Pull to refresh
  • by relevance
  • by date
  • by rating

Обнаружен самый изощренный вирус в истории

Lumber room
Антивирусная компания SecureWorks опубликовала подробный анализ уникального трояна SpamThru, которого эксперты уже окрестили «самым изощренным вирусом в истории».

Пробравшись в компьютер, вредитель не только использует его в качестве узла для рассылки спама, но и заботится о том, чтобы его работе не мешали конкуренты. SpamThru устанавливает на инфицированной машине «Антивирус Касперского» (пиратский дистрибутив скачивается с удаленного сервера) и следит за тем, чтобы никакие другие вирусы не проникли в систему и не претендовали на ресурсы.

Кроме того, троян пользуется криптографическим шифром AES, поддерживает протоколы P2P и генерирует графический спам, где каждое отдельное письмо слегка отличается от другого.

На сегодняшний день в спамерской сети SpamThru насчитывается уже несколько тысяч компьютеров.
Rating 0
Views696
Comments 4

CryptoPad — сервис конфиденциального хранения информации

Self Promo

Проблема


Сервис по конфиденциальному хранению информации, в первую очередь, оценивается по двум важнейшим параметрам: надежность и безопасность. Надежность гарантирует, что вы сможете получить доступ к своим данным без сбоев, безопасность — что этот доступ сможете получить только вы. Если с надежностью все более-менее понятно и вопрос решается, в основном, техническими методами, то безопасность в итоге сводится к доверию к конкретному сервису и его разработчикам.
Предлагаемое решение
Total votes 28: ↑27 and ↓1 +26
Views995
Comments 71

Мой защищённый контейнер

C++
При разработке проекта на C++ возникла необходимость создать защищённый контейнер. Вернее, кросс-платформенные на уровне исходного кода классы, поддерживающие защищённое хранение информации от нескольких байт до гигабайтов, что делает необходимым поддержку потокового шифрования/дешифрования.
Не имея альтернативы нанять на данном этапе профессионального криптографа, приступил к созданию велосипеда.
Данная статья написана для открытого обсуждения предлагаемых решений людьми, близкими к криптографии, а также для тех, кто будет проходить этот путь с нуля, как экономия их времени и сил.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views2.5K
Comments 8

Kaspersky KryptoStorage от и до

Information Security
Kaspersky KryptoStorageВ декабре 2009 года "Лаборатория Касперского" объявила о выпуске коммерческого релиза программы Kaspersky KryptoStorage. Эта программа создавалась на базе InfoWatch CryptoStorage и адаптирована для использования на домашних ПК. В этой статье я попытаюсь выйти за рамки обычного обзора и максимально полно описать программу, предупредить о подводных камнях, дать общие советы по ее использованию.
Читать дальше →
Total votes 16: ↑10 and ↓6 +4
Views5.5K
Comments 34

Intel переходит на новый разъём LGA 1155

Computer hardware
Сегодня стала известна детальная информация об архитектуре Sandy Bridge, на которую Intel переходит с 2011 года. Оказывается, вместе с этой архитектурой Intel внедряет и новый сокет для процессоров, в котором будет на один контакт меньше, изменится напряжение питания, а надсечку перенесут на два миллиметра вбок, так что новые разъёмы никак не будут совместимы со старыми процессорами. Вместе с процессором потребуется менять и материнскую плату.


Читать дальше →
Total votes 47: ↑43 and ↓4 +39
Views10.2K
Comments 187

Как устроен AES

Algorithms
Sandbox

О чём эта статья



Долгое время я считал, что криптографические алгоритмы шифрования и хеширования, вроде AES и MD5, устроены очень сложно и написать их совсем не просто, даже имея под рукой полную документацию. Запутанные реализации этих алгоритмов на разных языках программирования только укрепляли это мнение. Но недавно у меня появилось много свободного времени и я решил разобраться в этих алгоритмах и написать их. Оказалось, что они очень просто устроены и для их реализации нужно совсем немного времени.

В этой статье я напишу как устроен алгоритм шифрования AES (которого иногда называют Rijndael) и напишу его на JavaScript. Почему на JavaScript? Чтобы запустить программу на этом языке, нужен только браузер в котором вы читаете эту статью. Чтобы запустить программу, скажем, на C, нужен компилятор и найдётся совсем мало желающих, готовых потратить время на компиляцию кода из какой то статьи. В конце есть ссылка по которой можно скачать архив с html страницей и несколькими js файлами — это пример реализации AES на JavaScript.

