Как стать автором
Обновить

Компания Код Безопасности временно не ведёт блог на Хабре

Сначала показывать

Как построить датчик случайных чисел с участием человека?

Время на прочтение6 мин
Количество просмотров6.4K
Предлагается подход к построению биологического датчика случайных чисел, то есть датчика, вырабатывающего случайную последовательность путем реализации случайных испытаний, основанных на случайном характере многократного взаимодействия человека с персональным вычислительным средством. Подход основан на вычислении ряда величин, связанных со случайной реакцией пользователя на псевдослучайный процесс, отображаемый на экране персонального или планшетного компьютера.
Читать дальше →
Всего голосов 8: ↑3 и ↓5-2
Комментарии2

GSM-ловушки: ещё один привет от Большого Брата

Время на прочтение11 мин
Количество просмотров128K


Предлагаю сегодня поговорить о скрытой и неизведанной области — GSM-связи. Почему же неизведанной, спросите вы? Ведь все носят в кармане сотовый телефон, чуть ли не дошкольники ходят с ними, а базовые станции висят на каждом столбе? Увы, обыватель считает, что всё просто и прозрачно: совершает звонки, посылает СМС. И редко задумывается над процессами, которые обеспечивают все эти действия. В этом статье я попробую показать, что GSM-связь — с одной стороны весьма непрозрачная тема, а с другой — прорва уязвимостей. Если конкретнее – то поговорим о так называемых IMSI-ловушках (или IMSI-catchers).

Подробности
Всего голосов 41: ↑39 и ↓2+37
Комментарии37

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Время на прочтение6 мин
Количество просмотров17K
Введение

Летом 2015 года перед нами, разработчиками «Кода безопасности», встала задача реализации защищенного хранилища под Android с шифрованием по стандартам, признанным российским законодательством. До этого у нас уже было решение на планшете, к которому имелись исходники Android. И это позволило нам выпустить обновленное ядерное шифрование (dm-crypt) под поддержку ГОСТ 89, добавить в /system/lib ГОСТ-библиотеки, пропатчить cryptofs подсистему демона vold. В итоге в нашем распоряжении оказалось решение, которое подходило лишь для определенной модели планшета, и не являлось универсальным. Узнав, что в Android версии 4.4 (API уровня 19) появился API, позволяющий осуществлять доступ к данным после регистрации и реализации своего кастомного DocumentsProvider, мы решили создать решение, использующее GOST-шифрование в userspace с использованием данного API, которое не зависело бы от модели устройства.
Для тех, кто заитересовался — добро пожаловать под кат.

Читать дальше →
Всего голосов 19: ↑17 и ↓2+15
Комментарии36

Случайности не случайны?

Время на прочтение12 мин
Количество просмотров11K
Аннотация
Статья посвящена систематизации основных положений о случайных и псевдослучайных последовательностях (СП и ПСП) чисел. Дан краткий обзор известных подходов к тестированию на случайность генерируемых последовательностей. Прикладное значение данной тематики определяется тем, что ПСП широко используются в криптографических системах защиты информации для выработки ключевой и вспомогательной информации (случайные числа, векторы инициализации и пр.).



Читать дальше →
Всего голосов 6: ↑3 и ↓30
Комментарии13

Шифрование ГОСТ 28147-89 на х86- и GPU-процессорах

Время на прочтение6 мин
Количество просмотров30K
В статье представляются результаты тестирования оптимизированных алгоритмов шифрования ГОСТ, полученные в сентябре и марте 2014 г. компанией “Код Безопасности”, на новых серверных процессорах Intel, а также на графических процессорах различных производителей.

Ускорение шифрования ГОСТ 28147–89


С развитием ИТ-технологий резко возросли объемы данных, передаваемых по глобальной сети Интернет, находящихся в сетевых хранилищах и обрабатываемых в «облаках». Часть этих данных конфиденциальна, поэтому необходимо обеспечить их защиту от несанкционированного доступа. Для защиты конфиденциальных данных традиционно используется шифрование, а при шифровании больших объемов используют алгоритмы симметричного шифрования, такие как широко известный блочный алгоритм – AES. Для соответствия российскому законодательству при шифровании таких сведений, как персональные данные, необходимо использовать отечественный алгоритм симметричного блочного шифрования ГОСТ 28147–89.
Читать дальше →
Всего голосов 28: ↑25 и ↓3+22
Комментарии32

