Archive for the ‘Сигурност’ Category

Тъжна история за Квалифициран Електронен Подпис (КЕП)

петък, април 16th, 2021

Наскоро покрай пандемията реших да си подновя квалифицирания електронен подпис за да мога да подписвам неща дистанционно. И ми стана интересно кои са различните доставчици на КЕП и какво предлагат.

Първо да кажа: т.н. електронен подпис е всъщност две поредици от числа. Едната се нарича “таен” ключ а другата “публичен”. Нещо “подписано” с тайния ключ може да се провери с публичния. Т.е. всеки който ти има “публичния” ключ може да провери дали ти си го подписал с “тайния” си ключ. И ако някой ти има “тайния” ключ може да се представя за теб. Повече по въпроса тук.

Изглежда, че технически има 2 групи доставчици:

  • Традиционни доставчици: те всички ти дават смарт карта и четец под някаква форма която ти физически притежаваш и която смарт карта съдържа тайния ти ключ. Който ключ не напуска картата. И всеки достъп до него е защитен с ПИН. И браузера (или подписвача на документи) достъпва картата като трябва да подпише нещо.
  • “Облачни” доставчици. Тук тайния ти ключ се съхранява при доставчика. И е защитен с ПИН, който “само” ти знаеш. А когато трябва да подпишеш документ го пращаш целия на доставчика, той го подписва на неговия комп и ти го праща обратно.

Да кажа: наистина “облачините” доставчици са по-удобни. Може от телефона. Може и от компа. От всякъде. Без да инсталираш нищо сложно. Много е готино. За разлика от традиционните където трябва да имаш софтуер който да транслира заявките от браузера до смарт картата на КЕП-а. Който софтуер досега съм успявал да подкарам само на една определена операционна система за компютри.

Не знам дали ще ме наречете параноик, но ми се струва че облачните доставчици могат да ме подпишат без мое участие във всеки един момент. И понеже, според закона, електронния подпис има същата сила като този на хартия, това означава че примерно могат да ми продадат къщата. Или да ми сменят адреса. Без да им се налага да ме питат. Ще кажете: “ами ПИНа” ? Какво ПИНа? Те питат за него когато подписвам нещо и аз им го пращам. В явен вид. Колко му е да го съхранят някъде. Ще кажете: “ами те минават аудит”. Ами … да кажем че не вярвам много на този “аудит”, имайки предвид други разрешителни режими в България.

Така че, въпреки неудобствата, реших да послушам Бенджамин Франклин който казва: “този който се отказва от свободи заради удобства ще загуби и двете” и да си запазя пълен контрол върху това кой може да използва подписа ми като си нося тайния ключ за подписа ФИЗИЧЕСКИ в джоба. Т.е. се отказах от “облачните” доставчици в полза на “традиционните”.

Но тук ме чакаше изненада номер 2: банката ми (Пощенска Банка) не приема удостоверения подписани от тези доставчици. Само от един специален “облачен” доставчик който изглежда да е свързана фирма с тях.

Изненадаа!

Почетох закона. Не намерих там къде е казано че всички трябва да са валидни. Има само (чл. 13, ал. 4, удебеляването е от мен):

Правната сила на електронния подпис и на усъвършенствания електронен подпис
е равностойна на тази на саморъчния подпис, когато това е уговорено между страните.

ЗАКОН за електронния документ и електронните
удостоверителни услуги

Тоест, аз както го чета: нищо не е задължително. Както се разберете !!!!!!

Дали това означава че в един момент ще ни се наложи да имаме няколко “електронни” подписа?!

Изпратих запитване до Комисията за регулиране на съобщенията (която според закона регулира издателите на КЕП) относно законността на такъв отказ. Чакаме включване!

Добавяне на 2nd factor authentication към wordpress

вторник, декември 11th, 2018
  • Защо трябва да го направите ? Ето заради това. И то веднага. 
  • Какво ви трябва ? Телефон с Андроид и google authenticator.
  • Работи ли на wordpress 5.0: да
  • Какво да инсталирате ? Ето този плъгин.

