурасов. Forefront TMG Beta3: отчет о 3-х месячном тестировании

Джеймс Тернер. Особенности контроля учетных записей Vista

Кеннет Касс. Обратная сторона DLP

Валерий Коржов. Кризис, виртуализация и персональные данные

CNews. Виртуализация: Microsoft готовится к реваншу

Andy Smith. Результаты тестирования: Windows 7 RTM против Vista и XP

Андрей Крупин. Microsoft Security Essentials: антивирус не для всех

Владимир Безмалый. Технологии социальной инженерии

Алексей Стародымов. Возврат денег за ОС: первые результаты

habr.ru. Шнайер о проблеме деидентификации

Влад Чучко. Интервью с Натальей Касперской

Андрей Крупин. Новый подход к защите ПК от Symantec

Степан Ильин. 10 зло-вирусов. Самая нашумевшая малварь за последние 10 лет

Владимир Безмалый. Безопасность мобильных носителей информации

Максим Букин. «Зловреды» для мобильных пользователей

Валерий Васильев. Закон о персональных данных: «градус» обсуждения растет

Ольга Зайцева. Антивирусная защита: нужен второй эшелон

Владимир Безмалый. Автозагрузка в Windows 7

webplanet.ru. МГУ vs DDoS: «Мы даем защиту. Бесплатно.»

Дамир Диздаревич. Механизм хранения имен пользователей и паролей

Владимир Безмалый. BitLocker в Windows 7

Андрей Крупин. Kaspersky Internet Security 2010: территория безопасности

Игорь Крейн, Владислав Михеев. «ВКонтакте» с фишерами и без

Ryan Singel. Google против Microsoft

Дмитрий Евтеев. Анализ проблем парольной защиты в российских компаниях

Андрей Крупин. Первый взгляд на Microsoft Security Essentials

Ольга Зайцева. Нужны ли антивирусы пользователям Mac OS?

Алексей Стародымов, Марина Пелепец. Спам в ICQ: механизмы и способы защиты

Дарья Гудкова. Спамеры Рунета

Андрей Крупин. Microsoft Office 2010: первые впечатления

Вениамин Левцов, Илья Новиков. Защита персональных данных: откладывать больше нельзя

Debra Littlejohn Shinder. Десять причин, по которым Vista-ненавистникам может понравиться Windows 7

Джон Грин. Защита на последнем рубеже (сравнение корпоративных антивирусов)

Артем Рябинков. Усиливаем аутентификацию или зачем нужны одноразовые пароли

Кирилл Алехин. 15 вопросов про спам

xakep.ru. Hyper-V: технология виртуализации для Windows Server 2008

Андрей Колесов. О Cloud Computing замолвите слово

Алексей Стародымов, Марина Пелепец. Вирусы в банкоматах: заключение

Андрей Колесов. О порядке смены ОС

Андрей Крупин. Тонкая настройка Internet Explorer 8

InfoSecurity.ru. Боевые заслуги червя Conficker

Группа информационной безопасности Group-IB. Краткий аналитический вопросник по бот-сетям в РФ 2009 год

Аналитический центр InfoWatch. Глобальное исследование утечек 2008

Владимир Безмалый. Новые технологии, старые проблемы

Евгений Шахов. Круговая защита вашего ПК (сравнение продуктов Internet Security 2009)

John Markoff. Нам нужен новый Интернет?

Питер Брайт, arstechnica.com (перевод – xakep.ru). Windows 7: бета-экскурсия

Данил Анисимов. Утечки данных: текущий год уже обогнал прошедший?

Ольга Федина. Пароль «123456» знаешь? Проходи!

Вадим Ференец. Новый альянс на рынке ИБ делает первые шаги

Андрей Крупин. Секреты Windows 7 Beta

SecurityLab. Тенденции ИБ в условиях кризиса

Владимир Ульянов. Итоги 2008: самые необычные утечки

Марина Мякишева. Кибервойна: вирусные аналитики подводят итоги года

Сергей Гордейчик. Оценка рисков использования Web-приложений

Владимир Ульянов. Персональные данные на практике остаются беззащитными (на основании исследования «Персональные данные в России 2008»)

Денис Зенкин. Уничтожение данных: скрытая угроза растет

Chad Perrin. Десять самых распространенных ошибок в сфере компьютерной безопасности, которые ни в коем случае нельзя совершать