Читать дальше →
Total votes 120: ↑115 and ↓5 +110
Views214.2K
Comments 44

Не такой уж ты и страшный, XTS-AES

Cryptography

Приветствую, %username%!


Сегодняшняя статья навеяна мыслями написать бесплатный аналог программы для шифрования файлов в DropBox, а именно аспектом режима шифрования файлов посекторно (для возможности читать\писать из/в произвольное место)
Мы поговорим о режиме шифрования XTS-AES, применяемом во всех популярных дискошифровалках (TrueCrypt, DiskCryptor).
Он описан в IEEE P1619™/D16 (Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices) и считается самым безопасным способом хранить данные посекторно.
Так как же он устроен?
Total votes 31: ↑28 and ↓3 +25
Views20.1K
Comments 24

Передача пароля по открытому каналу (часть 2)

Information Security
В первой части статьи обсуждалась ситуация, когда для защиты трафика мы по каким-либо причинам не можем использовать https. При этом, передаваемый в открытом виде пароль становится легкой добычей мошенников. Предложенный в статье метод позволял избавится от угрозы перехваты пароля или от кражи БД хэшей паролей, но был бессилен перед злоумышленником, который и БД владеет и контролирует трафик. Предлагаемый ниже метод безопаснее, но сложнее.
Читать дальше →
Total votes 31: ↑30.5 and ↓0.5 +30
Views11.1K
Comments 15

Реализация AES на Wolfram Mathematica

Programming
В статье Wolfram Mathematica: знакомство хаброчеловек 8bitjoey познакомил сообщество с отличным математическим пакетом Wolfram Mathematica.
Сегодня я продолжу экскурс в данный продукт. Чтобы совместить приятное с полезным, реализуем алгоритм AES при помощи данного продукта.

Читать дальше →
Total votes 28: ↑25 and ↓3 +22
Views5.5K
Comments 12

Извлечение AES ключа в мгновение ока

Information Security
Сергей Скоробогатов, который недавно обнаружил бэкдор в китайском чипе FPGA, произвел успешное извлечение ключа AES, который отмечен как «высокозащищенный» и «практически неломаемый», на FPGA военного уровня Actel/Microsemi ProASIC3 за 0.01 секунду.
Использовался способ анализа сторонних каналов, который назвается Pipeline Emission Analysis (PEA).
Это не новый способ сам по себе, а значительно улучшенный метод волнового анализа.
Данный способ, как подсказывает Ocelot, используется для атаки на реализацию AES на FPGA, используя наводки и помехи.
Подробнее (pdf)
Total votes 62: ↑49 and ↓13 +36
Views3.9K
Comments 17

IM+ Paranoia Mode On

Information SecurityInstant MessagingCryptography


Приветствую тебя, Хабрачитатель!

Последнее обновление мультипротокольного мобильного клиента IM+ принесло с собой поддержку протокола шифрования OTR (Off-the-Record). Примечательно что функция шифрования доступна независимо от того, каким IM-протоколом вы пользуетесь при общении (OSCAR, Jabber, Gtalk, MSN, YIM или другой).

Основные свойства этого протокола:

  • шифрование сообщений — никто иной не сможет прочитать сообщения;
  • аутентификация собеседников — уверенность в том, кто является собеседником;
  • если потеряны секретные ключи, прошлая переписка не будет скомпрометирована;


Узнать как это работает
Total votes 30: ↑29 and ↓1 +28
Views20.8K
Comments 28

Повышаем безопасность закрытых ssh-ключей

Information Security
Translation
Вы когда-нибудь интересовались механизмом работы ssh-ключей? Или тем, насколько безопасно они хранятся?

Я использую ssh каждый день много раз — когда запускаю git fetch или git push, когда развертываю код или логинюсь на сервере. Не так давно я осознал, что для меня ssh стал магией, которой я привык пользоваться без понимация принципов ее работы. Мне это не сильно понравилось — я люблю разбираться в инструментах, которые использую. Поэтому я провел небольшое исследование и делюсь с вами результатами.