Встраивание в ядро Linux: перехват системных вызовов

Время на прочтение17 мин
Количество просмотров26K
Под термином «системный вызов» в программировании и вычислительной технике понимается обращение прикладной программы к ядру операционной системы (ОС) для выполнения какой-либо операции. Ввиду того что такое взаимодействие является основным, перехват системных вызовов представляется важнейшим этапом встраивания, т.к. позволяет осуществлять контроль ключевого компонента ядра ОС — интерфейса системных вызовов, что, в свою очередь, даёт возможность инспектировать запросы прикладного ПО к сервисам ядра.

Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты, и, в частности, встраиванию в программные системы.

Читать дальше →
Всего голосов 33: ↑33 и ↓0+33
Комментарии8

Статистическая проверка случайности двоичных последовательностей методами NIST

Время на прочтение16 мин
Количество просмотров59K


Любой, кто, так или иначе, сталкивался с криптографией, знает, что без генераторов случайных чисел в этом деле не обойтись. Одно из возможных применений таких генераторов, например, – генерация ключей. Но не каждый при этом задумывается, а насколько «хорош» тот или иной генератор. А если и задумывался, то сталкивался с тем фактом, что в мире не существует какого-либо единственного «официального» набора критериев, который бы оценивал, насколько данные случайные числа применимы именно для данной области криптографии. Если последовательность случайных чисел предсказуема, то даже самый стойкий алгоритм шифрования, в котором данная последовательность будет использоваться, оказывается, уязвим — например, резко уменьшается пространство возможных ключей, которые необходимо «перебрать» злоумышленнику для получения некоторой информации, с помощью которой он сможет «взломать» всю систему. К счастью, разные организации все же пытаются навести здесь порядок, в частности, американский институт по стандартам NIST разработал набор тестов для оценки случайности последовательности чисел. О них и пойдет речь в данной статье. Но сначала — немного теории (постараюсь изложить не нудно).

Читать дальше →
Всего голосов 33: ↑31 и ↓2+29
Комментарии21

Как vGate поможет в расследовании ИБ-инцидентов в виртуальной инфраструктуре

Время на прочтение5 мин
Количество просмотров15K
Современные виртуальные дата-центры, как правило, хорошо защищены от атак извне. Традиционно в виртуальных инфраструктурах (ВИ) применяются межсетевые экраны, антивирусы, IPS/IDS и другие компоненты, однако про атаки изнутри почему-то зачастую забывают, всецело доверяя администраторам ВИ. При этом специфика виртуальной инфраструктуры предполагает большее, по сравнению с физической средой, количество привилегированных пользователей, что автоматически создает для ВИ отдельную группу инцидентов, связанных с умышленными (например, копирование защищаемой информации) или неумышленными действиями (например, администратор случайно выключил хост). Таким образом, в виртуальной инфраструктуре необходимо контролировать и ограничивать доступ привилегированных пользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.
Читать дальше →
Всего голосов 11: ↑8 и ↓3+5
Комментарии8

Встраивание в ядро Linux: перехват функций

Время на прочтение9 мин
Количество просмотров17K
Перехват функций ядра является базовым методом, позволяющим переопределять/дополнять различные его механизмы. Исходя из того, что ядро Linux почти полностью написано на языке C, за исключением небольших архитектурно-зависимых частей, можно утверждать, что для осуществления встраивания в большинство из компонентов ядра достаточно иметь возможность перехвата соответствующих функций.

Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты и, в частности, встраиванию в программные системы.

Читать дальше →
Всего голосов 31: ↑26 и ↓5+21
Комментарии37

Как сделать из ядра Linux Windows?

Время на прочтение6 мин
Количество просмотров17K
Практический опыт разработки наложенных средств защиты

Мы начинаем публикацию цикла практических статей, посвящённых частным вопросам реализации наложенных средств защиты, а именно — встраиванию в программные системы. На примере ядра Linux будут рассмотрены методы и средства, используемые для модификации, расширения и дополнения его функциональных возможностей.

Первая статья будет вводной с кратким обзором ключевых методов встраивания. Далее, мы подробнее рассмотрим отдельные методы встраивания, уделяя внимание техническим деталям.

