Рубрика «информационная безопасность» - 567

в 22:03, , рубрики: indistinguishability obfuscation, информационная безопасность, криптография, обфускация, обфускация неразличимости

В июле 2013 года мир криптографии взволновали две научные работы. Их опубликовали с разницей в несколько дней в онлайн-архиве, и вместе они описали новый, сильный метод, позволяющий скрывать секреты в компьютерных программах.

Метод назвали «обфускация неразличимости» [indistinguishability obfuscation], или IO. Авторы разрекламировали его как «основное ядро» криптографии – универсальную основу, на которой можно реконструировать такие известные инструменты, как публичные ключи и выборочно безопасные подписи. Также в работах демонстрировался математический аппарат, стоящий за IO.

Исследования привлекли очень много внимания, но за два года работы с ними специалисты встретились с довольно большим количеством практических трудностей, препятствующих внедрению IO. Например, IO слишком медленная. Задержки на обфускацию программ измеряются на современных компьютерах годами. Кроме того, оказалось, что метод не так безопасен математически, как того хотелось бы.

Но за последние несколько месяцев появились работы, в которых демонстрируются очень важные подвижки со времён изначального анонса 2013 года. Некоторые исследователи считают, что рабочую версию системы можно будет сделать лет через десять, или даже раньше. «Сейчас всё выглядит так, будто никаких серьёзных ограничений нет,- говорит Амит Сахай, программист из Калифорнийского университета, соавтор обеих научных работ. – IO – мощная система, и может сделать всё, что нам нужно». Кроме того, исследователи считают, что даже квантовые компьютеры не смогут его взломать.
Читать полностью »

в 12:41, , рубрики: d-link, dual_ec_drbg, hackingteam, internet explorer, juniper, klsw, silverlight, tyupkin, Блог компании «Лаборатория Касперского», бэкдор, информационная безопасность

Security Week 02: уязвимые вебкамеры, продолжение истории с Juniper, Zero-Day в Silverlight и как его нашли - 1На этой неделе одной из самых обсуждаемых новостей стало окончание поддержки Microsoft Internet Explorer 8, 9 и 10. Данные версии браузеров перестанут получать обновления даже в случае обнаружения серьезных уязвимостей. Новость достаточно очевидная, чтобы не тратить на нее много места в дайджесте, но она наводит меня на еще одну мысль. Тем, кто пользуется IE 8, уже давно пора обновиться, и возможно прекращение поддержки их наконец-то подтолкнет к этому шагу. Обновиться достаточно просто, хотя кому-то придется для этого купить новый компьютер, но и это — не большая проблема.

Проблемы начнутся, когда «компьютеров» с аналогичным подходом к разработке и развитию, когда типичный софт и железо устаревают максимум за 2-3 года, будет несколько десятков в каждой отдельно взятой квартире — от счетчика электроэнергии до чайника и электроплиты. Заметный упор в сторону «умных» бытовых приборов на CES (пока в основном довольно странных и безумно дорогих холодильников и стиральных машин) показывает, что это произойдет довольно скоро. В нынешнем виде такие устройства могут работать десятилетиями. А в будущем? Представьте себе экосистему Android, распространенную на утюги и кофемолки. Получатся небезопасные устройства, которые надо обновлять, небезопасные устройства, которые не поддерживаются производителем, небезопасные устройства, о которых даже сам производитель не знает, что они небезопасные.

Какая-то не очень радужная перспектива, но пока я не вижу других вариантов развития. Производителям «умных вещей», увы, придется набить те же шишки на лбу, которые для производителей «больших» операционных систем давно пройденный этап. Все выпуски дайджеста — тут.
Читать полностью »

в 10:17, , рубрики: juniper, анб, Блог компании 1cloud.ru, информационная безопасность, инфраструктура, ит-инфраструктура, уязвимости

АНБ помогало британским спецслужбам использовать уязвимости в продуктах Juniper - 1

В нашем блоге мы пишем о развитии собственного облачного проекта 1cloud, а также рассматриваем интересные вопросы, связанные с технологиями. Один из самых важных аспектов построения инфраструктуры — это выбор оборудования и обеспечение его безопасности. В частности, компаниям важно знать, в каких из использующихся ими инструментах обнаруживаются ошибки безопасности.

