Чтобы добавлять сообщения и комментарии, .

@OCTAGRAM:
OCTAGRAM

Неплохо бы где–нибудь раздобыть ЭЦП токен с неизвлекаемыми ключами с интерфейсом Ethernet, а не USB, чтоб из виртуалок без геморроя работало.

@werru:
werru

вчера поучаствовал в тендере подписал документы эцп конторской. Как-то буднично. Может частые геморры с ключами в бухгалтерии испортили радость.
Краем глаза заметил, что криптопро вроде Linux поддерживает

@Umnik:
Umnik

Помните эпик фейл от Bit9? Так вот, МаКака решила что о ней забыли и представила нам на радость свой фейл с сертификатами. anti-malware.ru
-------------
Администратор компании McAfee случайно отозвал цифровой ключ, который позволял сертификации приложений для настольных компьютеров на основе Apple OS X. Из-за этого у огромного количества потребителей возникли сложности при установке или обновлении антивирусных продуктов под Mac.

Сотрудники McAfee говорят, что они ни разу не теряли контроль над специальными сертификатами, которые используются для подтверждения того, что пользователи используют законные релизы. Дата аннулирования ключа – 6 февраля 2013 года. Это означает, что уже неделю потребители не имели возможности подтвердить, они купили McAfee-программы для Mac.

«*Нам просто сказали, что мы должны принимать непроверенные сертификаты*, пока они не разберутся со своими проблемами», – говорит один IT-администратор крупной компании, пожелавший остаться неназванным. «По сути, они предлагают нам самостоятельно подставить себя под угрозу».

Представители McAfee говорят, что ключ был отозван непреднамеренно, когда администратор компании занимался разработкой аппаратного апгрейда. Вместо того, чтобы отозвать собственный индивидуальный ключ, специалист по ошибке отозвал ключи-подписи, которые Apple использует, чтобы гарантировать, что их система оставалась полностью защищенной от вредоносного программного обеспечения. Сейчас инженеры компании занимаются тем, что назначают своим приложениям новые ключи, однако до тех пор, пока это не произойдет, потребителям придется воздержаться от установки или обновления приложений.

Почему же они не решили эту проблему раньше, а вместо этого ждали 7 дней? Топ-менеджеры уверяют, что ошибка была обнаружена только 48 часов назад. Кроме того, что компании нужно сгенерировать совершенно новый ключ, инженерам нужно внести правки в программы и провести тестирования качества продуктов, чтобы гарантировать, что они нормально работают. Никто даже толком не может сказать, сколько времени может понадобиться на решение данной проблемы.

@mrbug:
mrbug

"... При словах linux в контексте вопроса: «Каким ПО мы можем подписать документ из скрипта?» все удостоверяющие центры впадают в ступор и предлагают ознакомиться с решениями для Windows :-)" habrahabr.ru

@Umnik:
Umnik

Взломали некоторые сервера Adobe. Казалось бы, ну взломали, ну и что. А вот что:
"Копания Adobe заявила о том, что неизвестные хакеры скомпрометировали часть серверов, используемых для разработки программного обеспечения компании. В результате злоумышленники получили возможность генерировать собственные сертификаты безопасности и выдавать вредоносные программы за продукты Adobe."
Кто еще не понял. Злоумышленики могут подписывать малварь подписью Adobe, которая по умолчанию доверенная у многих антивирусов (примечание: мы в секунды отзываем такие сертификаты через облако, KSN) и у самих пользователей. Более того, малварь с подписью Adobe уже обнаружена ITW! При запуске такой малвари в запросе UAC будет четко указано, что файл подписан доверенным производителем. На данный момент сертификаты отозваны фирмой, но обновления Windows с отменой доверия еще не было. Пример малвари, подписанной Adobe — pwdump7 v7.1. Эта программа извлекает хеши паролей пользователей Windows, а также иногда используется как единый файл, который постоянно подключается к OpenSSL библиотеке libeay32.dll.

Источник: anti-malware.ru

@werru:
werru

сегодня с утра подписал договор "простой электронной подписью", просто нажав на кнопку подписать на экране... причём подписал от имени не физ.лица, а юридического... я чего-то не понял как такое возможно??? почитал закон, вроде всё нормально, но я не понимаю! Я подписал договор за директора, где хоть какой-то контроль???

