vitus_wagner: My photo 2005 (Default)
https://www.schneier.com/blog/archives/2017/03/security_orches.html

У Шнайера интересный и обширный пост на тему того, почему не работают стандартные методы упорядочивания и автоматизации в военном деле и в области реагирования на инциденты в компьютерной безопасности.

Он делает вывод что централизация и предваарительное планирование рулят в том случае, если у нас есть определенность (certainity), а там где есть неопределенность, нужны децентралиаация и инициатива.

Там где есть активный и способный к адаптации враг, неопределенности избежать невозможно, сколько данных не собирай. Поэтому нужны другие механизмы, которые в человеке эволюцией выработаны давно, а вот воплощать их в компьютерах мы еще не научились.

Кстати, по-моему это касается не только тех случаев, когда адаптивностью и инициативой обладает враг. Даже если контрагент тебе не враг, как не враг upstream-разработчик мейнтейнеру пакета, неопределенность он все равно вносит. Из самых благих побуждений. И попытка с этим бороться путем стандартизации процедур приведет только к тому, что ты не сможешь embrace the changes (как это по-русски сказать?) и сделаешь хуже.

В общем, гони хаос в дверь, он влезет в окно. Поэтому не надо стремиться все слишком упорядочить. В какой-то момент надо остановиться и сказать "а вот здесь мы позволяем хаос, и будем на него реагировать по мере возникновения".
vitus_wagner: My photo 2005 (Default)
Сидим с ребенком в очереди к врачу, и вдруг мне приходит письмо по email: «Ваш ребенок вошел в школу». А ведь некоторые родители полагаются на этот сервис.
vitus_wagner: My photo 2005 (Default)
Уже вторая новость за несколько дней выглядит как

1. У кого-то крадут ноутбук, на котором установлен какой-то софт для удаленного управления.
2. Вор, не переставляя системы, логинится с украденного ноутбука в свой Facebook.
3, Хозяин ноутбука или полицейский эксперт заходит в украденную машинку по сети, получает доступ к этому фейсбук-профайлу, и посредством содержащейся в нем информации карает преступника (в одном случае - затроллил его через друзей до удаления аккаунта, в другом - вычислил реальное имя и сдал полиции).

Мораль - только полный идиот в наше время ворует ноутбуки из машин. (умный - ворует информацию из ноутбуков так, чтобы никто не заметил).
vitus_wagner: My photo 2005 (Default)
https://www.bleepingcomputer.com/news/security/ultrasound-tracking-could-be-used-to-deanonymize-tor-users/

Новый способ деанонимизации пользоватлеей Tor - путем встраивания в веб-странчки джаваскрипта, генерирующего ультразвуковой сигнал. И подслушивания этого сигнала на других соседних устройствах.
(видимо с помощью тоже джаваскрипта, встроенного в баннеры).

Утверждается что технология придумана для совершенно "мирных" целей - связать между собой устройства, принадлежащие одному пользователю, чтобы лучше таржетировать рекламу. Но оказалось что заодно это успешно давит попытки анонимизироваться онлайн.

В общем, режьте рекламу со страниц. И к микрофонам нужен аппаратный выключатель. Который включается только тогда, когда ты в микрофон говоришь, как у старых добрых раций.
И о фильтрах, режущих высокие частоты стоит подумать. Хтя вот на колонках выключатель часто бывает, и где он есть он у меня по умолчанию выключен.
vitus_wagner: My photo 2005 (Default)
И зарегистрировал компанию.

via Шнайер.

UpdCудя по URL beta.companieshouse.gov.uk, это тестовый сайт, где тестируют новый движок системы регистрации. И компания специально заведена с таким именем, чтобы проверить работу input sanitizing.
vitus_wagner: My photo 2005 (Default)
1. Фронтовая киберразведка http://www.reuters.com/article/us-cyber-ukraine-idUSKBN14B0CU

Больше технических подробностей: https://www.crowdstrike.com/blog/danger-close-fancy-bear-tracking-ukrainian-field-artillery-units/

Украинская артиллерия использует приложение для смартфона для упрощения артиллерийских вычислений.
А некая хакерская группа в это приложение внеднила троян, и теперь донецко-луганские сепаратисты используют его для определения положения украинских позиций.

Впрочем, если даже у госсекретаря США проблема с тем, чтобы добыть себе нормально защищенный смартфон, то что же говорить о несчастных артиллериских лейтенантах.

2. Луганск стал важднейшим центром киберпреступности
https://www.wordfence.com/blog/2016/12/how-to-protect-against-brute-force-attacks/
https://yro.slashdot.org/story/16/12/21/2311207/hotbed-of-cybercrime-activity-tracked-down-to-isp-in-region-where-russia-is-invading-ukraine

Ну по-моему, это неудивительно. Если взять территорию с развитой инфраструктурой и образованным населением, объявить это население бандитами и террористами и лишить возможности зарабатывать деньги легитимными способами, это население начнет зарабатывать деньги криминальными способами.

