Как стать автором
Обновить

Компания Код Безопасности временно не ведёт блог на Хабре

Сначала показывать
  • Новые
  • Лучшие

Как построить датчик случайных чисел с участием человека?

Блог компании Код Безопасности Информационная безопасность *Криптография *Анализ и проектирование систем *Алгоритмы *
Предлагается подход к построению биологического датчика случайных чисел, то есть датчика, вырабатывающего случайную последовательность путем реализации случайных испытаний, основанных на случайном характере многократного взаимодействия человека с персональным вычислительным средством. Подход основан на вычислении ряда величин, связанных со случайной реакцией пользователя на псевдослучайный процесс, отображаемый на экране персонального или планшетного компьютера.
Читать дальше →
Всего голосов 8: ↑3 и ↓5 -2
Просмотры 4.9K
Комментарии 2

GSM-ловушки: ещё один привет от Большого Брата

Блог компании Код Безопасности


Предлагаю сегодня поговорить о скрытой и неизведанной области — GSM-связи. Почему же неизведанной, спросите вы? Ведь все носят в кармане сотовый телефон, чуть ли не дошкольники ходят с ними, а базовые станции висят на каждом столбе? Увы, обыватель считает, что всё просто и прозрачно: совершает звонки, посылает СМС. И редко задумывается над процессами, которые обеспечивают все эти действия. В этом статье я попробую показать, что GSM-связь — с одной стороны весьма непрозрачная тема, а с другой — прорва уязвимостей. Если конкретнее – то поговорим о так называемых IMSI-ловушках (или IMSI-catchers).

Подробности
Всего голосов 41: ↑39 и ↓2 +37
Просмотры 107K
Комментарии 37

Сказ о том, как ГОСТ-шифрование диска в Android реализовывали

Блог компании Код Безопасности Криптография *Разработка под Android *
Введение

Летом 2015 года перед нами, разработчиками «Кода безопасности», встала задача реализации защищенного хранилища под Android с шифрованием по стандартам, признанным российским законодательством. До этого у нас уже было решение на планшете, к которому имелись исходники Android. И это позволило нам выпустить обновленное ядерное шифрование (dm-crypt) под поддержку ГОСТ 89, добавить в /system/lib ГОСТ-библиотеки, пропатчить cryptofs подсистему демона vold. В итоге в нашем распоряжении оказалось решение, которое подходило лишь для определенной модели планшета, и не являлось универсальным. Узнав, что в Android версии 4.4 (API уровня 19) появился API, позволяющий осуществлять доступ к данным после регистрации и реализации своего кастомного DocumentsProvider, мы решили создать решение, использующее GOST-шифрование в userspace с использованием данного API, которое не зависело бы от модели устройства.
Для тех, кто заитересовался — добро пожаловать под кат.

Читать дальше →
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 16K
Комментарии 36

Случайности не случайны?

Блог компании Код Безопасности Криптография *Системное программирование *Алгоритмы *Функциональное программирование *
Аннотация
Статья посвящена систематизации основных положений о случайных и псевдослучайных последовательностях (СП и ПСП) чисел. Дан краткий обзор известных подходов к тестированию на случайность генерируемых последовательностей. Прикладное значение данной тематики определяется тем, что ПСП широко используются в криптографических системах защиты информации для выработки ключевой и вспомогательной информации (случайные числа, векторы инициализации и пр.).



Читать дальше →
Всего голосов 6: ↑3 и ↓3 0
Просмотры 8.8K
Комментарии 13

Шифрование ГОСТ 28147-89 на х86- и GPU-процессорах

Блог компании Код Безопасности Высокая производительность *Криптография *GPGPU *
В статье представляются результаты тестирования оптимизированных алгоритмов шифрования ГОСТ, полученные в сентябре и марте 2014 г. компанией “Код Безопасности”, на новых серверных процессорах Intel, а также на графических процессорах различных производителей.

