«Даже если вы нажмете на какую-то ссылку и введете логин и пароль то ничего такого не случится» — реклама браузера Яндекс. Как это работает и так ли это? Посмотрев эту рекламу мне конечно стало интересно, как Яндекс смог «победить» такую сложно решаемую проблему как кража паролей. Хочу отметить, что рассматривал я только одну из функций Яндекс Protect, а именно "Защита от кражи паролей".

Поиском решений для повсеместной замены паролей на более серьезные механизмы аутентификации заняты многие. Не успели забыться кольца аутентификации Google, как появилась таблетки и татушки от Моторолы. На состоявшейся в мае конференции D11 представитель Моторолы рассказала о ведущейся в компании работе по поиску новых средств безопасной аутентификации. Было озвучено две перспективные технологии.

FIDO (Fast IDentity Online) Альянс был создан в июле 2012 года для решения проблемы поддержки устройств строгой аутентификации в сети Интернет, а также с целью упростить жизнь пользователям, вынужденным создавать и запоминать имена пользователей и пароли. FIDO Альянс планирует изменить текущую ситуацию с аутентификацией путем разработки спецификаций, определяющих набор механизмов, которые вытеснят зависимость от паролей и обеспечат безопасную аутентификацию пользователей интернет-услуг. Новый стандарт по безопасности устройств и плагинов для браузеров позволит любому веб-сайту или облачному приложению взаимодействовать с широким спектром существующих и перспективных устройств для обеспечения безопасной аутентификации пользователей.

Для обеспечения безопасной работы пользователей проект FIDO объединяет аппаратные средства, программное обеспечение и интернет-сервисы.

«Я определённо думаю, что криптография становится менее важной. В реальности, даже самые защищенные компьютерные системы в самых изолированных местах оказались взломаны в течение последних лет с помощью ряда атак APT или других продвинутых техник», — сказал Ади Шамир, участвуя в работе криптографической сессии на конференции RSA.

О чем же говорит «отец основатель» криптографии с открытым ключом. Сегодня невозможно представить защиту информации без криптографии. Стойкость современных криптографических алгоритмов до сих пор не поставлена под сомнение. Однако компрометация систем, использующих криптографические механизмы защиты, не такая уж редкость. Причин этому много. Хочется отметить, что здесь и далее не рассматривается человеческий фактор, государственное влияние, коррупция и т.п., а обсуждаются исключительно технические аспекты. Характерным примером атак на системы использующие криптографию, является атака на систему клиент-банк. Отсутствие доверенной среды выполнения криптографических операций на компьютере клиента приводит к возможности проведения атак направленных на кражу ключевой информации, на подмену платежной информации, на несанкционированное использование ключей. Огромное количество инцидентов в системах ДБО показывает, что защита среды выполнения важна не менее чем стойкость используемых криптографических алгоритмов.
Что же должна обеспечивать среда выполнения криптографических операций:

• Обеспечивать защиту криптографических ключей от копирования;
• Гарантировать разграничение прав доступа к выполнению криптографических операций;
• Обеспечивать контроль аутентичности данных поступаемых на обработку;
• Обеспечивать целостность собственного кода;
• Иметь интерфейс взаимодействия с небезопасной средой.

Отдельно стоящим пунктом является юзабилити решения. Требование это не техническое, а скорее коммерческое. И конечно, строгой формализации в этом вопросе нет.
Для создания доверенной среды в настоящее время используется множество различных механизмов. Ниже небольшой обзор.

В целях оптимизации мобильного трафика, Nokia в браузерах Xpress перенаправляет трафик на собственные прокси сервера. Перенаправляется в том числе и HTTPS трафик. Прокси сервер устанавливает обычное HTTPS соединение с web сервисом, получая данные клиента в открытом виде. Затем оптимизирует их и уже через свое шифрованное соединение с клиентом отправляет пользователю. То есть на серверах Nokia наши приватные данные (пароли к клиент банку, номера кредиток и т.п.) присутствуют в открытом виде. Классический Man In The Middle.

по следам публикации Мегафон вмешивается в трафик до юзера

В 2008 году компания Phorm UK Inc подписала соглашение об установке своей рекламной системы с тремя крупнейшими ISP в Великобритании — BT, Virgin Media и TalkTalk. Стоимость акций компаний сильно выросла, так как инвесторы предполагали, что Phorm станет главным конкурентом Google. Эти предположения основывались на том, что при помощи технологии Deep Packet Inspection (DPI) Phorm сможет легко перехватывать и анализировать все web-страницы посещаемые пользователями обозначенных провайдеров.

Технология Eye-Tracking позволяет отслеживать положения глаз пользователя на экране компьютера с помощью одной или нескольких камер. Первые упоминания об исследованиях в этом направлении относятся к началу XX века. Исследователи с помощью фотопленки и бликов на глазном яблоке пытались отслеживать направление взгляда. Уже в конце прошлого века подобная технология использовалась в системах наведения боевых самолетов и вертолетов. В настоящее время отслеживание взгляда человека эффективно используется для обеспечения взаимодействия инвалидов с компьютерами, а так же в различных игровых приложениях. Еще с помощью этой технологии проводят исследования юзабилити интерфейсов и эффективность размещения рекламы. Что еще может дать эта технология и кому?

