Захар Кириллов

Прошу прощения у всех тех, кто сегодня получил от моего имени спам, отправленный с ящика zahhar@gmail.com. Просто игнорируйте то письмо.

Ящик был взломан достаточно тривиальным способом: в 2002 году, когда я его создавал, я по наивности ввёл в качестве ответа на вопрос для восстановления пароля что-то осмысленное (вроде “Какая девичья фамилия вашей матери – Иванова”), за что сегодня и поплатился.

Сейчас контроль над почтовым ящиком восстановлен, можете мне на него снова писать и я надеюсь такого досадного промаха больше не повторится. Позор на мои седины.

Пользуясь случаем, рекомендую всем не использовать в своих почтовых аккаунтах (да и где бы то ни было вообще) вопросов для восстанления в прицнипе. Вместо этого используйте восстановление через SMS на ваш номер телефона (многие сервисы, включая Google, предлагают такую возможность). Если вы всё-таки вынуждены использовать вопрос, то в качестве ответа вводите какую-то псевдослучайную комбинацию букв и цифы, не имеющую отношения ни к вам лично, ни к сути вопроса и не являющуюся “словарным” словом (например “Какая девичья фамилия вашей матери – !!!IT-123-is-456-a-789-good-987-day-654-TODAY!!!”).

Ещё раз прошу прощения. Да пребудет с вами сила

Уважаемые студенты!
Курсовая работа сдана, теперь можно возвращаться к остальным предметам, в частности – ко 2-му домашнему заданию по “Безопасности”.

Для выполняющих задание при помощи GnuPG (а выполнявшие при помощи ID-карты скроллят ниже до соответствующего пункта):

1) найдите в списке файл с вашей фамилией и скачайте его на свой компьютер с предвательно установленным пакетом GnuPG для вашей операционной системы (надеюсь, вы не успели ещё её деинсталлировать? .

Каждый файл зашифрован при помощи вашего публичного ключа и подписан моим приватным ключом. Поэтому только вы можете расшифровать его, а заодно и проверить, что файл был подписан именно мной.

2) расшифруйте текстовый файл при помощи своего приватного ключа и ответьте на содержащийся в нём простой вопрос, после чего сохраните текстовый файл с ответом.

3) при помощи команды Sign & Encrypt (Подписать и зашифровать) подпишите файл своей цифровой подписью и зашифруйте его для меня при помощи моего публичного ключа. Найти мой ключ можно на сервере ключей или скачать здесь и затем импортировать в GnuPG.

В случае поиска моего ключа на сервере используйте ключ с ID = 3962E297, созданный 01.10.2010 на адрес zahhar@gmail.com. Пожалуйста, не перепутайте с другими ключами на этот же мейл, созданными в 2004 году!

Срок предоставления задания: воскресенье, 15 ноября.

Для выполняющих задание при помощи ID-карты
Если кто-то не получил от меня подтверждения о принятии работы, пожалуйста, проверьте: есть ли файл с вашей фамилией в списке на этой странице?

Мария Зорина и Алексей Форак: ваши задания тоже выложены в этом списке!

После того, как я принимаю и засчитываю вашу работу, я удаляю файл с сервера. Поэтому, если файл всё ещё лежит – значит я жду вашего задания до воскресенья, 15 ноября. А если файла нет, значит всё ОК, д/з принято.

Уважаемые студенты!

Пожалуйста, оставьте в комментариях к этой записи своё мнение о прошедшем в пятницу практикуме по компьютерной безопасности и защите данных, который вёл Тыну Самуэль: всё ли было понятно? интересно? запомнили и сможете повторить?

Отдельно хотелось бы услышать о содержании практикума (меня, как вы заметили, не было):

• какое оборудование и софт использовали?
• какие атаки осуществляли?

Спасибо!

Это второе домашнее задание для тех, кто выбрал ID-карту для авторизации.

