Pull to refresh
  • by relevance
  • by date
  • by rating

Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи

Information Security *Legislation in IT
В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.

Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Читать дальше →
Total votes 45: ↑44 and ↓1 +43
Views 75K
Comments 133

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Information Security *Network technologies *Network hardware
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Total votes 24: ↑16 and ↓8 +8
Views 9.3K
Comments 11

Власти перенесут переход бизнеса на новый формат цифровой подписи на 2023 год

Information Security *Legislation in IT

Завершающий этап реформы электронной подписи планируется перенести на более поздние сроки — на совещании у вице-премьера Дмитрия Чернышенко было принято решение ввести переходный период в течение 2022 года, сообщает РБК со ссылкой на источники.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 1.5K
Comments 3

Thawte WOT: сертификат для подписи электронной почты

Lumber room
Прочел топик о Web of Trust и вспомнил, что есть способ бесплатно получить валидный сертификат от Thawte для подписи и шифрования электронной почты (и не только).

У Thawte есть бесплатная программа получения персонального сертификата X.509 – Web of Trust. Суть программы сводится к тому, что после регистрации на сайте и прохождения процедуры заверения, вы получаете сертификат с вашим именем, которому будут доверять все системы, имеющие Thawte в качестве корневого центра сертификации (Root Certification Authority). А поскольку это один из крупнейших центров, то доверяют ему практически все.
Как это сделать?
Total votes 15: ↑12 and ↓3 +9
Views 414
Comments 5

Асимметричный алгоритм для генерации коротких серийных номеров

Lumber room
Введение

Хуже всего, когда для вашей программы создан генератор серийных номеров. Взломанные (переделанные) версии программ используют куда менее охотно – есть риск подхватить вирус или потерять данные. А вот когда есть возможность скачать подлинную программу с официального сайта и самостоятельно сгенерировать номер – это катастрофа для разработчика.

Читать дальше →
Total votes 29: ↑26 and ↓3 +23
Views 5.2K
Comments 15

Безопасность при межпроектном взаимодействии

Information Security *

Введение


Сегодня множество интернет-сервисов взаимодействуют друг с другом через интернет. Особый класс взаимодействий — те, в которых осуществляется передача конфиденциальной информации (личные данные, секретные сообщения) или команд, выполнение которых должно быть кем-то однозначно подтверждено (например, перевод денег или публикация сообщения от чьего-то имени). Очевидно, что подобные сервисы должны быть надёжно защищены от злоумышленников.

К сожалению, не все разработчики задумываются о степени защищённости своих приложений. Проблема несколько усугубляется тем, что многие представители электронного бизнеса разрабатывают протоколы, которые, будучи реализованными в конечных сервисах, могут создать серьёзные уязвимости, если использовать их без должного понимания.

Задача данной статьи — кратко описать возможные типы атак при межпроектном (т. е. сервер-сервер) взаимодействии и средства защиты от них — с тем, чтобы более вдумчиво использовать готовые протоколы и разрабатывать свои. Предварительно будут рассмотрены основы информационной безопасности, так как зачастую знания конечных разработчиков в этой области бывают несколько отрывочными.

Защита (или отсутствие защиты) от различных типов атак демонстрируется на примере протоколов популярных сегодня систем: Assist, Cyberplat, WebMoney, ChronoPay, Robokassa и PayPal (платёжные системы), а также OpenID, OpenAuth, OAuth (децентрализованная аутентификация).
Читать дальше →
Total votes 31: ↑27 and ↓4 +23
Views 4.3K
Comments 28

Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. Часть 1

Information Security *
Итак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП.

Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы.

Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры.

Читать дальше →
Total votes 105: ↑85 and ↓20 +65
Views 118K
Comments 108

Электронная подпись для чайников: с чем ее есть и как не подавиться. Часть 2

Information Security *
Часть 1

Продолжая раскрывать тайное знание о цифровой подписи простым языком, разберем, что же нам надо для удобной и эффективной работы с ними, а также главное различие между лагерями S/MIME + X.509 и PGP.

Читать дальше →
Total votes 43: ↑42 and ↓1 +41
Views 87K
Comments 27

Электронная цифровая подпись для чайников: с чем ее есть и как не подавиться. Часть 3

Information Security *
Часть 1
Часть 2

В этой части сделаем небольшое отступление от цифровых подписей в сторону того, без чего непосредственно цифровых подписей, да и защиты информации в привычном понимании, не было бы: шифрования. Ведь первое, что приходит на ум, когда идет речь о защите наших данных — это не дать эти данные нехорошему человеку прочитать. Поэтому, перед тем, как продолжить рассмотрение стандартов PGP и S/MIME, стоит закрасить некоторые остающиеся в знаниях белые пятна, и рассмотреть процесс шифрования немного поподробнее.

