"Завершена разработка КСЗИ "Панцирь+" для ОС Microsoft Windows" - Форум по вопросам информационной безопасности

1. Мессадж 62066 "Берусь утверждать, что ни одна из возможностей защиты информации от актуальных атак, описанных в данном документе, не реализована в СЗИ НСД иных производителей." И приведенное в Документе доказательство "актуальности" описанных угроз, обязательности их нейтрализации. Это ли не показатель позиции, что "Панцирь+" лучше остальных СЗИ НСД?

2. Про приведенный опус все предельно ясно. Текст не читабелен, само построение фразы грамматически и синтаксически ошибочное. И такой подход встречается по "всей длине" Документа. Разобраться можно, хотя все равно остается ощущение, что авторы имели в виду нечто иное. И это портит, ой как портит ощущение от изучения Документа. Что наводит на мысли о том, что данный Документ либо "сырой" (выпущенный чтобы уложиться в некоторые сроки), либо никого не волновало мнение его конечных читателей.

3. Актуальные угрозы, магистранты и диссертации. Вот с этим утверждением уже я категорически не согласен. Методы математического моделирования и методы матстатистики в части угроз - разные вещи. Моделирование угроз не может и не должно производится только за счет статистики!
Отдельно об используемой модели "Харрисона-Руззо-Ульмана". Хорошая рабочая модель для дискреционного метода доступа субъектов к объектам, модная для защиты диссертаций в начале прошлого десятилетия и вообще в прошлом веке. Неповоротливая и с явно доказанными проблемами для произвольных объектов (систем) защиты. Почему в основе лежит именно она, а не (к примеру, всего лишь к примеру) модель направленного графа с разрешением всех проблем, встречающихся в "матричной" модели? Или "Панцирь+" подлежит внедрению только в монотонные системы? Или вся соль в реализованном ролевом и сессионном механизмах доступа? Тогда где обоснование этой "соли"? Вообще, складывается впечатление, что в Документе она приведена только для классической цели любого диссертанта - придать документу "вес" и "научность"...

4. Номера томов и устройств. О чем говорить? "Панцирь+" сам использует номер устройства по реестру ОС. Вы о китайских Flash-накопителях слышали? О тех самых, у которых номер в реестре Win всегда одинаковый для всей партии? Тот же Аккорд привязывается к физическому номеру блочного устройства, что намного усложняет нарушителю задачу подмены штатного носителя на нештатный. А у "Панциря" наследуется классическая ошибка многих СЗИ НСД, связанная с очисткой реестра средствами того же USBOblivion. В частности Консоль управления "Панциря+" перестает видеть старые устройства! Хотя до затирания видела их все (и это бесспорный плюс). Стоило бы вести свою базу данных обнаруженных на этапе установки блочных устройств. Чтобы потом эксплуатантам жизнь медом не казалась. ФСТЭК и ФСБ только спасибо скажут...
Возможно, в демо-версии этот функционал работает так, а в оф.версии иначе. Но оф.версию у вас просто так не предоставляют - приходится анализировать то, что имеем.

5. Про отсутствие необходимости контроля реестра я не говорил. Всего лишь указал (и, мне кажется, обосновал доходчиво), что выбранный метод контроля не эффективен. Попробую еще раз: поскольку "игра" проходит в заранее не определенном (границы, конечное число ветвей/узлов графа и т.д.) поле, постольку администратор обязан знать для каждого "критичного" приложения все используемые им ветки и ноды реестра. В противном случае существует далеко отличная от 0 вероятность пропуска "критичной" ветки или параметра реестра. Запись в который (чтение которого) позволит осуществить НСД от одного приложения к другому.

6. Про низкоуровневый доступ к диску вообще не упоминал - зря "обижаете". Я говорил о проблеме "теневых каталогов". Кстати, на эту тему (самую любопытную, я считаю, ошибку в Документе) Вы не ответили. А с контролем активности программ и процессов в части прямого доступа к перезаписываемой памяти (как МНИ, так и оперативной) я согласен. Но это решение легко реализуется связкой современного СЗИ НСД, контролирующего оперативку и буфер обмена между приложениями, + антивирусного средства (тот же DrWeb). Которое ставить на сегодняшний момент необходимо на любую машину вне зависимости от реализации замкнутой программной среды или отсутствия ее реализации вообще средствами установленного СЗИ НСД. Прогнозируемая проблема "Панцирь+" в том, что получается снижение эффективности общей внедряемой системы защиты информации за счет многократного использования "перекрываемых" функций, которые могут быть отдельно реализованы за счет СЗИ, обязательных к внедрению помимо "Панцирь+".

7. Про в какой СЗИ и что реализовано. Как обойтись без конкретных наименований? Получится беспредметный разговор. А механизмы "открытые", давно используемые всеми вендорами, что уже неоднократно отмечал. Здесь не о чем

Продолжение...

