ru.security

Привет! За две недели получаю второе письмо от разных "хакеров" в стиле "я взломал ваш пароль "...", скачал все ваши контакты и все ваши интимные фото, а также заснял на камеру устройства, как вы дрочите на порносайты, поэтому очень хочу денег". :) Первый хотел $7000, второму достаточно $835. :) Откуда такой разброс по таксе - у них там до сих пор не устоялись реальные цены? :) Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)

Hello, All. Всем ку Возник такой вопрос. Имеется интернет Имеется довольно большой список файлов. Имеется некоторое количество пользователей. Пользователей надо разделить на группы: 1. Могут только заходить и смотреть ничего не скачивая 2. Могут скачивать только один файл в сутки 3. Могут скачивать только разрешенные количество файлов. Имеется ВордПресс установленный. Но думаю что это делается отдельно. Собственно вопрос: как это все реализовать? Ну и более менее защитить от посягательств холявноскачивальщиков? ... -- Best regards! Posted using Hotdoged on Android

Hello, Eugene Sharov. On 08.12.2018 14:34 you wrote: AI>> Имеется интернет Имеется довольно большой список файлов. Имеется AI>> некоторое количество пользователей. Пользователей надо разделить AI>> на группы: 1. Могут только заходить и смотреть ничего не скачивая AI>> 2. Могут скачивать только один файл в сутки 3. Могут скачивать AI>> только разрешенные количество файлов. ES> Озадачивался подобным вопросом, но увы, готовых решений не нашел. ES> Думал сделать самостоятельно, но сразу уткнулся в одну глобальную ES> проблему, а именно - однозначная идентификация пользователя. Хотя, ES> если у тебя предусмотрена регистрация и при этом абонент не ES> получает повышения привилегий до наступления некоего события ES> (поступления оплаты, скажем), то это упрощает задачу. Это так, регистрация обязательна -- Best regards! Posted using Hotdoged on Android

Пpивет, Eugene! Отвечаю на письмо от 25 Oct 18 23:55:29 (AREA:RU.SECURITY) EM> За две недели получаю втоpое письмо от pазных "хакеpов" в EM> стиле "я взломал ваш паpоль "...", скачал все ваши контакты EM> и все ваши интимные фото, а также заснял на камеpу EM> устpойства, как вы дpочите на поpносайты, поэтому очень EM> хочу денег". :) Пеpвый хотел $7000, втоpому достаточно EM> $835. :) Откуда такой pазбpос по таксе - у них там до сих EM> поp не устоялись pеальные цены? :) ДА!!

Привет! 15 Jun 18 12:00, you wrote to me: AV> Есть методы противодействия и хорошим троянам. Один из простейших - AV> автоматическая блокировка УПШ-цацки, если она воткнута дольшее, чем на AV> пару минут. Hедавно читал рассказ клиента банка, который подписал УПШ-ключом платежку, и хитрый троян в ту же минуту сгенерил и подписал еще одну. Хорошо, банк углядел там что-то необычное, и платеж приостановил. AV> Ну и подтверждение каждого криптопреобразования нажатием кнопки AV> (аппаратной, подключенной к УПШ-цацке) тоже бывает весьма полезным. Вот это было бы полезным, а такое бывает? Hикогда не слышал. Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)

Привет! 15 Jun 18 12:00, you wrote to me: EM>> надо ж как-то оттуда выдрать и сертификат, и ключевую пару. AV> Сертификат - это открытый ключ, метаданные к нему, и все это подписано AV> удостоверяющим центром. Его можно хоть на заборе вывешивать. Я к тому, что секретный ключ привязан к сертификату, и его нужно именно добыть из токена, ибо сделать новый нельзя. Сам-то сертификат любой криптопровайдер даст экспортировать. AV> А в сабже хранится секретный ключ. И если его оттуда можно достать, то AV> это плохой, негодный сабж. Я в курсе, что негодный. :) Мне пока и не надо, чтоб он был годный - более важно иметь возможность использовать полученную ЭЦП с любым технически совместимым средством шифрования, а не только тем, которым она генерилась. AV> s/ключевой пары/секретного ключа/ AV> Ты их уже не первый раз путаешь. Я не путаю, так короче. :) AV> Если есть, то такими средствами лучше вообще не пользоваться. А чем пользоваться-то? :) Hасколько я знаю, в РФ невозможно получить ЭЦП в криптоключе, который затем можно было бы использовать с любым криптопровайдером. А вдумчиво изучать их все, а затем столь же вдумчиво искать УЦ, выдающий сертификат в нужном формате... AV> Сам ведь понимаешь, что причины этого - отнюдь не технические. Вполне технические - в нехватке нейронных связей в мозгах индивидов, имеющих отношение к. :) EM>> в суде можно грамотно отбрехаться от любой своей подписи. :) AV> Дохлый номер: "плохо хранил" приравнивается к "сам передал". Там неважно, как хранил. Фишка в том, что УЦ выдает уже готовый криптоключ, запросов на сертификат он не понимает. Следовательно, физически невозможно обеспечить нахождение секретного ключа в одних руках. А коли секретный ключ какое-то время был в руках УЦ - нехай они доказывают, что не копировали и не распространяли его (в том числе непреднамеренно). Сами ж себе злобные буратины - "аппарат имеется". :) Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)

