====== Security ======
* [[http://mypermissions.com/|Do you know how many apps access your Personal Information Online?]]
* [[http://infowatch.lifehacker.ru/2014/09/21/kak-bystro-poteryat-biznes-ili-rabotu-oblachnye-xranilishha/|Как быстро потерять бизнес или работу: облачные хранилища]]
* [[lifehackeru>2014/10/14/uyazvimost-dropbox-proverte-vse-li-vashi-fajly-na-meste-pryamo-sejchas/|Уязвимость Dropbox]], вследствие которой у многих из 275 миллионов пользователей долгое время пропадали файлы из их хранилищ
* [[habrahabr>265051|Атака на архиваторы. Скрываемся в одном архиве от трёх программ]]
* [[habrahabr>267983|Критическая (?) уязвимость WinRAR]]
* [[habrahabr>266501|Уязвимости прошивки беспроводных дисков Seagate позволяют удаленно загружать и скачивать файлы]]
* [[habrahabr>266717|Исследование: Почти все популярные межсетевые экраны пропускают XSS-атаки]]
* [[wp>Port knocking]] -- a method of externally opening ports on a firewall by generating a connection attempt on a set of prespecified closed ports. See also [[archlinux>Port Knocking]].
* [[habrahabr>245885|Программа для определения самых опасных уязвимостей]] -- тех, для которых есть эксплойты в общедоступных базах данных, включая Rapid7 и exploit-db
* [[http://42.tut.by/448280|Пассажир смог установить контроль над системами самолёта при помощи ноутбука и кабеля]]
* [[habrahabr>265187|Карьера в информационной безопасности]]
* [[habrahabr>306336|Навыки и требования к специалистам по информационной безопасности]]
* [[habrahabr>265757|Как я сдавал OSCP (Offensive Security Certified Professional)]]
* [[habrahabr>267475|Как обойти экран блокировки в iOS 9 + Siri, не зная пароль]]
* [[habrahabr>267871|Зонд для слежки за дронами: Разоблачаем сенсацию]]
* [[habrahabr>267947|DDoS-атаки и электронная коммерция: современные подходы к защите]]
* [[habrahabr>268275|Почему Интернету нужен IPFS, пока ещё не поздно]]
* [[habrahabr>274855|Опасное видео: как я нашёл уязвимость в видеохостингах]]
* [[habrahabr>147769|В Англии ты можешь попасть за решётку за хранение шума]]
* [[http://seclists.org/fulldisclosure/2016/Jan/28|Linux user namespaces overlayfs local root]]
* [[habrahabr>275543|В ядре Linux обнаружили уязвимость, позволяющую получить права суперпользователя]]
* [[habrahabr>275947|Служба поддержки клиентов = бэкдор от Amazon]]
* [[habrahabr>274533|Деанонимизация программиста возможна не только через исходный код, но и через скомпилированный бинарный файл]]
* [[habrahabr>304926|Машинное обучение вместо DPI (deep packet inspection). Строим классификатор трафика с помощью Random Forest]] -- идентификация используемых протоколов прикладного уровня в тех условиях, когда полезная нагрузка зашифрована
* [[habrahabr>270387|АНБ признало возможность использования эксплойтов нулевого дня для кибератак]]
* [[http://www.headlines.ru/go.php?aHR0cDovL3d3dy5vcGVubmV0LnJ1L29wZW5uZXdzL2FydC5zaHRtbD9udW09NDM1OTY=|Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров]]
* [[habrahabr>304842|Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows]] путём подмены WPAD через протокол NBNS NBSTAT.
==== Wireless / WiFi ====
* [[http://42.tut.by/423183|Эксперимент. Как мы похищали личные данные при помощи бесплатного Wi-Fi в кафе]]
* [[habrahabr>264647|Светофоры тоже можно взломать]]
* [[habrahabr>254877|GPS: глушилки, спуфинг и уязвимости]]
* [[SourceForge>blueproximity/|BlueProximity]] -- secure your desktop by automatically locking and unlocking the screen when you and your bluetooth-enabled phone leave/enter the desk.
