По оценке независимой исследовательской и консалтинговой компании Frost & Sullivan, TLS-сертификаты от GlobalSign обеспечивают максимально надёжное шифрование. В том числе за это GlobalSign получила в сентябре 2022 года награду 2022 Global Competitive Strategy Leadership Award.
Но возникает вопрос, чем же отличается шифрование в разных сертификатах? В частности, какие алгоритмы используются для криптографической подписи?
Читать полностью »
Валидная цифровая подпись на DLL со встроенным бэкдором
Практически по всем профильным СМИ прошла новость о взломе программного обеспечения SolarWinds в рамках глобальной кампании кибершпионажа. Здесь нужно понимать масштаб атаки: этот софт для мониторинга IT-инфраструктуры (CPU, RAM, сеть) используют тысячи частных компаний и государственных учреждений, включая АНБ, Пентагон, Госдеп и проч. В общей сложности 300 000 клиентов по всему миру (данная страница уже удалена с официального сайта SolarWinds, по ссылке — копия из веб-архива).
Самое интересное в этой атаке: 1) внедрение бэкдора внутрь обновлений SolarWinds и 2) оригинальный механизм сокрытия данных в служебном HTTP-трафике программы SolarWinds. В двух словах расскажем о методе стеганографии (covert signaling), который здесь применялся.
Читать полностью »
Исследователь безопасности Гвидо Вранкен выяснил, что почти три года ОС с открытым исходным кодом OpenWRT, которая поддерживает домашние маршрутизаторы и другие типы встраиваемых систем, была уязвима для атак удаленного выполнения кода, поскольку обновления доставлялись по незашифрованному каналу, а проверки цифровой подписи можно было легко обойти. Компания частично исправила ошибку, но отсутствие шифрования сохраняется. Читать полностью »
Стоит признать, что мы живём в информационном веке и сложно недооценивать значение информационных систем в повседневной жизни. Государства всё больше вмешиваются в некогда гиковскую информационную область и устанавливают правила её регулирования. Одним из институтов государственного регулирования в информационном пространстве является механизм «квалифицированной электронной подписи», условно неподделываемого доверенного идентификатора субъекта, которым он может заверять различного рода сделки в электронном виде от своего имени в инфопространстве. На самом деле, идея ЭП не нова и развивается достаточно давно, но как обычно, в России в какой-то момент что-то пошло немного не так. Статья является пространным субъективным рассуждением на тему института электронной подписи в России без излишнего погружения в технологическую матчасть. Ну и немного хейта, как же без этого.
CC-BY-SA, Vadim Rybalko
Читать полностью »
Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, дажее.
Оформление электронной цифровой подписи через интернет за 30 минут. Из рекламы одного из официальных удостоверяющих центров
В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.
Владелец квартиры на Тверской улице г. Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы. Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.
Читать полностью »
Рис. 1. Процедура инкрементального сохранения, на которой основаны цифровые подписи PDF. По результатам тестирования, это самый эффективный способ подделки документов
Теоретически, цифровые подписи PDF надёжно удостоверяют автора документа. Но на практике обработку PDF обычно осуществляет проприетарный софт, который не совсем корректно выполняет проверку. Специалисты Рурского университета в Бохуме (Германия) описали несколько вариантов подделки PDF-документов с цифровой подписью, которые срабатывают в большинстве программ просмотра PDF и сервисов онлайновой проверки.
Защита от всех атак обеспечивается только в единственной программе, да и та работает под Linux.
Читать полностью »
Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.
Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.
Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.
Давайте разберём основные понятия, связанные с ЭП и УЦ.
Читать полностью »
Немецкий ID
Специалист по безопасности Вольфганг Эттлингер из SEC Consult Vulnerability Lab описал технику подделки данных (в том числе имени и адреса) при онлайновой проверке государственных немецких ID.
Немецкие ID-карты выпускаются с 1 ноября 2010 года. Каждая карта содержит чип RFID, в котором хранится информация о владельце, в том числе имя, дату рождения и биометрическая фотография. Если владелец захочет, то может записать скан отпечатков пальцев.
Читать полностью »
23 июля Илон Маск, директор компании Tesla Motors, которая выпускает известные электромобили, поделился планами: «Мы собираемся полностью избавиться от контрактов, — написал он в твиттере. — Должна быть просто кнопка „Нажмите здесь — и получите свою машину”. А затем, если она вам по каким-то причинам не понравится, то вы просто возвращаете её, как любой другой товар».
Маск написал это в ответ автовладельцу JD Mankovsky: тот пожаловался что его сестра пришла покупать Tesla X — и очень долго ожидала, пока в салоне закончат оформление всех бумаг, Вероятно, там возникли какие-то непредвиденные проблемы. Девушка пришла в салон в 14:00, но смогла уехать на своём автомобиле только в 21:00.
Инновационный автомобиль, который получает апгрейды через интернет, технологии будущего — но людей заставляют ставить физическую подпись на бумаге, как в средние века.
Читать полностью »