Ускорение шифрования ГОСТ 28147–89


С развитием ИТ-технологий резко возросли объемы данных, передаваемых по глобальной сети Интернет, находящихся в сетевых хранилищах и обрабатываемых в «облаках». Часть этих данных конфиденциальна, поэтому необходимо обеспечить их защиту от несанкционированного доступа. Для защиты конфиденциальных данных традиционно используется шифрование, а при шифровании больших объемов используют алгоритмы симметричного шифрования, такие как широко известный блочный алгоритм – AES. Для соответствия российскому законодательству при шифровании таких сведений, как персональные данные, необходимо использовать отечественный алгоритм симметричного блочного шифрования ГОСТ 28147–89.
Читать дальше →
Всего голосов 28: ↑25 и ↓3 +22
Просмотры 28K
Комментарии 32

Встраивание в ядро Linux: перехват системных вызовов

Блог компании Код Безопасности Системное программирование *C *
Под термином «системный вызов» в программировании и вычислительной технике понимается обращение прикладной программы к ядру операционной системы (ОС) для выполнения какой-либо операции. Ввиду того что такое взаимодействие является основным, перехват системных вызовов представляется важнейшим этапом встраивания, т.к. позволяет осуществлять контроль ключевого компонента ядра ОС — интерфейса системных вызовов, что, в свою очередь, даёт возможность инспектировать запросы прикладного ПО к сервисам ядра.

Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты, и, в частности, встраиванию в программные системы.

Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры 24K
Комментарии 8

Статистическая проверка случайности двоичных последовательностей методами NIST

Блог компании Код Безопасности Криптография *


Любой, кто, так или иначе, сталкивался с криптографией, знает, что без генераторов случайных чисел в этом деле не обойтись. Одно из возможных применений таких генераторов, например, – генерация ключей. Но не каждый при этом задумывается, а насколько «хорош» тот или иной генератор. А если и задумывался, то сталкивался с тем фактом, что в мире не существует какого-либо единственного «официального» набора критериев, который бы оценивал, насколько данные случайные числа применимы именно для данной области криптографии. Если последовательность случайных чисел предсказуема, то даже самый стойкий алгоритм шифрования, в котором данная последовательность будет использоваться, оказывается, уязвим — например, резко уменьшается пространство возможных ключей, которые необходимо «перебрать» злоумышленнику для получения некоторой информации, с помощью которой он сможет «взломать» всю систему. К счастью, разные организации все же пытаются навести здесь порядок, в частности, американский институт по стандартам NIST разработал набор тестов для оценки случайности последовательности чисел. О них и пойдет речь в данной статье. Но сначала — немного теории (постараюсь изложить не нудно).

Читать дальше →
Всего голосов 33: ↑31 и ↓2 +29
Просмотры 47K
Комментарии 21

Как vGate поможет в расследовании ИБ-инцидентов в виртуальной инфраструктуре

Блог компании Код Безопасности Информационная безопасность *
Современные виртуальные дата-центры, как правило, хорошо защищены от атак извне. Традиционно в виртуальных инфраструктурах (ВИ) применяются межсетевые экраны, антивирусы, IPS/IDS и другие компоненты, однако про атаки изнутри почему-то зачастую забывают, всецело доверяя администраторам ВИ. При этом специфика виртуальной инфраструктуры предполагает большее, по сравнению с физической средой, количество привилегированных пользователей, что автоматически создает для ВИ отдельную группу инцидентов, связанных с умышленными (например, копирование защищаемой информации) или неумышленными действиями (например, администратор случайно выключил хост). Таким образом, в виртуальной инфраструктуре необходимо контролировать и ограничивать доступ привилегированных пользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.
Читать дальше →
Всего голосов 11: ↑8 и ↓3 +5
Просмотры 11K
Комментарии 8

Встраивание в ядро Linux: перехват функций

Блог компании Код Безопасности Системное программирование *
Перехват функций ядра является базовым методом, позволяющим переопределять/дополнять различные его механизмы. Исходя из того, что ядро Linux почти полностью написано на языке C, за исключением небольших архитектурно-зависимых частей, можно утверждать, что для осуществления встраивания в большинство из компонентов ядра достаточно иметь возможность перехвата соответствующих функций.

Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты и, в частности, встраиванию в программные системы.

Читать дальше →
Всего голосов 31: ↑26 и ↓5 +21
Просмотры 16K
Комментарии 37

Как сделать из ядра Linux Windows?

Блог компании Код Безопасности Информационная безопасность *Программирование *
Практический опыт разработки наложенных средств защиты

Мы начинаем публикацию цикла практических статей, посвящённых частным вопросам реализации наложенных средств защиты, а именно — встраиванию в программные системы. На примере ядра Linux будут рассмотрены методы и средства, используемые для модификации, расширения и дополнения его функциональных возможностей.

