Как стать автором
Обновить
144.54
Сначала показывать

Gmail и Yahoo ужесточают правила для входящих писем: теперь DKM и DMARC обязательны

Время на прочтение 3 мин
Количество просмотров 17K

Как работает SPF

Владельцам собственных почтовых серверов (на своём хостинге) постоянно приходится следить за тем, чтобы их домен или IP-адрес не занесли в чёрный список. А с февраля 2024 года придётся ещё труднее, поскольку Gmail и Yahoo ужесточили правила для входящих писем (объявление Gmail, объявление Yahoo).

Для обычных пользователей хорошая новость в том, что спама станет меньше. А владельцам почтовых серверов теперь придётся следить ещё за «уровнем спама» со своих серверов, то есть сколько пользователей помещают их письма в спам.
Читать дальше →
Всего голосов 28: ↑25 и ↓3 +22
Комментарии 72

Групповые P2P-чаты и первый мессенджер без ID

Время на прочтение 3 мин
Количество просмотров 7.6K

Схема маршрутизации по протоколу SimpleX Messaging Protocol (SMP) напоминает луковую маршрутизацию

Недавно в списке защищённых мессенджеров появилось несколько интересных разработок. Среди них первый распределённый групповой P2P-чат Quiet и первый мессенджер без использования идентификаторов пользователей SimpleX, о котором уже упоминали на Хабре.
Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Комментарии 15

Редактирование и подпись PDF в браузере локально

Время на прочтение 3 мин
Количество просмотров 6.1K


За последние месяцы появилось несколько полезных инструментов для подписи и редактирования PDF. Опенсорсные веб-приложения работают через браузер, но локально на компьютере клиента, то есть без передачи документов на сервер. Вся «установка» таких приложений сводится к сохранению HTML с сайта и запуску из кэша.

В некоторых случаях эти современные приложения могут составить альтернативу платным нативным программам, таким как Adobe Acrobat Pro и DocuSign.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Комментарии 2

Атака на SSH и взлом туннелей VPN

Время на прочтение 4 мин
Количество просмотров 15K


SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. То есть в будущем его могут расшифровать, будь найдена уязвимость, подрывающая базовую криптографию.

Опасную уязвимость нашли исследователи из Рурского университета в Бохуме. Атака получила название Terrapin (CVE-2023-48795). Правда, её вряд ли можно использовать именно на сохранённом трафике, потому что схема MiTM предусматривает подбор значений во время рукопожатия сервера и клиента. У злоумышленника должен быть доступ к каналу и возможность подменять пакеты.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 20

Компьютерная безопасность страдает от устаревших технологий

Время на прочтение 3 мин
Количество просмотров 8.4K


Летом 2023 года известный специалист по безопасности Мэтью Грин написал в твиттере: «Проблема компьютерной безопасности будет решена на 80%, если мы просто уберём из продакшна все технологии, изображённые на этой диаграмме» (полная версия картинки под катом).

При взгляде на перечисленные аббревиатуры бросается в глаза, что всем этим стандартам по нескольку десятков лет. За эти годы в каждой обнаружили десятки, если не сотни уязвимостей, а хакеры научились их эксплуатировать практически с закрытыми глазами. В легаси-форматах баги чувствуют себя как дома, словно водоросли в старом болоте.
Читать дальше →
Всего голосов 10: ↑7 и ↓3 +4
Комментарии 10

Безопасность DevOps. Автоматизация и новые инструменты

Время на прочтение 6 мин
Количество просмотров 5.3K

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner. См. также обновление за 2023 год

В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически.

Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner).

Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Комментарии 0

Безопасность DevOps. Обучение сотрудников

Время на прочтение 4 мин
Количество просмотров 5.2K


В предыдущей статье мы упомянули основную проблему современных практик DevOps и конвейера CI/CD (Continuous Integration/Continuous Delivery). Основная проблема с точки зрения безопасности в том, что проверка уязвимостей и мониторинг безопасности стоят в конце цикла разработки, перед развёртыванием продукта.

Более грамотный подход заключается в том, чтобы интегрировать практики по безопасности DevSecOps на раннем этапе (проактивный подход на КДПВ), а не постфактум. Первым делом программисты проходят обучение на предмет информационной безопасности, см. примерный план программы обучения для разработчиков. После этого инструменты безопасности интегрируются непосредственно в рабочий процесс.
Читать дальше →
Всего голосов 11: ↑7 и ↓4 +3
Комментарии 1

Безопасность DevOps. Стратегическое планирование

Время на прочтение 3 мин
Количество просмотров 3.4K

Интеграция инструментов оценки рисков в рабочий процесс DevOps. Источник: Gartner

Почти двадцать лет индустрия IT всё активнее переходит к внедрению практик DevOps. Автоматизация технологических процессов сборки, настройки и развёртывания ПО со взаимной интеграцией этих процессов — всё это помогает в разработке высококачественных приложений на высокой скорости и с большей эффективностью благодаря использованию конвейеров CI/CD (Continuous Integration/Continuous Delivery).

Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Сам конвейер работает на непрерывной основе, включая тестирование и исправление багов. Но когда речь заходит о безопасности, то проверка уязвимостей и мониторинг безопасности, как правило, стоят в конце цикла, перед развёртыванием продукта.

Это не самый лучший подход, считают специалисты по безопасноcти.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 2

Bluetooth-жучки — за чем можно легально следить, а за чем нельзя

Время на прочтение 4 мин
Количество просмотров 11K


Мы вступаем в эпоху повсеместной слежки. И если раньше такие возможности были доступны только правоохранительным органам, то теперь они есть в каждом смартфоне: это диктофон и камера для записи видео и звука, GPS- и Bluetooth-трекеры для отслеживания координат? MAC-адрес и IMSI как уникальные идентификаторы устройства. Этого более чем достаточно для полного отслеживания всех активностей человека. Точно так же за своими пользователями следят телевизоры и другие домашние гаджеты, а также автомобильный софт. Они регистрируют все передвижения и активности человека в салоне. Затем данные отправляются автомобильной компании, которая впоследствии их продаёт.

Всё это известная история. Но сейчас индустрия выросла до такого уровня, что следящие гаджеты и трекеры может использовать любой желающий. «Шпионские приборы» и жучки, которые раньше встречались только в кино, поступили в открытую продажу. Вопрос в том, какие из них можно использовать легально, а какие нет.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Комментарии 45

Пароль не нужен. Разбиение файла на зашифрованные фрагменты по схеме Шамира

Время на прочтение 4 мин
Количество просмотров 13K


После того как Google отказалась от паролей и перешла на Passkey по умолчанию создаётся впечатление, что концепция текстовых паролей (парольных фраз) сама по себе устарела. И действительно, в некоторых случаях можно добиться достаточного уровня безопасности без паролей вообще.

Например, простенькая утилита horcrux (крестраж*) разбивает файл на несколько зашифрованных частей (например, пять), причём для дешифровки и восстановления исходного текста не нужен пароль, а нужно найти и соединить несколько из этих частей (например, три). Предполагается, что сами отдельные части хранятся у разных людей в разных местах и/или надёжно спрятаны, например, в разных местах дома, сейфах, банковских ячейках и т. д.

*Крестраж — волшебный артефакт, созданный с помощью тёмной магии, из вселенной Гарри Поттера.
Читать дальше →
Всего голосов 34: ↑33 и ↓1 +32
Комментарии 14

Постквантовая защита WhatsApp, новый Matrix 2.0 и PoW-задачи для входа на сайт

Время на прочтение 4 мин
Количество просмотров 3.4K


На Хабре уже упоминали, что протокол Signal получил постквантовую защиту, хотя в краткой новости не вдавались в детали. Но это действительно важное событие с учётом того, что количество пользователей этого протокола превышает 1 млрд человек за счёт WhatsApp.

Signal применяется для криптографической защиты сессий в одноимённом мессенджере, в Google RCS, WhatsApp и др. Опенсорсный протокол можно использовать в любом ПО.

Итак, что изменилось в криптографической подсистеме?
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 2

John the Ripper и Hashcat. Эволюция брутфорса

Время на прочтение 4 мин
Количество просмотров 5.2K

Шифровальная машина M-209B стала прообразом первой юниксовой утилиты для шифрования паролей crypt

Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.

Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита crypt(3) до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 10

Какую информацию современный автомобиль собирает о водителе и пассажирах

Время на прочтение 5 мин
Количество просмотров 9.2K


Современный автомобиль — это не просто средство передвижения, а скорее компьютер на колёсах. Около половины его стоимости составляет электроника и софт: сенсоры, контроллеры, компьютерные компоненты и управляющее ПО.

