Доброго времени суток, уважаемые товарищи Хабра.
На написание статьи заметки, меня побудила статья: «Мигрируем на HTTPS».
Напоминаю, что китайцы в лице компании WoSign до сих пор раздают бесплатно сертификаты и теперь не обязательно знать китайский язык для того, чтобы его получить. Метод по статье «Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов» на данный момент не работает и за сертификат китайцы хотят от ¥488.
Читать полностью »
Прочитав статью «Почему большинство россиян стали жертвами кибермошенничества?», решил поделиться своими представлениями в вопросе информационной безопасности. В приведенной статье утверждается, цитирую:
Как показывает исследование, россияне становятся «легкой добычей» кибермошенников в силу своей невнимательности или банальной лени. Каждый пятый участник исследования ни разу не менял пароль от своего основного почтового ящика. В социальных сетях пароль меняют ещё реже: 38% делают это не чаще раза в год, а 18% вообще его не меняют. А ведь частая смена пароля – одна из самых простых и эффективных мер по защите от кибермошенничества. Что ещё хуже, 25% опрошенных использует свой пароль от электронной почты на других ресурсах: в социальных сетях, интернет-магазинах и прочих сервисах. Поэтому, если пароль и данные учетной записи попадут в руки к злоумышленникам, то они могут завладеть не только вашей конфиденциальной информацией, но и вашими деньгами.
Конечно, большое значение имеет и сложность самого пароля. Большинство пользователей создает очень простые пароли: только из букв и цифр.
В теории конечно все выглядит просто, но подобные статьи не рассматривают и не отражает сути проблем. В настоящее время проблема защиты информации от несанкционированного доступа приобретает все более серьезное значение. Но при этом во многих интернет ресурсах применяемый элемент защиты до сих пор остается одним из наиболее известных и старых методов обеспечения безопасности — пароль. К сожалению представления многих специалистов безопасности развивается инерционально, не учитывая современные тенденции развития информационных технологий и проблемы пользователей. Что на мой взгляд не совсем правильно. А те кто это осознает (например, компания Google и крупные социальные сети) постепенно продвигают для нас свои решения.
В данной статье я хочу рассмотреть обо всем по порядку и предоставить на обсуждение хабра-пользователей своё видение программно-аппаратных методов решения проблем связанных с информационной безопасностью в сети интернет.Читать полностью »
«Золото — для идолопоклонников, а не для нас. Пока есть идолопоклонники, а они важнее золота, нашему делу ничто не угрожает» высказывание приписывается Натану Ротшильду
Банк Англии, центр мирового закулисья, частное предприятие (список акционеров до сих пор неизвестен) опубликовал проект документа в котором, на фоне сложившегося мирового финансового кризиса, помимо призывов к фундаментальным изменениям, обсуждается, в том числе и вопрос о создании денежного суррогата собственной цифровой валюты.
Банк Англии первоначально был организован в 1694 году как частный банк, в 1946 году был национализирован, а в 1997 году. получил статус независимой публичной организации, самостоятельной в проведении денежной политики, полным собственником которой является Солиситор (категория адвокатов) министерства финансов от имени правительства
Пожалуй, что это самое крутое достижение Bitcoin — мировые финансисты всерьез задумались над новой финансовой системой. Скоро на смену ямайской валютной системе придет %username%-coin система.
До них дошло, что они не нужны вполне возможна безопасная передача денег между Алисой и Бобом без привлечения третьих сторон.
Банк ставит вопросы о регулировании, отслеживаемости и приватности, об отмывании денег, о том как перейти от одной системы к другой и пр.
Пойду-ка я перечитаю «Криптономикон» Нила Стивенсона
Под катом — видеозапись конференции
Читать полностью »
Я люблю программировать на Go, но больше всего сейчас мне нравится программировать в gobot для Raspberry Pi. Каждое изменение в коде требует определенное время на нудные операции, связанные с обновлением кода. Сначала я должен остановить процесс, так как Filezilla отказывается писать в исполняемый файл, когда процесс запущен, загрузить новый исполняемый файл по SFTP и запустить его (это не только нудно, но еще 10-20 секунд простоя, когда процесс остановлен).
Аналогичная ситуация меня преследует и при разработке для обычного веба на Go. Именно в gobot я вынужден очень часто обновлять код, что связанно со стилем разработки, который приносит мне удовольствие в свободное время. С разработкой нового пакета обновлять код, написанный на Go стало проще и быстрее.
Читать полностью »
По работе часто сталкиваюсь с продуктами IBM: WebSphere Application Server (WAS) и другими на его основе. И как и все иногда забываю пароли, в особенности это касается тестовых систем или тех, которым не уделяешь должного внимания.
