• Коротко о Shadowsocks, или OpenVPN не нужен (в каждом доме)

    В наши дни, когда всякие нехорошие элементы так и норовят влезть в ваш трафик и как-то там напакостить, стало модным шифрование трафика. Начинание это благое и полезное, вот только делают его зачастую избыточно. Если шифрование трафика до доверенного сервера, типа своего VPS, — ваша единственная цель, то OpenVPN для такой цели слишком наворочен. Его долго настраивать, легко обнаружить, а главное — есть подводные камни, не зная которых можно получить такую ситуацию, что VPN стоит, а трафик идёт в обход. Всё это потому, что OpenVPN задумывался больше как средство доступа к маленькой сети через Интернет, а не для доступа ко всему Интернету.
    Читать дальше →
  • Что такое цифровая рукописная подпись (ЦРП)


      Русские буквы «Я», отличающиеся формой траектории, и пример нахождения экстремальных точек для быстрого сопоставления динамических кривых. Источник: Д.В. Колядин, И.Б. Петров, «Алгоритм выделения экстремальных точек применительно к задаче биометрической верификации рукописной подписи». Исследовано в России. — М.: МФТИ, 2005

      Рукописная подпись с давних времён остаётся одним из самых популярных способов подтверждения документов. Состав рукописной подписи юридически не установлен. Это может быть имя и фамилия в рукописной форме или просто крестик (“Х”): любая произвольная совокупность символов, оформленных с использованием букв, безбуквенных элементов, всевозможных завитков и штришков.

      Но сейчас обычный автограф — это больше, чем просто росчерк на бумаге. Он способен выполнять роль биометрического идентификатора, а понятие «подпись» значительно расширилось:

      • Физическая подпись (wet signature): физическая отметка на документе, поставленная человеком собственноручно. Раньше её называли просто «подпись», но сейчас иногда специально указывают определение wet, чтобы не путать с электронной подписью (ЭП) и цифровой рукописной подписью (ЦРП).
      • Электронная подпись (ЭП), она же цифровая подпись (ЦП), электронная цифровая подпись (ЭЦП).
      • Цифровая рукописная подпись (ЦРП): собственноручная подпись человека, учинённая с помощью соответствующих программных средств (в том числе планшетов, дисплеев) для подтверждения целостности и подлинности подписываемого документа в электронном виде.
      Читать дальше →
    • Установка центра сертификации на предприятии. Часть 3

      • Tutorial
      А вот и финальная третья часть нашей серии статей о центре сертификации на предприятии. Сегодня рассмотрим развертывание службы сертификатов на примере Windows Server 2016. Поговорим о подготовке контроллера домена, подготовке веб-сервера, установке корневого и издающего центров сертификации и об обновлении сертификатов. Заглядывайте под кат!

      Читать дальше →
      • +16
      • 63.5k
      • 1
    • Установка центра сертификации на предприятии. Часть 1

      • Tutorial
      Привет, Хабр! Мы начинаем новую серию статей. Она будет посвящена развертыванию службы сертификатов на предприятии на базе Windows Server 2016 с практическими примерами. Сегодня обозначим вступительные моменты и поговорим о типовых схемах развёртывания иерархии PKI: двухуровневой и многоуровневой. Обо всем этом читайте под катом.

      Читать дальше →
    • Установка центра сертификации на предприятии. Часть 2

      • Tutorial
      Мы продолжаем нашу серию статей о центре сертификации на предприятии. Сегодня поговорим о построении диаграммы открытого ключа, планировании имен центра сертификации, планировании списков отзыва сертификатов и еще нескольких моментах. Присоединяйтесь!

      Читать дальше →
    • Безопасность приложений с Citrix NetScaler

      • Tutorial


      Всем привет! Ни для кого не секрет, что в последнее время возросло большое количество угроз. Большое внимание стало уделяться темам безопасности и защите доступа к используемым ресурсам. В данной статье разберем продукт Citrix NetScaler VPX и его интегрированную платформу Unified Gateway, а заодно поговорим о том, какие методы аутентификации сегодня применяют, что такое мультифакторная аутентификация и многое другое. Всех заинтересовавшихся прошу к прочтению.
      Читать дальше →
    • Еще одна кража через SWIFT. Теперь в России


        UPD2. По данным Центробанка в 2017 году было похищено 339,5 млн.р. Нетрудно догадаться, что речь именно про Глобэкс. В обзоре FinCERT говорится: «В Банк России направлена информация об одной успешной атаке на рабочее место оператора системы SWIFT. Объем несанкционированных операций в результате данной атаки составил 339,5 миллиона рублей».

        UPD. Банк-жертва — Глобэкс. Размер украденного исчисляют десятками миллионов рублей.