* [[https://42.tut.by/564928|Глобальный взлом протокола WiFi WPA2: как защитить свои устройства]]
==== Crypto ====
* [[habrahabr>248269|Встраиваем бэкдор в публичный ключ RSA]]
* [[http://www.tecmint.com/disk-encryption-in-linux/|How to Setup Encrypted Filesystems and Swap Space Using "Cryptsetup" Tool in Linux]]
* [[https://facebook.github.io/conceal/|Conceal]] provides a set of easy to use APIs for performing fast encryption and authentication of data
* [[habrahabr>272935|Знакомьтесь: Хеш-стеганография. Очень медленная, но совершенно секретная]]
* [[https://bits-please.blogspot.nl/2016/06/extracting-qualcomms-keymaster-keys.html|Extracting Qualcomm's KeyMaster keys: breaking Android full disk encryption]] -- also explains Apple encryption approach
* [[habrahabr>487748|Аппаратный ключ шифрования за 3$ — возможно ли это?]]
==== Hacking ====
* [[habrahabr>252991|Как получить статус суперпользователя с помощью уязвимости DRAM: Техника Rowhammer]]
* [[http://www.linux.org.ru/news/security/10654385|В подсистеме ptrace ядра Linux обнаружена уязвимость, позволяющая поднять свои привилегии в системе]]
* [[http://www.viva64.com/ru/b/0299/|PVS-Studio покопался во внутренностях Linux]]
* [[habrahabr>199130|Ломаем iOS-приложение! Часть 2]]
* [[habrahabr>276949|Расшифровка обновлений одного популярного сотового модема: метод Дмитрия Склярова]]
===== Communication =====
* [[http://security-corp.org/infosecurity/24329-skrytye-kamery-iih-obnaruzhenie-zhuchki-lokpiking-klonirovanie-klyuchey-rfid-imagnitnyh-kart.html|Скрытые камеры и их обнаружение, жучки, локпикинг, клонирование ключей, RFID и магнитных карт]]
* [[googleplay>com.opera.vpn|Opera VPN]]
Safer alternatives for Skype:
* [[habrahabr>242535|Ricochet — анонимный бессерверный протокол передачи мгновенных сообщений через точки встреч Tor («rendezvous points»)]]
* [[lifehackeru>2014/10/04/bleep-bezopasnyj-messendzher-ot-bittorrent-s-bolshimi-ambiciyami|Bleep — безопасный мессенджер от BitTorrent с большими амбициями]] -- для обмена данными используется одноранговая децентрализованная P2P-сеть
* [[lifehackeru>2014/10/13/edvard-snouden-silent-circle|Эдвард Сноуден рекомендует Silent Circle]] -- сеть обмена информацией, в том числе телефонными звонками и текстовыми сообщениями
* [[habrahabr>271455|Как вести секретную переписку в мире, где за вами постоянно следят: методы Эдварда Сноудена. Часть 2]]
* [[lifehackeru>2014/11/21/oneone|Oneone — самый безопасный мессенджер для iOS и Android]]
* [[habrahabr>272937|Почему ваш любимый мессенджер должен умереть]]
=== Mobile ===
* [[habrahabr>265457|Защита переговоров. Антижучки и индикаторы поля]]
* [[habrahabr>204998/|АНБ отслеживает местоположение мобильных телефонов по всему миру]] (см. т.ж. ссылки в разделе //Похожие публикации//)
* [[habrahabr>202040|Погрешности сенсоров позволяют сопоставить с каждым смартфоном индивидуальный «отпечаток»]]
* [[habrahabr>246855|Bluetooth и другие способы взлома наручников]] -- наручные Bluetooth браслеты позволяют следить за перемещениями пользователя, а также за его здоровьем, без его ведома; потенциальные грабители могут узнать, находитесь ли вы в квартире, или даже -- насколько крепко вы спите в данный момент
* [[habrahabr>268789|HackedSim. Звонок с любого номера — вымысел или реальность?]]
===== Authentication =====
* [[http://static.usenix.org/events/usenix99/provos/provos_html/|A Future-Adaptable Password Scheme]]
* [[habrahabr>261331|Что может быть эффективнее атаки по словарю?]]
