How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh
@ae560read⁠-⁠only

User

Send message
ProfileComments70Bookmarks500

Использование Java смарт-карт для защиты ПО. Глава 3. Установка и настройка IDE

Reading time5 min
Views8.2K
Java*Information Security*Cryptography*
image

В данном цикле статей пойдет речь об использовании Java смарт-карт (более дешевых аналогов электронных ключей) для защиты программного обеспечения. Цикл разбит на несколько глав.

Для прочтения и осознания информации из статей вам понадобятся следующие навыки:
  • Основы разработки ПО для Windows (достаточно умения программировать в любой визуальной среде, такой как Delphi или Visual Basic)
  • Базовые знания из области криптографии (что такое шифр, симметричный, ассиметричный алгоритм, вектор инициализации, CBC и т.д. Рекомендую к обязательному прочтению Прикладную Криптографию Брюса Шнайера).
  • Базовые навыки программирования на любом языке, хотя бы отдаленно напоминающем Java по синтаксису (Java, C++, C#, PHP и т.д.)

Цель цикла — познакомить читателя с Ява-картами (литературы на русском языке по их использованию крайне мало). Цикл не претендует на статус «Руководства по разработке защиты ПО на основе Ява-карт» или на звание «Справочника по Ява-картам».

Состав цикла:



Читать дальше →
Total votes 23: ↑13 and ↓10+3
Comments1

Использование Java смарт-карт для защиты ПО. Глава 1. Общие сведения

Reading time7 min
Views16K
Java*Information Security*Cryptography*
image

1. Введение


В данном цикле статей пойдет речь об использовании Java смарт-карт (более дешевых аналогов электронных ключей) для защиты программного обеспечения. Цикл разбит на несколько глав.

Для прочтения и осознания информации из статей вам понадобятся следующие навыки:
  • Основы разработки ПО для Windows (достаточно умения программировать в любой визуальной среде, такой как Delphi или Visual Basic)
  • Базовые знания из области криптографии (что такое шифр, симметричный, ассиметричный алгоритм, вектор инициализации, CBC и т.д. Рекомендую к обязательному прочтению Прикладную Криптографию Брюса Шнайера).
  • Базовые навыки программирования на любом языке, хотя бы отдаленно напоминающем Java по синтаксису (Java, C++, C#, PHP и т.д.)

Цель цикла — познакомить читателя с Ява-картами (литературы на русском языке по их использованию крайне мало). Цикл не претендует на статус «Руководства по разработке защиты ПО на основе Ява-карт» или на звание «Справочника по Ява-картам».

Состав цикла:



Читать дальше →
Total votes 29: ↑16 and ↓13+3
Comments10

Смарт-карты для самых маленьких

Reading time6 min
Views54K
API*Development of communication systems*
From sandbox
Поскольку статья вводная и обзорная, то рассматриваться будет простейшая разновидность смарт-карт — SIM-карты, полагаю, что таких карт на планете сейчас больше всего.
По сегодняшним меркам стандарт SIM выглядит архаично, но зато он идеален для первого знакомства с миром смарт-карт, усвоение принципов, которые заложены в основу этого стандарта, облегчит дальнейшее погружение в тему.
Если Вы «карточник», то вряд ли узнаете для себя что-то новое, разве что какие-нибудь не очень понятные моменты разложатся по полочкам, а может быть Вы разложете по полочкам то, что недопонял автор (но, напоминаю, держимся в рамках SIM!).

Читать дальше →
Total votes 51: ↑45 and ↓6+39
Comments19

STM32. Подключаем смарт-карты стандарта ISO7816

Reading time8 min
Views66K
C++*IT Standards*
From sandbox
О смарт-картах сказано уже немало, но процесс взаимодействия с картами на физическом уровне до недавнего времени оставался для меня загадкой. В своей статье я хотел бы осветить вопрос работы со смарт-картами по интерфейсу, описанному в части 3 стандарта ISO7816. Признаюсь честно, что потратил немало времени добывая информацию, а все оказалось предельно просто. Если интересно, давай под кат.

