Pull to refresh
64K+
209
GlobalSign_admin@GlobalSign_admin

информационная безопасность

64
Rating
310
Subscribers
Send message

Mozilla назвала «вредным» предложение Google о распространении веб-пакетов с цифровой подписью

Reading time4 min
Reach and readers12K

Механизм Signed HTTP Exchanges (SXG)

Месяц назад на конференции для разработчиков компания Google предложила технологию «порталов», которая призвана обеспечить новый способ загрузки и навигации по веб-страницам. По сути, <portal> — это более продвинутая и современная версия <iframe>. Главная разница в том, что <portal> позволяет перемещаться внутри контента, который внедрён на страницу извне, а <iframe> не позволяет этого по соображениям безопасности. Более того, <portal> может изменять URL в адресной строке браузера, то есть этот тег полезнее в качестве инструмента навигации.

Для Google это очень важная технология, потому что позволяет удержать пользователей на поисковом сайте, загружая запрошенный контент с других сайтов через «порталы» в виде веб-пакетов.
Читать дальше →

Трекинг украденного велосипеда по протоколу NB-IoT

Reading time3 min
Reach and readers21K


Интернет вещей проникает повсюду, даже в велосипеды. Вы можете своими руками смастерить маленький трекер с поддержкой протокола NB-IoT. В любой момент этот гаджет ответит на ваш запрос через интернет и сообщит GPS-координаты велосипеда. И что самое приятное, такой трекер работает целый год на одной батарейке. И это ещё не предел: другие сенсоры NB-IoT могут работать до десяти лет на одном заряде. Низкое энергопотребление — главное преимущества велосипедного трекера NB-IoT перед стандартными решениями GSM/GPS. Наш прибор большую часть времени проводит в спящем режиме и потребляет минимум энергии.
Читать дальше →

Программатор чипов G-Shield: запись цифровых сертификатов в микросхемы на этапе производства

Reading time4 min
Reach and readers3.6K

Программатор G-Shield (GPW-01)

GlobalSign объявила о технологическом партнёрстве со стартапом Big Good Intelligent Systems, который выпустил продукт под названием G-Shield. Это сервер регистрации плюс программатор чипов для физической записи цифровых сертификатов на микросхемы: Big Good называет такие микросхемы «крипточипами» (HVCA Module / ECDH Crypto Chip).

Идея в том, что производитель физически защищает устройства с момента появления, то есть прямо на этапе производства.
Читать дальше →

У мошенника отобрали 735 000 адресов IPv4 и вернули в реестр

Reading time4 min
Reach and readers22K

Региональные интернет-регистратуры и зоны их обслуживания. Описанное мошенничество произошло в зоне ARIN

В ранние дни Интернета адреса IPv4 раздавали всем желающим большими подсетями. Но сегодня компании выстраиваются в очередь к региональному регистратору, чтобы раздобыть хоть небольшое адресное пространство. На чёрном рынке один IP стоит от $13 до $25, поэтому регистраторы борются с массой теневых брокеров, бизнес которых простой: получить новые блоки IP-адресов под ложным предлогом, а затем перепродать спамерам. В мае 2019 года региональному регистратору ARIN удалось отобрать IP-адреса у теневого брокера, которому предъявлено уголовное обвинение.

В реестр вернули около 735 000 IP-адресов. Это первый случай, когда у мошенников отбирают IP-адреса после судебного разбирательства.
Читать дальше →

«Невзламываемый» eyeDisk защищён сканом радужной оболочки глаза, но передаёт пароль в открытом виде

Reading time3 min
Reach and readers12K

USB-накопитель eyeDisk с биометрической защитой, который «невозможно взломать»

Самые современные методы биометрической защиты не всегда означают повышенную безопасность. Провал разработчиков eyeDisk на самом деле показывает более общие тенденции. К сожалению, в IT-отрасли случается так, что под впечатлением «блестящих» новых технологий люди забывают об основах безопасности.

Разработчики рекламировали eyeDisk как «невзламываемый» USB-накопитель — и успешно оформили на «Кикстартере» более $21 тыс. предварительных заказов.
Читать дальше →

Как DNSCrypt решил проблему просроченных сертификатов, введя срок действия 24 часа

Reading time4 min
Reach and readers9.1K


Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему актуальна. К сожалению, сертификаты продолжают истекать.

