вторник, 30 октября 2012 г.

Вопросы с 201 по 250 из CISM (перевод)

201. Какая ответственность должна быть на сотруднике, отвечающем за хранение данных?
А. За всеобщую защиту информационных активов;
Б. За классификацию данных по уровням;
В. За определение контролей к уже установленным продуктам;
Г. За обеспечение мер, прописанных в политиках ИБ.

202. Оценка рисков ИБ должна проводиться регулярно так как:
А. угрозы для бизнеса постоянно меняются;
Б. в предыдущих оценках может быть что-то упущено;
В. это позволяет применить различные методологии;
Г. это позволяет повысить уровень осведомленности персонала.

203. Что в оценке рисков должно проводиться ПЕРВЫМ?
А. Идентификация бизнес активов;
Б. Идентификация бизнес рисков;
В. Оценка уязвимостей;
Г. Оценка ключевых контролей.

204. Системный администратор не оповестил немедленно офицера ИБ об атаке. Как офицер ИБ может противостоять такой ситуации?
А. Периодически тестируя план реагирования на инциденты;
Б. Регулярно тестируя IDS;
В. Проводить обязательный тренинг персонала;
Г. Периодически пересматривая процедуры реагирования на инциденты.

205. Какие из следующих рисков остаются в организации?
А. Риски контроля;
Б. Неотъемлемые риски;
В. Остаточные риски;
Г. Риски аудита.

206. Какой параметр важен для восстановления данных в нормальных условиях?
А. Время восстановления (RTO);
Б. Максимальное время отключения (MTO);
В. Точки восстановления (RPOs);
Г. Цели предоставления услуг (SDOs).

207. Программа управления рисками служит для:
А. устранения всех неотъемлемых рисков;
Б. удержания остаточных рисков на приемлемом уровне;
В. внедрения превентивных контролей для каждой угрозы;
Г. уменьшения рисков до нуля.

208. На какой стадии проекта по разработке ПО должна проводиться оценка рисков?
А. Разработка кода;
Б. Разработка спецификации;
В. Тестирование пользователями;
Г. Анализ технической осуществимости.

209. Что из перечисленного поможет менеджменту определить ресурсы, необходимые на уменьшение рисков организации?
А. Анализ рисков;
Б. Анализ воздействия на бизнес;
В. Управление рисками;
Г. Аудит.

210. Руководство международной финансовой организации решило ничего не делать, чтобы противостоять рискам DoS. Какая НАИБОЛЕЕ важная причина принятия такого решения?
А. Есть достаточные основания для предотвращения этого риска;
Б. Контрмеры слишком сложно выполнить;
В. Стоимость контрмер превосходит стоимость возможных потерь;
Г. Вероятность этого риска оценить трудно.

211. Какая метрика ЛУЧШЕ позволяет менеджеру оценить эффективность результатов программы ИБ?
А. Количество внедренных контролей;
Б. Процент достижения целей;
В. Процент соответствия политикам ИБ;
Г. Уровень снижение количества инцидентов.

212. Какая информация с точки зрения менеджера ИБ работающего в большой международной организации подлежит МИНИМАЛЬНОЙ защите?
А. Стратегический бизнес план развития;
Б. Ожидаемые финансовые результаты;
В. Персональные данные клиентов;
Г. Предыдущие финансовые результаты.

213. Какая ПЕРВИЧНАЯ цель проведения анализа рисков?
А. Определить справедливость трат на ИБ;
Б. Помочь бизнесу приоритезировать активы, подлежащие защите;
В. Информировать исполнительного директора об остаточных рисках;
Г. Спланировать защитные меры.

214. Что нужно сделать ПЕРВЫМ при проведении классификации информации?
А. Определить роли;
Б. Провести оценку рисков;
В. Идентифицировать владельцев данных;
Г. Разработать политику хранения данных.