Все разработчики ПО хотят кушать и бывает очень обидно, когда программа, на которую было потрачено множество времени и сил, доступна для пользования любому без законных отчислений в пользу автора. Разработчик, не получив свое кровное, начинает волноваться, плохо спать, а то и совсем перестает создавать свои продукты. Защищать ПО от несанкционированного использования стали практически тогда же, когда начали продавать программные продукты. В разное время использовались разные механизмы – серийные номера, привязка к компакт-дискам и параметрам компьютера, использование электронных ключей. Все эти механизмы достаточно подробно освещены на просторах интернета. А том, как защитить интересы разработчиков SaaS решений информации меньше. Я попытаюсь рассказать об одном из механизмов «лицензирования» онлайн ПО, который всплыл как-то неожиданно для меня самого.

Проблемы с безопасностью в системах дистанционного банковского обслуживания (ДБО) ни для кого не секрет. Там где на кон поставлены деньги, информационная безопасность проверяется на прочность особенно часто. Основной вектор атаки в системах ДБО направлен на клиентское ПО, так как оно выполняется в небезопасной среде. Для защиты клиентского рабочего места в разное время применялись разные методы. Эволюцию средств нападения и средств защиты, используемых в ДБО, я попытаюсь описать в этом топике. В основном будут рассмотрены технические средства защиты клиентской части ДБО.

Так уж получилось, что социальные сети являются сильнейшим инструментом влияния на умы и сердца людей. Интересы людей в соцсетях не сложно проанализировать по популярности игр — одно из топовых направлений игр — борьба за рейтинг. Хотелось бы предложить владельцам соцсетей использовать такие слабости людей, что называется в мирных целях. Что бы было понятнее о чем я говорю, приведу пример.
Например, в пунктах приема крови каждому сдавшему кровь можно выдавать какой-то уникальный номер. Введение этого номера в соц. сети могло бы давать какие-то рейтинговые преимущества человеку, какой-то знак отличия или дополнительные возможности доступные только обладателю таких номеров. Это могло бы, как минимум пробудить любопытство в людях -«что за знаки такие?», а как максимум послужило бы толчком к тому, что бы тоже поучаствовать в чем-то очень нужном окружающим нас людям.
Хотя я и не очень верю в то что это возможно, скорее появится в соцсетях «Макдональдс и самый прожорливый пользователь фэйсбука», но написать думаю все же надо было.
Хотелось бы увидеть в комментариях ваши мысли о том, как еще можно в социальных сетях привлечь внимание людей к социальным проблемам.
Так же готов пообщаться и с представителями соцсетей.

Уже в нескольких топиках рассматривались проблемы построения безопасного механизма аутентификации при небезопасном соединении. Ниже предлагается к обсуждению схема с использованием асимметричной криптографии. Такой подход позволит аутентифицироваться на сервере, никогда не передавая серверу пароль, ни при регистрации, ни при аутентификации. Как всегда, будет демонстрация и исходные коды. Кому данная тема интересна, прошу под кат.

Развивая тему, начатую здесь и здесь, расскажу еще об одном механизме аутентификации на web-ресурсах. Механизм прост, в его основе лежит использование ЭЦП, для хранения ключей при этом используется USB-токен.

В первой части статьи обсуждалась ситуация, когда для защиты трафика мы по каким-либо причинам не можем использовать https. При этом, передаваемый в открытом виде пароль становится легкой добычей мошенников. Предложенный в статье метод позволял избавится от угрозы перехваты пароля или от кражи БД хэшей паролей, но был бессилен перед злоумышленником, который и БД владеет и контролирует трафик. Предлагаемый ниже метод безопаснее, но сложнее.

HTML5 открывает широчайшие возможности для разработчиков web-ресурсов. Однако не стоит забывать, что эти возможности открываются не только для владельцев ресурсов, но и для различного рода мошенников. Хочу поделиться небольшим наблюдением, как необдуманная тяга к новым технологиям может ударить по безопасности ваших пользователей.

Использование https при аутентификации уже давно стало правилом хорошего тона. Однако, необходимость покупки сертификата приводит к тому, что многие владельцы web-ресурсов по прежнему используют для аутентификации открытый канал и ваши пароли доступа могут быть перехвачены злоумышленником, имеющим доступ к сети, в которой вы работаете. Следует отметить, что использование https в общем случае не гарантирует защиты от перехвата передаваемого трафика. На сегодняшний день существуют решения, основанные на использовании специальных прокси и доменных политик, позволяющие успешно читать https трафик в корпоративных сетях. Далее о том, как все же защитить пароль от перехвата.