Если кто-то пропустил эту историю, в полночь 4 мая 2019 года внезапно прекратили работать почти все расширения Firefox.
Читать дальше →

Веб-разработчики пишут небезопасный код по умолчанию

Reading time3 min
Reach and readers27K

«Если хотите, я могу зашифровать пароли»



Некоторые разработчики, которым дали прямое указание применить криптографию, использовали шифрование парольной базы с помощью Base64

Когда в СМИ появляется информация об очередной утечке данных, всегда вызывает недоумение, почему компания хранила пароли пользователей открытым текстом, не защитила API или сделала какую-то другую элементарную ошибку. Неужели в наше время возможно такое нарушение правил безопасности?

Новое исследование из Университета Бонна (Германия) показывает, что разработчики-фрилансеры по умолчанию придерживаются исключительно небезопасных практик, если только заказчик не требует большего.
Читать дальше →

Как «шпионская» компания пробивалась в хранилище сертификатов Mozilla и что из этого вышло

Reading time4 min
Reach and readers12K
По-настоящему детективная история развернулась в последние месяцы вокруг компании DarkMatter, которая подала заявку на включение своего центра сертификации в доверенное корневое хранилище сертификатов Mozilla. Дело в том, что это не простая компания, а разработчик «шпионского» программного обеспечения из ОАЭ. Ранее она была замечена в покупке 0day-эксплоитов. В принципе, само по себе это не преступление. Многие компании, в том числе российские, занимаются созданием хакерского инструментария с использованием 0day. Они продают эти программы, например, правоохранительным органам для взлома телефонов (криминалистическая экспертиза) или скрытой установки троянов (оперативное наблюдение). Но общепринятые правила таковы, что хакерские фирмы сотрудничают только с демократическими правительствами, то есть стоят «на стороне добра».

Страсти накалились в феврале 2019 года, когда вышло расследование Reuters, что DarkMatter продавала софт репрессивным режимам на Ближнем Востоке.

Mozilla мгновенно оказалась под давлением.
Читать дальше →

Двухфакторная аутентификация для SSH

Reading time2 min
Reach and readers8.8K
«Безопасная оболочка» SSH — сетевой протокол для установления защищённого соединения между хостами, стандартно по порту 22 (который лучше поменять). SSH-клиенты и SSH-серверы доступны для большинства ОС. Внутри SSH работает практически любой другой сетевой протокол, то есть можно удалённо работать на другом компьютере, передавать по шифрованному каналу звуковой поток или видео и т.д. Кроме того, через SOCKS-прокси на удалённом хосте можно подключаться к другим хостам уже от имени этого удалённого хоста.

Аутентификация происходит по паролю, но разработчики и системные администраторы традиционно применяют SSH-ключи. Проблема в том, что секретный ключ могут украсть. Добавление парольной фразы теоретически защищает от кражи секретного ключа, но на практике при форвардинге и кэшировании ключей они всё равно могут использоваться без подтверждения. Двухфакторная аутентификация решает эту проблему.
Читать дальше →

HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS

Reading time6 min
Reach and readers12K

Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка)

В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзного сайта. Если сертификат отсутствует, почти все последние браузеры показывают предупреждение, что соединение с сайтом «не защищено» и не рекомендуют передавать на него конфиденциальную информацию.

Но оказывается, что наличие «замочка» в адресной строке не всегда гарантирует защиту. Проверка 10 000 ведущих сайтов из рейтинга Alexa показала: многие из них подвержены критическим уязвимостям протоколов SSL/TLS, обычно через поддомены или зависимости. По словам авторов исследования, сложность современных веб-приложений многократно увеличивает поверхность атаки.
Читать дальше →

Современные альтернативы PGP

Reading time4 min
Reach and readers12K
В наше время шифрование актуально как никода. Общение перемещается в мессенджеры, люди продолжают шифровать электронные сообщения цифровыми сертификатами, но иногда это может потребовать дополнительных усилий, включая обмен ключами через сеть доверия. В таких условиях даже некоторые давние приверженцы криптографии вынуждены отказаться от PGP. Для защищённого обмена сообщениями гораздо удобнее мессенджеры с открытым исходным кодом и надёжным end-to-end шифрованием, такие как Signal (см. руководство от Фонда электронных рубежей).

