Как стать автором
Обновить

Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи

Информационная безопасность *Законодательство в IT
В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.

Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Читать дальше →
Всего голосов 45: ↑44 и ↓1 +43
Просмотры 77K
Комментарии 133

Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

Информационная безопасность *Сетевые технологии *Сетевое оборудование
image

Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется.
Читать дальше →
Всего голосов 24: ↑16 и ↓8 +8
Просмотры 10K
Комментарии 11

Власти перенесут переход бизнеса на новый формат цифровой подписи на 2023 год

Информационная безопасность *Законодательство в IT

Завершающий этап реформы электронной подписи планируется перенести на более поздние сроки — на совещании у вице-премьера Дмитрия Чернышенко было принято решение ввести переходный период в течение 2022 года, сообщает РБК со ссылкой на источники.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 2K
Комментарии 3

Thawte WOT: сертификат для подписи электронной почты

Чулан
Прочел топик о Web of Trust и вспомнил, что есть способ бесплатно получить валидный сертификат от Thawte для подписи и шифрования электронной почты (и не только).

У Thawte есть бесплатная программа получения персонального сертификата X.509 – Web of Trust. Суть программы сводится к тому, что после регистрации на сайте и прохождения процедуры заверения, вы получаете сертификат с вашим именем, которому будут доверять все системы, имеющие Thawte в качестве корневого центра сертификации (Root Certification Authority). А поскольку это один из крупнейших центров, то доверяют ему практически все.
Как это сделать?
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 455
Комментарии 5

Асимметричный алгоритм для генерации коротких серийных номеров

Чулан
Введение

Хуже всего, когда для вашей программы создан генератор серийных номеров. Взломанные (переделанные) версии программ используют куда менее охотно – есть риск подхватить вирус или потерять данные. А вот когда есть возможность скачать подлинную программу с официального сайта и самостоятельно сгенерировать номер – это катастрофа для разработчика.

Читать дальше →
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 5.7K
Комментарии 15

Безопасность при межпроектном взаимодействии

Информационная безопасность *

Введение


Сегодня множество интернет-сервисов взаимодействуют друг с другом через интернет. Особый класс взаимодействий — те, в которых осуществляется передача конфиденциальной информации (личные данные, секретные сообщения) или команд, выполнение которых должно быть кем-то однозначно подтверждено (например, перевод денег или публикация сообщения от чьего-то имени). Очевидно, что подобные сервисы должны быть надёжно защищены от злоумышленников.

К сожалению, не все разработчики задумываются о степени защищённости своих приложений. Проблема несколько усугубляется тем, что многие представители электронного бизнеса разрабатывают протоколы, которые, будучи реализованными в конечных сервисах, могут создать серьёзные уязвимости, если использовать их без должного понимания.

Задача данной статьи — кратко описать возможные типы атак при межпроектном (т. е. сервер-сервер) взаимодействии и средства защиты от них — с тем, чтобы более вдумчиво использовать готовые протоколы и разрабатывать свои. Предварительно будут рассмотрены основы информационной безопасности, так как зачастую знания конечных разработчиков в этой области бывают несколько отрывочными.

Защита (или отсутствие защиты) от различных типов атак демонстрируется на примере протоколов популярных сегодня систем: Assist, Cyberplat, WebMoney, ChronoPay, Robokassa и PayPal (платёжные системы), а также OpenID, OpenAuth, OAuth (децентрализованная аутентификация).
Читать дальше →
Всего голосов 31: ↑27 и ↓4 +23
Просмотры 4.6K
Комментарии 28

Электронная цифровая подпись для чайников: с чем ее есть, и как не подавиться. Часть 1

Информационная безопасность *
Итак, все чаще в кругах, работающих с документами все чаще звучат слова «электронный документ» и, связанное с ним почти неразрывно «электронная цифровая подпись», иначе — ЭЦП.

Данный цикл статей предназначен для того, чтобы раскрыть «тайное знание» о том, что это такое, когда и как это можно и нужно использовать, какие есть плюсы и минусы.

Естественно, статьи пишутся не для специалистов по криптографии, а для тех, кто эту самую криптографию будет использовать, или же только начинает ее изучение, желая стать специалистом, поэтому я старался максимально упростить понимание всего процесса, приводя аналогии и рассматривая примеры.

Читать дальше →
Всего голосов 105: ↑85 и ↓20 +65
Просмотры 123K
Комментарии 108

Электронная подпись для чайников: с чем ее есть и как не подавиться. Часть 2

Информационная безопасность *
Часть 1

Продолжая раскрывать тайное знание о цифровой подписи простым языком, разберем, что же нам надо для удобной и эффективной работы с ними, а также главное различие между лагерями S/MIME + X.509 и PGP.