        Один из российских банков стал жертвой кибератаки, направленной на кражу денег через международную межбанковскую систему платежей SWIFT. Про атаку известно, что она была произведена 15 декабря. Однако, название банка и размер ущерба пока не озвучиваются. Развитие атаки, организованной предположительно группировкой Cobalt, началось с рассылки вредоносного ПО за несколько недель до инцидента. Причем по сообщению заместителя начальника главного управления безопасности и защиты информации ЦБ Артема Сычева, хакеры получили широкий доступ к инфраструктуре и могли использовать и другие каналы вывода средств. Однако, их интересовал вывод средств в иностранный банк, поэтому целью хакеров стал доступ к SWIFT.
        Читать дальше →
      • Как проверить автомобиль перед покупкой: используем доступные в Интернете базы данных и логику



          Согласно данным аналитического агентства «АВТОСТАТ», по итогам октября 2017 года объем рынка легковых автомобилей с пробегом в России составил 473 тыс. единиц, а по итогам 10 месяцев 2017 года — около 4,4 млн единиц, что на 1,5% больше, чем год назад.

          Источник: www.autostat.ru/press-releases/32145

          Ни для кого не секрет, что в этой доходной сфере помимо добросовестных продавцов попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан к халяве и правовые особенности владения транспортными средствами оставляют множество возможностей для желающих несправедливо получить золото семейного запаса обычных российских граждан.

          Однако, благодаря некоторым усилиям государственных органов и прочих организаций у нас появилась возможность довольно оперативно собирать интересующую информацию о конкретных автомобилях по открытым источникам в Интернете. Как делать это быстро и бесплатно, мы постараемся рассказать в этой статье.
          Читать дальше →
        • Extended Validation не работает

          • Translation
          Сертификаты расширенной проверки («EV») являются уникальным типом сертификата, выдаваемого удостоверяющими центрами после более тщательной проверки объекта, запрашивающего сертификат. В обмен на эту более строгую проверку, браузеры показывают специальный индикатор, например, зеленую полосу, содержащую название компании, или, в случае Safari, полностью заменяют URL на название компании.

          Как правило, этот процесс работает достаточно хорошо, и ошибочно выпущенных сертификатов немного. Однако проблем хватает с лихвой. EV сертификаты содержат информацию о юридическом лице, стоящем за сертификатом, но не более того. Наименование юридического лица, однако, может быть достаточно вариативным; Например, Джеймс Бертон недавно получил EV сертификат для своей компании «Identity Verified»(англ. Подлинность проверена — прим. перев.). К сожалению, у пользователей просто нет возможности увидеть и разобраться в таких особенностях, и это создает значительный простор для фишинга.
          Читать дальше →
        • Как не банально сказать «спасибо» иностранному коллеге. Советует носитель

          • Tutorial

          Если вы общаетесь с иностранным коллегой по работе, вам наверняка доводилось благодарить его ее за проделанную работу или оказанную помощь. В данной статье мы подскажем, как это сделать в переписке, в общении по телефону или вживую, формально и не очень.

          Начнем с переписки


          Чаще всего это формальный способ общения. А значит и формулировки предложений должны быть достаточно сдержанными и официальными.

          I am pleased to hear from you
          Это можно перевести как “Спасибо, что написали” или “Благодарю за обращение”.

          We greatly appreciate your feedback
          В русском фраза звучит как “Огромное спасибо за обратную связь”.
          Читать дальше →
        • Как обеспечить соблюдение требований PCI DSS 3.2

          Требования в отношении применения средств многофакторной аутентификации для дополнительных групп пользователей, а также необходимость в интеграции дополнительных систем напрямую продиктованы опубликованным ранее дополнительным руководством PCI Supplementary Guidance, которое вступает в силу с февраля 2018 года. С этого момента все пользователи, осуществляющие доступ к таким системам как базы данных, сетевые модули или почтовые серверы, где содержатся данные держателей банковских карт, будут обязаны применять многофакторную аутентификацию. Новое руководство применимо ко всем ролям и локациям: привилегированным и обычным пользователям, удаленным и локальным пользователям.


          Читать дальше: Как обеспечить соблюдение требований PCI DSS 3.2
        • Документирование по ГОСТ 34* — это просто

            Сегодня мы поговорим об отечественных стандартах на проектную документацию. Как эти стандарты работают на практике, чем они плохи и чем хороши. При разработке документации для государственных и серьезных частных заказчиков у нас обычно нет выбора — в требования по документированию ТЗ вписано соблюдение стандартов. На практике мне приходилось сталкиваться с различными примерами недопонимания структуры стандартов, того, что должно быть в документах и зачем эти документы нужны. В итоге из-под пера техписателей, аналитиков и специалистов выходят порой такие перлы, что непонятно, в каком состоянии сознания они писались. А ведь на самом деле все достаточно просто. Поиск по Хабру не вернул ссылок на более-менее целостный материал на данную тему, потому предлагаю закрасить этот досадный пробел.
            Читать дальше →
          • Эволюция паролей: руководство по аутентификации в современную эпоху

            • Translation
            Начиналось все просто: у вас есть два набора символов (имя пользователя и пароль) и тот, кто знает оба, может войти в систему. Ничего сложного.