7. Про в какой СЗИ и что реализовано. Как обойтись без конкретных наименований? Получится беспредметный разговор. А механизмы "открытые", давно используемые всеми вендорами, что уже неоднократно отмечал. Здесь не о чем говорить. В "Панцирь+" своя логика работы, в других СЗИ НСД - своя. Не лучше и не хуже, она просто своя. Но главное - это пространство выбранных концепций решения и конечных задач. Эти пространства пересекаются у "Панциря" с другими СЗИ в полной мере. Ничего нового. Только доказательств актуальности и так давно известных и актуальных угроз и методов их нейтрализации.

8. Сервисы олицетворения. Задам вопрос уже в третий раз (несколько страниц назад в этой ветке форума уже задавал - Вы не ответили). Какова эффективность контроля встроенной в ОС функции средствами "навесной программной надстройки"? Про возможность работы драйвера в ring 0 рассказывать не надо. Это напоминает решение Кода Безопасности по защите iOS - внедряем СЗИ через jailbreak.

9. Главное. Без какого-нибудь стоящего механизма доверенной загрузки вся система не стоит и ломаного гроша. Остальные вендоры об этом позаботились - каждый в меру сил. В "Панцире", думается мне, даже вход в "Безопасный режим" не ограничивается, что позволяет отключить нужные службы и навести шорох по всей операционной среде в обход СЗИ. Да черт с ним, с "Безопасным режимом". Тенденции современные - bootkit, закладки и вредоносный код уровня UEFI. Полный доступ к НЖМД без необходимости загрузки ОС. А Вы говорите "комплексная система защиты информации" и "защита от актуальных угроз"...

ЗЫ За яд в части пиара извиняюсь, не сдержался. Согласен - свободная страна, каждый может выражать свое мнение (тем более на форуме) сколько хочет и как хочет...

1. Про "все плохо" я не говорил. Я утверждал и продолжаю утверждать, что все сделано "типовым" способом, что я лично не увидел никаких "инноваций" ни в подходах, ни в реализации. К слову, часть реализаций я положительно оценил и запомнил на будущее (к примеру, повышенную секьюрность способа детерминированных "теневых копий" для каждого процесса, определяемого администратором как "критичный").
2. Анализ функционала демо-версии, выложенной на Вашем сайте, подтверждает, что "Панцирь+" привязывается к номерам блочных USB-устройств, сохраненных в реестре Windows. И не может определить эти устройства в будущем, даже если ранее их определял, после очистки соответствующих веток реестра. Это не есть гуд, хотя это есть классическая реализация механизмов определения блочных устройств в подавляющем большинстве СЗИ НСД других вендоров. Допускаю, что демо-версия отличается от оф.релиза (о чем уже писал выше), что эта функция в демо-версии не реализована, либо в оф.релизе реализована иначе и защищеннее (без, как Вы выразились, "поделок"). Но я говорю о том, что видел и "щупал" самостоятельно. Не голословно.
3. Причем здесь документация на систему и вход в "Безопасный режим"? Драйвер armor "Панцирь+" не способен загружаться в ring 0. В "Панцирь+" не реализована защита MBR (Вы сами говорили ранее, что такой способ защиты не эффективен для обеспечения доверенной загрузки и т.д. и т.п.). ИАФ проводится на этапе входа в ОС. АМДЗ в составе "Панцирь+" также отсутствует. Модификация BIOS, возможно, проглядел. Но это не правильный путь в причину совместимости. Что же мне мешает загрузиться в "Безопасном режиме" или в иных режимах Win, позволяющих получить доступ к НЖМД в обход драйверов СЗИ?
4. Пароль на UEFI позволяет обеспечить защищенность системы или доверенность загрузки ОС? Честно говоря, после таких слов мне стало совсем грустно.
5. ОКБ САПР из всех других вендоров наиболее внятно и публично рассматривает логику работы своих систем. В частности, ПО и ПАК линейки Аккорд. Во многом я с ними также не согласен, ибо вижу избыточность методов. Но за такие подходы их уважаю. Ваша система мне тоже нравится наличием мануалов по логике построения. Но не более, увы. Что до сравнений: упоминать при Вас Конфидент мне уже "страшно" (ранее мы вроде как выяснили, кто является основным "конокрадом" по Вашему мнению). Как показывает дискуссия - Аккорд и ОКБ САПР теперь тоже упоминать не буду - не хочу Вас расстраивать... SN - унылое СЗИ НСД, тем более на днях жестко скомпрометированное. Аура, Блокпост и проч. - часть принципов либо не реализована в силу версии (под КИ), либо я не имел удовольствия "крутить их в руках" (версии под ГТ, в частности). Страж - давно не обновляемая система, механизмы которой несколько устарели, но, к чести Модуля будет сказано, продолжают мне импонировать.

