У всех свои слабые места в изучении. Кому-то грамматика нужна, кто-то на слух плохо воспринимает беглую речь, у кого-то проблемы с произношением, а кому-то не хватает словарного запаса. Я сделал ставку на словарный запас и на мне это неплохо сработало. Не скажу, что я был активно погружен в языковую среду, чаще всего я занимался самостоятельно. Я хотел добавить chatgpt в другое приложение - генерация тренировочных программ на основе входных данных, но потом оказалось что api OpenAI требует минимального пополнения баланса и просит привязать карту. Если поделитесь бесплатными AI api, хотя бы ограниченными - буду благодарен.
Спасибо за идеи! В этом действительно есть смысл. Это первая версия библиотеки, я изначально набросал её как решение для кроссплатформенной работы с КриптоПро через консоль, без необходимости встраивать SDK, но с возможностью удобно собирать команды через fluent-интерфейс. Улучшения, о которых вы пишете, точно сделают её более гибкой и полезной. Обязательно учту в будущих версиях.
Почему на хабре такая токсичная публика? Если вы считаете что продукт плохой, это отличная возможность продемонстрировать свое мастерство, разработать лучше и написать об этом статью, которую мы все встретим бурными овациями.
Мы выпускали подписи на КриптоПро и ViPNet. Один сотрудник выпустил себе подпись через встроенный в рутокен криптопровайдер, но так и не смог ничего подписать, ни в одной системе ЭДО.
Я читал про YubiKey, но пока не работал с ними. Не уверен, что ФНС примет этот тип носителей для записи подписи. Они рутокены без бумажных сертификатов через раз принимают.
Что не так с оформлением? Когда на третьем курсе я получил первую лабораторную работу по системному программированию - оформление текста мне тоже не понравилось, более того - там информации было ноль, но преподавателя это мало волновало. На мой взгляд, информации в данной статье предостаточно, что бы смоделировать угрозу, изучить и разработать механизмы защиты. Если вы не можете это сделать, тогда это сделает кто-то другой и протестирует ваши механизмы защиты)
Вы можете зарегистрировать МЧД с полными правами на бухгалтера. СМС не обеспечивает достаточный уровень безопасности, потому что помимо отправки отчетов есть еще электронный документооборот, где процветало бы мошенничество, как с банковскими счетами. Плюс электронные подписи используются не только для подписания документов, но и для обмена зашифрованными сообщениями. Я работал в больнице и сдавал медицинские счета в фонд - перед отправкой все реестры подписываются и зашифровываются. С помощью СМС такой функционал реализовать не получится.
У нашего главного бухгалтера была сотня подписей в реестре. Она вела 19 дочерних ООО и 4 ИП. Постоянно нужно счета подписывать, отправлять различные отчеты в различных системах. Когда появились подписи ФНС, возникла другая проблема - была огромная связка токенов и сотрудники бегали как сумасшедшие по офису в попытке найти нужную подпись по нужному ООО, а потом все это в регистрационном журнале еще оформить нужно, а он по каждому юр лицу свой :D
Если подпись хранится на токене, программа переходит в режим ожидания, пока токен не будет подключен к системе, после чего скопирует за секунду. Если контейнер запаролен, программа сканирует хранилище сохраненных паролей, а потом начинает сканировать ввод с клавиатуры и после каждого ввода, похожего на пароль - снова пытается скопировать контейнеры. Неэкспортируемые ключи ФНС легко экспортируются, у меня есть отдельная программа, которую я использовал для создания копий, когда работал в офисе - можно запросто интегрировать, только эти ключи нельзя будет записать обратно на токен - только на флешку или в реестр. Либо можно поднять сервер с заданиями, скачивать документ, подписывать локально и отправлять подписанный файл на сервер. К сожалению, описанные вами методы не помогут, хотя это рекомендуемый минимум.
