Забезпечення безпеки даних: хто за це відповідає?

Ми практично щодня бачимо в новинах повідомлення про те, що в результаті витоку компрометируются величезні обсяги даних. Більшість з нас знайомі з тими ризиками, яких зазнають наші персональні дані, але, як користувачі, ми часто намагаємося не звертати на це увагу або очікуємо, що відповідальність за ці ризики візьме на себе компанія-постачальник сервісу. Хто ж відповідає за безпеку?



Читати далі →

Захист великих даних – як правильно почати і мінімізувати можливі ризики?

Раніше серйозну інфраструктуру для зберігання та аналізу Великих даних (Big Data) могли дозволити собі тільки масштабні організації, наприклад, державні структури або великі підприємства. Сьогодні ж, по мірі того, як технології стають все більш доступними, великі дані знаходять все більш різноманітне застосування в самих різних областях. При цьому, як і у випадку багатьох інших нових технологій, розвиток великих даних не тільки відкриває можливості, але і пов'язане з численними труднощами, і багато організації задаються питанням, яким чином їм краще вчинити з нагромаджуваними даними?



Читати далі →

Security Week 03: захід SHA-1 триває, баг чи фіча в Whatsapp, уразливості в роутерах не чиняться

SHA-1 — все. Чи ні? Стежити за розвитком подій навколо цього алгоритму хешування легко і приємно: незважаючи на очевидну серйозність проблеми, вона залишається малоприменимой для практичних атак, як мінімум — масових. Вперше я згадував про SHA-1 дайджесті аж від жовтня 2015 року. Проблеми з ним з'явилися з-за того, що обчислювальні ресурси подешевшали дещо швидше, ніж очікувалося. Експерт з криптографії Брюс Шнайер у 2012 році передрікав, що через три роки для створення колізії при генерації хешей потрібно 11 років обчислень на умовному сервері. Три роки пройшли, і з'ясувалося, що насправді (за рахунок розвитку технологій паралельних обчислень, і завдяки новим дослідженням в області криптографії) цей термін значно менше — всього 49 днів.

Так як хешування з допомогою SHA-1 використовується у вельми відповідальних операціях, наприклад при установці захищеного з'єднання з веб-сайтами, розробники софта досить оперативно почали ділитися планами висновку ненадійного алгоритму з експлуатації. Починаючи з 24 січня (для Firefox, для інших браузерів трохи пізніше) відвідування сайту, не підтримує алгоритм SHA-2 (зазвичай модифікації SHA-256), буде призводити до різноманітним загрозливим попереджень у користувачів.

Читати далі →

Друге пришестя ГОСТ 28147-89: Чесні тести

Друге пришестя ГОСТ 28147-89

Близько десяти років тому симетрична криптографія, заснована на ГОСТ 28147-89, перестала задовольняти потребам апаратних платформ за швидкісними параметрами. Швидкості криптоперетворень, забезпечувані алгоритмами реалізованими на регістрах загального призначення процесорів, не встигали за швидкостями обміну інформацією в мережах та на дискових накопичувачах.
З іншого боку (американської), з'явився AES-256, який показував набагато кращі швидкісні параметри при тій же мірі криптостійкості.

У цій ситуації 8 центр ФСБ почав роботи над новим блоковим шифром, який отримав згодом назву «Коник» від початкових літер прізвищ авторів.
Спочатку це була безперспективна затія, оскільки повторювалася логіка шифру AES, але якщо той був прискорений апаратно в процесорах Інтел і АМД, то у Коника такого апаратного прискорення на цих процесорах звичайно бути не могло.
Так що Коник, це класичний приклад викинутих на вітер бюджетних грошей, і не малих…

Читати далі →

Я відмовився від PGP

Про автора: Філіппо Валсорда займається криптографією і TLS, називає себе «послом urandon», входить в криптогруппу компанії Cloudflare, підняв відомий сервіс для тестування на вразливість Heartbleed. Ви могли зустрічати його на конференціях по криптографії та комп'ютерної безпеки або під ніком @FiloSottile на Github і в твіттері

Через роки мук з GnuPG з різним рівнем ентузіазму я прийшов до висновку, що воно не варто того, і я здаюся. Принаймні щодо концепції довгострокових ключів PGP.

