Pull to refresh
  • by relevance
  • by date
  • by rating

Проблемы TPM-FAIL позволяли хакерам похищать хранящиеся в TPM-процессорах криптографические ключи

Information Security *Cryptography *Server Administration *
image

Исследователи из Вустерского политехнический института США, Любекского университета Германии и Калифорнийского университета в Сан-Диего выявили две уязвимости в TPM-процессорах. Проблемы под общим названием TPM-FAIL делали возможным для злоумышленников похищать хранящиеся в процессорах криптографические ключи.

Уязвимость CVE-2019-11090 затрагивает технологию Intel Platform Trust (PTT). Данное программное TPM-решение от Intel fTPM применяется в серверах, ПК и ноутбуках. Его используют большинство производителей компьютеров, включая Dell, HP и Lenovo. Также Intel fTPM широко используется в семействе продуктов Intel Internet of Things (IoT) для промышленности, здравоохранения и транспортных средств.

Другая уязвимость CVE-2019-16863 затрагивает чип ST33 TPM производства STMicroelectronics, который применяется на устройствах начиная от сетевого оборудования и заканчивая облачными серверами. Он является одним из немногих процессоров с классификацией CommonCriteria (CC) EAL 4+, то есть поставляется со встроенной защитой против атак по сторонним каналам.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 3.2K
Comments 21

Windows 11 будет поставляться без требований TPM для систем специального назначения

Information Security *Development for Windows *Software

Microsoft ввела в Windows 11 новое требование, которое не позволяет любой системе без технологии Trusted Platform Module (TPM) 2.0 устанавливать ОС. Однако компания разрешит поставку некоторых систем без включенной функции.

Читать далее
Total votes 13: ↑13 and ↓0 +13
Views 16K
Comments 21

Перекупщики подняли цены на модули TPM материнских плат из-за требования Windows 11

Information Security *Development for Windows *Manufacture and development of electronics *Software IT-companies

Для установки Windows 11 на ПК необходимо наличие модуля безопасности TPM 2.0. Это одно из минимальных требований, без которого невозможно установить новую систему. Перекупщики воспользовались этим и начали массово скупать TPM 2.0. В результате за сутки средняя стоимость модуля выросла в 5—10 раз. 

Читать далее
Total votes 15: ↑15 and ↓0 +15
Views 19K
Comments 62

Чип, который может искоренить пиратство

Computer hardware
Нолан Бушнелл (Nolan Bushnell), основатель компании Atari, предполагает, что в скором времени пиратство в сфере компьютерного ПО (и игр в частности) исчезнет как таковое.

Этого можно будет достичь за счет использования микросхемы Trusted Platform Module (TPM), разработанной компанией Trusted Computing Group для защиты рабочих станций. Эта микросхема позволит определять лицензию работающих программ.

На данный момент подобные микросхемы устанавливаются в некоторые модели ноутбуков и системных плат. По мнению Бушнелла, в ближайшее время число компьютеров с TPM значительно возрастет.
Так что выходит следующее: не хочешь покупать лицензионный софт — правильно выбирай «мамку».

Интересно, насколько тяжело будет «крякнуть» TPM? Это ж подумать только, даже Windows пиратский не установишь. Даешь свободный софт!

via CNews
Total votes 54: ↑37 and ↓17 +20
Views 1.1K
Comments 109

Правительство Германии предостерегает ведомства страны от использования Windows 8

Information Security *
Translation
Если верить «утечке» документов из германской Федерального Ведомства по Информационной Безопасности (BSI), опубликованных Die Zeit, IT-эксперты считают, что Windows 8 — новая, заточенная под тач-скрин, супер-пуперская, но слабо продающаяся ОС от Microsoft — несет в себе серьезную угрозу для безопасности данных. Она позволяет Microsoft удаленно взаимодействовать с компьютером через встроенный бекдор. Ключи от этого бекдора, по всей вероятности, есть у NSA, а также — что довольно иронично — и у китайцев.