215. В организации беспокоятся, что уязвимости ПО могут привести к утечкам персональных данных клиентов и финансовому ущербу. Что нужно сделать, чтобы уменьшить остаточные риски?
А. Застраховать их;
Б. Установить сетевые экраны;
В. Увеличить эффективность защитных мер;
Г. Внедрить IPS.

216. Какие механизмы используются для определения недостаточной защиты ИС, которые могут позволить злоумышленникам провести успешную атаку и скомпрометировать ИС?
А. Анализ воздействия на бизнес;
Б. Gap-анализ;
В. Метрики производительности систем;
Г. Процедуры реагирования на инциденты.

217. Что позволяет сделать распространенная уязвимость плохо написанного web-приложения?
А. Переполнить буфер;
Б. Провести DDoS;
В. Выявить последовательности и условия опасных событий;
Г. Использовать SQL-инъекцию.

218. Что для менеджера ИБ является САМЫМ важным при определении, какие остаточные риски следует принять?
А. Историческая стоимость активов;
Б. Приемлемый уровень влияния на бизнес;
В. Стоимость/польза дополнительных мер;
Г. Ожидаемый уровень ежегодных потерь.

219. В целях разработки портала для разработчиков менеджер проекта запросил менеджера ИБ выделить внешний IP для доступа внешних консультантов в сеть организации. Что в ПЕРВУЮ очередь должен сделать менеджер ИБ?
А. Разобраться в бизнес требованиях к порталу;
Б. Провести оценку уязвимостей портала;
В. Установить IDS;
Г. Подписать NDA с внешними консультантами и только потом предоставить доступ.

220. Было обнаружено, что в критическом приложении есть административная учетная запись, которая не может быть заблокирована или изменена. Что ЛУЧШЕ сделать, чтобы предотвратить попытки подобрать к ней пароль?
А. Закрыть удаленный доступ к приложению;
Б. Создать сложный случайный пароль;
В. Попросить решение вопроса у вендора;
Г. Включить запись логов и последующую работу с ними.

221. Какие преимущества получает злоумышленник, используя Cross-Site scripting?
А. Утечки данных из-за отсутствия входного контроля;
Б. Слабости аутентификации на уровне приложения;
В. Уязвимости протокола SSL из-за короткой длины ключей шифрования;
Г. Не явное доверие к приложению.

222. Какая мера более предназначена для предотвращения утечек данных?
А. Резервное копирование данных;
Б. Проверка целостности баз данных;
В. Принятие пользователями политик;
Г. Реагирование на инциденты.

223. Компания разрабатывает новую технологию, которая даст ей преимущество. Что нужно сделать ПЕРВЫМ, чтобы защитить эту информацию?
А. Принять политику контроля доступа;
Б. Принять политику классификации данных;
В. Принять стандарты шифрования;
Г. Принять политику использования ресурсов.

224. Какая техника ЛУЧШЕ позволит выбрать меры ИБ при ограниченном бюджете?
А. Проведение анализа рисков;
Б. Вычисление ежегодных потерь;
В. Анализ затрат и преимуществ;
Г. Анализ ущерба.

225. В компании разрешен анонимный доступ из вне по протоколу FTP. Что в этом случае должен предпринять менеджер ИБ?
А. Текст на проникновение;
Б. Пересмотр основных настроек;
В. Оценку рисков;
Г. Анализ влияния на бизнес.

226. Какая из мер НАИБОЛЕЕ эффективна против внутренних угроз персональных данных?
А. Ролевой контроль доступа;
Б. Мониторинг логов;
В. Политика персональных данных;
Г. Многоуровневая защита.

227. Бизнесу необходимо внедрить техническое решение, которое позволит понять, есть ли отклонения в текущей ситуации от того, что прописывается политиками ИБ. Что должен сделать в этой ситуации менеджер ИБ?
А. Провести оценку рисков и принять решение по ее результатам;
Б. Рекомендовать провести оценку рисков и внедрить систему, только если останутся остаточные риски;
В. Не рекомендовать внедрять систему, т.к. она противоречит политике ИБ;
Г. Рекомендовать актуализировать политики ИБ.

