История, конечно, замечательная. Голландский CA (авторизационный центр сертификатов, сертификат которого заверяют другие сертификаты низшего порядка) DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще «нескольких дюжен» сайтов — и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты — от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).

А теперь немного от себя Кто еще не понял — все броузеры имеют хранилище сертификатов цетров (CA), и если какой либо сайт имеет сертификат для своего домена, подписанный ими — тогда броузер автоматом считает такой сайт доверенным для пользователя. А значит — получает  поблажки в плане отключения разных security опций. Правда, я не совсем понял из новости — если был для домена google.com, то и мог работать только когда пользователь заходил на google.com. Разве что, если бы писали про домен gooogle.com какой нибудь, тогда было бы более понятно, зачем что и кому это надо.

Долго искал — можно ли как-то приблизиться к сервису, близкому ShellGuard, и нашел максимально хорошее решение — PuTTY Connection Manager. Эта программа делает следующее — она запускает на каждую консоль новое окно PuTTY как процесс, но интегрирует их в одно Windows окно, делая вкладки (Tabs), переключаться между которыми теперь можно через Ctrl + Tab. Работает очень хорошо, но все таки остался неприятный осадок — было бы замечательно, если бы порядок переключения делался в Most Recent порядке (между наиболее недавно использованными табами). Но этого нет. Еще хочется добавить из минусов — очень медленно развивается разработчиками. И хотя можно запросить и проголосовать за какую либо новую фичу, что-то мне подсказывает, увидеть ее потом можно через N-ое количество лет.

Кстати, как ShellGuard, так и PuTTY — работают с SSH ключами. Если вы не используете SSH ключи для авторизации (то есть работаете по старинке — вводя каждый раз пароль), то очень рекомендую это сделать — удобно, быстро и более безопасно! Конечно, сами ключи для авторизации необходимо защитить паролем, но его надо ввести один раз (для ShellGuard — только при первой сессии и для PuTTY вводится при запуске Pageant из состава PuTTY)

Вопреки устоявшемуся мнению, память DRAM, использующаяся в большинстве современных компьютеров, хранит в себе данные даже после отключения питания в течение нескольких секунд или минут, причём, это происходит при комнатной температуре и даже, в случае извлечения микросхемы из материнской платы. Этого времени оказывается вполне достаточно для снятия полного дампа оперативной памяти.

Перевод здесь. Вообщем, суть такая, что когда вы работаете с компом на зашифрованном диске, в ОЗУ хранится ключ в открытом виде (расшифрованный после ввода пароля вами при загрузке компьютера). Дак вот если кто-то заимеет доступ к вашему включенному заблокированному компьютеру, то получить ключ не составит труда. Особенно актуально для ноутбуков, которые крадут в общественных местах.

LastPass не сообщил напрямую, что его 100% хакнули, но они сообщили, что наблюдают аномальный трафик на одном из своих серверов — то есть попросту говоря — они видят, что кто-то тянет от них большой объем данных. Они не могут объяснить пока причину этого (видимо пытались найти почему, но не могут), поэтому для подстраховки оповестили всех своих клиентов просьбой сменить мастер-пароль. Также, они сейчас включили режим стимуляции пользователей сменить пароль — LastPass включается в оффлайн режиме — все новые пароли не криптуются и не сохраняются у них, а хранятся локально на компьютерах пользователей. Все начинает работать нормально только тогда, когда пользователь сменит пароль, то есть когда компьютер пользователя локально перекриптует кучу паролей и отправит их обратно в LastPass. Из-за этого пока сервер LastPass работает частично некорректно — пишет о перегрузках. Лично я рекомендую сохранить файлик паролей (вашей базы всех паролей LastPass), что хранится у вас локально (Папка «C:\Documents and Settings\ВАШЕ_ИМЯ_В_WINDOWS\Local Settings\Application Data\LastPass\» — файл с расширением sxml). В случае чего, вы всегда можете работать с этим файликом напрямую, без сайта LastPass (приложение Pocket с их сайта — выбрать тип системы и затем найти LastPass Pocket). Но честно говоря, раз пошла такая редиска, я бы не стал скачивать прямо сейчас LastPass Pocket — если у них аномальные трафики и они не могут понять причину — нет гарантии, что хакеры не заменили LastPass Pocket и что после этого как только вы введете мастер пароль для доступа к своей локальной базе — пароль не «утечет» к хакерам с вашим логином…