* [[habrahabr>127384|Настройка беспарольной аутентификации с помощью альтернативных методов в Linux]]
* [[habrahabr>256671|Ваш пароль слишком короткий!]]
==== Two-factor authentication ====
* [[lifehacker>5938565/heres-everywhere-you-should-enable-two+factor-authentication-right-now|Everywhere You Should Enable Two-Factor Authentication Right Now]]
* [[wp>Time-based One-time Password Algorithm]] (TOTP)
* [[googleplay>com.google.android.apps.authenticator2|Google Authenticator]]
* [[googleplay>com.authy.authy|Authy]]
* [[https://fedorahosted.org/freeotp/|FreeOTP]]
* [[wp>HMAC-based One-time Password Algorithm]] (HOTP)
* [[https://www.yubico.com/products/yubikey-hardware/yubikey-2/|YubiKey]] -- supports NFC
* [[http://sk.plug-up.com/|Security key by plug-up]]
* [[ssh#how_to_setup_two-step_verification|How to setup two-factor authentication for SSH via PAM]]
* [[habrahabr>276865|Привязка дополнительных одноразовых паролей к окну входа Windows]]
* [[habrahabr>256579|Двухэтапная аутентификация в браузере с помощью USB-токена U2F]]
* [[habrahabr>276967|Аппаратный менеджер паролей или как перестать вводить пароли и начать жить]]
* [[https://www.esev.com/blog/post/2015-01-pgp-ssh-key-on-yubikey-neo/|PGP and SSH keys on a Yubikey NEO]], [[https://www.isi.edu/~calvin/yubikeyssh.htm|yubikey and ssh authentication]] -- using Yubikey as PGP key storage. Note that it isn't possible to take an existing SSH keypair and import the private key to Yubikey, but GPG authentication subkey can be exported as an SSH key.
* [[github>dlech/KeeAgent/issues/176#issuecomment-278403889|Cygwin socket setup]] explains how to tune GIT+SSH+KeeAgent
* [[github>dlech/KeeAgent/issues/159|Integration with bash on Windows 10 preview]] explains how to bridge Cygwin socket with Unix socket
===== [[wp>Spectre (security vulnerability)|Spectre]] and [[wp>Meltdown (security vulnerability)|Meltdown]] attacks =====
* According to [[https://www.anandtech.com/show/12533/intel-spectre-meltdown|information from Intel]], hardware fixes for Meltdown & Spectre v2 are provided in Cannon Lake & Cascade Lake (8th generation) processors.
* [[https://www.cyberciti.biz/faq/install-update-intel-microcode-firmware-linux/|How to install/update Intel microcode firmware on Linux]]
* [[debian>Microcode|Microcode in Debian]]
* To list all applicable / compatible microcodes run:
# iucode-tool -S -l /lib/firmware/intel-ucode
iucode-tool: system has processor(s) with signature 0x000006e8
...
selected microcodes:
110/001: sig 0x000006e8, pf_mask 0x20, 2005-11-15, rev 0x0039, size 4096
059/001: sig 0x000006ec, pf_mask 0x80, 2006-09-12, rev 0x0059, size 4096
059/002: sig 0x000006ec, pf_mask 0x20, 2006-05-01, rev 0x0054, size 4096
===== NFC-платежи =====
* [[habrahabr>202738|Как мы превратили телефон в банковскую карту]] -- про платежные карты, NFC-телефоны, [[wp>Trusted Service Manager]]
* [[https://sohabr.net/gt/post/245342/|NFC-платежи в картинках: от пластиковых карт к «облаку»]]
* [[http://mediapure.ru/matchast/chto-takoe-nfc-i-kak-etim-polzovatsya-chast-2/|Что такое NFC и как этим пользоваться?]]
