Технологии безопасности

Сайт посвященный вопросам безопасности

Смарт-карты. Часть 2. APDU

Привет Гиктаймс!

После общей информации, описанной в первой части, сегодня поговорим об APDU в формате, описанном в стандарте ISO7816-4.

APDU (application protocol data unit) — это формат общения карты и терминала. Терминал посылает Command APDU (C-APDU), а карта отвечает с Response APDU (R-APDU).

C-APDU

Формат C-APDU таков:

Header
Body

CLA INS P1 P2
[Lc field] [Data field] [Le field]

Каждый элемент заголовка (header) сохранен на одном байте и является обязательным. К заголовку вернемся чуть позже, сейчас поговорим о body команды.

Элементы body следующие:

Lc: длина элемента Data в байтах.
Data: данные команды.
Le: ожидаемая длина данных ответа в байтах, исключая длину Status Word.

Lc и Le, если присутствуют, могут занимать 1 (Short Length) или 3 байта (Extended Length) каждый. При Short Length кодируются значения от 1 до 256. Длина данных на 256 байтов записывается как «00». При Extended Length кодируются значения от 1 до 65536. Первый байт всегда «00» и остальные 2 байта — номер в формате Big Endian. Когда Lc или Le — «00 00 00», то длина данных — 65536 байтов.

В зависимости от присутствия или отсутствия элементы body команды можно разделить на 4 категории:

Case 1: Body полностью отсутсвует, то есть команда не содержит в себе никаких данных и не ожидается получение каких либо данных от карты при ответе.
Case 2: В body присутствует только Le, то есть команда не содержит в себе никаких данных, но при этом ожидается получение данных от карты.
Case 3: В body присутствуют Lc и Data, то есть команда содержит в себе данные, но при этом не ожидается получение данных от карты.
Case 4: В body присутствуют все элементы, а значит команда содержит в себе данные и ожидается получение данных от карты.

Continue reading

Создатель Silk Road приговорён к пожизненному заключению

Создатель Silk Road приговорён к пожизненному заключению — 1Создатель Silk Road приговорён к пожизненному заключению — 1
Росс Ульбрихт / фото Yoni Heisler

Росс Ульбрихт, создатель и администратор печально знаменитого сайта Silk Road, вчера был приговорён судом к пожизненному заключению. Минимальный срок, на который он мог рассчитывать в качестве крупного торговца наркотиками – 20 лет. Но он был признан виновным по семи пунктам обвинения, в числе которых как торговля наркотиками, так и отмывание денег.

Кроме работы сайта, Ульбрихта обвиняют в попытке нанять киллера, чтобы «убрать» одного из своих сотрудников, которого Ульбрихт подозревал в краже средств магазина. Но «наёмный убийца» оказался агентом ФБР. Это обвинение ещё будет рассмотрено судом.

Сторона обвинения сразу настаивала большом сроке, будучи убеждена, что обвиняемый не «выказал понимания ответственности и раскаяния за содеянное». Из Ульбрихта им необходимо было сделать назидательный пример. В результате срок, назначенный судьёй, даже превысил ожидания обвинения.
Continue reading

ООН причислил шифрование и анонимность в интернете к правам человека

ООН причислил шифрование и анонимность в интернете к правам человека — 1ООН причислил шифрование и анонимность в интернете к правам человека — 1

В четверг Совет по правам человека Организации объединённых наций представил отчёт заседания, посвящённого анонимности и шифрованию в интернете. Главный вывод документа: возможность анонимного пользования интернетом и использование шифрования личных данных и средств коммуникации необходимы и должны расцениваться как часть прав человека.

Средства анонимизации и шифрования были названы «необходимыми для того, чтобы человек был свободен в выражении своего мнения в цифровую эпоху». В документе отмечается, что хотя такие средства и могут использоваться злоумышленниками для совершения преступлений, тот же самый телефон можно использовать как для того, чтобы замыслить злодеяние, так и для сообщений в полицию.

Если принимать запреты на шифрование и анонимность в угоду тем, кто борется с маргинальным меньшинством – террористами и злоумышленниками, будут нарушены права гораздо большего числа людей. Журналисты, общественные организации, члены этнических и религиозных групп, активисты, студенты, художники и другие люди, которые могут подвергаться различным необоснованным преследованиям и гонениям, могут оказаться в крайне уязвимом положении. Да и обычные граждане вправе рассчитывать на то, что их данные в безопасности, а их письма не читает никто, кроме непосредственных адресатов.

Различные агентства и главы государств неоднократно высказывались в том ключе, что современные средства шифрования позволяют террористам и преступникам уходить от ответственности и затрудняют работу спецслужб.
Continue reading

Как мы не даём кардерам получать посылки, купленные на чужие кредитки

Вокруг любой сферы услуг крутятся недобросовестные товарищи, которые хотят нажиться на честных людях. Возможно, в комедиях про аферистов (вроде «Поймай меня, если сможешь» или недавнего «Фокуса» с Уиллом Смитом) это выглядит забавно и романтично.

Как мы не даём кардерам получать посылки, купленные на чужие кредитки — 1Как мы не даём кардерам получать посылки, купленные на чужие кредитки — 1

Но в реальной жизни вряд-ли кому-то понравится, если его карточкой оплатят три летающих дрона за 3500 долларов, несколько дорогих сумок и 8 штук iPhone 6 Plus по 128 гигабайт.
Continue reading

Как выключить чужой iPhone через SMS

Как выключить чужой iPhone через SMS — 1Как выключить чужой iPhone через SMS — 1

Новую уязвимость в операционной системе от Apple раскопали вчера пользователи Reddit. Составленная из определённых Unicode-символов строчка, будучи отправленной в виде SMS на любое устройство от Apple, вызывает падение операционной системы.

