Хранение кадровых документов в организации — это уже не просто полки с папками в архиве. В России продолжается активный переход на электронный документооборот. Но вместе с новыми технологиями появляются и новые обязанности: хранить кадровые документы в электронном виде правильно — задача не только IT-специалистов, но и юристов, кадровиков, руководителей. Ошибка может обернуться штрафом, трудовым спором или полной утратой юридически значимых данных.
Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, часть из которых связана с рассматриваемыми группировками.
Назначение протокола: безопасная аутентификация клиента на защищенных ресурсах. Защита клиента веб-сайта, даже после компроментации БД сайта. Замена стандартного парольного механизма аутентификации на более стойкую ко взлому схему.
Статус документа: запрос на обсуждение сообществом (Request For Comments).
ВНИМАНИЕ: Это учебный криптопротокол, не рекомендуется его реализовать на продуктивных системах до тех пор, пока он не пройдет экспертизу специалистами.
Назначение статьи: привлечь к первичному аудиту специалистов по эллиптическим кривым (профильных математиков и криптоаналитиков)
Участники взаимодействия: Алиса - клиент веб-сервера, Боб - веб-сервер (или его владелец) с ограниченным доступом, Ева (Eve) - пассивный слушатель сообщений, Меллори - активный злоумышленник, пытающийся вмешаться во взаимодействие Алисы и Боба, проксировать соединение, выдавая себя за Боба для Алисы, и за Алису для Боба. Будем рассматривать наихудший сценарий, когда Меллори обладает некоторой важной информацией, помогающей ему вмешиваться в канал (он обладает верификатором V Алисы, в результате взлома веб-сервера Боба).
Необходимые параметры взаимодействия:
i - идентификатор Алисы на сервере Боба. Это может быть логин, электронная почта или 128-битное произвольно выбранное натуральное число .
x - секрет Алисы. Это может быть 128-битное случайно выбранное число или результат криптографического преобразования пароля Алисы: x = Scrypt(Password), где
Scrypt - адаптивная криптографическая функция формирования ключа на основе пароля, созданная офицером безопасности FreeBSD Колином Персивалем для противодействия атакам методом грубой силы.
Математик Джим Саймонс - создал один из самых успешных хедж-фондов в истории. Financial Times назвала Джима Саймонса «самым умным из миллиардеров». По версии The Economist, он считается «самым успешным инвестором всех времён». Попробуем собрать информацию из разных источников и разобраться, в чем секрет его успеха.
Саймонс и команда
Предки Джима Саймонса переселились в США из Российской империи в конце 19 века. Сам он родился в 1938 году и с детства увлекался математикой. Учился в Массачусетском технологическом (MIT), защитил докторскую в Беркли, преподавал в Гарварде. C середины 1960-х Саймонс занимался дешифровкой секретных кодов в Институте оборонного анализа США (IDA), откуда был уволен за критику вьетнамской военной кампании. После чего в 1968 году на 10 лет возглавил математический факультет Stony Brook University.
Доброго времени суток.
В качестве первой статьи решил выбрать разбор реализации отечественного шифра «кузнечик». Постараюсь объяснить сложные вещи простым языком.
В качестве рабочего примера моя реализация на C.
Все привыкли к тому, что безопасность информации — это антивирусы, шифрование, фаерволы и двухфакторная аутентификация. Но задолго до всего этого — в мире без электричества, интернета и даже телеграфа — существовали вполне реальные угрозы утечки данных и методы защиты информации. В статье — реальные кейсы XIV века, средневековые протоколы безопасности, курьезные уязвимости и немного кода (куда без него?).
Если вы думаете, что XIV век — это про рыцарей, чуму и башни без Wi-Fi, то вы, в целом, правы. Но даже тогда существовали конфиденциальные сообщения, шпионаж, защита данных и атаки, которые очень напоминают фишинг, перехват сообщений и даже внедрение в цепочку поставок (правда, поставляли не софт, а людей и письма). Эта статья — попытка взглянуть на ИБ до ИБ, когда информацию защищали не фаерволы, а воск, пергамент и личные головы гонцов.
XTLS/Xray-core - инструмент для обхода цензуры с открытым исходным кодом. Он хорошо известен в Китае своими новыми и практичными концептуальными технологиями, а также создателем RPRX, который однажды исчез и, как считалось, сбежал. К таким технологиям относятся VLESS, XTLS-Vision, XUDP... О какой-то из них вы точно слышали или использовали.
С момента как в Китае началось внедрение новой системы цензурирование: белый список SNI (Server name indication), все инструменты обхода на основе TLS до появления REALITY и ShadowTLS, подключаемые напрямую или через транзит или CDN, стали недоступны.