Читать дальше →
Total votes 122: ↑92 and ↓30 +62
Views 55K
Comments 84

Доклады и конкурсы на NeoQUEST-2014

НеоБИТ corporate blog Information Security *Mesh networks *CTF *

Уже скоро в Санкт-Петербурге состоится масштабное мероприятие по кибербезопасности NeoQUEST-2014: с увлекательными докладами из практики информационной безопасности, зрелищными демонстрациями атак и веселыми конкурсами как для начинающих хакеров, так и для настоящих профи! В рамках NeoQUEST традиционно состоится финальный поединок победителей онлайн-тура хак-квеста!

Вход на NeoQUEST-2014 свободный! Необходима лишь регистрация тут.

Темы докладов основной технической программы NeoQUEST-2014:

1. «tpm.txt: на что способно заморское железо?»: доклад про технологии TPM и TXT, аппаратные средства защиты.
2. «I2P и TOR: казнить нельзя помиловать. Анонимность в Интернет – иллюзия или реальность?»: анонимные децентрализованные сети I2P и TOR, их достоинства и вектора атак на них.
3. «В заMESHательстве: насколько безопасны mesh-сети?»: доклад о mesh-сетях, рассматривается взгляд с двух противоположных сторон.
4. «Как украсть кота по USB»: перехват личных данных, таких как фотографии, видео, контакты с вашего смартфона по USB-протоколу и пути возможного противостояния атаке.
5. «Автомобиль как большой смартфон: киберугрозы безопасности»: кибератаки на CAN-шину вашего авто.
6. «L4»: загадочный доклад с не менее загадочным названием!

Под катом — еще больше про доклады, конкурсы, демонстрации и, конечно, сам хак-квест!
Читать дальше →
Total votes 15: ↑12 and ↓3 +9
Views 4.2K
Comments 8

«Отмороженный» компьютер и полезный «Хрюкер»: чем удивит NeoQUEST-2014

НеоБИТ corporate blog Information Security *CTF *
Осталось меньше недели до NeoQUEST-2014, и мы еще раз выделим ключевые аспекты мероприятия, ради которых всем интересующимся информационной безопасностью стоит посетить нас! Тем более, что наш список докладов был расширен.
Напомним, что NeoQUEST пройдет в Питере, и вход для всех зарегистрировавшихся на сайте — бесплатный!

Из ключевых событий NeoQUEST:

1. Cold-boot атака. Сначала докладчик расскажет о том, что такое TPM, научит пользоваться TPM версии 1.2 и AES-NI, расскажет про Intel TXT, и все это — с примерами исходников реальных открытых проектов. «На пальцах» будет рассказано, как работает BitLocker, как он использует TPM. А затем — демонстрация взлома BitLocker'а методом холодной перезагрузки. Кто-то из зрителей даже сможет помочь нам в организации атаки! Под катом — маленькое видео с нашим экспериментом с жидким азотом «в рабочих условиях».
Читать дальше →
Total votes 22: ↑16 and ↓6 +10
Views 15K
Comments 26

Безумная тачка, полулегальный TPM и жидкий азот: чем запомнился NeoQUEST-2014

НеоБИТ corporate blog Information Security *Entertaining tasks CTF *

Привет, Хабр! В этой статье мы поделимся с читателями материалами докладов NeoQUEST-2014, который состоялся 3 июля в Санкт-Петербурге, и расскажем о самом мероприятии.
Итак, под катом:
  • презентации докладов:
    — «В заMESHательстве: насколько безопасны mesh-сети?»
    — «Интернет в порядке вещей»
    — «Небесполезный PC Speaker»
    — «tpm.txt: на что способно заморское железо?»
    — «Как украсть кота по USB»
    — «Автомобиль как большой смартфон: киберугрозы безопасности»
  • презентация и много фотографий с хронологией cold-boot attack;

Много-много фото под катом!
Total votes 21: ↑18 and ↓3 +15
Views 20K
Comments 4

Доклады и конкурсы на NeoQUEST-2015

НеоБИТ corporate blog Information Security *Entertaining tasks CTF *
2 июля в Санкт-Петербурге пройдет NeoQUEST-2015, который объединит лучших участников мартовского hackquest и гостей, общее увлечение которых — информационная безопасность!

Напоминаем, что посетить NeoQUEST может любой желающий — вход бесплатный, гостям достаточно зарегистрироваться на сайте мероприятия.