Минаха години и т.н. 2-ри фактор (поне 2 от някое от тези три: нещо което си, нещо което знаеш и нещо което имаш) си е вече де-факто стандарт при повечето инсталации. Използвам го почти навсякъде за данните които са ми важни. Като основно е нещо което знам (парола) и нещо което имам (андроид телефон). Работи много добре с приложението на гугъл: то си генерира кодовете и само трябва да се въведат на съответното място. Не съм имал грижи засега. А и е стандартен интерфейс и се поддържа от много други сайтове.

Ето че настана време да инсталирам това и на моя блог. Ако и вие сте изправени пред същото горещо препоръчвам плъгина по-горе. Работи супер ! Единственото нещо което няма в сравнение с примерно гугъл е т.н. кодове за възстановяване (нещо което използвате ако сте си загубили телефона примерно). Но пък има начин да врътнеш малко базата данни и ефекта е същия (надявам се че няма да ми трябва де, но знам какво да правя).

Така че не мислете: инсталирайте и активирайте. Безплантно е.

И оставете ревю на автора на плъгина. Това е най-малкото което може да направите.

Как не (може да) се прави защита от хакери !

сряда, март 28th, 2018

Клиент съм на една (относително голяма) българска банка. Днес забелязах че съм получил phishing поща представяща се за идваща от тази банка:

скъпи клиенти,

Вашата електронна сметка в xxx е временно заключена от съображения за сигурност.

Ако искате да активирате профила си, следвайте инструкциите по-долу.

можете да го направите тук: 


Отключване на профила


С уважение,

Обслужване на клиенти 

Стандартен phishing ! На чист български 🙂
Моята пощенска кутия правилно го беше маркирала като спам заради съмнителния пощенски сървър от който идва:

Received: from pulsar.univ-valenciennes.fr (pulsar.univ-valenciennes.fr. [293.350.492.531])
        by xxx with ESMTPS id 12si632797wru.372.2018.03.27.01.56.14
        for 
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 27 Mar 2018 01:56:14 -0700 (PDT)
Received-SPF: softfail (xxx: domain of transitioning gbzay222@outlook.fr does not designate 293.350.492.531 as permitted sender) client-ip=293.350.492.531;
Authentication-Results: xxx;
       spf=softfail (xxx: domain of transitioning gbzay222@outlook.fr does not designate 293.350.492.531 as permitted sender) smtp.mailfrom=Gbzay222@outlook.fr
Received: from [885.313.636.729] (srv418.firstheberg.net [985.513.636.829]) by pulsar.univ-valenciennes.fr (Postfix) with ESMTPSA id 406B03074D2 for ; Tue, 27 Mar 2018 10:48:20 +0200 (CEST)

Но в списъка с емейли в потребителския интерфейс си изглеждаше напълно редовен. И бих го отворил ако не знаех че не трябва 🙂

Стана ми интересно и реших да сигнализирам банката която се използваше като претекст. Какво би направил всеки съвестен гражданин надявам се !

Препратих им оригиналното писмо, копие от служебните хедъри и малък текст обясняващ от къде и как съм се сдобил с това.

Нямаха специален адрес, така че използвах адреса за контакти от сайта им.

И ето какво получих като отговор:

Отговорът от отдалечения сървър бе:
554 5.7.1 This message has been blocked because ASE reports it as spam. 

Final-Recipient: rfc822; xxxx@xxxbank.bg
Action: failed
Status: 5.7.1
Remote-MTA: dns; xxxxxbank.bg. (222.345.332.812, the server for the domain xxxxxbank.bg.)
Diagnostic-Code: smtp; 554 5.7.1 This message has been blocked because ASE reports it as spam.
Last-Attempt-Date: Wed, 28 Mar 2018 05:00:59 -0700 (PDT)

Тоест толкова се бяха защитили че чак не приемат и информация за атаките от съвестни граждани като мен !

Хмм !