Рубрика «RC4»

В литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют использовать NOISE для разработки безопасного транспортного протокола с формированием общего ключа аутентификации (AKE). Говоря об AKE, есть около 30 различных парольных AKE на выбор.

Но если вы разработчик, а не криптограф, то не должны делать ничего такого. Следует придерживаться простых и обычных решений, которые легко поддаются анализу — «скучных», как говорят люди из Google TLS.
Читать полностью »

Чтобы сходу понимать материалы об инфраструктуре открытых ключей, сетевой безопасности и HTTPS, нужно знать основы криптографической теории. Один из самых быстрых способов изучить их — посмотреть или прочитать лекцию Владимира ivlad Иванова. Владимир — известный специалист по сетям и системам их защиты. Он долгое время работал в Яндексе, был одним из руководителей нашего департамента эксплуатации.

Мы впервые публикуем эту лекцию вместе с расшифровкой. Начнём с первой части. Под катом вы найдёте текст и часть слайдов.

Читать полностью »

Security Week 24: черный рынок угнанных RDP, зиродей в Flash, GMail отказывается от SSLv3 и RC4 - 1Одна из самых резонансных новостей этой недели посвящена черному рынку удаленного доступа к серверам. Эксперты «Лаборатории» исследовали сервис, на котором любой желающий может недорого приобрести информацию для доступа к одному из 70 с лишним тысяч серверов по всему миру по протоколу RDP. Взломанные серверы достаточно равномерно распределены по земному шару, примерно треть приходится на страны, где выбор — максимальный: Бразилию, Китай, Россию, Индию и Испанию.

Ничего не подозревающим владельцам этих серверов наверное будет интересно узнать, что с ними могут сделать злоумышленники, но тут я даже затрудняюсь в выборе, с чего начать. Если коротко — сделать можно все. Дальнейший взлом инфраструктуры жертвы — без проблем. Рассылка спама, DDoS-атаки, криминальный хостинг, кража информации, таргетированные атаки с эффективным заметанием следов — тоже можно. Кража данных кредиток, денег со счетов, бухгалтерской отчетности — да, если взломанный сервер имеет доступ к такой информации. Все это — по смешным ценам: 7-8 долларов за учетку.

XDedic и подобные сервисы (можно предположить, что он такой не один) — это криминальный екоммерс и финтех, он объединяет преступников разного профиля, крутых и не очень, использует современные технологии, предоставляет качественный сервис. Сами украденные данные предоставляют больше 400 продавцов — тут вам и конкуренция, и борьба за увеличение количества взломов. Самый подходящий момент напомнить — вас могут взломать, даже если вам кажется, что ваши данные никому не нужны. Во-первых, нужны, и вам в любом случае не понравится, как их используют. Во-вторых, ресурсы тоже стоят денег, а когда цена вопроса — три копейки, под удар попадают все вплоть до малого бизнеса. Украдут деньги со счета, или дампы кредиток, или хотя бы контакты клиентов для рассылки спама, атакуют через вас другую компанию, а если вообще ничего не выйдет — ну поставят генератор биткоинов и сожрут электричество.

С такими эволюциями киберкриминала трудно бороться, но данное исследование позволяет примерно понять, как это делать.
Все выпуски сериала — тут.
Читать полностью »

В этой части хотел бы поделится опытом создания файловой системы OMFS3 для ОС Systemicus. Главная цель ее создания — надежное шифрование данных.

image

Читать полностью »

Об этом, возможно, уже много написано в блогах, но… хоть шифрование RC4 и считается уязвимым, многие вебсайты всё ещё используют его по умолчанию, и Firefox отображает такие соединения как использующие «высокую степень шифрования». К счастью, мы можем отключить поддержку RC4 в настройках Firefox.

  1. Открываем страницу настройки по адресу about:config.
  2. В ответ на предупреждение, что вы можете «лишиться гарантии», отвечаем, что будем осторожными.
  3. В строке поиска в верхней части страницы вводим «RC4».
  4. Читать полностью »

Легендарный криптограф Диффи помог остановить патентного тролляПатентные тролли в последнее время становятся всё более наглыми. Пользуясь недостатками американского законодательства, они зарабатывают миллионы долларов, подавая иски против рядовых компаний и предпринимателей. Одним из последних примеров стала активность фирмы TQP Development, которая предъявила нескольким сотням компаний претензию в использовании запатентованной схемы «криптографически защищённой электронной коммерции». В патенте, фактически, описано одновременное использование SSL и RC4.

Почти 140 компаний выплатили TQP Development в общей сложности более 45 миллионов долларов. Среди них — такие гиганты, как Amazon (заплатила $500 тыс.) и Microsoft ($1 млн).
Шантаж продолжался бы и дальше, но на сцену вышел интернет-магазин Newegg. Он отказался платить лицензионные отчисления и потребовал рассмотрения дела в суде.
Читать полностью »

На волне последних скандалов с АНБ пришло осознание того, что, в конечном итоге, никому нельзя верить — рано или поздно может оказаться, что Ваши данные на сервере X, как оказалось, прослушивались некой организацией, хотя на словах говорилось о полном шифровании всех данных пользователя.

image

Читать полностью »

Ослабленный SSL в android устройствах?
Прошу прощения за желтый заголовок, но думаю, это действительно стоит обсудить.

Итак, по словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
Почитать пост с описанием этого открытия вы можете по ссылке.
Оставляя за скобками мотивы разработчиков android установить приоритет именно для этих алгоритмов, я хочу рассказать чем плох RC4 в качестве основного метода шифрования и чем это чревато для SSL.
Читать полностью »

Ещё одна крипто атака на SSL/TLS шифрование SSL/TLS – основа безопасных интернет-соединений. Вместе с ними RC4, изобретенный Роном Ривестом в 1987 году, часто используется для шифрования. В настоящее время исследователи сталкиваются с атакой против алгоритма расшифровывания безопасной передачи. Атака пока более теоретическая, но ясно показывает, что некоторые задачи должны быть решены.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js