Search
Write a publication
Pull to refresh
197
18
GlobalSign_admin @GlobalSign_admin

информационная безопасность

Send message

OpenWrt One: что значит «неубиваемый» маршрутизатор

Reading time3 min
Views39K


В 2024 году опенсорсному проекту OpenWrt исполнилось 20 лет. Разработчики ещё в январе объявили, что этот юбилей можно отпраздновать выпуском нативного маршрутизатора OpenWrt One.

Разработка и рождение дизайна заняло девять месяцев. В октябре началась отгрузка первых экземпляров для энтузиастов, а в конце ноября 2024 года свободный маршрутизатор появился на крупнейших торговых площадках интернета. Это важная новость, потому что OpenWrt One — в своём роде уникальное устройство. Это первый маршрутизатор, специально сконструированный для идеальной совместимости с опенсорсной прошивкой OpenWrt, хотя с ней официально совместимы десятки устройств (можно самостоятельно скачать и установить её, это несложная процедура).

Маршрутизатор на открытой архитектуре с прошивкой OpenWrt разработчики называют «неубиваемым» (unbrickable): в нём предусмотрен физический переключатель для разделения NOR- и NAND- флэш-памяти.
Читать дальше →

Вредоносный код навсегда сохранили в блокчейне

Reading time4 min
Views44K


Один из старых хакерских трюков — распространять вредоносное ПО под видом обновления браузера. На взломанном сайте размещается плашка с утверждением, что для просмотра нужно обновить браузер. И кнопка для скачивания обновления, как на скриншоте с прошлогодней атаки ClearFake. Таким образом, жертва самостоятельно устанавливает вредоносное ПО на свой компьютер.

В прошлом году злоумышленники разработали умный способ защитить вредоносный софт от уничтожения. Они разместили его в децентрализованном анонимном блокчейне. То есть интегрировали код в смарт-контракт, который навечно сохранился в открытом доступе.
Читать дальше →

Извлечение паролей из разных браузеров

Reading time3 min
Views8.8K


Если пользователь забыл мастер-пароль от парольного менеджера Bitwarden, 1Password, KeepassXC, то пароли невозможно восстановить. Другое дело — встроенные парольные менеджеры браузеров Chrome и Firefox, для расшифровки которых есть специальные инструменты. Этот факт следует иметь в виду при хранении пользовательских данных — и не допускать, чтобы злоумышленник получил физический или удалённый доступ к компьютеру с правами пользователя.

Примечание: перечисленные ниже инструменты не работают с последними версиями браузеров и приведены исключительно в информационно-образовательных целях.
Читать дальше →

Сквозное шифрование в облаках. Уязвимости — во всех сервисах

Reading time3 min
Views6.6K


В наше время большинство пользователей хранят файлы в том или ином облачном хранилище: Google Drive, Яндекс.Диск, Dropbox, OneDrive и т. д. Благодаря низкой стоимости такие сервисы очень популярны. Их аудитория оценивается более чем в 4 млрд человек, а объём хранимых данных — порядка экзабайта. Почти все провайдеры шифруют файлы на своих серверах. Но если сам провайдер скомпрометирован, такая система не обеспечивает никакой защиты.

Поэтому отдельные сервисы реализовали сквозное шифрование (E2EE), когда не сервер, а пользователь контролирует ключи шифрования.

В основном, эти сервисы предлагают услуги для коммерческих клиентов. Например, MEGA, Nextcloud, Sync, Tresorit, Seafile, Icedrive и pCloud. К сожалению, реальность далека от рекламных заявлений. Независимое исследование показало, что все перечисленные провайдеры страдают от уязвимостей и архитектурных изъянов.
Читать дальше →

Парольная защита статичной HTML-страницы на JS

Reading time3 min
Views9.3K


Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Стандартный способ: .htaccess и htpasswd. Но что, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решают инструменты StatiCrypt и Portable Secret.

Для шифрования HTML перед публикацией StatiCrypt использует AES-256 и WebCrypto, а расшифровка происходит с помощью ввода пароля в браузере на стороне клиента, как показано в демо (пароль test).

StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг, в том числе бесплатный сторонний хостинг, такой как GitHub Pages.
Читать дальше →

GUI для исследования внутренностей PDF

Reading time3 min
Views9.2K


Как известно, PDF-файлы часто используются как контейнеры для вирусов и эксплоитов. Они применяются в фишинговых кампаниях и социальной инженерии, когда жертве присылают для просмотра «безобидный документ» в формате PDF, а тот запускает на исполнение вредоносный код через незакрытую уязвимость в браузере или PDF-ридере.

Перед открытием документа всегда желательно посмотреть, что находится внутри. Для этих целей существуют парсеры, которые разбирают PDF. Например, Interactive PDF Analysis (IPA, на скриншоте вверху) и другие.