Ваша задача в следующем:
1) Открыть http://porthos.mk.ee/~zahhar.kirillov/andmeturve/dz2-2010/, найти в списке файл типа .cdok, названный вашей фамилией и скачать его;
2) при помощи DigiDoc Client открыть cdok и расшифровать находящийся в нём текстовый файл (для этого потребуется ID-карта или Mobile ID и пин-код). Заодно вы можете убедиться, что вы не можете расшифровать чужие файлы, если скачаете на пробу файл с фамилией вашего однокурсника.
3) В текстовом файле записан индивидуальный вопрос. Вам нужно дать ответ на заданный вам вопрос и сохранить ответ в этом же текстовом файле.
4) После чего вам нужно подписать измененный файл своей цифровой подписью (для этого снова потребуется пин-код)…
5) … и зашифровать всё это его моим публичным ключом. Для шифрации выберите закладку “LDAP sertifikaadiotsing” и в поле Isikukood введите мой личный код: 38304020280.

Полученный файл – подписанный вашим приватным ключом и зашифрованный моим публичным – отправьте мне на мейл zahhar@gmail.com до 31 октября включительно.

Уважаемые студенты, не имеющие возможности использовать ID-карту для выполнения второго домашего задания по предмету “Компьютерная безопасность и защита данных”!

Ваши действия для выполнения второго задания следующие:
1) прочитать статьи Википедии про протокол OpenPGP, систему шифрования с открытым ключом PGP и её бесплатную альтернативу GnuPG. Если написанное будет непонятно, то идите по ссылкам в статье и разбирайтесь самостоятельно по материалам в интернете (они в большом кол-ве доступны и на русском языке тоже).
2) пользователи Windows идут на сайт gpg4win.org,скачивают оттуда реализацию GnuPG/OpenPGP под Windows и устанавливают её.

Вимание! Устанавливать следует обязательно версию 2.1.0-beta1 – иначе создание ключей у вас не будет работать по меньшей мере в Windows7 (За подсказку спасибо Александру Скуби)

У пользователей Линукс как правило софт GnuPG уже включён в дистрибутив, возможно вам потребуется только обновить его. Для макинтошефилов и эппловодов предусмотрен MacGPG2.
3) устаноив необходимый софт вам нужно создать себе пару из приватного и публичного ключа. Сделать это можно при помощи менеджера сертификатов (certificate manager) под названием Kleopatra или GPA (GNU Privacy Assistant) из набора установленных вами программ. На некоторых версиях Windows менеджер Kleopatra может работать некорректно, в таком случае попробуйте GPA (ищите одноимённые exe-файлы в установочной директории программы). В любом случае это всего лишь два разных интерфейса к одной и той же функциональности GnuPG. При создании пары ключей укажите ваше настоящее имя и адрес эл.почты. Учитывайте, что генерация 2048-битного RSA ключа на слабых компьютерах может занять до 1 минуты времени.
4) После того, как пара ключей будет создана, отправьте свой публичный ключ на сервер keys.gnupg.net. Сделать можно либо при помощи соответствующей команды менеджера сертификатов, либо через веб-интерфейс. При помощи поиска по своему имени-фамилии или адресу эл.почты убедитесь, что на сервере появился ваш публичный ключ.
5) Когда всё будет готово, отпишите в комментариях к этой записи свой адрес эл.почты, который вы использовали в сертификате. Таким образом я смогу найти на сервере ключей именно ваш ключ (а не вашего однофамильца и тёзки, если таковой вдруг там окажется) и дать вам персональное задание, которое будет зашифрована вашим публичным ключём. Подробности про получение и выполнение задания будут в следующем посте для вас.

Срок выполнения этой части задания – 24 октября. О готовности переходить на следующий шаг сообщайте в комментах.

NB! Эта часть задания обязательная для выполнения только теми слушателями курса, у кого нет возможности использовать ID-карту! Остальные, у кого такая возможность есть, могут добровольно поучаствовать в выполнении этого задания тоже – совершенно не запрещается установить себе GnuPG, отметиться в комментах и получить своё задание.

Удачи!

Уважаемые слушатели курса “Безопасность и защита данных”. Почти все из вас успешно выполнили первую домашнюю работу, можно приступать ко второму самостоятельному заданию.

Цель домашней работы: получить опыт работы с ассиметричными криптосистемами (иначе, с “открытым ключом”).

Суть работы: познакомиться с шифрованием-расшифовкой документов при помощи пары ключей, а также с цифровой подписью.