Мова не про саму програму
gpg
та не про криптографічних інструментах в принципі. Багато писали на цю тему. Я кажу про моделі довгострокових ключів PGP, будь вона гарантована мережею довіри, відбитками відкритих ключів або моделлю TOFU — неважливо. Я кажу про те, що вона не підходить для мене особисто.

Читати далі →

7 найнеприємніших проблем в програмуванні

image
Відомо, що на старих картах, на незвіданих територіях, часто поміщали зловісне попередження: «Тут живуть дракони». Вероятносенс цього попередження полягав у тому, що не варто входити в це простір світу, не будучи готовими битися з вселяє жах противником. Все що завгодно може статися на цих загадкових просторах, і нерідко таке «що завгодно» може закінчитися дуже погано.

Програмісти, можливо, є кілька більш цивілізованими, ніж середньовічні лицарі — однак це зовсім не означає, що сучасний технічний світ не має своїх технічних драконів, що чекають нас в непередбачених місцях: складні проблеми, які спливають саме тоді, коли підходить термін здачі роботи або в моменти особливо високих навантажень і відповідальної роботи; конкуренти, які прочитали керівництво і знають, що недостатньо добре реалізовано; злі «біси», які знають, як використовувати неліквідовані до кінця баги і дефекти програм, причому дізнаються це часто відразу ж після того, як програма здана до використання.

Знаходяться люди, які спокійно сплять вночі, согреваемые своєю наївною впевненістю, що комп'ютери цілком передбачувані і невтомно видають потоком правильні відповіді. Як же мало їм відомо! Незважаючи на серйозні зусилля розробників чіпів, творців мов і мільйонів програмістів, є ще в програмуванні небезпечні хащі, які можуть погубити навіть самих просунутих з програмістів і розробників.

Ось сім з страхітливих куточків світу програмування, на яких легко можна написати: «Тут живуть дракони».

Читати далі →

В мережу потрапила база даних (400 млн акаунтів) сайтів Friend Finder Networks

image
До фахівців з інформаційної безпеки ресурсу LeakedSource потрапила база даних облікових записів користувачів сервісів компанії Friend Finder Network Inc, про що свідчить відповідна запис в їх блозі. Основним бізнесом FFN є сайти для знайомств, наприклад, Adultfriendfinder.com, Cams.com і Penthouse.com. У загальній складності база складається з майже 400 млн облікових записів. За словами експертів, це найбільший витік акаунтів в 2016 році.

За твердженням аналітиків LeakedSource, більшість інформації про облікові записи зберігалася у відкритому вигляді, або було зашифровано алгоритму SHA-1, який успішно піддається розшифровці. Як підсумок, близько 99% даних було розшифровано.

Читати далі →

Молоток, терміт і магнітне поле для швидкого знищення даних

<img src=«habrastorage.org/files/546/8ed/aeb/5468edaeb16b4a059ae3e2cada8dc1db.jpg» alt=«image» alt text"/>
Коли мова заходить про швидке знищення даних, мимоволі пригадується історія про сервер з намальованою мішенню на рівні жорсткого диска, поруч з яким дрімав озброєний охоронець. Якщо зненацька наскочить ворог, бійцю треба було вистрілити кілька разів в центр мішені і піти.
В цій статті пригадаємо не менш цікаві способи швидкої і надійної псування інформації разом з носієм.
Читати далі →

Ховаємо текст від сторонніх очей (приклад на Scala)

Після прочитання цього поста, у мене виникла ідея, а чи не можна зробити якийсь текст повністю невидимим? Нижче описаний метод не претендує на ефективність по швидкості роботи або обсягом даних.

Читати далі →

Yersinia — шифруємо програми, тестуємо антивіруси

Не судіть суворо писати розгорнуто не вмію…

Довелося мені якось писати криптор. Ну, загалом, нічого особливого. Тільки от, в силу віртуалізації антивірусів, антивіруси клацають їх «на раз», просто запускаючи код в пісочниці і вже там аналізуючи його.

Читати далі →