В то же время PGP по-прежнему используется в «машинных» операциях: для подписи пакетов, шифрования файлов на диске и т. д. Но и здесь PGP постепенно выходит из использования. Например, в сообществе Go предлагают прекратить поддержку пакета OpenPGP, из-за «древнего протокола, который до сих пор вызывает серьёзные уязвимости», а также из-за нерешённой проблемы обмена ключами и, главное, из-за устаревшей реализации самого протокола.
Читать дальше →

Ловушка (тарпит) для входящих SSH-соединений

Reading time4 min
Reach and readers40K
Не секрет, что интернет — очень враждебная среда. Как только вы поднимаете сервер, он мгновенно подвергается массированным атакам и множественным сканированиям. На примере ханипота от безопасников можно оценить масштаб этого мусорного трафика. Фактически, на среднем сервере 99% трафика может быть вредоносным.

Tarpit — это порт-ловушка, который используется для замедления входящих соединений. Если сторонняя система подключается к этому порту, то быстро закрыть соединение не получится. Ей придётся тратить свои системные ресурсы и ждать, пока соединение не прервётся по таймауту, или вручную разрывать его.

Чаще всего тарпиты применяют для защиты. Технику впервые разработали для защиты от компьютерных червей. А сейчас её можно использовать, чтобы испортить жизнь спамерам и исследователям, которые занимаются широким сканированием всех IP-адресов подряд (примеры на Хабре: Австрия, Украина).
Читать дальше →

Новые инструменты для обнаружения HTTPS-перехвата

Reading time4 min
Reach and readers18K


По мере роста использования HTTPS растёт желание посторонних лиц внедриться в защищённый трафик. Исследование 2017 года The Security Impact of HTTPS Interception показало, что это становится всё более распространённой практикой. Анализ трафика на серверах обновления Firefox показал, что в отдельных странах процент внедрения посторонних агентов в HTTPS достигает 15%.

Со времени исследования ситуация вряд ли улучшилась. Сейчас даже последняя модель беспроводных наушников Sennheiser требует установить в системе корневой сертификат (с небезопасными параметрами).
Читать дальше →

XXH3: новый рекордсмен по скорости хеширования

Reading time3 min
Reach and readers29K

Бенчмарки сделаны в программе SMHasher на Core 2 Duo 3,0 ГГц

На Хабре неоднократно рассказывали про некриптографические хеш-функции, которые на порядок быстрее криптографических. Они применяются там, где важна скорость и нет смысла применять медленные MD5 или SHA1. Например, для построения хеш-таблиц с хранением пар ключ-значение или для быстрой проверки контрольной суммы при передаче больших файлов.

Одно из самых популярных — семейство хеш-функций xxHash, которое появилось около пяти лет назад. Хотя изначально эти хеши задумывались для проверки контрольной суммы при сжатии LZ4, но их стали применять на самых разных задачах. Оно и понятно: достаточно посмотреть на таблицу вверху со сравнением производительности xxHash и некоторых других хеш-функций. В этом тесте xxHash обходит ближайшего конкурента по производительности в два раза. Новая версия XXH3 поднимает планку ещё выше.
Читать дальше →

Идёт массовый отзыв TLS-сертификатов от множества УЦ, по ошибке сгенерированных на 63-битном ГСЧ вместо 64-битного

Reading time3 min
Reach and readers15K
Три дня назад в списке рассылки mozilla.dev.security.policy опубликовано сообщение о массовом нарушении в генерации TLS-сертификатов. Как показало расследование, пострадало несколько удостоверяющих центров, в том числе GoDaddy, Apple и Google. Общее количество неправильных сертификатов превышает 1 миллион, а может быть намного больше. GoDaddy первоначально назвала цифру в 1,8 млн сертификатов, а потом уменьшила оценку на два порядка, до 12 000. Представитель Apple назвал цифру 558 000 сертификатов.

Суть в том, что все пострадавцие УЦ использовали open source PKI-решение EJBCA с неправильными настройками, в результате чего для последовательных номеров сертификатов использовались случайные числа из 63-битного пространства, что нарушает требования CA/B Forum по минимальной энтропии (64 бита).

