Рубрика «TLS» - 10

При появлении Arduino IDE для Wi-Fi модуля на основе ESP8266 для меня стало возможным более удобное его программирование. А отсутствие внешнего контроллера для управления вносит еще одно огромное преимущество. В голову сразу полезли идеи разных электронных штучек с применением данного модуля. И вот пришла мысль сделать аппаратный автономный информатор о приходе новых писем на мою электронную почту. В итоге родилось устройство «E-Mail Notifier».

image

Подробности ниже.
Читать полностью »

* (сама проверка до уровня EV остается платной)

StartCOM: Certificate Transparency, бесплатные* EV SSL сертификаты - 1

Либерализация глобальной инфраструктуры PKI не прошла мимо шестого по величине удостоверяющего центра StartCOM, любимого многими за «нетрадиционную» ценовую политику.
Читать полностью »

Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов - 1

8 января 2016 года в 9:04 GMT центр сертификации Let's Encrypt выдал миллионный TLS-сертификат.

Let's Encrypt – некоммерческая инициатива организации Mozilla и Фонда электронных рубежей (EFF), созданная на благо сообщества. Владелец любого домена может получить здесь сертификат TLS совершенно бесплатно и очень просто его установить (пошаговая инструкция на Хабре). Закрытое бета-тестирование началось 12 сентября 2015 года, а с 3 декабря сертификаты выдают всем желающим без предварительной регистрации и инвайтов.

Это потрясающий успех проекта: для выдачи миллиона сертификатов понадобилось всего 3 месяца и 5 дней.
Читать полностью »

Security Week 09: атака DROWN, HackingTeam возвращается, впечатления c RSA Conference 2016 - 1Сегодня в Сан-Франциско заканчивается одно из важных мероприятий в индустрии инфобезопасности — конференция RSA. Свои решения здесь представляют более 400 компаний. Здесь есть все: от точечных решений защите VPN и шифрованию до комплексных систем безопасности. Одной из ключевых тем конференции стала эволюция киберугроз и собственно развитие инфраструктуры, которую предполагается от них защищать. Среди знакомых, но по-прежнему актуальных тем — защита облачных систем (в любом понимании этого термина), а среди новых — защита Internet of Things, экосистемы, где мы скоро будем иметь дело с миллиардами устройств, маломощных по отдельности, но в совокупности дающих невиданную ныне вычислительную мощность.

Но IoT — это тема хоть и ближайшего, но будущего, а самой серьезной практической темой стала защита от таргетированных атак. Почему это важно? Речь идет о целевых атаках на конкретные компании. Если традиционное вредоносное ПО «бьет по площадям», то здесь мы говорим о попытках взломать заранее выбранную жертву. А значит в таких атаках разведка и использование уникальных особенностей инфраструктуры не менее важны, чем собственно инструменты атаки. Последние могут быть уникальными для каждой конкретной жертвы, что хорошо показано на примере кампании Poseidon.

Есть тысячи способов взлома одной той же компании. Выявить и закрыть все потенциально уязвимые точки невозможно. Но делать что-то надо, и тут каждый производитель предлагает свои способы. Общий момент: требуется собирать и обрабатывать огромный массив информации и выявлять подозрительную активность, отличную от нормальной сетевой деятельности сотрудников. Мы в «Лаборатории» показали на конференции свое решение — Kaspersky Anti Targeted Attack Platform — подробнее о нем можно почитать тут. Новые угрозы тем временем появляются без перерывов и выходных, и ключевое событие этой недели — атака DROWN. О ней поговорим поподробнее. Все выпуски дайджеста доступны по тегу.
Читать полностью »

На Хабре есть несколько статей по rsyslog, но не нашлось ни одной, описывающей, как настроить взаимодействие клиента и сервера через защищенное соединение. Попробую исправить этот момент.

Допустим, у нас есть несколько серверов, имеющих доступ в интернет и не имеющих какой-то приватной сети между собой. В один прекрасный момент нам надоедает лазать на каждый их них по очереди и мы решаем настроить централизованный сервер логов. Так как данные будут передаваться через интернет, необходимо их защитить, передавая их через TLS.
Читать полностью »

Security Week 04: дыра в WiFi софте Lenovo, конф-колл-бэкдор, Amazon раздает HTTPS бесплатно - 1Прошедшая неделя ничем особенным не отметилась: новостей было много, но почти все, кроме очередной уязвимости в софте Lenovo, запросто можно было определить в категорию «Что еще произошло». И ведь происшествия были важные: в OpenSSL закрыты новые уязвимости (но не такие ужасные, как Heartbleed); В iOS и Mac OS X закрыты критические дыры; в PayPal через программу bug bounty нашли и закрыли найденный в прошлом году серьезный баг в Apache Commons Collections. Да такой, что теоретически позволял обойти защиту и получить прямой доступ к серверам!

