Ежедневно в течение шести месяцев Николас Кристин, преподаватель по компьютерной безопасности университета Карнеги-Меллон обходил, индексировал и анализировал страницы подпольного онлайн-рынка нелегальных веществ Silk Road, работающего на базе Tor и Bitcoin. Результатом исследования Christin стала статья (доступная в PDF), в которой видно, что бизнес сайта быстро развивается: с приблизительно 300 в феврале до более чем 550 подскочило число продавцов, предлагающих всевозможные запрещенные вещества «от а до я». Общий объем продаж Silk Road теперь составляет около $1.9 миллиона в месяц. И его операторы получают в день более 6,000$ чистого дохода, по сравнению с 2,500$ в феврале. Самое удивительное, возможно то, что покупатели оценивают продавцов на сайте надежных и заслуживающих доверия, несмотря на полную анонимность ресурса, ведь никакие реальные идентификационные данные не используются. Почти 98% рейтингов продавцов на сайте положительны.Читать полностью »
Рубрика «криптография» - 105
Ежемесячный доход SilkRoad достигает $2 миллионов
2012-08-08 в 8:08, admin, рубрики: bitcoin, silk road, silkroad, Tor, информационная безопасность, криптография, нелегальный оборот, метки: bitcoin, silk road, silkroad, Tor, нелегальный оборотЕжемесячный оборот SilkRoad достигает $2 миллионов
2012-08-08 в 8:08, admin, рубрики: bitcoin, silk road, silkroad, Tor, информационная безопасность, криптография, нелегальный оборот, метки: bitcoin, silk road, silkroad, Tor, нелегальный оборот 
С тех пор как в этом году сенатор Джо Мэнчин призвал к «немедленному закрытию» «дерзкого» сайта по продаже запрещенных к свободному обороту веществ Silk Road, одна из самых знаменитых нелегальных аптек в мире не просто выжила. Напротив, с продажами на 22 миллиона долларов в год и двукратными комиссионными для владельцев сайта по сравнению аналогичными показателями шестимесячной давности, черный рынок испытывает просто взрывной рост.
Google перешёл на TLS 1.1/1.2
2012-08-06 в 15:06, admin, рубрики: Google, Google Chrome, opera, tls 1.1, информационная безопасность, криптография, метки: Google, Google Chrome, opera, tls 1.1, криптографияСудя по всему, в связи с выпуском Google Chrome 21, Google тихо, без лишней помпы, сменил криптографический протокол TLS 1.0, который уже давно скомпрометирован, на TLS 1.1. Поигравшись с настройками Opera и отключив SSL 3.0/TLS 1.0, выяснилось, что авторизация в учётку Google работает и по TLS 1.2. Аналогично сносно работают PayPal и Facebook. А вот что Яндекс, что Твиттер, что Outlook.com пока, видимо, не в курсе о ненадёжности протоколов и работать принудительно под TLS 1.1/1.2 не хотят.
P. S.Читать полностью »
У биржевых хакеров снова наступила «ломка»…
2012-07-31 в 13:03, admin, рубрики: bitcoin, BTC-E, LibertyReserve, биржа, биткоин, взлом, информационная безопасность, криптография, метки: bitcoin, BTC-E, LibertyReserve, биржа, биткоин, взлом 
или взломана ещё одна bitcoin-биржа.
“День бабла” продолжается
Итак, на сей раз жертвой хакеров стала биржа BTC-E. Админ биржи оказался скуп на комментарии и в новостях сайта никакого события не значится, но я имел возможность наблюдать, за разворачивающимися событиями.
Читать полностью »
DPAPI на пальцах
2012-07-30 в 20:31, admin, рубрики: Windows7, информационная безопасность, криптография, метки: Windows7, информационная безопасность Здравствуйте, читатели!
В далеком декабре прошлого года я впервые столкнулся с Data Protection Application Programming Interface (сокращенно DPAPI). Тогда я изучал способ хранения логинов/паролей в браузере Chrome. Я обещал, что распишу эту систему подробно и на пальцах. Негоже врать, поэтому добро пожаловать под кат!
