Компания BitTorrent сообщила технические подробности реализации криптографически защищённого P2P-сервиса BitTorrent Chat, который сейчас находится в закрытом альфа-тестировании. Его главным преимуществом является отсутствие центрального сервера, так что сообщения передаются напрямую с устройства отправителя на устройство абонента без посредников.
Читать полностью »
В продолжение этой топика и новости о конкурсе от разработчиков Telegram предлагаю вашему вниманию перевод статьи Брюса Шнайера 1998 года. В упомянутом топике ссылались на другую его статью, но именно эта, мне кажется, хорошо раскрывает тему бессмысленности затеи с конкурсами. Кстати, именно Брюс, одним из первых, если не первым, заподозрил закладку в затронутом там же ГСПЧ от АНБ.
Вы слышите про них постоянно: «Компания Х выплатит $1,000,000 любому, кто сможет пробить их фаервол/взломать их алгоритм/провести мошенническую транзакцию и использованием их протокола/что угодно еще». Это конкурсы по взлому, и они предназначены, чтобы показать, как защищены и безопасны объекты этих конкурсов. Логика примерно такая: мы предложили много денег за взлом нашего продукта, но никто не взломал. Следовательно, продукт безопасен.
Отнюдь.
Об авторе: Moxie Marlinspike — хакер-исследователь, придумавший атаку SSL-stripping (и нашедший ещё полдюжины уязвимостей в SSL), разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году.
В мире информационной безопасности пока еще не всё так гладко, как хотелось бы. Примеров этому много, стоит посмотреть последние новости на тематических сайтах, как в голову приходит мысль о том, что, порой даже крупнейшие компании уделяют ИБ недостаточно внимания. В этот раз под прицел попал EBay.
Читать полностью »
Уходящий 2013 год показал отличную динамику на рынке видеоаналитики, несмотря на слабые темпы экономического развития в стране в целом. Масштаб и количество пилотных проектов многократно превысили показатели прошлого года и создали хороший задел для их тиражирования в период 2014-2017 гг. Отметим наиболее значимые сегменты применения охранной (О), биометрической (Б), статистической (С) и управленческой (У) видеоаналитики.
Читать полностью »
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.
А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.
Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.
Измученный сомнениями со стороны сообщества разработчиков и криптографов в стойкости криптографического протокола MTProto, который используется в Telegram, Павел Дуров решился на крайнюю меру. Он объявил награду $200 тыс. любому, кто «расшифрует трафик Telegram и расскажет, как он это сделал».
«Насколько я вижу, там не столько анонимусы, сколько создатели местного конкурента — TextSecure под Android, — пытается Дуров идентифицировать критиков из вышеупомянутого обсуждения. — Telegram собрал много пользователей, и они справедливо засуетились. Ребята мечутся между аргументом «Ваш алгоритм слишком новый, зачем это, если есть проверенные» и позицией «Ваш алгоритм слишком старый, зачем это, если есть новые».
Думаю, хорошим завершением дебатов будет объявление конкурса на дешифрацию трафика Telegram. Скажем, я готов открыть трафик всей моей переписки с момента регистрации в Telegram и вручить $200 000 любому, кто его расшифрует и расскажет, как. В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола».
Читать полностью »
Ситуация — нарочно не придумаешь.
У блондинки 2 телефона на одной учётке в iСloud. Локальных копий скорее всего нет. За свежесть копий в облаках не ручаюсь. Блондинка решает подарить один из телефонов подруге. Что двигало в её светлой голове — не знаю, но она по одному стёрла более 200 контактов. Вручную. И получила девственно чистую телефонную книжку на втором аппарате. Слёзы, истерика, звонок — выручай.
Первым делом изолируем аппарат от внешнего мира. Вынимаем SIM-карту, отключаем WiFi и прочие коммуникации.
Решение настолько простое и очевидное, что мне даже стало немного обидно за ребят из Купертино. Возможно мне повезло, что телефон был не запаролен. Читать полностью »
В первой части статьи мы поделились новым понятием информационной безопасности, которое постепенно сложилось в нашем сознании и нашло «широкую поддержку в узких кругах». Идея в следующем: человечество вступило в эру избыточной информационной открытости, приоткрывшей ящик Пандоры новейших угроз в Сети. Во второй части продолжаем обсуждать реальные кейсы, характеризующие модифицированную парадигму «ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» современного мира.
Читать полностью »
Комитет Госдумы по СМИ одобрил законопроект о внесудебной блокировке сайтов с призывами к проведению несанкционированных митингов, сообщают «Ведомости». Документ поддержан фракцией «Единая Россия», а Госдума может рассмотреть его уже 17 декабря.
Интересно, что в отличие от других подобных законов, проект предусматривает немедленную блокировку ресурсов: времени удалить информацию с сайта не будет. Решение о блокировке будет принимать генеральный прокурор или его заместители. Получив информацию о появлении противоправной информации в интернете, они обратятся в Роскомнадзор, который сразу же направит требование о блокировке ресурса оператору связи, а тот — провайдеру хостинга.
Читать полностью »