SecurityLab. Международная статистика уязвимостей WEB

Владимир Ульянов. Инсайд 2008: Самые громкие и самые глупые утечки

Прокофьев Никита. Обзор Kaspersky Internet Security 2009

SecurityLab. Сравнение программных пакетов Internet Security – 2008

Интервью с Владимиром Мамыкиным. Информационная безопасность Microsoft

Tom's Hardware Guide. Сравнение программ резервного копирования для рабочих станций

Владимир Безмалый. Контроль использования USB-накопителей в Windows Server 2008

Жан де Клерк. Изоляция угроз из Internet в Windows Server 2008 и Vista

Михаил Карпов. Windows 7: первые сведения о новой системе

Иван Стогов. Сравнительный анализ антивирусного ПО

Дмитрий Антиномов. Защитное ПО в России: секретно ли секретное?

Законодательство. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных»

Законодательство. Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Winblog. Защита файлов паролем

Сабадаш Даниил. Обзор Nero 8

Дмитрий Соколов. Подпись для электронного документа

Денис Михайлов. Взлом и защита учетной записи Windows XP

Андрей Письменный. Тестирование антивирусов

Елена Панасенко. Сменные носители – главное орудие инсайдеров

Михаил Ратнер. Побеждаем вирусы в Vista без использования антивирусных программ

Николай Гребенников. Методы защиты конфиденциальных данных в современных решениях класса Security Suite

Николай Полевой. Шпионит ли Microsoft за обладателями Vista?

Григорий Рудницкий. Kaspersky Internet Security 7.0: первый взгляд

Исследование компании InfoWatch и портала Zoom.CNews. Безопасность мобильных устройств 2007

Николай Гребенников. Клавиатурные шпионы. Часть II. Варианты реализации кейлоггеров в ОС Windows

Николай Гребенников. Клавиатурные шпионы. Принципы работы и методы обнаружения

Виталий Денисов. Опасность безопасных соединений

Андрей Шипилов. «Битрикс» сливается с «1С»

Александр Астахов. Борьба с инсайдерами: подбираем амуницию

InfoWatch. Утечки 2006 - глобальное исследование от InfoWatch

Наталья Касперская. Безопасность от Microsoft: шаг к обновленному миру?

Александр Астахов. Как построить систему управления информационной безопасностью

Константин Черезов. Проблема внутри? Решение там же!

Михаил Пышкин. Международный опыт управления информационной безопасностью для российских компаний

Юрий Машевский. Кража собственности в компьютерных сетях

Интервью с Сергеем Груздевым. Сегмент AAA в России является самым быстрорастущим в ИБ

Алексей Сабанов. Обзор технологий идентификации и аутентификации

Алексей Сабанов, Антон Крячков, Константин Демченко, Сергей Белов. Как управлять закрытыми ключами

Александр Астахов. История стандарта BS 7799

Марат Давлетханов. Secret Disk для защиты корпоративных данных

Ника Комарова. Как защитить компанию от кражи баз данных

Марат Давлетханов. Концепция одноразовых паролей в системе аутентификации

Алексей Доля. Защита конфиденциальных данных на ноутбуках и КПК

Rainbow Technologies. UTM-устройства на страже компьютерной сети

Rainbow Technologies. Атаки на сеть через переполнение буфера – технологии и способы борьбы

Алексей Лукацкий. Предотвращение сетевых атак: технологии и решения

Rainbow Technologies. Технология Precise BioMatch™ - объединяя лучшее в биометрической аутентификации

Опрос. Хакеры и сетевые вандалы: разница в мотивации

Обзор. Безопасность популярных операционных систем в 2006 г.

Полезные советы. Кардинг или безналичный обман

Исследование. Социокультурный аспект внедрения некоторых категорий средств защиты в организациях с преимущественно женским контингентом

Обзор. Развитие вредоносных программ: уязвимости в MacOS X, 2005 — 2006 год

Евгений Касперский. Прогнозы изменений в антивирусной индустрии

Олег Гудилин. Проактивность как средство борьбы с вирусами

Виктор Дронов. Портрет заказчика спамерских услуг в России

Пол Даклин. Простые советы по более разумному выбору и использованию паролей

Круглый стол. Источник со стороны

СофтПоинт. Проблемы безопасности данных в системе 1С Предприятие 7.7 и MSSQL 2000

Алексей Лукацкий. Размышления о Web-студиях и защищенном сайте

Аналитика. Почему ВУЗ не способен подготовить специалиста по безопасности

Законодательство. Правительство РФ утвердило "Положение о лицензировании деятельности по технической защите конфиденциальной информации"

 Марат Давлетханов 

Концепция одноразовых паролей в системе аутентификации

  Технология One-Time Password – одно из самых перспективных решений задачи аутентификации пользователей при передаче информации по открытым каналам связи.