К сожалению, вслед за производителями телевизоров и другой бытовой техники автоконцерны тоже открыли для себя новый источник доходов — сбор данных о своих пользователях (то есть автовладельцах). Такие выводы можно сделать из недавнего отчёта «Приватность не включена» от организации Mozilla. Если верить документу, современный автомобиль — это настоящий комбайн по сбору персональных данных.
Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Комментарии 63

Многие компании не готовы к автоматизации PKI

Время на прочтение 3 мин
Количество просмотров 1.9K


На рынке инфраструктуры открытых ключей (PKI) в ближайшее время могут произойти значительные изменения. Самое главное из них — предложение Google по сокращению срока службы сертификатов SSL/TLS. Максимально допустимым сроком сертификата станет 90 дней. Это потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов, чего и добивается Google.

Но проблема в том, что многие компании не готовы к такой автоматизации. Компания GMO GlobalSign провела исследование, чтобы выяснить основные причины этой неготовности.
Читать дальше →
Всего голосов 4: ↑3 и ↓1 +2
Комментарии 4

Методы хэширования паролей. Долгий путь после bcrypt

Время на прочтение 5 мин
Количество просмотров 6K

Шифровальная машина M-209, на основе которой создана первая в истории функция хэширования crypt в Unix

Прошло 25 лет с момента изобретения алгоритма хэширования bcrypt (1997), но он до сих пор считается одним из самых стойких к брутфорсу хэшей.

Вот уже несколько десятилетий некоторые специалисты прогнозируют, что аутентификация будет производиться ключами/сертификатами. Но этого до сих пор не случилось. Пароли остаются неотъемлемой частью систем информационной безопасности. Вообще, они широко использовались ещё до изобретения компьютеров, так что в таком долгожительстве нет ничего удивительного.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 6

Эволюция CAPTCHA: доказательство PoW, продвинутые боты

Время на прочтение 3 мин
Количество просмотров 4.1K


Поскольку во всех типах капчи системы ИИ показывают результат лучше человека, исследователи задались задачей придумать более эффективные методы защиты от ботов.

Например, mCaptcha — опенсорсная CAPTCHA, работающая по принципу proof-of-work. Её уже можно встретить на некоторых сайтах.
Читать дальше →
Всего голосов 16: ↑14 и ↓2 +12
Комментарии 25

Эволюция блокировщиков рекламы. Технологическое противостояние

Время на прочтение 3 мин
Количество просмотров 16K


Работа в интернете без блокировщиков рекламы практически невозможна. Всё больше людей используют их на постоянной основе, устанавливая также друзьям и родственникам. Что тут говорить, если даже ФБР официально рекомендует их использовать для защиты от мошенничества в интернете.

Однако некоторые интернет-компании до сих пор получают львиную часть дохода от интернет-рекламы, и для них блокировщики представляют экзистенциальную угрозу, поэтому они борются с ними всеми силами. В первую очередь, техническими мерами.
Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Комментарии 59

Домашние печки и чайники постоянно пингуют заграничные хосты

Время на прочтение 3 мин
Количество просмотров 32K


Домашние гаджеты — от холодильника до чайника — поумнели настолько, что теперь нуждаются в постоянной проверке сетевого подключения. Например, умные печки одного из производителей каждые пять минут пингуют три сервера:

  • google.com
  • baidu.cn
  • yandex.ru
Читать дальше →
Всего голосов 62: ↑57 и ↓5 +52
Комментарии 304

Альтернативные утилиты для PDF

Время на прочтение 4 мин
Количество просмотров 11K


Помимо программ от Adobe есть много альтернативных специализированных библиотек и утилит для работы с PDF. Что характерно, зачастую опенсорсные инструменты даже удобнее, чем официальный* софт. Альтернативные ридеры/редакторы по функциональности сильно отличаются от Adobe. В свою очередь, программы Adobe сами отличаются от официальных спецификаций PDF.

*Примечание: программы Adobe не «официальные» в прямом смысле слова, потому что PDF является открытым и бесплатным стандартом ИСО.
Читать дальше →
Всего голосов 9: ↑7 и ↓2 +5
Комментарии 25

Электромобили и станции зарядки — новый вектор атак

Время на прочтение 3 мин
Количество просмотров 4.4K


К сожалению, в 2023 году мы уже привыкли к новостям о новых кибератаках. Больницы, банки, розничные магазины, конкретные люди — уязвимы все.

Задача отрасли ИБ состоит в том, чтобы устранить проблему до её возникновения. Отличным примером этого может служить грядущее наступление электромобилей (EV), беспилотных автомобилей, зарядных станций EV и смежных облачных сервисов. Ясно, что за этим будущее. Но заранее понятно также то, что вся эта инфраструктура представляет собой жирную мишень для хакеров.
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Комментарии 14

Информация

Сайт
www.globalsign.com
Дата регистрации
Дата основания
1996
Численность
501–1 000 человек
Местоположение
Япония