В очередной раз не вспомнив пароля, решил посмотреть, а как его хранит наш сервер приложений. Проанализировав несколько файлов конфигурации, таких как security.xml, wimconfig.xml и resources.xml обнаружил все пароли когда-либо введённые в консоли администрирования, в том числе и пароль главного админа. Хранились они во вполне безобидном на первый взгляд виде.
serverPassword="{xor}KD4sPjsyNjE="
Разработчики TLS-имплементации на языке OCaml объявили конкурс BTC Piñata, чтобы доказать надёжность своей защиты. Известно, что конкурсы не могут быть настоящим доказательством, но этот очень уж забавный, да ещё с небольшим денежным призом.
Итак, эти двое хакеров открыли демо-сервер ownme.ipredator.se.
На сервере лежит ключ от биткоин-адреса 183XuXTTgnfYfKcHbJ4sZeF46a49Fnihdh. Сервер отдаст нам ключ, если мы предъявим сертификат.
Организаторы предусмотрели механизм MiTM для нас. Мы можем пропускать через себя трафик между виртуальными машинами BTC Piñata (TLS-сервер и TLS-клиент). Как понятно, в этом трафике есть нужный сертификат, нужно его только извлечь каким-то образом.
Читать полностью »
На днях еще одно государственное ведомство, Министерство внутренних дел РФ, озвучило свою позицию по криптовалютам, в частности про биткоин.
«Неурегулированный статус криптовалют делает операции с ними довольно рискованными, и в случае каких-либо потерь держатели Bitcoin оказываются совершенно незащищены», — считает начальник Бюро специальных технических мероприятий МВД России Алексей Мошков. Об этом он сообщил ТАСС.
Он добавил, что в отношении bitcoin МВД России будет действовать исходя из законодательного регулирования, которое должен разработать Центробанк. «Мы полагаемся на решения нашего регулятора в лице Центробанка и будем действовать исходя из законодательной практики, складывающейся в этом направлении», — сказал Мошков.
В сентябре 2014 года замглавы Минфина Алексей Моисеев говорил, что законопроект о запрете использования виртуальных денег в России может быть принят Госдумой весной 2015 года. По его словам, осенью документ находился на стадии согласования при том, что со стороны правоохранительных органов были серьезные замечания, связанные с наказаниями (за что наказывать и как).
Летом прошлого года сообщалось, что ЦБ и правительство РФ могут со временем разработать регулирование для обращения электронных валют в России. «Мы сторонники аккуратного подхода к биткоин. Совместно с Банком международных расчетов мы мониторим эту ситуацию. Нельзя отвергать этот инструмент, возможно, за ним будущее», — отмечал Лунтовский, первый зампред ЦБ РФ.
Тем временем на официальном портале общественных и экспертных обсуждений Regulation.gov.ru выставлен текст законопроекта, подготовленный Минфином, который вносит изменения в КоАП РФ, а также в федеральные законы «о ЦБ РФ» (86-ФЗ) и «Об информации, информационных технологиях и о защите информации» (149-ФЗ), расширяющие толкование понятия денежных суррогатов и налагающие новые санкции за их выпуск/эмиссию, распространение, а также за информацию об этом. Читать полностью »
Приветствую уважаемых Хабровчан. Я Артем Макаров aka Robin, ведущий инженер компании Хардмастер, уже много лет специализируюсь на восстановлении данных с разнообразных носителей, и сегодня я хотел бы поделиться с вами историей восстановления файлов с одной весьма любопытной флешки. Надеюсь получить отзывы на свой хабродебют в комментариях.
Несмотря на то, что перевидать всяких девайсов довелось огромную кучу, с задачей, подобно описываемой далее, раньше мне сталкиваться не приходилось.
Читать полностью »
Наша компания продолжает развивать линейку библиотек, которые позволяют встраивать электронную подпись с использованием российских криптоалгоритмов в информационные системы различного типа.
Некоторое время назад мы поддержали Рутокен ЭЦП в openssl, затем выпустили кроссплатформенный плагин для браузера, а теперь сделали высокоуровневую криптобиблиотеку для встраивания в С++ приложения.
Концептуально данные решения выполнены идентично: используется аппаратная реализация российских криптоалгоритмов на чипе Рутокен ЭЦП, обеспечивается поддержка цифровых сертификатов X.509, запросов на сертификаты PKCS#10, подписанных и зашифрованных сообщений CMS.
Новая библиотека пригодится тем, кто пишет «толстые клиенты», десктопные приложения, свои браузерные плагины и т.п.
Поддерживаемые устройства:
Основные сценарии применения библиотеки с примерами кода под катом.
Читать полностью »
Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».
Статья предназначена, в основном, для администраторов веб=серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.
Читать полностью »