228. После оценки рисков руководство крупного банка решило продолжить свое присутствие в данном регионе, не смотря на высокий процент мошенничеств в нем. Что должен порекомендовать бизнесу менеджер ИБ?
А. Усилить программу осведомленности персонала в этих вопросах;
Б. Внедрить технологии обнаружения и реагирования на мошеннические схемы;
В. Передать свой процессинговый центр другой организации на аутсорсинг;
Г. Информировать клиентов банка о необходимости сразу сообщать о мошенничествах в банк.

229. Критичность информационных активов определяется на основе:
А. оценки угроз;
Б. оценки уязвимостей;
В. оценки зависимостей одних ресурсов от других;
Г. оценки влияния на бизнес.

230. Что нужно предпринять ПЕРЕД классификацией информации?
А. Оценить риски;
Б. Разработать систему классификации;
В. Оценить стоимость активов;
Г. Уменьшить риски.

231. Что является САМЫМ важным при проведении оценки рисков?
А. Поддержка руководства;
Б. Расчет ожидаемых годовых потерь для критичных ресурсов;
В. Идентификация активов и оценка их стоимости;
Г. Выявление целей и мотивов злоумышленников.

232. В чем ГЛАВНАЯ причина того, почему классификация активов является важной частью программы обеспечения ИБ?
А. В установке приоритетов и определении затрат по снижению рисков;
Б. В страховании рисков на случай потерь;
В. В определении подходящего уровня защиты активов;
Г. В сравнении с мерами ИБ других организаций.

233. Какая стратегия для управления рисками ЛУЧШАЯ?
А. Обеспечить баланс между рисками и целями;
Б. Снизить риски до приемлемого уровня;
В. Добиться, чтобы разрабатываемые политики ИБ сопоставлялись с целями организации;
Г. Обеспечить, чтобы все неснижаемые риски были приняты руководством.

234. Какой САМЫЙ важный аспект при утечке информации с мобильных устройств без использования шифрования?
А. Раскрытие персональных данных;
Б. Страхование от подобных утечек;
В. Большая ценность персональных данных;
Г. Стоимость замены оборудования

235. Чтобы выполнить опубликованные в настоящий момент требования регуляторов требуются значительные затраты. Что должен сделать ПЕРВЫМ менеджер ИБ?
А. Созвать комитет ИБ;
Б. Провести gap-анализ;
В. Внедрить компенсационные меры;
Г. Потребовать немедленного соответствия.

236. Что ЛУЧШЕ подходит для включения в отчет по поводу внедрения двухфакторной аутентификации?
А. Ожидаемые ежегодные потери в результате инцидента;
Б. Частота инцидентов;
В. Полная стоимость владения;
Г. Утвержденный бюджет проекта.

237. Правильный путь для определения эффективности контролей?
А. Предотвращать, обнаруживать, компенсировать;
Б. Оповещать при неисправности;
В. Проверять результаты, от которых зависят цели;
Г. Оценивать и анализировать достоверность информации.

238. Что делает сеть уязвимой?
А. Уязвимости 0-го дня;
Б. Зловредное и шпионское ПО;
В. Незащищенные потоки информации;
Г. Неверное конфигурирование или пропущенные обновления.

239. Кто отвечает за классификацию информации?
А. Высшее руководство;
Б. Менеджер ИБ;
В. Владелец данных;
Г. Хранитель данных.

240. В процессе оценке рисков выявлено, что стоимость уменьшения риска превосходит стоимость риска. Что в этой ситуации должен рекомендовать руководству менеджер ИБ?
А. Передать риск;
Б. Уменьшить риск;
В. Принять риск;
Г. Избавиться от риска.

241. Что нужно передать ПЕРВЫМ руководству организации в случае обнаружения атаки?
А. Полные логи систем безопасности, показывающие последовательность событий;
Б. Объяснение инцидента и корректирующих действий;
В. Анализ нанесенного ущерба подобной атакой в других организациях;
Г. Бизнес требование для внедрения строгого контроля за логическим доступом.

