Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty
Автор: Иннокентий Сенновский (rumata888) Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два года, в течение которых я общался с вендорами, боролся с недопониманием и стучался в MITRE. Проблемы мотивации и целесообразности поиска...
[Перевод] Как я угнал национальный домен Демократической Республики Конго
Примечание: проблема решена. Сейчас национальный домен .cd уже не делегирует полномочия скомпрометированному нейм-серверу TL;DR Представьте, что может произойти, если национальный домен верхнего уровня (ccTLD) суверенного государства попадет в чужие руки. Однако я (@Almroot) купил доменное имя,...
Поддержка токенов PKCS#11 с ГОСТ-криптографией в Python. Часть I
Поддержка криптографических токенов PKCS#11 с российской криптографией в скриптовых языках (Python, Tcl) давно находится в моём поле зрения. Это, прежде всего, пакет TclPKCS11 и реализованная на его базе кроссплатформенная утилита cryptoarmpkcs. Утилита cryptoarmpkcs написана на tcl/tk и...
[Перевод] Пароль как крестраж: ещё один способ защитить свои учётные данные
В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями. Читать далее...
Инструкция по созданию файла, подписанного ЭЦП, с использованием ПО КриптоПро
Инструкция для создания файлов, подписанных ЭЦП, с использованием ПО КриптоПро Читать далее...
Стражи публичных облаков: как мы внедряли анклавы Intel SGX для защиты чувствительных данных
Как развеять предубеждения потенциальных пользователей относительно безопасности публичных облаков? На помощь приходит технология Intel Software Guard Extensions (Intel SGX). Рассказываем, как мы внедрили её в своём облаке и какие преимущества от нашего решения получила компания Aggregion. Поехали!...
Какое шифрование лучше: Signal или Telegram?
Пару дней назад Илон Маск в твиттере порекомендовал использовать мессенджер Signal, не без последствий. Однако в декабре 2020 года по средствам массовой информации прошла новость, что известная хакерская компания Cellebrite взломала шифрование этого криптомессенджера. А читатели Хабра для секретной...
История одного «сломанного» тестового задания или осторожнее с версиями OpenSSL…
Disclaimer. Я не «настоящий сварщик», но, в связи с поиском интересной работы в сфере информационной безопасности, в последнее время регулярно решаю разные CTF и машинки на HackTheBox. Поэтому, когда мне прислали ссылку на одно из тестовых заданий в стиле CTF, я не смог пройти мимо… Смысл тестового...
Почему злой-сосед-хакер не накрутит вам умный счётчик. Защищённость NB-IoT от сетевых атак
Прошло 2 года с тех пор, как в России появилась возможность разворачивать IoT-системы на базе технологии NB-IoT. Счётчики, сами отправляющие свои показатели в ЖКХ, автоматические микро-метеозонды вдали от цивилизации, умное сельское хозяйство — всё это скоро станет частью повседневности. Важно,...
Скремблер: надёжно и просто
Эта статья написана для того, чтобы рассказать читателю, что такое скремблеры, обозначить области их применения и затронуть некоторые практические тонкости, а также раскрыть секреты алгоритма скремблирования. Зачем и почему? Иногда возникает необходимость зашифровать трафик, не прибегая к методам,...
Blum-Blum-Shub generator и его применение
В настоящее время случайные числа используются в различных областях науки. Например, для моделирования различных реальных процессов зачастую нужно учитывать не только поведение исследуемой величины, но и влияние различных непредсказуемых явлений. Кроме того, в некоторых методах анализа данных,...
Симметричный алгоритм блочного шифрования Advanced Encryption Standart
Доброго времени суток, читатель. В данной статье я бы хотел рассказать об одном из самых распространенных алгоритмов симметричного шифрования - AES. Читать далее...
Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их
Приветствую читателей! Меня зовут Андреас, давно веду видеоблог (SunAndreas), а сегодня решил в текстовом варианте поделиться с читателями полезными идеями, которые могут быть полезными даже для далёких от ИТ людей. Расскажите об этом старшему поколению, таки они смогут хранить пароли довольно...
Шифрование TEA, XTEA, XXTEA
В данной статье рассматриваются блочные симметричные алгоритмы шифрования, которые используют сеть Фейстеля в качестве основы, как и большинство современных блочных шифров. А точнее, описываются алгоритмы шифрования TEA, XTEA, XXTEA и их криптоанализ Читать далее...
Криптоанализ резиновым шлангом и методы его предотвращения
Какие способы взлома эффективнее? Поиск уязвимостей в программах? Полный перебор? Разгадывание хэша? А вот и не угадали. Атаки на уровне пользователя - вот действенное решение! Читать далее...
Обобщённый алгоритм визуальной криптографии
Рассмотрим схему визуальной криптографии, предложенную Мони Наору и Ади Шамиром [2, 3]. Основная идея схемы заключается в том, что для передачи секретного изображения генерируются две пластины, каждая по отдельности выглядящая как белый шум и не несущая никакой информации об секретном изображении....
Атаки по сторонним каналам, или какие кибератаки нужно показывать в кино
Многие, как я думаю, услышав фразу "кибератака" представляют злоумышленников, которые воруют много миллионов долларов, сидя у себя дома, или группу российских хакеров, которые помогают продвинуться кандидату в предвыборной гонке, или, на худой конец, у них в голове всплывает образ взломщика,...
Схема Шнорра и её роль в Биткоине
Схема Шнорра была изобретена в 1980 гг. Клаусом-Петером Шнорром. Клаус Шнорр - немецкий криптограф, академик, на тот момент профессор и исследователь Франкфуртского университета. Перед публикацией самой схемы Клаус Шнорр заморочился с патентами, из-за чего вплоть до 2008 года прямое её...