Мы привыкли полагаться на современные алгоритмы шифрования. Однако, действительно ли они так безопасно защищают наши данные? Давайте разберёмся с таким понятием как математический бэкдор, что он из себя представляет и как работает.
Рубрика «информационная безопасность» - 57
Математические бэкдоры в алгоритмах шифрования
2020-12-07 в 9:21, admin, рубрики: информационная безопасностьОсвобождаем свои данные из корпоративного рабства. Концепция личного хранилища
2020-12-07 в 7:00, admin, рубрики: crdt, Datasette, Dogsheep, json, local-first software, open source, PDS, personal data services, personal data store, гит-скрапинг, информационная безопасность, локально-ориентированный софт, персональная аналитика, Софт
Автор программы Mathematica Стивен Вольфрам около 40 лет ведёт цифровой лог многих аспектов профессиональной и личной жизни
Сейчас практически всем стала понятна сущность некоторых интернет-корпораций, которые стремятся получить от людей как можно больше личных данных — и заработать на этом. Они предлагают бесплатный хостинг, бесплатные мессенджеры, бесплатную почту — лишь бы люди отдали свои файлы, фотографии, письма, личные сообщения. Наши данные приносят огромные деньги, а люди стали продуктом. Поэтому техногиганты Google и Facebook — самые крупные корпорации в истории человечества. Это неудивительно, ведь в их распоряжении миллиарды единиц бесплатного «сырья», то есть «пользователей» (кстати, этим словом users называют людей только в двух областях: наркоиндустрии и индустрии программного обеспечения).
Настало время положить этому конец. И вернуть данные под свой контроль. В этом суть концепции личных хранилищ данных (personal data services или personal data store, PDS).
Читать полностью »
Сайты региональных органов власти: всё ещё печальнее, чем у федералов
2020-12-06 в 18:17, admin, рубрики: cve-2016-2107, HTTPS, poodle, robot, ssl сертификаты, TLS, xss, Администрирование доменных имен, анализ трафика, безопасность данных, гос. порталы, государственные органы, доменные имена, доступ к информации, законодательство, информационная безопасность, региональные сайты, сайт, утечка данных
Вот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов – «Надежность сайтов органов государственной власти субъектов Российской Федерации – 2020». Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?
По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.
Читать полностью »
Команда энтузиастов выпустила P2P-браузер Beaker 1.0 после двух лет разработки
2020-12-05 в 16:02, admin, рубрики: beaker, p2p, Блог компании Selectel, браузеры, информационная безопасность, Сетевые технологии, Социальные сети и сообщества
Пару лет назад стало известно, что группа энтузиастов разрабатывает P2P-браузер с поддержкой протокола Hypercore. Этот браузер получил название Beaker 1.0. Цель проекта — предоставить возможность пользователям разрабатывать и размещать свои сайты не где-то там, а «прямо в браузере». То есть можно создать локальную папку и поделиться URL-адресом, который откроет доступ сторонним пользователям к новому ресурсу.
Узлы сети в этом случае — сами пользователи браузера. Beaker базируется на JavaScript c использованием движка Chromium и платформы Electron. Распространияется Beaker под лицензией MIT. Разработчики подготовили сборки для Linux, macOS и Windows.
Читать полностью »
Intel Boot Guard на пальцах
2020-12-05 в 10:35, admin, рубрики: intel, Intel Boot Guard, доверенная загрузка, защита прошивки, информационная безопасность, Компьютерное железо, ПроцессорыПредлагаю окунуться в дебри микроархитектуры компьютера и разобраться с тем, как работает одна из наиболее распространенных технологий обеспечения аппаратной целостности загрузки BIOS — Intel Boot Guard. В статье освещены предпосылки появления технологии, перечислены все режимы работы, а так же описан алгоритм каждого из них. Обо всем по порядку.
История и предпосылки создания
Кунг-фу стиля Linux: бесплатный VPN по SSH
2020-12-05 в 9:05, admin, рубрики: linux, ruvds_перевод, Блог компании RUVDS.com, информационная безопасность, Настройка Linux, Сетевые технологии, системное администрированиеЕсли вы видите на некоторых сайтах множество рекламных баннеров, то вы знаете, что, если не будете пользоваться VPN (Virtual Private Network, виртуальной частной сетью), хакеры очень скоро захватят и разорят ваш компьютер и сожгут ваше жилище. Ну, они, по крайней мере, точно что-то такое задумывают. На самом же деле существует две основных причины, по которым кому-то может понадобиться VPN-подключение. Можно, конечно, купить подписку на соответствующий сервис, но если у вас есть SSH-доступ к какому-нибудь компьютеру, имеющему выход в интернет, это значит, что вы можете создать собственный VPN-сервис, не потратив на это ни копейки.
Основная идея тут заключается в том, чтобы подключиться к удалённому компьютеру, находящемуся в некоей сети, и сделать так, чтобы весь ваш сетевой трафик выглядел бы для той сети как локальный.
Первая причина, по которой это может кому-то понадобиться, заключается в повышении уровня безопасности и в заблаговременном устранении возможных угроз. Например, может понадобиться печатать на сетевом принтере, не «выставляя» этот принтер в обычный интернет. В результате, например, некто может сидеть в кафе и, подключившись к сети по VPN, распечатывать документы на принтере, чувствуя себя так, будто он находится за своим рабочим столом, а принтер стоит в паре метров от него. Использование VPN, кроме того, будет означать, что данные, передаваемые по WiFi-сети кафе, будут зашифрованы.
Вторая причина — это скрытие реального местоположения пользователя от любопытных глаз. Предположим, кому-то нравится смотреть видеоматериалы BBC, но живёт он в Эквадоре. Это значит, что для того чтобы видео не были бы для него заблокированы, ему нужно будет подключиться по VPN к сети, находящейся в Великобритании. Если власти некоей страны мониторят и цензурируют интернет, то жителям этой страны тоже может пригодиться возможность замаскировать свой трафик.
Читать полностью »
Как потерять аккаунт на Гос. услугах за 5 секунд
2020-12-03 в 13:30, admin, рубрики: безопасность, информационная безопасностьОшибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы.
Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.
Страх и ужас SS7
2020-12-03 в 11:16, admin, рубрики: ruvds_статьи, ss7, Блог компании RUVDS.com, информационная безопасность, Сетевые технологии, сотовая связь
В одной из недавних статей нашего блога: “Безопасные телефоны, градация прослушек, и методы защиты”, было обсуждение общих принципов атак на сотовые телефоны. Теперь поговорим одном из конкретных векторов, а именно — взломе на основе уязвимости в протоколе: SS7. Так ли страшен черт, как его малюют?Читать полностью »
Как стать владельцем чужой организации в Google Maps?
2020-12-02 в 20:04, admin, рубрики: bug bounty, Google Maps, информационная безопасностьОдним тёплым вечером жена сказала что стала владельцем нашим Музеем Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах.
Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.Читать полностью »
Уязвимость Crosstalk
2020-11-29 в 12:02, admin, рубрики: cpu, crosstalk, информационная безопасность, конвейер, уязвимости
В последние годы стало появляться большое количество сообщений о всякого рода уязвимостях в процессорах компании Intel. Самыми известными из них являются Spectre и Meltdown, основанные на ошибках в реализации спекулятивного исполнения команд. В июне 2020 года появилось сообщение о новой уязвимости, носящей название Crosstalk.