242. В чем ГЛАВНАЯ причина возражений при принятии политик ИБ?
А. Сотрудники слишком заняты, чтобы соблюдать эти требования;
Б. Риски имеют прямое отношение к прибыли организации;
В. Соответствие политикам трудно осуществить;
Г. Это создаст неудобство пользователям.

243. Какой фактор БОЛЕЕ важен при классификации информации?
А. Качество информации;
Б. Доступность ИТ-инфраструктуры;
В. Производительность систем;
Г. Требования владельцев данных.

244. Что должен сделать менеджер ИБ при выборе контролей для соответствия бизнес требованиям?
А. Считать приоритетным контроль доступа на основе ролей;
Б. Сфокусироваться на ключевых контролях;
В. Ограничиться контролями только критичных приложений;
Г. Сфокусироваться на автоматических контролях.

245. Кто САМЫЙ подходящий владелец хранимых в центральной БД данных, которую использует  департамент продаж?
А. Департамент продаж;
Б. Администратор БД;
В. ИТ-директор;
Г. Руководитель департамента продаж.

246. Что ПЕРВЫМ должен сделать менеджер ИБ для оценки степени соответствия организации новым документам в области ПДн?
А. Разработать план приведения организации в соответствие;
Б. Выявить системы и процессы, которые содержат ПДн;
В. Запретить сбор ПДн до того, пока соответствие не будет достигнуто;
Г. Изучить иностранное законодательство, которое может иметь подобные требования.

247. Оценка рисков наиболее эффективна, когда проводится:
А. вначале разработки программы ИБ;
Б. на постоянной основе;
В. для соответствия бизнес целям организации;
Г. при изменении направления бизнеса.

248. Какая ГЛАВНАЯ причина проведения оценки рисков на периодической основе?
А. Оправдание бюджета на ИБ;
Б. Новые уязвимости обнаруживаются каждый день;
В. Риски постоянно меняются;
Г. Руководство требует постоянно информировать о появляющихся рисках.

249. Всегда есть временной интервал между публикацией об уязвимости и применением исправления.  Что нужно сделать ПЕРВЫМ для уменьшения этого времени?
А. Идентифицировать уязвимые системы и применять компенсационные меры;
Б. Минимизировать число уязвимых систем;
В. Сообщить пользователям о том, что их системы уязвимы;
Г. Обновить сигнатуры БД на IDS.

250. Какая деятельность ИБ должна выполняться в процессе управления изменениями для идентификации ключевых уязвимостей?
А. Анализ влияния на бизнес;
Б. Тест на проникновение;
В. Аудит и пересмотр;
Г. Анализ угроз.

пятница, 12 октября 2012 г.

Что отнимает безопасность?

Очень понравилась картинка, опубликованная в блоге Алексея Лукацкого, что я решил её разместить у себя в блоге, снабдив её своими примечаниями, которые и раньше всегда хотел высказать.


Вначале перечислю слова-принципы, изображенные на ней:

• Liberty – Свобода;

• Justice – Справедливость;

• Equality – Равенство;

• Freedom – Независимость.

Конечно, каждое понятие имеет несколько схожих значений в переводе на русский язык и в чем-то они пересекаются, поэтому я привел только их основные значения.

Известно, что безопасность и информационная в частности всегда затрагивает права и свободы человека. Есть даже сравнение, что безопасность и удобство это палка о двух концах.

Возьмем модную сейчас ситуацию, когда сотрудник организации решил работать со своим мобильным устройством на рабочем месте и просит открыть ему доступ к ИТ ресурсам организации. Он клянется, что будет работать эффективнее, будет работать дома и в метро, и даже не будет просить прибавки к своей скудной зарплате. Вроде бы это выгодно работодателю. И не нужно посягать ни на Свободу, ни на Справедливость, ни на Равенство, ни на Независимость.