Участников hackquest ждет 8 часов кибербезопасности в режиме non-stop, а все остальные в это время смогут просветиться и развлечься так:


  • послушать доклады о самом новом и актуальном в кибербезопасности: Android, TPM и TXT, перебор хэшей пароля Bitcoin-кошелька, автодосье на любого пользователя Сети, энергетическое обнаружение malware и многое другое!
  • увидеть практические демонстрации: атака команды Рутковской на TXT, удаленное управление электроникой автомобиля, взлом Bitlocker...
  • принять участие в увлекательных реальных и виртуальных конкурсах и выиграть разнообразные призы: Escape-room, «ЕГЭ по ИБ» и многое-многое другое!
Подробнее о NeoQUEST-2015
Total votes 12: ↑11 and ↓1 +10
Views 3.8K
Comments 2

Исследуем защиту и восстанавливаем аркады Namco System ES1

Information Security *Reverse engineering *
Tank! Tank! Tank! Arcade

Введение

Эта история началась практически сразу после написания статьи об исследовании аркады небезызвестной корейской компании: в аркадном автомате Tank! Tank! Tank! от Namco вышел из строя жесткий диск (что неудивительно, т.к. производитель установил в автомат не отличающиеся надежностью Seagate 7200.12), диск взяли с рабочей аркады и скопировали его через WinHex, после чего игра перестала запускаться. Предположив, что целостность диска была нарушена неосторожным нажатием клавиши в окне редактирования данных на диске в WinHex, был взят другой диск с еще одного рабочего автомата, скопирован аналогичным образом, который также перестал запускаться. Тут-то и стало понятно, что в диск каким-то образом встроена защита от копирования.
Arcade Linux Error
Читать дальше →
Total votes 93: ↑92 and ↓1 +91
Views 24K
Comments 55

Варианты хранения криптографических ключей

GlobalSign corporate blog Information Security *Cloud computing *Development for IOT *
Translation
Продолжает расти популярность решений на основе PKI — всё больше сайтов переходят на HTTPS, предприятия внедряют цифровые сертификаты для аутентификации пользователей и компьютеров, S/MIME доказывает свою состоятельность и для шифрования электронной почты, и как способ проверки источника сообщений для противодействия фишингу. Но шифрование и аутентификация в этих приложениях практически бессмысленны без правильного управления ключами.

Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей. Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.

Во многих случаях секретные ключи — личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами.

В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).
Читать дальше →
Total votes 10: ↑8 and ↓2 +6
Views 27K
Comments 0

Infineon внедрила перекрёстную подпись сертификатов в своих криптографических микросхемах

GlobalSign corporate blog Information Security *Manufacture and development of electronics *

Умный завод четвёртого поколения (Industry 4.0) работает автономно. Роботы на конвейере общаются друг с другом, уменьшая процент брака и отходов

Один из крупнейших в мире производителей микросхем Infineon заключил соглашение с глобальным центром сертификации GlobalSign на перекрёстную подпись сертификатов, которые производитель самостоятельно выдаёт для своих промышленных криптографических чипов Optiga TPM SLM 9670. Теперь эти подписи проверяемы по цепочке вплоть до корневого центра сертификации GlobalSign, что значительно упрощает управление ими.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 4.5K
Comments 6

Безопасность встраиваемых систем Linux

VDSina.ru corporate blog Information Security **nix *Computer hardware IOT
Embedded Linux security

Весь наш мир построен на противоположностях. Если вы создаете свое устройство и продаете его, то всегда найдется тот, кто захочет его взломать. Цели у злоумышленника буду самыми разными, от попыток сделать клон устройства (привет Китаю) до шантажа конечных потребителей, что весьма ухудшит вашу репутацию с точки зрения изготовления надежных устройств. И чем популярнее система на основе которой построено устройство, тем интереснее она злоумышленнику. В последнее время активно развивается сегмент одноплатных компьютеров, таких как Raspberry Pi, и множества других. Linux системы по распространенности использования во встраиваемых систем, вышли на первые места. Большая функциональность устройств, например наличие разных беспроводных интерфейсов коммуникаций, в совокупности с большими возможностями ОС Linux, привела к серьезной необходимости организации защиты устройства. Некоторые думают, что достаточно отключить учетную запись root и установить надежный пароль, но на самом деле это только малая часть того, что следует сделать. Какие технологии и концепции используются для снижения рисков и реализации более безопасного устройства работающего на Linux узнаете под катом.
Читать дальше →
Total votes 42: ↑41 and ↓1 +40
Views 10K
Comments 19

