Рубрика «TLS» - 4

По-прежнему в ходу RC4/3DES/TLS 1.0 и сертификаты на сотни лет. Анализ сотен миллионов SSL-рукопожатий

Если посмотреть на набор данных с 350 млн SSL-соединений, сразу возникает вопросов:

  • кто выдал эти сертификаты
  • какая там криптография
  • каково их время жизни

Читать полностью »

[ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ - 1

На конференции Chaos Constructions 2019 Леонид darkk Евдокимов показал любопытный доклад про случайно обнаруженные в открытом доступе панели управления СОРМ. Доклад можно посмотреть здесь: darkk.net.ru/2019/cc В двух словах: панели со статистикой работы программно-аппаратных комплексов СОРМ от МФИ Софт торчали наружу в интернет и всем было пофиг.

В какой-то момент времени наружу торчали сырые дампы перехваченного трафика, которые успел проиндексировать поисковик shodan.io. Вот один из таких дампов: archive.li/RG9Lj
Там есть MAC-адреса, IMEI телефонов и разная другая личная информация. Но самое интересное в этих дампах, что туда каким-то образом попал трафик к некоторым хостам на 443 порт (HTTPS) в открытом виде! То есть видны полностью GET запросы, а это может значить, что СОРМ умеет расшифровывать HTTPS. Попробуем подумать как такое возможно.

Читать полностью »

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).

Браузеры Chrome и Firefox поместили государственный сертификат Казахстана в отозванные - 1

А что у Mozilla Firefox (по следам вопроса @Meklon в коментариях)?

Инициативы придерживается и Mozilla Firefox (ссылка):

В целях защиты наших пользователей Firefox вместе с Chrome заблокирует использование корневого сертификата центра сертификации в Казахстане. Это означает, что Firefox не будет доверять ему, даже если он установлен пользователем. Мы считаем, что это адекватный ответ, так как пользователям в Казахстане не предложен разумный выбор, устанавливать ли сертификат, и так как эта атака подрывает целостность важного механизма безопасности сети. При попытке получить доступ к сайту, который отвечает с помощью этого сертификата, пользователи Firefox увидят сообщение об ошибке, в котором сообщается, что сертификату не следует доверять.

Читать полностью »

При слове «криптография» некоторые вспоминают свой пароль WiFi, зелёный замочек рядом с адресом любимого сайта и то, как трудно залезть в чужую почту. Другие вспоминают череду уязвимостей последних лет с говорящими аббревиатурами (DROWN, FREAK, POODLE...), стильными логотипами и предупреждением срочно обновить браузер.

Криптография охватывает всё это, но суть в ином. Суть в тонкой грани между простым и сложным. Некоторые вещи просто сделать, но сложно вернуть обратно: например, разбить яйцо. Другие вещи легко сделать, но трудно вернуть обратно, когда отсутствует маленькая важная решающая часть: например, открыть запертую дверь, когда «решающая часть» является ключом. Криптография изучает эти ситуации и способы их практического использования.

За последние годы коллекция криптографических атак превратилась в зоопарк кричащих логотипов, набитых формулами научных статей и породила общее мрачное ощущение, что всё сломано. Но на самом деле многие из атак основаны на нескольких общих принципах, а бесконечные страницы формул часто сводятся к простым для понимания идеям.
Читать полностью »

Авторизация в Apple Pay для самых маленьких

Внимание будет уделено конкретному моменту — это получения криптограммы со стороны Apple после того как покупатель прошёл TouchID или FaceID. Языком на бэкенде будет PHP.

Меня зовут Александр, я младший PHP-программист компании Moguta, и мне пришлось столкнуться на своем пути с интеграцией Apple Pay в нашу Moguta.CMS. Сегодня я расскажу как авторизовать себя через Apple Pay для проведения оплаты без вникания в матчасть защищенных соединений и сертификатов, так как мне в начале своего пути не хватало такого материала.

Читать полностью »

ФСБ рекомендует внедрить шифры «Магма» и «Кузнечик» в TLS 1.3 для сайтов Рунета - 1

Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) подготовил проекты рекомендаций по использованию отечественных криптографических алгоритмов «Магма» и «Кузнечик» в ключевых протоколах интернета. Деятельностью комитета руководит ФСБ.
Читать полностью »

И никто не вливает молодого вина в мехи ветхие; а иначе молодое вино прорвет мехи, и само вытечет, и мехи пропадут; но молодое вино должно вливать в мехи новые; тогда сбережется и то и другое. Лк. 5:37,38

В апреле этого года администрация крупнейшего в мире DC хаба объявила о начале поддержки безопасных соединений. Давайте посмотрим, что из этого вышло.Читать полностью »

Половина сайтов использует HTTPS, и их число стабильно увеличивается. Протокол сокращает риск перехвата трафика, но не исключает попытки атак как таковые. О некоторых их них — POODLE, BEAST, DROWN и других — и способах защиты, мы расскажем в нашем материале.

Потенциальные атаки на HTTPS и как от них защититься - 1 Читать полностью »

HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS - 1
Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка)

В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзного сайта. Если сертификат отсутствует, почти все последние браузеры показывают предупреждение, что соединение с сайтом «не защищено» и не рекомендуют передавать на него конфиденциальную информацию.

Но оказывается, что наличие «замочка» в адресной строке не всегда гарантирует защиту. Проверка 10 000 ведущих сайтов из рейтинга Alexa показала: многие из них подвержены критическим уязвимостям протоколов SSL/TLS, обычно через поддомены или зависимости. По словам авторов исследования, сложность современных веб-приложений многократно увеличивает поверхность атаки.
Читать полностью »

Новые инструменты для обнаружения HTTPS-перехвата - 1

По мере роста использования HTTPS растёт желание посторонних лиц внедриться в защищённый трафик. Исследование 2017 года The Security Impact of HTTPS Interception показало, что это становится всё более распространённой практикой. Анализ трафика на серверах обновления Firefox показал, что в отдельных странах процент внедрения посторонних агентов в HTTPS достигает 15%.

Со времени исследования ситуация вряд ли улучшилась. Сейчас даже последняя модель беспроводных наушников Sennheiser требует установить в системе корневой сертификат (с небезопасными параметрами).
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js