Все интересно, но как-то без огонька. Впрочем, это не первая моя попытка в рамках дайджеста поныть о том, что мол, ландшафт угроз уже не тот. Ведь за последние полгода, за редкими исключениями, каждую неделю происходили взломы, обнаруживались уязвимости очень и очень серьезные. Но вообще-то дайджест новостей в достаточно узкой сфере инфобезопасности и должен быть похож на скучную производственную многотиражку! Где ведется работа, выполняются планы, закрываются дыры, обновляется софт, появляются новые технологии защиты. Гораздо чаще описание происшествий в IT Security смахивает на вестник апокалипсиса — весело, зрелищно, но совсем не круто. А на этой неделе, да, все было достаточно позитивно. Эпичных провалов не было, зато случилась пара анекдотичных историй. Все выпуски — тут.
Читать полностью »

image

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.
Читать полностью »

image
Привет!
В этот раз хочу рассказать о технологиях шифрования VoIP звонков, о том какую защиту дают разные подходы и как организовать наиболее защищенную от прослушивания голосовую связь с технологическими гарантиями безопасности.
В статье я постараюсь доступно изложить особенности таких технологий как SIPTLS, SRTP и ZRTP. И продемонстрирую конкретные схемы использования на примере нашего сервиса ppbbxx.com

Читать полностью »

Дешифрация TLS трафика Java приложений с помощью логов - 1

Отладка защищенных по SSL/TLS интеграций у Java приложений порой становится весьма нетривиальной задачей: соединение не ставится/рвется, а прикладные логи могут оказаться скудными, доступа к правке исходных кодов может не быть, перехват трафика Wireshark'ом и попытка дешифрации приватным ключом сервера (даже если он есть) может провалиться, если в канале применялся шифр с PFS; прокси-сервер вроде Fiddler или Burp может не подойти, так как приложение не умеет ходить через прокси или на отрез отказывается верить подсунутому ему сертификату…

Недавно на Хабре появилась публикация от ValdikSS о том, как можно с помощью Wireshark расшифровать любой трафик от браузеров Firefox и Chrome без обладания приватным ключом сервера, без подмены сертификатов и без прокси. Она натолкнула автора нынешней статьи на мысль — можно ли применить такой подход к Java приложениям, использовав вместо файла сессионных ключей отладочные записи JVM? Оказалось — можно, и сегодня, уважаемые однохабряне, я расскажу, как это сделать.
Читать полностью »

Многим из вас знаком Wireshark — анализатор трафика, который помогает понять работу сети, диагностировать проблемы, и вообще умеет кучу вещей.
image

Одна из проблем с тем, как работает Wireshark, заключается в невозможности легко проанализировать зашифрованный трафик, вроде TLS. Раньше вы могли указать Wireshark приватные ключи, если они у вас были, и расшифровывать трафик на лету, но это работало только в том случае, если использовался исключительно RSA. Эта функциональность сломалась из-за того, что люди начали продвигать совершенную прямую секретность (Perfect Forward Secrecy), и приватного ключа стало недостаточно, чтобы получить сессионный ключ, который используется для расшифровки данных. Вторая проблема заключается в том, что приватный ключ не должен или не может быть выгружен с клиента, сервера или HSM (Hardware Security Module), в котором находится. Из-за этого, мне приходилось прибегать к сомнительным ухищрениям с расшифровкой трафика через man-in-the-middle (например, через sslstrip).

Логгирование сессионный ключей спешит на помощь!

Что ж, друзья, сегодня я вам расскажу о способе проще! Оказалось, что Firefox и Development-версия Chrome поддерживают логгирование симметричных сессионных ключей, которые используются для зашифровки трафика, в файл. Вы можете указать этот файл в Wireshark, и (вуаля!) трафик расшифровался. Давайте-ка настроим это дело.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js