Pull to refresh
163
29
GlobalSign_admin @GlobalSign_admin

информационная безопасность

Пароль не нужен. Разбиение файла на зашифрованные фрагменты по схеме Шамира

Reading time 4 min
Views 9K


После того как Google отказалась от паролей и перешла на Passkey по умолчанию создаётся впечатление, что концепция текстовых паролей (парольных фраз) сама по себе устарела. И действительно, в некоторых случаях можно добиться достаточного уровня безопасности без паролей вообще.

Например, простенькая утилита horcrux (крестраж*) разбивает файл на несколько зашифрованных частей (например, пять), причём для дешифровки и восстановления исходного текста не нужен пароль, а нужно найти и соединить несколько из этих частей (например, три). Предполагается, что сами отдельные части хранятся у разных людей в разных местах и/или надёжно спрятаны, например, в разных местах дома, сейфах, банковских ячейках и т. д.

*Крестраж — волшебный артефакт, созданный с помощью тёмной магии, из вселенной Гарри Поттера.
Читать дальше →
Total votes 30: ↑29 and ↓1 +28
Comments 10

Постквантовая защита WhatsApp, новый Matrix 2.0 и PoW-задачи для входа на сайт

Reading time 4 min
Views 2.8K


На Хабре уже упоминали, что протокол Signal получил постквантовую защиту, хотя в краткой новости не вдавались в детали. Но это действительно важное событие с учётом того, что количество пользователей этого протокола превышает 1 млрд человек за счёт WhatsApp.

Signal применяется для криптографической защиты сессий в одноимённом мессенджере, в Google RCS, WhatsApp и др. Опенсорсный протокол можно использовать в любом ПО.

Итак, что изменилось в криптографической подсистеме?
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Comments 2

John the Ripper и Hashcat. Эволюция брутфорса

Reading time 4 min
Views 4.3K

Шифровальная машина M-209B стала прообразом первой юниксовой утилиты для шифрования паролей crypt

Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.

Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита crypt(3) до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.
Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Comments 10

Какую информацию современный автомобиль собирает о водителе и пассажирах

Reading time 5 min
Views 8.6K


Современный автомобиль — это не просто средство передвижения, а скорее компьютер на колёсах. Около половины его стоимости составляет электроника и софт: сенсоры, контроллеры, компьютерные компоненты и управляющее ПО.

К сожалению, вслед за производителями телевизоров и другой бытовой техники автоконцерны тоже открыли для себя новый источник доходов — сбор данных о своих пользователях (то есть автовладельцах). Такие выводы можно сделать из недавнего отчёта «Приватность не включена» от организации Mozilla. Если верить документу, современный автомобиль — это настоящий комбайн по сбору персональных данных.
Читать дальше →
Total votes 30: ↑28 and ↓2 +26
Comments 62

Многие компании не готовы к автоматизации PKI

Reading time 3 min
Views 1.8K


На рынке инфраструктуры открытых ключей (PKI) в ближайшее время могут произойти значительные изменения. Самое главное из них — предложение Google по сокращению срока службы сертификатов SSL/TLS. Максимально допустимым сроком сертификата станет 90 дней. Это потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов, чего и добивается Google.

Но проблема в том, что многие компании не готовы к такой автоматизации. Компания GMO GlobalSign провела исследование, чтобы выяснить основные причины этой неготовности.
Читать дальше →
Total votes 4: ↑3 and ↓1 +2
Comments 4

Методы хэширования паролей. Долгий путь после bcrypt

Reading time 5 min
Views 5.1K

Шифровальная машина M-209, на основе которой создана первая в истории функция хэширования crypt в Unix

Прошло 25 лет с момента изобретения алгоритма хэширования bcrypt (1997), но он до сих пор считается одним из самых стойких к брутфорсу хэшей.

Вот уже несколько десятилетий некоторые специалисты прогнозируют, что аутентификация будет производиться ключами/сертификатами. Но этого до сих пор не случилось. Пароли остаются неотъемлемой частью систем информационной безопасности. Вообще, они широко использовались ещё до изобретения компьютеров, так что в таком долгожительстве нет ничего удивительного.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Comments 6

Эволюция CAPTCHA: доказательство PoW, продвинутые боты

Reading time 3 min
Views 3.8K


Поскольку во всех типах капчи системы ИИ показывают результат лучше человека, исследователи задались задачей придумать более эффективные методы защиты от ботов.

