Как стать автором
Обновить
178
56
GlobalSign_admin @GlobalSign_admin

информационная безопасность

Отправить сообщение

Развенчан слух, что Китай взломал современную криптографию с помощью квантового компьютера

Время на прочтение4 мин
Количество просмотров10K


В октябре 2024 года мировые СМИ стали распространять пугающие новости о том, что китайским учёным якобы удалось взломать современные криптографические шифры военного применения с помощью квантового компьютера D-Wave Advantage (на фото вверху).

Эти новости основаны не на пустых словах, а на научной статье от группы исследователей под руководством д-ра Ван Чао (Wang Chao) из Шанхайского университета. Статья опубликована в сентябре 2024 года в журнале Chinese Journal of Computers. Авторы использовали D-Wave Advantage для успешной атаки на три алгоритма — Present, Gift-64 и Rectangle, которые являются критически важными для расширенного стандарта шифрования (AES), используемого для защиты данных в правительственном, военном и финансовом секторах.

Западные эксперты по криптографии изучили статью и оценили достижения китайских коллег.
Читать дальше →
Всего голосов 15: ↑11 и ↓4+13
Комментарии20

Действительно ли смартфон может работать в режиме скрытой прослушки?

Время на прочтение3 мин
Количество просмотров17K


Много лет среди обывателей распространена конспирологическая теория, что телефоны «подслушивают» пользователей даже в выключенном состоянии. Например, чтобы регистрировать ключевые слова и потом показывать актуальную контекстную рекламу. Некоторые замечали, что после обсуждения в офлайне какого-то специфического предмета они потом видят в Google рекламу на эту тему.

Загадочный феномен идёт ещё дальше. Даже необязательно произносить ключевые слова вслух. Google начинает показывать рекламу даже зубной пасты, которой вы случайно почистили зубы. Учёные говорят о феномене Баадера-Майнхофа (иллюзия частотности), но широкие массы не слишком верят в такое простое объяснение.

Однако недавно теория о работе смартфона в режиме скрытой прослушки получила косвенное подтверждение.
Читать дальше →
Всего голосов 15: ↑11 и ↓4+13
Комментарии70

Новые протоколы шифрования трафика

Время на прочтение4 мин
Количество просмотров24K


Несмотря на запрет отдельных сервисов, протоколы VPN по-прежнему широко используются в корпоративной среде и частными лицами.

В последнее время использование стало затруднено из-за того, что зашифрованный трафик распознаётся и теряется на каналах связи. Выходом из этой ситуации может быть обфускация, когда трафик делают похожим на обычные HTTPS-пакеты. Компании-разработчики средств информационной безопасности представили несколько новых протоколов, предназначенных именно для этого. По словам разработчиков, новые протоколы работают эффективнее старых методов обфускации.
Читать дальше →
Всего голосов 25: ↑22 и ↓3+26
Комментарии12

Действительно ли смартфон может работать в режиме скрытой прослушки?

Время на прочтение3 мин
Количество просмотров10K


Много лет среди обывателей распространена конспирологическая теория, что телефоны «подслушивают» пользователей даже в выключенном состоянии. Например, чтобы регистрировать ключевые слова и потом показывать актуальную контекстную рекламу. Некоторые замечали, что после обсуждения в офлайне какого-то специфического предмета они потом видят в Google рекламу на эту тему.

Загадочный феномен идёт ещё дальше. Даже необязательно произносить ключевые слова вслух. Google начинает показывать рекламу даже зубной пасты, которой вы случайно почистили зубы. Учёные говорят о феномене Баадера-Майнхофа (иллюзия частотности), но широкие массы не слишком верят в такое простое объяснение.

Однако недавно теория о работе смартфона в режиме скрытой прослушки получила косвенное подтверждение.
Читать дальше →
Всего голосов 10: ↑9 и ↓1+12
Комментарии40

Как перехватывают зашифрованный HTTP-трафик на мобильном устройстве

Время на прочтение3 мин
Количество просмотров6.5K


Реверс-инжиниринг VPN-сервиса Onavo Protect под Android позволил определить методы, которые можно использовать для перехвата зашифрованного HTTPS-трафика на мобильном устройстве. Если вкратце, злоумышленник должен поставить на телефон собственное приложение и сертификат УЦ (удостоверяющего центра).

Например, в РФ вступил в действие закон, который требует с 2025 года обязательной предустановки на все смартфоны конкретных приложений. Теоретически, при наличии уязвимостей это может угрожать безопасности многих пользователей.
Читать дальше →
Всего голосов 16: ↑10 и ↓6+10
Комментарии4

Неинтерактивная SSH-аутентификация

Время на прочтение3 мин
Количество просмотров8.5K


SSH предлагает несколько форм аутентификации, в том числе пароли и открытые ключи. Последние считаются более безопасными. Однако аутентификация по паролю по-прежнему остаётся самой популярной, особенно в сетевом оборудовании.

