Токены PKCS#11: сертификаты и закрытые ключи
Токены PKCS#11 выполняют не только криптографические функции (генерация ключевых пар, формирование и проверка электронной подписи и другие), но и являются хранилищем для публичных (открытых, PUBLIC KEY) и приватных (закрытых, PRIVATE KEY) ключей. На токене также могут храниться сертификаты. Как...
ZeroNet — По настоящему распределенная сеть: Социальная сеть,Wiki движок (изменения за полгода)
Кто о чем а shifttstas о распределенных сетях Прошёл почти год, с последнего обзора сети ZeroNet, за это время в сети произошло много интересного. В этом выпуске: Какие изменения были в ядре ZeroWiki — распределенная википедия Распределенная соц-сеть (больше похожа на твиттер, но без ограничения...
[Перевод] Как я взломал свою ip-камеру и нашел там бекдор
Время пришло. Я купил себе второе IoT устройство в виде дешевой ip-камеры. Мои ожидания относящиеся к безопасности этой камеры были не высоки, это была самая дешевая камера из всех. Но она смогла меня удивить. Читать дальше →...
Новый принцип межсетевого экранирования
Современные средства защиты информации довольно сложны и требуют от потребителя определенного набора специальных знаний. Данное обстоятельство с учетом бешеного ритма современной жизни заставляет людей постоянно откладывать «на потом» вопросы, связанные с безопасностью их данных, которые...
О квантовой криптографии. Протоколы E91 & Lo05
Доброе время суток, Хабражители! Как и обещал в первой статье, расскажу о протоколах E91 и Lo05. E91 Немного терории… Это протокол был разработан Артуром Экертом в 1991 году. Так же он имеет название EPR (Einstein-Podolsky-Rosen) так как он основан на парадоксе Эйнштейна-Подольского-Розена. В...
[Перевод] 7 самых неприятных проблем в программировании
Известно, что на старых картах, на неизведанных территориях, часто помещали зловещее предупреждение: «Здесь живут драконы». Вероятно, смысл этого предупреждения состоял в том, что не стоит входить в это пространство мира, не будучи готовыми сражаться с внушающим ужас противником. Всё что угодно...
Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия
В данной статье проведена систематизация требований к информационной безопасности (ИБ) АСУ ТП. Требования выбраны из доступных на настоящий момент стандартов, в первую очередь, из NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» и разрабатываемой новой редакции серии ISA/IEC...
CTFzone write-ups – Going 300, going 500, OSINT sold
Друзья, спасибо за проявленную активность в чате и по ссылке с заданиями – ваши заинтересованность и увлеченность мотивируют нас работать по 25 часов в сутки, и это не предел! В связи с увеличением нашего светового дня мы уже готовы представить вам следующую партию райтапов – на этот раз мы...
Security Week 47: закладки в Android, безопасность Wi-Fi, уязвимость NTP
В прошлом выпуске я писал о том, что Apple, похоже, по умолчанию шлет информацию об истории телефонных звонков в iCloud, и отключить это возможно только полностью заблокировав облачный бэкап. За неделю это была не единственная новость на тему: отличился и разработчик устройств на базе Android....
CTFzone write-ups – First comes Forensics
Прошло несколько дней после окончания CTFzone от компании BI.ZONE, а наши смартфоны до сих пор разрываются от уведомлений Telegram – чат с участниками битвы после конференции стал еще более оживленным. По отзывам игроков, многие задания CTFzone были очень нестандартными и действительно непростыми....
Antidote — TOX клиент для iOS наконец-то стал доступен
Пару недель назад состоялось значимое событие в сфере безопасности — состоялся релиз клиента Antidote для мобильных устройств от Apple. Как это происходило и какие перспективы — рассмотрим в посте. Что интересно — автор данного приложения dvor (так, что по сути это еще и качественное...
[ZeroNights2016] [CTFzone] Без 100 грамм не разберёшься
Продолжаем цикл статей, посвященный врайтапу по CTFzone, который проходил 17 и 18 ноября в рамках ZeroNights2016 под флагом Bi.Zone. В этот раз мы поговорим о заданиях, выполнение которых приносило по 100 очков в пользу реальных хакеров! Продолжение внутри...
[Из песочницы] [ZeroNights2016] [CTFzone] Разбор полётов за 50
Ну, что же, вот и завершился ZeroNights 2016. Хотелось бы поблагодарить организаторов данного мероприятия и всех её участников: за два дня прозвучало множество удивительных дайджестов, мы делали себе алкогольные коктейли, думали как взломать «умный дом», доказывали свой интеллект в викторинах и,...
Двойная аутентификация Вконтакте — секс или имитация?
Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими...
Международный конкурс для молодых исследователей и профессионалов в области ИБ
По нашим (да и не только) наблюдениям, в индустрии информационной безопасности катастрофически не хватает профессионалов. Во многом это связано с тем, что люди не всегда понимают весь спектр задач, который приходится решать безопасникам и просто не рассматривают возможность поискать себя в этой...
Детский интернет глазами отца. Опыт пользователя
ncmares, deviantart В интересное время мы живём. Весь мир опутан единой информационной сетью Интернет, в которой проводят львиную долю своего свободного времени как взрослые, так и дети. Стоп! Дети… Это что же, они смотрят то же самое, что и мы, взрослые?! Понятно, что мультики, котиков,...
PDUG Meetup. SSDL для руководителей: как перевести команду на безопасную разработку и не выстрелить себе в ногу
Безопасность ПО становится важнейшей составляющей его качества. Однако традиционный процесс разработки не всегда позволяет создавать защищенные приложения с нуля, а устранение уязвимостей в готовом софте требует серьезных временных и материальных затрат. На помощь приходит встраивание Secure...
Зловреды-вымогатели для IoT опаснее «традиционных» зловредов
Зловреды, используемые для вымогательства (ransomware), в этом году стали одной из серьёзнейших киберугроз. И сегодня все — от обычных пользователей до корпораций и правительственных организаций — стараются обезопасить себя от программ-шифровальщиков. Однако, мы пока игнорируем начало следующей...