3, До конгресса США наконец дошло, что Сноуден контактирует с российской разведкой.
http://intelligence.house.gov/news/documentsingle.aspx?DocumentID=743
Интересно, а что они ожидали? Когда очень быстро и эффективно добились того, что ни одна страна мира, кроме России не предоставила Сноудену убежища? Что он добровольно сдастся американскому суду? Если вы хотите чтобы whistleblowers не обращались за помощью к вашим врагам, делайте так, чтобы они либо не нуждались в помощи (а были уверены что добъются справедливости самостоятельно), либо могли найти помощь среди ваших друзей (что, впрочем сомнительно. Дружба дружбой, а разведка разведокой. Как мы знаем по тем же документам Сноудена, американские спецслужбы за британскими вполне себе шпионят).
vitus_wagner: My photo 2005 (Default)
Продолжаю разбираться с letsencrypt. Понятно что это гадость. вроде systemd, но деваться некуда. Все альтернативные бесплатые CA за этот год были успешно уничтожены.

Обнаружил, что автор acme-tiny рекомендует по крону повторно выписывать сертификат на тот же самый ключ.

По-моему, в этом вопросе он глубоко неправ. Плтому что с точки зрения пользователя сайта смена сертификата и смена ключа полностью эквивалентны. Браузер не смотрит на ключ, браузер смотрит на то, что ключ соответствует указанному в сертификате.

И если уж мы напрягаемся на предмет того, чтобы менять сертификат раз в три месяца, или раз в месяц, то надо менять и ключ. Потому что это позволяет ограничить риски от утаскивания ключа. Ежели кто попятит закрытый ключ с вашего сервера, то черед весьма недолгое время вы его перегенерируете, а сертификат на старый перестанет действовать. Если же вы выпишите на старый ключ новый сертификат, то тем самым предоставите злоумышленнику возможность пользоваться старым ключом еще три месяца.

Правда, как обычно, идея перегенерации ключа по крону несет свои собственные риски.
В текущем виде acme-tiny требует доступа только к ключу аккаунта на letsencrypt и к CSR. То есть скрипт, активно работающий с сетью и теоретически могущий быть проэксплойченным через дырки в стандартной библиотеке питона, самом питоне и libc, не имеет доступа к вашему закрытому ключу.

Если же мы генерируем ключ, то какие-то части того задания, которое отвественно за перевыпуск сертификата, должны работать с повышенными правами.

То есть нужно аккуратно поделить задачу на три части

1. Сгенерировать новый закрытый ключ и CSR. В принципе, для этого никаких прав не нужно. Нужно только не пересекаться по правам с шагом 2, чтобы у того доступа к закрытому ключу не было. С другой стороны, поскольку эта операция ничего особо принципиального не делает, только пишет в файлики в формате pem, то не жалко и от рута запускать.

2. Посредством acme-tiny или еще какого auditable клиента к letsencrypt получить сертификат.

3. Убедиться в соответствии сертификата ключу и домену, и положить новый ключ и новый сертификат куда надо. Единственная операция, которая требует повышенных привилегий.

Обдумывал мысль, как бы запихнуть операцию 2 в chroot но решил что для acme-tiny это явно не вариант - в chroot придется тащить всю питоновскую инфраструктуру. Пожалуй, с dehydrated это бы лучше получилось.

Идея, естественно в том, чтобы создавать дерево с бинарниками для chroot непосредственно перед запуском скрипта, копируя бинарники из основной системы, а потом уничтожать, откопировав оттуда только полученный сертификат.
vitus_wagner: My photo 2005 (Default)
https://threatpost.com/ransomware-gives-free-decryption-keys-to-victims-who-infect-others/122395/

Новый троян, который шифрует файлы и требует выкуп, предлагает пользователю альтернативный вариант - если тебя самого душит жаба, ты можешь разослать ссылку на троян другим. И если двое из получивших троян по этой ссылке заплатят, тебе расшифруют файлы бесплатно.

Утверждается, что разработан "группой студентов из Сирии".

Но чем-то напоминает известный анекдот про "я не умею программировать, поэтому сами сотрите свои файлы и разошлите вирус трем знакомым".