Чтобы не вводить пароль каждый раз вручную, есть специальные инструменты для автоматизации логина, то есть для неинтерактивной SSH-аутентификации. Это классическая утилита sshpass и её «исправленный» вариант passh (подробнее о причине «исправления» см. здесь).
Читать дальше →
Всего голосов 16: ↑15 и ↓1+19
Комментарии39

Выводы из глобального сбоя CrowdStrike

Время на прочтение3 мин
Количество просмотров3.3K
Как известно, 19 июля 2024 года произошёл серьёзный инцидент с апдейтом программного обеспечения CrowdStrike Falcon для защиты компьютеров (отчёт Microsoft, отчёт CrowdStrike). Обновление конфигурации вызвало ошибку безопасности чтения из границ памяти в ELAM-драйвере CSagent.sys. Поскольку тот работает на уровне ядра Windows, то миллионы ПК ушли в BSOD.

Количество пострадавших официально оценили в 8,5 млн:



Microsoft поясняет, что здесь количество полученных отчётов. Реально пострадавших гораздо больше. Серьёзно пострадали банки и авиакомпании. В частности, Delta. Общий ущерб для мировой экономики от бага страховщики оценили в $5,4 млрд.

В чём же главная проблема и «защитного софта» с драйверами ядра Windows?
Читать дальше →
Всего голосов 16: ↑8 и ↓8+10
Комментарии12

Шифрование личных заметок

Время на прочтение8 мин
Количество просмотров9.9K


Персональная информация, в том числе пароли и кошельки — это главные секреты каждого человека. Эта информация должна быть максимально зашифрована и надёжно храниться. Раньше проблему решал текстовый файл, где хранились и пароли, и заметки, и который легко было зашифровать. Теперь с появлением кучи устройств проблема усложнилась. Но если с паролями проблема решена благодаря парольным менеджерам, то вот с шифрованием заметок не всё так гладко.

Какой вариант выбрать для безопасного и надёжного шифрования личных заметок, с синхронизацией между устройствами и резервным хранением?
Читать дальше →
Всего голосов 10: ↑9 и ↓1+13
Комментарии18

Инициатива по интеграции DNS в Windows 11 вызывает опасения экспертов

Время на прочтение3 мин
Количество просмотров9K


Как известно, процедура перевода доменных имён в IP-адреса (DNS-резолвинг) опасная по умолчанию. Поскольку в процессе отсутствует сквозное шифрование, то посторонний злоумышленник может получить доступ к этому трафику. Более того, он может подменить ответы на запросы к легитимным сайтам на вредоносные. В конце концов, многие устройства конечных пользователей можно легко настроить так, чтобы они использовали вредоносные DNS-серверы вместо легитимных.

В мае 2024 года Microsoft представила довольно сложную конструкцию внедрения DNS в клиентские устройства, что может решить некоторые проблемы.

Однако независимые специалисты по безопасности беспокоятся, что таким образом Microsoft блокирует систему DNS в сетях Windows. Принятие «белого списка» разрешённых IP-адресов требует максимального доверия к администратору этого списка и угрожает потенциальными злоупотреблениями.
Читать дальше →
Всего голосов 3: ↑2 и ↓1+3
Комментарии12

Как удалить JavaScript из файлов PDF

Время на прочтение3 мин
Количество просмотров8K
Как известно, внутри файлов PDF можно размещать скрипты JavaScript, которые будут запускаться на исполнение в браузере. Например, если загрузить этот PDF, то вы увидите результат выполнения скрипта:



Это стандартная функция формата. Все разработчики браузеров знают, что PDF подобно HTML является активным контентом и может содержать исполняемые скрипты.
Читать дальше →
Всего голосов 16: ↑15 и ↓1+22
Комментарии10

Поиск секретов в программном коде (по энтропии)

Время на прочтение3 мин
Количество просмотров2.5K
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др.

Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
Читать дальше →
Всего голосов 7: ↑6 и ↓1+12
Комментарии4

Поиск секретов в программном коде (по энтропии)

Время на прочтение3 мин
Количество просмотров3.3K
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др.

Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
Читать дальше →
Всего голосов 12: ↑12 и ↓0+18
Комментарии3

Защита от брутфорса и эксплоитов OpenSSH

Время на прочтение4 мин
Количество просмотров12K


В последних версиях OpenSSH появилась защита от брутфорса (перебора) паролей, а также от попыток эксплоита. Это очень ценные настройки, которыми разработчики рекомендуют воспользоваться всем.

Нужно отметить, что новая функция OpenSSH фундаментально отличается от fail2ban, sshguard и подобных инструментов, поскольку она не парсит логи и не изменяет правила файрвола, а применяет опции только внутри одной программы, не обращаясь никуда через ядро, что делает её гораздо безопаснее вышеупомянутых утилит.
Читать дальше →
Всего голосов 15: ↑15 и ↓0+22
Комментарии11

Постквантовый TLS внедряют уже сейчас

Время на прочтение4 мин
Количество просмотров7.1K


Квантовый компьютер, который будет решать криптографические задачи (cryptographically-relevant quantum computer или CRQC в терминологии АНБ), пока далёк от реальности. Но проблема в том, что создатели такого компьютера вряд ли сразу сообщат миру о его существовании, а могут тайно воспользоваться возможностью взлома мировой криптографической системы.