Ответственность за обеспечение безопасных условий работы с электронными подписями лежит на работодателе и владельце подписи. Иначе после каждого платежа можно было бы идти в суд, кричать что подпись была украдена и требовать компенсации. Мы при выпуске подписей инструкцию выдавали и просили расписаться за инструктаж. Так же наша компания проводила тренинги по информационной безопасности, которые включали работу с фишинговыми письмами, но бдительные сотрудники все равно успешно открывали письма с вложениями типа: "Заявление на получение премии.exe"
Я прикрепил видео к статье, там показано как все контейнеры по клику на почту уходят - в этом и была суть статьи. Можно тестировать программу в различных условиях, но это может превратиться в бесконечное приключение по обходу системы защиты. Идея интересная, но трудозатратная. Поэтому я бы оставил это на усмотрение руководителей ит департаментов, им тоже нужно отрабатывать свой хлеб :D
Это понятно и может быть применимо к крупным компаниям, где безопасностью занимается целый отдел. Но малый бизнес и индивидуальные предприниматели - не в курсе, какие механизмы защиты бывают кроме антивируса. Более того, многие крупные компании ставят антивирус и забивают на все остальное, как те компании, где я работал. По поводу программы - вы можете написать базовую реализацию на powershell и ваш вариант имеет право на жизнь, но есть нюансы: 1. Cmd / powershell антивирусы как раз и ловят 2. Этот скрипт подойдет для самой примитивной атаки. Он не учитывает ситуации, когда токен не вставлен или контейнер запаролен. В таких случаях было бы логично перейти в режим ожидания, опираясь на коды ошибок, если токен не установлен, то ожидать подключения токена. Если запаролен - ожидать ввод с клавиатуры и проверять по шаблону. Если контейнер неэкспортируемый - получить документ с удаленного сервера, подписать и отправить обратно. Если блокируется трафик по FTP, переходить на HTTPS или SMTP. Можно даже интегрировать с удаленным AI, который будет анализировать и устранять ошибки. Есть огромное количество механизмов защиты информации и огромное количество способов их обойти. Если рассылка с вложениями работает на банковских системах, то на малом и среднем бизнесе сработает тем более.
Здесь сказано про отчуждение доли, то есть продажу, покупку, дарение. Есть информация по поводу запрета добавлять дополнительных учредителей? Это разные процессы, если не ошибаюсь - при вхождении дополнительного учредителя не происходит отчуждение доли, а происходит увеличение уставного капитала. Теоретически, можно добавить двух новых учредителей и в обновленном уставе прописать, что вес голосов на собраниях определяется не размером доли, а большинством голосов. В таком случае можно было бы проголосовать за смену генерального директора. А что бы продавать долю другим учредителям, нотариус по моему не нужен. То есть можно рассмотреть вероятность войти в учредители, а потом отжать долю у второго учредителя. Но это на теории. Что думаете?
Привет. Конечно можно, публикация создана что бы токсичить. Ко мне пришла идея протестировать механизм кражи ключей когда я администрировал удостоверяющий центр. Я набросал на скорую руку программу, которая успешно выгружала ключи с удаленного компьютера, как с доменного, так и с локального, kaspersky и bitdefender запуск игнорировали. В данной статье я поделился опытом, каким образом был реализован алгоритм выгрузки ключей, но без чрезмерных подробностей и исходного кода, т.к. это может попадать под 273 статью УК РФ.
Что касается механизмов защиты - целью статьи не было навязывание решений по защите информации, основная задача была указать на наличие проблемы и предоставить информацию для размышлений. Конечно можно было бы описать все классы СКЗИ защиты КС, КА, КВ, рассказать про пак "соболь", но мне не хотелось раздувать статью и делать ее сложной для понимания, потому что она создана не только для компаний, которые активно внедряют электронный документооборот, но и для обычных пользователей, которые работают с электронной подписью дома.
В целом ваша идея неплохая и просвещение в области информационной безопасности может быть полезным. Но я бы вынес это в отдельную статью, связанную с атаками в более широком смысле.
Я видел только что назначение генерального директора теперь требует нотариального удостоверения. Но не нашел информацию о том, что запрещено вносить изменения в учредительные документы через подачу в электронном виде, с целью добавить учредителя, например. Не поделитесь ссылкой на федеральный закон?
На основании этого федерального закона нельзя однозначно утверждать что он запрещает рейдерских захват с помощью электронной подписи. Например: В статье указано, что изменения в устав могут быть внесены по решению общего собрания участников общества (если несколько учредителей). Причем изменения вступают в силу после их государственной регистрации в органах, осуществляющих регистрацию юридических лиц (то есть электронная система налоговой). Примеры: 1. Генеральный директор и учредитель одно лицо - подписью генерального директора можно подписать обновленный устав и направить в налоговую через электронную систему. 2. Генеральный директор и учредитель разные лица - обновленный устав должен быть подписан подписью учредителя и направлен в налоговую через электронную систему.
Я не вижу каким образом данный федеральный закон запрещает передачу долей компании другому лицу через обновление устава, подписанного электронной подписью и зарегистрированного через электронную систему ФНС.
Имея подпись генерального директора вы абсолютно точно можете назначит себя заместителем генерального директора и подписывать различные указы.
Что касается изменения устава компании и рейдерского захвата - вот информация на сайте Тензора и я не вижу причин ей не доверять, потому что эта организация тесно сотрудничает с гос структурами. https://tensor.ru/uc/ep/utrata
У всех свои слабые места в изучении. Кому-то грамматика нужна, кто-то на слух плохо воспринимает беглую речь, у кого-то проблемы с произношением, а кому-то не хватает словарного запаса. Я сделал ставку на словарный запас и на мне это неплохо сработало. Не скажу, что я был активно погружен в языковую среду, чаще всего я занимался самостоятельно.
