Статьи по меткам ‘security’

Bitcoin Trezor — доступный софт + новая возможность для сайтов

Май 18th, 2015

Для тех, кто использует #Bitcoin Trezor девайс (микрокомпьютер для хранения ключей и подписи транзакций биткойн) — здесь вы найдёте сводную таблицу об актуальных приложениях, которые уже поддерживают #BitcoinTrezor.

Напомню, что в начале с устройством можно было работать только через сайт MyTrezor.com, пока не была добавлена поддержка в сторонних программах. Уже использование сайта разработчиков не обязательно, что устраняет зависимость от работы единственного сайта.

Также, в Bitcoin Trezor появилась возможность, вместе с поддержкой любым сторонним сайтомсоздавать и заходить в созданные аккаунты только посредством этого устройства (причём нет никаких сторонних посреднических функций авторизации — работа выполняется только между конкретным сайтом, пользователем и его устройством). Никаких email, паролей не требуется — девайс показывает на экране домен, время, а от вас требуется только нажать кнопку согласия на вход. Таким образом, сайты, поддерживающие Bitcoin Trezor, предоставляют пользователям анонимно создать аккаунт и избавляют от обязанности помнить пароли, а также не требуют указывать личные данные для создания и использования аккаунта, даже email! Учитывая то, что разработчики опубликовали этот механизм как один из открытых стандартов BIP SLIP-0013 (SLIP — так называют разработчики Trezor-a — SatoshiLabs «свои» документы), есть надежда, что эта фича появиться во всех BIP44 совместимых программах. Тогда даже Bitcoin Trezor не нужен будет для такой работы.

Сегодня стреляли в президента Чехии

Сентябрь 28th, 2012

Главное, смотреть видео. Смешно, с одной стороны. С другой — думаешь, а что бы было с этим человеком в России, когда вместо президента Чехии был бы президент России? И какого было бы выражение у Путина? 🙂

Android — как избежать запроса пароля при смене симки

Июль 24th, 2012

Наверное, вы сталкивались с тем, что когда меняете симку в своём Андроид телефоне, он у вас снова запрашивает пароль для аккаунта синхронизации. Неприятно это потому, что обычно такое происходит во время путешествия и не все помнят пароли в дороге. Если же вы используете двухфакторную авторизацию, то тем более вряд ли помните пароль — для каждого приложения он свой и генерируется Гуглем.

Вообщем я нашёл простой способ как избежать запроса пароля. Чуть позже — проверил свой же способ на очередной сменке симки и он всё таки не работает… Видимо, я пока всё же не нашел способа как сделать плавную смену симки без запроса пароля Google аккаунта. Если вы знаете, то можете оставить в комментариях к этой статье. Спасибо! Для этого надо выполнить следующие действия: » Читать дальше: Android — как избежать запроса пароля при смене симки

История с левыми сертификатами затронет не только Google

Сентябрь 1st, 2011

Перепечатано с BugTraq:

История, конечно, замечательная. Голландский CA (авторизационный центр сертификатов, сертификат которого заверяют другие сертификаты низшего порядка) DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще «нескольких дюжен» сайтов — и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты — от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).

А теперь немного от себя 😉 Кто еще не понял — все броузеры имеют хранилище сертификатов цетров (CA), и если какой либо сайт имеет сертификат для своего домена, подписанный ими — тогда броузер автоматом считает такой сайт доверенным для пользователя. А значит — получает  поблажки в плане отключения разных security опций. Правда, я не совсем понял из новости — если был для домена google.com, то и мог работать только когда пользователь заходил на google.com. Разве что, если бы писали про домен gooogle.com какой нибудь, тогда было бы более понятно, зачем что и кому это надо.

SSH Telnet под Windows

Июль 21st, 2011

Давно работаю под ShellGuard, но в последнее время стал искать замену (мало того что он платный и уже не поддерживаемый, дак еще и не работает с UTF-8). Перепробовал много telnet-ов, но остановился на проверенном и нормально работающем — PuTTY. Но вот есть у него довольно неприятная проблема. ShellGuard работает почти с теми же клавиами, что привычные Unix терминалы — Alt + F1(F2, … F12) — переключает на нужные открытые консоли, а PuTTY работает всегда с одной консолью и для новой надо заново запускать новый процесс, а переключаться между ними не удобно — Alt+Tab — обычное переключение в Windows.