Разработана система хранения паролей в подсознании
2012-07-19 в 21:08, admin, рубрики: биометрия, информационная безопасность, криптография, пароли, подсознание, метки: биометрия, пароли, подсознание 
Междисциплинарная команда учёных из Стэнфорда и Северо-Западного университета, состоящая из специалистов по криптографии и нейропсихологии, разработала принципиально новый способ аутентификации, который объединяет сильные стороны биометрии и паролей. Он позволяет сохранять длинные последовательности случайных символов в подсознании так, что их невозможно извлечь ни с помощью пыток, ни под гипнозом.
Метод не предназначен для массового повседневного использования — на подсознательное запоминание пароля требуется около 45 минут тренировки, кроме того, он не даёт особых преимуществ в случае удалённого доступа — злоумышленники всегда могут силой или угрозами заставить пользователя войти в систему. Основное его назначение — физический контроль доступа в закрытые зоны и помещения, например секретные лаборатории или банковские хранилища.
Читать полностью »
Биткойн, пятница, тринадцать…
2012-07-18 в 11:21, admin, рубрики: Bitcoinica, BTC, MtGox, биткойн, взлом, информационная безопасность, криптография, метки: Bitcoinica, BTC, MtGox, биткойн, взлом 
В минувшую пятницу, 13 июля (что очень соответствует общей драматичности ситуации) появилось сообщение от Амира Тааки, что в Биткойнике, где после двух краж только постепенно начался процесс выплат пострадавшим, произошёл ещё один, уже третий по счёту, серьёзный взлом.
Только за этот взлом, без учёта предыдущих, были украдены 40 тысяч BTC (что по сегодняшнему курсу соответствует 332 тысячам долларов США).
Читать полностью »
Загадочный случай в нью-йоркском метро
2012-07-12 в 5:47, admin, рубрики: reddit, загадка, криптография, переводы, шифр, метки: Reddit, загадка, шифр
Как лучше хранить хэши паролей
2012-07-09 в 18:54, admin, рубрики: информационная безопасность, криптография, пароли, переводы, хэширование паролейКак все мы знаем, пароли следует всегда хэшировать с помощью медленного алгоритма с использованием соли. Чаще всего применяют scrypt, bcrypt или PBKDF2, но этот пост не о том, какой алгоритм использовать. Вместо этого мы поговорим о том, что делать с хэшами дальше.
20- (или 32-) байтовые соль и хэш должны храниться в энергонезависимом, зарезервированном, надёжном хранилище, то есть обычно в реляционной базе данных. Но в каких именно таблицах их хранить? Чаще всего используется таблица со столбцами (user_id, salt, hash) или столбцы salt и hash могут быть в общей таблице Users. В обоих случаях хэш и соль находятся в отношении один-к-одному с пользователями.
Беда в том, что даже с подсоленными хэшами, хакерам слишком легко использовать словарные атаки, если они получат доступ к соли и хэшу конкретного пользователя. Допустим, что, благодаря медленному хэшированию, они могут проверить всего тысячу паролей в минуту. Вас может неприятно удивить то, какими слабыми паролями часто пользуются люди, и какой их процент можно взломать даже в этом случае.
Читать полностью »
Криптоквест
2012-07-08 в 11:43, admin, рубрики: загадки, квест, криптоанализ, криптография, метки: загадки, квест, криптоанализ, криптографияВ детстве меня завораживали детективные или приключенческие книги, в которых героям приходилось взламывать шифры и извлекать спрятанные сообщения из совершенно невинного на вид текста. Впрочем, и сейчас красивый шифр и извилистый путь, которым герой приходит к его разгадке, заставляет мое сердце биться чаще :-) Отчасти поэтому в июне я начала смотреть стенфордский онлайн-курс «Основы криптографии». Первое же практическое задание (взлом шифра одноразового блокнота, неосмотрительно использованного больше одного раза) восхитило меня и подтолкнуло на создание своего собственного zip-квеста по истории криптографии — по тем шифрам, которые ни в коем случае не используются в быту в наше время, но которые так весело взламывать вручную — или почти вручную.
Собственно, вот сам квест. Принцип тот же, что и в новогоднем квесте: на каждом уровне дается задание в виде текстового файла, решив его (то есть взломав шифр), получаем пароль к архиву, в котором лежит следующий уровень. Архив нулевого уровня (cryptoquest.zip) без пароля. В каждом случае зашифрован не только сам пароль, но и достаточно длинное осмысленное сообщение — иначе криптоанализ становится слишком трудоемким.
Читать полностью »