Читать дальше →
Всего голосов 34: ↑8 и ↓26-18
Комментарии34

Уязвимости гипервизора – угроза виртуальной инфраструктуре и облаку

Время на прочтение4 мин
Количество просмотров16K
При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В этой статье хотелось бы поговорить про одну из основных «новых» угроз в виртуальной среде – уязвимости гипервизора.
Рассмотрим основные классы уязвимостей гипервизоров на примере VMware vSphere и возможные пути защиты от их эксплуатации.
Читать дальше →
Всего голосов 12: ↑7 и ↓5+2
Комментарии10

Криптография побочных эффектов

Время на прочтение14 мин
Количество просмотров15K
Благодаря Ричарду Сноудену все больше людей теперь знают, что такое АНБ и чем оно занимается. Исходя из внутренних презентаций, которые были раскрыты, очевидно, что АНБ тратит немало усилий не только на коллекционирование трафика и внедрение “правильных” программ в сети интернет-провайдеров и софтверных гигантов, но и на анализ криптоалгоритмов. В открытый доступ попал 178-страничный документ с бюджетом национальной безопасности на 2013 год. Из него следует, что на проект Consolidated Cryptologic Program было потрачено 11 млрд. долларов. Что же можно сделать за такие деньги? Уж точно потратить с пользой. Например, на строительство гигантского вычислительного центра в штате Юта за 2 млрд. долларов, прямо в логове мормонов. Центр cодержит 2300 м2 площади под серверы, имеет собственную электростанцию в 65 Мегаватт и 60 тыс. тонн холодильного оборудования, чтобы все это охлаждать. В 2012 году из официальных уст было весьма завуалированно заявлено, что АНБ недавно достигла прорывных успехов в криптоанализе и взломе сложных систем. Уж не для этого ли им понадобился новый дата-центр? Гуру криптографии Брюс Шнайер прокомментировал эти заявления и высказал мнение, что АНБ вряд ли сможет в ближайшее время взломать какой-нибудь современный стойкий шифр, например AES. И далее сделал предположение, что АНБ направит свои усилия не на “честный” взлом алгоритмов, а на нахождение уязвимостей в самой реализации этих алгоритмов. Брюс выделил несколько областей, где можно достичь успеха:
  • атака на процедуру генерации ключа, где эксплуатируются халтурные датчики случайных чисел
  • атака на слабое звено в передачи данных (например, канал защищен хорошо, а сетевой коммутатор — плохо)
  • атака на шифры со слабыми ключами, которые еще осталось кое-где по недосмотру системных администраторов (хороший кандидат – RSA с 1024-битным ключом)
  • атака на побочные эффекты

Попробуем разобраться, что такое атаки на побочные эффекты.
Читать дальше →
Всего голосов 28: ↑26 и ↓2+24
Комментарии2

Анализируем новые приказы ФСТЭК России № 17 и № 21

Время на прочтение3 мин
Количество просмотров16K

О приказах ФСТЭК России № 17 и № 21 высказались, наверное, уже все эксперты сообщества, перемыли косточки и разложили по полочкам все новации нашего регулятора. Поэтому планируя вебинар на эту тему, мы рассчитывали на традиционное количество в 150–200 участников.



Реальность существенно превзошла наши ожидания. Более 600 зарегистрировавшихся участников – объективный показатель того, что информации по этой теме до сих пор не достаточно, наши партнеры и заказчики нуждаются в дополнительных разъяснениях новых положений.

Читать дальше →
Всего голосов 7: ↑2 и ↓5-3
Комментарии0

Кто сторожит сторожей?

Время на прочтение2 мин
Количество просмотров5K

Компания iViZ Security, специализирующаяся на проведении тестов на проникновение, опубликовала свой очередной отчет «(In) Security in Security Products 2013», в котором отметила бурный всплеск числа уязвимостей в security-решениях. В 2012 году, на фоне примерно 20% роста общего числа уязвимостей, количество уязвимостей в security-продуктах выросло почти в 3 раза!

Читать дальше →
Всего голосов 3: ↑2 и ↓1+1
Комментарии3

Обновленное видение подходов к ИБ от Gartner

Время на прочтение2 мин
Количество просмотров1.7K

Аналитики Gartner обновили документ двухлетней давности с обзором основных инициатив в области технологий и сервисов ИБ, которые необходимо реализовать для снижения рисков от внутренних и внешних угроз.

