В своем первом топике я постараюсь подробно объяснить как начать использовать библиотеку OpenSSL. Сразу хочу отметить, что статья ориентирована на новичков, а так как я сам один из них, исходный код выполнен без проверок и не претендует на звание лучшего. Все действия выполнялись под Windows со средой разработки Visual Studio 2013.
Читать полностью »
Не самое крупное решение компании Apple явилось толчком для начала нового витка обсуждений вопросов шифрования и приватности. Компания отказалась разблокировать зашифрованный смартфон, фигурировавший в деле о терактах в Сан-Бернандино. Производитель объясняет, что сочувствия террористам он не испытывает. Тем не менее давать спецслужбам бэкдор Apple отказалась.
Подобный случай вызвал дискуссии о том, что важнее: помощь спецслужбам в одном из расследований жестокого убийства людей или обеспечение информационной безопасности. Конфликт назревал давно, ещё с момента появления в iPhone включённого по умолчанию шифрования.
Проблемы начались не после начала расследования или публикации открытого письма главы Apple Тима Кука, а после выхода iOS 8 в 2014 году. Именно в восьмой версии шифрование было включено по умолчанию. Тогда спецслужбы не на шутку забеспокоились.
Читать полностью »
23 декабря 2015 года Государственной думой в 3м чтении был принят проект ФЗ-445 об изменении в 63-ФЗ «об электронной подписи». Так как многие коллеги еще не знакомы с этим законом, хотелось бы донести и рассказать чего коснутся изменения и как он повлияет на развитие единого пространства доверия в Российской Федерации. Но обо всем по порядку.
До настоящего момента, каждый удостоверяющий центр (далее УЦ), после прохождения аккредитации САМ выпускал себе ключевую пару (открытый и закрытый ключи УЦ) и сертификат проверки ключа электронной подписи (далее сертификат). Основной особенностью сертификата было то, что он был выпущен самим УЦ и подписан его подписью (такой вариант сертификата называется «самоподписанный»). Далее этот сертификат предоставлялся оператору Головного удостоверяющего центра Российской федерации (далее ГУЦ), где, данный самоподписанный сертификат включался в доверенные и ГУЦ публиковался на портале ГУЦ как доверенный.
В итоге такой схемы взаимодействия УЦ с ГУЦ мы получали изоляцию пространств доверия каждого отдельного УЦ, так как все операционные системы и прикладное ПО проводят проверку сертификата ключа по цепочке сертификации, до тех пор, пока издатель сертификата не совпадет с владельцем сертификата. Таким образом получалась картина, что для того чтобы два пользователя с сертификатами двух разных УЦ доверяли друг другу, им было необходимо добавить сертификаты УЦ друг друга в доверенные. Тут специалисты мне вежливо укажут на кросс-сертификаты между УЦ, но я уверенно отвечу – это костыли, и объясню почему: Представьте, что вы в сети интернет и вы ходите от одного узла сети к другому, каждый из которых использует сертификат своего УЦ. Тогда, для обеспечения доверия всем узлам (они и правда доверенные) вам придётся иметь у себя локально сертификаты всех УЦ в Российской Федерации. Более того, вам придётся их самостоятельно поддерживать в актуальном состоянии. Оно вам надо?
Читать полностью »
Исполнительный директор Google Сундар Пичаи и глава WhatsApp Ян Кум высказались в поддержку открытого письма Тима Кука, которое тот опубликовал в ответ на решение судьи обязать Apple снять ограничение на 10 попыток ввода пароля iPhone. Смартфон, о котором идет речь, принадлежал одному из террористов, устроивших массовое убийство в Сан-Бернардино. Террористы были убиты в ходе перестрелки с полицией. Теперь ФБР хочет получить доступ к смартфону одного из террористов, подозревая его в связях с ИГИЛ.
Сундар Пичаи написал у себя в Твиттере: «Мы создаём безопасные продукты, которые надежно хранят вашу информацию. Да, мы можем раскрывать данные по официальному запросу правоохранительных органов, но это совсем не то же самое, что требовать от компаний облегчать взлом пользовательских устройств и данных. Это может быть очень опасным прецедентом». Ян Кум в своем посте на Фейсбуке сказал, что всегда восхищался отношением Тима Кука к приватности и стремлением Apple защитить данные пользователей, и что полностью согласен со всем, что Кук написал в своём письме.
Читать полностью »
Защита данных на мобильных устройствах заботит всех. Пользователей, создателей операционных систем, разработчиков приложений. Для многих смартфон стал центром персональной цифровой вселенной. Здесь личная жизнь и работа. Переписка и номера телефонов, клиенты социальных сетей и сведения о банковских счетах. В телефоне удобно хранить пароли, вести дневники, делать заметки. О личных фото и видео можно и не говорить, равно как и о материалах, которые несут на себе печать коммерческой тайны. Чем важнее данные, чем больший интерес они представляют для посторонних, тем серьёзнее силы, которые могут бросить на то, чтобы заполучить желаемое.
Сегодня мы расскажем о новом подходе к созданию системы защиты данных на Android, в основе которого лежит файловая система eCryptfs.