* [[habrahabr>250369|Эмуляция банковской карты на телефоне]]
* [[http://geektimes.ru/post/142861/|Служба TSM для управления NFC приложениями на SIM]]
===== HTML =====
* [[habrahabr>243055|Свой tor2web-сервис при помощи Nginx и Lua]]
* [[habrahabr>150439|Уязвимости на web портале]] -- описывает //Cross-site scripting//, //Content and character set sniffing//, //Clickjacking//
* [[habrahabr>259887|Топ-3 частых ошибок, обнаруженных при аудите безопасности сайта]]
* [[habrahabr>259427|Вирусдай — антивирус для сайтов]]
* [[habrahabr>262251|Немного о защите идентификаторов веб-сессий]]
===== SSL =====
* [[https://www.ssllabs.com/ssltest/analyze.html|SSL Server Test]]
* [[http://ssl-checker.online-domain-tools.com/|TLS & SSL Checker]]
* [[https://badssl.com/|Browser/client checker]]
* [[https://docs.oracle.com/javase/10/security/oracle-providers.htm#GUID-7093246A-31A3-4304-AC5F-5FB6400405E2__CIPHERSUITESSUPPORTEDBYSUNJSSE-29E460FE|List of ciphers supported by Java v6...v9]], [[https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SupportedCipherSuites|List of ciphers supported by Java v4..v8]]
* [[habrahabr>213525|Адам Лэнгли объяснил причины SSL бага в iOS: лишняя строчка кода поломала всю безопасность]]
* [[habrahabr>218713|Справочник по уязвимости OpenSSL Heartbleed]]
* [[habrahabr>247527|Padding Oracle Attack или почему криптография пугает]]
* [[https://www.sindark.com/2009/02/21/the-ssl-strip-exploit/|The "SSL strip" exploit]]
The tool – called ‘SSL strip’ – is based around a man-in-the-middle attack, where the system for redirecting people from the insecure to the secure version of a web page is abused. By acting as a man-in-the-middle, the attacker can compromise any information sent between the user and the supposedly secure webpage. The author of the exploit claims to have used it to steal data from PayPal, GMail, Tickermaster, and Facebook – including sixteen credit card numbers and control of more than 100 email accounts.
This kind of vulnerability has always existed with SSL because it is difficult to be certain about where the endpoints of communication lie. Rather than having a secure end-to-end connection between Amazon and you, there might be a secure connection between you and an attacker (who can read everything you do in the clear), and then a second secure connection between the attacker and Amazon.
* [[https://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html|Man-in-the-Middle Attacks Against SSL]]
* [[http://privacy-pc.com/articles/web-application-hacking-5-tools-for-decrypting-ssl-and-tls-traffic.html|Web Application Hacking 5: Tools for Decrypting SSL and TLS Traffic ]]
* [[stackoverflow>14907581|SSL and man-in-the-middle misunderstanding]]
* [[youtube>ibF36Yyeehw|DEFCON 17: More Tricks For Defeating SSL (2011)]]
* [[http://www.thoughtcrime.org/software.html|Download sslstrip and other utilities for hackers]]
* [[habrahabr>267069|Новый способ MITM-атаки на протокол TLS делает злоумышленника незаметным]]
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA
TLS_DH_RSA_WITH_AES_128_CBC_SHA
TLS_DH_DSS_WITH_AES_256_CBC_SHA
TLS_DH_RSA_WITH_AES_256_CBC_SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA256
TLS_DH_RSA_WITH_AES_128_CBC_SHA256
TLS_DH_DSS_WITH_AES_256_CBC_SHA256
TLS_DH_RSA_WITH_AES_256_CBC_SHA256
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_DSS_WITH_SEED_CBC_SHA
TLS_DH_RSA_WITH_SEED_CBC_SHA
TLS_DH_RSA_WITH_AES_128_GCM_SHA256
TLS_DH_RSA_WITH_AES_256_GCM_SHA384
TLS_DH_DSS_WITH_AES_128_GCM_SHA256
TLS_DH_DSS_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_NULL_SHA
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDH_RSA_WITH_NULL_SHA
TLS_ECDH_RSA_WITH_RC4_128_SHA
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
* [[http://www.ieee-security.org/TC/SP2013/papers/4977a526.pdf|Lucky Thirteen: Breaking the TLS and DTLS Record Protocols]] by Nadhem J. AlFardan and Kenneth G. Paterson (2013)
* [[https://www.opennet.ru/opennews/art.shtml?num=43390|В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS]]
* [[habrahabr>267583|Symantec самовольно выпустил сертификат для google.com и www.google.com]]
* [[habrahabr>253521|Как расшифровать TLS-трафик от браузера в Wireshark]] с использованием пользовательской переменной ''SSLKEYLOGFILE''.