Я хотел добавить chatgpt в другое приложение - генерация тренировочных программ на основе входных данных, но потом оказалось что api OpenAI требует минимального пополнения баланса и просит привязать карту. Если поделитесь бесплатными AI api, хотя бы ограниченными - буду благодарен.
Мне об этом неизвестно. Я стараюсь не быть чрезмерно категоричным. Идеи в любом случае полезные.
Спасибо за идеи! В этом действительно есть смысл. Это первая версия библиотеки, я изначально набросал её как решение для кроссплатформенной работы с КриптоПро через консоль, без необходимости встраивать SDK, но с возможностью удобно собирать команды через fluent-интерфейс. Улучшения, о которых вы пишете, точно сделают её более гибкой и полезной. Обязательно учту в будущих версиях.
Почему на хабре такая токсичная публика? Если вы считаете что продукт плохой, это отличная возможность продемонстрировать свое мастерство, разработать лучше и написать об этом статью, которую мы все встретим бурными овациями.
Мы выпускали подписи на КриптоПро и ViPNet. Один сотрудник выпустил себе подпись через встроенный в рутокен криптопровайдер, но так и не смог ничего подписать, ни в одной системе ЭДО.
Я читал про YubiKey, но пока не работал с ними. Не уверен, что ФНС примет этот тип носителей для записи подписи. Они рутокены без бумажных сертификатов через раз принимают.
Что не так с оформлением? Когда на третьем курсе я получил первую лабораторную работу по системному программированию - оформление текста мне тоже не понравилось, более того - там информации было ноль, но преподавателя это мало волновало. На мой взгляд, информации в данной статье предостаточно, что бы смоделировать угрозу, изучить и разработать механизмы защиты. Если вы не можете это сделать, тогда это сделает кто-то другой и протестирует ваши механизмы защиты)
Вы можете зарегистрировать МЧД с полными правами на бухгалтера. СМС не обеспечивает достаточный уровень безопасности, потому что помимо отправки отчетов есть еще электронный документооборот, где процветало бы мошенничество, как с банковскими счетами. Плюс электронные подписи используются не только для подписания документов, но и для обмена зашифрованными сообщениями. Я работал в больнице и сдавал медицинские счета в фонд - перед отправкой все реестры подписываются и зашифровываются. С помощью СМС такой функционал реализовать не получится.
У нашего главного бухгалтера была сотня подписей в реестре. Она вела 19 дочерних ООО и 4 ИП. Постоянно нужно счета подписывать, отправлять различные отчеты в различных системах. Когда появились подписи ФНС, возникла другая проблема - была огромная связка токенов и сотрудники бегали как сумасшедшие по офису в попытке найти нужную подпись по нужному ООО, а потом все это в регистрационном журнале еще оформить нужно, а он по каждому юр лицу свой :D
Для удаления контейнеров пароль не нужен, если не ошибаюсь.
Если подпись хранится на токене, программа переходит в режим ожидания, пока токен не будет подключен к системе, после чего скопирует за секунду.
Если контейнер запаролен, программа сканирует хранилище сохраненных паролей, а потом начинает сканировать ввод с клавиатуры и после каждого ввода, похожего на пароль - снова пытается скопировать контейнеры.
Неэкспортируемые ключи ФНС легко экспортируются, у меня есть отдельная программа, которую я использовал для создания копий, когда работал в офисе - можно запросто интегрировать, только эти ключи нельзя будет записать обратно на токен - только на флешку или в реестр. Либо можно поднять сервер с заданиями, скачивать документ, подписывать локально и отправлять подписанный файл на сервер.
К сожалению, описанные вами методы не помогут, хотя это рекомендуемый минимум.
Ответственность за обеспечение безопасных условий работы с электронными подписями лежит на работодателе и владельце подписи. Иначе после каждого платежа можно было бы идти в суд, кричать что подпись была украдена и требовать компенсации. Мы при выпуске подписей инструкцию выдавали и просили расписаться за инструктаж. Так же наша компания проводила тренинги по информационной безопасности, которые включали работу с фишинговыми письмами, но бдительные сотрудники все равно успешно открывали письма с вложениями типа:
"Заявление на получение премии.exe"
Я прикрепил видео к статье, там показано как все контейнеры по клику на почту уходят - в этом и была суть статьи. Можно тестировать программу в различных условиях, но это может превратиться в бесконечное приключение по обходу системы защиты. Идея интересная, но трудозатратная. Поэтому я бы оставил это на усмотрение руководителей ит департаментов, им тоже нужно отрабатывать свой хлеб :D
Это понятно и может быть применимо к крупным компаниям, где безопасностью занимается целый отдел. Но малый бизнес и индивидуальные предприниматели - не в курсе, какие механизмы защиты бывают кроме антивируса. Более того, многие крупные компании ставят антивирус и забивают на все остальное, как те компании, где я работал.