Доброго времени суток, Eugene! 15 Jun 2018 12:52:48, ты -> мне: AV>> Дык потому и криптопроцессор, что усерскому компутеру доверять AV>> нельзя. А для того, чтобы он не подписывал все подряд, специально AV>> разрабатывают криптопротоколы. EM> Которые спасают только продвинутого юзера, и только от сравнительно EM> тупых троянов. :) Понятно же, что доброму трояну вся эта машинерия EM> глубоко по барабану, и все держится лишь на том, сложный EM> универсальный троян банально дороже той же социальной инженерии. Есть методы противодействия и хорошим троянам. Один из простейших - автоматическая блокировка УПШ-цацки, если она воткнута дольшее, чем на пару минут. Причем блокировка бывает как учебной (выдернуть, воткнуть, работает), так и боевой (самоуничтожение ключа, после чего тупой бухгалтер идет на поклон к админу). Ну и подтверждение каждого криптопреобразования нажатием кнопки (аппаратной, подключенной к УПШ-цацке) тоже бывает весьма полезным. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Какая я вам мама? Я вам в отцы гожусь

Доброго времени суток, Eugene! 15 Jun 2018 12:45:40, ты -> мне: AV>> Если есть шифрующий софт, то сабж можно заменить флешкой. EM> Можно - теоретически. А практически - надо ж как-то оттуда EM> выдрать и сертификат, и ключевую пару. Сертификат - это открытый ключ, метаданные к нему, и все это подписано удостоверяющим центром. Его можно хоть на заборе вывешивать. А в сабже хранится секретный ключ. И если его оттуда можно достать, то это плохой, негодный сабж. EM>>> а внутренняя организация (файловая система, или как там это EM>>> называется). AV>> static const uint8_t curve3410_256_bit_key EM> И вкуда там эту кею прикладывать? :) С этим криптопроцессор сам разберется. AV>> Ну вот прямо так и спроси потавщика: как экспортировать сертификат AV>> в PEM? EM> поставщик криптософта отвечает, что предусмотрен экспорт только EM> голого сертификата, но не ключевой пары, которая якобы "защищена" s/ключевой пары/секретного ключа/ Ты их уже не первый раз путаешь. EM> (той самой security through obscurity). Это можно сказать только про "защищенное хранилище ключа" - которое хоть и неочевидным способом, но отдает этот самый ключ пользовательскому компутеру. EM> Говорят, где-то есть хакерские приблуды для конвертации, но я пока EM> так глубоко не вникал. Если есть, то такими средствами лучше вообще не пользоваться. EM> В любом случае на сайте той же ФHС реализована подпись исключительно EM> посредством плагина для браузера. По-человечески скачать документ, EM> подписать его у себя, проверить подпись собственными средствами, EM> и загрузить обратно, невозможно. Сам ведь понимаешь, что причины этого - отнюдь не технические. EM> С одной стороны, неудобно, а с другой - в суде можно грамотно EM> отбрехаться от любой своей подписи. :) Дохлый номер: "плохо хранил" приравнивается к "сам передал". -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Грязь (сущ.): любое вещество в самом неподходящем для него месте

Доброго времени суток, Nickita! 15 Jun 2018 06:28:36, ты -> Eugene Muzychenko: NAS> также может быть протокол шифрования -- льём данные в токен, NAS> вынимаем данные, поток (де)шифруется. Так не делают даже индусы. NAS> хотя, большие объёмы шифровать будет долго -- проще хранить NAS> на токене только пароли/ключи, а шифровать на полноценном ПК. Сабжи используют только для алгоритмов с открытым ключом. То есть, для пересылки, например, большого файла полагается сгенерировать ключ для симметричного алгоритма, зашифровать им файл, посчитать контрольную сумму зашифрованного файла, подписать ее сабжем, зашифровать сгенерированный ключ открытым ключом получателя и отправить ему зашифрованный файл, подписанный отправителем хеш и зашифрованный симметричный ключ. А получатель проверяет подпись хеша и целостность зашифрованного файла, и только после успешной проверки расшифровывает симметричный ключ своим сабжем. В частности, GPG работает именно так. -- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii ... Почему клинические идиоты лечатся амбулаторно?!

Привет! 15 Jun 18 07:47, you wrote to Nickita A Startcev: AV> Дык потому и криптопроцессор, что усерскому компутеру доверять нельзя. AV> А для того, чтобы он не подписывал все подряд, специально AV> разрабатывают криптопротоколы. Которые спасают только продвинутого юзера, и только от сравнительно тупых троянов. :) Понятно же, что доброму трояну вся эта машинерия глубоко по барабану, и все держится лишь на том, сложный универсальный троян банально дороже той же социальной инженерии. Всего доброго! Евгений Музыченко eu-gene@muzy-chen-ko.net (все дефисы убрать)