* [[habrahabr>261301|Анализ SSL/TLS трафика в Wireshark]] используя секретный ключ сервера
* [[habrahabr>257163|Ошибка в коде AFNetworking позволяет перехватывать HTTPS трафик пользователей]]
* [[habrahabr>278335|Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик]]
* [[habrahabr>275335|Что веб-разработчикам следует знать о SSL]]
* [[https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html|Chrome is added encryption algorithms, resistant to hacking on quantum computers]]
* [[habrahabr>275137|В OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777]]
* [[https://www.debian.org/security/2008/dsa-1571|DSA-1571-1 openssl – predictable random number generator]]
* [[stackoverflowa>27855045/267197|RSA / DSA security notes]]
Solutions:
* [[mozilla>Security/Server_Side_TLS|Server Side TLS]] -- recommended configurations for Apache.
* [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|Mozilla SSL Configuration Generator]]
* [[http://security.stackexchange.com/a/6444|How would one fully protect himself against man in the middle-attacks?]]
* [[https://www.owasp.org/images/4/4b/OWASP_defending-MITMA_APAC2012.pdf|Securing the SSL/TLS channel against man-in-the-middle attacks: Future technologies – HTTP Strict Transport Security and Pinning of Certs]] by Tobias Gondrom (2012)
* [[https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning|Certificate and Public Key Pinning]]
* [[http://nelenkov.blogspot.nl/2012/12/certificate-pinning-in-android-42.html|Certificate pinning in Android 4.2]]
* [[http://blog.stalkr.net/2011/08/hsts-preloading-public-key-pinning-and.html|HSTS preloading, public key pinning and Chrome]]
* [[mozilla>SecurityEngineering/Public_Key_Pinning|Public Key Pinning in Firefox v32+]]
* [[https://www.us-cert.gov/ncas/alerts/TA15-120A|Securing End-to-End Communications]]
* [[habrahabr>258673|Выбор ciphersuites для TLS и уязвимость Logjam. Опыт Яндекса]]
* [[http://www.linux.org.ru/news/google/11486934|В новой версии Google Chrome будут помечаться небезопасными SSL-сертификаты, использующие алгоритм SHA-1]], в зависимости от его даты выдачи.
* [[http://www.certificate-transparency.org/what-is-ct|What is Certificate Transparency?]]
* [[https://support.mozilla.org/en-US/questions/853674#answer-220682|Clear all exceptions made earlier to untrusted sites]]
==== SSL Certificate Authorities ====
* [[https://letsencrypt.org/how-it-works/|Let's Encrypt]] offers a 90-days trial SSL certificate for free
* Install ''[[github>do-know/Crypt-LE|Crypt::LE]]'' dependencies: \\
''apt-get install libcrypt-openssl-rsa-perl libconvert-asn1-perl libjson-maybexs-perl liblog-log4perl-perl''
* Install dependencies needed to build the library: \\
''apg-get install libmodule-build-perl''
* Build the library: \\
''cpan -i Crypt::LE''
* Generate account key (if absent) and register it: \\
''%%le.pl --key account.key --update-contacts "one@email.address,another@email.address" --generate-missing%%''
* Generate certificate: \\
''%%le.pl --key account.key --csr domain.csr --csr-key domain.key --crt domain.crt --domains "www.domain.ext,domain.ext" --path /var/www/.well-known/acme-challenge --unlink --live%%''
* Renew certificate: \\
''%%le.pl --key account.key --csr domain.csr --csr-key domain.key --crt domain.crt --domains "www.domain.ext,domain.ext" --path /var/www/.well-known/acme-challenge --unlink --live --renew 20 && echo "Time to update the certificate file and reload the server"%%''
2017/10/11 20:09:21 [ ZeroSSL Crypt::LE client v0.27 started. ]
2017/10/11 20:09:21 Loading an account key from account.key
2017/10/11 20:09:21 Loading a CSR from domain.csr
2017/10/11 20:09:21 Registering the account key
2017/10/11 20:09:22 The key has been successfully registered. ID: 1031216
2017/10/11 20:09:22 Make sure to check TOS at https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf
2017/10/11 20:09:24 Successfully saved a challenge file '/var/www/.well-known/acme-challenge/gzbKv6yOK8anw-hxVmCK-aKTEXrxcdJtJ569v0BcM7M' for domain 'www.domain.ext'
2017/10/11 20:09:27 Domain verification results for 'www.domain.ext': success.