Например, mCaptcha — опенсорсная CAPTCHA, работающая по принципу proof-of-work. Её уже можно встретить на некоторых сайтах.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Comments 25

Эволюция блокировщиков рекламы. Технологическое противостояние

Reading time 3 min
Views 15K


Работа в интернете без блокировщиков рекламы практически невозможна. Всё больше людей используют их на постоянной основе, устанавливая также друзьям и родственникам. Что тут говорить, если даже ФБР официально рекомендует их использовать для защиты от мошенничества в интернете.

Однако некоторые интернет-компании до сих пор получают львиную часть дохода от интернет-рекламы, и для них блокировщики представляют экзистенциальную угрозу, поэтому они борются с ними всеми силами. В первую очередь, техническими мерами.
Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Comments 59

Домашние печки и чайники постоянно пингуют заграничные хосты

Reading time 3 min
Views 31K


Домашние гаджеты — от холодильника до чайника — поумнели настолько, что теперь нуждаются в постоянной проверке сетевого подключения. Например, умные печки одного из производителей каждые пять минут пингуют три сервера:

  • google.com
  • baidu.cn
  • yandex.ru
Читать дальше →
Total votes 62: ↑57 and ↓5 +52
Comments 304

Альтернативные утилиты для PDF

Reading time 4 min
Views 10K


Помимо программ от Adobe есть много альтернативных специализированных библиотек и утилит для работы с PDF. Что характерно, зачастую опенсорсные инструменты даже удобнее, чем официальный* софт. Альтернативные ридеры/редакторы по функциональности сильно отличаются от Adobe. В свою очередь, программы Adobe сами отличаются от официальных спецификаций PDF.

*Примечание: программы Adobe не «официальные» в прямом смысле слова, потому что PDF является открытым и бесплатным стандартом ИСО.
Читать дальше →
Total votes 9: ↑7 and ↓2 +5
Comments 25

Электромобили и станции зарядки — новый вектор атак

Reading time 3 min
Views 4.4K


К сожалению, в 2023 году мы уже привыкли к новостям о новых кибератаках. Больницы, банки, розничные магазины, конкретные люди — уязвимы все.

Задача отрасли ИБ состоит в том, чтобы устранить проблему до её возникновения. Отличным примером этого может служить грядущее наступление электромобилей (EV), беспилотных автомобилей, зарядных станций EV и смежных облачных сервисов. Ясно, что за этим будущее. Но заранее понятно также то, что вся эта инфраструктура представляет собой жирную мишень для хакеров.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Comments 14

Крупнейшие IT-корпорации вводят «DRM для сайтов». Аттестация устройств и токены приватного доступа

Reading time 6 min
Views 10K


Компании Google и Apple представили две похожие технологии «для борьбы с онлайн-мошенничеством и другими злоупотреблениями без ущерба для приватности». Инициатива Google называется Web Environment Integrity (WEI). Похожая технология от Apple под названием Private Access Tokens (токены приватного доступа) представлена в прошлом году, а сейчас интегрирована в MacOS 13, iOS 16 и Safari, то есть официально введена в строй.

Суть в том, что Google или Apple выполняют проверку клиентского устройства — и гарантируют серверу его аутентичность. В свою очередь, сервер отдаёт контент только «правильным» посетителям.

Некоторые специалисты считают, что аттестация устройств вредна по своей сути, поскольку вводит ограничения на доступ к контенту и блокирует контроль пользователей над собственными устройствами (например, можно запретить доступ к сайту для пользователей с рутованными телефонами, старыми версиями приложений или блокировщиками рекламы).
Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Comments 52

Самый быстрый браузер

Reading time 5 min
Views 59K


В июле 2023 года произошло важное событие — Firefox превзошёл Chrome в популярном тесте Speedometer, который измеряет скорость работы браузеров.

Были времена, когда Firefox считался медленным и неповоротливым браузером, потребляющим много памяти и в целом «тормозным». Когда появился Chrome, то некоторые пользователи перешли на него из-за лучшей производительности. Сейчас ситуация кардинально меняется.

Как Mozilla сумела добиться такого результата?
Читать дальше →
Total votes 119: ↑118 and ↓1 +117
Comments 140

Нерасшифрованное сообщение «Энигмы»

Reading time 3 min
Views 22K


Как известно, одной из главных уязвимостей шифровальной машины «Энигма» было то, что она никогда не кодировала буквы исходного сообщения в те же самые буквы шифротекста. Именно эта слабость стала ключом для взлома алгоритма и реконструкции хитроумного механизма.

