Pull to refresh

Хакеры научились расшифровывать PIN-коды

Information Security *
Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
Читать дальше →
Total votes 67: ↑64 and ↓3 +61
Views 4.3K
Comments 78

Установка и настройка центра сертификации EJBCA в Debian 6 с поддержкой LunaSA HSM

Information Security *
Sandbox
Tutorial
image image image

Как все настроить: пошаговая инструкция с пояснениями и мыслями вслух.

Решил поделится собственным опытом развертывания центра сертификации EJBCA в продакшн-системе. На Хабре уже есть хорошая обзорная статья по установке EJBCA, однако не всегда типовые конфигурации подходят для реальных нужд.
Когда же нужен центр сертификации (Certification Authority или CA) на предприятии? Нет нужды развертывать собственную инфраструктуру открытых ключей (PKI) если необходимо выпустить несколько SSL сертификатов для публичных веб-серверов. Более того, это крайне не рекомендуется, так как существует два варианта развития событий:
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 5.1K
Comments 4

Защищаем приватные ключи от кражи из VPS

Образовательные проекты JetBrains corporate blog Programming *
В начале каждого семестра студенты магистерской программы кафедры МиИТ Академического университета (СПб) и представители компаний-партнеров собираются вместе. Представители рассказывают о проектах, над которыми можно будет работать, а студенты выбирают их.

В одном из проектов, сделанных в Parallels Labs, наш студент исследовал возможность реализации виртуального Hardware Security Module (HSM). В результате он добавил свою реализацию VHSM в open-source проект OpenVZ. Подробнее о его решении читайте под катом.
Читать дальше
Total votes 18: ↑15 and ↓3 +12
Views 16K
Comments 19

Миграция на высокие скорости. Что выбрать?

CompTek corporate blog Network technologies *
Конкурентоспособность как отдельной компании, так и экономики страны в целом, все больше зависит от информационных технологий. Стремительно растут производительность процессоров, плотность серверов, виртуальных машин, емкость систем хранения… И, конечно, растут потребности в скорости передачи данных. И мало уметь обеспечивать только текущие потребности, важно смотреть вперед и понимать, к чему следует быть готовым завтра, наметив наиболее выгодный и гибкий путь миграции к более высоким скоростям. Чем быстрее развиваются технологии и приложения, тем сложнее решать эту задачу.

В центре цифровой трансформации находятся центры обработки данных (ЦОД). Текущие тенденции развития ЦОДов показывают, что потребность в пропускной способности их сетей будет ежегодно увеличиваться на 25-35%. Архитектура сети ЦОДа должна гарантировать обработку больших объемов трафика и, что не менее важно, масштабирование серверных, сетевых ресурсов и ресурсов систем хранения с наименьшим объемом отключений и переконфигураций.

Традиционная сетевая архитектура, основанная на трехуровневой топологии (доступ–агрегация–ядро), не отвечает новым требования. Она не способна обеспечить поддержку изменений в объемах и направлении передачи данных и адаптироваться к быстрому росту трафика между серверами (этот трафик часто называют «восток–запад»). Кроме того, она далеко не оптимальна для поддержки современных виртуализированных приложений, которым требуется низкая задержка передачи трафика. Поэтому наблюдается переход на новую архитектуру leaf-spine, которую часто называют «сетевой фабрикой».
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 4.5K
Comments 3

Облачные сервисы цифровых подписей

GlobalSign corporate blog Information Security *Cloud computing *API *


Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.

Казалось, что если документооборот электронный, то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота — тем больше документов она печатает. Ведь каждый документ нужно завизировать. Документ без подписи — это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.

Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 9.6K
Comments 12

Правильные ответы по криптографии: 2018 год

GlobalSign corporate blog Information Security *Website development *Cryptography *
Перевод статьи, автор – Latacora

В литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют использовать NOISE для разработки безопасного транспортного протокола с формированием общего ключа аутентификации (AKE). Говоря об AKE, есть около 30 различных парольных AKE на выбор.

Но если вы разработчик, а не криптограф, то не должны делать ничего такого. Следует придерживаться простых и обычных решений, которые легко поддаются анализу — «скучных», как говорят люди из Google TLS.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 19K
Comments 7

WhatsApp начал шифровать бэкапы. Почему это так важно для приватности

GlobalSign corporate blog Information Security *Instant Messaging *Cryptography *Smartphones


Самый популярный мессенджер в мире реализовал функцию сквозного шифрования бэкапов. Она станет доступна всем пользователям iOS и Android «в ближайшие недели».