Читать дальше →
Total votes 32: ↑32 and ↓0+32
Comments6

Как на Java c помощью КриптоПро подписать документ PDF

Reading time10 min
Views41K
Альфа-Банк corporate blogJava*PDFInformation Security*Cryptography*


Привет! Я сотрудник Альфа-Банка и занимаюсь разработкой программного обеспечения со встроенными средствами криптографической защиты информации.

В данной статье хочу рассказать о следующих вещах:

  • преимуществах формата PDF в качестве документа с электронной подписью;
  • платформе Java, библиотеке itextpdf и СКЗИ КриптоПро CSP, как инструментах подписи;
  • о том, с какими трудностями пришлось столкнуться, о доработке itextpdf;
  • привести пример кода, выполняющего несколько подписей;
  • поговорить о целесообразности использования формата PDF в качестве документа с подписью.
Читать дальше →
Total votes 14: ↑13 and ↓1+12
Comments28

Читаем контейнер закрытого ключа КриптоПро средствами OpenSSL

Reading time8 min
Views90K
Cryptography*
Речь пойдет о файлах primary.key, masks.key и header.key, которые лежат в директории ххххх.000 на флешке. Данные файлы входят в состав криптоконтейнера закрытого ключа электронной подписи криптопровайдера КриптоПро, формат которого нигде не опубликован. Целью данной статьи является чтение контейнера и преобразование закрытого ключа в формат, который может быть прочитан в библиотеке OpenSSL. Долгое время было распространено ошибочное суждение, что достаточно сделать нечто вида (primary_key XOR masks_key) и мы получим закрытый ключ в чистом (raw) виде, однако забегая вперед, можно утверждать, что в КриптоПро было применено более сложное преобразование, в худшем случае состоящее из более чем 2000 (двух тысяч) операций хеширования.

Стоит упомянуть о существовании утилиты P12FromGostCSP которая позволяет конвертировать ключ в формат P12, доступный для работы с OpenSSL, но утилита имеет следующие существенные недостатки:
  • Читает контейнер не напрямую, а через криптопровайдер, поэтому там, где кроме OpenSSL ничего нет, не работает.
  • Если в свойствах ключа не отмечено, что ключ «экспортируемый», то конвертировать его невозможно.
  • В демо версии не формирует файл с ключом, эта возможность присутствует только в платной версии.

Файл primary.key


Содержит 32 байта ключа в формате Asn1. Это только половина ключа, полный ключ получается при делении этого числа по модулю Q на маску. Поле, хранящее модуль Q в библиотеке OpenSSL имеет название order. Маска лежит в файле masks.key:

primary.key
Читать дальше →
Total votes 58: ↑56 and ↓2+54
Comments44

Где работать в ИТ в 2021: EPAM

Reading time12 min
Views20K
Хабр Карьера corporate blogIT careerPersonnel Management*

Герой нашего тридцатого (ура, юбилей!) выпуска «Где работать в ИТ» — компания EPAM, которая разрабатывает ПО для международных финансовых, торговых, медицинских и медиа-компаний. Причем проекты есть самые разные: от онлайн-магазинов до VR-игр.

В подготовке участвовала целая команда! Об условиях работы в компании нам рассказали Анна Левина (Head of People Management Team) и Анна Васильева (People Partner Manager). Про найм — менеджеры Talent Acquisition Василий Комолов и Виктория Семенова. Про команду EPAM и технологии дали комментарии Алексей Харюков (менеджер проектов и руководитель тренинг-центра в Санкт-Петербурге), Антон Зеленский, (лид разработки) и Николай Буланов (директор Самарского филиала EPAM).

Читать далее
Total votes 17: ↑11 and ↓6+17
Comments6

Обход встроенной защиты PIC-микроконтроллеров

Reading time5 min
Views105K
Computer hardware
From sandbox
В комментариях к недавнему топику о вскрытии процессора была упомянута статья о том, как удалось обойти встроенную защиту от чтения прошивки микроконтроллера (т.н. Fuse-биты). Мне она понравилась, ниже — перевод с некоторыми дополнениями и пояснениями.

