Kerio Control 7.2.3 сертифицирован ФСТЭК по 4 классу защищенности
Операции с документом
Немного исторического экскурса.
Прошло всего лишь чуть более четырех лет с той поры, как силиконовые эмигранты пришли к выводу, что в России все равно придется играть по российским правилам, какой бы Буш их нам не устанавливал. Осознав это, гении мелкого софта смирились с существованием такой странной организации, как ФСТЭК и даже решили попытаться извлечь выгоду из ее существования, переложив всю заботу о пополнении откатной фстековской кормушки на самих фстековцев. Таким вот образом в России появились единственно законные средства (на языке мздоимцев - сертифицированные ФСТЭК) защиты информации - Windows ХР, Windows 2003 Server, MS SQL Server 2005 и т.п. ранее "неизвестные" широкой публике шедевры безопасности. В их число попал и Microsoft (ISA) Internet Security & Acceleration Server 2006. Так гейтсеносцы в очередной раз проявили завидную предусмотрительность, потому как очень кстати ФСТЭК выпустил первую редакцию документов по защите персональных данных. Каким бы бредом не были эти документы (недаром ФСБ открестилась от всех методик этого бреда, оставив только свои), они стали Федеральным Законом № 152 "О персональных данных". Как бы в дальнейшем не сопротивлялись вменяемые люди всех профессий, но даже с существенными изменениями и сокращениями этот закон вступил в действие и обязателен для всех и каждого.
Таким образом, на рынке продаж программных продуктов появилась новая разновидность товара - все те же продукты, но с огромной наценкой - сертифицированные по нормам ФСТЭК для защиты персональных данных. Лохам разных мастей деваться некуда - вынуждены покупать - и рынок этот ежедневно прирастал новыми произведениями самых разных производителей, давая тот самый откат фстековской кормушке.
Так вот, в отличие от гейтсеносцев, кериоты проявили свое обычное высокомерие и свою обычную близорукость: они игнорировали не только сам факт существования этого рынка ПО, но и необходимость такой сертификации - их представители надменно заявляли, что их продукция не нуждается в дополнительной проверке и какой-то сертификации, она и так всемирно известна, типа.
Ага, пиндосня, щас, тут вам не там, тут вам покажут.
ФСТЭК отличается сохранением традиций: как в каком-то вопросе раз нашли кормящее их решение, так и застыли на этом уровне. Как придумали СТР (К), которые без слез и читать невозможно, лет 15 назад, так и по сей день они есть основа нашей безопасности. Как ударила в светлую голову мудрая мысль подогнать под требования этих шедевров не только госорганы, но и коммерческие структуры, так и все. А мимо них не проскочишь - Закон. А тут какие-то пиндосы со своим кериотством бабло не несут - щас, блин, ишь ты....
Бороться с традициями ФСТЭК не способно даже ФСБ. Разогнав в 2009 году чуть ли не 70% вождей и вождят этой священной коровы и заместив их своими кадрами, получили только более изощренные способы дележки откатов - посмотрите на совпадение сроков принятия тех или иных законов по защите информации и кадровой перетряске во ФСТЭК. Кстати, выгнав неугодных - непослушных, жадных и просто непонравившихся кому-то - ФСБ значительно укрепило кадрами Газпром: почти вся эта уволенная школота пошла в структуры безопасности именно этой кормушки высшего разряда, а один из первых откато-получателей ФСТЭКа немедленно занял кресло первого заместителя начальника Службы корпоративной защиты ОАО Газпром. Маху дала ФСБ - в любом случае газпромовские откаты не идут ни в какое сравнение с ФСТЭКовскими, а они то и пошли через руки тех, кого чекисты отстранили от гос.службы. Но черт с ними со всеми, все это сказано только для того, чтобы было понятно: кериоты оказались ни в чести не только во ФСТЭК (по традиции), но и в Газпроме - по новой традиции пришедших туда фстекунцов. Реально в начале 2010 года продукция Kerio оказалась под неофициальным запретом в Газпроме, известны даже случаи увольнения людей за "приверженность" к кериотским продуктам !!!! Почти геноцид кериотов. Было бы из-за чего...
Такой перспективы для своего бизнеса кериоты уже вынести не смогли и сломались, став жертвой дикого оскала российского варианта пиндосовского капитализма. В общем, как ни мучилась - а родила:
Декабрь 17, 2011
Kerio объявляет о начале предварительного заказа
на сертифицированную ФСТЭК версию Kerio Control
и запускает акцию «Раньше закажешь – больше сэкономишь!»
Этот коротенький документик поистине шедеврален ! Посмотрим на цитаты.