По ходу изложения встретится много аббревиатур. Они не помогут понять идеи, но будут полезны в том случае, если вы решите погуглить подробности.

Итак, если вам доводилось прибегать к аутентификации по ключу, то у вас, скорее всего, есть файл ~/.ssh/id_rsa или ~/.ssh/id_dsa в домашнем каталоге. Это закрытый (он же приватный) RSA/DSA ключ, а ~/.ssh/id_rsa.pub или ~/.ssh/id_dsa.pub — открытый (он же публичный) ключ. На сервере, на котором вы хотите залогиниться, должна быть копия открытого ключа в ~/.ssh/authorized_keys. Когда вы пытаетесь залогиниться, ssh-клиент подтвержает, что у вас есть закрытый ключ, используя цифровую подпись; сервер проверяет, что подпись действительна и в ~/.ssh/authorized_keys есть открытый ключ, и вы получаете доступ.

Что же хранится внутри закрытого ключа?

Читать дальше →
Total votes 92: ↑92 and ↓0 +92
Views57.5K
Comments 22

Криптопереписка для недоверчивых

Information SecurityCryptography
Осторожно: данный пост может вызывать непродолжительное обострение паранойи

Привет! Не верите ли вы в популярные продукты для защищённой переписки так, как не верю в них я? Например, в браузерные крипточаты с шифрованием на стороне клиента, или в p2p-криптомессенжеры?

В данном посте речь пойдет об организации защищённого общения между двумя собеседниками. Он адресован таким же недоверчивым людям как я, поэтому в нём не будет ни кода, написанного мной, ни изобретённых на коленке протоколов и алгоритмов. Будет использоваться только библиотека openssl и набор программ openssh.

image

Подробнее
Total votes 69: ↑62 and ↓7 +55
Views49K
Comments 36

Шифрования сообщений вконтакте методом AES для браузеров Chrome и Firefox

Information Security
Sandbox
Recovery mode
image

После скандала с PRISM вопрос безопасности данных стал еще актуальней чем был, и даже если вы не секретный агент, то ваша личная переписка, должна соответствовать своему названию, и по умолчанию должна быть закрыта от доступа третьих лиц. Взяв это за аксиому это принцип, я занялся разработкой дополнений для браузеров для работы с популярной в странах СНГ социальной сетью вконтакте методом AES.
Читать дальше →
Total votes 80: ↑69 and ↓11 +58
Views67K
Comments 130

Аппаратная поддержка алгоритма AES современными процессорами

Information SecurityProgrammingAssembler

Компанией Intel в 2008 г. были предложены новые команды для x86 архитектуры, которые добавили поддержку на аппаратном уровне симметричного алгоритма шифрование AES(Advanced Encryption Standard). На данный момент AES — один из самых популярных алгоритмов блочного шифрования. Поэтому аппаратная реализация должна привести к повышению производительности программ использующих этот алгоритм шифрования(OpenSSL, The Bat, TrueCrypt ...). Новое расширение команд получило название AES-NI. Оно содержит в себе следующие инструкции:
  • AESENC — Выполнить один раунд шифрования AES,
  • AESENCLAST- Выполнить последний раунд шифрования AES,
  • AESDEC — Выполнить один раунд расшифрования AES,
  • AESDECLAST — Выполнить последний раунд расшифрования AES,
  • AESKEYGENASSIST — Поспособствовать в генерации раундового ключа AES,
  • AESIMC — Обратный Mix Columns.

Так как про сам алгоритм шифрования AES было уже было сказано многое, то в этом посте рассмотрим, как можно воспользоваться этими инструкциями.

Читать дальше →
Total votes 59: ↑56 and ↓3 +53
Views42K
Comments 23

Коротко о новом: Samsung выпустила 840 EVO — первый в мире SSD-накопитель mSATA ёмкостью 1 ТБ

Samsung corporate blog
На прошлой неделе компания Samsung Electronics объявила о запуске в продажу линейки новых твердотельных накопителей 840 EVO mSATA, в числе которых оказался и первый в мире терабайтный SSD-диск mSATA.