Security Week 31: кража данных при помощи паяльника

«Лаборатория Касперского» corporate blog Information Security *
Сфера атак непосредственно на компьютерное железо обсуждается не так широко, как уязвимости в софте, и оттого представляет особый интерес. В прошлом году мы писали про эксперимент Трэммэлла Хадсона (Trammell Hudson), в котором проводилась реалистичная атака на ноутбук в режиме сна с перепрошивкой BIOS. На прошлой неделе компания Dolos Group опубликовала интересный отчет об успешном взломе ноутбука аппаратными методами (читай: при помощи паяльника).



По всем параметрам это была задача со звездочкой: исследователям предоставили корпоративный ноутбук, в котором были установлены многие стандартные средства защиты. Настройки BIOS защищены паролем, отключена возможность загрузки с внешнего носителя и по сети, активирован режим Secure Boot, зашифрованы данные на жестком диске. Единственная возможность получить доступ к данным заключалась в отсутствии дополнительного пользовательского пароля для расшифровки носителя, то есть ключ шифрования содержался во встроенном модуле TPM. Этой возможностью исследователи и воспользовались, заодно получив частичный доступ к корпоративной сети.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 6.3K
Comments 6

Сколько мне стоило попасть в Гугл и получить повышение, не проработав там ни одного дня

IT career
Sandbox

Декабрь 2020, вторая волна Ковида в разгаре. Я ПМ на удаленке в Американской компании. После похорон отца в Тбилиси я находился в прострации, надо было возвращаться в США и как-то менять своё положение, ведь денег, которых я зарабатывал явно не хватало на нормальную жизнь. Сами воспоминания о моём предыдущем поиске вызывали во мне холодный озноб и какой-то внутренний голос тихо шептал «подожди, сейчас пандемия, многие и о таком мечтают, как-нибудь выкрутишься…».

Каждый день я пытался убить в себе ссыкуна, и убеждал что кризис — это всегда новые возможности, но на следующий день, он все равно приползал обратно и скулил знакомые до тошноты фразы.

Я зарегистрировал себе американский номер в Google Voice, чтобы мне начали звонить рекрутеры и начал рассылать резюме. Я разослал около сотни адаптированных резюме и указал в LinkedIn что активно ищу работу. Постепенно на меня начали выходить рекрутеры небольших компаний, но я понимал, что в них условия будут в лучшем случае на 40% лучше текущей и это все равно не решало моих проблем. Хоть и казалось, что на LinkedIn висят тысячи позиций, однако основных работодателей я этим исчерпал. Подавался я в основном на Sr. Project Manager или Engineering Manager позиции.

Осознание пришло, когда я стал читать teamblind.com – лучший ресурс в США по анализу рынка в ИТ и levels.fyi где можно посмотреть реальные зарплаты. Раньше я читал Glassdoor, но информация на нем устарела.

Оказалось, что в финансовой сфере в США, которая мне была интересна - плохие условия и токсичная культура, тоже самое в консалтинге кроме компаний из Big4 или MBB где надо работать долгие часы, но возможно получать 1+ миллион долларов в год дослужившись до партнёра. Самыми интересными оказались компании, которые называют FAANG (Fb, Apple, Amazon, Netflix, Google) иногда в место этого списка используют FAANGMULA справедливо добавляя туда Microsoft, Uber, Lyft и Airbnb – все они технологические, инновационные компании не просто создающие бизнес-продукты, но и технологии, которыми пользуются весь мир. Компании, создающие де-факто стандарты разработки цифровых продуктов, инвестирующие в научные исследования, создающие легендарные условия для своих сотрудников, чем привлекают умнейших инженеров и ученных со всего мира.

Читать далее
Total votes 149: ↑133 and ↓16 +117
Views 80K
Comments 124