Взлом МК PIC18F1320


Я подумал, что было бы неплохо попробовать что-нибудь из тех техник взлома микроконтроллеров семейства PIC, о которых я слышал. Обычно PIC-микроконтроллеры имеют некоторое количество так называемых fuse-бит, которые служат для защиты от чтения или модификации каких-то частей памяти. Однако бывают случаи, когда возникает необходимость прочитать содержимое уже запрограммированного и защищенного контроллера (на законных основаниях). Типичный пример — потеря компанией технической документации на устройство, либо увольнение тех людей, которые изначально разрабатывали защищенную прошивку микроконтроллера. Такое так же часто случается, когда компания хочет обновить линейку своих продуктов.
Ну, сами понимаете, есть еще некоторые ситуации, когда такие навыки могут пригодиться.


Читать дальше →
Total votes 60: ↑58 and ↓2+56
Comments44

Радиоэлектронный фриланс

Reading time10 min
Views118K
Electronics for beginners
Окончив институт и устроившись на работу, я осознал, что совершенно не создан для офисной или выездной работы, четких распорядков, начальников и прочей рутины. А ходить на работу каждый день было ну совсем невыносимо. Хватило меня на пол года :) Потому, несмотря на не пыльную работу, весьма высокую зарплату, а по меркам вчерашнего студента, так вообще шикарную, я дождался первого же срача с начальством и красиво хлопнул дверью. С тех пор развлекаю себя сам и доволен жизнью. О нюансах вольной жизни бывшего фрилансера электронщика я и хочу поведать в этом посте.
Все нижеследующее это исключительно мой практический опыт и я не уверен, что у вас все получится именно так.

Бабло
Начну с самого интересного, с денег. Скажем так, под конец моей деятельности (примерно 2010), не особо напрягаясь, работая около двух-трех дней в неделю, можно было смело делать тысяч по 50-70 рублей. Это в Челябинске. Если работать каждый день, то легко было делать от 150 тысяч рублей в месяц и более, но я для этого был слишком ленив. А теперь по порядку.

Далее Война и Мир, написал как сумел
Total votes 294: ↑274 and ↓20+254
Comments292

Чиптюн-музыка на ATtiny4 и трехцентовом Padauk

Reading time8 min
Views9.9K
RUVDS.com corporate blogAbnormal programming*SoundDIYProgramming microcontrollers*
Translation

Когда я услышал «Bitshift Variations in С Minor» Роба Майлза – 16-минутный фрагмент 4-голосого полифонического аудио произведения – мне очень захотелось воплотить такое аппаратно. Реализовать это на любом микроконтроллере слишком уж просто, поэтому я решил взять самый мелкий, какой смог найти – ATtiny4. Чуть позже я портировал эту программу на небезызвестный трехцентовый микроконтроллер Padauk PMS150С.

Ах да – при этом он полностью уместился в RCA-штекер и автоматически обнаруживает подключение.
Total votes 58: ↑58 and ↓0+56
Comments17

Печатные платы с помощью фотополимерного 3D-принтера

Reading time16 min
Views39K
Manufacture and development of electronics*3D printersDIY

3D-принтерами сейчас уже никого не удивишь. А в последние год-два благодаря сильному снижению стоимости бурно расцветает и их фотополимерный подвид. Сейчас такой принтер доступен уже практически каждому и число их моделей на рынке множится каждый месяц.

Еще когда я несколько лет назад только узнал о появлении нового типа фотополимерных принтеров - у которых изображение слоя для засветки формируется ЖК-дисплеем, у меня уже тогда мелькнула мысль "Хм, а если им подставить фоторезист на текстолите?". Но тогда это был чисто теоретический вопрос - цены на них были немалыми, а разрешение и площадь дисплея оставляли желать лучшего. Однако на сегодня эти принтеры уже могут похвастаться и приличным разрешением - от 30 мкм пиксель, и вполне нормальной площадью дисплея.