Читать дальше →
Всего голосов 3: ↑1 и ↓2-1
Комментарии0

Защита сервера Microsoft Hyper-V от несанкционированного сетевого доступа

Время на прочтение5 мин
Количество просмотров15K
В настоящее время виртуализация получила широкое распространение и используется повсеместно для решения самых разнообразных задач.

Мы решили разобраться, нуждаются ли современные платформы виртуализации в дополнительных средствах защиты информации и могут ли продукты Кода Безопасности быть полезны для повышения их уровня защищенности и для выполнения требований регуляторов при обработке персональных данных и сведений, составляющих государственную тайну, на таких платформах.
Читать дальше →
Всего голосов 15: ↑7 и ↓8-1
Комментарии1

Как считать ROI для средств защиты информации?

Время на прочтение2 мин
Количество просмотров7.5K
ROI расшифровывается как Return on Investment и является, по сути, коэффициентом окупаемости инвестиций. Компаниям, независимо от их вида деятельности и специфики рынков, на которых они работают, всегда имеет смысл уделять внимание аспекту возврата инвестиций при покупке программного обеспечения. При приобретении того или иного корпоративного программного решения именно показатель ROI может помочь правильно сделать выбор между продуктами, разработанными различными российскими и западными вендорами. Расчет ROI в настоящее время становится одним из важных инструментов, используемых компаниями при принятии решения о покупке ПО.
Читать дальше →
Всего голосов 2: ↑2 и ↓0+2
Комментарии0

Демонстрация настройки TrustAccess

Время на прочтение1 мин
Количество просмотров3.3K
В ролике демонстрируется развертывание и настройка решения «с нуля» на примере сценария разграничения доступа к общим папкам файл-сервера. Весь процесс, включая инсталляцию компонентов TrustAccess и настройку правил фильтрации, занимает всего несколько минут.

Читать дальше →
Всего голосов 5: ↑1 и ↓4-3
Комментарии0

Что такое honeypot и от чего защищать виртуальные ИС?

Время на прочтение2 мин
Количество просмотров5.3K
Хочется написать пару слов о том, что, оказывается, есть такие решения для защиты информации, которые еще в новинку для многих российских компаний. То ли в силу своей нераскрученности, то ли в силу того, что все новое в России появляется позднее, чем во всем остальном мире, но это так.

Хотя, казалось бы, что еще такого нового можно придумать в области ИБ? Перечень ИБ решений и технологий, программных и аппаратных, уже давно всем известен и понятен. Но, как показывает опыт «Кода Безопасности», еще есть технологии и программные решения на их основе, которые только набирают обороты в плане использования в российских компаниях. То есть «неизведанные зоны» на карте технологий защиты информации для российских компаний все еще остались.
Читать дальше →
Всего голосов 6: ↑2 и ↓4-2
Комментарии3

Требуйте защиты своих персональных данных, не отходя от кассы

Время на прочтение3 мин
Количество просмотров13K
На днях нам попалась заметка хабражителя Mairon, найденная по теме «Защита моих персональных данных – мое личное дело».

Вызвала эта заметка массу мыслей и соображений, даже взволновала не на шутку. Спешим поделиться с Хабром своими мыслями на указанную тему.

Постоянно приходится слышать на всех мероприятиях, которые по долгу службы мы регулярно посещаем, бесконечное причитание представителей солидных, небедных компаний о том, что «как-так можно выполнить требования ФЗ-152 нам не понятно?», «как-так столько денег надо на это потратить?», «как-так государство не выделило нам средств на это?»… Все это происходит на фоне нашей повседневной, личной некорпоративной жизни, где мы постоянно сталкиваемся:
  • с обязательной галочкой про передачу ПД третьим лицам во всех договорах, которые нам подсовывают банки, страховые, поставщики разных товаров в Интернет-магазинах и так далее, с которыми мы подписываем договоры
  • с наглыми «звездочками» напротив обязательных к заполнению строчек, во всех он-лайн регистрационных формах на разных сайтах,
  • с постоянно заполненным спамом личным электронным ящиком и множеством рекламных смсок…
  • перечисление можно продолжать…
Читать дальше →
Всего голосов 10: ↑6 и ↓4+2
Комментарии12
1