Долго искал — можно ли как-то приблизиться к сервису, близкому ShellGuard, и нашел максимально хорошее решение » Читать дальше: SSH Telnet под Windows

Взлом систем шифрования жестких дисков путем «холодной перезагрузки»

Июнь 10th, 2011

Вопреки устоявшемуся мнению, память DRAM, использующаяся в большинстве современных компьютеров, хранит в себе данные даже после отключения питания в течение нескольких секунд или минут, причём, это происходит при комнатной температуре и даже, в случае извлечения микросхемы из материнской платы. Этого времени оказывается вполне достаточно для снятия полного дампа оперативной памяти.

Перевод здесь. Вообщем, суть такая, что когда вы работаете с компом на зашифрованном диске, в ОЗУ хранится ключ в открытом виде (расшифрованный после ввода пароля вами при загрузке компьютера). Дак вот если кто-то заимеет доступ к вашему включенному заблокированному компьютеру, то получить ключ не составит труда. Особенно актуально для ноутбуков, которые крадут в общественных местах.

LastPass, возможно, хакнули — поменяйте мастер-пароль!

Май 6th, 2011

Итак, свершилось! LastPass сообщил, что возможно, утянули его базу пользователей вместе с email логинами и криптованной базой пользовательских паролей. Для тех, что плохо понимает в криптозащите, поясняю: сами данные, если и попали в руки хакеров — они криптованные вашим мастер-паролем. Но мастер-пароль — самое слабое звено. Если он легкий и простой, особенно, несколько цифр, например, то подобрать его на компьютере — дело нескольких минут. Если он состоит из какого либо слова, то и еще проще — хакеры перебирут его по словарю. Также, навярняка, с базой утянули и «подсказки» — текст, который сам задает пользователь, чтобы — если забудет пароль — прочитав текст, вспомнить его.

LastPass не сообщил напрямую, что его 100% хакнули, но они сообщили, что наблюдают аномальный трафик » Читать дальше: LastPass, возможно, хакнули — поменяйте мастер-пароль!

iPhone и слежка за вами — попробуем разобраться

Апрель 22nd, 2011

Буквально вчера во многих СМИ появилась информация, что iPhone регулярно, каждый день сохраняет в определенном файле телефона координаты владельца — где он был и когда (ну может быть и не когда, но регулятность координат позволяет вычислить «когда»). Но куда сохраняет и как — информации особо никто не дает — ну и правильно, главное ведь «сенсация». Но вот я нашел статейку, где на английском дано много подробной информации — куда сохраняется (Library/Caches/locationd/consolidated.db), как часто и делаются предположения, зачем. Сразу хочется сказать, что приложения, не имеющие root доступа на устройстве, файл считать не смогут, но вот с компьютера — уже без проблем — этот файл передается каждый раз во время синхронизации. Также, этот файл истории перемещания владельца по «умолчанию» передается самим iPhone дважды в день на Apple. Это уже настораживает, пожалуй. Да и Медведеву, пожалуй, также надо задуматься (или его ФСО) над этим…

Вот какое предположение, зачем это делается, предлагает сайт F-Secure.com » Читать дальше: iPhone и слежка за вами — попробуем разобраться

На забудьте смыть за собой Roboform

Январь 12th, 2011

Не перестаю удивлятся суппорту этого «замечательного продукта». Полгода они знали о баге, который вешает Firefox, я их постоянно пинал об этом, потом устал, и недавно они соизволили мне сообщить прерадостную новость, что его устранили. Для проверки предложили мне проверить на 7-ой версии (которая платная для тех, кто покупал 6-ую). Я сначался замялся делать это — все таки переполз на LastPass, купил там Premium account, а Roboform удалил. При этом, буквально до того, как они меня обрадовали, успел поставить сдуру 7-ую версию поверх шестой — начал тикать trial период. Потом ее снес. Сегодня все таки решил проверить устранение бага. » Читать дальше: На забудьте смыть за собой Roboform

Еще немного о Roboform и LastPass

Декабрь 31st, 2010

Написал мне недавно суппорт, что они таки устранили баг, о котором я так долго писал! Надо же… Предложили мне протестировать новую версию (7.1.2). Но я так долго ждал (реально баг есть более года, но последний штурм на саппорт я осуществлял в августе 2010), что это мне надоело, терпеть, пока Firefox тормозит и зависает на сайтах с JavaScript, что удалил я этот косячный плагин, тем более, что 7-ая версия (в которой и устранен этот баг) для пользователей 6-ой версии снова стала платной (тут кстати, если помыслить, становится понятно, почему они так тянули с исправлением и исправили во вновь ставшей платной версии…). Теперь я перешел на LastPass » Читать дальше: Еще немного о Roboform и LastPass