Дисклеймер: Вся работа проводилась исключительно в исследовательских целях в отношении данных собственной учетной записи. Статья носит аналитический характер, не содержит призывов к получению несанкционированного доступа к чужим системам, рабочих сессионных токенов, ключей шифрования или готовых инструментов для обхода систем безопасности третьих лиц.
Рубрика «RC4»
Реверс-инжиниринг Xiaomi Smart Band 10
2026-05-24 в 21:13, admin, рубрики: AES_CBC, fds, health data, Mi Fitness, RC4, reverse engineering, Xiaomi Mi Band 10, реверс-инжиниринг, фитнес-браслетПравильные ответы по криптографии: 2018 год
2018-04-16 в 8:44, admin, рубрики: AEAD, aes, AKE, argon2, bcrypt, beast, blowfish, bouncycastle, CBC, chacha20, CRIME, Curve25519, DROWN, ECDHE-TLS, Ed25519, freak, hmac, HSM, KCI, KMAC, KMS, libsodium, Logjam, lucky13, mac, md5, MD6, NaCl, openssl, padding oracle, pbkdf2, Poly1305, poodle, RC4, scrypt, sha-1, SHA-2, SHA-3, sha256, SSL, Tarsnap, TLS, XSalsa20, Блог компании GlobalSign, ГСЧ, Диффи — Хеллман, информационная безопасность, криптография, нонсы, Разработка веб-сайтов, эллиптические кривыеВ литературе и самых сложных современных системах есть «лучшие» ответы на многие вопросы. Если вы разрабатываете встроенные приложения, то предлагают использовать STROBE и модный современный криптографический стек для аутентификации полностью из одиночных SHA-3-подобных функций губки. Советуют использовать NOISE для разработки безопасного транспортного протокола с формированием общего ключа аутентификации (AKE). Говоря об AKE, есть около 30 различных парольных AKE на выбор.
Но если вы разработчик, а не криптограф, то не должны делать ничего такого. Следует придерживаться простых и обычных решений, которые легко поддаются анализу — «скучных», как говорят люди из Google TLS.
Читать полностью »
Введение в криптографию и шифрование, часть первая. Лекция в Яндексе
2017-04-23 в 12:17, admin, рубрики: aes, arcfour, DES, HTTPS, RC4, salsa20, TLS, Алгоритмы, Блог компании Яндекс, информационная безопасность, криптография, сеть фейстеля, шифр цезаря, шифрование, шифрование данныхЧтобы сходу понимать материалы об инфраструктуре открытых ключей, сетевой безопасности и HTTPS, нужно знать основы криптографической теории. Один из самых быстрых способов изучить их — посмотреть или прочитать лекцию Владимира ivlad Иванова. Владимир — известный специалист по сетям и системам их защиты. Он долгое время работал в Яндексе, был одним из руководителей нашего департамента эксплуатации.
Мы впервые публикуем эту лекцию вместе с расшифровкой. Начнём с первой части. Под катом вы найдёте текст и часть слайдов.
Security Week 24: черный рынок угнанных RDP, зиродей в Flash, GMail отказывается от SSLv3 и RC4
2016-06-17 в 16:01, admin, рубрики: flash, gmail, klsw, RC4, rdp, sslv3, xdedic, zeroday, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасность, метки: xdedic
Одна из самых резонансных новостей этой недели посвящена черному рынку удаленного доступа к серверам. Эксперты «Лаборатории» исследовали сервис, на котором любой желающий может недорого приобрести информацию для доступа к одному из 70 с лишним тысяч серверов по всему миру по протоколу RDP. Взломанные серверы достаточно равномерно распределены по земному шару, примерно треть приходится на страны, где выбор — максимальный: Бразилию, Китай, Россию, Индию и Испанию.
Ничего не подозревающим владельцам этих серверов наверное будет интересно узнать, что с ними могут сделать злоумышленники, но тут я даже затрудняюсь в выборе, с чего начать. Если коротко — сделать можно все. Дальнейший взлом инфраструктуры жертвы — без проблем. Рассылка спама, DDoS-атаки, криминальный хостинг, кража информации, таргетированные атаки с эффективным заметанием следов — тоже можно. Кража данных кредиток, денег со счетов, бухгалтерской отчетности — да, если взломанный сервер имеет доступ к такой информации. Все это — по смешным ценам: 7-8 долларов за учетку.