Даже если перед нами чистый PDF, иногда нужно изучить содержимое и извлечь полезные ресурсы в нетронутом виде — например, оригинальные изображения в JPG.
Читать дальше →

ZIP-бомба в формате Apache Parquet

Reading time5 min
Views6K


Давние хаброжители помнят, как в 2015 году ZIP-бомба в формате PNG ненадолго вывела из строя Habrastorage. С тех пор появились новые разновидности этого «оружия»: например, разработаны нерекурсивные и компиляторные бомбы (29 байт кода → 16 ГБ .exe).

Подобного рода экспоиты можно встроить не только в формат ZIP или PNG, но и в других форматы файлов, которые поддерживают сжатие. Например, в формате Apache Parquet.
Читать дальше →

Китайская криптография. Анализ проприетарного протокола MMTLS из WeChat

Reading time6 min
Views2.8K

Изображение из документации протокола MMTLS.

Академическая исследовательская группа Citizen Lab из университета Торонто провела первый публичный анализ протокола шифрования MMTLS на предмет безопасности и конфиденциальности. Это основной протокол приложения WeChat, которым пользуется более 1,2 млрд человек (34% мобильного трафика в Китае в 2018 году).

Как выяснилось, MMTLS представляет собой модифицированную версию TLS 1.3, причём многие изменения, внесённые разработчиками, привели к появлению слабых мест.

Более того, в дополнение к MMTLS используется ешё менее безопасный, тоже проприетарный протокол, содержащий множество уязвимостей, в том числе детерминированные векторы инициализации в AES-GCM и отсутствие прямой секретности. Ниже он упоминается под названием Business-layer encryption.
Читать дальше →

Как зашифровать информацию до определённой даты

Reading time3 min
Views6.5K

Настольные атомные часы URWERK AMC с наручным модулем

Предположим, что путешественник во времени отправляет в 80-е годы компьютеры с софтом для технологического прогресса Земли. Там информация о науке и технологиях будущего, а также руководства и советы, как наиболее эффективно перейти от технологий эпохи 80-х к уровню будущего. Каждый компьютер содержит идентичную информацию. Их разбрасывают по всему миру с целью сделать информацию общедоступной.

Прогрессор (в терминологии Стругацких) хочет убедиться, что определённая информация не будет доступна до определённого времени.
Читать дальше →

Развенчан слух, что Китай взломал современную криптографию с помощью квантового компьютера

Reading time4 min
Views12K


В октябре 2024 года мировые СМИ стали распространять пугающие новости о том, что китайским учёным якобы удалось взломать современные криптографические шифры военного применения с помощью квантового компьютера D-Wave Advantage (на фото вверху).

Эти новости основаны не на пустых словах, а на научной статье от группы исследователей под руководством д-ра Ван Чао (Wang Chao) из Шанхайского университета. Статья опубликована в сентябре 2024 года в журнале Chinese Journal of Computers. Авторы использовали D-Wave Advantage для успешной атаки на три алгоритма — Present, Gift-64 и Rectangle, которые являются критически важными для расширенного стандарта шифрования (AES), используемого для защиты данных в правительственном, военном и финансовом секторах.

Западные эксперты по криптографии изучили статью и оценили достижения китайских коллег.
Читать дальше →

Действительно ли смартфон может работать в режиме скрытой прослушки?

Reading time3 min
Views18K


Много лет среди обывателей распространена конспирологическая теория, что телефоны «подслушивают» пользователей даже в выключенном состоянии. Например, чтобы регистрировать ключевые слова и потом показывать актуальную контекстную рекламу. Некоторые замечали, что после обсуждения в офлайне какого-то специфического предмета они потом видят в Google рекламу на эту тему.

Загадочный феномен идёт ещё дальше. Даже необязательно произносить ключевые слова вслух. Google начинает показывать рекламу даже зубной пасты, которой вы случайно почистили зубы. Учёные говорят о феномене Баадера-Майнхофа (иллюзия частотности), но широкие массы не слишком верят в такое простое объяснение.

Однако недавно теория о работе смартфона в режиме скрытой прослушки получила косвенное подтверждение.
Читать дальше →

Новые протоколы шифрования трафика

Reading time4 min
Views30K


Несмотря на запрет отдельных сервисов, протоколы VPN по-прежнему широко используются в корпоративной среде и частными лицами.

В последнее время использование стало затруднено из-за того, что зашифрованный трафик распознаётся и теряется на каналах связи. Выходом из этой ситуации может быть обфускация, когда трафик делают похожим на обычные HTTPS-пакеты. Компании-разработчики средств информационной безопасности представили несколько новых протоколов, предназначенных именно для этого. По словам разработчиков, новые протоколы работают эффективнее старых методов обфускации.
Читать дальше →

Действительно ли смартфон может работать в режиме скрытой прослушки?

Reading time3 min
Views11K


Много лет среди обывателей распространена конспирологическая теория, что телефоны «подслушивают» пользователей даже в выключенном состоянии. Например, чтобы регистрировать ключевые слова и потом показывать актуальную контекстную рекламу. Некоторые замечали, что после обсуждения в офлайне какого-то специфического предмета они потом видят в Google рекламу на эту тему.

