обновление программи

[Лекс Айрин]

Лекс Айрин трекнул языком, что в курсе о неких возможностей, как лихо обмануть и грязно надругаться над всех банковской системой,

Не то чтобы лихо, но достаточно легко, если есть реальная необходимость. Именно по этому длинна ключа все увеличивается. Плюс, всегда есть возможность подсмотреть сертификат у самого пользователя.

[vitaly_l]

Твой кореш, Лекс Айрин трекнул языком

Лекс и Айрин - мне не кореши, они чат боты, которые неспособны пройти даже тест Тьюринга. Но без их флуда, этот форум загнётся.

есть реальная необходимость. Именно по этому длинна ключа все увеличивается. Плюс, всегда есть возможность подсмотреть сертификат у самого пользователя.

Это персональное заражение, от него не спасёт ничего, т.к. если хакер захочет хакнуть, то он это сделает. А я говорил про случайное заражение, когда на сервер попадает "блуждающий вирус" и заражает приложение. Вот от таких заражений, подпись может ПРЕДУПРЕДИТЬ. А если предупреждён, значит защищён.

Поэтому, мне и стало интересно получить на халяву, код САМО-проверки подписи в самой программе. Тобишь не антивирус тестирует программу, а она сама себя проверяет и если обнаруживает нарушение своей подписи начинает вопить.

Это, кстати наикрутейшее НОУ-ХАУ, т.к. все антивирусы тогда идут нафиг...

.

[Лекс Айрин]

когда на сервер попадает "блуждающий вирус" и заражает приложение. Вот от таких заражений, подпись может ПРЕДУПРЕДИТЬ. А если предупреждён, значит защищён.

Случайных заражений нету уже лет 30 минимум. Точнее, для пользователя это может быть или казаться случайным, но в реальности это либо целенаправленная атака, либо подготовка к оной.
Практика показала, что если на сервере есть заражение программ, то это явно дело самих владельцев сервера и заражено будет больше половины программ.(документов, фильмов, торрент-файлов... нужное добавить)

Поэтому, мне и стало интересно получить на халяву, код САМО-проверки подписи в самой программе. Тобишь не антивирус тестирует программу, а она сама себя проверяет и если обнаруживает нарушение своей подписи начинает вопить.

Для этого не надо подписи... достаточно посчитать собственную контрольную сумму. Конечно, сумму придется передавать отдельно. И это существует уже давно, но не как средство защиты от заражений, а как средство защиты от повреждений файла.

[debi12345]

для валидации доменов и для подписи программ не подходит.

https://tashkent.publicvm.com/exch/

Добавлено спустя 5 минут 4 секунды:

1) короткий срок. 2) системы понятие не имеют о LetsEncrypt.com.
Поэтому их нужно вносить в ручном режиме как "доверенные".

Они автопродляются - под "линь" есть специальный пакет, который этим занимается. По-любом истекает ЛЮБОЙ сертификат - и случае летсэнкрипта всегда знаешь ,что он будет автопродлен. По валиднсти они ничем не отличается от прочих сертификатов. Он ессно не дает СА-прав - чтобы хакеры не использовали эти сертификаты для man-in-the-middle-бяк.

[olegy123]

Не то чтобы лихо, но достаточно легко, если есть реальная необходимость.

Чувствуется, что со мной разговаривает настоящий профессионал. Ой.. не ты случайно на прошлой неделе захотел с каждого лоха заработать по 300$, и почему такое странное название Petya?

Именно по этому длинна ключа все увеличивается.

Увеличивается по разным причинам. длина от 128бита еще норма, не желательно, но пока жить можно.

Плюс, всегда есть возможность подсмотреть сертификат у самого пользователя.

Какаой? его? зачем мне его.. вот сертификат на подпись у богатого предприятия - больше уровня Газпрома, то очень было бы интересно в определенных кругах.. но сейчас уже нет дискет, и ключи хранятся на самих чипах флешек.
Лекс Айрин - посоветуйте что нибудь действенное, т.е. как создать свой фейковый центр

[debi12345]

Виталя, тут разговор о другом шел, о нелегальном центре.

АФАЙК, эта лавочка уже закрыта - сейчас мэйнстрим-браузеры обязательно и неотключаемо проверяют сертификаты в том числе по линии DNS, а центры сертификации больше не выдают сертифкаты для сайтов под их IP-адреса (без домена, зареганного в DNS). И это отлично

[Лекс Айрин]

Ой.. не ты случайно на прошлой неделе захотел с каждого лоха заработать по 300$,

Я с другой стороны баррикады.

Увеличивается по разным причинам.

Основная в том, что среднее время подбора ключа становится достаточно малым.

т.е. как создать свой фейковый центр

Как и обычный. Меня лично более интересует как его обнаружить.

[debi12345]

Тобишь не антивирус тестирует программу, а она сама себя проверяет и если обнаруживает нарушение своей подписи начинает вопить.

ВонаКрай/Петя делает инджект в уже работающий процесс и ждет когда прога сама (например по шедуллеру автообновления) запустит инджектриванный код- то есть после полной загрузки проги (когда она еще могла себя проверить). От инджектов защита - проактивка антивирей.

[Xenar]

мысли вслух, по следам последних событий,
Какой я молодец что заставил заказчика, еще четыре года назад, перевести свои компы на линуху. Сейчас ПО обновляется из корпоративного репозитария и никаких проблем.

[Лекс Айрин]

Xenar, кстати, был случай, когда вин-админа поймали на создании локальной копии репозитария... Оказалось, что он уже давно всех тайком перевел на линукс.

[Xenar]

Xenar, кстати, был случай, когда вин-админа поймали на создании локальной копии репозитария... Оказалось, что он уже давно всех тайком перевел на линукс.

Поймали ?
Сразу же вспоминается бессмертное

Как поймают – так первое дело – сразу на кол

[Лекс Айрин]

ну да... наказать, думаю, не наказали, но долго удивлялись накуа... пока не разобрались. а насчет на кол...не пиратки же ставить)))

[olegy123]

Как и обычный. Меня лично более интересует как его обнаружить.

Что-то ты заднюю включил, вроде говорил - что просто сделал. Теперь не просто обнаружить.
Даже не просто создать и втереться в доверия.

[Лекс Айрин]

olegy123, у меня здесь служебная сетка... сам понимаешь, что-то лишнее в ней меня ну никак не устраивает. Я и так, когда начинал работать аникеем, устроил сеанс массового экзорцизма и штук пять экзорцизмов разовых. Поэтому эксперименты с фейковыми сертификатами мне не к лицу. Да и дороговатое удовольствие. К тому же, в ближайшее время будет продолжаться охота на ведьм по этому профилю.
А насчет того, что я говорил насчет корневых сертификатов... так они подписываются фирмой их выдающей, поэтому, естественно, они самоподписаны. Тут просто нет выбора. Это минус самой технологии -- кому-то необходимо доверять.

[azsx]

Я столкнулся с тем, что Java вдруг решила что программы должны быть подписаны.

Скажите, пожалуйста, то есть сперва админы вручную поставили какие то наивысшие схемы безопасности, а уже потом вам пришлось снижать уровень безопасности java машины, верно? Так как java по умолчанию не требует ведь подписание программы?

тогда уж "пешите исчо"

Это +5, сделать ошибку в слове исчо. Ничего то вы не понимаете в "неграмотности".