В конце 2015 года СМИ опубликовали документ от февраля 2011 года, под грифом «совершенно секретно», в котором говорится о том, что британская разведывательная служба Центр правительственной связи (The Government Communications Headquarters, GCHQ) с помощью специалистов АНБ получила возможность тайно пользоваться уязвимостями в 13 моделях межсетевых экранов от Juniper Networks – одного из ведущих производителей телекоммуникационного оборудования в мире (в нашей системе ни один из них не используется).

Этот шестистраничный документ, озаглавленный «Оценка возможностей использования Juniper в целях разведки», поставил вопрос о мере ответственности разведывательных агентств за само появление проблем с безопасностью сетевой защиты Juniper, о которых компания сообщила в декабре прошлого года.
Читать полностью »

в 21:54, , рубрики: CVE-2016-0777, openssh, информационная безопасность, криптография, системное администрирование, уязвимость, метки:

В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777 - 1
Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5.4 до 7.1.

Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа. Аутентификация ключа сервера предотвращает атаку типа man-in-the-middle, так что злоумышленникам понадобится сначала получить доступ к машине, на которую вы пытаетесь зайти. Хотя, при подключении к машине впервые, не сверяя ключ, MITM возможен.

До тех пор пока вы не обновите уязвимые системы рекомендуется использовать следующий фикс:

echo -e 'Host *nUseRoaming no' >> /etc/ssh/ssh_config

Обновления для различных ОС уже выходят, в том числе выпущена portable версия OpenSSH 7.1p2.

Клиент OpenSSH версий от 5.4 до 7.1 содержит код экспериментальной функции «roaming», позволяющей продолжать сессии. Серверная часть этой функциональности никогда не была опубликована, но существующий код клиента уязвим — злоумышленники могут получить часть памяти клиентской машины, содержащую приватный ключ. По умолчанию эта функция включена, поэтому узявимость достаточно серьёзна.
Читать полностью »

в 15:17, , рубрики: ddos-атака, Блог компании ua-hosting.company, взломы, защита данных, информационная безопасность, кибератаки, кибергруппы, киберпреступления, нарушения, обзоры, спецслужбы, хакеры, хранение данных

Прошедший 2015 год был весьма «богатым» на кибератаки и показал, что даже самая надежная защита крупных международных корпораций подвержена взлому. Даже супер защищенные компании не устояли перед нападением хакеров. Такие, как: американская Служба управления персоналом; американская компания по медицинскому страхованию Anthem и Premera; сайта знакомств для супружеских измен Ashley Madison; сеть отелей Mandarin Oriental, Hilton и Trump Hotels; британская телекоммуникационная компания TalkTalk и гонконгский интернет-магазин VTech.

В 2014 году группа хакеров взломала известную кинокомпанию Sony Pictures, планомерно выкладывая в сеть личные данные сотрудников, пиратские копии фильмов и другую секретную информацию. Атака принесла убытки от которых кинокомпания оправляется до сих пор.

В прошедшем году особой популярности набрали кибербанды, занимающиеся вымогательством. Такие вот, как хакеры группы под названием DD4BC, использующие DDoS-атаки для вымогательства денег от интернет-компаний, корпораций и частных людей.

Кибербезопасность 2015 года - 1

Читать полностью »

в 15:13, , рубрики: ua-hosting.company, wi-fi, беспроводная связь, Беспроводные технологии, Блог компании ua-hosting.company, информационная безопасность, стандарты, Стандарты связи

image

Как уже упоминалось на Хабре, разработчики решили порадовать потребителей новым протоколом Wi-Fi для интернета вещей. Правда, не исключено, что обеспечивать безопасность в процессе использования данного продукта будет гораздо сложнее, чем раньше.