@Umnik:
Umnik

Запись вебинара, посвещенного электронным цифровым подписям, лежит здесь: anymeeting.com Рекомендую всем, кто интересуется ИБ и просто для общего развития.

@Umnik:
Umnik

Напоминаю, что сегодня в 15 часов стартует вебинар по ЭЦП: #1544283

@Umnik:
Umnik

Пожалуй, самый крутой случай, связанный сертификатами у заразе. DigiNotar объявил о банкротстве!

@schors:
schors

кстати, забавный казус. статья 4 63-ФЗ от 06.04.2011 разрешает использовать любые технологии, соответствующие весьма общим условиям. более того — запрещает признавать такие подписи недействительными. т.е. я пока не вижу почему я не могу раздать клиентам OpenPGP, получить от них бумажку формата A5 с подтверждением условий использования ключа и его fingerprint и потом напропалую это использовать. хотя это сложно. определение неквалифицированной подписи после получения бумажки с согласием с условиями использования например панели управления делает действия в ней юридически значимыми. ха. а как они это проверять будут? т.е. на сегодняшний день сделана какая-то дыра...

@schors:
schors

с удивлением обнаружил, что по поводу ЭЦП я не совсем прав. оказывается, с конца декабря прошлого года у нас существует УФО ЭЦП. только я продуктов его жизнедеятельности не вижу. грубо говоря, он не выполняет условия Статьи 8, 63-ФЗ от 06.04.2011. а не работает всё это безобразие, потому что невозможно в текущем варианте осуществить соответствие Статье 6 (признание подписи) пункты 1 и 3 просто даже технически, нет процедур. зато статья 6 пункт два даёт простор для творчеcтва, которым все и пользуются. хотя, не очень понятно, почему тогда не применяется западный стандарт в целях статьи 6 п.2 — оно проще в реализации

@Umnik:
Umnik

Хакеры похитили сертификаты безопасности сайтов ЦРУ и MI6 anti-malware.ru
Неизвестные хакеры похитили SSL-сертификаты безопасности, используемые сайтами спецслужб ЦРУ, MI6, "Моссад", а также популярными интернет-сервисами Facebook, Twitter и WordPress, что могло позволить злоумышленникам получить несанкционированный доступ к аккаунтам пользователей этих сайтов, сообщила антивирусная компания Sophos.

@Umnik:
Umnik

Вчера Microsoft выпустила уведомление безопасности SA 2607712 , в котором сообщается, что компания удалила DigiNotar из списка доверенных корневых сертификатов. Причиной этому послужило обнаружение сертификата, затрагивающего все домены и поддомены google.com. Злоумышленники могут воспользоваться сертификатом, подписанным DigiNotar, для подмены контента, проведения фишинг-атак и атак «человек посередине».

По словам Роэля Шувенберга (Roel Schouwenberg), сотрудника «Лаборатории Касперского», SSL-сертификат является действительным и был выдан DigiNotar, голландским центром сертификации. DigiNotar был приобретен в начале этого года чикагской компанией Vasco, которая позиционирует себя как «мировой лидер в области строгой аутентификации». Представители Vasco отказались комментировать инцидент с похищенным сертификатом.

Исследователи отмечают, что, так как сертификат является действительным, то web-браузер не будет выдавать предупреждающее уведомление, если пользователь заходит на сайт, подписанный сертификатом.

Пока неясно, как злоумышленники заполучили сертификат — из-за недостаточно высокого уровня безопасности в компании DigiNotar, или с помощью взлома сайта, на котором выдают сертификаты. Шувенберг призвал DigiNotar предоставить более подробную информацию о хищении сертификата как можно скорее.

«Учитывая связи компании с правительством и финансовыми структурами, очень важно вычислить масштаб взлома как можно скорее», — заявил Шувенберг.

Исследователи компании F-Secure обнаружили следы взлома сайта Diginotar, при чем доступ к сайту удалось получить не одному хакеру. Несколько дефейсов было осуществлено пару лет назад. Сначала незаконный доступ к сайту удалось получить иранскому хакеру под ником KiAnPhP, затем атаку провела иранская группа хакеров Black. Spook, а также в мае 2009 сайт взломали турецкие хакеры. Доказательства взломов до сих пор присутствуют на сайте:
diginotar.nl
diginotar.nl
diginotar.nl

В настоящий момент неизвестно имеют ли эти инциденты отношение к хищению сертификата.

