Технологии безопасности

Сайт посвященный вопросам безопасности

Authorizer: децентрализованная авторизация emcSSL заработает с oAuth 2.0

Новости об очередных взломах базах данных и угонах паролей или хэшей появляются с пугающей регулярностью, причём даже от таких гигантов, как ВК и Yahoo. Но и пользователи Facebook и Google не могут быть уверены в своей безопасности, потому что суть проблемы не во взломах как таковых, а в централизованном хранении пользовательских данных, включая пароли или хеши паролей, по которым их можно довольно успешно восстановить.

В прошлом году мы уже писали о первой в мире децентрализованной системе управления цифровыми ключами на основе блокчейна Emercoin: emcSSL. Её архитектура аутентификации не раскрывает секрет пользователя в процессе аутентификации серверу и использует децентрализованное хранение учётных записей.

В теории это отличный способ обезопасить учётные данные пользователей любого сервиса, но на практике внедрение emcSSL требует участия квалифицированного программиста и содержит ряд неудобств с точки зрения юзера. Поэтому наш сегодняшний анонс можно считать новогодним подарком HashCoins всему миру: мы практически закончили работу над сервисом Authorizer, который позволяет подключить emcSSL через oAuth 2.0.
Continue reading

В соцсетях можно найти фотографии авиабилетов и присвоить бонусные мили

В системах бронирования билетов не соблюдаются базовые правила безопасности. Из-за этого находчивые хакеры могут присвоить бонусные мили, которые авиакомпании предоставляют часто летающим пассажирам. Как это сделать — подробно рассказано в презентации известного специалиста Карстена Ноля (Karsten Nohl) и его коллеги Наманьи Никодиевича (Nemanja Nikodijević), которую ребята представили на 33-й ежегодной конференции Chaos Communication Congress (33С3).
Continue reading

Тоталитарный планшет в КНДР запускает только разрешённые программы


Северокорейский планшет Woolim. Фото: Joseph Cox/Motherboard

Что бы ни думали западные империалисты, в КНДР успешно развивается промышленность, информационные технологии и коммуникации. Каждый состоятельный гражданин имеет возможность купить себе планшет и выйти в местный интернет под названием Кванмён (если успел предварительно зарядить аккумулятор в те часы, когда подают электричество). В стране даже разработана собственная операционная система, очень похожая на Mac OS X.
Continue reading

Как 10 лет назад начинался проект PVS-Studio

Десять лет назад мы создали простенькую утилиту под названием Viva64, предназначенную для выявления некоторых проблем в 64-битном коде. Так было заложено начало статического анализатора кода PVS-Studio. Хотя с того момента прошло 10 лет, что-то более-менее у нас, как у компании, стало получаться только несколько лет назад. Эта статья — не история успеха, так как мы считаем, что всё интересное только начинается. Однако, 10 лет — это повод подвести промежуточные итоги и рассказать нашим читателям как все начиналось, какие нас ждали ошибки, и что на данный момент у нас получилось. Местами я, возможно, буду не совсем хронологически точен при описании событий. Моя память не идеальна, а 10 лет — это длительный промежуток времени. Желаю всем приятного чтения.
Continue reading

Скучно о работе дешифрации NGFW

Если вы хотите окончательно испортить первое свидание – поговорите с девушкой о дешифрации. Да и в случае последующих – тоже не стОит.

Наша встреча с вами не первая, поэтому в этом тексте речь снова пойдет о дешифрации.
Да, я вновь расскажу об SSL. Могу обрадовать себя и вас тем, что это второй и последний материал на эту тему. Возможно. Continue reading

Научная капча: как головоломки мешали людям

С тех пор как капча из поля для ввода размытых слов и цифр превратилась в точку, куда нужно просто кликнуть мышью, мы стали забывать о мучениях, вызванных необходимостью распознавать крайне нечеткие символы.

Капча — как много в этом слове для человека, которому приходилось встречаться с ней каждый день. В какой-то момент, не так уж давно, казалось, что спастись от ботов поможет только защита, с которой едва ли справится обычный человек. Это убеждение породило множество UX-монстров, о которых пойдет речь в статье.

Современная капча старается быть незаметной, но она не исчезла совсем. Системы определяют человек перед ними или бот, изучая куки, IP-адрес, движение курсора и нажатия клавиш на страницах. Независимо от того, как реализуется технология капчи, все построено вокруг идеи создания задачи, трудной в решении для компьютеров и простой для людей, но не всегда на практике вопросы и ответы оказываются очевидны.
Continue reading

Google: Security Keys — лучший метод обезопасить свой аккаунт

Мы в KingServers стараемся отслеживать последние тенденции в различных технологических сферах. Одна из них, которая интересует нас больше всего — это безопасность. Если нет достаточного уровня безопасности, то все технические ухищрения по хранению и передаче данных можно считать напрасными (ну, почти) — все равно данные может украсть кто угодно.

Оказывается, защитить личные данные можно с достаточно высокой степенью надежности. Речь идет о Security Keys, небольших устройствах, которые мешают злоумышленнику добраться к информации пользователя. И сейчас результаты работы большого количества сотрудников Google подтверждают сказанное.
Continue reading

Microsoft признала, что переборщила с обновлением на Windows 10

Корпорация Microsoft очень агрессивно продвигала операционную систему Windows 10. За последние полтора года появилось множество историй об этом, а «принудительное» обновление Windows стало популярным сюжетом на Башорге. Специалисты по безопасности прямо говорили, что модуль «принудительного» обновления Windows с полиморфными техниками, который внедряется в Windows Update, действует как типичный зловред. Это уже не говоря о «тёмных паттернах» дизайна, когда крестик "Х" в углу окна с предложением обновиться означает не отказ от обновления, а нечто другое. Это можно понять, учитывая важность Windows 10 для финансового будущего Microsoft.

Вероятно, Microsoft уже тогда понимала, что заходит за грань приличия, проталкивая Windows 10. Сейчас она признала это официально. Как говорят некоторые мужчины, легче попросить прощения, чем разрешения.
Continue reading

Мобильное приложение Signal обходит государственную блокировку, пропуская трафик через Google App Engine


Схема обхода государственной цензуры через крышевание доменов, из научной работы 2015 года

С 21 декабря 2016 года криптомессенджер Signal от Open Whisper Systems стал использовать оригинальный метод обхода государственной цензуры, из-за которой от сети оказались отключены пользователи из Египта и ОАЭ. Метод называется «крышевание доменов» (domain fronting) и подробно описан в 2015 году в научной работе исследователей из университетов Калифорнии, Беркли и Принстона.

Цензор видит только домены, указанные в DNS-запросе и в поле TLS SNI, но он не видит заголовок HTTP-хоста, в котором система и прячет реальное доменное имя для отправки трафика. Реальное доменное имя надёжно спрятано с помощью шифрования HTTPS.
Continue reading