Ранее широкое внимание привлек инструмент обхода ShadowTLS. Однако в то время ShadowTLS все еще находился в версии v1 с неполной кодовой базой и слабой устойчивостью к цензуре. Позже в Reality появилась возможность обходить цензуру на основе белого списка SNI, и он был интегрирован со зрелым инструментом обхода Xray-core.
Так как же REALITY обходит эту цензурную стратегию? Как понять ее детали с технической точки зрения? Эти два вопроса будут в центре внимания этой статьи. Интерпретируя исходный код REALITY, мы разберемся с конкретной реализацией REALITY для читателей.
Что такое белый список SNI? В чем связь между SNI и TLS?
Вы, возможно, знаете, что широко используемый протокол безопасности прикладного уровня, основа HTTPS, протокол TLS, имеет свой собственный «процесс рукопожатия» при инициировании соединения.
TLS был «гибридной системой шифрования» с момента разработки его первой версии. Это означает, что TLS использует как асимметричные, так и симметричные алгоритмы шифрования. Симметричные алгоритмы шифрования требуют, чтобы обе стороны имели абсолютно одинаковый ключ, а накладные расходы на шифрование и дешифрование низкие. В то время как асимметричное шифрование требует только обмена открытым ключом в своих соответствующих парах ключей, но требует проверки того, что открытый ключ не был заменен или подделан при обмене ключами, что привело к появлению механизма цифрового сертификата. Кроме того, накладные расходы на асимметричное шифрование и дешифрование высоки. Поэтому TLS использует асимметричное шифрование для передачи ключа, используемого для симметричного шифрования, и для того, чтобы обменять открытый ключ, используемый для асимметричного шифрования, родился механизм рукопожатия TLS.
Электронная подпись (ЭП) — неотъемлемая часть современного цифрового документооборота. Мы сталкиваемся с ней ежедневно: при отправке отчетности в налоговую, подписании договоров, участии в тендерах или просто обмениваясь юридически значимыми документами. Но как устроен процесс проверки электронной подписи изнутри? Как убедиться, что электронная подпись действительна, и какие критерии делают ее юридически значимой?
На практике часто возникает задача: проверить ЭП быстро, удобно и без запуска сложного backend-сервиса. И здесь на помощь приходят no-code и low-code инструменты.
В этой статье мы покажем, как реализовать проверку электронной подписи документов.
Механизм использования одноразовых и подписных запросов может быть эффективным способом защиты запросов API от подделки. В то же время применяемые меры безопасности затрудняют проведение тестирования на проникновение.
Теме криптографии посвящён сериал Prime Target (в русской локализации называется «Опасные числа»). Он включает в себя множество математических и криптографических отсылок, которые обогащают его сюжет и подчёркивают интеллектуальные вызовы, стоящие перед героями. В этой статье вместе с настоящими криптографами мы разберём, какие атрибуты были использованы в сериале, и что из них похоже на правду.
— Коллеги, пожалуйста, представьтесь нашим читателям.
— Иван Чижов, заместитель руководителя лаборатории криптографии по научной работе компании «Криптонит».
— Илья Герасимов. Я аспирант кафедры информационной безопасности ВМК МГУ и работаю специалистом-исследователем в лаборатории криптографии «Криптонита».
— Интересно! Главный герой сериала — тоже аспирант.
— И тоже математик, но на этом наше сходство заканчивается [смеётся]. Скажем так, область научных интересов у него другая. Я занимаюсь криптографией на эллиптических кривых, а главный герой сериала ищет закономерности в числовых рядах.
— В этом есть какой-то смысл?
— Да. Этим занимается теория чисел. Математика отражает законы природы и выявляет закономерности. Например, у главного героя на стене висит вырезка из газеты с фотографией раковины моллюска и заголовком «Primes of the Past».
За последние годы стеганография прошла путь от простых методов сокрытия информации до сложных алгоритмов, использующих особенности человеческого восприятия. В прошлой статье я разобрал основы стеганографии и методы атак на стегосисистемы, а сегодня расскажу о семи ключевых способах встраивания секретных данных в видеопоток.
Мы детально рассмотрим технические особенности каждого метода: от классической замены наименее значащего бита до современного алгоритма Куттера-Джордана-Боссена.
В статье я представлю математический аппарат для оценки эффективности различных методов, включая формулы расчета пропускной способности и критерии оценки стойкости к атакам. Также поговорим о том, как выбрать оптимальный метод под конкретные задачи.
Материал будет полезен разработчикам систем защиты информации, специалистам по обработке цифровых сигналов и всем, кто интересуется современными методами сокрытия данных в мультимедийном контенте.