Читать дальше →
Total votes 44: ↑27 and ↓17 +10
Views28.6K
Comments 31

Зашифрованное взаимодействие между клиентом и сервером на Laravel 4

Website developmentCryptographyLaravel
Sandbox
Tutorial

Введение


Всем доброго времени суток! В своей первой статье по Laravel я хочу поделиться своим опытом организации зашифрованного взаимодействия между клиентом (десктопным приложением) и сервером, работающем под управлением Laravel.

В чем суть задачи? Есть приложение, которое работает по принципу подписки: оплатил на сайте скажем месяц использования и месяц пользуешься. Как только этот срок прошел, приложение должно перестать работать. Так как по условию для работы этого приложения требуется подключение к интернету, то самым оптимальным вариантом проверять лицензионность приложения будет опрашивать сервер лицензий, который по совместительству может быть еще и сайтом, через который собственно и происходит оплата и продление периода использования приложения.

Но проблема заключается в том, что если трафик между клиентом и сервером не зашифрован, любой желающий сможет в итоге подделать сервер и пользоваться приложением сколь угодно долго.

В этой статье я расскажу о том, как организовать зашифрованное взаимодействие между клиентом и сервером. В качестве серверной площадки будет приложение на движке Laravel 4.1 (последняя версия на момент публикации). Предполагается, что в качестве клиента будет выступать приложение, написанное на C#, но в этой статье я не буду описывать написание клиента. Вместо этого могу порекомендовать статью с CodeProject'а, в которой приводится пример использования криптографии на C#: Encrypting Communication between C# and PHP. Собственно эта статья и стала отправной точкой для моих изысканий.
Читать дальше →
Total votes 22: ↑17 and ↓5 +12
Views17.6K
Comments 9

AES-128. Детали и реализация на python

CryptographyPythonAlgorithms
Sandbox
Идея написать для себя что-то шифрующее родилась довольно тривиально — пришлось завести еще одну дебетовую карту и, следовательно, хранить в голове еще один пин-код. Хранить такую информацию в открытом виде паранойя не позволяет, использовать сторонние сервисы тоже, поэтому после некоторых поисков остановился на стандарте AES. Сразу захотелось разобраться и реализовать алгоритм самому, не прибегая к дополнительным модулям.

В статье я расскажу подробно о составляющих алгоритма, немного окунемся в мат часть и приведу пример реализации на python. В разработке я ограничивался только тем, что входит в состав стандартной библиотеки.
Читать дальше →
Total votes 37: ↑34 and ↓3 +31
Views51.9K
Comments 23

Шифрование SQLite базы данных в Qt

Information SecurityQtSQLite
Tutorial
Для шифрования в SQLite были найдены следующие возможные решения:

  • SEE — официальная реализация.
  • wxSQLite — c++ wxWidgets обертка для шифрования SQLite.
  • SQLCipher — использует в реализации openSSL.
  • SQLiteCrypt — модифицированная реализация API.
  • botansqlite3 — шифрующий кодек для SQLite3 использующий библиотеку botan.
  • SQLiteCrypto — java API для Android, использует AES-256 и SHA-256.
  • QtCipherSqlitePlugin — SQL плагин для Qt с поддержкой шифрования.

Из рассмотренных решений SEE, SQLiteCrypt and SQLiteCrypto требуют приобретения лицензии. SQLCipher доступен в версии Community Edition, но требует libcrypto.

Наиболее интересным решением из представленного списка, на мой взгляд, является QtCipherSqlitePlugin.
Плагин шифрует «на лету» и полностью интегрирован в API Qt.
хочу шифровать SQLite
Total votes 18: ↑17 and ↓1 +16
Views20.8K
Comments 11

Микрокомпьютер Module MB 77.07 — русский ответ Raspberry Pi

Promwad corporate blogOpen sourceSystem ProgrammingManufacture and development of electronics


Читая новости о запрете на поставку электронной компонентной базы из США для отдельных производителей в РФ, мы решили рассказать об одноплатном микрокомпьютере Module МВ 77.07, который был разработан в российском научно-техническом центре «Модуль» на базе одного из наиболее производительных российских процессоров архитектуры ARM. Также мы рассмотрим установку Linux-дистрибутива Debian на этот микрокомпьютер.
Читать дальше →
Total votes 119: ↑106 and ↓13 +93
Views107.3K
Comments 194