И как оказалось, с помощью недорогого современного фотополимерного принтера вполне можно делать платы с дорожками/промежутками от 0.15 мм :)

И что получилось?
Total votes 37: ↑36 and ↓1+48
Comments106

Отсканируем всю сеть..., или как я искал старые операционные системы в сети организации

Reading time5 min
Views25K
Information Security*
Tutorial
Recovery Mode

При проведении теста на проникновение внутренней сети предприятия, одним из первых рассматриваемых векторов атак на сети Windows является поиск и компрометация неподдерживаемых операционных систем с известными и публичными эксплойтами. Чаще других при этом эксплуатируется служба SMB. Другой проблемой системных администраторов является отсутствие документации сети. Пентестер и/или аналитик информационной безопасности сети может столкнуться с разведкой сети по принципу черного ящика в ситуации большой загруженности или при откровенной халатности сотрудников, ответственных за эксплуатацию. В частности, администраторов (тезис подтверждается исследованием коллег из Positive Technologies).


Сформулируем и немного расширим кейс


Необходимо за адекватное время найти все неподдерживаемые операционные системы семейства Windows в локальной сети предприятия с числом хостов более 10 тыс., предположительно имеющих публичные эксплойты SMB.
Ограничением метода может стать сегментация сети, когда некоторые подсети закрыты от хоста исследователя.


Кому интересно, добро пожаловать под кат...

Читать дальше →
Total votes 7: ↑6 and ↓1+8
Comments8

Выживание Windows XP x32 на современных ПК c процессором Intel

Reading time7 min
Views66K
Desktop PC'sOperating systems
From sandbox

Речь пойдет про платы периода 2016-2021+, т.е. процессоры Skylake и выше. На платформах AMD почти те-же проблемы, но их меньше. Статья не является "пошаговой инструкцией", в основном теория и способы решения проблем

Читать полностью
Total votes 46: ↑43 and ↓3+59
Comments113

Свой личный SMS-шлюз. Часть 2 – создаём API и форму отправки

Reading time11 min
Views28K
RUVDS.com corporate blogAPI*IT Infrastructure*PHP*Development for Linux*
Tutorial

Представляю вам вторую часть из серии статей по созданию своего шлюза.
В первой части мы настроили Gammu, рассмотрели особо интересные параметры и успешно произвели отправку SMS сообщения. Сейчас нам предстоит задача посложнее – создать некую программную прослойку (API), для того, чтобы можно было работать со шлюзом путем отправки запросов на этот API. В первую очередь это комфорт, во вторую – большое количество дополнительных возможностей.

Если вы не знакомы с первой частью, советую сначала ознакомиться с ней:
Свой личный SMS-шлюз. Часть 1 – цели, задачи, сборка и тестирование
Читать дальше →
Total votes 28: ↑27 and ↓1+39
Comments31

Защита Linux-сервера. Что сделать в первую очередь

Reading time7 min
Views98K
VDSina.ru corporate blogSystem administration*Server Administration*Information Security*Hosting

Habib M’henni / Wikimedia Commons, CC BY-SA

В наше время поднять сервер на хостинге — дело пары минут и нескольких щелчков мыши. Но сразу после запуска он попадает во враждебную среду, потому что открыт для всего интернета как невинная девушка на рокерской дискотеке. Его быстро нащупают сканеры и обнаружат тысячи автоматически скриптовых ботов, которые рыскают по сети в поисках уязвимостей и неправильных конфигураций. Есть несколько вещей, которые следует сделать сразу после запуска, чтобы обеспечить базовую защиту.
Читать дальше →
Total votes 50: ↑43 and ↓7+52
Comments100

1 CPU 1 Гб – а я хочу мониторинг, как у больших дядей

Reading time14 min
Views58K
Маклауд corporate blogJavaScript*Lifehacks for geeksConfiguring Linux*Server Administration*


Я обожаю читать на хабре статьи про то, как устроены системы больших интернет-компаний. Кластеры SQL-серверов, монг и редисов. Тут у нас кластер ELK собирает трейсинг, там – сборка логов, здесь балансер выдает входящим запросам traceID и можно отслеживать, как запрос ходит по всем нашим микросервисам. Класс. Но, допустим, у вас совсем маленький проект и вы можете себе позволить лишь VPS минимальной конфигурации. Реально ли на ней сделать мониторинг не хуже, чем у больших проектов? Я решил – надо попробовать.
Читать дальше →
Total votes 64: ↑62 and ↓2+78
Comments82

