?

Log in

No account? Create an account

Entries by category: криминал

[sticky post]ОГЛАВЛЕНИЕ
Джакарта, ЕГАИС, ИБ, еТокен, Токены
hidden_file
Приветствую, читатели!
Материалов накопилось многое множетво, а листать-то не всегда есть время и желание. Решил тут вам оглавление запилить, чтобы все можно было найти.
Какой токен для ЕГАИС выбрать? Подборка текстов обзоров токенов Джакарта, Рутокен и т.д.

– Сравнение токенов: какой токен выбрать для использования в ЕГАИС-розница
– Характеристики крипто-ключа Джакарта от Аладдин Р.Д. (JaCarta ЕГАИС)
– Работа над ошибками, или какие у Джакарты отзывы. Только пользовательский опыт.
– Джакарта-2 ГОСТ. Чего ждать?
О ЕГАИС

– Введение: о ЕГАИС, принципы работы и т.д.
– Он сказал поехали и махнул рукой! Как разлетелись в разные стороны Gemalto и Аладдин Р.Д.
– ЕГАИС: была ли нечестная игра на старте проекта?
– 1000 и 1 сказка Аладдина
– 1000 и 2 сказки Аладдина
– Как ЕГАИС 3.0 отразится на алкогольном ритейле?
– Куда ЕГАИС заведет?
– Футуристические записки: куда развивается ЕГАИС
История ЕГАИС
Цикл материалов, посвященных развитию ЕГАИС: от идеи, формирования законодательно-правовой базы,

– Часть 1: 2005 - 2007
– Часть 2: 2007 -2009
– Часть 3: 2009 - 2018
Видео подборки

– Полезные видео РАР
– Конференция РАР, посвящённая фиксации в ЕГАИС производства пива, сидра, пуаре и медовухи
ГОСТы

– О переходах на новые ГОСТы. Наблюдение.
– Еще раз о переходе на новые ГОСТы
Немного о юридической и технологической базах
Пиво в ЕГАИС

– Останутся ли ИП в алкогольном бизнесе?
– Солод и хмель теперь будут подлежать лицензированию
– 8 маразмов о регулировании пива от ProfiBeer
ЕГАИС для лекарств, продуктов, сигарет и т.д.

– Продовольственный ЕГАИС. Меркурий
– Минпромторг анонсировал запуск аналога ЕГАИС для метанола
– Медицина будущего с помощью технологий ЕГАИС
– Духи не станут частью ЕГАИСа: общественные слушания проекта постановления Правительства
– Подключение фармы к аналогу ЕГАИС
– Тестовый запуск маркировки сигарет в России
– ЕГАИС для меха
Технологии, криптография, блокчейн