Разница между 263 и 264 превышает 9 квинтиллионов, то есть 9×1018, это очень существенное число (хотя разница всего в два раза). Все сертификаты должны быть отозваны. У SSL.com и GoDaddy процедура займёт 30 дней, у других могут быть примерно такие же сроки, хотя по стандарту RFC5280 они обязаны отозвать некорректные сертификаты в пятидневный срок. Но они очевидно не успевают уложиться в норматив.
Читать дальше →

Firefox Send: свободный сервис обмена шифрованными файлами

Reading time2 min
Reach and readers25K


Вчера Mozilla довела до финальной версии один из своих экспериментальных проектов Firefox Send: простой и безопасный сервис обмена зашифрованными файлами. Поддерживаются файлы до 1 ГБ (до 2,5 ГБ после авторизации в Firefox Account).

Сервис выглядит просто, но под ним работает движок, который обеспечивает настоящее end-to-end шифрование, то есть вы никуда не передаёте файлы в открытом виде — они шифруются конкретно на вашем ПК, а расшифровываются на компьютере получателя (JS в браузере). Как это работает, можно посмотреть на примере Firefox Sync, здесь реализована похожая архитектура.
Читать дальше →

Россия заняла 9 место в мировом SSL-рейтинге, опережая Китай, Данию и Швейцарию

Reading time3 min
Reach and readers4.5K
Рынок информационной безопасности (ИБ) за последние несколько лет увеличивался стремительными шагами. Компании стали больше инвестировать в кибербезопасность, заключать больше контрактов. Глобальный рынок товаров и услуг в сфере цифровой безопасности растёт, в частности, SSL-отрасль. На мировом рынке количество сайтов, перешедших на безопасное соединение HTTPS, за последний год возросло в среднем в 2 раза. Подобная динамика касается как развитых, так и многих развивающихся стран.
Читать дальше →

Новое в браузерах: Firefox 66 по умолчанию блокирует видео и звук, Chromium ограничивает бюджет страниц

Reading time3 min
Reach and readers17K

В ближайших версиях Firefox и Chromium могут произойти важные изменения.

Во-первых, в Firefox 66 для десктопов по умолчанию заблокируется автоматическое воспроизведение видео и звука на всех страницах. Блог Mozilla Hacks заранее предупреждает об этом разработчиков. Воспроизведение видео и звука разрешается только через HTMLMediaElement API и только после взаимодействия пользователя со страницей (щелчок мыши, нажатие кнопки или прикосновение к тачскрину).

В Chromium могут произойти ещё более интересные изменения.
Читать дальше →

Почему Google меняет стандартный интерфейс URL в браузере

Reading time5 min
Reach and readers24K
В сентябре прошлого года разработчики Chrome выдвинули радикальное предложение: изменить отображение URL в браузере. В некоторых изданиях сразу появились статьи с паническими заголовками «Google хочет убить URL»

Теоретически, Google выгодно, чтобы пользователи заходили на все сайты через поиск, а не напрямую по URL из браузера. Наверное, для этой цели в своё время адресную строку совместили с поисковой строкой. Но до полного исчезновения адресной строки ещё далеко. Пока что Google делает лишь первые шаги, по чуть-чуть отдавая браузеру Chrome контроль над отображением URL. Это делается для безопасности пользователей.

Google говорит, что синтаксис URL слишком труден для массовой аудитории.
Читать дальше →

Питание электроники от сигнала Wi-Fi

Reading time3 min
Reach and readers23K

Разработана уникальная 2D-ректенна с диодом Шоттки из MoS2 толщиной всего три атома




Инженеры давно научились извлекать энергию из радиосигнала. Для этого применяют ректенны (выпрямляющие антенны), которые преобразуют энергию поля электромагнитной волны в энергию постоянного тока. Простейшим вариантом может быть полуволновый вибратор, между плечами которого устанавливается диод.

Инженеры Массачусетского технологического института предложили новую конструкцию ректенны из MoS2, которая обладает рядом преимуществ. Во-первых, это плоская конструкция толщиной всего три атома, она гибкая, в отличие от выпрямителей на кремнии и арсениде галлия. Во-вторых, сульфид молибдена гораздо дешевле. И главное, что гибкая ректенна питается от электромагнитного излучения с частотой до 10 ГГц и отлично работает в диапазоне Wi-Fi, то есть от 2,4 до 5,9 ГГц. Выдаёт примерно 40 микроватт. Немного, но достаточно для светодиода или простого чипа.
Читать дальше →

Information

Rating
Does not participate
Works in
Registered
Activity