Несмотря на это, до сих пор осталось одно нерасшифрованное сообщение. Оно датируется 1 мая 1945 года (на фото).
Читать дальше →
Total votes 43: ↑32 and ↓11 +21
Comments 23

Первое доказательство невскрываемой стеганографии

Reading time 4 min
Views 8.7K


В теории информации для сравнения распределений вероятностей используется понятие относительной энтропии. Это похоже на измерение абстрактного расстояния: если относительная энтропия между двумя распределениями равна нулю, то становится невозможно применить статистический анализ для раскрытия секрета.

Другими словами, никакое статистическое наблюдение не сможет его обнаружить. Ни человек, ни машина не сможет детектировать наличие скрытого послания внутри текста, изображения, в звукозаписи речи или другом канале коммуникации. Передача будет идеально скрыта.

В прошлом году учёные доказали, что создание такого алгоритма теоретически возможно. Это и есть математически идеальная стеганография.
Читать дальше →
Total votes 21: ↑19 and ↓2 +17
Comments 7

Насколько опасна JavaScript-криптография?

Reading time 4 min
Views 5K


Каждые несколько лет среди специалистов по безопасности поднимаются дискуссии о вреде JS-криптографии. Сейчас они возобновились. Что стало поводом и почему у некоторых специалистов такое предубеждение к криптографическим операциям в браузере? Попробуем разобраться.
Читать дальше →
Total votes 29: ↑15 and ↓14 +1
Comments 8

Новый стандарт для онлайн-платежей: SPC

Reading time 3 min
Views 2.2K


В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation).

SPC делает стандартом для финансовых транзакций браузерную криптографию Web Authentication (WebAuthn). Это платежи по отпечатку пальца/скану лица/пинкоду и т. д. Теперь вместо кода или SMS для подтверждения транзакции 2FA можно предъявлять отпечаток пальца.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Comments 10

Ключи Passkeys — начало постпарольной эпохи? Не так быстро…

Reading time 5 min
Views 17K


В мае 2023 года компания Google присоединилась к общему тренду отказа от паролей — и выкатила passkeys (ключи доступа), которые позволяют войти в аккаунт без пароля, а по пальцу, лицу, локальному пинкоду или аппаратному ключу. То есть авторизоваться в Google тем же методом, которым вы авторизуетесь в операционной системе (на смартфоне или ПК). Ранее об отказе от паролей заявила Microsoft.

По своей природе парольные ключи невозможно «потерять». Ими не может воспользоваться злоумышленник. Разработчики заявляют, что такие ключи надёжнее обычных паролей и даже надёжнее, чем 2FA через SMS, поскольку SMS легко перехватить.

Хотя некоторые говорят о начале постпарольной эпохи, всё-таки подобный оптимизм кажется слегка чрезмерным.
Читать дальше →
Total votes 24: ↑21 and ↓3 +18
Comments 95

Восстановление криптоключей по яркости LED-индикатора питания

Reading time 4 min
Views 9.2K

Экспериментальная установка. Камера наблюдения (слева) снимает индикатор питания на смарт-ридере (справа) с расстояния 16 м

Известный эксперт в области криптоанализа Бен Насси (Ben Nassi) с коллегами из университета им. Бен-Гуриона опубликовали результаты уникальных экспериментов по восстановлению криптографических ключей с помощью видеозаписи светодиода питания устройства, на котором хранится/используется этот ключ.

Для извлечения секретного ключа достаточно нескольких секунд видеозаписи с камеры наблюдения (издали) или со смартфона (вблизи, с роллинг-шаттером).
Читать дальше →
Total votes 28: ↑26 and ↓2 +24
Comments 9

Домены .zip и .mov — новый вектор для фишинга

Reading time 3 min
Views 3.7K


В мае этого года компания Google Registry открыла для регистрации восемь новых gTLD: .dad, .phd, .prof, .esq, .foo, .zip, .mov и .nexus.

Особенное внимание привлекают .zip и .mov. Эти домены, созвучные с расширениями файлов, могут использоваться для фишинга. Есть как минимум несколько способов составления фишинговых URL. Например, с использованием символа @.
Читать дальше →
Total votes 31: ↑19 and ↓12 +7
Comments 1

Information

Rating
Does not participate
Works in
Registered
Activity