2017/10/11 20:09:27 Challenge file '/var/www/.well-known/acme-challenge/gzbKv6yOK8anw-hxVmCK-aKTEXrxcdJtJ569v0BcM7M' has been deleted.
2017/10/11 20:09:27 Requesting domain certificate.
2017/10/11 20:09:27 Requesting issuer's certificate.
2017/10/11 20:09:27 Saving the full certificate chain to domain.crt.
2017/10/11 20:09:27 The job is done, enjoy your certificate! For feedback and bug reports contact us at [ https://ZeroSSL.com | https://Do-Know.com ]
* [[https://www.globalsign.com/en/ssl/ssl-open-source/|GlobalSign]] offers SSL certificate for free for OpenSource project
* [[https://www.namecheap.com/security/ssl-certificates.aspx|NameCheap / Comodo]] offers SSL certificate for $7.50/year
* [[https://sslmate.com/|SSLMate]] offers SSL certificate for $16/year
* [[habrahabr>249529|Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов]] -- [[https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/|New WoSign and StartCom certificates are distrusted]] if issued after 21.10.2016 starting from Firefox 51 (see [[wp>StartCom]] for more information related to other browsers). To add back support to Firefox download [[https://www.startcomca.com/certs/online2017/StartComCertificationAuthorityG3.cacert.pem|root CA certificate]]((All certificates are listed [[https://www.startcomca.com/root|here]])) and install it to Firefox (//Options -> Advanced -> Certificates tab -> View Certificates -> Authorities tab -> Import//).
===== [[wp>KeePass|KeePass]] =====
* [[http://keepass.info/help/base/fieldrefs.html|Field References]] e.g. ''{REF:P@I:6AC5CFD4BFA2114AB1B10B9DBC9B1122}'' but be aware of [[https://forum.kee.pm/t/placeholder-handling/1100/6|security issue]].
* [[http://keepass.info/help/base/autourl.html|URL Field Capabilities]] e.g. ''%%cmd://{%Applications%}\VncViewer\tvnviewer.exe centurion:5901 -password={PASSWORD}%%''
* [[habrahabr>303894|Настраиваем URL Overrides в Keepass2]]
* [[http://techualization.blogspot.de/2013/09/introducing-browsepass-keepass-on-web.html|BrowsePass]] -- pure JavaScript addon that can read KeePass DB
* [[habrahabr>269895|Как я делал веб-версию KeePass]]
* [[http://arstechnica.com/security/2015/11/hacking-tool-swipes-encrypted-credentials-from-password-manager/|Hacking tool steels encrypted credentials from KeePass password manager]]
* [[https://defcon.ru/penetration-testing/3353/|KeePass под прицелом]]
* [[habrahabr>334060|Простейший кейлоггер и безопасность в KeePass]]
===== [[wp>Pretty Good Privacy|PGP]] =====
* [[superuser>13164|What is better for GPG keys – RSA or DSA?]]
* [[https://alexcabal.com/creating-the-perfect-gpg-keypair/|Creating the perfect GPG keypair]], [[https://www.void.gr/kargig/blog/2013/12/02/creating-a-new-gpg-key-with-subkeys/|Creating a new GPG key with subkeys]], [[http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/|Creating a new GPG key]]
* [[https://www.gnupg.org/faq/subkey-cross-certify.html|Signing Subkey Cross-Certification]] -- explains how master key and sub keys are cross-certified
* [[wp>Acoustic cryptanalysis]]
* [[http://www.tau.ac.il/~tromer/acoustic/|RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis]]
* [[github>stealth/opmsg|opmsg]] -- a replacement for GPG with [[wp>Forward_secrecy|Perfect Forward Secrecy]] support.