Последние новости — лично я пробовал сменить мастер-пароль, но в данный момент (6 мая 2011) это невозможно сделать. Все дело в том, что пароль меняется через настройки на сайте (разумеется, сайт выдает только JavaScript код, и смена пароля реально перекриптовывает локально на компьютере базу и отправляет ее криптованную на LastPass). Но вся проблема в том, что сейчас сайт пишет, что он перегружен и настройки не открываются. Об этом пишут и сам LastPass. Я так и не понял, как можно иначе сменить пароль, кроме как только ждать (возможно несколько дней), пока сайт у них не разгрузится. Лично я снова решил вернуться на RoboForm и хранить базу локально на диске. Тем более, 4-ая версия RoboForm не глючит с Firefox 4.* (с 3.6.* по прежнему баг есть)

Отается посочувствовать только тем, кто имел слабый LastPass мастер-пароль (несколько цифр или популярные слова) — шанс, что хакеры вскроют их хранилище весьма велик, и не важно, что они сменят мастер-пароль — все равно у хакеров есть сами криптованные данные. Подобрав к ним пароль, если им удастся, они сразу получат все хранимые данные. Для надежности придется менять все пароли на всех сайтах, если ваш LastPass пароль был очень слабым. Вот так вот…

Более подробно оригинал здесь: Exclusive: LastPass CEO Explains Possible Hack и LastPass, Online Password Manager, May Have Been Hacked

И кто не хочет читать на английском, можно с переводом здесь: Возможно, был взломан LastPass (перевод Sterhel)

Вообщем, не одно (я про RoboForm), так другое…

P.S. И почему такой счастливый на фотке CEO LastPass-а?

Вот какое предположение, зачем это делается, предлагает сайт F-Secure.com в своей статье про этот треккинг:

В iPhone есть сервис определения местоположения телефона по WiFi сетям, чтобы без GPS владелец мог примерно знать, где он находится. Но до OS 3.2, выпущенной в апреле 2010, Apple для этих целей использовала староннюю базу WiFi сетей — «Skyhook». Чтобы телефон мог определить местоположение, ему нужно поймать как минимум три WiFi точки доступа (не важно, открытой или нет), получить их MAC адрес (уникальный во всем мире адрес «сетевой карточки», или в случае WiFi — адрес чипсета микросхемы WiFi) и затем MAC адреса прогнать по базе, найти там и определить местоположение каждого MAC (в базе есть соответствия MAC -> координаты точки доступа) и определить координаты («вычертить циркулем» три круга и найти общую точку пересечения окружностей) — классическая геометрическая схема определения местоположения, только вместо спутников GPS выступают WiFi точки, тем более, из-за небольшого радиуса действия WiFi даже не надо знать точные GPS координаты реального расположения коробочки WiFi доступа.

Дак вот, с апреля 2010 Apple отказалась от сторонней базы и решила использовать свою. Но для сбора этой базы надо, чтобы по всему миру, например, ездили автомобили и ловили WiFi сетки, фиксировали MAC адрес и GPS координаты, где поймали этот MAC (помните скандал с Google и их машинами, которые «случайно» записывлаи весь WiFi трафик вместе с паролями www/ftp трафика? Это из той же оперы… [1] [2]). Но что было делать Apple? Заводить свой автопарк? Решение просто и эллегантно — сами владельцы iPhone и будут теми машинами! В iPhone есть GPS, на худой конец есть система определения координат по базовым станциям сотовых операторов. Тогда достаточно фиксировать координаты этим способом, и фиксировать WiFi MAC адрес. И делать это все, пока владелец iPhone ходит и перемещается… Вот в F-Secure это и предполагают — возможно, именно это и делается с помощью этого трекинга (тем более, при установки iTunes намеком пишется об этом в соглашении). Но это будет похоже на правду, если кроме координат в файле найдут MAC адреса. Про это я пока нигде не увидел. Да и учитывая тот объем данных, что насобирала Google на улицах Голландии (3,6 млн. WiFi), файл этот с MAC адресами должен получиться не хилым! Ну или может быть, не таким большим, если он два раза в день отсылается, и затем обрезается. Но про это пока никто не пишет. Скоро, наверное, появится

