Протоколы защищенного обмена сообщениями и новинка от GlobalPlatform
Известная международная организация GlobalPlatform, занимающаяся стандартизацией в области смарт-карт, в июле 2022 года опубликовала документ со статусом Public Review, где предложила новый вариант протокола защищенного обмена сообщениями (ЗОС): SCP04. Защищенный обмен сообщениями в смарт-картах —...
Как мудрый царь электронные подписи вводил
Всем привет, решили затронуть столь любимый жанр сказок о безопасности и в этот вечер поведать историю о преодолении, отрицании и смирении… ну то есть о внедрении средств криптографической защиты. Возможно, и вы сталкивались с подобным, но не на страницах книг, а в реальной жизни. Как говорится,...
Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов. Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise инфраструктурой. При этом сохраняет...
WebAuthn как альтернатива паролям
Утверждение, что пароль не самый надежный способ защиты, вряд ли кто-то подвергнет сомнению. Кто же спорит: пароль — это не всегда удобно. И небезопасно. Их трудно запомнить, из-за чего люди порой выбирают самые неудачные и используют их снова и снова. Пароли также легко поддаются фишингу, причем...
Зачем менять надёжный пароль? Брутфорс и энтропия
Что такое надёжный пароль? По мере развития технологий за последние десятилетия несколько раз менялись политика, что считать таковым. Мощности для брутфорса становятся всё доступнее, в том числе в облаках, поэтому и требования к энтропии паролей повышаются — в 2022 году рекомендуется использовать...
USB 4: что это такое и почему «четвёрка» лучше всех предыдущих стандартов
Недавно на Хабре публиковалась новость о том, что USB-IF объявила о спецификации USB4 2.0. Основное достоинство нового стандарта заключается в повышении лимита скорости передачи данных до 80 Гбит/с. Повышение стало возможным благодаря новой аппаратной архитектуре с PAM3 в качестве основы. Ну и ещё...
Биометрия по закону: что нового и есть ли перспективы
С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии. Как говорил Сенека: «Закон должен быть краток, чтобы его легко могли запомнить и люди несведущие». В этой статье буду придерживаться этого...
Знакомимся с не-X.509 сертификатами для документов нового поколения
Доступ к данным, хранящимся в документах нового поколения — вопрос актуальный. Для его решения применяются CV-сертификаты, не соответствующие стандарту X.509, но сохраняющие идею иерархичности открытых ключей и адаптированные к технологии смарт-карт. Они вполне заслуженно получили широкое...
Шифрование сертификатов TLS — как формируется цифровая подпись
По оценке независимой исследовательской и консалтинговой компании Frost & Sullivan, TLS-сертификаты от GlobalSign обеспечивают максимально надёжное шифрование. В том числе за это GlobalSign получила в сентябре 2022 года награду 2022 Global Competitive Strategy Leadership Award. Но возникает вопрос,...
Если нужно провести пентест или обнаружить вредоносную активность в сети — обсуждаем проект p0f
Говорим о компактной утилите для сбора цифровых отпечатков. Её применяют для оценки безопасности ИТ-инфраструктуры. Обсудим возможности и альтернативы. Читать далее...
Руководство по парольной политике. Часть 2
Продолжение. С первой частью можно ознакомиться здесь. Вторая часть универсального руководства, переведенного экспертами Origin Security специально для наших читателей. Ознакомившись с этим документом, вы узнаете буквально все о создании надежных паролей Читать далее...
Системный шрифт как проприетарные куки. Необычный метод пометки вашего устройства
Предположим, перед разработчиком поставлен такой вопрос — как со стороны веб-сайта определить, что у пользователя установлено конкретное приложение? Вопрос интересный. На него есть несколько способов ответа. Как вам такой вариант — поставить в систему уникальный шрифт при инсталляции программы?...
OpenID Connect (OIDC): Как получить токен?
Эта статья повествует о наиболее распространенном методе обмена токенами в потоке OpenID Сonnect: грантах [grants]. Обещаем – путешествие будет увлекательным, так что устраивайтесь поудобнее. Читать далее...
Безопасность + Разработка = ♡ Как выпускать релизы в срок и дружить с безопасностью
В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и...
Как обеспечить безопасность сборки ПО: управляем внешними зависимостями
Привет! Проблема управления безопасностью зависимостей — supply chain security — в настоящее время как никогда актуальна. В качестве примера можно привести историю компании SolarWinds: исходный код разрабатываемой ею утилиты был скомпрометирован и среди клиентов компании распространилось...
Смарт-карты: особенности протокола T=0 и на что они влияют
Когда начинаешь изучать смарт карты, то все выглядит достаточно понятно и логично: команды APDU несложны и описаны в ISO 7816-4, интерфейс winscard описан в MSDN. В глубины PCSC погружаться особо и не приходится. Первые программы можно написать довольно быстро. Непонятные особенности вылезают чуть...
Кратко о форматах TLV, BER, CER, DER, PER
Я хотел бы кратко рассказать о таких форматах данных, распространенных в ИТ-индустрии, в том числе в области инфраструктур открытых ключей (ИОК), смарт-картах, включая документы нового поколения на базе смарт-карт, в мобильной связи. Хотя рассматриваемые форматы и связаны с ASN.1, но некоторые из...
Проверяем защищённость приложения на Go: с чего начать
Привет! Меня зовут Александра, я инженер по информационной безопасности в Delivery Club. Мы используем Go в качестве основного языка для разработки Web-API и представляем вашему вниманию краткое руководство по быстрой проверке сервиса на соответствие базовым требованиям безопасности. Представленную...