«Рынок зарплат специалистов в сфере кибербезопасности перегрет. Зарплаты специалистов могут доходить до 230к рублей!» ©
Именно такая статья вышла в честь первого апреля в Коммерсантъ. (Чтоб не гнать лишний траффик этим шутникам можете ознакомиться с текстом, например, тут) Но, я решил представить, что эта статья была не шуточной, и поделиться своим (очень важным) мнением на её счёт...
Итак, небольшой исторический экскурс. Давайте вернём 2017 год! У России (как и у большинства постсоветских, да и у всех развивающихся стран) в тот момент уже было «Три пути — вебкам, закладки и АйТи» ©. Люди приходящие в АйТи и диджитал профессии из регионов получали весьма неплохие для этих самых регионов деньги по простой причине — грамотные специалисты достаточно легко могли найти удалёнку на Мск\СПб, а то и, вовсе, на зарубежном рынке. Как итог — работодателям в регионах приходилось поднимать зарплаты, чтобы удержать, если не лучших, то, хотя бы, средних специалистов.
Безопасников тогда это раздолье обходило стороной — безопасник на удалёнке — это что‑то немыслимое для большинства компаний в те годы. А, значит, ни Мск, ни СПб не «пылесосили» регионы (ну, разве что, с целью релокации, на которую готово было не так много людей, так как в таком случае росла не только ЗП, но и стоимость жизни). Поэтому, в зарплатах средних разработчиков и средних безопасников из регионов тогда наблюдалась очень хорошая разница...
В этой статье мы рассмотрим, какие методы передачи пароля через интернет наиболее безопасны. Хэширование паролей или протокол TLS — что выбрать для защиты данных? Разберемся, как работают эти технологии и какие риски скрываются за каждой из них.
Скорее всего, если вы нашли эту статью не через поиск - вам она вряд ли понравится. Тут рассматривается решение конкретной задачи для конкретных нужд.
Привет, Хабр и читатели! В своей прошлой статье про написание скрипта на PowerShell для отслеживания сроков действия сертификатов я упоминал о том, что, по роду своей нынешней деятельности, мне очень часто приходится разворачивать разные сервисы. Практически все современные сервисы требуют сертификаты безопасности для обмена данными. В этой статье-туториале я расскажу, как создать скрипт на PowerShell, который позволит (и упростит) создавать сертификаты субъекта для сервисов, подписанные вышестоящим root сертификатом, а также будет упаковывать ключи в формат .pfx, создавать цепочку .pem. Статья будет в виде подробного туториала, чтобы охватить как можно больше аудитории (а она разная) и в основном для тех, кто будет это делать впервые и ещё слабо знаком с OpenSSL и PowerShell.
Конкретная демонстрация работы скрипта показана в самом конце статьи с помощью GIFки, и там же (в конце) я поделился полным скриптом. Начнём разбираться?
ЕСИА даёт возможность пользователям зайти в государственный или негосударственный сервис, чтобы подать заявление, сдать отчет или обратиться в органы власти. ГИС ЖКХ, Работа России, портал ФНС России, ЦИАН и Авто.ру - этот список ежегодно пополняется. Для успешного подключения к системе важно соблюдать определенные требования и следовать установленным этапам интеграции.
В этой статье мы рассмотрим основные организационные аспекты подключения информационных систем к ЕСИА, а также один из вариантов его реализации.
В практической криптографии особое внимание уделяется атакам по побочным каналам (side-channel attacks). Они позволяют злоумышленникам извлекать секретную информацию, не взламывая сам алгоритм шифрования, а лишь анализируя особенности его исполнения на физических устройствах. Эти атаки особенно опасны, поскольку обходят традиционные способы защиты.
Такие косвенные методы атак становятся возможны потому, что вычислительные устройства в процессе работы поглощают электрическую энергию, излучают электромагнитные и акустические волны, а также исполняют инструкции за разное время. Всё это происходит в зависимости от изменения данных на регистрах и может нести информацию о ключе шифрования, нарушая секретность по Шеннону.
К атакам по побочным каналам потенциально уязвимы даже самые передовые криптографические схемы, включая постквантовые, разрабатываемые на будущее для противодействия взлому с использованием квантового компьютера.
Методам защиты постквантовых криптографических схем от атак по побочным каналам посвящено исследование заместителя руководителя лаборатории криптографии по научной работе компании «Криптонит» Ивана Чижова и магистра МГУ Дмитрия Смирнова. Данное исследование представлено в рамках выступления на конференции РусКрипто’2025. В нём рассматривается группа схем постквантовой электронной подписи, построенных на основе протокола идентификации Штерна. Одной из них является российский «Шиповник» – разработка экспертов-криптографов компании «Криптонит» в рамках деятельности рабочей группы Технического комитета Росстандарта (ТК 26).
