cat_mucius

Всякое прекрасное:

1. Схема защиты от анализа вируса Gauss, родственника знаменитого Stuxnet’а. Вирус отловили, изучили, но понять не могут – что же он, собственно, должен делать? А не могут, потому как собственно “боевой заряд” вируса зашифрован, и расшифровывается лишь при обнаружении на машине определённой программы – какой, неизвестно.

Опуская детали, идея такова: вирус читает список путей к установленным программам. Каждый путь в списке прогоняется через одностороннюю хэш-функцию – то есть функцию, выдающую на выходе некий X, зная который нельзя узнать, что функции скормили на входе. X прогоняется через некий verification check, и если он оказывается правилен, значит, нужная прога обнаружена. Тогда X используется, чтобы расшифровать код “боевого заряда”, запустить его и сделать... что-то. Ничего доброго, очевидно.

Картинка для привлечения внимания:


( Read more... )

2. Вопрос желающим: что такого примечательного в этой паре сертификатов (1 и 2), что я про них часа два читал не отрываясь? А они очень примечательны: если бы не наличие этических тормозов у группы из 7 людей, последствия их использования могли бы быть очень суровые.

Подсказка: ( Read more... )

Был у меня когда-то старый постик с такой фразой:
"Вообще говоря, неплохо было бы и Израилю подумать насчёт свободного ПО. Когда функционирование любого компьютера в любой госконторе плотно зависит от одной малоизвестной заокеанской фирмы - это не то чтобы здорово."

Оказалось, американские власти таких сценариев тоже, натурально, не любят. Есть две крупные китайские фирмы, Huawei и ZTE, выпускают сетевое и телекоммуникационное оборудование. И вот сегодня комитет Конгресса по разведке выдаёт заключение: на американский рынок эти компании всячески не пускать. Частным фирмам - советовать дела с ними не иметь, комплектующие их не использовать (для госконтор и госконтракторов такая рекомендация равносильна приказу, насколько я понимаю). Комитету по иностранным инвестициям (CFIUS) - любые попытки этих двух компаний покупать в США другие фирмы зарубать на корню. Самому Конгрессу - подправить законодательство так, чтобы давить их можно было ещё жёстче.

Основание: опасения, что ежели американская сетевая инфраструктура будет стоять на оборудовании от Huawei и ZTE, то эти фирмы получат широкие возможности не только для коммерческого шпионажа, но и для шпионажа государственного, а то и прямо для диверсий ("predatory disruption or destruction of U.S. networks") - если китайское правительство хорошо попросит. Причём интересно, что согласно комитетскому отчёту, эти опасения вовсе не стоят на каких-то реальных случаях, когда эти компании попадались на шпионской или диверсионной деятельности: все претензии, в общем-то, сводятся к "вы в недостаточной степени готовы перед нами отчитываться и выворачивать карманы".

Заодно выяснилось, что ещё до всяких официальных комитетских рекомендаций к штатовским компаниям, собиравшихся закупать оборудование у Huawei, приходили из откуда надо и настойчиво просили этого не делать:
( Read more... )
В общем, возвращаясь к началу. Может, и нашим стоит подумать дважды, прежде чем как втыкать Windows на каждый государственный комп?


Update: ого, да и сумчатые туда же!

Новости хакинга: какие-то добры молодцы поломали схему аутентикации MS-CHAPv2 вдребезги и пополам. И более того, тут же учредили платный сетевой сервис по взлому. Деловые ребята.

Очень интересное и внятное описание крэка. Схема MS-CHAPv2, кстати, и вправду какая-то удивительно несуразная. Хотелось бы знать, какой логикой руководились её создатели. Ну зачем там вообще симметричный DES, спрашивается?

Одно только не понимаю: почему авторы статьи так уверены, что из факта взлома следует, что протокол PPTP нужно немедленно выбросить на свалку истории. Вообще-то оный PPTP поддерживает много разных схем, включая клиентские сертификаты - сам когда-то настраивал развлечения ради. Да и PEAP-MS-CHAPv2 тоже, насколько я понимаю, вполне ещё сгодиться может.

Update: ага, понимаю. EAP и PEAP действительно облегчают проблему, но беда в том, что и сама схема шифрования MPPE, которой пользуется PPTP, небезопасна. Использование ассиметричных ключей на фазе аутентикации MPPE не отменяет.


P.S. Приснилось мне давеча красивое женское имя: Глюся. Женская форма от "глюк". Сейчас погуглил и обнаружил: оно вполне-таки существует.

Некоторые мысли по теме сетевой секьюрити:

Как всем известно, за последние годы большинство аппликаций, которыми пользуется обычный юзер, стали вебными, а из всех программ важнейшей для нас является браузер. Это положение вещей меняет также и привычные для системщиков подходы к безопасности сетей – и я хотел бы изложить свой взгляд, как именно. Если нижеизложенное тривиально – извините.

Вот, например,

( VPN )

( Firewalls )

( Identity management )

Вот пока в таком аксепте.

Ишшо техническое - чтоб было, кому-нибудь да пригодится:

1. Задача: есть несколько внутренних сайтов, которым нужно наладить выход в Интернет. Но поскольку секюрити у них скорее всего так себе, требуется, чтобы перед ними стоял некий фильтр, который бы:

аутентифицировал бы всех юзеров перед тем, как пускать их на внутренние сайты

пускал бы весь траффик исключительно по HTTPS

Решили использовать Apache в режиме reverse proxy. С аутентикацией справились легко, а вот с HTTPS, как ни странно, возникла идиотская проблема. ( Read more... )

2. Теперь другая фигня, решение которой ещё не придумал: ( Read more... )

Ещё один компьютерный пост.

Недавно построил WiFi-сетку с аутентикацией по 802.1x, использующую сертификаты для опознания юзеров. В числе прочего, пришлось настраивать для работы с ней устройства на Android – смартфоны и планшетки. Тут-то и выяснилось, что нормального howto, как это сделать, найти не получается – те, которые были, касались сценариев с паролями, а мне от них-то и хотелось избавиться. Потому и решил свести информацию по вопросу в один пост.

( Интересно может быть системщикам и любителям компьютерной security )

Наткнулся на проблему: не обновляются некоторые странички ЖЖ, в первую очередь френд-лента (это окромя всех остальных глюков последних дней). Скармливаю браузеру адрес фленты:
http://cat-mucius.livejournal.com/friends
- получаю контент многочасовой давности. Похоже, команда LiveJournal всё никак не может кэш настроить.

Для очистки совести накатал телегу в саппорт - авось поспособстует, тестер я али не тестер? А пока пользуюсь следующим трюком - для получения свежайшей фленты добавляю к УРЛу какой-нибудь бессмысленный параметр:

http://cat-mucius.livejournal.com/friends?blin=10

Сервер тогда ищет УРЛ в кэше, не находит и со вздохом лезет в базу.
В следующий раз параметр приходится изменять - скажем, на blin=11.

Может, пригодится кому.

С интересом узнал о возможности получить сертификат для e-mail'а от известного* CA забесплатно, то есть даром. Воспользовался. Теперь любая почта от меня будет подписываться этим сертификатом. Это даёт две возможности:
1. Убедиться, что она таки от меня.
2. Посылать мне шифрованные сообщения, которые прочесть смогу лишь я. Если нужны инструкции - обращайтесь.

Вот, собственно, он - в разных форматах: 1, 2.

SHA1 thumbprint: ‎95 4c 54 a7 3c 8f e2 b2 ce 40 46 a5 65 ed 4a 9c 13 ca df 1c

* То есть такого, чей сертификат установлен и опознаётся в Windows или, скажем, в Firefox.

---

Об "Аватаре" понаписали столько, что добавлять что-либо бессмысленно, поэтому отмечу лишь следующее: стало наглядно, какой чушью являются все пужалки о том, что битторенты, е-мулы и прочее "нелегальное копирование" приведут к гибели киноиндустрии. Просто индустрия не должна топтаться на месте - только и всего. Она и не топчется.