            Однако и экосистемы, в которых они функционировали, тоже были простыми — скажем, система с разделением времени от МТИ, которая считается первой компьютерной системой, где применялись пароли.



            Но такое положение дел сложилось в шестидесятые годы прошлого века, и с тех пор много воды утекло. Вплоть до последней пары десятилетий у нас было очень небольшое количество учетных записей с ограниченным числом связей, что делало спектр угроз достаточно узким. Навредить вам могли только те, кто находился в непосредственной близости — то есть люди, которые имели возможность напрямую, физически получить доступ в систему. Со временем к ним присоединились и удаленные пользователи, которые могли подключиться через телефон, и спектр угроз расширился. Что произошло после этого, вы и сами знаете: больше взаимосвязей, больше аккаунтов, больше злоумышленников и больше утечек данных, особенно в последние годы. Изначальная схема с простой сверкой символов уже не кажется такой уж блестящей идеей.
            Читать дальше →
          • Как при помощи токена сделать Windows домен безопаснее? Часть 2

              Вам письмо

              Электронная почта является сегодня не просто способом доставки сообщений. Ее смело можно назвать важнейшим средством коммуникации, распределения информации и управления различными процессами в бизнесе. Но всегда ли мы можем быть уверены в корректности и безопасности ее работы?

              Читать дальше →
            • Интеграция ИС с ЕСИА посредством SAML

              Интеграция с ЕСИА

              При выполнении очередного госзаказа наша команда столкнулась с проблемой интеграции сайта с ЕСИА. Инструкции по решению этой задачи в сети нет, кроме информации в официальных документах МинКомСвязи (примерно 300 страниц в трех регламентах). Также есть компании, которые оказывают платные услуги по интеграции ЕСИА. Мы реализовали, описали процесс интеграции и решили поделиться с сообществом habrahabr.

              Читать дальше →
            • OpenSSL, ssl_ciphers и nginx: прокачиваем на 100%

              • Tutorial


              Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.


              Также вы узнаете почему 100% по тестам — не всегда хорошо в реальности.

              Читать дальше →
            • Как «пробить» человека в Интернет: используем операторы Google и логику

              • Tutorial

              В очередной статье нашего цикла публикаций, посвященного интернет-разведке, рассмотрим, как операторы продвинутого поиска Google (advanced search operators) позволяют быстро находить необходимую информацию о конкретном человеке.


              В комментариях к первой нашей статье, читатели просили побольше практических примеров и скриншотов, поэтому в этой статье практики и графики будем много. Для демонстрации возможностей «продвинутого» поиска Google в качестве целей были выбраны личные аккаунты автора. Сделано это, чтобы никого не обидеть излишним интересом к его частной жизни. Хочу сразу предупредить, что никогда не задавался целью скрыть свое присутствие в интернете, поэтому описанные методы подойдут для сбора данных об обычных людях, и могут быть не очень эффективны для деанонимизации фэйковых аккаунтов, созданных для разовых акций. Интересующимся читателям предлагаю повторить приведенные примеры запросов в отношении своих аккаунтов и оценить насколько легко собирать информацию по ним.


              Читать дальше →
            • Что в имени тебе моем: как качественно «пробить» человека в сети Интернет?

              Мы постоянно встречаемся в своей жизни с новыми людьми, и стоит констатировать, что помимо хороших друзей нам попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан оставить свой след в интернете и старания наших ИТ-компаний по автоматизации всего и вся позволяют нам довольно оперативно собирать интересующую информацию о конкретных персонах по открытым источникам. Чтобы это делать быстро и качественно, нам нужно владеть простой методологией разведывательной работы и знать, где и какую информацию о человеке можно добыть в интернете.
              Читать дальше →
            • Сказание о Клеопатре и о российской криптографии (Продолжение)

                imageС появлением библиотеки GCrypt-1.7.0 с поддержкой российской криптографии (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012 и ГОСТ Р 34.10-2001/2012), стало возможным говорить о поддержке российского PKI в таких проектах как Kleopatra и KMail.

                imageKMail – это почтовый клиент, который для обеспечения безопасности переписки позволяет подписывать и шифровать сообщения по протоколу S/MIME. И то и другое базируется на архитектуре PKI, сертификатах X509 и протоколах CMS/PKCS#7:

                image
                Читать дальше →
              • Аутентификация беспроводных клиентов по учетным записям Active Directory

                Беспроводные точки доступа часто являются головной болью администраторов корпоративных сетей. В основном речь идет о безопасности и удобстве; пользователям придётся запоминать пароли от точек (и кто им запретит сообщить пароль знакомому?). И чем больше точек, тем больше проблем. Но и заставлять пользователей сидеть с воткнутой в ноутбук витой парой — тоже неправильно. Поскольку в сети используется Active Directory и у каждого пользователя есть учетная запись, уместно будет для аутентификации эти учетные записи и использовать.

                Сегодня я хочу рассказать об использовании стандарта 802.1x и RADIUS сервера для настройки аутентификации клиентов по доменным учетным записям.
                Читать дальше →