Функция, отвечающая за показ арабского текста, некорректно обрабатывает ситуацию с показом пришедшего сообщения на экране блокировки. Она показывает только часть сообщения, а оставшийся текст заменяет на многоточие. Если многоточие попадает между двумя символами не из латиницы, приложение падает так сильно, что тянет за собой всю операционку.

Пока опытные пользователи нашли решение для того, как удалить злосчастное сообщение, при просмотре которого возникает проблема – нужно отправить в ответ на него любую картинку, а затем удалить диалог через iMessage. Также от неприятностей спасёт отключение уведомлений о пришедших сообщениях.
Continue reading

Из-за оплошности разработчика в сеть утекли гигабайты информации из игры Star Citizen

Из-за оплошности разработчика в сеть утекли гигабайты информации из игры Star Citizen — 1Из-за оплошности разработчика в сеть утекли гигабайты информации из игры Star Citizen — 1

В сеть утекло 48 Гб ресурсов из находящейся в разработке масштабной многопользовательской космической игры Star Citizen, которую разрабатывает компания Cloud Imperium Games. Поскольку игра работает на движке CryEngine, желающие могут загрузить ресурсы в движок и посмотреть на некоторые игровые детали.

Один из фанатов уже провёл эту операцию и выложил ролик с экскурсией по одному из кораблей в игре, Bengal Carrier. В ролике корабль расположен над живописным пейзажем и примечателен обилием мелких деталей. Заметно, что ещё не все текстуры готовы – вместо отсутствующих красуется надпись «замени меня» (replace me).

Continue reading

Китайцы придумали, как отслеживать людей в метро через акселерометры смартфонов

Китайцы придумали, как отслеживать людей в метро через акселерометры смартфонов — 1Китайцы придумали, как отслеживать людей в метро через акселерометры смартфонов — 1

Группа специалистов по компьютерной безопасности из Нанкинского университета в Китае придумала новый способ отслеживания смартфонов. Система работает при помощи встроенных акселерометров, и позволяет следить за смартфонами в метро, где не работает GPS и часто нет даже GSM-сигнала.

Опасность системы в том, что доступ к акселерометру для приложений, в отличие от GPS-приёмника, не защищён. Доступ к GPS давно расценивается как подозрительная активность, и некоторые телефоны предупреждают, если вдруг приложение захотело им воспользоваться. Но даже параноидальные владельцы телефонов, дающие приложениям минимум прав с помощью различных методов, вряд ли задумаются о возможной опасности, исходящей от акселерометра.

Меж тем, акселерометры в телефонах настолько чувствительны, что без труда отслеживают движение поезда в метро. На основании этих данных можно вычислить, куда именно отправился объект слежки. Можно следить за отдельными людьми, строить какие-либо взаимосвязи из передвижений людских масс. Для этого лишь требуется, чтобы на телефоне было установлено безвредное на вид приложение, по-тихому обращающееся к акселерометру.
Continue reading

Бытовой локпикинг: как сделать ключ к замку и снять наручники

Возможно, вы обращали внимание, что для вскрытия кодового замка домофона в подъезде не обязательно выдавать себя за почтальона или искать инженерные пароли — достаточно нажать три наиболее отполированные кнопки. В корпоративной среде ситуация похожа: компании расходуют немалые средства на информационную безопасность, но серверный шкаф с корпоративными тайнами запирают копеечным замком, который можно взломать скрепкой.

Бытовой локпикинг: как сделать ключ к замку и снять наручники — 1Бытовой локпикинг: как сделать ключ к замку и снять наручники — 1

На PHDays уже дважды выступали «крестные отцы» локпикинга и физической безопасности из организации TOOOL (The Open Organisation Of Lockpickers) — профессиональные медвежатники в белых шляпах и лучшие специалисты в мире по недостаткам различных типов замков. Их стол с отмычками и замками традиционно был одним из самых популярных на форуме и любой из участников имел возможность попробовать себя в роли взломщика.
Continue reading

Шпионы-фрилансеры ведут прослушку разговоров обычных людей в Нью-Йорке

Шпионы-фрилансеры ведут прослушку разговоров обычных людей в Нью-Йорке — 1Шпионы-фрилансеры ведут прослушку разговоров обычных людей в Нью-Йорке — 1

Сенат США принял ряд законодательных решений, которые могут привести к закрытию большинства программ NSA. Во всяком случае эта организация уже готовится к сворачиванию программ наблюдения и прослушки. Тем не менее, не все представители агентства готовы бросить свою работу и заняться чем-то иным.

В Нью-Йорке на днях объявилось «объединение шпионов-фрилансеров», ведущих прослушивание разгоров обычных людей в Нью-Йорке. Есть у этих товарищей и собственный ресурс — We Are Always Listening. Здесь собираются практически все записи разговоров людей, сделанные в барах, кофейнях, спортивных залах.
Continue reading

Министерство финансов США открыло доступ к бесплатным сервисам жителям Крыма

Министерство финансов США открыло доступ к бесплатным сервисам жителям Крыма — 1Министерство финансов США открыло доступ к бесплатным сервисам жителям Крыма — 1Министерство финансов США выпустило дополнение к указу президента США от 19 декабря 2014 года. Это самый последний из указов, ужесточавших санкции США против России в связи с присоединением Крыма.

В указе Обамы «О блокировании собственности определенных лиц и запрещении определенных транзакций в отношении Крымского региона Украины» был запрещён «экспорт, реэкспорт, продажу или поставку, прямо или опосредованно, любых товаров, услуг или технологий из Соединенных Штатов или лицом Соединенных Штатов, где бы оно ни находилось, в Крымский регион Украины». Введенное эмбарго касалось как американских товаров, так и интернет-услуг, программ и приложений — в том числе, бесплатных.
Continue reading