Читать дальше →
Total votes 50: ↑47 and ↓3 +44
Views 157K
Comments 14

Удаление цифровой подписи PE-файла

Information Security *
Для подписи PE-файлов (exe, dll, sys и другие) в большинстве случаев используется утилита signtool.exe, но какую утилиту использовать, если цифровую подпись нужно удалить из файла? А такой утилиты официально нет. Можно только подписать или переподписать (поставить свою подпись поверх существующей), но не удалить. Как же быть, если файлик нужно подправить в Hex или PE-редакторе и не хочется оставлять файл с заведомо повреждённой цифровой подписью?
Читать дальше →
Total votes 67: ↑59 and ↓8 +51
Views 19K
Comments 18

Удостоверяющий центр на основе OpenSSL

Information Security *
Sandbox
Когда работал системным администратором, возникла у меня необходимость реализовать VPN на несколько десятков филиалов компании, интранет и почту на серверах в Москве с суровой защитой и доступом через VPN вообще отовсюду. При этом придумать всю систему и организовать её развёртывание предстояло в одно лицо. Бюджет был в тысячи полторы долларов, было это 4 года назад, некоторое время честно пытался найти более-менее приемлемое по цене ПО, потом нечестно пытался найти что-то на торрентах – пусто. В итоге – OpenSSL и OpenVPN. В этом вводном тексте хотелось бы поговорить об OpenSSL.

В конечном итоге были развёрнуты:
  • центр выдачи сертификатов (CA – Certificate Authority, он-же УЦ – Удостоверяющий Центр, в отечественной терминологии организация, уполномоченная выпускать сертификаты),
  • интранет-сайт с авторизацией доступа по клиентским сертификатам,
  • VPN с взаимной аутентификацией серверов, клиентов и динамической маршрутизацией,
  • Авторизация клиентов на корпоративном IM сервере с помощью тех-же сертификатов.
Читать дальше →
Total votes 2: ↑2 and ↓0 +2
Views 26K
Comments 1

Цифровые подписи в исполняемых файлах и обход этой защиты во вредоносных программах

Information Security *
image
Хабрапривет!

Ну вроде как удалось решить вопросы с кармой, но они ником образом не касаются сегодняшней темы, а лишь объясняют некоторое опоздание её выхода на свет (исходные планы были на ноябрь прошлого года).

Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.
Читать дальше →
Total votes 70: ↑62 and ↓8 +54
Views 67K
Comments 46

Эволюция руткита TDL4 или полевые сводки последних месяцев

ESET NOD32 corporate blog
Мы уже давно ведем пристальное наблюдение за TDL4, а также за ботнетами, основанными на этом семействе руткитов. Но в последнее время особенно интересно было наблюдать за выходом исправлений со стороны Microsoft для блокирования методов загрузки неподписанных драйверов для x64 систем, использованных для установки Win64/Olmarik.

Начнем издалека, итак в апрельский день Х помимо всех остальных вышло исправление KB2506014, задачей которого было внести несколько изменений в модуль winloader.exe для x64 версий ОС и таким образом противодействовать загрузке не подписанных драйверов. До установки патча BCD (Boot Configuration Data) имеет три различных опции загрузки:

BcdLibraryBoolean_DisableIntegrityCheck – принудительное отключение проверки (чаще всего используется для отладочных целей);
BcdOSLoaderBoolean_WinPEMode – отключение в режиме установки или восстановления ОС
BcdLibraryBoolean_AllowPrereleaseSignatures – разрешить загружать модули имеющие тестовую цифровую подпись
Читать дальше →
Total votes 28: ↑27 and ↓1 +26
Views 10K
Comments 5

Асимметричная криптография при лицензировании подписочного ПО на практическом примере

Information Security *
Речь пойдет о том, как устроена защита десктопных программ, а также о типичной системе лицензирования и активации ключей. Активация применяется практически в любом коммерческом ПО, и то, на каких принципах она строится, довольно интересно, поэтому я решил написать эту статью.