@Daemon:
Daemon

proit.com.ua
Электронную подпись разрешили для регистрации предпринимательства

@Daemon:
Daemon

Ух ты. Один из УЦ находится в соседнем здании. Цифровая подпись режима «неограниченный» с записью на uaToken стоит 846 грн. Режим «отчетность» — 327 грн. Из которых сам uaToken стоит 250.
Я прямо задумался насчет получения и сдачи отчетности в электронном виде. Только в налоговую зайти всё равно нужно будет — договор занести.

@Michae1:
Michae1

ЭЦП шагает по стране: rg.ru
Ох, и будет же, где развернуться злокодерам :)

@General-Beck:
General-Beck

Совет Федерации одобрил в среду новый федеральный закон "Об электронной подписи", которая определяется как информация в электронно-цифровой форме, использующаяся для идентификации физического или юридического лица. rian.ru

@Michae1:
Michae1

zakupki.gov.ru
Вот так вот. ОГАУ покупает себе собственный УЦ. Готов заплатить за это 42 млн. и хочет, чтоб всё работало уже до конца года: "Открытый конкурс на выполнение технологических работ по созданию типового Удостоверяющего Центра и автоматизации процесса размещения заказов на поставки товаров, выполнение работ, оказание услуг для государственных нужд в сфере АПК".

@Umnik:
Umnik

Вам что-нибудь говорит слово "lavalys"? Подсказываю — они делают Everest lavalys.com В общем, не буду ходить вокруг да около. ЛК забанила их подпись, т.к. ею подписана зараза, найденная ITW. То ли сами ребята из lavalys работают "на лево", то ли подпись у них спиздили. А может еще что-то. Но факт остается фактом.

@Umnik:
Umnik

А вы уже слышали про очередной спизженный сертификат? Он используется при эксплуатации очередной дырки в Адоб Ридере: securelist.com

@Umnik:
Umnik

Сегодня мне подкинули чудный линк: blogs.drweb.com "Certificate Snatching—ZeuS Copies Kasperskys Digital Signature" гласит заголовок. ОМГ! Зараза подписана пизженной подписью ЛК! Это вам не сраные Реалтеки, тут совершенно другой уровень!
Однако, прочитав запись в блоге конкурентов (Тренд-Майкро, конечно, Дохтур за конкурентов не считается), стало ясно, что авторы Zbot, издевки ради, просто скопировали подпись нашей утилиты ZbotKiller на самого Zbot. Поиздеваться, видимо. Конечно, подпись невалидна. Ну а хули, это же очевидно.

Но пиздец же, Certificate Snatching—ZeuS Copies Kasperskys Digital Signature!!!!!!!!!!!!!!!!!!! Надо товарищам из компании Доктор Веб подарить какой-нибудь hex editor и ссылку на Википедию, чтобы изучали основы основ. Редактор должен быть, однозначно, няшным, с котиками и зайчиками. FAR тут не пригодится. FAR может отпугнуть товарища Igor Zdobnov от обучения своей аскетичностью.

@Umnik:
Umnik

*securelist.com *JMicron securelist.com
Четвертая часть эпизода "Мирт и гуава". Интересности включены.

@Umnik:
Umnik

*уязвимость *0-day Подписанные сертификаты Stuxnet: наиболее часто задаваемые вопросы. Теперь по-русски: securelist.com

@Umnik:
Umnik

*securelist.com Продолжение #822967
17 июля VeriSign Revokes Certificate Used to Sign Stuxnet Malware: threatpost.com
19 июля Вячеслав Русаков в ЖЖ делает заметку о вредоносе: users.livejournal.com Он занимается исследованием драйвера и отвергает предположение о том, что драйвер был написан самим Реалтеком. Напомню, что в свое время Sony использовала руткит для сокрытия некоторых файлов, так что такое предположение было не беспочвенным.
19 июля компания ESET делает запись на Хабре со своим описанием: habrahabr.ru Мелкое обсуждение записи можно прочитать на Anti-Malware: anti-malware.ru Тем более что Гостев саркастически отзывается о нем.
20 июля компания "Лаборатория Касперского" публикует новую запись: securelist.com Теперь ITW обнаружен вредонос, имеющий подпись JMicron. Ладушки... Подпись в этот раз не истекла на момент обнаружения, она до 2012-го года!
20 июля компания "Лаборатория Касперского" публикует небольшую запись на тему уязвимости: securelist.com Отсюда же узнаем, что продукты ЛК имеют generic-детект на вредоносные ярлыки.
20 июля Секьюритилаб публикует новость об уязвимости, хронологию событий и метод заражения вредоносом: securitylab.ru