Однако часто работодатель запрещает подобные схемы работы, боясь утечек конфиденциальной информации. Да и нет никаких гарантий, что сотрудник не перестанет работать вообще, увлекшись своими играми на планшете с утра до вечера. А в итоге все понятия нарушаются одним росчерком пера в Политики ИБ, запрещающей такие схемы работы, под которой все сотрудники ставят свои подписи. Впрочем, в настоящее время наметилась тенденция на разрешение такой схемы работы, но с применением многочисленных «хитроемких» технологий ограничения и контроля. Так что с этими принципами будет в этой ситуации?

Теперь возьмем более приземленный пример. Обычное рабочее место обычного сотрудника обычной финансовой организации. По умолчанию, всё запрещено. Нет прав локального администратора, установлен антивирус, межсетевой экран, отключены USB-порты. Вдобавок в организации ведется запись логов и используется DLP. Таким образом, все сидят под колпаком службы ИБ. Все это также прописано в Политике ИБ, под которой все сотрудники также расписались. Нарушены ли вышеперечисленные принципы?

Риторический вопрос, а возможна ли безопасность без посягательств на права и свободы человека и гражданина в принципе, и если возможна, то как и чем её достичь?

среда, 10 октября 2012 г.

Исследование устройств класса TrustScreen


Введение


Рост краж средств с расчетных счетов клиентов банков при использовании систем дистанционного банковского обслуживания (ДБО) увеличивает нагрузку на клиентскую службу, службу информационной безопасности и негативно сказывается на имидже банков.
Основной проблемой безопасности клиента систем ДБО является организационная и техническая сложность создания доверенной среды для осуществления операций со счетом. Следствием этого является возможность совершения мошеннических действий на компьютере клиента с помощью шпионского ПО. Злоумышленник, при помощи специализированного ПО, получает удаленный контроль над средой, в которой выполняется приложение клиент-банка. Специализированное ПО обеспечивает злоумышленнику полный доступ к файловой системе и оперативной памяти компьютера «жертвы»,  позволяет осуществлять контроль портов ввода-вывода и отслеживать сетевой обмен. При этом злоумышленник не имеет физического доступа к пользователю и его рабочему месту. Используя перечисленные возможности, злоумышленник может совершать следующие атаки на систему безопасности клиента ДБО:

1.Хищение ключей электронной подписи с использованием шпионского ПО:
Кража ключей хранящихся в виде файлов на флешках, дисках, дискетах, на жестком диске и т. д.
Кража ключей из оперативной памяти, в случае использования клиентом средства защищенного хранения ключей – токенов с извлекаемыми ключами.
2.Несанкционированный доступ к криптографическим возможностям токена/смарт-карты с неизвлекаемыми ключами с использованием шпионского ПО:
Атака при помощи средств удаленного управления компьютером клиента.
Атака с использованием удаленного подключения к USB-порту (USB-over-IP).
3.Подмена документа при передаче его на подпись в токен  с неизвлекаемыми ключами. Атака возможна с использованием шпионского ПО и/или за счет ошибок реализации ПО клиент-банка.  Пользователь видит на экране монитора одну информацию, а на подпись отправляется другая.

Использование в системе ДБО токена с неизвлекаемыми ключами (доверенная среда для формирования подписи) позволяет эффективно бороться с хищением ключей электронной подписи обозначенным в п.1.
Доверенная среда, формируемая с помощью модулей доверенной загрузки или с помощью загрузки «чистой» операционной системы с доверенного носителя,  может использоваться для защиты от угроз, обозначенных в п. 1 и п.2. Гарантировать защиту от угрозы по п.3 таким способом невозможно, поскольку часть атак на подмену платежной информации  реализуется  за счет ошибок в системах клиент-банка. Например, используя ошибки, приводящие к возможности выполнения крос-сайт-скриптинга (XSS) на web-серверах банков. При таком способе атаки, даже доверенная операционная система, запущенная на рабочем месте оператора, не может гарантировать безопасности при совершении платежа. Кроме того, загрузка с доверенного носителя накладывает ряд неудобств, на использование клиент-банка  в связке с системами автоматизированного управления предприятиями. 
 Для обеспечения защиты от всех перечисленных угроз необходимо обеспечить доверенную среду для выполнения всех ниже перечисленных операций:
· Аутентификация пользователя;
· Визуальный контроль подписываемого документа;
· Подтверждение пользователем запроса на подпись;
· Аппаратное формирование кода подтверждения (подписи) с помощью не извлекаемых ключей.  