  Как показывают последние исследования, одна из наиболее серьезных угроз в области информационной безопасности для компаний является несанкционированный доступ (НСД) к компьютерным системам. По данным исследования CSI/FBI Computer Crime and Security Survey 2005, в прошлом году 55% компаний зарегистрировали инциденты, связанные с несанкционированным доступом к данным. Более того, в том же году компании потеряли вследствие неавторизованного доступа в среднем по 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.

  Естественно, для российских компаний цифры этих убытков будут совершенно иными, однако это не отменяет самой проблемы: несанкционированный доступ действительно наносит серьезный ущерб компаниям, независимо от того, осознает это руководство или нет.

  Понятно, что надежность защиты от этой угрозы в первую очередь зависит от качества аутентификации пользователей. Сегодня говорить об информационной безопасности без привязки к персонализированному доступу и отслеживанию всех действий пользователей в сети просто не имеет смысла. Впрочем, когда речь идет об аутентификации пользователей на компьютерах, входящих в корпоративную локальную сеть, то особых трудностей не возникает. Рынок предлагает немало различных решений, включая смарт-карты и электронные ключи, биометрические средства аутентификации и даже такие экзотические, как графические пароли. Несколько иначе обстоят дела, если пользователю необходимо подключиться к корпоративной компьютерной сети удаленно, например, через Интернет. В этом случае он может столкнуться с целым рядом проблем, которые мы и рассмотрим подробнее.

Подводные камни удалённого доступа

  Находясь в недоверенной среде (вне офиса) пользователь сталкивается с необходимостью вводить пароль с чужого компьютера (например, из Интернет-кафе). Пароли кэшируются, как и любая другая вводимая в компьютер информация, и при желании ими может воспользоваться кто угодно в своих небескорыстных целях.

  Достаточно распространен сегодня и такой вид компьютерного мошенничества, как сниффинг (от англ. sniff – нюхать) – перехват злоумышленником сетевых пакетов с целью выявления интересующей его информации. Используя этот прием, хакер может "вынюхать" пароль пользователя и использовать его для несанкционированного доступа. Серьёзным испытаниям подвергает простую парольную защиту (особенно при удалённом доступе) новое поколение вирусов-шпионов, незаметно попадающих на компьютер пользователя в ходе обычного "перелистывания" web-страниц. Вирус может быть запрограммирован на фильтрацию информационных потоков конкретного компьютера с целью выявления комбинаций символов, которые могут являться паролями. Эти комбинации "шпион" пересылает своему создателю, а тому остаётся только выявить нужный пароль.

  Понятно, что аппаратный способ организации безопасного доступа в сеть в несколько раз надёжнее простых паролей, однако как воспользоваться своей смарт-картой или USB-ключом, находясь опять же вне офиса? Скорее всего, это не удастся, поскольку для первого устройства нужен как минимум считыватель, для второго – USB-порт, который может быть заблокирован (Интернет-кафе) или, хуже того, его может попросту не оказаться в устройстве, с которого пользователь пытается получить доступ (КПК, мобильный телефон, смартфон и др.). Стоит ли даже говорить о том, что для работы аппаратных средств - смарт-карт и USB-ключей – необходимо соответствующее ПО, установить которое в том же Интернет-кафе вряд ли возможно.

  Между тем ситуации, когда необходимо удаленно получить или отправить информацию, возникают довольно часто. Возьмем хотя бы системы электронного банкинга: несложно представить себе ситуацию, когда для удаленного управления своим счётом, пользователю потребуется доступ к защищенным банковским ресурсам. Сегодня часть банков осознала необходимость использования аппаратной авторизации с применением USB-ключа. Но воспользоваться им по ряду описанных выше причин, можно далеко не всегда.

  Специфика бизнеса многих крупных компаний часто обязывает их предоставлять доступ к собственным ресурсам сторонним пользователям – партнерам, клиентам, поставщикам. Сегодня в России активно набирает обороты такой тип сотрудничества как аутсорсинг: компания-субподрядчик для выполнения работ по заказу может потребоваться доступ к защищенным ресурсам заказчика.