В статье читайте:
  • Про «лицензию», «активацию», «хэш-функции», «цифровую подпись», «асимметричную криптографию» и (вкратце) про RSA и DSA, без формул и математики.
  • Чем механизм подписки (subscription) отличается от традиционного лицензирования.
  • Применение описанных принципов на примере EXE-протектора VMProtect.
Статья сугубо практическая, т.к. эти же самые идеи мы применяем в нашем стартапе — платформе RentSoft (мы рассказывали о нем в предыдущей статье). Фактически, я описываю, что находится у нас «под капотом», а также сообщаю о тех «граблях», на которые мы в свое время наступили. Ближе к концу статьи будет практическая демонстрация — иллюстрация механизма взаимодействия нашей платформы с протектором EXE-файлов VMProtect, нашим партнером.

Итак, приступим.
Читать дальше →
Total votes 45: ↑40 and ↓5 +35
Views 7.8K
Comments 97

Code Signing сертификаты или сертификаты разработчика. Виды, как выбрать

«TutHost» corporate blog Information Security *Website development *
В прошлый раз мы рассматривали цифровые SSL сертификаты, в этот раз рассмотрим еще один вариант цифровых сертификатов.
Code Signing сертификаты — это сертификат, которым подписывается программное обеспечение или скрипты, который подтверждает автора программы и гарантирует, что код не был изменен, после того, как была наложена цифровая подпись. Также их еще называют сертификаты разработчика.

Итак сертификаты разработчика предоставляют нам несколько возможностей. Во-первых это механизм цифровой подписи, которая подтверждает, что программа, которой вы пользуетесь действительно выпущена той или иной компанией, то есть гарантирует подлинность источника. А во вторых гарантирует целостность содержимого, то есть, что с момента подписания программный продукт не был поврежден или изменен.
Виды сертификатов разработчиков и как выбрать правильный
Total votes 28: ↑26 and ↓2 +24
Views 67K
Comments 57

Новый троян с валидной цифровой подписью LLC Mail.Ru маскируется под обновления популярных программ

Information Security *
Sandbox
Тихим субботним вечером моя мама мирно серфила Youtube на предмет ухода за цикламенами и внезапно слева от видео образовался баннер (к сожалению, скриншота не будет, т.к. баннер воспроизвести не удалось), призывающий обновить Skype. После клика на него произошел редирект на _http://easyupdate.ru/skype/, выглядящий примерно так…
Подробности и много скриншотов
Total votes 439: ↑407 and ↓32 +375
Views 281K
Comments 319

Подпись объектного кода сертификатом от StartSSL. По шагам — заплатил, получил, подписал

System administration *

Приветствую! Хочу поделиться своим опытом как я получил сертификат для подписи объектного кода. Много статей и постов написано о цифровой подписи, и бюджетном StartSSL. Я решил потратив почти $ 60, попробовать пройти по этому пути и поделиться с обществом своим опытом.
Относиться все ниже изложенное исключительно к моему личному опыту и относится к ОС Windows.
Ну, начинаем...
Total votes 4: ↑4 and ↓0 +4
Views 9.6K
Comments 5

Бесплатный Code signing для Open Source от Certum

Information Security *Website development *
Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение:


Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.

Несложный поиск показал следующее:
Что именно?
Total votes 29: ↑28 and ↓1 +27
Views 26K
Comments 19

Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая

КиберСофт corporate blog Information Security *
Все мы привыкли к термину «электронная цифровая подпись», однако сейчас правильнее использовать другой термин — «электронная подпись», поскольку в апреле 2011 года вступил в силу Федеральный закон № 63-ФЗ «Об электронной подписи» (далее просто закон «Об электронной подписи»). Именно этот закон пришел на смену закона № 1-ФЗ «Об электронной цифровой подписи». Поэтому то, что раньше мы назвали «электронной цифровой подписью» теперь называется просто «электронной подписью».
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Views 81K
Comments 17

Электронная подпись по Российским нормативам: практическое использование на предприятиях

КиберСофт corporate blog Information Security *

Государственные и коммерческие предприятия


В первой части статьи речь шла об использовании электронной подписи в коммерческих предприятиях. В государственных предприятиях и банках все немного иначе. Здесь нужно использовать сертифицированный криптопровайдер, а сами ключи должны храниться на токенах. Поэтому во второй части этой статьи будет показано, как использовать сертифицированный криптопровайдер и токены для хранения ключей вне компьютера. Сперва мы поговорим о криптопровайдере, а потом уже рассмотрим практическое использование программы.
Читать дальше →
Total votes 17: ↑10 and ↓7 +3
Views 22K
Comments 17