Пароль на вес золота. Интервью с компанией "Элкомсофт"

Владимир Каталов, исполнительный директор компании "Элкомсофт"

Расскажите, пожалуйста, об итогах 2008 года для вашей компании. Какие продукты стали бестселлерами, были ли заключены новые партнерские договоры с корпоративными клиентами, какие награды были получены компанией?

Как ни странно, 2008 год завершился еще успешнее, чем начался, несмотря на кризис. Как бы парадоксально это ни звучало, с нашей точки зрения, на индустрию средств информационной безопасности он, скорее всего, влияет благотворно. Действительно, часто высказывается мнение, что расходы на ИТ повсеместно урезаются, но мы этого не замечаем. Пожалуй, даже наоборот, в случаях восстановления после сбоя, судебной компьютерной экспертизы, расследования преступлений и многих других ситуациях необходимость в продуктах такого класса, как наши, сильно возросла. Прямых договоров с клиентами мы не заключаем, потому что не оказываем услуг, а только продаем программное обеспечение. Тем не менее за прошлый год у нас появилось огромное количество новых реселлеров, партнеров и дистрибьюторов, поставляющих решения для государственного и судебного секторов, полиции, спецслужб, аудиторских компаний. Кроме того, укрепились отношения с прежними партнерами, лояльность которых мы стараемся мотивировать нашими техническими инновациями, выгодными условиями сотрудничества и встречами на разных выставках и конференциях.

Мы не гонимся за наградами, хотя, надо признаться, свободного места на стенке в офисе осталось немного. (Улыбается.) Из последних "приобретений" – награда "За выдающиеся успехи в разработке и оптимизации приложений для новейших платформ Intel".

Proactive Password Auditor может проверить ЛВС на устойчивость к взлому

Насколько сейчас актуальна проблема аудита паролей? В исследованиях Gartner и Datamonitor от 2004 года, на которые вы ссылаетесь, говорится, что до тридцати процентов звонков в корпоративную службу поддержки пользователей связаны с потерями паролей и необходимостью их восстановления. При этом эти аналитики оценивают по издержкам среднюю стоимость каждого обращения в двадцать пять долларов, или в почти один час рабочего времени специалиста ежедневно. Что-то изменилось за пять лет?

Изменилось, но немного. Аудит паролей всегда актуален, поскольку пароли еще долго останутся одним из самых распространенных методов аутентификации, а теперь, когда многих работников настигла волна увольнений и смены места работы, защита ценной корпоративной информации стала одной из высокоприоритетных задач. Необходимо не только прекратить доступ бывших сотрудников к данным, но и повысить степень защиты от злоумышленников, которые могут воспользоваться кадровой суматохой. Кроме того, имеет место саботаж – когда сотрудник, считающий себя незаслуженно уволенным, шифрует данные, жизненно необходимые для стабильной работы компании.

Поиск пароля от Wi-Fi-сети в Wireless Security Auditor

В недавнем пресс-релизе ваша компания заявила, что с помощью аппаратной акселерации (используются GPU-процессоры NVidia) в сто раз ускорила процесс подбора ключей WPA и WPA2, которые используются для защиты сеансов связи Wi-Fi. Многие считают, что специалистам "Элкомсофта" удалось де-факто похоронить технологию WPA2 как таковую: фирмы не могут больше полагаться на этот стандарт для корпоративной безопасности. Над раскрытием каких еще стандартов и технологий сейчас ведется работа специалистов вашей компании?

Технология WPA2, конечно, жива и останется живой еще очень долго – ее похоронили не мы, а, с одной стороны, журналисты, не очень разобравшиеся в вопросе, с другой – компании, продвигающие свои собственные решения для безопасности беспроводных сетей. Мы всего лишь ускорили перебор (взлом, аудит, называйте как угодно) WPA-паролей, не более того. Но даже на самом совершенном оборудовании (таком как NVIDIA Tesla) защита WPA и WPA2 остается более чем достаточной как для домашних, так и для корпоративных сетей, если, конечно, пароль выбран правильно. Хочется большей безопасности? Без проблем, можно использовать корпоративную версию WPA, основанную на использовании сертификатов.

Насколько востребованы, на ваш взгляд, такие решения, как Pyrit, построенные на открытом исходном коде? В чем преимущества и недостатки программ для аудита паролей, написанных вашими конкурентами?

Такие продукты, безусловно, востребованы, но преимущество у таких решений, боюсь, только одно – цена. Однако если мы будем говорить о совокупной стоимости владения или TCO, то ситуация кардинально изменится. Куда вы будете обращаться, если у вас возникнут проблемы или вопросы по использованию Pyrit? К мифическому "сообществу разработчиков"? (Смеется.)

В техническом отношении наши продукты, безусловно, намного совершеннее. Например, Pyrit работает только с видеокартами NVIDIA, а наш Wireless Security Auditor и с ATI тоже. Есть и множество других преимуществ, обсуждение который просто выйдет за рамки данного материала.