ЗЫ Закончим эту неконструктивную беседу. Вы как-то избирательно или невнимательно читаете мессаджи. И на явные вопросы, адресованные к Вам как к представителю (разработчику) СЗИ НСД "Панцирь+" почему-то не отвечаете. Вместо этого пытались вначале давить на патенты (и их явную кражу другими вендорами). Затем - на актуальность методов с прямо скажем отсутствием явной аргументации. Теперь - на явную подмену понятий в моих сообщениях. Такой диалог не имеет смысла.
Извиняюсь, если заставил нервничать - больше не буду. Мне попросту надоело на эту дискуссию тратить свое время. Но надеюсь, что остальным читателям форума эта, как Вы выразились, "переписка" пойдет впрок в части нужных выводов.

Согласен, мне все это также надело. Вы, по моему мнению, по каким-то причинам отрицаете очевидные вещи. Когда я говорю, что реализованных технологий и механизмов защиты в КСЗИ "Панцирь+," в других СЗИ нет, что явно следует из документации на эти средства защиты (здесь спорить-то не о чем, да и обсуждать нечего - достаточно просто прочитать документацию и сравнить, какая еще нужна аргументация), Вы утверждаете, что в Панцире нет ничего нового, и переубедить Вас невозможно, да в этом случае и незачем. В этих условиях дискуссия становится бесполезной, действительно, превращается в обоюдную потерю времени. Никоим образом не хочу Вас этим обидеть, просто высказал свое мнение, у Вас свое видение данных вопросов, у меня свое.
А остальные читатели, так они сами во всем разберутся, и без нас с Вами, именно с этой целью мы готовим и выкладываем на сайте (и будем продолжать это делать, много еще о чем интересном есть рассказать) соответствующие документы и пояснения.

Ух ты! Каюсь, грешен, что обещал закончить, а продолжаю здесь что-то обсуждать. Но, черт побери, "Ух ты!"
Скажите, куда делось ваше дополнение к ответам на мой мессадж №62201? А ведь эти удаленные ваши мессаджи о многом говорят. В них вы высказываетесь о моем, якобы, заранее настроенном негативном отношении к Панцирь+ (примерная цитата из удаленного сообщения обращенная ко мне - "вы утверждаете, что в Панцире все плохо, а у других все хорошо - это наводит на всякие мысли"). Не разобравшись, якобы в противовес упоминаете "Аккорд". Явно утверждаете, что в Панцирь+ определение USB-устройств идет не так, как я показываю на примере вашей же демо-версии. Еще... да много чего еще пишите - достаточно почитать мой ответ №62221. Но, замечу, при этом сами как обычно ничего не аргументируете, от вопросов и доказательств своей правоты отказываетесь...
С глазами у меня все в порядке. Мой ответ №62221 и по порядковому номеру форума, и по семантической нагрузке предназначался для вашего заявления в удаленном сообщении. Так где же оно? Кануло в недры памяти сервера по мановению волшебной руки. Списал бы это на глюк сервера или неразборчивость модераторов в связи с тоннами спама, захлестнувшего форум на днях. Однако, нет - слишком явная избирательность. Жаль, что у меня копии не сохранилось... Без него, конечно, все теперь выглядит более-менее цивильно с вашей стороны.

К чему я все это веду. Честно говоря, видеть такие методы от лица вроде бы серьезного человека - просто смешно и противно. В моих сообщениях есть аргументация вполне доступна, явная. "Коней в вакууме" я старался не разводить (негатив по их отношению, конечно, понятен, но при чем тут они?). У вас же на все один ответ - в документации все расписано, читайте. Дык я для кого анализ этой документации тут проводил? Для кого указывал явные ошибки, неудачное применение распространенных концепций и проч.? Что ж, как хотите. Но такие подходы, знаете ли - билет в один конец. Раз уж что-то решили презентовать/утверждать - утверждайте до конца. Иначе все это не имеет смысла...