Первая статья будет вводной с кратким обзором ключевых методов встраивания. Далее, мы подробнее рассмотрим отдельные методы встраивания, уделяя внимание техническим деталям.

Читать дальше →
Всего голосов 34: ↑8 и ↓26 -18
Просмотры 16K
Комментарии 34

Уязвимости гипервизора – угроза виртуальной инфраструктуре и облаку

Блог компании Код Безопасности
При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В этой статье хотелось бы поговорить про одну из основных «новых» угроз в виртуальной среде – уязвимости гипервизора.
Рассмотрим основные классы уязвимостей гипервизоров на примере VMware vSphere и возможные пути защиты от их эксплуатации.
Читать дальше →
Всего голосов 12: ↑7 и ↓5 +2
Просмотры 14K
Комментарии 10

Криптография побочных эффектов

Блог компании Код Безопасности Криптография *
Благодаря Ричарду Сноудену все больше людей теперь знают, что такое АНБ и чем оно занимается. Исходя из внутренних презентаций, которые были раскрыты, очевидно, что АНБ тратит немало усилий не только на коллекционирование трафика и внедрение “правильных” программ в сети интернет-провайдеров и софтверных гигантов, но и на анализ криптоалгоритмов. В открытый доступ попал 178-страничный документ с бюджетом национальной безопасности на 2013 год. Из него следует, что на проект Consolidated Cryptologic Program было потрачено 11 млрд. долларов. Что же можно сделать за такие деньги? Уж точно потратить с пользой. Например, на строительство гигантского вычислительного центра в штате Юта за 2 млрд. долларов, прямо в логове мормонов. Центр cодержит 2300 м2 площади под серверы, имеет собственную электростанцию в 65 Мегаватт и 60 тыс. тонн холодильного оборудования, чтобы все это охлаждать. В 2012 году из официальных уст было весьма завуалированно заявлено, что АНБ недавно достигла прорывных успехов в криптоанализе и взломе сложных систем. Уж не для этого ли им понадобился новый дата-центр? Гуру криптографии Брюс Шнайер прокомментировал эти заявления и высказал мнение, что АНБ вряд ли сможет в ближайшее время взломать какой-нибудь современный стойкий шифр, например AES. И далее сделал предположение, что АНБ направит свои усилия не на “честный” взлом алгоритмов, а на нахождение уязвимостей в самой реализации этих алгоритмов. Брюс выделил несколько областей, где можно достичь успеха:
  • атака на процедуру генерации ключа, где эксплуатируются халтурные датчики случайных чисел
  • атака на слабое звено в передачи данных (например, канал защищен хорошо, а сетевой коммутатор — плохо)
  • атака на шифры со слабыми ключами, которые еще осталось кое-где по недосмотру системных администраторов (хороший кандидат – RSA с 1024-битным ключом)
  • атака на побочные эффекты

Попробуем разобраться, что такое атаки на побочные эффекты.
Читать дальше →
Всего голосов 28: ↑26 и ↓2 +24
Просмотры 15K
Комментарии 2

Анализируем новые приказы ФСТЭК России № 17 и № 21

Блог компании Код Безопасности

О приказах ФСТЭК России № 17 и № 21 высказались, наверное, уже все эксперты сообщества, перемыли косточки и разложили по полочкам все новации нашего регулятора. Поэтому планируя вебинар на эту тему, мы рассчитывали на традиционное количество в 150–200 участников.



Реальность существенно превзошла наши ожидания. Более 600 зарегистрировавшихся участников – объективный показатель того, что информации по этой теме до сих пор не достаточно, наши партнеры и заказчики нуждаются в дополнительных разъяснениях новых положений.

Читать дальше →
Всего голосов 7: ↑2 и ↓5 -3
Просмотры 15K
Комментарии 0

Кто сторожит сторожей?

Блог компании Код Безопасности

Компания iViZ Security, специализирующаяся на проведении тестов на проникновение, опубликовала свой очередной отчет «(In) Security in Security Products 2013», в котором отметила бурный всплеск числа уязвимостей в security-решениях. В 2012 году, на фоне примерно 20% роста общего числа уязвимостей, количество уязвимостей в security-продуктах выросло почти в 3 раза!

Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 4.9K
Комментарии 2

Обновленное видение подходов к ИБ от Gartner

Блог компании Код Безопасности

Аналитики Gartner обновили документ двухлетней давности с обзором основных инициатив в области технологий и сервисов ИБ, которые необходимо реализовать для снижения рисков от внутренних и внешних угроз.

Читать дальше →
Всего голосов 3: ↑1 и ↓2 -1
Просмотры 1.6K
Комментарии 0

Защита сервера Microsoft Hyper-V от несанкционированного сетевого доступа

Блог компании Код Безопасности Информационная безопасность *
В настоящее время виртуализация получила широкое распространение и используется повсеместно для решения самых разнообразных задач.

Мы решили разобраться, нуждаются ли современные платформы виртуализации в дополнительных средствах защиты информации и могут ли продукты Кода Безопасности быть полезны для повышения их уровня защищенности и для выполнения требований регуляторов при обработке персональных данных и сведений, составляющих государственную тайну, на таких платформах.
Читать дальше →
Всего голосов 15: ↑7 и ↓8 -1
Просмотры 14K
Комментарии 1

Как считать ROI для средств защиты информации?

Блог компании Код Безопасности
ROI расшифровывается как Return on Investment и является, по сути, коэффициентом окупаемости инвестиций. Компаниям, независимо от их вида деятельности и специфики рынков, на которых они работают, всегда имеет смысл уделять внимание аспекту возврата инвестиций при покупке программного обеспечения. При приобретении того или иного корпоративного программного решения именно показатель ROI может помочь правильно сделать выбор между продуктами, разработанными различными российскими и западными вендорами. Расчет ROI в настоящее время становится одним из важных инструментов, используемых компаниями при принятии решения о покупке ПО.
Читать дальше →
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 6.4K
Комментарии 0

Демонстрация настройки TrustAccess

Блог компании Код Безопасности
В ролике демонстрируется развертывание и настройка решения «с нуля» на примере сценария разграничения доступа к общим папкам файл-сервера. Весь процесс, включая инсталляцию компонентов TrustAccess и настройку правил фильтрации, занимает всего несколько минут.

Читать дальше →
Всего голосов 5: ↑1 и ↓4 -3
Просмотры 2.9K
Комментарии 0

Что такое honeypot и от чего защищать виртуальные ИС?

Блог компании Код Безопасности
Хочется написать пару слов о том, что, оказывается, есть такие решения для защиты информации, которые еще в новинку для многих российских компаний. То ли в силу своей нераскрученности, то ли в силу того, что все новое в России появляется позднее, чем во всем остальном мире, но это так.

Хотя, казалось бы, что еще такого нового можно придумать в области ИБ? Перечень ИБ решений и технологий, программных и аппаратных, уже давно всем известен и понятен. Но, как показывает опыт «Кода Безопасности», еще есть технологии и программные решения на их основе, которые только набирают обороты в плане использования в российских компаниях. То есть «неизведанные зоны» на карте технологий защиты информации для российских компаний все еще остались.
Читать дальше →
Всего голосов 6: ↑2 и ↓4 -2
Просмотры 4.7K
Комментарии 3

Требуйте защиты своих персональных данных, не отходя от кассы

Блог компании Код Безопасности
На днях нам попалась заметка хабражителя Mairon, найденная по теме «Защита моих персональных данных – мое личное дело».

Вызвала эта заметка массу мыслей и соображений, даже взволновала не на шутку. Спешим поделиться с Хабром своими мыслями на указанную тему.

Постоянно приходится слышать на всех мероприятиях, которые по долгу службы мы регулярно посещаем, бесконечное причитание представителей солидных, небедных компаний о том, что «как-так можно выполнить требования ФЗ-152 нам не понятно?», «как-так столько денег надо на это потратить?», «как-так государство не выделило нам средств на это?»… Все это происходит на фоне нашей повседневной, личной некорпоративной жизни, где мы постоянно сталкиваемся:
  • с обязательной галочкой про передачу ПД третьим лицам во всех договорах, которые нам подсовывают банки, страховые, поставщики разных товаров в Интернет-магазинах и так далее, с которыми мы подписываем договоры
  • с наглыми «звездочками» напротив обязательных к заполнению строчек, во всех он-лайн регистрационных формах на разных сайтах,
  • с постоянно заполненным спамом личным электронным ящиком и множеством рекламных смсок…
  • перечисление можно продолжать…
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 13K
Комментарии 12
1