Читать дальше →
Всего голосов 43: ↑42 и ↓1 +41
Просмотры 89K
Комментарии 27

Электронная цифровая подпись для чайников: с чем ее есть и как не подавиться. Часть 3

Информационная безопасность *
Часть 1
Часть 2

В этой части сделаем небольшое отступление от цифровых подписей в сторону того, без чего непосредственно цифровых подписей, да и защиты информации в привычном понимании, не было бы: шифрования. Ведь первое, что приходит на ум, когда идет речь о защите наших данных — это не дать эти данные нехорошему человеку прочитать. Поэтому, перед тем, как продолжить рассмотрение стандартов PGP и S/MIME, стоит закрасить некоторые остающиеся в знаниях белые пятна, и рассмотреть процесс шифрования немного поподробнее.

Читать дальше →
Всего голосов 50: ↑47 и ↓3 +44
Просмотры 159K
Комментарии 14

Удаление цифровой подписи PE-файла

Информационная безопасность *
Для подписи PE-файлов (exe, dll, sys и другие) в большинстве случаев используется утилита signtool.exe, но какую утилиту использовать, если цифровую подпись нужно удалить из файла? А такой утилиты официально нет. Можно только подписать или переподписать (поставить свою подпись поверх существующей), но не удалить. Как же быть, если файлик нужно подправить в Hex или PE-редакторе и не хочется оставлять файл с заведомо повреждённой цифровой подписью?
Читать дальше →
Всего голосов 67: ↑59 и ↓8 +51
Просмотры 20K
Комментарии 18

Удостоверяющий центр на основе OpenSSL

Информационная безопасность *
Из песочницы
Когда работал системным администратором, возникла у меня необходимость реализовать VPN на несколько десятков филиалов компании, интранет и почту на серверах в Москве с суровой защитой и доступом через VPN вообще отовсюду. При этом придумать всю систему и организовать её развёртывание предстояло в одно лицо. Бюджет был в тысячи полторы долларов, было это 4 года назад, некоторое время честно пытался найти более-менее приемлемое по цене ПО, потом нечестно пытался найти что-то на торрентах – пусто. В итоге – OpenSSL и OpenVPN. В этом вводном тексте хотелось бы поговорить об OpenSSL.

В конечном итоге были развёрнуты:
  • центр выдачи сертификатов (CA – Certificate Authority, он-же УЦ – Удостоверяющий Центр, в отечественной терминологии организация, уполномоченная выпускать сертификаты),
  • интранет-сайт с авторизацией доступа по клиентским сертификатам,
  • VPN с взаимной аутентификацией серверов, клиентов и динамической маршрутизацией,
  • Авторизация клиентов на корпоративном IM сервере с помощью тех-же сертификатов.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 26K
Комментарии 1

Цифровые подписи в исполняемых файлах и обход этой защиты во вредоносных программах

Информационная безопасность *
image
Хабрапривет!

Ну вроде как удалось решить вопросы с кармой, но они ником образом не касаются сегодняшней темы, а лишь объясняют некоторое опоздание её выхода на свет (исходные планы были на ноябрь прошлого года).

Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.
Читать дальше →
Всего голосов 70: ↑62 и ↓8 +54
Просмотры 70K
Комментарии 46

Эволюция руткита TDL4 или полевые сводки последних месяцев

Блог компании ESET NOD32
Мы уже давно ведем пристальное наблюдение за TDL4, а также за ботнетами, основанными на этом семействе руткитов. Но в последнее время особенно интересно было наблюдать за выходом исправлений со стороны Microsoft для блокирования методов загрузки неподписанных драйверов для x64 систем, использованных для установки Win64/Olmarik.

Начнем издалека, итак в апрельский день Х помимо всех остальных вышло исправление KB2506014, задачей которого было внести несколько изменений в модуль winloader.exe для x64 версий ОС и таким образом противодействовать загрузке не подписанных драйверов. До установки патча BCD (Boot Configuration Data) имеет три различных опции загрузки:

BcdLibraryBoolean_DisableIntegrityCheck – принудительное отключение проверки (чаще всего используется для отладочных целей);
BcdOSLoaderBoolean_WinPEMode – отключение в режиме установки или восстановления ОС
BcdLibraryBoolean_AllowPrereleaseSignatures – разрешить загружать модули имеющие тестовую цифровую подпись
Читать дальше →
Всего голосов 28: ↑27 и ↓1 +26
Просмотры 10K
Комментарии 5

Асимметричная криптография при лицензировании подписочного ПО на практическом примере

Информационная безопасность *
Речь пойдет о том, как устроена защита десктопных программ, а также о типичной системе лицензирования и активации ключей. Активация применяется практически в любом коммерческом ПО, и то, на каких принципах она строится, довольно интересно, поэтому я решил написать эту статью.