Вообщем, проверил — баг как был, так и остался… Меня поражает тупость суппорта этого говно-продукта. Ведь зачем писать о том, что этот баг устранен, если проверить самим это не так сложно. Достаточно зайти на УРЛ, что я им писал сотню раз — http://google.com/codesearch/p?hl=en#6V-_MuMB1HQ/mozilla-2.0.0.3/mozilla-2.0.0.3/xpcom/build/malloc.c для примера (можно любой код на CodeSearch Google), кликнуть там в правом фрейме с кодом мышкой и крутануть колесиком мышки внутри того фрейма. Firefox намертво зависает с CPU 100%. Проверил я, и опять снес эту заразу. Проверил после сноса — ничего не виснет. Писать в суппорт больше не хочется. Одна надежда — помочь всем тем, кто еще не подозревает о том, что его Firefox виснет не потому, что броузер плохой, а потому что стоят там вот такие продукты отечественного софтопрома (у которых почему то иногда суппорт на русский вопрос отвечает по английски).

P.S. Занимателен факт — сегодня не смог попасть в online Vault LastPass-а, как ни пробовал. Видимо, то ли у них что-то глючило, то ли я перемудрил с grid авторизацией. Отписал им в суппорт (на английском), мне ответили в течении 5 минут, потом еще через 5 минут все заработало. Я даже не успел сильно расстроиться! Кстати, эта проблема с LastPass и побудила меня попробовать проверить RoboForm снова. Да ну его нафиг, этот Roboform!

Итак, LastPass точно хранит все таки свою базу в одном файле на диске. То есть, в случае недоступности сайта LastPass, или для любителей резервировать свои пароли — доступ есть. Папка — «C:\Documents and Settings\<User>\Local Settings\Application Data\LastPass\» и там файл с расширением sxml. Также, хорошая новость еще в том, что на сайте LastPass есть программка, которая может читать этот файл локально, без работы с интернет — LastPass Pocket. Все это — очень хорошо Также, купив Премиум аккаунт, можно использовать LastPass на мобильных устройствах. Я использую под Android. Те, кто тоже юзают Android, вот наводки — LastPass можно поставить отдельно, но тогда ходить по сайтам через его же броузер, что не очень хочется (не выключить JavaScript, не понятно, как там обновляется сам броузер и т.п..), либо можно использовать стандартный броузер через букмарклеты (закладки, вместо URL-а которых — JavaScript код — вы кликаете в закладках закладки LastPass на нужном сайте для входа и он уже вставляет в страницу сайта логин-окно). Есть и еще способ — поставить броузер Delphin и к нему расширение LastPass (самый оптимальный вариант). Но повторюсь, все это платно, но не дорого — $11 в год за аккаунт (заметьте, не за комп, не за лицензию, а за аккаунт — то есть за $11 вы можете поставить на все свои компы и мобильники). Выгода от Premium на компе тоже есть — улучшенная защита — можно защитить вход кодовой таблицей (матрица букв) — тогда заход с новых компов  (IP адреса точно) будет запрашивать, помимо имени и пароля, еще буквы из таблицы. Минус такого подхода — мобильные версии не поддерживают такой таблицы. Но можно включить кодовую таблицу для компов, а для мобильников составить список разрешенных устройств через тот же аккаунт в компьютере. Но при кодовой таблице LastPass Pocket будет требовать коннекта к сайту для проверки кодов.

Вот вкратце те тонкости, которые я узнал, поработав с LastPass. С Наступающим Новым 2011 годом!