В силу того, что обеспечить безопасность платежей чисто программными способами не представляется возможным, ряд разработчиков средств защиты предлагают вывести эти критически важные операции на внешнее доверенное устройство. При использовании таких устройств в системе ДБО, безопасность платежей основывается не на защите ПО клиент-банка, среды выполнения или коммуникаций, а на невозможности модификации данных, отображаемых на экране внешнего устройства, и невозможности выполнения операции подписи без участия законного пользователя системы. Этот класс устройств имеет неофициальное название TrustScreen.
Устройства TrustScreen оснащаются экраном для отображения платежной информации, имеют интерфейс для взаимодействия с пользователем, обладают собственными криптографическими возможностями или используют внешний криптографический модуль (смарт-карта или usb-токен). Для взаимодействия с компьютером могут использоваться различные интерфейсы. Стандартный сценарий использования TrustScreen выглядит следующим образом:
· Клиент ДБО формирует платежное поручение стандартными средствами.
· Платежка в специальном формате отправляется на подпись в доверенное устройство.
· Пользователь производит визуальную проверку платежной информации на дисплее доверенного устройства.
· В случае, если информация корректна, пользователь подтверждает операцию подписи.
· Доверенное устройство собственными средствами или с помощью внешнего криптографического модуля вычисляется хэш данных и вычисляет подпись.
· Подпись возвращается в клиентское ПО и вместе с «платежкой» отправляется в банк.

Исследование


Мною было произведено исследование трех устройств,  присутствующих на российском рынке:
· Биометрическая идентификационная AGSES-карта;
· Считыватель смарт-карт SafeTouch;
· Устройство Рутокен PINPad.

Биометрическая идентификационная AGSES-карта


Производство компании AGSES International General Agency GmbH. http://www.agses.net

Согласно информации, предоставляемой производителем, биометрическая идентификационная AGSES-карта предназначена для обеспечения строгой аутентификации и подтверждения операций в различных информационных системах. Ключевыми особенностями устройства являются возможность биометрической идентификации владельца карты и оптический интерфейс, который представляет собой канал односторонней связи между вычислительной системой и AGSES-картой. Устройство питается от встроенного аккумулятора, зарядка аккумулятора производится через microUSB разъем.

PIC1

Устройство имеет набор внешних элементов:
кнопка включения;
сканер отпечатка пальца для ввода биометрических данных пользователя и ПИН-кода;
дисплей для отображения информации;
разъем microUSB для зарядки;
набор оптических датчиков для считывания информации с экрана.


В системы аутентификации на AGSES-картах возможно использование публичных серверов аутентификации компании AGSES или использование собственных серверов аутентификации, приобретаемых у производителя. 
В процессе работы устройство использует следующие криптографические алгоритмы – AES256, SHA-1, HMAC. Подробного описание протоколов аутентификации и протоколов взаимодействия с сервером не представлено.

В результате анализа устройства и его механизмов работы отмечен ряд достоинств и недостатков решения:

Канал между сервером и картой.

Оригинальный механизм обмена информацией сервера с картой полностью  нивелирует угрозу, связанную с несанкционированным доступом к криптографическим возможностям устройства, так как для работы с устройством пользователь должен лично поднести его к экрану компьютера.