Читать полностью »
«Общество активных злоумышленников» часто опустошает виртуальные кошельки в течение нескольких минут после их активации
Фото: NoHoDamon
Хакеры вытянули с Bitcoin аккаунтов, защищенных альтернативными мерами безопасности, около $103 тысяч. Именно о такой сумме говорят исследователи, отслеживавшие транзакции в Bitcoin-сети в течение нескольких лет. И это только малая толика — то, что было зафиксировано. Проблема имеет отношение к тем аккаунтам, что защищены легкими для запоминания паролями вместо длинных криптографических ключей, которые обычно используются. Речь идет о так называемых «мозговых кошельках»: пользователь придумывает пароль, прогоняет его через хеш-функцию, и на выходе получает свой криптографический ключ. При этом запомнить нужно только свое секретное слово, пароль, а не сам ключ. Удобно? Да. Безопасно? Оказывается, нет.
Цифровыми взломщиками были опустошены примерно 900 аккаунтов, пользователи которых использовали «мозговые пароли» для создания закрытых ключей шифрования, требуемых для снятия средств. Во многих случаях уязвимые аккаунты были опустошены в течение минут или даже секунд после активации и выхода аккаунта в онлайн. При этом в течение многих лет пользователи Bitcoin старались запоминать пароли, вместо использования криптоключей, считая такой метод безопасным и удобным. Эксперты предупреждали о том, что это заблуждение, но предупреждения помогали мало.
Читать полностью »
Привет, GT!
Не растекаясь мыслями по деревьям, приступим к делу. Для обеспечения себя быстрым и нецензурируемым интернетом я уже давно использую стандартную схему: OpenVPN и самый простой VPS за рубежом. В качестве транспортного протокола используется UDP.
Проблема
В один «прекрасный» момент я обнаружил, что VPN отвалился и больше не поднимается. Не буду описывать долгое исследование проблемы — скажу сразу итог: помогло изменение номера порта. Помогло ненадолго: через пару-тройку дней туннель оборвался снова и снова был восстановлен сменой порта.
Читать полностью »
Cегодня Dash наконец открыл исходный код ПО «dashvend», на котором работает концепт — аппарат по продаже газировки (вызвавший фурор на последней Биткойн-конференции в Майами). Теперь желающие могут создавать собственные вендинговые устройства на базе технологии мгновенных платежей Dash InstantX (эта технология уже поддерживается в мобильных кошельках Dash).
Читать полностью »
Меня зовут %username%, мне n лет и я параноик. И каждый день информационный мир усложняет мне жизнь. Технологий становится больше, порог вхождения в IT снижается, и мы получаем действительность, где грубые ошибки в безопасности это нормально. А еще и мощность вычислительной техники растет с каждым годом. В итоге наши пароли, хранимые как получится, становятся достоянием общественности.
Безопасность не мертва, но инкапсулирована и агонизирует. И с каждым годом стук по крышке черного ящика все тише, а сдавленные вопли и вовсе больше не слышны. Уж больно много абстракций поверх.
Мы не знаем как хранит наши пароли очередной сервис, поэтому мы сами должны заботиться о своей безопасности, но и это становится все сложнее с каждым годом. А количество необходимых для комфортной жизни сервисов только растет. И для каждого надо иметь свой стойкий и уникальный пароль. Не на это я свою личную жизнь променивал.
Поэтому мы придумали свой хакерский подход к хранению и вводу паролей.
Кратко: телефон связан через Bluetooth со специальным девайсом, который эмулирует клавиатуру. Утеря девайса и телефона не позволяют получить паролей. Утеря девайса и мастер-пароля тоже не страшны. Как так? Добро пожаловать под кат (там 7 картинок, но они красивенькие).
Читать полностью »
Категорически приглашаем всех желающих на онлайн-курс «Введение в теоретическую информатику» Александра Ханьевича Шеня, подготовленный совместно с Computer Science центром и платформой Stepic. Курс начнётся 24 февраля.
Александр Ханьевич — автор многих популярных книг по математике и программированию. Многие его книги и брошюры можно бесплатно скачать с сайта издательства МЦНМО: например, «Программирование: теоремы и задачи» (Шень, 2004), «Лекции по математической логике и теории алгоритмов» (Верещагин, Шень, 2012), «Классические и квантовые вычисления» (Китаев, Шень, Вялый, 1999). Под его редакцией вышел перевод первого издания классического учебника «Алгоритмы: построение и анализ» (Кормен, Лейзерсон, Ривеста, 1990), а также недавнего учебника «Алгоритмы» (Дасгупта, Пападимитриу, Вазирани, 2006).
В общем, у Александра Ханьевича огромный опыт чтения лекций как школьникам, так и студентам и аспирантам. Рассказывает он очень увлекательно и понятно. В онлайн-курсе он даст обзор различных направлений Theoretical Computer Science: криптография, инварианты циклов, вычислимость, переборные задачи, игры, коды, интерактивные доказательства и многое другое (всего в курсе восемнадцать глав!). В курсе будет много задач — как простых (закрепляющих изученный материал), так и более сложных, над которыми придётся поломать голову и тем, кто уже был знаком с теорией.
Будем рады видеть вас среди слушателей онлайн-курса!
stepic.org/104
Читать полностью »