Prinyato novoe MMS (#574) ot abonenta Elena dlya 8XXXXXX (здесь ваш номер — прим. автора). Dlya prosmotra MMS v telefone pereidite po ssylke: http://mms-all.ru/Photo(574)-Elena.jar

Хочу предупредить всех, что любые подобные сообщения, и вообще, все те, где вам предлагают какую либо ссылку, заканчивающуюся на .jar (а может и не быть .jar) — такие надо сразу удалять и по ссылке ни в коем случае не переходить! То что пришло ко мне — 100% вирус или троян, работающий на Java.В каждом телефоне сегодня есть Java, на ней пишутся и работают любые программы, которые будут исполняться на вашем телефоне — от игр, до любой вредоносной программы, типа трояна или вируса. Скорее всего, я могу только предполагать, сейчас активно гуляет телефонный вирус и работает он по следующему принципу — вы «клюете» на такое SMS (например, имя вам показалось очень знакомым), идете по ссылке, там, вероятно, телефон вас предупредит, что будет запущено Java приложение, но вы будуте думать, что это такое MMS, и согласитесь его запустить. Далее, программа установится, отправит на любые другие случайные номера операторов от вас подобные сообщения (разумеется, вы еще и заплатите за это) и так далее. Случайные — потому что сам я получил с незакомого номера. Но нет гарантии, что вирус не «пройдется» по вашим контактам! Что делает та программа — я не знаю, но учитывая, что есть мошеннические операторы, как Билайн, с их «Премиум сайтами», могу предположить, что одна из целей может быть просто скачка любой фигни с этих Премиум сайтов, где цена трафика достигает в десятки и сотни раз больше, чем указано в прайсе Билайна. Кстати, эта SMS была получена на Билайновский номер. Вполне возможно, что заказчики таких вирусов — сами владельцы Премиум-сайтов…

Сразу оговорюсь. Пока мне сложно сделать скриншоты, что как настраивать, поэтому буду писать сухим текстом что и куда кликнуть и выполнить. Возможно, позже добавлю сюда скриншоты.

Определяем, что защищаем

Первое, нам надо определить, что мы защищаем. Например, для такой программы, как ShellGuard (программа доступа по ssh протоколу, удобный ssh клиент) ключи находятся в папке C:\Program Files\ShellGuard\keys. Для ее защиты, создаем категорию «Мои ключи» таким способом: кликаем по исконке Касперского, там «Центр защиты» -> разворачиваем «Защита файлов и персональных данных» -> находим и кликаем по «Защита персональных данных» -> клик по вкладке «Персональные данные» -> выбираем из списка «Файлы пользователя». Здесь, кликая по «Добавить категорию», мы создаем категорию «Мои ключи». Тем самым, мы создали категорию, в которой опишем места, где у нас будут хранится ключи и другие данные. После создания категории, внутри нее мы кликаем по кнопке «Добавить» и добавляем ресурс с названием, например, «SSH Ключи», а путь — C:\Program Files\ShellGuard\keys\* . Чтобы указать путь, кликните по кнопке «Обзор», но не выбирайте в директориях папку — проще удалите там текст под «Объект» и скопируйте прямой путь — C:\Program Files\ShellGuard\keys\* .  Звездочка в пути говорит KIS-у, что мы защищаем все файлы в директории и поддиректориях. Таким же способом можно было бы защитить даже ветки в Registry, но как именно, вы догадайтесь сами. Нам в этом примере это не нужно. Везде жмем «OK», чтобы настройки сохранились. Помните, что у KIS есть особенность — чтобы настройки запомнились, надо во всех открытых окошках с настройками нажать «OK».

