четверг, 16 сентября 2010 г.

Как обойти DeviceLock, или еще раз о пользе тестирования


Один мой институтский дипломник решил взять тему "внедрение системы контроля съемных носителей на предприятии". Проводя исследование проблематики вопроса, встал перед выбором программного продукта для технической реализации поставленной задачи и решил остановиться на ПО под названием DeviceLock компании SmartLine: продукт известнейший и обладающий массой регалий, включая всевозможные сертификаты (в том числе и ФСТЭК). Как полагается, развернул тестовую мини-лабораторию из 4 машин (три клиентских с разными версиями ОС Windows, одна - сервер управления), и скачал с сайта демонстрационную версию. Потратив время на изучение достаточно толстого мануала, начал разбираться в настройках, "развернул" ПО на всех четырех машинах и начал понемногу тестировать.

И вроде бы все работало хорошо: на стареньких машинах с Windows XP блокировались и принтеры, и флешки, и сидиромы, и весь остальной функционал проходил "на ура". Однако все резко изменилось, когда дело дошло до более мощной машины с Windows 7. При подключении к ней коммуникатора с Windows Mobile "на борту" система никаким образом не реагировала и свободно давала возможность подключить, синхронизировать контент, получить доступ к памяти устройства и даже запустить Internet Sharing. При этом, на других машинах с аналогичными устройствами, синхронизация и Internet Sharing тоже работали, однако доступ к внутренней памяти был заблокирован. Что он только не делал: и переустанавливал софт, и сто раз перепроверял настройки - бесполезно. Параллельно выяснилось, что доступ к принтеру на W7 ПО также не блокировало. И наконец, настало время обратиться в техподдержку...

Относительно недолго пробиваясь сквозь support1, просившей файлы с настройками и проверявшей ключи в реестре, проблема была передана на support2, приславшей ключ, разрешавший сбор логов. Дипломник провел еще несколько экспериментов, и эти логи были отправлены разработчику. Тот соображал несколько дольше, и, наконец, последовал ответ техподдержки:

Дело в том, что для корректной работы функции контроля, которая внедряется в приложения, работающие с такими устройствами как iPhone, WinMobile, Palm, Printers, Blackberry, требуется хотя бы 5 секунд после запуска приложения. Допустим, открыв документ WORD и сразу же отправив его на печать, при закрытом доступе для Всех печать пройдет и в аудит логе ничего не отобразится. Но если открыть документ и подождать5-7 секунд перед отправкой на печать, то печать запретится. То же самое и с WinMobile: если WMDC довольно таки быстро запускает все свои сервисы и начинает синхронизацию, то она проходит, если немного замедляется, то инжект успевает перехватить действия. В будущей новой версии задействован уже новый механизм контроля, благодаря которому такая проблема решится. Сейчас же, когда ожидается выход новой версии (7.0) кардинально изменять код под 6.4.1 не имеет смысла, на это уйдет еще больше времени, чем подождать когда выйдет 7.0.

На резонное замечание о том, что во-первых, как заставить пользователей "подождать 5-7 секунд перед печатью после запуска приложения" (на практике Windows Mobile не блокировался и через минуту, и через пять), и, во-вторых, как такой "баг" позволил получить сертификат ФСТЭК, или сертифицированная версия чем-то отличается он несертифицированной, было отвечено пожиманием плечами и словами о том, что "поиск багов и глюков в продукте процедура сертификации не включает".

Так что, уважаемые коллеги, внимательно относитесь к процедуре тестирования любого ПО перед принятием решения о его использовании. Сторонникам "сертифицированного" ПО, мне кажется, также стоит несколько пересмотреть свои взгляды...

среда, 15 сентября 2010 г.

Чей Wi-Fi? Пройдемте...


Беспроводные технологии многие считают технологиями будущего, однако уже сейчас они успешно используются в быту: сотовый телефон или модем, ноутбук с "вай-фай", "блютуз"-гарнитура - всем этим пользуется очень и очень много людей, и даже если не пользуется, то слышали уж точно.  "Познай неограниченную свободу без проводов!" - под таким лозунгом беспроводные технологии внедряются сейчас во все мыслимое и немыслимое - даже в холодильники и телевизоры, и они действительно вносят комфорт в нашу и без того напряженную жизнь. Однако государство "неограниченную свободу" населению давать не спешит, и даже в этой казалось бы простой и понятной всем сфере вносит свои, пусть небольшие, но все же коррективы.

На сайте Роскомнадзора можно обнаружить следующее:

В соответствии с п.2 ст.22 Федерального закона от 07.07.2003 №126-ФЗ "О связи" оборудование радиодоступа диапазона 2400-2483,5 МГц подлежит регистрации. Исключение составляют оконечные (пользовательские) радиоэлектронные средства указанного диапазона с мощностью не более 100мВт (ноутбуки, сотовые телефоны с модулями Wi-Fi, Bluetooth и т.п.) (см.п.16 ППРФ от 12.10.2004 №539 "О порядке регистрации радиоэлектронных средств").