* [[https://blog.cryptographyengineering.com/2014/08/13/whats-matter-with-pgp/|It’s time for PGP to die]]
* [[https://www.mailpile.is/blog/2014-11-21_To_PGP_MIME_Or_Not.html|To PGP/MIME or not to PGP/MIME]]
* [[https://efail.de/|EFAIL: Critical S/MIME bugs that could reveal plaintext of encrypted emails]], [[youtube>O0IVgY2rFC0|Thunderbird exploit]]
* :WARN: The victim’s email client decrypts the email and loads any external content, thus exposing the plaintext to the attacker
* :IDEA: Disable HTML rendering.
* [[https://dl.dropboxusercontent.com/content_link_zip/ulzreJRpR0PQRPXPkGPBakpw6CD78GmPdvpg3wHYXuC3EPJXbCOilI7nto4SWYHe|GPG v2.0.26 / libgcrypt v1.6.1 minimalistic version]]
* [[https://dl.dropboxusercontent.com/content_link_zip/6Ovv6IugNQ3G34pRS9T4JsFr9TNkhNUyvri2sdZkTjZ7D3AP85WNAkkptt85EGbi|GPG v1.4.18 minimalistic version]]
=== How to force GPG to read passphrase from console? ===
It should be mentioned that this extra security measure was implemented in GPGv2 to be sure that user input is not intercepted. From [[https://bugzilla.redhat.com/show_bug.cgi?id=662770#c8|maillist]]:
It should be noted however that such behaviour trades convenience for security. That is because an X window provided by GTK/QT pinentries is able to grab input globally, whereas pinentry-curses is not. It would be therefore possible for a malicious application to hijack and record passphrase being given to pinentry curses in X terminal.
To disable the pinentry GUI window:
* [[http://dfspspirit.wordpress.com/2014/07/18/disable-the-pinentry-gui-window-for-ssh-svnssh-gpg-under-linux/|Disable the pinentry GUI window]]:
export PINENTRY_USER_DATA="USE_CURSES=1"
unset GPG_AGENT_INFO
* [[http://askubuntu.com/questions/424178|Use gpg2 without GUI asking for passphrase]] and [[https://dilawarnotes.wordpress.com/2013/02/13/disable-gpg-gui-asking-for-paraphrase/|Disable gpg GUI asking for paraphrase]] (requires ''pinentry-curses'' package installed):
pinentry-program /usr/bin/pinentry-curses
Alternatively one can download GPGv1 CLI from [[ftp://ftp.gnupg.org/gcrypt/binary/|this FTP site]] (e.g. [[ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.18.exe|gnupg-w32cli-1.4.18.exe]]).
See also [[https://www.mailpile.is/blog/2015-02-26_Revisiting_the_GnuPG_discussion.html|GPG key management operations via the agent considerations]].
=== GPG agent log entries ===
In cron log the following shows up on every opened SSH session:
systemd[10575]: Closed GnuPG network certificate management daemon.
systemd[10575]: Closed GnuPG cryptographic agent (access for web browsers).
systemd[10575]: Closed GnuPG cryptographic agent and passphrase cache (restricted).
systemd[10575]: Closed GnuPG cryptographic agent (ssh-agent emulation).
systemd[10575]: Stopped target Timers.
systemd[10575]: Closed GnuPG cryptographic agent and passphrase cache.
Use the following command to disable GPG agent (taken from [[debiantracker>850982#50|bug#850982]]):
''%%systemctl --global mask --now gpg-agent.service gpg-agent.socket gpg-agent-ssh.socket gpg-agent-extra.socket gpg-agent-browser.socket%%''
See also ''/usr/share/doc/gnupg-agent/README.Debian''.