Distributed Password Recovery быстро подберет необходимый пароль

Какие технологии восстановления паролей используются в ваших продуктах? В чем их плюсы и минусы для корпоративного и домашнего пользователя?

Технологий много. Не углубляясь слишком сильно в технические детали, можем назвать как широко известные атаки "в лоб" (brute force) и по словарю, так и атаки по известному незашифрованному тексту (plaintext), использование встроенных в некоторые программы лазеек (back doors). Конечно, все зависит от шифрования, используемого в конкретном приложении. Одним из наших серьезных козырей является ускорение атак с помощью графических карт NVIDIA и ATI последних поколений. Это относительно недорогой (по сравнению со специализированным аппаратным обеспечением, используемым нашими конкурентами) и эффективный способ получения желаемого результата в разумные сроки и без дополнительных затрат на дополнительное оборудование. Отмечу, что такая возможность доступна как корпоративным, так и домашним пользователям. Кроме того, мы разработали свою технологию распределенного вычисления, когда можно использовать мощность множества компьютеров, объединенных в сеть, и, соответственно, решать задачи в несколько раз быстрее, чем на одной машине. Также не хотелось бы обойти вниманием и поддержку многопроцессорности, что стало актуально в последнее время, когда в продаже почти не осталось одноядерных машин. Другими словами, мы используем имеющиеся возможности обычного пользователя, уменьшая затраты. Мы работаем не просто над ускорением, а над эффективным ускорением, когда вложения в оборудование окупаются многократно.

Вы отслеживаете, какие клиенты покупают ваши продукты? Среди них могут быть не только специалисты из ИТ-отделов компаний и простые пользователи, но и компьютерные преступники. Как вы боретесь с нелегальным использованием продуктов?

Надо понимать, что мы всего лишь предоставляем инструмент. Как и любое другое средство (от программного обеспечения до оружия), он может быть использован как в благородных, так и в нелегальных или в незаконных целях. Мы физически не можем это контролировать – даже если мы будем продавать наши продукты только государственным организациям, рано или поздно они окажутся доступными для тех, кому совсем не предназначены. Кроме того, все наши продукты работают с локальными данными, то есть необходим физический доступ к системе или к файлам. Удаленные атаки мы не реализовывали и не будем реализовывать.

Какие советы по обеспечению безопасности паролей вы могли бы дать читателям Softkey.info?

Если не вдаваться в подробные описания, то мы можем предложить свой список правил по созданию паролей и пользованию ими:

• пароль должен быть не короче восьми символов;
• пароль должен содержать хотя бы одну букву и хотя бы одну цифру;
• пароль не должен существенно отличаться от предыдущего пароля;
• пароль не должен совпадать с идентификатором пользователя (логином);
• пароль не должен совпадать с осмысленным словом какого-либо языка;
• пароль не должен содержать имени, фамилии, отчества или инициалов пользователя;
• в качестве пароля нельзя использовать личные данные, такие как номера телефонов, номер паспорта или другого документа, номер автомобиля и тому подобное;
• пароли для доступа к разным системам и службам должны различаться;
• необходимо учитывать свойства программ при использовании в них парольной защиты;
• необходимо менять пароль не реже одного раза в три месяца;
• необходимо проводить аудит паролей на криптостойкость;
• не использовать повторно одни и те же пароли;
• не передавать пароли через системы мгновенных сообщений или по электронной почте (в крайнем случае по мобильному телефону).

Какие продукты в 2009 году получат обновления? Будут ли появляться новые решения, например для перебора паролей в SaaS-продуктах? Будут ли созданы бандлы вашего ПО вместе с ПО, например, для аудита ПК и ЛВС? Есть ли сейчас подобные решения в продуктовом портфеле компании, если нет, то почему?

Не хочется раскрывать наши планы, но можем сказать, что обновлений будет много, появятся и новые продукты. Бандлы, безусловно, возможны, но это скорее маркетинговый элемент, чем технический.

Планируется ли портирование ваших утилит на другие платформы, например на Linux или Mac OS? Выйдут ли новые версии для Windows 7 и Office 14?

Мы делаем то, что просят наши клиенты – как текущие, так и потенциальные. К сожалению, рынок Linux и Mac OS не так велик, чтобы затраты на разработку соответствующих версий окупались – по крайней мере, пока. Версии для Windows 7, Office 14 и прочих систем, безусловно, появятся, можете не сомневаться.

Будут ли проводиться маркетинговые акции для покупателей ваших продуктов? Какую роль в этом будет играть интернет-супермаркет программного обеспечения Softkey?

Да, конечно, мы охотно участвуем в профильных выставках с раздачей специальных призов и дисконтов, куда заблаговременно приглашаем своих партнеров и клиентов. Ежегодно у нас предлагаются сезонные скидки, привязанные к самым разным событиям, чтобы дух волшебства не покидал и айтишников. Что касается интернет-супермаркета Softkey, это наш ключевой (давний и надежный) партнер на российском рынке, сотрудничеством с которым мы не просто довольны, а даже гордимся.

Спасибо.