Загадочный феномен идёт ещё дальше. Даже необязательно произносить ключевые слова вслух. Google начинает показывать рекламу даже зубной пасты, которой вы случайно почистили зубы. Учёные говорят о феномене Баадера-Майнхофа (иллюзия частотности), но широкие массы не слишком верят в такое простое объяснение.

Однако недавно теория о работе смартфона в режиме скрытой прослушки получила косвенное подтверждение.
Читать дальше →

Как перехватывают зашифрованный HTTP-трафик на мобильном устройстве

Reading time3 min
Views7.1K


Реверс-инжиниринг VPN-сервиса Onavo Protect под Android позволил определить методы, которые можно использовать для перехвата зашифрованного HTTPS-трафика на мобильном устройстве. Если вкратце, злоумышленник должен поставить на телефон собственное приложение и сертификат УЦ (удостоверяющего центра).

Например, в РФ вступил в действие закон, который требует с 2025 года обязательной предустановки на все смартфоны конкретных приложений. Теоретически, при наличии уязвимостей это может угрожать безопасности многих пользователей.
Читать дальше →

Неинтерактивная SSH-аутентификация

Reading time3 min
Views9.6K


SSH предлагает несколько форм аутентификации, в том числе пароли и открытые ключи. Последние считаются более безопасными. Однако аутентификация по паролю по-прежнему остаётся самой популярной, особенно в сетевом оборудовании.

Чтобы не вводить пароль каждый раз вручную, есть специальные инструменты для автоматизации логина, то есть для неинтерактивной SSH-аутентификации. Это классическая утилита sshpass и её «исправленный» вариант passh (подробнее о причине «исправления» см. здесь).
Читать дальше →

Выводы из глобального сбоя CrowdStrike

Reading time3 min
Views3.8K
Как известно, 19 июля 2024 года произошёл серьёзный инцидент с апдейтом программного обеспечения CrowdStrike Falcon для защиты компьютеров (отчёт Microsoft, отчёт CrowdStrike). Обновление конфигурации вызвало ошибку безопасности чтения из границ памяти в ELAM-драйвере CSagent.sys. Поскольку тот работает на уровне ядра Windows, то миллионы ПК ушли в BSOD.

Количество пострадавших официально оценили в 8,5 млн:



Microsoft поясняет, что здесь количество полученных отчётов. Реально пострадавших гораздо больше. Серьёзно пострадали банки и авиакомпании. В частности, Delta. Общий ущерб для мировой экономики от бага страховщики оценили в $5,4 млрд.

В чём же главная проблема и «защитного софта» с драйверами ядра Windows?
Читать дальше →

Шифрование личных заметок

Reading time8 min
Views11K


Персональная информация, в том числе пароли и кошельки — это главные секреты каждого человека. Эта информация должна быть максимально зашифрована и надёжно храниться. Раньше проблему решал текстовый файл, где хранились и пароли, и заметки, и который легко было зашифровать. Теперь с появлением кучи устройств проблема усложнилась. Но если с паролями проблема решена благодаря парольным менеджерам, то вот с шифрованием заметок не всё так гладко.

Какой вариант выбрать для безопасного и надёжного шифрования личных заметок, с синхронизацией между устройствами и резервным хранением?
Читать дальше →

Инициатива по интеграции DNS в Windows 11 вызывает опасения экспертов

Reading time3 min
Views9.2K


Как известно, процедура перевода доменных имён в IP-адреса (DNS-резолвинг) опасная по умолчанию. Поскольку в процессе отсутствует сквозное шифрование, то посторонний злоумышленник может получить доступ к этому трафику. Более того, он может подменить ответы на запросы к легитимным сайтам на вредоносные. В конце концов, многие устройства конечных пользователей можно легко настроить так, чтобы они использовали вредоносные DNS-серверы вместо легитимных.

В мае 2024 года Microsoft представила довольно сложную конструкцию внедрения DNS в клиентские устройства, что может решить некоторые проблемы.

Однако независимые специалисты по безопасности беспокоятся, что таким образом Microsoft блокирует систему DNS в сетях Windows. Принятие «белого списка» разрешённых IP-адресов требует максимального доверия к администратору этого списка и угрожает потенциальными злоупотреблениями.
Читать дальше →

Как удалить JavaScript из файлов PDF

Reading time3 min
Views8.5K
Как известно, внутри файлов PDF можно размещать скрипты JavaScript, которые будут запускаться на исполнение в браузере. Например, если загрузить этот PDF, то вы увидите результат выполнения скрипта:



Это стандартная функция формата. Все разработчики браузеров знают, что PDF подобно HTML является активным контентом и может содержать исполняемые скрипты.
Читать дальше →

Поиск секретов в программном коде (по энтропии)

Reading time3 min
Views2.7K
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др.

Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
Читать дальше →

Information

Rating
Does not participate
Works in
Registered
Activity