===== [[wp>Portable Document Format|PDF]] =====
=== [[https://askubuntu.com/q/147379/164142|How to digitally sign PDF?]] ===
From [[https://nhs.io/pdf/#signing|Digitally signing PDF files]]:
* Convert PEM certificate to PFX format: \\
''openssl pkcs12 -export -in cert.pem -out cert.pfx''
* Download [[http://portablesigner.sourceforge.net/|PortableSigner]]
* Download [[http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html|Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files for Java8]] ([[http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html|here for Java7]]) and unpack JARs to ''jre\lib\security\''.
* :OPT: Merge all JARs into one uberjar. As [[stackoverflowa>13726570/267197|JCE provider JARs must be signed]], all the following to ''jre\lib\security\java.security'' (ordering may vary): \\
security.provider.11=org.bouncycastle.jce.provider.BouncyCastleProvider
otherwise execution will fail with the following message:
Error reading certificate (wrong password)
error constructing MAC: java.lang.SecurityException: JCE cannot authenticate the provider BC
Error creating keystore
error constructing MAC: java.lang.SecurityException: JCE cannot authenticate the provider BC
* Run \\
''%%java -jar PortableSigner.jar -n -t input.pdf -o output.pdf -s cert.pfx -p secret_password -c "Final revision" -r "Approved for publication" -l "Department of public relations"%%''
Alternatively one can use [[http://vmiklos.hu/blog/pdf-sign.html|LibreOffice]] v5.3 or higher:
* LibreOffice uses Firefox or Thunderbird profile to lookup for personal certificates, see [[https://help.libreoffice.org/Common/Applying_Digital_Signatures|Applying Digital Signatures]] concerning how to import one.
* Choose //File -> Digital Signatures -> Sign Existing PDF//, select PDF, then click on //Sign Document// on appeared notice message.
* Click on //Sign Document//, click //Sign Document...// in the bottom of the dialog, select certificate, click //OK//. Click //Close// to close //Digital signatures// dialog -- PDF document is written back.
See also:
* [[stackoverflowa>1726543/267197|Adobe Root CA is the only CA that is trusted by Adobe Reader out of the box. Any alternative where to get trusted certificate from?]]
===== Kaspersky antivirus =====
* [[habrahabr>228427|Волшебная формула или как «отделить зёрна от плевел» при выявлении конкретной угрозы]]
* [[habrahabr>260269|Самозащита антивирусов]]
* [[http://42.tut.by/460415|"Антивирус Касперского" обвинили в подделке вирусов ради мести конкурентам]]
* [[https://sbhack.ru/threads/kaspersky-kav-kis-crystal-voprosy-reshenija-kljuchi.23/|Свежие ключи для касперского]]
Mentioned also in: {{topic>Kaspersky}}
=== How to disable notification about registration? ===
From [[http://forum.kaspersky.com/index.php?showtopic=297478#entry2260774|Напоминание о регистрации]]:
Run one of the reg files below with [[youtube>hX665IJSlWg|self-protection off]] and then reboot:
For 64-bit systems:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP14.0.0\OlaFormScheduler]
"enabled"=dword:0
For 32-bit systems:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP14.0.0\OlaFormScheduler]
"enabled"=dword:0
=== [[https://support.kaspersky.com/general/activationerrors/10990|Activation code is invalid for this region]] ===
Solution:
* [[youtube>EPT0gE0Xcvg|Активация Kaspersky через прокси]] using valid key and [[https://hidemy.name/ru/proxy-list/?country=RU#list|proxy list]] ([[http://free-proxy.cz|another list]], [[https://free-proxy-list.net|another list]]). Before using check that proxy really supports HTTPS -- for that create a list of proxies with host and IP in first two columns and run the following script to check how reliable is the proxy:
for c in `seq 1 10`
do
cat proxy_list.txt | while read host port other
do
https_proxy=http://$host:$port wget -q --tries=1 --timeout=3 -O /dev/null https://www.tut.by && echo "OK $host:$port"
done | sort
done
* [[youtube>2Ep04eSJeOo|Код активации не подходит для этого региона]] -- substituting external IP using [[https://www.softether.org/3-screens/2.vpnclient|SoftEther VPN Client]].
\\
\\
{{keepass_80x15.png}}
{{tag>security SSL POODLE BEAST CRIME PGP SSH Yubikey WiFi Kaspersky machine_learning}}