Технологии безопасности

Сайт посвященный вопросам безопасности

Как на Java c помощью КриптоПро подписать документ PDF

(adsbygoogle = window.adsbygoogle || []).push({});

Привет! Я сотрудник Альфа-Банка и занимаюсь разработкой программного обеспечения со встроенными средствами криптографической защиты информации.

В данной статье хочу рассказать о следующих вещах:

преимуществах формата PDF в качестве документа с электронной подписью;
платформе Java, библиотеке itextpdf и СКЗИ КриптоПро CSP, как инструментах подписи;
о том, с какими трудностями пришлось столкнуться, о доработке itextpdf;
привести пример кода, выполняющего несколько подписей;
поговорить о целесообразности использования формата PDF в качестве документа с подписью.

Continue reading

Майнеры и антивирус

(adsbygoogle = window.adsbygoogle || []).push({});

С темой майнеров лично я столкнулся после заявления Германа Клименко о том, что огромное количество серверов Москвы поражены майнерами. До этого майнеры были лично для меня лишь одним из видов вредоносных программ. Времени с тех пор прошлом не так уж и много, но количество желающих заработать на чужих компьютерах растет и думаю настала пора поговорить об этом явлении.

Кому интересно сколько майнеров создается в день, как они распространяются и (самое главное) как относятся к ним антивирусы — прошу под кат!
Continue reading

PUSH-авторизация в сервисах с помощью мобильного приложения

(adsbygoogle = window.adsbygoogle || []).push({});

Мы рады представить сообществу сервис PushAuth, который позволяет Вашим клиентам авторизироваться с помощью PUSH-сообщений на мобильном устройстве!

Эта идея не новая и многие компании в своих приложениях уже используют эту технологию. Всё выглядит достаточно просто, пока не рассматриваешь вопросы: безопасности, менеджмента устройств и клиентов, совместимости и комфортной работы.

Continue reading

Как Вы вирус назовете?

(adsbygoogle = window.adsbygoogle || []).push({});

Petya, Misha, WannaCry, Friday 13th, Anna Kournikova… Имена компьютерных вирусов, вызвавших настоящие эпидемии в сети, долго остаются на слуху. Их постоянно повторяют СМИ, как правило, не вдаваясь в технические подробности и путая модификации между собой.

А вы когда-нибудь интересовались, как и кто дает имена вирусам? Ведь компьютерных зловредов много, их миллионы, и все надо как-то называть. Под катом — краткий экскурс в нейминг вирусов, троянов и прочей компьютерной нечисти.
Continue reading

Бомба Сатоши

(adsbygoogle = window.adsbygoogle || []).push({});

Почему экономическая целесообразность может привести к краху Биткойн

Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского»

Обсудим, чем определяется прибыльность майнинга биткойна, какие принципы по адаптации скорости майнинга были заложены в него изначально, и почему эти принципы в конечном итоге могут привести к краху этой криптовалюты.

Мы предполагаем, что читатель имеет представление об основных механизмах функционирования Биткойн, таких как: блокчейн, майнинг, майнинговые пулы, награда за блок.

Предупреждение. В этой статье мы исследуем теоретическую возможность развития описываемого сценария с учетом заложенных в Биткойн алгоритмов. Мы не ставили себе цели детально проанализировать структуру затрат майнеров, цены на электричество в различных районах мира, банковские ставки и сроки окупаемости оборудования.
Continue reading

Google Titan — стали известны новые подробности о чипе

(adsbygoogle = window.adsbygoogle || []).push({});

В марте этого года в Сан-Франциско прошла конференция Google Cloud Next. Компания уделила много внимания безопасности облачной платформы Google.

«Мы внедряем инновации в области безопасности и хотим, чтобы это стало причиной миграции в облака», — сказала Дженнифер Лин (Jennifer Lin), директор по управлению продуктами для Google Cloud Platform (GCP).

Также Урс Хельцле (Urs Hölzle), старший вице-президент по технической инфраструктуре Google Cloud, презентовал новый чип Titan — он достал его из серьги, чтобы продемонстрировать, насколько тот мал. В инфраструктуре GCP чип отвечает за надежную аутентификацию пользователя на аппаратном уровне. Google часто скрывает информацию о своих разработках, но в конце августа компания раскрыла некоторые подробности о чипе.

Continue reading

Хакеры-вымогатели взломали более 26 000 серверов MongoDB

(adsbygoogle = window.adsbygoogle || []).push({});

Исследователи информационной безопасности сообщили о новой волне атак хакеров-вымогателей на серверы с установленной MongoDB. Начиная с прошлой надели было взломано более 26 000 серверов, причем 22 000 из них были атакованы одной кибергруппой. Continue reading

Доставка Powershell скриптов через DNS туннель и методы противодействия

(adsbygoogle = window.adsbygoogle || []).push({});

В данной статье мы поговорим о новом инструменте, позволяющем передавать Powershell скрипты на целевую машину внутри DNS пакетов с целью сокрытия трафика. Разберем, как работает PowerDNS и как защититься от подобных атак.
Continue reading

Почему анализ защищенности Java Script нельзя по настоящему автоматизировать?

(adsbygoogle = window.adsbygoogle || []).push({});

Почему в случае JavaScript приходится обходиться простыми подходами статического анализа, когда есть более интересные подходы к автоматическому анализу кода?

В ответ на этот вопрос, мой коллега Алексей Гончаров kukumumu ответил лаконично: «Java Script это панковский язык» и кинул ссылку на статью Jasper Cashmore «A Javascript journey with only six characters», которая действительно погружает нас в путешествие в эзотерический мир JSFuck и сразу все ставит на свои места.

Мне настолько понравилось, что я решил перевести статью на русский язык.
Continue reading

Передаю привет разработчикам компании Yandex

(adsbygoogle = window.adsbygoogle || []).push({});

Приблизительно раз в полгода нам пишет кто-то из сотрудников компании Yandex, интересуется лицензированием PVS-Studio, качает триал и пропадает. Это нормально, мы привыкли к медленным процессам продажи нашего анализатора в крупные компании. Однако, раз представился повод, будет не лишним передать разработчикам Yandex привет и напомнить об инструменте PVS-Studio.
Continue reading