У многих, очень многих людей в квартире, коттедже, загородном доме развернута "домашняя сеть" с применением технологии Wi-Fi. Удобно и легко, а главное - дешево. Однако пользоваться такой сетью просто так нельзя: оказывается, согласно того же сайта Роскомнадзора,

Точки беспроводного радиодоступа, используемые владельцами радиоэлектронных средств для организации беспроводных сетей передачи данных, не являются оконечными устройствами и подлежат регистрации в органах Роскомнадзора.

Сегодня я посетил сайт Роскомнадзора с целью полюбопытствовать относительно того, что же необходимо сделать для регистрации точки доступа физическому лицу. И вначале был приятно удивлен: можно заполнить заявление прямо на сайте, распечатать его и отправить регулятору. На первый взгляд, заявление не выразило никаких вопросов. До тех пор, пока я не "ткнул" в поле "Список РЭС"...
 
Итак, для того, чтобы физическому лицу зарегистрировать имеющуюся в квартире точку доступа, помимо собственных персональных данных необходимо указать:
 
  1. Тип и наименование РЭС (ну, с этим понятно - на сайте тип один, и есть даже перечень, однако своей точки доступа ASUS WL-530gV2 я там не нашел);
  2. Заводской номер и условия эксплуатации (тоже вробе без проблем)
  3. Адрес места установки (ясно), желательно - географические координаты (ширина и долгота - без GPS не получить);
  4. Мощность на выходе передатчика радиоэлектронного средства (мощность высокочастотного устройства), Вт, либо эффективная изотропно излучаемая мощность радиоэлектронного средства, дБВт. В спецификациях на устройство указана излучаемая мощность 12-15 dBm - в переводе на русский дБмВт, что равно 0,012-0,015 дБВт. Порядок.
  5. Классы излучения 15M0G7D, 1M00F7D, 20M0G7D или "иное". Вот тут я "впал в ступор": единственное, что было в руководстве - это Operating Frequency (рабочая частота), Data Rate (скорость передачи данных) и Range (дальность связи) - но к классам излучения это не имеет отношения. Погуглил - не нашел ничего. Вопрос так и остался открытым.
  6. Идентификационный номер РЭС в сети связи - MAC адрес точки доступа, можно отыскать.
  7. Идентификационный номер сети связи - эммммм...?
  8. Тип антенны - специализированная или интегрированная - тоже непонятно: "интегрированная" - это встроенная или "шедшая в комплекте"? Скорее всего первое, да и антенна "накручивается" на разъем - стало быть "специализированная". Однако характеристик ее в руководстве нет, а стало быть - указать нечего.
В общем, с первой попытки, что называется, "с кондачка", физическому лицу заявление о регистрации не заполнить, а значит - придется обращаться к регулятору за разъяснениями.

Указанный "анонс" о регистрации был размещен на сайте Роскомнадзора в октябре 2009 года. Сегодня я обзвонил своих знакомых - владельцев Wi-Fi - и зашел в пару компьютерных магазинов. Ни один из моих знакомых не то что зарегистрировался - даже не знал о такой необходимости, а продавцы-консультанты в магазинах компьютерной техники делали круглые глаза при слове "Роскомнадзор". Так что последнему, очевидно, есть еще над чем работать, но вот ради чего - мне так и не понятно. Может, из читателей кто объяснит...

суббота, 11 сентября 2010 г.

Письма лично на почту? Да ну...


Сегодня анонимный читатель этого блога (друзья, пожалуйста, подписывайтесь - это занимает не очень много времени, но позволяет мне хотя бы сказать "необезличенное" "спасибо"), в продолжение темы "Письма лично на почту ношу..." прислал ссылку на очень интересную статью под названием "Собственные нужды оператора ПДн - миф или реальность?".
Размещена она на сайте fz152.ru, принадлежащем некоей организации "Ассоциация "Электронные системы" ООО "Научно-исследовательский центр "ФОРС", автор произведения - директор по развитию этого ООО, господин Шмелев Павел Владимирович.

Честно говоря, я не раз читал и слышал массу всяческих доводов в пользу необходимости и обязательности получения лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ), однако такого развернутого, масштабного и исчерпывающего объяснения мне встречать еще не доводилось. Творение, безусловно, заслуживает полного прочтения, что я и сделал - от корки до корки. А потому могу позволить себе высказать свои комментарии по поводу прочитанного.

Начнем с названия и привязки. Красной нитью в статье проходит мысль о том, что "собственные нужды" и "защита персональных данных" - вещи несовместимые. И это действительно так. Оператор, защищая персональные данные граждан, по идее действует не в своих интересах - а в интересах самих граждан. Но это только по идее. На самом деле граждане - вторичны, первично же - желание "не подставиться" перед регуляторами, а для этого необходимо соблюдать и ФЗ, и ПП и все остальное, что перечислено в статье.