  Потребность подключения к корпоративной сети по надежной схеме аутентификации при наличии под рукой лишь КПК или смартфона может стать серьёзной проблемой, если пользователь находится на конференции, переговорах и других деловых мероприятиях.

  Как раз для мобильных приложений, а также для организации доступа к нужной информации из тех мест, где не возможно установить специальное ПО, была разработана концепция одноразовых паролей OTP - One-Time Password.

Одноразовый пароль: ввёл и забыл

  Одноразовый пароль – это ключевое слово, действительное только для одного процесса аутентификации в течение ограниченного промежутка времени. Такой пароль полностью решает проблему возможного перехвата информации или банального подглядывания. Даже если злоумышленник сможет заполучить пароль "жертвы", шансы воспользоваться им для получения доступа равны нулю.

  Первые реализации концепции одноразовых паролей были основаны на статичном наборе ключевых слов, т.е. сначала генерировался список паролей (ключей, кодовых слов и т.п.), которые потом могли применять пользователи. Подобный механизм использовался в первых банковских системах с возможностью удаленного управления счетом. При активации этой услуги клиент получал конверт со списком своих паролей. Затем при каждом доступе к системе он использовал очередное ключевое слово. Дойдя до конца списка, клиент снова ехал в банк за новым. Такое решение имело целый ряд недостатков, главный из которых – низкая надежность. Все-таки постоянно носить с собой список паролей опасно, его легко можно потерять или его могут украсть злоумышленники. И потом, список не бесконечен, а что если в нужный момент не будет возможности доехать до банка?

  К счастью, сегодня ситуация изменилась самым кардинальным образом. Вообще, в западных странах использование одноразовых паролей для аутентификации именно в информационных системах стало привычным явлением. Однако в нашей стране технология OTP до недавнего времени оставалась недоступной. И лишь недавно руководство компаний начало осознавать риск НСД, в несколько раз увеличивающийся при удаленном доступе. Спрос, как известно, рождает предложение. Теперь продукты, использующие для удаленной аутентификации одноразовые пароли, стали постепенно занимать своё место и на российском рынке.

  В современных технологиях аутентификации с помощью OTP применяется динамическая генерация ключевых слов с помощью сильных криптографических алгоритмов. То есть аутентификационные данные - это результат шифрования какого-либо начального значения с помощью секретного ключа пользователя.

  Данная информация есть и у клиента, и у сервера. Она не передается по сети и не доступна для перехвата. В качестве начального значения используется общеизвестная для обеих сторон процесса аутентификации информация, а ключ шифрования создается для каждого пользователя при его инициализации в системе. (рис. 1)



Рис. 1. Пример генерации одноразовых паролей на стороне пользователя.

  Стоит отметить, что на данном этапе развития технологий OTP существуют системы, использующие как симметричную, так и асимметричную криптографию. В первом случае секретным ключом должны обладать обе стороны. Во втором секретный ключ нужен только пользователю, а у сервера аутентификации он открытый.

Реализация

  Технологии OTP были разработаны в рамках отраслевой инициативы Open Authentication (OATH), выдвинутой компанией VeriSign в 2004 году. Суть этой инициативы заключается в разработке стандартной спецификации действительно надежной аутентификации для различных интернет-сервисов. Причем речь идет о двухфакторном определении прав пользователей, в процессе которого последний должен "предъявить" смарт-карту или USB-токен и свой пароль. Таким образом, одноразовые пароли со временем могут стать стандартным средством удаленной аутентификации в различных системах.

  Сегодня разработано и используется на практике несколько методов реализации систем аутентификации по одноразовым паролям.

Метод "запрос-ответ"

  Принцип его работы таков: в начале процедуры аутентификации пользователь отправляет на сервер свой логин. В ответ на это последний генерирует некую случайную строку и посылает ее обратно. Пользователь с помощью своего ключа зашифровывает эти данные и отправляет их назад. Сервер же в это время "находит" в своей памяти секретный ключ данного пользователя и кодирует с его помощью исходную строку. Далее проводится сравнение обоих результатов шифрования. При их полном совпадении считается, что аутентификация прошла успешно. Этот метод реализации технологии одноразовых паролей, в отличие от всех остальных, называется асинхронным, поскольку процесс аутентификации не зависит от истории работы пользователя с сервером и других факторов.