Идя навстречу реалиям российского рынка и пожеланиям заказчиков, компания Kerio Technologies начала процесс получения сертификата Федеральной службы по техническому и экспортному контролю (ФСТЭК). Kerio Control будет сертифицирован по 4 классу защищенности от несанкционированного доступа к информации в соответствии с РД «МЭ» и будет применим в для защиты персональных данных до 2 класса включительно.Выход сертифицированной версии Kerio Control запланирован на март 2012года.
К сожалению, работы, связанные с процессом сертификации, приведут к увеличению цены сертифицированных продуктов относительно их обычных аналогов. Однако, до 15 марта 2012 года у вас есть уникальная возможность приобрести лицензии на сертифицированную версию Kerio Control со скидкой 10%!
Если вы уже используете Kerio Control и хотели бы перейти на сертифицированную версию, то до 15 марта 2012г. вы также можете это сделать с выгодой – скидка на апгрейд до сертифицированной версии сейчас составляет 25%!
Дистрибутив, который проходит сертификацию, основан на версии Kerio Control 7.2 и выложен на нашем сайте для скачивания:www.kerio.ru/ru/control/download.
Купите лицензии на сертифицированную версию Kerio Control со скидкой и начните использовать правильную версию прямо сейчас! При этом в марте вам будет выслан стандартный сертификационный пакет, включающий в себя сертифицированный диск с дистрибутивом и комплект необходимых документов.
Конец цитирования.
Символично - реалии российского рынка вынуждают предоставить правильную версию Kerio относительно обычных аналогов !!!! Что же тогда продавалось до сих пор - неправильная версия?
Не менее символично - выйдет в марте, доступна уже сейчас, а ведь только приступили и уже уверены, что все будет ОК ! Реалии - занесли, значит уже. Вопрос - сколько? Ответ предлагается найти самостоятельно на основе стоимости обычной и сертифицированных версий и соответствующих скидок на разницу при ставке кредитования ЦБ 8% на срок три месяца. Отчетность Kerio Inc есть в Интернете.
А еще мы рассчитываем, что ФСТЭК стоит на страже наших интересов, мы же не пиндосы, мы отечественные граждане.... Воистину правильная версия будет, аллилуйя !!!
Ну, да ладно, закончим стоны про реалии российского рынка (отмечу про себя, что почитав приведенные откровения кериотских капиталистов, желание сделать им что-то "по реалиям" только увеличилось) и посмотрим на любезно предоставленный дистрибутивKerio Control 7.2.3 build 3543.
Опять же, прежде чем смотреть, вспомним, что сертификация ФСТЭК состоит в проверке соответствия сертифицируемого продукта требованиям действующих руководящих документов ФСТЭК. основными из которых в данном случае являются:
Руководящий документ
Средства вычислительной техники. Межсетевые экраны
Защита от несанкционированного доступа к информации
Показатели защищенности от несанкционированного доступа к информации
Руководящий документ
Автоматизированные системы.
Защита от несанкционированного доступа к информации
Классификация автоматизированных систем и требования по защите информации
Рекомендации
по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты информационных систем персональных данных
смотреть здесь
Не поленитесь почитать эти труднодоступные нормальному сознанию тексты - это знание поможет понять многое из странных действий кериотов и не менее странных действий нашего защитника ФСТЭКа. Главное - надо понять , что ничего сверхъестественного и супердорогостоящего нет ни в требованиях, ни в проверке на соответствие этим требованиям. И что многое из того, что требуется - не выполняется.
Приступим. Скачаем с сайта кериотов две версии Kerio Control: сертифицированную Kerio Control 7.2.3 build 3543 и привычную версию для обычных покупателей Kerio Control 7.2.2 build 3443 на основе которой подготовлена сертифицированная версия. Установим их обе на две одинаковые виртуальные машины и сравним.
Исходные файлы дистрибутивов отличаются по размерам и как положено, имеют соответствующие сведения о версии ит.д.. Устанавливаем 32-бит версии.
Установка проходит совершенно одинаково и не вызывает никаких вопросов. Регистрируем триальные версии установленных продуктов - успешно в обоих вариантах. Анализируем структуру каталогов и набор файлов - находим первое отличие: в сертифицированной версии отсутствуют файлы текущих обновлений .IDE, вместо них в папке ..\sophos\initial\ide лежит файл с названием empty и строкой: ide. Это в принципе понятно - исходный код должен быть стабильным, т.е. телодвижения в сторону РД ФСТЭК уже присутствуют.