Но вообще цены у рансомварщиков растут. Уже по целому биткойну хотят (это около $800). Бэкап, честное слово, дешевле обойдется.
vitus_wagner: My photo 2005 (Default)
http://www.zerohedge.com/news/2016-11-26/these-are-48-organizations-now-have-access-every-brits-browsing-history

Тут вот в Великобритании приняли аналог нашего "закона Яровой". Теперь британские провайдеры обязаны хранить историю посещения своими пользователям всяких сайтов. И есть список из 48 государственных организаций, которые имеют право доступа к этому списку.
vitus_wagner: My photo 2005 (Default)


Вот дистрибутив СУБД PostgresPro, сертифицированный ФСТЭК на уровень СВТ-5.

Подробности в блоге компании
vitus_wagner: My photo 2005 (Default)
Год назад я написал про сертификаты от WoSign, что-де это не сертификат, а китайская подделка.
Оказалось, что в каждой шутке есть доля шутки и в этой она очень небольшая.

Mozilla тут собирается перестать доверять WoSign-овским сертификатам.

А тут еще выясняется, что WoSign скупил StartCom, и, следовательно, startssl.com тоже накрывается.

Соответственно, единственным провайдером free ssl certificates становится letsecncrypt, который, на мой взгляд, куда дырявее WoSign и startssl. Но ему почему-то мозилла доверяет.

Есть, конечно, еще cacert.org, но тут мозилла сказала много мата про сертифкат его собственного сайта, хотя я так и не смог понять что там не так с signature algorithm - RSA 4096+sha256.

В итоге, приходится задуматься о том, что если хочется чтобы к тебе по https ходили посторонние люди, не установившие в браузер твой сертификат, надо за сертификат платить деньги.

Большинство коммерческих CA хотят за Class 1 сертификат каких-то совершенно немерянных денег, от 70 до 150 долларов в год.

Я пока нашел только sslmate у которого стоимость сертификата сопоставима со стоимость регистрации домена. Правда, тут, как и у letsecrypt предлагается устанавливать на свой сервер специальный софт, для работы с сервером CA. Но, в отличие от letsencrypt беглый взгляд на список зависимостей и на сам скрипт матерных слов у меня не вызвал.

Может кто еще какой сервис подскажет - чтобы бесплатно или меньше 20 долларов в год на домен и из коробки работало во всех распространенных браузерах (необходимость установки intermediate CA сертификата на сервер - допустима. У startssl.com он есть, и ничего, год уже живу).
vitus_wagner: My photo 2005 (Default)
Hа слэшдоте пишут про некий руткит для Linux, активно продающийся на черном рынке:

Umbreon also has a backdoor component called Espereon, named after another Pokemon character, that can establish a reverse shell to an attacker's machine when a TCP packet with special field values are received on the monitored Ethernet interface of an affected device.


Это даже не вор у вора дубинку украл. Но в общем вполне естественно, что если некто продает инструменты для незаконного проникновения на чужие компьютеры, непонятно почему он должен относиться к их покупателям по другому, чем к тем, к кому покупатели эти средства собрались применять.
vitus_wagner: My photo 2005 (Default)
Представьте себе: идет по телевизору популярный сериал. Рекламная пауза. И вдруг, вместо рекламного ролика на экране появляется широко известный мультяшный персонаж - Баба-Яга там, домовой или леший, быстро произносит качетсвенное проклятие в адрес какого-нибудь миллиардера или политика, вытаскивает куклу оного, втыкает булавку и ролик кончается. Сериал продолжается как ни в чем не бывало.

Через несколько дней проклятый заболевает редкой инфекционной болезнью и умирает.

Расследование выясняет, что на месте ролика с инволтацией должен был ролик, оплаченный покойным.

Кто и как подменил ролик на служебном сервере телецентра выяснить не удается, специалисты центра "К" работают, но без большой надежды на успех.

Анализ голоса, которым прочитано проклятие, приводит к выводу что этот голос синтезирован популярной text to speech программой.
vitus_wagner: My photo 2005 (Default)
http://spectrum.ieee.org/telecom/security/protecting-gps-from-spoofers-is-critical-to-the-future-of-navigation

Интересная статья в IEEE Spectrum про то как подделывается сигнал GPS и как с этим можно пытаться бороться.
vitus_wagner: My photo 2005 (Default)
Тут узнал о существовании таких забавных инструментов как password maker и SS64.com password generator.

Идея заключается в следующем - не хранить паролей от сайтов, ни в зашифрованном, ни в каком бы то ни было еще виде, а выводить их при помощи одностороннего криптографического алгоритма из общего для всех сайтов мастер-пароля и URL. Алгоритм выведеня получается простым - вот шелл-скрипт, генерирующий пароль, совместимый с ss64.com (оттуда и взят).

# Bash version
strongpw() {
    read -rs -p 'Encryption key: ' key
    echo '' # line break
    echo -n "$key:$1" | sha256sum | perl -ne "s/([0-9a-f]{2})/print chr hex \$1/gie" | 
       base64 | tr +/ Ea | cut -b 1-20
}


Его можно запомнить, его можно на футболке напечатать, его можно каждый раз скачивать в виде веб-странички с javascript с оригинального сайта.