XDedic и подобные сервисы (можно предположить, что он такой не один) — это криминальный екоммерс и финтех, он объединяет преступников разного профиля, крутых и не очень, использует современные технологии, предоставляет качественный сервис. Сами украденные данные предоставляют больше 400 продавцов — тут вам и конкуренция, и борьба за увеличение количества взломов. Самый подходящий момент напомнить — вас могут взломать, даже если вам кажется, что ваши данные никому не нужны. Во-первых, нужны, и вам в любом случае не понравится, как их используют. Во-вторых, ресурсы тоже стоят денег, а когда цена вопроса — три копейки, под удар попадают все вплоть до малого бизнеса. Украдут деньги со счета, или дампы кредиток, или хотя бы контакты клиентов для рассылки спама, атакуют через вас другую компанию, а если вообще ничего не выйдет — ну поставят генератор биткоинов и сожрут электричество.
С такими эволюциями киберкриминала трудно бороться, но данное исследование позволяет примерно понять, как это делать.
Все выпуски сериала — тут.
Читать полностью »
Systemicus чаcть 3: OMFS3 и Liberte
2014-06-03 в 20:53, admin, рубрики: omegicus, RC4, ГОСТ 28147-89, криптография, операционные системы, Программирование, файловые системы, метки: omegicus, RC4, ГОСТ 28147-89, криптография, файловые системыВ этой части хотел бы поделится опытом создания файловой системы OMFS3 для ОС Systemicus. Главная цель ее создания — надежное шифрование данных.

Отключаем шифрование RC4 в Firefox
2014-01-04 в 5:35, admin, рубрики: Firefox, RC4, браузеры, информационная безопасность, криптография, шифрованиеОб этом, возможно, уже много написано в блогах, но… хоть шифрование RC4 и считается уязвимым, многие вебсайты всё ещё используют его по умолчанию, и Firefox отображает такие соединения как использующие «высокую степень шифрования». К счастью, мы можем отключить поддержку RC4 в настройках Firefox.
- Открываем страницу настройки по адресу about:config.
- В ответ на предупреждение, что вы можете «лишиться гарантии», отвечаем, что будем осторожными.
- В строке поиска в верхней части страницы вводим «RC4».
- Читать полностью »
Легендарный криптограф Диффи помог остановить патентного тролля
2013-11-25 в 12:24, admin, рубрики: Dura Lex, Lotus Notes, RC4, SSL, асимметричная криптография, билл гейтс, криптография, патенты, метки: Lotus Notes, RC4, SSL, асимметричная криптография, билл гейтс
Патентные тролли в последнее время становятся всё более наглыми. Пользуясь недостатками американского законодательства, они зарабатывают миллионы долларов, подавая иски против рядовых компаний и предпринимателей. Одним из последних примеров стала активность фирмы TQP Development, которая предъявила нескольким сотням компаний претензию в использовании запатентованной схемы «криптографически защищённой электронной коммерции». В патенте, фактически, описано одновременное использование SSL и RC4.
Почти 140 компаний выплатили TQP Development в общей сложности более 45 миллионов долларов. Среди них — такие гиганты, как Amazon (заплатила $500 тыс.) и Microsoft ($1 млн).
Шантаж продолжался бы и дальше, но на сцену вышел интернет-магазин Newegg. Он отказался платить лицензионные отчисления и потребовал рассмотрения дела в суде.
Читать полностью »
Безопасная почта и сообщения для себя и других
2013-11-09 в 22:44, admin, рубрики: blowfish, RC4, анб, безопасность, информационная безопасность, криптография, метки: blowfish, RC4, анб, безопасность, криптографияНа волне последних скандалов с АНБ пришло осознание того, что, в конечном итоге, никому нельзя верить — рано или поздно может оказаться, что Ваши данные на сервере X, как оказалось, прослушивались некой организацией, хотя на словах говорилось о полном шифровании всех данных пользователя.

Ослабленный SSL в android устройствах?
2013-10-15 в 19:39, admin, рубрики: RC4, SSL, информационная безопасность, криптография, метки: RC4, SSL, криптография 
Прошу прощения за желтый заголовок, но думаю, это действительно стоит обсудить.
Итак, по словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
Почитать пост с описанием этого открытия вы можете по ссылке.
Оставляя за скобками мотивы разработчиков android установить приоритет именно для этих алгоритмов, я хочу рассказать чем плох RC4 в качестве основного метода шифрования и чем это чревато для SSL.
Читать полностью »
Ещё одна крипто-атака на SSL/TLS шифрование
2013-03-17 в 14:23, admin, рубрики: beast, HTTPS, lucky13, RC4, SSL, TLS, информационная безопасность, криптография
SSL/TLS – основа безопасных интернет-соединений. Вместе с ними RC4, изобретенный Роном Ривестом в 1987 году, часто используется для шифрования. В настоящее время исследователи сталкиваются с атакой против алгоритма расшифровывания безопасной передачи. Атака пока более теоретическая, но ясно показывает, что некоторые задачи должны быть решены.Читать полностью »