Новый протокол на базе стандарта 802.11ah от IEEE известен в кругах Wi-Fi Alliance, как Wi-Fi HaLow. Он отличается от ныне используемого Wi-fi, характерного для большинства современных устройств, несколькими ключевыми характеристиками. Во-первых, это маломощный протокол, который будет работать в диапазоне до гигагерца. Во-вторых, у нового продукта гораздо большая дальность, чем у традиционного Wi-Fi, и именно благодаря данной особенности он будет чрезвычайно эффективен в приложениях, регулирующих функционирование светофоров и камер наблюдения в умных городах.

Новая версия Wi-Fi также может пригодиться для соединения небольших, маломощных гаджетов, таких как смарт-часы, фитнес-браслеты с другими полезными аксессуарами и предметами одежды, для обеспечения связи с которыми сейчас используется Bluetooth. Wi-Fi Alliance, утверждающий устройства, поддерживающие Wi-Fi, и тестирующий новую разработку, уверяет, что она является расширенной и улучшенной версией существующего протокола.

«Wi-Fi HaLow прекрасно соответствует уникальным потребностям Умного дома, Умного города и промышленных рынков благодаря низкой энергозатратности, способности работать через стены. Причем дальность протокола существенно превышает показатели современного Wi-Fi», — отмечает Эдгар Фигероа, президент и исполнительный директор Wi-Fi Alliance.
Читать полностью »

в 15:06, , рубрики: credo vv18, EEROM, etoken, TSM, Восстановление данных, информационная безопасность, метки: ,

По государственной программе нам на предприятие выделили несколько таких тонких клиентов.
Многие были рады, что он занимает мало места (крепится сзади на монитор), абсолютно бесшумно работает в отсутствие вентиляторов и сравнительно шустро работает по сравнению со старыми компьютерами которые стояли раньше. Самое интересное началось позже, когда пользователи стали терять ключи eToken.
image
Читать полностью »

в 10:21, , рубрики: everykey, Geektimes, liteMF, universal key, Блог компании LiteMF, будущее здесь, доставка из США, информационная безопасность, универсальный ключ

Everykey: универсальный ключ к вашим гаджетам - 1

Американская компания Everykey Inc., созданная в 2012 году выпускниками предпринимательского курса Case Western Reserve University, уже засветилась на Кикстартере со своим универсальным ключом в виде браслета в 2014 году. Сегодня они представляют уже новый работающий прототип девайсаЧитать полностью »

в 14:26, , рубрики: Facebook, ЕСПЧ, информационная безопасность, переписка, Социальные сети и сообщества, увольнение, метки:

BBC сообщает о решении Европейского суда по правам человека (ЕСПЧ), который отклонил иск румынского инженера Богдана Махаи Барбулеску (Bogdan Mihai Barbulescu), уволенного ещё в 2007 году за личную переписку в рабочее время. У истца в контакт-листе Yahoo Messenger одновременно находились и личные, и рабочие контакты, и он в своё рабочее время переписывался сразу со всеми. Это обстоятельство было выявлено и инженер лишился работы. Поскольку речь шла о том, что работодатель буквально проверил переписку, то уволенный инженер решил, что таким образом нарушено право его личной жизни и подал иск в ЕСПЧ.
Читать полностью »

в 13:20, , рубрики: dlp, powershell, информационная безопасность, поиск и удаление файлов, поиск файлов, системное администрирование

Помимо основной задачи предотвращения утечек конфиденциальной информации у DLP-системы могут быть и второстепенные (дополнительные) задачи. К ним относятся:

  • копирование передаваемых сообщений для расследования инцидентов безопасности, в будущем;
  • устранение возможности оправки не только конфиденциальной информации, но и различной нежелательной (спама, оскорбительных выражений, информации эротического содержания, огромных объёмов данных и т.п.);
  • фильтрация нежелательной информации при получении, а не только при отправке;
  • устранения способов использования информационных ресурсов, сотрудниками, в личных целях;
  • уменьшение трафика, оптимизация нагрузки каналов;
  • контроль рабочего времени сотрудников.

Наша ручная DLP система не будет решать все поставленные задачи, а сосредоточиться только на:

  • поиске определенных файлов в сети;
  • составление отчетов и доставка отчетов системному администратору или офицеру безопасности;
  • выполнение удаления, по определенным критериям.

Читать полностью »

1...1020...566567568...570580...928
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js