Компания Код Безопасности временно не ведёт блог на Хабре
GSM-ловушки: ещё один привет от Большого Брата
Предлагаю сегодня поговорить о скрытой и неизведанной области — GSM-связи. Почему же неизведанной, спросите вы? Ведь все носят в кармане сотовый телефон, чуть ли не дошкольники ходят с ними, а базовые станции висят на каждом столбе? Увы, обыватель считает, что всё просто и прозрачно: совершает звонки, посылает СМС. И редко задумывается над процессами, которые обеспечивают все эти действия. В этом статье я попробую показать, что GSM-связь — с одной стороны весьма непрозрачная тема, а с другой — прорва уязвимостей. Если конкретнее – то поговорим о так называемых IMSI-ловушках (или IMSI-catchers).
Сказ о том, как ГОСТ-шифрование диска в Android реализовывали
Летом 2015 года перед нами, разработчиками «Кода безопасности», встала задача реализации защищенного хранилища под Android с шифрованием по стандартам, признанным российским законодательством. До этого у нас уже было решение на планшете, к которому имелись исходники Android. И это позволило нам выпустить обновленное ядерное шифрование (dm-crypt) под поддержку ГОСТ 89, добавить в /system/lib ГОСТ-библиотеки, пропатчить cryptofs подсистему демона vold. В итоге в нашем распоряжении оказалось решение, которое подходило лишь для определенной модели планшета, и не являлось универсальным. Узнав, что в Android версии 4.4 (API уровня 19) появился API, позволяющий осуществлять доступ к данным после регистрации и реализации своего кастомного DocumentsProvider, мы решили создать решение, использующее GOST-шифрование в userspace с использованием данного API, которое не зависело бы от модели устройства.
Для тех, кто заитересовался — добро пожаловать под кат.
Случайности не случайны?
Статья посвящена систематизации основных положений о случайных и псевдослучайных последовательностях (СП и ПСП) чисел. Дан краткий обзор известных подходов к тестированию на случайность генерируемых последовательностей. Прикладное значение данной тематики определяется тем, что ПСП широко используются в криптографических системах защиты информации для выработки ключевой и вспомогательной информации (случайные числа, векторы инициализации и пр.).
Шифрование ГОСТ 28147-89 на х86- и GPU-процессорах
Ускорение шифрования ГОСТ 28147–89
С развитием ИТ-технологий резко возросли объемы данных, передаваемых по глобальной сети Интернет, находящихся в сетевых хранилищах и обрабатываемых в «облаках». Часть этих данных конфиденциальна, поэтому необходимо обеспечить их защиту от несанкционированного доступа. Для защиты конфиденциальных данных традиционно используется шифрование, а при шифровании больших объемов используют алгоритмы симметричного шифрования, такие как широко известный блочный алгоритм – AES. Для соответствия российскому законодательству при шифровании таких сведений, как персональные данные, необходимо использовать отечественный алгоритм симметричного блочного шифрования ГОСТ 28147–89.
Встраивание в ядро Linux: перехват системных вызовов
Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты, и, в частности, встраиванию в программные системы.
Статистическая проверка случайности двоичных последовательностей методами NIST
Любой, кто, так или иначе, сталкивался с криптографией, знает, что без генераторов случайных чисел в этом деле не обойтись. Одно из возможных применений таких генераторов, например, – генерация ключей. Но не каждый при этом задумывается, а насколько «хорош» тот или иной генератор. А если и задумывался, то сталкивался с тем фактом, что в мире не существует какого-либо единственного «официального» набора критериев, который бы оценивал, насколько данные случайные числа применимы именно для данной области криптографии. Если последовательность случайных чисел предсказуема, то даже самый стойкий алгоритм шифрования, в котором данная последовательность будет использоваться, оказывается, уязвим — например, резко уменьшается пространство возможных ключей, которые необходимо «перебрать» злоумышленнику для получения некоторой информации, с помощью которой он сможет «взломать» всю систему. К счастью, разные организации все же пытаются навести здесь порядок, в частности, американский институт по стандартам NIST разработал набор тестов для оценки случайности последовательности чисел. О них и пойдет речь в данной статье. Но сначала — немного теории (постараюсь изложить не нудно).
Как vGate поможет в расследовании ИБ-инцидентов в виртуальной инфраструктуре
Встраивание в ядро Linux: перехват функций
Данная статья является продолжением анонсированного ранее цикла, посвящённого частным вопросам реализации наложенных средств защиты и, в частности, встраиванию в программные системы.