PIC2

Однако шифрование канала между сервером и картой не гарантирует, что в устройство невозможно передать подложные данные, так как сервер получает данные в открытом виде из интерфейса пользователя, который может находиться под контролем злоумышленника. То есть шифрование канала не является значимым в рамках данной модели нарушителя.
Несомненным достоинством решения является полная независимость от платформы пользователя, AGSES-карта работает с устройствами любых производителей, имеющими размер дисплея не менее 7,5 см.
Однако стоит отметить, что односторонний канал сильно ухудшает юзабилити устройства, для подтверждения каждой операции вручную приходится набирать код подтверждения на клавиатуре компьютера.

Протокол аутентификации

Производитель не представил подробного описания протокола аутентификации и подтверждения транзакции. Исходя из того, что устройство использует симметричные алгоритмы, сервер должен хранить секретный код устройства. Такое подход имеет более низкий уровень безопасности по сравнению с использованием ассиметричных алгоритмов, так как существует теоретическая возможность утечки базы данных кодов устройств на стороне сервера.   
Так же стоит отметить, что подтверждение транзакции с помощью AGSES-карты не является юридически значимым.

Выпускается две версии устройств:
1. Стандарт.  Возможность использования сервисов MyAgses и других публичных серверов аутентификации. Ориентировочная стоимость устройства  5500 руб.
2. Limited Edition. Использование только собственных серверов аутентификации. Банк должен приобрести у компании Agses сервер аутентификации. Ориентировочная стоимость устройства  2500 руб. То есть при небольшом количестве устройств стоимость устройств может значительно возрасти за счет включенной в них стоимости сервера аутентификации.

Считыватель смарт-карт SafeTouch

        
Производство компании SafeTech. http://safe-tech.ru

На сайте производителя отмечается, что считыватель смарт-карт  SafeTouch применяется в качестве замены обычному считывателю смарт-карт, или, в сочетании со смарт-картой, реализующей криптографические алгоритмы, в качестве замены токену. Криптографические алгоритмы реализуются средствами смарт-карты. Считыватель SafeTouch не производит никаких преобразований с данными, что позволяет использовать его в качестве интерфейсного устройства с функциями отображения данных.
        
PIC3

Устройство SafeTouch оснащено разъемом для стандартной смарт-карты, четырехстрочным монохромным дисплеем и двумя кнопками управления. Устройство подключается к компьютеру посредством miniUSB разъема. Для функционирования устройство необходимо наличие CCID драйвера, штатно присутствующего в системах Windows XP sp3 и старше.
         Устройство не обладает собственными криптографическими возможностями, выполняя только задачи по отображению данных и запроса подтверждения подписи этих данных.  Подпись осуществляется аппаратно на устанавливаемой в SafeTouch смарт-карте.         Устройство SafeTouch поддерживает возможность формирования подписи на смарт-карте  по алгоритму ГОСТ Р 34.10-2001.
Канал взаимодействия между SafeTouch и рабочей станцией не имеет дополнительных механизмов защиты. Данные, включая PIN-код,  передаются в открытом виде, однако это не является угрозой безопасности в данной модели нарушителя, так как защита от подмены в устройствах TrustScreen основывается на визуальном контроле информации.
Особенностью работы устройства является режим «подписи непроверенных данных». В данном режиме устройство может подписать хэш от неизвестных данных, после подтверждения этой операции пользователем. То есть, если в системе пользователь время от времени подписывает документы в режиме «непроверенных данных», то нет никакой гарантии, что вместо легитимного документа не будет подписано платежное поручение. Так же режим «подписи непроверенных данных» оставляет больший маневр злоумышленнику при использовании методов социальной инженерии.
Спорным также является использование отторгаемого носителя. Пользователь, устав постоянно подтверждать платежи кнопкой на устройстве SafeTouch, может подключить смарт-карту к компьютеру через обычный картридер и подписывать все платежи не глядя.
Нарекание вызывает низкое разрешение экрана устройства. Устройство отображает только четыре строки платежного поручения, как показывать большее количество полей неясно. Кроме того, каждое строка может иметь ограниченное количество символов, превышение которого  приводит к эффекту «бегущей строки», что, в свою очередь, вызывает неудобство при проверке информации пользователем.