По поводу программы - вы можете написать базовую реализацию на powershell и ваш вариант имеет право на жизнь, но есть нюансы:
1. Cmd / powershell антивирусы как раз и ловят
2. Этот скрипт подойдет для самой примитивной атаки. Он не учитывает ситуации, когда токен не вставлен или контейнер запаролен. В таких случаях было бы логично перейти в режим ожидания, опираясь на коды ошибок, если токен не установлен, то ожидать подключения токена. Если запаролен - ожидать ввод с клавиатуры и проверять по шаблону. Если контейнер неэкспортируемый - получить документ с удаленного сервера, подписать и отправить обратно. Если блокируется трафик по FTP, переходить на HTTPS или SMTP. Можно даже интегрировать с удаленным AI, который будет анализировать и устранять ошибки.
Есть огромное количество механизмов защиты информации и огромное количество способов их обойти. Если рассылка с вложениями работает на банковских системах, то на малом и среднем бизнесе сработает тем более.
Здесь сказано про отчуждение доли, то есть продажу, покупку, дарение. Есть информация по поводу запрета добавлять дополнительных учредителей? Это разные процессы, если не ошибаюсь - при вхождении дополнительного учредителя не происходит отчуждение доли, а происходит увеличение уставного капитала. Теоретически, можно добавить двух новых учредителей и в обновленном уставе прописать, что вес голосов на собраниях определяется не размером доли, а большинством голосов. В таком случае можно было бы проголосовать за смену генерального директора.
А что бы продавать долю другим учредителям, нотариус по моему не нужен. То есть можно рассмотреть вероятность войти в учредители, а потом отжать долю у второго учредителя. Но это на теории.
Что думаете?
Привет. Конечно можно, публикация создана что бы токсичить.
Ко мне пришла идея протестировать механизм кражи ключей когда я администрировал удостоверяющий центр. Я набросал на скорую руку программу, которая успешно выгружала ключи с удаленного компьютера, как с доменного, так и с локального, kaspersky и bitdefender запуск игнорировали. В данной статье я поделился опытом, каким образом был реализован алгоритм выгрузки ключей, но без чрезмерных подробностей и исходного кода, т.к. это может попадать под 273 статью УК РФ.
Что касается механизмов защиты - целью статьи не было навязывание решений по защите информации, основная задача была указать на наличие проблемы и предоставить информацию для размышлений. Конечно можно было бы описать все классы СКЗИ защиты КС, КА, КВ, рассказать про пак "соболь", но мне не хотелось раздувать статью и делать ее сложной для понимания, потому что она создана не только для компаний, которые активно внедряют электронный документооборот, но и для обычных пользователей, которые работают с электронной подписью дома.
В целом ваша идея неплохая и просвещение в области информационной безопасности может быть полезным. Но я бы вынес это в отдельную статью, связанную с атаками в более широком смысле.
Статистика про 90% взята с сайта агентства по кибербезопасности и защите инфраструктуры США. Вот ссылка:
https://www.cisa.gov/shields-guidance-families
Я видел только что назначение генерального директора теперь требует нотариального удостоверения. Но не нашел информацию о том, что запрещено вносить изменения в учредительные документы через подачу в электронном виде, с целью добавить учредителя, например.
Не поделитесь ссылкой на федеральный закон?
Насколько я знаю, встроенная крипта токенов работает далеко не везде. В основном КриптоПро и ViPNet.
На основании этого федерального закона нельзя однозначно утверждать что он запрещает рейдерских захват с помощью электронной подписи.
Например:
В статье указано, что изменения в устав могут быть внесены по решению общего собрания участников общества (если несколько учредителей). Причем изменения вступают в силу после их государственной регистрации в органах, осуществляющих регистрацию юридических лиц (то есть электронная система налоговой).
Примеры:
1. Генеральный директор и учредитель одно лицо - подписью генерального директора можно подписать обновленный устав и направить в налоговую через электронную систему.
2. Генеральный директор и учредитель разные лица - обновленный устав должен быть подписан подписью учредителя и направлен в налоговую через электронную систему.
Я не вижу каким образом данный федеральный закон запрещает передачу долей компании другому лицу через обновление устава, подписанного электронной подписью и зарегистрированного через электронную систему ФНС.
Имея подпись генерального директора вы абсолютно точно можете назначит себя заместителем генерального директора и подписывать различные указы.
Что касается изменения устава компании и рейдерского захвата - вот информация на сайте Тензора и я не вижу причин ей не доверять, потому что эта организация тесно сотрудничает с гос структурами.
https://tensor.ru/uc/ep/utrata