Хуже всего, что с появлением CRQC можно будет расшифровать весь зашифрованный трафик, перехваченный и сохранённый в предыдущие годы (то есть сейчас). Записью и сохранением зашифрованного трафика сейчас занимаются хостинг-провайдеры, операторы мобильной связи, интернет-провайдеры и спецслужбы (стратегия harvest now, decrypt later).
Читать дальше →
Всего голосов 11: ↑10 и ↓1+14
Комментарии6

Построение надёжных систем из ненадёжных агентов

Время на прочтение8 мин
Количество просмотров3K


Большие языковые модели можно применять для разных практических целей. Одно из самых интересных направлений — это автономные AI-агенты. Если сгенерировать большое количество агентов по заданному запросу и заставить их конкурировать друг с другом, то теоретически можно получить оптимальный результат по данной проблеме. Это можно использовать и в информационной безопасности, и в других сферах программной разработки.

Кроме того, можно создавать агентов, то есть софт, который самостоятельно эволюционирует и улучшает себя на базе обратной связи от пользователей.
Читать дальше →
Всего голосов 6: ↑5 и ↓1+6
Комментарии4

WiFi-маршрутизаторы — это трекеры для массовой слежки

Время на прочтение4 мин
Количество просмотров16K


Как известно, Android и iOS активно используют для позиционирования своих смартфонов информацию об окружающих точках доступа Wi-Fi. Периодически смартфон сканирует окружающее пространство на предмет окружающих BSSID (уникальные идентификаторы маршрутизаторов WiFi), также регистрирует свои координаты GPS — и отправляет информацию производителю операционной системы.

В свою очередь, Google и Apple предоставляют геопозиционную информацию всем желающим через открытые API.

Но исследователи из Мэрилендского университета (США) доказали, что детали реализации API позволяют отслеживать перемещение маршрутизаторов по миру, то есть следить за людьми.
Читать дальше →
Всего голосов 13: ↑12 и ↓1+14
Комментарии16

Режим «инкогнито» в браузере помогает следить за пользователями

Время на прочтение3 мин
Количество просмотров72K


Долгие годы ходили слухи, что режим «инкогнито» в браузерах, даже в защищённом Chrome, работает совсем не так, как задумывалось. Якобы всё равно некая информация о пользователе собирается и просачивается в этом режиме. Она доступна и для владельцев сайта, и для разработчиков браузера. На это указывали многочисленные свидетельства.
Читать дальше →
Всего голосов 50: ↑44 и ↓6+53
Комментарии120

Локальный HTTPS в dev-окружении — простая настройка

Время на прочтение6 мин
Количество просмотров11K


Иногда в процессе веб-разработки требуется безопасное окружение в браузере, то есть HTTPS. Удобный способ сделать это — установить локальный УЦ и автоматизировать выдачу сертификатов на любые поддомены lcl.host и localhost. Это более функциональная и удобная альтернатива самоподписанным сертификатам.

Для установки локального УЦ есть инструменты lcl.host и mkcert, которые помогают быстро настроить и использовать HTTPS в dev-окружении.
Читать дальше →
Всего голосов 24: ↑18 и ↓6+17
Комментарии5

Слежка через пуш-уведомления на смартфонах

Время на прочтение4 мин
Количество просмотров32K


Недавно стало известно о новом виде слежки за пользователями смартфонов: через пуш-уведомления в iOS и Android. Газета Washington Post написала, в частности, что эту тактику начало использовать ФБР (кэш статьи).

Довольно интересно, как работает такой метод выслеживания.

Согласно расследованию, для идентификации пользователей ФБР запрашивает у компаний Apple и Google данные пуш-уведомлений, так называемые «пуш-токены» (push token). Эти данные можно запрашивать без предъявления ордера. С помощью пуш-токенов можно идентифицировать конкретный смартфон, а потом запросить у компании данные о его владельце.
Читать дальше →
Всего голосов 38: ↑37 и ↓1+52
Комментарии66

Приватные ссылки — в публичном доступе

Время на прочтение3 мин
Количество просмотров9.9K


Популярные сканеры на вирусы и вредоносные URL вроде urlscan.io, Hybrid Analysis и Cloudflare radar url scanner хранят у себя большое количество ссылок, которые прошли через сканер. Но оказалось, что эти сервисы также хранят большое количество частных и приватных ссылок:

  • совместно используемые файлы в облачных хранилищах (например, Dropbox, iCLoud, Sync, Egnyte, Ionos Hidrive, AWS S3);
  • инструменты NAS с облачным подключением (например, Western Digital Mycloud);
  • корпоративные коммуникации (Slido, Zoom, Onedrive, Airtable и др.);
  • ссылки для сброса пароля, ссылки для входа Oauth.

Так происходит в основном по двум причинам: или сами пользователи по ошибке передают приватные ссылки в сканер, или неправильные настройки сканеров выдают ссылки из писем и т. д.
Читать дальше →
Всего голосов 11: ↑11 и ↓0+17
Комментарии3
1
23 ...

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность