Рубрика «криптография» - 12

в 7:38, , рубрики: GPU-ферма, meet-in-the-middle, miran, SoftICE, vps, WinZip, Word 97, Блог компании Дата-центр «Миран», брутфорс паролей, выделенные серверы, информационная безопасность, кольца целых чисел, конечные поля, криптоанализ, криптоаналитика, криптография, математика, обратная разработка, прикладная криптография, реверс-инжиниринг

Поделюсь с вами одной историей. Около двадцати лет назад я получил степень по физике, но занимался реверс-инжинирингом и криптоанализом. Наша компания AccessData работала в конце 90-х и начале 2000-х. Тогда правительство США постепенно снимало ограничения на экспорт криптографии, однако парольная защита в большинстве программ по-прежнему оставалась довольно бесполезной. Мы брали офисные программы, я проводил реверс-инжиниринг и выяснял алгоритм шифрования, а потом ломал криптозащиту.

Это был нескончаемый поток интересных, но не особенно сложных математических головоломок. За всё время я написал около сорока взломщиков паролей. Мы продавали их домашним пользователям, системным администраторам, местным и федеральным правоохранительным органам. Мне пришлось несколько раз съездить в федеральный центр подготовки сотрудников правоохранительных органов в Глинко, чтобы объяснить ребятам из Секретной службы, ФБР и АТФ основы криптографии и как использовать наши продукты.

Особенно ярко мне запомнились два проекта. Первым был Microsoft Word 97. До его появления файлы шифровались с помощью XOR байтов открытого текста и 16-байтовой строки, которая выводилась из пароля. Самыми распространёнными байтами в файле Word обычно были 0x00, 0xFF или 0x20 (пробел), поэтому мы просто выбирали самый распространённый символ в каждом столбце и проверяли 316 вариантов. Восстановление ключа обычно происходило мгновенно, но чтобы людям не казалось, что они зря потратили деньги, мы вставили небольшую анимацию, похожую на голливудскую хакерскую сцену с множеством случайных символов, из которых постепенно проявляется правильный пароль.
Читать полностью »

в 11:57, , рубрики: end-to-end, ITSumma, spacex, zoom, Блог компании ITSumma, видеоконференцсвязь, информационная безопасность, криптография, наса, Софт, шифрование

SpaceX запретила сотрудникам использовать программу Zoom - 1
Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.
Читать полностью »

в 11:10, , рубрики: android, ctf, cybersecurity, hackquest, neoquest, neoquest2020, OSINT, reverse engineering, Блог компании НеоБИТ, Занимательные задачки, информационная безопасность, криптография, неоквест

Итоги online-этапа NeoQUEST-2020: выживали как могли - 1

NeoQUEST-2020 подошел к концу, и сейчас самое время рассказать про эти насыщенные две недели: раскроем суть заданий (но не всех, некоторые выйдут отдельными врайт-апами), покажем статистику их прохождения и объявим победителей!

Внимание! Статья содержит спойлеры для тех, кто еще не проходил задания, но честно собирается (а такая возможность есть – сайт online этапа продолжает работать!).
Читать полностью »

в 19:34, , рубрики: aes, BulletPassView, teamviewer, unity, Блог компании GlobalSign, информационная безопасность, криптография, пароли, разработка под windows, Софт, шифрование
Как TeamViewer хранит пароли - 1

TeamViewer — популярная программа для удалённого доступа к рабочему столу. Поэтому довольно интересно посмотреть, как она хранит пароли. Если вкратце, пароли хранятся в реестре Windows в зашифрованном виде. Для шифрования используется алгоритм AES-128-CBC и секретный ключ 0602000000a400005253413100040000.

Такой метод сохранения паролей и связанное с ним повышение привилегий официально зарегистрированы 7 февраля 2020 года как уязвимость CVE-2019-18988 (применима ко всем версиям TeamViewer до 14.7.1965 включительно).
Читать полностью »

в 11:03, , рубрики: miran, vpn, wireguard, аналитика, безопасность, Блог компании Дата-центр «Миран», информационная безопасность, криптография, мейнстрим, модные инструменты, новинки, перевод, проблемы, Сетевые технологии, системное администрирование, совместимость, туннелирование, хайп, шифрование

В последнее время WireGuard привлекает к себе большое внимание, фактически — это новая «звезда» среди VPN. Но так ли он хорош, как кажется? Я хотел бы обсудить некоторые наблюдения и рассмотреть реализацию WireGuard, чтобы рассказать, почему он не является решением, которое заменит IPsec или OpenVPN.

В этой статье я хотел бы развенчать некоторые мифы [вокруг WireGuard]. Да, читать придется долго, так что если вы еще не заварили себе чашечку чая или кофе, то самое время это сделать. Еще я бы хотел сказать спасибо Питеру за корректуру моих хаотичных мыслей.

Я не ставлю себе цель дискредитировать разработчиков WireGuard, обесценить их усилия или идеи. Их продукт — рабочий, но лично я считаю, что он представлен совершенно не тем, чем является на самом деле — представлен как замена IPsec и OpenVPN, которой на самом деле сейчас просто не существует.

В качестве примечания хочется добавить, что ответственность за такое позиционирование WireGuard несут СМИ, которые о нем рассказывали, а не сам проект или его создатели.

В последнее время на тему ядра Linux было не слишком много хороших новостей. Так, нам рассказали о чудовищных уязвимостях процессора, которые были нивелированы программным способом, а Линус Торвальдс рассказывал об этом слишком грубо и скучно, утилитарным языком разработчика. Планировщик или сетевой стек нулевого уровня — тоже не слишком понятные темы для глянцевых журналов. И тут появляется WireGuard.

На бумаге все звучит здорово: захватывающая воображение новая технология.

Но давайте посмотрим на нее чуть внимательнее.
Читать полностью »

в 16:04, , рубрики: Hyundai, kia, texas instruments, Toyota, автомобили, Автомобильные гаджеты, ключи, криптография, транспорт

imageФото: driving.ca

Исследователи KU Leuven в Бельгии и Университета Бирмингема в Великобритании выяснили, что в чип-ключах DST80 системы защиты от Texas Instruments есть уязвимость, которая делает возможным их клонирование. Таким образом, модели Toyota Camry, Corolla и RAV4, Kia Optima, Soul и Rio, Hyundai I10, I20 и I40, которые работают с этой системой, оказываются под угрозой. Читать полностью »

в 13:10, , рубрики: GnuPG, gpg, open source, аутентификация, Блог компании «Актив», информационная безопасность, криптография, настройка, почта, почтовые клиенты, рутокен pki, рутокен эцп, Софт, токены, шифрование, электронная подпись

Как подписывать почтовую переписку GPG-ключом, используя PKCS#11-токены - 1

Современные почтовые сервисы из года в год совершенствуют свою систему безопасности. Сначала появились механизмы аутентификации через СМС, сейчас уже совершенствуются механизмы машинного обучения для анализа подозрительной активности в почтовом ящике.

А что если кто-то получил заветный пароль от вашей почты и начал читать все ваши тайные переписки, а также писать направо-налево какую-то белиберду. Как добавить дополнительный уровень защиты и на этот случай? На помощь приходят GPG и смарт-карты.

Читать полностью »

в 9:02, , рубрики: blockchain, telegram, telegram open network, Блог компании Mercuryo, Криптовалюты, криптография, финансы в IT

Catchain: алгоритм консенсуса блокчейна TON - 1

В предыдущем обзоре наша команда R&D рассказала о структуре Telegram Open Network и особенностях функционирования ключевых узлов (валидаторов) TON Blockchain, а также поделилась опытом Mercuryo, как валидатора сети.

Эта статья посвящена одному из ключевых вопросов, отвечающему за безопасность и корректность работы блокчейна TON — протоколу достижения консенсуса между валидаторами сети, который подробно описан в недавно выпущенном документе Catchain Consensus: An Outline под авторством Николая Дурова.

Читать полностью »

в 7:27, , рубрики: crypto, Hagelin, Minevra, анб, Блог компании ua-hosting.company, БНД, криптография, криптомашины, операция Миневра, ЦРУ

Безопасное соединение — по ssh, ssl и тд и тп — безопасно для любого случайного человека с улицы, но не для спецслужб таких как ЦРУ. Все что происходит в мире, все сообщения, личные фотографии, переписки, абсолютно все доступно для нужных людей. Если сейчас мы все добровольно взяли в руки и положили в карман устройство самого успешного проекта по тотальному слежению — мобильный телефон, то более чем полвека назад, когда компьютеров не существовало, и предположить нельзя было, что все контролируется одной спецслужбой.

Тайна длиною в полвека: весь мир на ладони ЦРУ - 1

Интеллектуальный переворот века — таким заголовком пестрит статья в Вашингтон Пост о том, как в течение десятилетий ЦРУ читало зашифрованные сообщения союзников и противников. Такое себе то ли признание, то ли демонстрация могущества Центрального разведывательного управления.
Читать полностью »

в 20:35, , рубрики: acme, certbot, HTTPS, jabber, Let's Encrypt, miran, vps, xmpp, Администрирование доменных имен, Блог компании Дата-центр «Миран», дата-центр "Миран", информационная безопасность, криптография, миллиард, Серверное администрирование, серверы, хостинг, центр сертификации, шифрование

Let's Encrypt выдал миллиард сертификатов - 127 февраля 2020 года бесплатный центр сертификации Let's Encrypt выдал миллиардный сертификат.

В праздничном пресс-релизе представители проекта вспоминают, что предыдущий юбилей в 100 млн выданных сертификатов отмечали в июне 2017 года. Тогда доля HTTPS-трафика в интернете составляла 58% (в США — 64%). За два с половиной года показатели существенно выросли: «Сегодня 81% загружаемых страниц по всему миру используют HTTPS, а в Соединенных Штатах мы находимся на уровне 91%! — радуются ребята из проекта. — Невероятное достижение. Это гораздо более высокий уровень конфиденциальности и безопасности для всех».

Let's Encrypt сыграл очень важную роль в том, чтобы сертификаты HTTPS стали утилитарным стандартом, а надёжное шифрование трафика — совершенной нормой в интернете.
Читать полностью »

1...111213...2030...108
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js