Ориентировочная стоимость устройства 1600 руб. без носителя.

Устройство Рутокен PINPad


Производство компании Актив. http://pinpad.rutoken.ru

Устройство Рутокен PINPad является характерным представителем устройств класса TrustScreen. Устройство оснащено сенсорным дисплеем для контроля информации и управления операцией подписи. PINPad имеет разъем miniUSB для подключения устройства к компьютеру. Для работы устройства требуется CCID драйвер, штатно присутствующей в ОС Windows XP sp3 и выше.

PIC4

         Компания Актив выпускает два типа устройств – PINPad IN и PINPad ЕХ. По заявлению производителя, устройства обладают следующей функциональностью:

· Просмотр документа перед подписью на сенсорном экране устройства (в доверенной среде) с возможностью пролистывания больших документов.
· Ввод PIN-кода  на сенсорном экране устройства (ввода PIN-кода в доверенной среде)
· В устройстве Рутокен PINPad IN аппаратно реализованы российские криптографические алгоритмы (электронная подпись по ГОСТ Р 34-10.2001, вычисление хэш-функции по ГОСТ Р 34-11.94, шифрование по ГОСТ 28147-89,) что позволяет подписывать документы “на борту” Рутокен PINPad.
· Рутокен PINPad EX содержит USB-разъем, через который можно подключить USB-токен Рутокен ЭЦП и использовать его для электронной подписи (Рутокен ЭЦП сертифицирован в ФСБ по классу КС2).
· Кеширование PIN-кода внутри Рутокен PINPad для удобства пользователей. Код вводится один раз при аутентификации, далее при подписи серии платежных документов не нужно вводить его повторно. Пользователь просматривает каждый из документов и нажимает кнопку «Подписать».

Как и устройство SafeTouch, PINPad не имеет защиты канала взаимодействия с компьютером. Отличительной особенностью Рутокен PINPad Ext возможность доверенного набора PIN кода к Рутокен ЭЦП на экране устройства, что является дополнительной степенью безопасности. Также, в отличие от устройства SafeTouch, PINPad не позволяет формировать подпись «непроверенных данных».
Рутокен PINPad IN позиционируется компанией Актив как средство подтверждения платежа. То есть, формируемая на «борту» устройства подпись является «технологической» в дополнение к подписи формируемой «штатной» криптографией, используемой в системе клиент-банк. Такой подход позволит создавать разработчикам систем ДБО гибкие схемы работы с подписью при массовых платежах, когда все платежки подписываются юридически значимой подписью, а подтверждение с доверенным просмотром требуется только для «рискованных» платежей.
Оба устройства компании Актив обладают четким цветным дисплеем, что облегчает возможность контроля подписываемой информации.

Ориентировочная стоимость устройства 3000 руб.

Заключение

   Атаки на программные библиотеки, поставляемые вместе с устройствами, показали возможность контроля и модификации предаваемых в устройство данных. Контроль и модификация передаваемых в устройство данных также возможна на уровне приложений или USB интерфейса. В настоящий момент, именно такими атаками, известные банковские трояны подменяют данные, отправляемые на подпись. Также трояны, без ведома пользователя, могут использовать установленный в USB порт криптографический токен. Результаты тестов были показаны на конференциях. Борьба с такими атаками путем визуального контроля и подтверждения платежа является основным функциональным назначением данных устройств. То есть при подмене данный на программном уровне, тестируемые устройства отображали подмененные данные, обнаружив подмену, пользователь мог отказаться от проведения платежа. Проведение мошеннической операции возможно только при невнимательности пользователя. Осуществить подпись платежного поручения без непосредственного участия пользователя не удается, также не удается отобразить одни данные, а получить на выходе подпись других. Моделирование различных атак на аппаратную составляющую решений, также не принесли результата.