Обнаружение и разбор уязвимости CVE-2023-38633 в librsvg, заключающейся в ситуации, когда две реализации URL-парсера (Rust и Glib) расходятся в парсинге схемы файла, создавая уязвимость к атаке обхода каталога.Читать полностью »
Рубрика «информационная безопасность»
Когда парсеры URL-адресов расходятся (CVE-2023-38633)
2023-09-15 в 13:00, admin, рубрики: Canva, librsvg, ruvds_перевод, XML, информационная безопасность, обход каталога, уязвимостиОбнаружение и разбор уязвимости CVE-2023-38633 в librsvg, заключающейся в ситуации, когда две реализации URL-парсера (Rust и Glib) расходятся в парсинге схемы файла, создавая уязвимость к атаке обхода каталога.Читать полностью »
Как мы учились обходить блокировки VPN в Китае, чтобы быть готовыми к РКН
2023-08-10 в 14:25, admin, рубрики: vpn, xeovo vpn, Блог компании Xeovo VPN, блокировки, великий китайский фаерволл, информационная безопасность, Разработка на Raspberry Pi, Управление продуктомВ понедельник 7 августа многие пользователи VPN в России заметили проблемы с подключением к серверам. Картина складывалась противоречивая: у абонентов одного оператора мог работать VPN, а мог — нет, в одном регионе у части пользователей были трудности с подключением, а другие не испытывали технических проблем. Это уже вторая заметная волна блокировок в этом году.
По собранной в соцсетях и Телеграме информации, ограничения затронули наиболее распространенные VPN-протоколы OpenVPN, L2TP, PPTP и WireGuard. На сбои в работе VPN-сервисов жаловались клиенты мобильных операторов — Мегафон, МТС, Билайн, Tele2, Yota, Тинькофф Мобайл.
ИИ научился взламывать пароли с помощью звука клавиатуры
2023-08-10 в 9:45, admin, рубрики: антивирусная защита, Блог компании getmatch, взломы, информационная безопасность, искусственный интеллект, исследование, клавиатуры, хакеры
В конце прошлого года мы выяснили, что ИИ научилсяЧитать полностью »
Экосистема Hyper. Полный пиринг и шифрование
2023-08-09 в 9:00, admin, рубрики: Autobase, Damus, Holepunch, Hyper, Hyperbeam, Hyperbee, Hypercore, HyperDHT, Hyperdrive, Hypershell, Hyperswarm, Keet, Lora RF, LXMF, Mesh-сети, meshtastic, Nebula, NIP-02, Nomad Network, NordVPN Meshnet, NOSTR, p2p, Reticulum, ruvds_статьи, Shelter, Tailscale, tinc, yggdrasil, ZeroTier, ZKPP, Блог компании RUVDS.com, децентрализованные сети, информационная безопасность, криптография, модель с нулевым доверием
В настоящее время резко выросла потребность людей в защищённых коммуникациях. А с ней и популярность сервисов для защиты связи и шифрования. Это VPN, mesh-сети и пиринговые приложения для прямого обмена зашифрованными сообщениями, файлами и т. д. Один из самых продвинутых наборов такого рода — экосистема Hyper. Есть и другие (о них ниже).Читать полностью »
Что такое формальная верификация
2023-08-05 в 10:52, admin, рубрики: coq, Rust, Алгоритмы, безопасность, безопасность веб-приложений, безопасность данных, информационная безопасность, Криптовалюты, формальная верификация, функциональное программированиеЭто обзорная статья, в которой очень поверхностно и не подробно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования.
Формальная верификация — это доказательство с использованием математических методов корректности программного обеспечения.
Формальная верификация молода. На сегодняшний день, на сайте хабр, например, нет (пока) специализации «Формальная верификация», нет специальности «Proof инженер» или «Специалист по формальной верификации». А люди, работающие по этой специальности — есть.
14 глаз против VPN: что нужно знать про то, как главные разведки мира совместно шпионят за пользователями
2023-08-02 в 14:42, admin, рубрики: data mining, five eyes, fourteen eyes, nine eyes, surveillance, vpn, xeovo, xeovo vpn, анб, Блог компании Xeovo VPN, информационная безопасность, шпионские штучки, Эдвард СноуденРынок VPN-провайдеров — это джунгли, в которых конкурирующие компании борются за клиентов, используя все возможные маркетинговые аргументы, включая введение пользователей в заблуждение. Один из примеров этого — это так называемая проблема альянсов спецслужб «5 (9, 14) глаз», и как VPN может защитить от них пользователей.
OpenSSH против SSH
2023-08-02 в 9:00, admin, рубрики: BIND, djbdns, DNS, Dropbear, ECC, ECDH, ecdsa, ECMQV, GSS-API, IT-стандарты, open source, openssh, rsa, ruvds_статьи, secure shell, ssh, SSH FTP, ssh-2, Suite B, алгоритм Диффи-Хеллмана, Блог компании RUVDS.com, Даниэль Бернштейн, информационная безопасность, протоколы, эллиптические кривые
Рис. 1. Разные реализации SSH, источник: Shodan
Формально протокол SSH определён в ряде стандартов RFC (список ниже). В то же время есть много реализаций этого протокола. OpenSSH — самая популярная из них, хотя не единственная. Например, вот альтернативная реализация SSH на Go (и несколько примеров кастомных серверов на её основе). По статистике Shodan, вторым по популярности демоном SSH является Dropbear SSH (рис. 1). Все остальные далеко позади, если судить по количеству адресов на порту 22.
На практике спецификации OpenSSH содержат в себе все стандарты RFC для SSH, включая черновики, а также немножко сверх этого.Читать полностью »
Импортозамещение NAC: обзор российского решения WNAM
2023-08-02 в 7:00, admin, рубрики: NAC, WNAM, администрирование, безопасность, Блог компании К2Тех, импортозамещение, информационная безопасность, Сетевые технологии, сети, системное администрированиеСегодня расскажем про российскую разработку WNAM от Netams. Мы знакомы с этим вендором много лет, и они заметно выросли после 2022 года. Сейчас это отечественный ACS/NAC-продукт, который является альтернативой ушедшим с рынка импортным решениям. И несмотря на название, реализует авторизацию не только по Wi-Fi, но и по LAN и VPN.
О запрете иностранных email сервисов и переезде в RU домен
2023-08-01 в 7:04, admin, рубрики: email, gmail, mail.ru, yandex.ru, валидация, домен, закон, запрет, информационная безопасность, Исследования и прогнозы в ITВ Госдуме предложили запретить регистрацию на российских сайтах с помощью иностранной электронной почты. Госдума уже одобрила поправки во втором и третьем чтениях и сейчас проект рассматривается Советом Федерации.
Linux с двойным дном
2023-07-23 в 16:59, admin, рубрики: information security, infosec, linux, opsec, информационная безопасность, Настройка LinuxКулхацкеры всех стран — соединяйтесь!
Если у вас паранойя, это не значит, что за вами не следят.