В статье читайте:
  • Про «лицензию», «активацию», «хэш-функции», «цифровую подпись», «асимметричную криптографию» и (вкратце) про RSA и DSA, без формул и математики.
  • Чем механизм подписки (subscription) отличается от традиционного лицензирования.
  • Применение описанных принципов на примере EXE-протектора VMProtect.
Статья сугубо практическая, т.к. эти же самые идеи мы применяем в нашем стартапе — платформе RentSoft (мы рассказывали о нем в предыдущей статье). Фактически, я описываю, что находится у нас «под капотом», а также сообщаю о тех «граблях», на которые мы в свое время наступили. Ближе к концу статьи будет практическая демонстрация — иллюстрация механизма взаимодействия нашей платформы с протектором EXE-файлов VMProtect, нашим партнером.

Итак, приступим.
Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры 8.2K
Комментарии 97

Code Signing сертификаты или сертификаты разработчика. Виды, как выбрать

Блог компании «TutHost» Информационная безопасность *Разработка веб-сайтов *
В прошлый раз мы рассматривали цифровые SSL сертификаты, в этот раз рассмотрим еще один вариант цифровых сертификатов.
Code Signing сертификаты — это сертификат, которым подписывается программное обеспечение или скрипты, который подтверждает автора программы и гарантирует, что код не был изменен, после того, как была наложена цифровая подпись. Также их еще называют сертификаты разработчика.

Итак сертификаты разработчика предоставляют нам несколько возможностей. Во-первых это механизм цифровой подписи, которая подтверждает, что программа, которой вы пользуетесь действительно выпущена той или иной компанией, то есть гарантирует подлинность источника. А во вторых гарантирует целостность содержимого, то есть, что с момента подписания программный продукт не был поврежден или изменен.
Виды сертификатов разработчиков и как выбрать правильный
Всего голосов 28: ↑26 и ↓2 +24
Просмотры 69K
Комментарии 57

Новый троян с валидной цифровой подписью LLC Mail.Ru маскируется под обновления популярных программ

Информационная безопасность *
Из песочницы
Тихим субботним вечером моя мама мирно серфила Youtube на предмет ухода за цикламенами и внезапно слева от видео образовался баннер (к сожалению, скриншота не будет, т.к. баннер воспроизвести не удалось), призывающий обновить Skype. После клика на него произошел редирект на _http://easyupdate.ru/skype/, выглядящий примерно так…
Подробности и много скриншотов
Всего голосов 439: ↑407 и ↓32 +375
Просмотры 282K
Комментарии 319

Подпись объектного кода сертификатом от StartSSL. По шагам — заплатил, получил, подписал

Системное администрирование *

Приветствую! Хочу поделиться своим опытом как я получил сертификат для подписи объектного кода. Много статей и постов написано о цифровой подписи, и бюджетном StartSSL. Я решил потратив почти $ 60, попробовать пройти по этому пути и поделиться с обществом своим опытом.
Относиться все ниже изложенное исключительно к моему личному опыту и относится к ОС Windows.
Ну, начинаем...
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 9.8K
Комментарии 5

Бесплатный Code signing для Open Source от Certum

Информационная безопасность *Разработка веб-сайтов *
Запустив сегодня программу, описанную в статье, я увидел следующее предупреждение:


Бросается в глаза необычный префикс, Open source developer. Кроме того, несколько дней назад я уже видел точно такой же префикс, с другим именем. Напрашивается вывод, что, скорее всего, существует какая-то программа выдачи подобных сертификатов.

Несложный поиск показал следующее:
Что именно?
Всего голосов 29: ↑28 и ↓1 +27
Просмотры 27K
Комментарии 19

Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая

Блог компании КиберСофт Информационная безопасность *
Все мы привыкли к термину «электронная цифровая подпись», однако сейчас правильнее использовать другой термин — «электронная подпись», поскольку в апреле 2011 года вступил в силу Федеральный закон № 63-ФЗ «Об электронной подписи» (далее просто закон «Об электронной подписи»). Именно этот закон пришел на смену закона № 1-ФЗ «Об электронной цифровой подписи». Поэтому то, что раньше мы назвали «электронной цифровой подписью» теперь называется просто «электронной подписью».
Читать дальше →
Всего голосов 9: ↑6 и ↓3 +3
Просмотры 82K
Комментарии 17

Электронная подпись по Российским нормативам: практическое использование на предприятиях

Блог компании КиберСофт Информационная безопасность *

Государственные и коммерческие предприятия


В первой части статьи речь шла об использовании электронной подписи в коммерческих предприятиях. В государственных предприятиях и банках все немного иначе. Здесь нужно использовать сертифицированный криптопровайдер, а сами ключи должны храниться на токенах. Поэтому во второй части этой статьи будет показано, как использовать сертифицированный криптопровайдер и токены для хранения ключей вне компьютера. Сперва мы поговорим о криптопровайдере, а потом уже рассмотрим практическое использование программы.
Читать дальше →
Всего голосов 17: ↑10 и ↓7 +3
Просмотры 23K
Комментарии 17