Метод "только ответ"

   При его использовании алгоритм аутентификации выглядит несколько проще. В самом начале процесса программное или аппаратное обеспечение пользователя самостоятельно генерирует исходные данные, которые будут зашифрованы и отправлены на сервер для сравнения. При этом в процессе создания строки используется значение предыдущего запроса. Сервер тоже обладает такими "знаниями". То есть он, используя имя пользователя, находит значение предыдущего его запроса и генерирует по тому же алгоритму точно такую же строку. Зашифровав её с помощью секретного ключа пользователя (он также хранится на сервере), сервер получает значение, которое должно полностью совпадать с присланными пользователем данными.

Метод "синхронизация по времени"

   В нем в качестве исходной строки выступают текущие показания таймера специального устройства или компьютера, на котором работает человек. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд). Эти данные зашифровываются с помощью секретного ключа и в открытом виде отправляются на сервер вместе с именем пользователя. Сервер при получении запроса на аутентификацию осуществляет те же действия: получает текущее время от своего таймера и зашифровывает его. После этого ему остается только сравнить два значения: вычисленное и полученное от удаленного компьютера.

Метод "синхронизация по событию"

   В принципе, этот метод практически полностью идентичен предыдущей рассмотренной технологии. Вот только в качестве исходной строки в нем используется не время, а количество успешных процедур аутентификации, проведенных до текущей. Это значение подсчитывается обеими сторонами отдельно друг от друга. В остальном же данный метод полностью идентичен предыдущему.

  В некоторых системах реализуются так называемые смешанные методы, где в качестве начального значения используется два или даже больше типов информации. Например, существуют системы, которые учитывают как счетчики аутентификаций, так и показания встроенных таймеров. Такой подход позволяет избежать множества недостатков отдельных методов.

Уязвимости технологий ОТР

  Технология одноразовых паролей считается достаточно надежной. Однако объективности ради отметим, что и у нее есть свои недостатки, которым подвержены все системы, реализующие принцип OTP в чистом виде. Подобные уязвимости можно разделить на две группы. К первой относятся потенциально опасные "дыры", присущие всем методам реализации. Наиболее серьезной из них является возможность подмены сервера аутентификации. При этом пользователь будет отправлять свои данные прямо злоумышленнику. Ну а он может тут же использовать их для доступа к настоящему серверу. В случае применения метода "Запрос-ответ" алгоритм атаки немного усложняется (компьютер хакера должен сыграть роль "посредника", пропуская через себя процесс обмена информацией между сервером и клиентом). Впрочем, стоит отметить, что на практике осуществить такую атаку совсем непросто.

  Другая уязвимость присуща только синхронным методам реализации одноразовых паролей, поскольку существует риск рассинхронизации информации на сервере и в программном или аппаратном обеспечении пользователя. Допустим, в какой-то системе начальными данными является показания внутренних таймеров. И по каким-то причинам они начинают не совпадать друг с другом. В этом случае все попытки пользователей пройти аутентификацию будут неудачными (ошибка первого рода). К счастью, в подобных случаях ошибка второго рода (ложный допуск "чужого") возникнуть не может. Впрочем, стоит отметить, что вероятность возникновения описанной ситуации также крайне мала.

  Некоторые атаки применимы только к отдельным способам реализации технологии одноразовых паролей. Для примера можно опять взять метод синхронизации по таймеру. Как мы уже говорили, время в нем учитывается не с точностью до секунды, а в пределах какого-то установленного заранее интервала. Это необходимо для учета возможности рассинхронизации таймеров, а также появления задержек в передаче данных. И именно этим моментом теоретически может воспользоваться злоумышленник для получения несанкционированного доступа к удаленной системе. Для начала хакер "прослушивает" сетевой трафик от пользователя к серверу аутентификации и перехватывает отправленные "жертвой" логин и одноразовый пароль. Затем он тут же блокирует его компьютер (перегружает его, обрывает связь и т.п.), а сам отправляет авторизационные данные уже от себя. И если он успеет сделать это так быстро, чтобы интервал аутентификации не успел смениться, то сервер признает его за зарегистрированного пользователя.