Как сделать из ядра Linux Windows?
Практический опыт разработки наложенных средств защиты
Мы начинаем публикацию цикла практических статей, посвящённых частным вопросам реализации наложенных средств защиты, а именно — встраиванию в программные системы. На примере ядра Linux будут рассмотрены методы и средства, используемые для модификации, расширения и дополнения его функциональных возможностей.
Первая статья будет вводной с кратким обзором ключевых методов встраивания. Далее, мы подробнее рассмотрим отдельные методы встраивания, уделяя внимание техническим деталям.
Уязвимости гипервизора – угроза виртуальной инфраструктуре и облаку
Рассмотрим основные классы уязвимостей гипервизоров на примере VMware vSphere и возможные пути защиты от их эксплуатации.
Криптография побочных эффектов
- атака на процедуру генерации ключа, где эксплуатируются халтурные датчики случайных чисел
- атака на слабое звено в передачи данных (например, канал защищен хорошо, а сетевой коммутатор — плохо)
- атака на шифры со слабыми ключами, которые еще осталось кое-где по недосмотру системных администраторов (хороший кандидат – RSA с 1024-битным ключом)
- атака на побочные эффекты
Попробуем разобраться, что такое атаки на побочные эффекты.
Анализируем новые приказы ФСТЭК России № 17 и № 21
О приказах ФСТЭК России № 17 и № 21 высказались, наверное, уже все эксперты сообщества, перемыли косточки и разложили по полочкам все новации нашего регулятора. Поэтому планируя вебинар на эту тему, мы рассчитывали на традиционное количество в 150–200 участников.
Реальность существенно превзошла наши ожидания. Более 600 зарегистрировавшихся участников – объективный показатель того, что информации по этой теме до сих пор не достаточно, наши партнеры и заказчики нуждаются в дополнительных разъяснениях новых положений.
Кто сторожит сторожей?
Компания iViZ Security, специализирующаяся на проведении тестов на проникновение, опубликовала свой очередной отчет «(In) Security in Security Products 2013», в котором отметила бурный всплеск числа уязвимостей в security-решениях. В 2012 году, на фоне примерно 20% роста общего числа уязвимостей, количество уязвимостей в security-продуктах выросло почти в 3 раза!
Обновленное видение подходов к ИБ от Gartner
Аналитики Gartner обновили документ двухлетней давности с обзором основных инициатив в области технологий и сервисов ИБ, которые необходимо реализовать для снижения рисков от внутренних и внешних угроз.
Защита сервера Microsoft Hyper-V от несанкционированного сетевого доступа
Мы решили разобраться, нуждаются ли современные платформы виртуализации в дополнительных средствах защиты информации и могут ли продукты Кода Безопасности быть полезны для повышения их уровня защищенности и для выполнения требований регуляторов при обработке персональных данных и сведений, составляющих государственную тайну, на таких платформах.
Как считать ROI для средств защиты информации?
Демонстрация настройки TrustAccess
Что такое honeypot и от чего защищать виртуальные ИС?
Хотя, казалось бы, что еще такого нового можно придумать в области ИБ? Перечень ИБ решений и технологий, программных и аппаратных, уже давно всем известен и понятен. Но, как показывает опыт «Кода Безопасности», еще есть технологии и программные решения на их основе, которые только набирают обороты в плане использования в российских компаниях. То есть «неизведанные зоны» на карте технологий защиты информации для российских компаний все еще остались.
Требуйте защиты своих персональных данных, не отходя от кассы
Вызвала эта заметка массу мыслей и соображений, даже взволновала не на шутку. Спешим поделиться с Хабром своими мыслями на указанную тему.
Постоянно приходится слышать на всех мероприятиях, которые по долгу службы мы регулярно посещаем, бесконечное причитание представителей солидных, небедных компаний о том, что «как-так можно выполнить требования ФЗ-152 нам не понятно?», «как-так столько денег надо на это потратить?», «как-так государство не выделило нам средств на это?»… Все это происходит на фоне нашей повседневной, личной некорпоративной жизни, где мы постоянно сталкиваемся:
- с обязательной галочкой про передачу ПД третьим лицам во всех договорах, которые нам подсовывают банки, страховые, поставщики разных товаров в Интернет-магазинах и так далее, с которыми мы подписываем договоры
- с наглыми «звездочками» напротив обязательных к заполнению строчек, во всех он-лайн регистрационных формах на разных сайтах,
- с постоянно заполненным спамом личным электронным ящиком и множеством рекламных смсок…
- перечисление можно продолжать…