На: Честно говоря, видеть такие методы от лица ВРОДЕ БЫ СЕРЬЕЗНОГО ЧЕЛОВЕКА - просто смешно и ПРОТИВНО.
Коллега, а грубить-то зачем? Я доктор технических наук, профессор, с 2000 года занимаюсь этими вопросами, имею массу публикаций, монографии и патенты по этой теме, достаточно защищенных аспирантов, ряд практически реализованных и широко внедряемых средств защиты информации, не только под Windows, но и, например, под HP-UX, а Вам смешно. Множество моих решений, в том числе, запатентованных, используется, к сожалению, сегодня в иных СЗИ НСД, о чем я говорил ранее.
Вы кем себя возомнили, каковы Ваши-то достижения в этой области, чтобы давать подобные оценки моей деятельности? Расскажите, если Вам смешно, посмеемся вместе!
А если по существу, то давайте не скатываться к банальной брани, мне казалось по Вашим предыдущим рассуждениям, что Вы иного уровня человек.
Если хотите дискуссии, давайте вести ее в "соответствующих рамках".
На: Дык я для кого анализ этой документации тут проводил?
Извините, но всяко не для меня! Мне вообще-то этого не нужно, я прекрасно знаю и понимаю, что делаю, в чем принципиальные отличия наших решений, могу это соответствующим образом систематизировано представить (22 года педагогической деятельности), меня обучать не следует, поздно уже во всех отношениях. Можно говорить о читателях, которые в любом споре (особенно, если вопросы обсуждают квалифицированные специалисты, что на этом форуме, к сожалению, встречается достаточно редко); получают столь необходимую им информацию, почему я и ввязываюсь в подобные дискуссии. Я не говорю, что мне этого не надо - НАДО, понять наши технологии может квалифицированный специалист, чем их больше, тем больше будет востребована наша система (в этом моя прагматика в подобных обсуждениях).
Если хотите продолжить, извольте (хоть я от этого и не в восторге), никогда не отказывался от ответа, но давайте конкретно, а не обо всем разом, т.к. в таком случае разговор ни о чем. Я же не против обсуждать, но по делу, конкретно.
Конечно, обидно, что в отличии от Вас, я не знаю, с кем дискутирую (но, если Вам так удобно, это Ваше право), я всегда в форумах под своим именем и всегда отвечаю за свои слова! Представьтесь, будет проще понять друг друга.
Вот первая тема, поскольку несколько раз уже об этом упоминалось.
На: Явно утверждаете, что в Панцирь+ определение USB-устройств идет не так, как я показываю на примере вашей же демо-версии.
Да, утверждаю. У Вас же демо-версия без драйверов, поясните, как Вы пришли к такому выводу, я покажу в чем ошибка в Ваших рассуждениях.

В сообщении №62241 я не грубил, а констатировал факт. Это касалось внезапного исчезновения нескольких ваших сообщений из этой дискуссии. Этот факт меня крайне поразил и, признаюсь, разочаровал. Ибо я убежден, что указанные сообщения удалили по вашей просьбе. Как уже говорил - не верю в то, что эти сообщения были удалены модераторами форума самостоятельно и случайно - слишком много совпадений. Именно такое поведение я назвал противным и смешным. Поскольку люди, которые нечто утверждают и публикуют, а потом включают "заднюю" настолько "грязным" способом, мне откровенно противны, а методы их вызывают грустную усмешку.
Так что мне не о чем с вами более разговаривать. Все выше указанное доказало, что вы не умеете или не желаете слушать оппонентов в дискуссии. В своем последнем мессадже №62242 вы это еще раз наглядно подтвердили - трижды вырвав мои фразы из контекста. Либо нарочно (тогда это высшая степень лицемерия), либо по непониманию или нежеланию понимать (тогда ужасно, что вы являетесь д.т.н. и имеете 20+ стаж пед.деятельности).

Вот сейчас вышло грубо, но зато откровенно и, надеюсь, предельно ясно. Dixi et animam meam salvavi.

Вы меня в чем обвиняете, да еще в подобной недопустимой форме, я, что ж, по Вашему, 16 -летний юнец, чтобы заниматься подобными вещами?
Я не следил за предыдущими сообщениями, за тем, что они куда-то исчезли, но мне кажется, порядочным было бы с Вашей стороны узнать, каким образом они исчезли, прежде чем в чем-то меня обвинять (наверное, можно обратиться к тому же модератору) , а теперь извиниться. Поскольку это уже откровенное хамство и Вы перешли все границы приличия, к сожалению. А к хамству, как известно, люди прибегают, когда заканчиваются аргументы, или уж не знаю по каким иным причинам в Вашем случае. Я отметил в нашей дискуссии Ваш тон, Ваши претензии и "убежденность", в большинстве своем? не по делу, но даже такое само осознание не повод к хамству. С подобными людьми я не общаюсь. На этом и закончим наш диалог.

Коллеги, пусть человек, выставляющий себя "оппонентом" (на самом деле это не так, поскольку оппонет априори беспристастен) много здесь "мутит" (зачем, это иной вопрос, наверное ( да так оно и есть) появление нашей системы защиты информации кому-то очень мешает)!
Не смотря на все, я буду продолжать публикации наших технологий, чтобы Вы почувствовали разницу в возможностях альтернативных средств защиты информации! А об этом "горе оппоненте" я забыл для меня его не было, и нет"

Коллеги, информирую о том, что ввиду обновления сайта НПП "ИТБ" (сайт теперь находится по адресу www.npp-itb.ru), ссылка на описание КСЗИ "Панцирь+" изменилась:
http://npp-itb.ru/products/armourp
Кстати, на новом сайте добавлено много полезного материала.