  Понятно, что для такой атаки злоумышленник должен иметь возможность "прослушивания" трафика, а также быстрого блокирования компьютера клиента, а реально осуществить это - задача не из лёгких. Проще всего выполнить эти условия тогда, когда атака задумывается заранее, причем для подключения к удаленной системе "жертва" будет использовать компьютер из чужой локальной сети. В этом случае хакер может заранее "поработать" над одним из ПК, получив возможность управлять им с другой машины. Защититься от такой атаки можно только путем использования "доверенных" рабочих машин (например, собственный ноутбук или КПК) и "независимых" защищенных, например, с помощью SSL, каналов выхода в Интернет.

Качество реализации

  Надежность любой системы безопасности в значительной степени зависит от качества ее реализации. То есть у практических решений есть свои недостатки, которые могут быть использованы злоумышленниками в своих целях. Причем эти "дыры" зачастую не относятся напрямую к реализуемой технологии. В полной мере это правило применимо и к системам аутентификации на базе одноразовых паролей. Как уже говорилось выше, в их основе лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов. Ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел, может поставить под угрозу безопасность информации.

  Генераторы одноразовых паролей могут быть реализованы двумя способами: программным и аппаратным. Первый из них, естественно, менее надежен. Дело в том, что клиентская утилита должна хранить в себе секретный ключ пользователя. Сделать это более-менее безопасно можно только с помощью шифрования самого ключа на основе персонального пароля. При этом необходимо учитывать, что клиентская утилита должна быть установлена на компьютере (КПК, смартфон и т.п.), с которого в данный момент человек осуществляет сессию. Таким образом, получается, что аутентификация сотрудника зависит от одного пароля. Между тем существует множество способов узнать или подобрать его. И это далеко не единственная уязвимость программного генератора одноразовых паролей.

Рис. 2. OTP-устройство RSA SecurID

  Несравнимо большей надежностью обладает широкий спектр устройств для аппаратной реализации OTP-технологий. Например, есть устройства, по виду напоминающие калькулятор (на рисунке справа): при вводе в них набора цифр, присланного сервером, на основе вшитого секретного ключа они генерируют одноразовый пароль (реализация метода "Запрос-ответ"). Главная уязвимость подобных устройств заключается в возможности его утери или воровства. Если ваш "калькулятор" попадет в руки злоумышленнику, то последний сможет получить желаемый доступ к удаленной системе. Обезопасить систему от подобных действий можно только при условии использования надежной защиты памяти устройства с секретным ключом.

  Именно такой подход реализован в смарт-картах и USB-токенах. Для доступа к их памяти пользователь должен ввести свой PIN-код. Причем данные устройства защищены от его подбора: при трехкратном вводе неправильного значения они блокируются. Надежное хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты) делают невозможным попытки злоумышленника извлечь секретный ключ и изготовить дубликат устройства генерации одноразовых паролей.

Пример реализации ОТР

  Итак, мы определились с тем, что наиболее надежными генераторами одноразовых паролей, защищенными практически от всех уязвимостей реализации, являются смарт-карты и USB-токены. Причем последние явно удобнее в использовании: применять их можно на любом персональном компьютере или ноутбуке без использования дополнительных устройств считывания, как в случае со смарт-картами. Более того, как парадоксально, на первый взгляд, это звучит: существует реализация USB-ключа с технологией OTP, который может работать и без USB-порта. Примером такого электронного ключа может служить eToken NG-OTP от компании Aladdin (на рисунке справа).

Рис. 3. Электронный ключ eToken NG-OTP

  Стоит отметить, что компания Aladdin принимает активное участие в продвижении упомянутой выше инициативы OATH, а рассматриваемый здесь ключ был выбран в качестве основного компонента решения VeriSign Unified Authentication. Правда, называется он в этой системе немного иначе: eToken VeriSign. Главное назначение данного решения – повысить доверие к сделкам, заключенным через Интернет, а в основе его лежит строгая двухфакторная аутентификация на основе аппаратного ключа. Такие OEM-поставки продукта eToken NG-OTP подтверждают его качество и соответствие всем спецификациям OATH.

  Устройства серии eToken достаточно широко распространены в России. Такие ведущие производители как Microsoft, Cisco, Oracle, Novell и др., обеспечивают их поддержку в своих продуктах (в "послужном списке" eToken более 200 реализаций с приложениями для информационной безопасности).

  Итак, в основе eToken NG-OTP лежит другой аппаратный ключ, самая популярная модель в линейке - eToken PRO. Он представляет собой полноценный токен, выполненный на базе чипа смарт-карты с защищенной памятью, который может служить для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.