Также не будем забывать, что логическая цепочка "Гражданский кодекс" - "128-ФЗ" является де-юро незыблемой, а это значит, что выражение "деятельность" в рамках лицензирования эквивалентно термину "предпринимательская деятельность". И это правда: ведь лицензия выдается именно на "деятельность", и поэтому ФСТЭК заставляет потенциального лицензиата внести в учредительные документы изменения, дающие последнему право такой деятельностью заниматься и, теоретически, извлекать из нее прибыль. Однако ни о ГК, ни о "деятельности" согласно ГК в статье вообще не упоминается и, следуя приведенной в статье логике, все без исключения операторы (включая некоммерческие организации и государственные учреждения) просто обязаны получать лицензию. Автор, очевидно, полагает, что все операторы осуществляют "деятельность", направленную не на извлечение прибыли, а на соблюдение законодательства.

Пропуская длиииииинное "бла-бла-бла" про "собственные нужды" (хотя много что заслуживает отдельного поста), я позволю себе остановиться на этом предложении:

Оппонентам, оставшимся после прочтения этой статьи при своей точке зрения, хотелось бы порекомендовать пойти чуть дальше в своих умозаключениях, раскрыв понятие «собственные нужды» в терминах действующего законодательства и с учетом положений ФЗ 152.

Уважаемый Павел Владимирович! Я, безусловно, отношусь к любому труду с уважением.  Учитывая то, что Ваша организация занимается услугами в области защиты ПДн, и то, что получить лицензию простому желающему, самостоятельно, без посредников и "блата", весьма проблематично и ОЧЕНЬ дорого, Вы, публикуя такого рода материалы, отлично справляетесь со своим функционалом!

Однако, потратив время на прочтение, я остался при своей точке зрения, в силу, очевидно, "недалекого ума". Свои "недальновидные умозаключения" по поводу неправильности выбора вектора и смещения его от понятия "деятельность" к понятию "собственные нужды" я уже сделал. Позволю себе еще парочку. Фразы, предваряющие указанное выше предложение, выглядят совершенно чудесным образом:

Осмысление проблем, стоящих перед бизнесом в свете требований ФЗ 152 приводит к выводу о необходимости соблюдения баланса между интересами личности и интересами бизнеса. Введение отраслевых стандартов (а, в дальнейшем, вероятно, и института саморегулирования) в этой сфере - есть эффективный инструмент достижения этой цели. В то же время, несмотря на очевидный антагонизм прав личности и потребностей бизнеса, такие документы, бесспорно, обязаны учитывать не только «нужды» членов отрасли. В первую очередь они должны учитывать интересы личности.

Судя по всему, автор всерьез полагает, что наличие весьма дорогостоящей лицензии ТЗКИ у оператора дает гражданину - субъекту ПДн - возможность чувствовать себя как "у Христа за пазухой", передавая тому свои персональные данные? Или что владелец небольшого фотосалона с 5 сотрудниками и 300-ми клиентами сможет осилить полтора миллиона за лицензию плюсом к стартовому капиталу в 200 тысяч рублей за весь фотосалон? Вряд ли. Лицензия ТЗКИ ровным счетом ничего не дает субъекту, и отнимает средства у без того небогатых операторов в пользу государственных органов, которые, как показывает практика, и являются главными источниками утечек персональных данных граждан. Автору можно порекомендовать зайти на рынок, купить базу данных ГИБДД, отыскать там себя и обратиться в суд с иском против ГИБДД. Как вы думаете - отсудит ли что-нибудь автор в качестве компенсации морального ущерба? Вопрос риторический. И таким он останется даже в том случае, если ГИБДД получит лицензию ФСТЭК на ТЗКИ (прости Господи) - согласно дальновидных умозаключений автора, "гаишники" просто обязаны это сделать.

Всему виной терминологическая путаница: стоило назвать 128-ФЗ "О лицензировании отдельных видов ПРЕДПРИНИМАТЕЛЬСКОЙ деятельности" - вопросов бы ни у кого не возникло. Вряд ли кто-то из уважаемых экспертов сочтет мероприятия, связанные с защитой оператором ПДн субъектов, "предпринимательской деятельностью" - в противном случае все без исключения операторы, в том числе и ГИБДД, являются "предпринимателями" со всеми вытекающими. Однако эти нюансы исправлять никто не спешит - наоборот, постоянно идет "подогрев" общественного сознания - а значит, это кому-то выгодно. Поэтому, ни о каком балансе и ни о каких интересах личности говорить, увы, не приходится. Ну а для ООО, топ-менеждером которого является автор обсуждаемого материала, эта тема - хлеб, поэтому, как говорится, приятного ему аппетита!

PS. Всем, кому интересна еще одна тема - про казуистику российского законодательства в области автоматизированной и неавтоматизированной обработки ПДн - очень рекомендую зайти сюда.