Инструментарий: в идеале для выполнения этого задания мы должны использовать эстонскую ID-карту. То есть у вас должны быть:
* собственно ваша ID-карта или Mobile-ID
* сертификат карточки должен быть действительным и вы должны знать свои пин-коды (пин-1 и пин-2)
* компьютер с установленной на нём программой DigiDoc Client
* читалка для ID-карты и драйвером (если используете карточку, а не Mobile-ID)

Если у вас впринципе есть ID-карта и читалка для карточки, то всю информацию о том, как проверить и при необходимости обновить свои сертификаты, как проинсталлировать драйвер и где скачать DigiDoc Client вы найдете на сайте id.ee. Разобраться с ним – одна из подзадач домашнего задания.

Если у вас есть всё или почти всё необходимое, то сообщите мне в комментариях к этой записи, что вы готовы получить своё персональное задание. Достаточно сделать запись в виде “Имя Фамилия готов получить задание по ID-карте”. Через некоторое время я опубликую пост, в котором будут ссылки на персональные задания каждому владельцу ID-карты. Что и как надо будет делать я объясню в том же посте.

Вопрос: что делать, если у меня впринципе нет ID-карты, нет пин-кодов, нет читалки и я вообще не хочу вникать в работу ID-карты?

Ответ: в таком случае вам всё равно не избежать выполнения домашнего задания (т.к. оно обязательно для всех слушателей курса!), просто придётся использовать альтернативную систему шифрации при помощи пары ключей. Я прошу всех студентов, у кого нет возможности или желания использовать ID-карту, отметиться в комментариях к этой записе, написав “У меня, Имя Фамилия, нет возможности использовать ID-карту”. Для вас появится отдельный пост с инструкцией как выполнить это задание без ID-карты.

NB! Даты практикумов по этому предмету (обязателен к посещению как минимум один практикум!)

* 29 октября в 17 часов (4 часа)
* 26 ноября в 17 часов (ещё 4 часа)

Жду комментариев, кто делает с ID-картой, а кто без.

Уважаемые студенты!

Слайды лекций по моим курсам осеннего семестра 2010 года доступны по следующим ссылкам (могут обновляться после каждой лекции):
Безопасность и защита данных
Аудит ИТ
Социальные и этические основы ИТ

В довесок:
Слайды по теме “Социальные сети” для обязательного пролистывания всем слушателям курса “Социальные и этические основы ИТ”.

Слайды про курсовую работу и её предзащиту для обязательного пролистывания всем, кто идёт на предзащиту 16 октября (в ближайшую субботу, начало в 10 утра). Смотрите начиная с 26 слайда!

Уважаемые студенты курса “Безопасность и защита данных”!
Выкладываю материалы по предмету, слайды лекции и первое домашнее задание.

Краткое описание загруженных файлов:

• andmeturve.pdf - слайды лекции (файл обновляется в течение 24ч после каждой лекции);
• ciphertext_2010.txt – первое домашнее задание;
• два файла с расширением *.chm – рекомендованные к прочтению книги (на английском языке).

Внимание: если скачанные chm файлы не открываются (видно только содержание, но не сам текст книги), то кликните правой кнопкой мыши на имени файла, в меню выберите Properties и в появившемся окне нажмите кнопку Unblock, затем OK. Настройки безопасности Windows по-умолчанию не позволяет открывать скачанные chm файлы без снятия блокировки вручную.

Комментарии к домашней работе: в файле chiphertext_2010.txt находится английский текст, зашифрованный заменой одних букв латинского алфавита на другие. Пробелы, знаки препинания и все остальные спецсимволы из текста убраны. Перед вами стоит задача расшифровать текст: провести его частотный анализ, построить алфавит замены и произвести обратную замену букв по найденному алфавиту-ключу.

Горячо приветствуется, если вы проделаете эти операции при помощи самостоятельно написанной программы на любом ЯП (C#, PHP, Java одинаково хорошо подходят для этого), но можно выполнить задание вручную или каким-то другим способом.

Для того, чтобы задание было вам зачтено, необходимо:
1) прислать первые 2-3 предложения расшифрованного текста или ссылку на оригинальный текст (он есть в интернете).
2) прислать промежуточные данные – алфавит-ключ, по которому вам удалось расшифровать текст и частоту букв в шифре.