Рис. 4. Устройство ключа eToken NG-OTP:
1 - микросхема смарт-карты; 2 - защищенный микроконтроллер;
3 - USB-разъем; 4 - световой индикатор режимов работы eToken;
5 - кнопка для генерации одноразовых паролей; 6 - ЖК-дисплей;
7 - источник питания.

  В ключе eToken NG-OTP помимо модулей, реализующих описанные выше возможности, есть аппаратный генератор одноразовых паролей (см. рис.4). Работает он по методу "синхронизация по событию". Это наиболее надежная из синхронных вариантов реализация технологии OTP (с минимальным риском рассинхронизации). Алгоритм генерации одноразовых паролей, реализованный в ключе eToken NG-OTP, разработан в рамках инициативы OATH (он основан на технологии HMAC). Суть его заключается в вычислении значения HMAC-SHA-1, а затем выполнении операции усечения (выделения) из полученного 160-битового значения 6-ти цифр. Именно они и являются тем самым одноразовым паролем.

Рис. 5. Процесс генерации ОТР запускается
путем нажатия на специальную кнопку.

  Интересная особенность комбинированного ключа eToken NG-OTP – возможность использовать одноразовые пароли даже без его подключения к компьютеру. Процесс генерации OTP может запускаться путем нажатия на специальную кнопку, размещенную на корпусе устройства (на рисунке справа), а его результат в этом случае будет отображаться на встроенном жидкокристаллическом дисплее. Такой подход позволяет использовать технологию OTP даже на тех устройствах, на которых отсутствуют USB-порты (смартфоны, КПК, сотовые телефоны и т.п.), и на компьютерах, на которых они заблокированы.

  Наиболее надежен смешанный режим работы рассматриваемого ключа. Для его использования устройство должно быть подключено к ПК. В этом случае речь идет уже о двухфакторной аутентификации, которая может быть реализована несколькими способами. В одном случае для получения доступа к сети необходимо применять собственный пароль пользователя для входа в нее, а также значение ОТР. Другой вариант - требует использования одноразового пароля и значения OTP PIN (отображается на экране ключа).

  Естественно, ключ eToken NG-OTP может работать в качестве стандартного USB-токена – для аутентификации пользователей с помощью цифровых сертификатов и технологии PKI, для хранения персональных ключей и т.п. Таким образом, рассматриваемый продукт целесообразно использовать для реализации широкого спектра проектов, связанных с необходимостью безопасного удаленного доступа и двухфакторной аутентификации. Применение таких ключей-гибридов в масштабе предприятия позволит получить возможность использовать свои ключи как в офисе, так и вне его пределов. Этот подход уменьшает затраты на создание системы информационной безопасности, не снижая ее надежности.

Подводим итоги

  Итак, концепция одноразовых паролей вкупе с современными криптографическими методами могут использоваться для реализации надежных систем удаленной аутентификации. При этом данная технология обладает рядом серьезных достоинств. Во-первых, это, надежность. Сегодня разработано не так уж и много способов действительно "сильной" аутентификации пользователей с передачей информации по открытым каналам связи. Между тем такая задача появляется все чаще и чаще. И одноразовые пароли – одно из самых перспективных ее решений.

  Второе преимущество одноразовых паролей – это использование "стандартных" криптографических алгоритмов. Так что для реализации системы аутентификации с их применением прекрасно подходят уже существующие разработки. Собственно говоря, это наглядно доказывает тот же eToken NG-OTP, совместимый с отечественными криптопровайдерами. Ну а это влечет за собой возможность использования таких токенов в уже существующих системах корпоративной безопасности без их перестройки. Таким образом, внедрение технологии одноразовых паролей можно провести с относительно небольшими затратами.

  Еще один плюс одноразовых паролей заключается в низкой зависимости защиты от человеческого фактора. Правда, это относится не ко всем ее реализациям. Как мы уже говорили, надежность многих программ для создания одноразовых паролей зависит от качества используемого пользователем PIN-кода. В аппаратных генераторах на базе USB-токенов используется полноценная двухфакторная аутентификация. И наконец, четвертое преимущество концепции OTP – удобство ее для пользователей. Получать доступ к необходимой информации с помощью одноразовых паролей не сложнее чем применять для этой цели статичные ключевые слова. Особенно приятно то, что некоторые аппаратные реализации рассмотренной технологии можно использовать на любых устройствах независимо от существующих на нем портов и установленного ПО.

Источник: Aladdin  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100