Выставляем, как защищаем

Теперь, когда группа создана и в ней описан объект для защиты (директория с файлами), мы идем в другой пункт для указания программ, которые имеют и не имеют доступа к этой группе. Кстати, для простоты, можете в эту же группу сразу добавить другие объекты — директории — например, OpenVPN места ключей и т.п.. Можно в группе «Мои ключи» создавать подгруппы и там добавлять объекты. Вообщем, гибкости хватает. Экспериментируйте. Ну а теперь, как установить права для самих программ. Там, где мы кликали «Защита файлов и персональных данных», есть доступ к настройкам «Контроль программ». Кликаем по ней, затем «Настроить», а там кнопку «Программы». Вам выдается окошка со списком программ, распиханным по 4-ем стендартным категориям (категории новые мы создавать не можем, но можем создавать подкатегории). Сейчас, главное, надо выставить для всех 4-х групп запрет к нашей группе объектов — «Мои ключи». Кликаем по каждой группе -> «Правила группы» -> вкладка «Файлы и системный реестр» -> в «дереве» пункт «Персональные данные» -> «Файлы пользователя» -> «Мои ключи» и выставляем запрет для каждой из четырех колонок (правая кнопка мыши в нужном месте и «Запретить»). Проверяем, например, пытаемся Far-ом или Total Commander открыть файл — должен быть запрет (разумеется после сохранения настроек).  Затем, там же находим программу - в нашем примере ShellGuard.exe (там есть поиск по имени программы). Лучше сразу ее переместить в группу «Доверенные», а затем кликая по ней правой кнопкой мыши, выставляем «Правила программы» и там во вкладке «Файлы и системный реестр» выставляем разрешения для всех колонок «Мои ключи». Но тут стоит обратить внимание! Нужно также поставить опцию во вкладке «Исключения» — отметить галочку «Не наследовать ограничения родительского процесса (программы)». Объясняю почему. Обычно, программы наподобии ShellGuard, ssh, StatsRemote и т.д.. запускаются из других программ, например из проводника, Far или Total Commander. KIS по умолчанию, для запущенных программ «наследует» права из родительских процессов, например, из проводника. Причем, при наследовании он выбирает самые ограниченные права между запускающей и запущенной программы. Например, если для проводника стоял запрет на доступ в директорию, а программа, запущенная проводником, имела доступ в эту директорию в своих правах, то KIS выберет из двух типов прав правило с наименьшим приоритетом (наименьший приоритет — чем более ограничено, тем меньший приоритет) — то есть запрет (приоритеты от меньшего к большему: «запрет», «разрешение по запросу», «рарешение»). Именно поэтому, для ShellGuard.exe мы выбираем опцию «Не наследовать ограничения родительского процесса (программы)», тем самым отключаем механизм наследования — теперь KIS будет принимать во внимание только те права, что стоят для ShellGuard.exe.

StatsRemote

И еще нюанс по поводу StatsRemote.exe (4-ая версия). Эта программа использует виртуальную Java машину для работы. Поэтому, не она непосредственно обращается к вашей базе. StatsRemote.exe при запуске запускает процесс javaw.exe, а сама прекращает работу. Теперь вот что получается. Для правильной работы нам нужно сделать несколько иначе, чем описано в примере выше. Для самой StatsRemote.exe мы делаем все по такому же принципу, как делали для ShellGuard.exe.  Но, когда StatsRemote.exe запустит javaw.exe, KIS 2011 будет размышлять так: ага, javaw.exe запущена программой, которая имеет доступ, и права мы также наследуем от нее, но javaw.exe принадлежит группе «Доверенные», а для нее по умолчанию доступа нет — тогда берем права с наименьшим приоритетом — то есть запрет. В результате — после запуска StatsRemote не будет работать — не увидит директорию. Нам надо также выставить индивидуальные права для javaw.exe с разрешением на доступ в директорию. Но, нельзя ставить опцию «Не наследовать ограничения родительского процесса (программы)»! Если вы ее поставите, вы позволите любой Java программе иметь доступ в вашу директорию. А если опция не стоит, KIS будет выбирать права с наименшьим приоритетом с учетом дерева запуска процессов — в нашем примере и запускающая программа StatsRemote.exe, и javaw.exe имеют доступ в директорию — значит доступ для javaw.exe будет! Если javaw.exe будем запущена другой программой, то также будет выбрано правило наименьшего приоритета — то, что будет установлено для запускающей javaw.exe программы! А так как мы запретили всем другим программам доступ — значит доступа не будет

Заключение

Применений этому методу много. Например, его можно использовать и для защиты пасскарт Roboform, LastPass, ваших документов и т.п..

К тому же, эта версия адоптирована для Firefox 3.6.* & 4.*

Правленный Live HTTP headers v0.17