Это действительно большая победа для приватности и безопасности двух миллиардов пользователей WhatsApp. Незащищённые копии в облаке — огромная уязвимость WhatsApp и других мессенджеров, которые заявляют о сквозном шифровании коммуникаций.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 6K
Comments 43

Сотовая связь переходит на отечественную криптографию, одобренную ФСБ

Information Security *Cryptography *Legislation in IT Cellular communication


Законодатели пока не утвердили полный запрет зарубежной криптографии (соответствующие поправки готовятся ко второму чтению законопроекта о суверенном Рунете), но для сотовой связи нормативная база уже принята. С 1 декабря 2019 года вступят в силу сразу два приказа Минкомсвязи (№ 275 и № 319). С этого момента процедуры аутентификации и идентификации абонентов сетей 2G, 3G и 4G должны осуществляться с использованием криптографии, соответствующей требованиям Федеральной службы безопасности (ФСБ), пишет РБК.
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 8.2K
Comments 38

Оборудование 5G хотят производить в России. В отечественных криптоалгоритмах потенциальный бекдор

Information Security *Cryptography *Manufacture and development of electronics *Cellular communication
Минпромторг разработал проект целевой программы «Развитие производства промышленной продукции сетей пятого поколения и интернета вещей в Российской Федерации на 2019–2024 годы», материалы по нему есть у РБК. Программа включает в себя список оборудования и программного обеспечения для сетей 5G и IoT, производство которого планируется освоить на территории Российской Федерации.

Бюджет программы около 28 млрд руб. разделят между собой участники программы — госкорпорация «Ростех» и Сколковский институт науки и технологий («Сколтех»). Какую-то часть получат компании, продукция которых входит в реестр телекоммуникационного оборудования российского производства, среди них НПП «Полигон», «РДП.РУ», «Элтекс», НПФ «Микран», «Т8» и др.

Подлинность программы подтвердили источник, близкий к Минпромторгу, и собеседник в «Ростехе». Как сообщил первый из них, сейчас программа «находится в проработке». Представитель «Ростеха» заявил, что «повсеместное проникновение зарубежного оборудования в критическую инфраструктуру сетей связи России создает высокие риски в условиях неблагоприятно складывающейся международной обстановки — с точки зрения информационной безопасности, доступности гарантийного и сервисного обслуживания».
Читать дальше →
Total votes 28: ↑21 and ↓7 +14
Views 17K
Comments 40

ЦБ и банки решили переходить на отечественные HSM-модули

Finance in IT

По информации издания Коммерсантъ, 15 апреля 2022 года прошло совещание Центрального Банка (ЦБ) РФ с банками и отечественными производителями, на котором приняли решение о замене иностранных HSM-модулей на отечественные.
 HSM – это физическое устройство, которое само хранит цифровые ключи или другие секретные данные, управляет ими, генерирует их, а также производит с их помощью криптографические операции. Сейчас российские банки чаще всего пользуются модулями Thales. Эти модули выпускают и российские CriptoPro и Infotecs. 

Читать далее
Total votes 11: ↑10 and ↓1 +9
Views 3.2K
Comments 5

ЦБ разработал план тестирования отечественных HSM-модулей, необходимых для безопасного проведения платежей

Information Security *Computer hardware Finance in IT

ЦБ утвердил «дорожную карту» проведения тестирования отечественных HSM-модулей. Речь идёт об аппаратных модулях безопасности, которые защищают информационные системы, применяющие криптографию, от несанкционированного доступа, физического вскрытия, съема информации техсредствами.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 842
Comments 1

ИБ-эксперты предупредили об опасностях в связи с возможным уходом из РФ производителей иностранных HSM-модулей

Information Security *Finance in IT IT-companies


23 июня 2022 года, согласно неподтвержденной информации из Telegram-канала thefinansist, ИБ-эксперты одного из российских банков предупредили о серьёзных проблемах с безопасностью клиентских данных в связи с ожидаемым уходом из РФ производителей иностранных HSM-модулей, например, Thales e-Security, а также необходимости многоступенчатого тестирования российских решений перед отказом от сотрудничества с зарубежными производителями.
Читать дальше →
Total votes 2: ↑1 and ↓1 0
Views 5.3K
Comments 3

Производитель HSM-модулей Thales объявил об уходе из РФ

Information Security *Network technologies *Finance in IT IT-companies


1 июля 2022 года производитель защитных систем безопасности, включая популярные HSM-модули (аппаратные модули безопасности платежных систем или hardware security module, HSM) для банковской сферы и финансовых компаний Thales объявил об уходе из РФ. Решения Thales обеспечивали защиту платежей и проверку PIN-кодов на банковских картах миллионов клиентов более 20 российских банков.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 3.7K
Comments 4