Hint: поскольку открытый текст есть в интернете, вам достаточно будет правильно расшифровать только первое предложение и по нему найти полный текст, чтобы проверить себя.

Срок сдачи это домашней работы – 1 октября.
Результаты шлите мейлом – zahhar@gmail.com

Моя коллекция полезных ссылок по теме “Информационная и компьютерная безопасность”. Пост будет пополняться. Пожалуйста. делитесь своими находками в комментах!

Аудит, стандарты безопасности, статьи общего плана

Computer Security Resource Center @ National Institute of Standards and Technology

WirelessDefence.org – сайт, посвящённый целиком защите Wi-Fi

Cisco Safe Reference Guide

OWASP: Open WebApplication Security Project

Блог эксперта по безопасности Брюса Шнаера

EthicalHacker – онлайн-журнал для профессионалов по безопасности

VulnerabilityAssesment.co.uk – британский тематический информационный ресурс

Информационная безопасность на Хабре

Местный тематический блог Infosecurity.ee (на русском) и Arvutikaitse.ee (на эстонском)

Автоматический поиск уязвимостей, penetration testing

HP SWFScan – утилита для анализа Flash-анимации

W3AF: Web Application Attack and Audit Framework

Metasploit Penetration Testing Framework

NeXpose Vulnerability Scanner

OpenVAS: Vulnerability Assesment System

SARA: Security Auditor’s Research Assistant

MS Baseline Security Analyzer

Inguma: Vulnerability Research Toolkit

N-Stalker – коммерческий анализатор безопасности веб-сайтов под Windows. Бесплатная версия проверяет только XSS-уязвимость на 100 страницах любого ресурса.

Безопасность сетей Ethernet и Wi-Fi, анализ траффика, firewalls, снифферы

Chaosreader – аназиз TCP/UDP траффика и поиск информации в его дампах

Firewalk – OSI L4 тестирование рутеров

Scapy – пакетный анализатор/конструктор

Снифферы: Ettercap, dsniff

WireShark – комплексный Network Protocol Analyzer с хорошим GUI

Aircrack-NG: утилита для взлома Wi-Fi сетей

Перебор и перехват паролей, Bruteforce, словари

Cain and Abel – многофункциональная программа для Windows

John the Ripper – локальный перебор паролей

Brutus – удаленный перебор паролей

THC-Hydra – очень быстрый сетевой крякер паролей

Data Forensics

OnTrack EasyRecovery (коммерческая) – восстановление информации с жёстких дисков

RAID Reconstructor (коммерческая) – восстановление с RAID массивов

Sleuthkit – восстановление утерянных данных, анализ носителей + GUI к нему Autopsy

Foremost – восстановление утерянных данных методом data carving

Утилиты для поиска информации а дампах памяти

Сбор информации о жертве

Fierce – анализ DNS

Metagoofil – анализ мета-информации в файлах разных типов

Matlego – аналитический инструмент

Социальная инженерия (в основном работает для американцев): Spokeo, CVGadget, Pipl

Дистрибутивы  для учебных целей

Damn Vulnerable Linux – дырявый Линукс

Damn Vulnerable WebApp – дырявое веб-приложение на PHP

BackTrack Linux – полный комплект софт для тестирования безопасности

Защита компьютера, опсистемы и приложений

Snort: lightweight open-source IDS

PHP-IDS: система обнаружения вторжений в веб-приложений на PHP

Clam-AV: антивирус с открытым исходным кодом

XArp 2 (коммерческая): ARP watch tool for Windows (аналог arpwatch с графическим интерфейсом)

Демонстрационные видео

Видео: взлом WEP за 4 минуты

Видео: взлом WPA-PSK за 6 минут (bruteforce)

Брутфорс паролей веб-форм при помощи Hydra

Использование Metasploit для атаки на Windows XP SP2

Установка и настройка DVWA

Разное

Milw0rm – коллекция эксплойтов

Top 100 Network Security Tools

Инструментарий для тестирования под Windows

StartSSL – бесплатные SSL-сертификаты