Бегло просмотрим сведения о версиях файлов. Все, что не сделано самими кериотами (исключая исполняемый файл snort.exe) имеет родные до боли знакомые и совпадающие с обычной версией сведения, т.е. в "обвесах" версии не различаются. Да файл snort.exeприсваивается кериотами скорее по привычке - они это делают в каждом билде. Так что несущественно.
Сравним родные файлы. По версии - все вроде бы свое у каждого варианта: версии хоть в восьмой цифре четвертой группы, да различаются. Естественно, что различаются и контрольные суммы. В остальном - размерах и т.п. - существенных различий тоже не видно.
Небольшое отступление: поскольку выявление отличий было главной задачей, поэтому было проанализировано и соответствие ASM-кодов основных файлов обоих вариантов. Подробности тут обсуждать не станем, просто примем к сведению, что мало-мальски существенных различий тоже обнаружено не было.
Что же, посмотрим на практическую работу обоих вариантов. Входим в админскую консоль и упорно ищем хоть что-то, что напоминало бы о "правильности" сертифицированной версии. Весь функционал абсолютно одинаков ! Без какого-либо исключения, что радует - не совсем уж обманывали неправильных "покупателей". Находим вот что: антивирусный плагин Sophos имеет модифицированные относительно штатной версии параметры:
weex.dll - версия 3.1.1.14.70 от 14.12.2011 (более свежая)
osdp.dll - версия 1.44.0.1470 от 5.9.2010 (номер версии другой, даты совпадают)
версия движка - 3.26.28.0 (в штатной 3.26.0.0).
Т.е. - разница не особо большая, скорее всего она относится не к самим движкам, а к версиям обновлений, поставляемым кериотами - проверим позже.
Обновляем антивирус - и сразу видим разницу: актуальность обновлений совершенно разная: триальная сертифицированная версия получила обновления Sophos с суточным отставанием от производителя (что плохо, но понятно - надо проверить перед раздачей), "неправильная" штатная триальная версия - с недельным опозданием (ладно, триал, может так и надо....). Но факт задержки обновлений на сутки - очень плохо, впрочем ФСТЭК на эту тему вообще ничего не требует (не было актуально в 1998 году :)).
Система IDS Snort. Поставляется версия 1.95 (по классификации кериотов), что должно бы соответствовать исходной версии производителя 6984, которой на момент установки еще просто не существовало !!! Что ж, обман простительный - каждый день дистрибутив менять не будешь, все равно обновится рано или поздно, но сам факт обмана отметим. Посмотрим на файлы правил - в обоих версиях удален т.н. мусор - правила, которые производителем закомментированы и могли быть активированы пользователем в случае необходимости. Набор правил разный - сертифицированная версия содержит примерно на 20% больше блокирующих правил, которые напрочь отсутствуют в штатной версии. Что же, это тоже понятно: меньше блока - меньше жалоб от покупателей, а юзеры сертифицированной версии и жаловаться будут меньше, и всегда им можно сказать, что о них заботятся больше, и народ у них более дисциплинированный. Однако, в обоих вариантах одинаково присутствует кериотская бестолковость в наборе правил, подробно можно посмотреть здесь.
Обновляем Snort - тоже видим те же отличия, что и в антивирусе: версии разные, задержка с актуальностью обновлений от недели для штатной версии до суток для "правильной" - триал типа....
Смотрим на известные гадости кериотов - тут подробности - и что же мы видим: оба варианта спокойно продолжают делать свое черное дело совершенно одинаково - свой трафик скрывают, трафик на определенные адреса скрывают и т.п.. А ведь это явно противоречит ФСТЭКовским нормам !!!
В целом, получение разных обновлений для разных версий соответствует нормам - обновления тоже должны быть сертифицированы. Механизм получения таких обновлений тоже вроде правильный - фильтрация лицензий, разница в версиях. Только вот что-то не дает покоя, что-то здесь не то.... А что именно - поймем чуть позже.
С удивлением обнаруживаем в сертифицированной версии возможность обновления и самого Kerio Control !!! Напомним, чтосертифицируется конкретный экземпляр продукта, даже не версия, а тут - пожалуйста, обновляйтесь !!! Это что же, каждый релиз кериоты будут сертифицировать - не поверю !!! И под каждое обновление будут присылать документы с печатью на сертификате и специальным защитным знаком на коробке? Не поверю !!! Они удавятся от жадности, но этого не будет. Так что значит обновлениеKerio Control ?!
Смотрим на WebFilter. Все одинаково без вариантов.
Подведем промежуточные итоги:
- косметическая отделка сертифицированной версии не дает оснований говорить о существенном ее отличии от общедоступной. С одной стороны - это радует по принципу "стабильность признак мастерства", с другой стороны - огорчает, поскольку наличие в сертифицированной версии привычных дыр совершенно непонятно.