Технологии будущего: ЕГАИС на блокчейне
– Дополнительно вводная статья про АТОЛ

Про утечки
Джакарта, ЕГАИС, ИБ, еТокен, Токены
hidden_file
Приветствую, читатели!
За последний обозримый промежуток времени утекли данные из 3 очень важных для нас сфер: транспорт/логистика (РЖД), экономика/финансы (Сбер), связь/коммуникации/интернет (Билайн).  Что это: целенаправленная атака или просто безалаберность и дремучесть в сфере защиты информации?  И сегодня же обнаружил смехотворный и нелепый способ слива госномеров связи чиновников через портал госзакупки.
Что касается Сбербанка. То спасибо им за условную прозрачность, вот вышла новость об очередном сливе инфы – 5000 человек с обнародованными данными. Нашли уже виновного, давайте поверим в то, что тут сыграл человеческий фактор. Однако, на мой взгляд, продажа сотрудником базы выглядит наивно. Уже потому, что утечки продолжается. Сомневаюсь, что после всего случившегося, данные продолжили бы публиковаться.
Про РЖД. По немногочисленной информации, так как РЖД все еще совково-уставная компания, известно, что почти миллион человек были «слиты» на просторы интернета со своими данными. Тут катастрофично то, что помимо снилсов и телефонов, слились фото. То есть помимо обезличенных Иванов Иван Ивныч, есть фото конкретного Иванова Ивана Иваныча с его персональными данными. Что обозначает возможности виртуального клонирования личности и использование ее в неблагонадежных целях. По данным СК, в РЖД подтвердили, что произошел несанкционированный взлом серверов компании.
Про Билайн. Данные почти 9 000 000 пользователей с 2016 года оказались на просторах интернета.  ФИО, адреса и номера договоров, в т.ч.т и скрытых. Журналисты Ведомостей «проверили» себя и нашли базу актуальной. Это относится и к пользователям только интернета, или только ТВ и т.д.
Даже если сайты наш Роскомнадзор и заблокирует, циркуляция БД в интернете/дарк нете все равно останется.
Такая информация может иметь немалую ценность для мошенников, использующих социальную инженерию. Кроме того, такую информацию можно объединить с данными из других баз, что позволит преступникам собрать полный «профиль» жертвы.
На каком-то банальном бытовом уровне наши люди пока еще не понимают, что любые данные сегодня – это ценнейший ресурс.
Для меня важно понять, насколько данные проблемы можно решить, обязав, например, использовать для всех процессов так или иначе связанных с персональными данными электронную подпись.  М.б. это сделает весь оборот данными в разы безопаснее? Так же вопрос: стандарт электронной подписи. У нас это все регулируется ФСБ, регулируется, где и какая подпись может быть использована.  Для ЭДО один токен, для ЕГАИС другой, для банкинга третий и т.д.  Наличие стандартов и ГОСТов электронной подписи обеспечивает контроль за безопасностью и прочее. Например, есть уже устоявшееся мнение, что если нужен токен для ЕГАИС, то это Рутокен ЭЦП 2.0. Потому что соответствует всем стандартам, нормам и т.д., имеет сертификаты. Для персонального использования простой смертный рядовой человек не подумает запрашивать токены, для защиты своих данных на компе и прочее. Почему? Потому что нет понимания, что любая информация даже рядового гражданина может быть ценной и является ей.

Он сказал поехали и махнул рукой! Как разлетелись в разные стороны Gemalto и Аладдин Р.Д.
Джакарта, ЕГАИС, ИБ, еТокен, Токены
hidden_file
Приветствую, мои постоянные читатели!
Мне очень приятно, находится с вами в прямом контакте и искать совместно новые темы для разговора. Заметил, что много, кто недоволен/смущен/взволнован/заинтересован/заинтригован и т.д. и т.п. ситуацией между Аладдином и Жемальто, реально ли jacarta это etoken и что ждать дальше и от одной стороны, и от другой. Ситуация на сегодня такова, что токен Jacarta работает в режиме эмуляции (то есть максимальной совместимости) с еТокен и требует установки ПО, необходимого для ключа eToken.

