OpenSSH против SSH
Рис. 1. Разные реализации SSH, источник: Shodan Формально протокол SSH определён в ряде стандартов RFC (список ниже). В то же время есть много реализаций этого протокола. OpenSSH — самая популярная из них, хотя не единственная. Например, вот альтернативная реализация SSH на Go (и несколько примеров...
SSH в деталях или разгребаем кучи ключей
Решил я недавно разобраться в подробностях работы SSH. Использовал его для удалённого запуска команд давно, но, будучи не слишком опытным в системном администрировании, очень размыто представлял, зачем админы просят им отправить какой-то ключ, что с этим ключом происходит при подключении, зачем при...
Опыт реализации SSO в приложении Axon средствами SAML 2.0
Перед экспертами Центра информационных технологий РТ была поставлена задача реализовать интеграцию веб-приложения Axon с SSO средствами протокола SAML 2.0. В качестве SSO выступает продукт Avanpost FAM, а в качестве конечного веб-приложения – Informatica Axon Data Governance. В статье описываем...
[recovery mode] Midnight — новый протокол конфиденциальности на Cardano
Midnight — новый протокол конфиденциальности и защиты данных на Cardano Сохранение конфиденциальности и защита персональных данных — давняя тема споров в криптосообществе. Разработчики Cardano объявили о создании новой платформы — Midnight, которая позволит юзерам самостоятельно решать, какую...
[Перевод] TLS 1.3, только игрушечный
Привет! Недавно я думала о том, насколько интересно изучать компьютерные сети, создавая рабочие версии реальных сетевых протоколов. Мне пришло в голову, почему бы после создания своей версии протоколов traceroute, TCP и DNS не воплотить в жизнь TLS? Могу ли я сделать вариант TLS и больше узнать о...
Аспекты безопасности протокола Siemens S7comm
Автоматизированные системы управления технологическими процессами (АСУ ТП) контролируют работу критических информационных инфраструктур на таких значимых для страны объектах как крупные транспортные корпорации, компании из сферы здравоохранения и связи, предприятия топливно-энергетического...
Уязвимости и защита протокола OPC DA
В последние десятилетия значительно выросла роль автоматизированных систем управления технологическим процессом (АСУ ТП). Также существенно выросло количество атак на данный сектор. Одним из известных примеров промышленных атак последних лет является атака на металлургический концерн BlueScope....
Смарт-карты: особенности протокола T=0 и на что они влияют
Когда начинаешь изучать смарт карты, то все выглядит достаточно понятно и логично: команды APDU несложны и описаны в ISO 7816-4, интерфейс winscard описан в MSDN. В глубины PCSC погружаться особо и не приходится. Первые программы можно написать довольно быстро. Непонятные особенности вылезают чуть...
[Перевод] Топ-10 методов веб-взлома 2021 года по версии PortSwigger
Добро пожаловать в топ-10 новых методов веб-взлома 2021 года. Это заключительный этап ежегодной работы нашего сообщества. Цель работы — выявить самые значимые в области веб-безопасности, опубликованные в 2021 году. PortSwigger — разработчик инструментов для этичного хакинга, работа с которыми —...
[Перевод] Что вообще значит «прослушивать порт»?
В углу здания студенческого клуба есть кофейня, и в углу этой кофейни сидят два студента. Лиз стучит по клавиатуре потрёпанного древнего MacBook, который ей подарил брат перед отъездом в колледж. Слева от неё на диване Тим пишет уравнения в пружинном блокноте. Между ними стоит наполовину пустая...
Wi-Fi и Bluetooth безопасны?
Поговорим о средствах защиты всем знакомых технологий Wi-Fi и Bluetooth. И причём тут блокчейн? Интересно...
Свой криптографический протокол — опасная идея
Разработка своей криптографии в чём-то сравнима с созданием собственного авиадвигателя, говорит эксперт по безопасности Руна Сандвик. Фото: Виталий Кузьмин Предположим, заказчик требует разработать собственный сетевой протокол. Например, для передачи данных между сервером и мобильным приложением,...
Microsoft представила Azure Defender — сетевое решение для защиты IoT-устройств
Компания Microsoft представила новое решение из области информационной безопасности на базе Azureдля защиты устройств класса умного дома — IoT Azure Defender. Система реализована по принципу бесклиентного межсетевого экрана, который контролирует внешние подключения и запросы к IoT-устройствам в...
Трёхпроходные протоколы
Данный текст будет являться одной из переписанных глав для учебного пособия по защите информации кафедры радиотехники и систем управления, а также, с этого учебного кода, кафедры защиты информации МФТИ (ГУ). Полностью учебник доступен на github (см. также draft releases). На хабре планирую...