Как защищаться?
1. Уязвимости с LNK могут использоваться тогда, когда файловый менеджер отображает иконку. То есть FAR Manager безопаснее. Что, впрочем, нисколько не решает проблемы.
2. Можно отключить отображение иконок ярлыков. HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Удалить данные для значения "(Default)". Перезапустить Windows Explorer.
3. Вместо радикального п. 2 можно отключить службу WebClient.
Запустить cmd от имени Администратора
sc stop WebClient
sc config WebClient start= disabled
4. Не забываем про права User. У него нет прав на установку драйвера.

Прошу прощения за такие вот посты один за одним. Ошибок много сделал при наборе текста :( Нужна возможность редактировать записи в течении, например, 10 минут.

@Umnik:
Umnik

*securelist.com Наверняка вы уже слышали про уязвимость нулевого дня, касающуюся ярлыков. Суть в том, что все актуальные версии Windows, не зависимо от разрядности, имеют уязвимость в обработке ярлыков. Система отображает иконку ярлыка на сменном/сетевом диске в Проводнике/Тотал Командере/аналоге и выполняется вредоносный код. Вот так просто. Никаких вам примитивных autorun.inf, только отображение иконки. Носитель -> Открытие -> Получение списка файлов (вредоносные могут быть скрыты и в список не попасть, это не важно) -> Отображение иконок файлов => Отображение иконок ярлыков вредоносов -> Заражение системы. Здорово? А хотите больше?
А вот вам больше. Об уязвимости узнали, когда ITW обнаружили вредоносов, использующих эту уязвимость. Вредоносы имели ЭЦП Realtec. Как вам это? Вредоносы с ЭЦП ставят под удар всю текущую систему безопасности всех ОС.

Теперь хронология событий и сопровождающих статей.
17 июня компания "ВирусБлокАда" обнаружила вредоноса, подписанного Реалтеком и использующего зеро-дей: anti-virus.by Это руткиты, которые ставят драйвер, когда файловый менеджер отображает их ярлыки.
10 июля компания "ВирусБлокАда" сообщает об этом в паблике: secureblog.info (по-русски: ifolder.ru )
11 июля компания "ВирусБлокАда" создает топик обсуждения на Anti-Malware: anti-malware.ru
15 июля компания "Лаборатория Касперского" публикует первые результаты исследования: securelist.com Александр Гостев немного дополняет коллег из "ВирусБлокАды" и наводит туман, говоря что название "Мирт и гуава" не просто так дано.
15 июля компания "Лаборатория Касперского" публикует продолжение исследования: securelist.com Александр Гостев больше раскрывает ситуацию с электронной цифровой подписью; отмечает, что срок действия сертификата истек 12 июня, что практически совпадает с датой обнаружения вредоноса экспертами VBA. Также сообщает, что ЛК заблокировала для своих продуктов подпись Реалтека через сервис KSN. Это означает, что KAV/KIS 2009 и выше не доверяют этой подписи Реалтек.
15 июля компания "Лаборатория Касперского" публикует новую часть исследования: securelist.com В третье части Алекс рассказывает о распространении вредоноса Stuxnet (такое название он получил) в мире, согласно данным KSN. В записи конкретные цифры, георгафия и предположения. Также появляется ответ на вопрос, почему "мирт и гуава".
16 июля широко известный в узких кругах Sp0raw создает на Anti-Malware ветку обсуждения доверия подписям: anti-malware.ru Важно понимать, что сейчас наиболее популярные ОС (не только Windows) работают как раз на основе такого доверия. На основе доверия работают и многие программы. Именно это я имел в виду, говоря о том, что под ударом вся схема безопасности.
16 июля компания Microsoft публикует запись о вредоносе. Там же указано, что подпись была отозвана.
----------
Из-за ограничение на длину записи пришлось разбить ее на две. Через несколько секунд выложу вторую часть