Свой личный SMS-шлюз. Часть 1 – цели, задачи, сборка и тестирование

Reading time6 min
Views73K
RUVDS.com corporate blogAPI*IT Infrastructure*PHP*Development for Linux*
Tutorial


Представляю вам цикл статей по созданию собственного шлюза для отправки SMS-сообщений.
В первой части мы определим цели и некоторые аспекты использования своего шлюза, настроим программное обеспечение для отправки SMS с использованием USB-модемов, а также рассмотрим несколько интересных вариантов отправки
Читать дальше →
Total votes 56: ↑55 and ↓1+68
Comments62

Full-stack мониторинг на примере Java приложений

Reading time9 min
Views20K
Proto corporate blogSystem administration*Java*DevOps*Microservices*

Всем привет! За последние пять лет мы достаточно часто сталкивались с запросами на мониторинг Java приложений. Собрав основные моменты по мониторингу Java, мы решили написать данный пост.

Сегодня мы с вами рассмотрим, что такое Full Stack мониторинг и чем он отличается от привычного “уху” понятию мониторинга, нюансы Full Stack мониторинга для Java и сложности мониторинга микросервисных приложений на Java. Расскажем, как мы реализуем Full Stack мониторинг с помощью OpenSource стандартов и платной платформы. 

Давайте определимся, что мы называем Full Stack мониторингом?

Full stack мониторинг – это подход в мониторинге производительности приложений, который подразумевает под собой мониторинг всего стека, что включает в себя:

Мониторинг приложений – сбор метрик приложения, сбор трейсов транзакций, обеспечение видимости на уровне кода и т.д.

Мониторинг инфраструктуры – метрики хостов, процессов, контейнеров и т.д.

Мониторинг конечных пользователей – сбор метрик с браузера пользователя, мобильного приложения, синтетические проверки и т.д.

Читать далее
Total votes 1: ↑1 and ↓0+1
Comments0

Джуном? в 40 лет? Ещё и на удаленку? Да ну, не выдумывайте…

Reading time6 min
Views35K
Python*Studying in ITIT career

И все-таки это возможно...

..., в 40 лет выучиться топтать кнопки и этим зарабатывать, но путь к этому тернист, сложен, неоднозначен, сами придумайте какое-нить сложное определение, непростой и нелегкий. Если Вы уверены, что готовы к нему - то вы однозначно его пройдете!

Вообще таких success stories в интернетах полным-полно, помните как таксист учил Java на перекурах, курьер слушал подкасты на велике, хирург... уж не помню, когда хирург умудрялся учить ООП, но похоже делал он это вместе с таксистом и курьером.

К большинству таких истории я, до недавнего времени, относился скептически, много где была явная и несуразная реклама, кое-где - нестыковки, что-то похоже больше на везенье и сказку... Именно поэтому я решился написать эту статью..., как непосредственный участник/очевидец/свидетель.

Да-да, я именно тот 40-летний джун, которому удалось попасть на удаленку и среднюю зарплату в не очень крупную, но гордую контору... Хотите узнать как это получилось?

Готовьтесь к лонгриду...
Total votes 28: ↑20 and ↓8+15
Comments94

Как наши побили рекорд Intel: за кулисами масштабного шоу дронов

Reading time9 min
Views26K
Leader-ID corporate blogSystems engineering*

В сентябре 2020 года в вечернем питерском небе можно было наблюдать множество разноцветных светящихся точек, которые собирались в фигуры и перестраивались как по команде. Это было одно из шоу дронов, которые организует местная компания «Геоскан».

Тогда они побили рекорд компании Intel и вошли в Книгу рекордов России со зрелищной программой в честь 75-летия Победы, в которой задействовали почти 2200 квадрокоптеров собственной разработки.

Под катом — о техническом закулисье и том, насколько сложно запустить одновременно пару тысяч дронов, когда даже для одного нужно оформлять специальное разрешение.

Читать далее
Total votes 54: ↑51 and ↓3+61
Comments42
12 ...
67
8
910 ...
2425

Information

Rating
Does not participate
Registered
Activity

Your account

Sections

Information

Services

Support
© 2006–2025, Habr