- обновления для компонентов Kerio Control различаются по источникам. С одной стороны - это радует в силу надежды на большую ответственность кериотов, с другой стороны - безразлично в силу того, что кериоты привычно только имитируют свою ответственность - это давно известно.
- сама по себе доступность пусть даже триальной версии сертифицированного продукта должна быть отнесена к доблести кериотов, т.к. дает возможность оценить их честность перед простым народом с "неправильными" версиями. :)
Ну и самое главное - как обстоят дела с контролем целостности кода, который должен производиться самостоятельно при запуске продукта согласно нормам ФСТЭК - т.е. как у нас обстоят дела с нетрадиционным использованием данного продукта?
Выясним, как обстоят дела со снятием трала, с изменением источников получения обновлений, т.е. со всем тем, что делают изменения настроек ДНС, известный патч и пакет KUAS.
Пойдем многократно описанным здесь путем - создадим локальное зеркало для обновлений, наполним его, настроим наш ДНС-сервер для перенаправления запросов, подключим многострадальную макаку, активируем WebFilter всеми доступными нам путями.
Указываем в настройках ДНС адреса нашего локального сервера для автообновления Sophos для имени esoftsgs.kerio.com и sophos-update.kerio.com. Оба варианта Kerio Control успешно обновляют и лицензию ESOFT и антивирус Sophos !!! Делаем то же самое для снятия триала - все отлично.
Подключаем антивирусный плагин McAfee - стартует как положено в обоих вариантах, работает только с распакованными обновлениями. Т.е. все ожидаемо нормально.
Задействуем в полном объеме пакет KUAS - все скрипты пакета прекрасно обновляют все компоненты Kerio Control обоих вариантов.
Ну и наконец, применим патч согласно инструкции - все отлично в обоих вариантах, т.е. никакого контроля целостности кода просто нет. Исключительно из спортивного азарта поменяем местами файлы winroute.exe для обеих версий - все работает как ни в чем не бывало !!!
Так, просто для демонстрации, здесь приведены логи запуска антивирусных плагинов и обновления Sophos с локального зеркалаUPDATER в сертифицированной версии Kerio Control.
Т.е. все описанные на этом сайте методики прекрасно себя чувствуют как при наличии сертификата ФСТЭК, так и при его отсутствии , что и требовалось потребителям "неправильного" Kerio Control.
ВЫВОДЫ:
1. сертификация Kerio Control даст возможность применять этот продукт в привычном режиме для актуальной задачи - отмазки от №152 ФЗ "О персональных данных" во всех организациях, кроме медицинских учреждений и некоторых других случаях (кроме ИСПДн 1 класса). Никакой дополнительной защиты или повышения надежности чего-либо сертифицированная версия не дает.
2. в сертифицированной версии остаются все бекдоры и антиюзерные ловушки, никакой ФСТЭК защиты потребителям не дает. По прежнему актуальна информация:
3. история с сертификацией Kerio Control наглядно продемонстрировала формализм и некомпетентностьФСТЭК, надуманность и в конечном счете никчемность самой сертификации. И не менее наглядно она продемонстрировала то, что называется уровнем коррупции при ведении бизнеса в РФ - условия диктует аппарат и не соглашаться с ним невозможно. Платите, господа.
Ну, и напоследок.
Интересно все же устроен бизнес.
Вот берут кериоты бесплатный Snort с бесплатными обновлениями, бесплатный Firebird, бесплатный PHP, бесплатную Java и т.п. и делают платный продукт под свои брендом. Кериоты не одиноки в таком подходе к бизнесу.
ФСТЭК не сертифицировал ни Snort, ни Sophos, ни Firebird, ни ESOFT - но спокойно сертифицирует надстройку над этими программами! И тут кериоты не одиноки - если взять бесплатный не сертифицированный nmap и такой же Firebird и нарисовать нехитрый ГУЕвый интерфейс, то знаете, что получится - сертифицированный сетевой сканер безопасности "Ревизор сети" ! И плевать на то, что он никому не нужен - он по закону должен быть куплен !!!
Что имеем в итоге - государственную систему вымогательства у недобросовестных производителей лишних денег. Приплюсуем сюда еще массу консультантов, установщиков, аттестационные органы, обязательное обучение персонала, контролирующие органы - вот и целая индустрия безопасности кормится. А кто-нибудь видел результаты ее работы, вот хоть одну уязвимость хоть в чем-то она опубликовала? Вроде как нет, только какие-то частные лица в основном из-за бугра.
Вот и покупайте лицензионный продукт у Kerio ....
Удачи !
Источник: geneg.ru