Недостатком данного подхода является то, что разные сайты предъявляют разные требования к набору символов, длине пароля и т.д., и эту информацию нужно либо все же где-то хранить, либо каждый раз правильно извлекать
из сайта, чтобы сгенерировать тот же пароль, что был в прошлый раз.

Кроме того, стандартного способа борьбы с любителями password expiration policy этот подход не предусматривает. То есть для каждого сайта, имеющего такую policy, придется держать в памяти, что вот здесь URL сайта нужно модифицировать датой - здесь - годом, а здесь - месяцем. А вот сюда я три месяца не заходил и вопремя пароль не сменил.

Всякие single sign-on-ы которые вообще-то жизнь упрощают, тут ее вдруг начинают портить.

Так что лучше я пока не будут переходить на эту систему, а потаскаю с собой базу keepass, поскольку уж сейчас-то есть на чем таскать.
vitus_wagner: My photo 2005 (Default)
Сноуден (тот самый) тут занялся разработкой девайса, который позволяет проверить, не излучает ли ваш смартфон чего в радио-диапазоне.

У смартфона есть куча передатчиков - собственно GSM-модуль, wifi, bluetooth, NFC. И в принципе они все могут выдать ваше местоположение атакующему, обладающему специальным радиоприемным оборудованием.

Более того, известно что пользователь не имеет надежного контроля над действиями ОС своего телефона, поэтому не может по желанию выключить нахрен все передатчики.

Разработчики исходят из того, что в телефон трояна посадят обязательно. Поэтому разрабатывают внешнее устройство, находящееся под контролем юзера.

Казалось бы, стоило бы пойти по другому пути - создать телефон, в котором основная ОС будет полностью user-inspectable, всякие защищенные DMCA модули, вроде GSM будут отдельными аппаратными компонентами, которые можно надежно обесточить, а приложения со всяких маркетов будут запускаться в виртуальных машинах, лишенных возможнсти незаметно управлять аппаратурой.

Но для рассматриваемой целевой аудитории - людей работающих в местностях контролируемых всякими бандами рекетиров (в частности тоталитарными государствами), это не работает. На этих территориях само наличие аппарата, контролируемого пользователем, а не оператором, может рассматриваться как состав преступления.


Впрочем, сильно подозреваю что этот самый сноуденовский introspection tool будет в России попадать под статью УК 138.1 (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации). И плевать что его пользователь негласно получает информацию о шпионской деятельности собственного смартфона.

Кстати, интересна оговорочка по Фрейду в заметке на слешдоте.

Там пишут про human rights workers. Еще лет десять назад говорили бы о human rights activists. То есть о людях, которые защищают права других по велению сердца. Теперь - в первую очередь о workers, то есть о тех, кто на зарплате.
vitus_wagner: My photo 2005 (Default)
http://fusion.net/story/325231/google-deletes-dennis-cooper-blog/

Один наивный человек 14 лет писал в блог и размещал там картинки. И не имел резервных копий. А потом вдруг раз и безо всяких объяснений владелец хостинга удалил его блог и E-Mail адрес.

Естественно, владелец хостинга был гугль. Было бы что-нибудь поменьше, скорее всего бы сервис накрылся вместе с компанией. Но автору-то от этого не легче.
vitus_wagner: My photo 2005 (Default)
Тут вот статья про то, как злые спецслужбы мучают американского президента, заставляя пользоваться двухлетней давности смартфоном, на который к тому же и нельзя что попало с плеймаркета ставить, и вообще звонить можно только через VoIP, а почту читать - через специальный веб-интерфейс.

Можно сравнить с бывшими президентами некоторых других стран, которые принимали у Джобса в подарок iPhone в тот момент, когда он не работал ни с одним из сотовых операторов их страны.
vitus_wagner: My photo 2005 (Default)
Полгода назад я написат ругательный пост про LetsEncrypt. С общим смыслом "С изделием людей, которые так пишут, нельзя иметь дело там, где это касается безопасности".

Как показала практика, не только с изделием, но и с сервисами нельзя иметь дело.

Ибо вот.

Для того, чтобы написать софт для рассылок, который помещает явным образом в письмо адреса всех получателей, надо обладать знаниями о функционировании электронной почты на уровне типичной секретарши.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

April 2017

S M T W T F S
       1
2 3 4 5 6 7 8
91011 12 13 14 15
16 17 18 19 2021 22
23 24 25 26 27 2829
30      

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 28th, 2017 11:38 pm
Powered by Dreamwidth Studios