Настораживает еще один важный момент, почему же у Джакарта отзывы совсем не такие, как у eToken.
На все 100 проц я уверенно говорил об этом несколько раз тут и тут, так как именно об этом я стараюсь писать. Но давайте соберем все в один пост, чтобы потом я мог давать ссылки с предыдущих статей сюда, где все будет в одном небольшом материале. Небольшом, так как уже многое сказано и повторяться нет смысла.
Вернемся назад, чтобы увидеть на страницах сайта Аладдина ключ eToken, который являлся продуктом израильской компании Aladdin Knowledge Systems и активно продвигался Аладдин Р.Д. Никого тогда не смущало, ни у кого не было вопросов. С течением времени все расстановочки поменялись: Aladdin Knowledge Systems --> SafeNet --> Gemalto (наши дни). Безусловно, это все произошло не в один момент. И в какой-то из таких моментов видимо у российского партнера появилось желание сделать что-то свое. И оно проявилось в токене Jacarta.  В далеком уже 2012 году неожиданно для всех появляются упоминания о Jacarta как самостоятельном продукте. По информации из статьи Алексея Комарова JaCarta — убийца eToken?
1. Домен jacarta.ru был зарегистрирован 04 апреля 2011 года на «Aladdin Software Security R.D. Ltd.», читай — ЗАО «Аладдин Р.Д.»
2. На официальном сайте Аладдин Р.Д. действительно присутствует (присутствовал) раздел «/catalog/jacarta/», но его поисковая индексация запрещена.
3. Сайт jacarta.ru (набирать без www) наполнен смесью контента с официального сайта Аладдин Р.Д. и содержит упоминание некоей ООО «Алеро-Сервис» с контактами самого Аладдин Р.Д.
4. У Алеро-Сервис есть свой сайт (заполненный пока всё тем же промежуточным контентом) и даже логотип.
5. ООО «Алеро-Сервис» 06 октября 2011 года получило Лицензию на деятельность по разработке и (или) производству средств защиты конфиденциальной информации, что отражено в соответствующем реестре ФСТЭК.
От себя я добавлю другие факты, которые, как мне кажется важны в этом повествовании:
Летом 2012 же года РАР предлагает внедрение ЕГАИС и при розничной продаже алкоголя, которая позволит работать ЕГАИС на полную мощность. ЕГАИС-розница должна будет отражать пошаговые сведений о движении алкогольной продукции: производитель --> поставщик --> потребитель.
Вики пруфлинк тут
Токен Jacarta, на мой взгляд, - это результат шевеления Аладдина в сторону создания своего продукта для конкретной цели. Я замечу один очень важный факт, при внедрении ЕГАИС криптоключ еТокен никак не засветился. Это могло бы значить, что руководство компании преднамеренно скопировало одно устройство (читаем jacarta это равно etoken, чтобы потом «свой продукт» использовать исключительно для конкретных целей. Стартануть с такого нешуточного проекта как ЕГАИС могло бы стать хорошим толчком к полному отказу от ключа eToken. Возможно, я ушибаюсь. Однако мне кажется это вполне реально рабочей историей, так как, судя по отзывам о Джакарте реальных пользователей, там еще работать и работать. 
Но у компании не хватило ни сил, ни времени, чтобы сделать собственный независимый продукт. Я считаю, что именно в этом основная проблема работы токена Jacarta. Не хватило времени, чтобы сделать полноценную собственную версию, на собственном ПО и т.д. Доказательствами тому могут опять таки служить сказанные не в пользу Джакарта отзывы, которые плодятся бешенными темпами на проффорумах. Склонение в сторону эмуляции — это второй промах. Это привело к тому, что для людей, работающих в этой сфере уже появилась «поговорка», что JaCarta это eToken. И никуда не деться, если токены работают на чужом ПО. И третий промах, как мне кажется, это информация, которую распространяет Аладдин про всю это ситуацию, совершенно игнорируя реакцию людей на отзывы о Джакарте и ее восприятии, как субпродкута. 
Ключ eToken есть и остается отличным продуктом на рынке ИБ. Для Джакарты пока иная ситуация, так как под корпусом токена можно отыскать различные составляющие со всего света, что никак не соответствует заявленной информации. Руководство Аладдина просто обманывает своих потребителей зазывая красивыми словами, правильной повесткой дня об импортозамещении и проч. и проч.  А американские угрозы и другие опасности, которым может подвергнуть собранный из непонятных компонентов криптоключ, упомянуть в своих рекламных статьях забыли.
В итоге к началу 2017 года окончательный официальный разрыв между Аладдином и Жемальто произошел. И заявила о нем компания Жемальто. Не думаю, что Аладдин был готов к такому повороту, ведь еще целый месяц выстраивал стратегию отхода.
Как правильно заметил Алексей Злонов, нет точной уверенности, что в действительности было в контрактах между компаниями. Как я писал ранее, распространение и нелицензионного ПО и склонение пользователей к скачиванию это ПО для работы другого продукта  - нарушения серьезное и открытое воровство. Но руководство Жемальто молчит, а пока клон eToken набирает популярность, а сам ключ eToken стремительно теряет рынок. При этом смешно, конечно, но клон является даже не клоном, а сборным «франкенштейном» со всех уголков света. Использую такое сравнение не для того, чтобы оскорбить, а чтобы более красочно описать «внутренности» собранных в Джакарте. Поэтому даже утверждать, что JaCarta это eToken будет не совсем точно. Скорее это некий набор, который да работает, да с перебоями, но нет не российский, нет не оригинальный.