Открыть список
Как стать автором
Обновить
5
Карма
0
Рейтинг

Восторг безопасника — технология для шифрования образов контейнеров

Фразы про эллиптические кривые некорректно сформулированы. Эллиптическая кривая — это математическая абстракция, на которой могут быть основаны асимметричные шифры. Тот же RSA может на них работать, так что лучше уточнить что имеется ввиду, какой именно шифр на эллиптических кривых используется. Для AES хорошо бы казать режим шифрования который был использован, от него зависит периодичность смены ключа.

Итальянский след в криптографии

В некоторых случаях это может быть проблемно. Вот что Mozilla пишет по теме https://blog.mozilla.org/futurereleases/2019/07/31/dns-over-https-doh-update-detecting-managed-networks-and-user-choice/?fbclid=IwAR0HrZSgoLR_Ay80Pc1nUlGpBnR4RBVTaKfj56c-t7RtVPVRVaQyrDOPIXQ
Более детально и глубже по теме смогу завтра ответить.

Итальянский след в криптографии

Рад что очерк оказался интересным для Вас. К слову сказать при не больном вкладе в саму криптографию Леонардо да Винчи получил он ее муара таинственности наибольше количество бонусов. На мой взгляд больше смог получить только Сатоши с блокчейном :). Вот такая связь времён.

ЭЦП – еще один вид мошенничества

Исторически так сложилось, когда был еще ФЗ-1 вместо ФЗ-63 в нем забыли 2-3 абзаца записать о том, что должен сначала ГУЦ появится, а потом уже обычные УЦ проходить процедуру аккредитации. В итоге, мы получили ситуацию с феодальной раздробленностью.

ЭЦП – еще один вид мошенничества

Чуть позже вы узнаете что контейнер ключа выданный в УЦ чаще всего ничем кроме КриптоПро не прочтешь — они делают только проприетарные контейнеры.

ЭЦП – еще один вид мошенничества

От нарушений со стороны УЦ, да, крайне сложно защитится, система защиты заточена на защиту постфактум, в суде. Регулятор крайне слабо их мониторит. Сейчас есть инициативы по сокращению числа УЦ, так как по этому параметру мы впереди планеты всей на душу населения.

ЭЦП – еще один вид мошенничества

Порядок прописан в ФЗ-63 и в регламенте ГУЦ к котором в обязательном порядке присоединяются все УЦ при аттестации, оформление через интернет — нарушение со стороны УЦ.

Как менялась информационная безопасность за последние 20 лет

Нууу в криптографии за указанный период изменения все-таки есть, новые ГОСТ, множество рекомендаций ТК26, появление российских продуктов типа — HSM, высокоскоростных шифраторов и прочих. Просто она не вошла в скоп данной статьи.

[Видео] «Пиэмы не нужны» и ещё три идеи по управлению проектами

Автор прав в том, что роль PM можно разложить на некий набор и раздать его другим участникам команды, так же роли участников команды в некоторых случаях можно делегировать PM, это удобно, так как достигается некий уровень устойчивости команды к потерям людей. Да, в случаях, когда бизнес готов нести риски и потери за неправильные решения или их величина мала роль можно убрать. Точно так же можно убрать роль руководителя разработки в маленьком проекте, потому что он маленький. Автор не заметил, но все озвученные примеры мест, в которых PM был нужен, они про наличие ответственности. В случаях, когда продукт влияет на работоспособность больших систем, на жизнь и здоровье людей вот тут появляется PM.

TLS 1.2 и новый ГОСТ

Интересно посмотреть как будет меняться скорость выработки имитовставки при использовании этих криптонаборов по сравнению с тем же AES ну и при использовании Кузнечика в режиме CBC когда такие криптонаборы появятся.

Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard

Много текста и мало смысла. Описание того «как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard» видимо надо искать по ссылкам на оригинальные статьи?

Промышленные системы управления — 2016: уязвимость и доступность

То есть вы все-таки согласны, что в текущей ситуации с нашими водоканалами может хватить одного внешнего воздействия что бы остановить работу. Их же не обязательно будут отключать их же могут включить на полную мощность, где-то насос не выдержит, где-то труба. И размер города тоже будет вполне приличным. ГОСТы про резервирование и системы безопасности на производстве я тоже читал, но дело то не в этом. Дело в том, что в реальной жизни на реальных объектах в результате экономии, раздолбайства, незнания реальный нарушитель может натворить бед. Приведенный мною пример можно же сделать искусственно эти 70 кубов грязи при должном старании за 15 минут пока дежурные едут можно накачать. Результат, город в 1,5 миллиона населения пьет воду с колес(машины с емкостями), массовая эвакуация детей в детские лагеря и приостановка работы целого ряда предприятий.

Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

На мой взгляд не используя нормальное шифрование вы толком безопасности не обеспечиваете. Да, вы создаете противнику проблемы и идентификацией звонков. Нормальное VPN приложение задачу конфиденциальности решит гораздо лучше. Вы хорошо решаете задачу анонимности, но не более того.

Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

а если IMEI совпадет с другим легальным пользователем?
Про тарифный план вообще ничего из написанного не понял, кому что принадлежит? Вы собираетесь организации отдавать симки купленные у вокзала?
Вы уверены что такой маскарад IMEI не будет замечен со стороны ОПСОСа и он не начнет их блочить или просто искать кто и зачем пытается его наколоть?

Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

Ну A5 вообще не очень стойкий алгоритм, даже в самом надежном варианте. Вскрывается на практике минуты за 3.
Так контроль такой не помешает выдернуть информацию с устройства, тот же список абонентов.
Досрочный ответ — наверняка ведь на корпоративном тарифном плане сидит — эту информацию ОПСОС органам отдаст без проблем. Вы же его не один раз отрабатывать будете. СОРМ — это же система, а система подразумевает системный подход, а не попытку прослушать в лоб.

Все под контролем: защищаем корпоративные разговоры. Часть 2: защищенный телефонный аппарат

И перехватят звонок не как исходящий от кого-то, а как входящий к кому-то.

Фраза «Использовать криптофон можно только с абонентом, который пользуется таким же аппаратом. Абонент не сможет использовать безопасный режим для переговоров с любым контактом.» не совсем корректна — одинаковое ПО или железо необходимо с обеих сторон в случае применения криптографии, а одинаковые телефоны большой роли не играют. Даже наоборот, пользоваться можно широким спектром смартфонов.
Выводить на экран пользователю служебную информацию о состоянии телефона хорошо, вот только что он с ней должен будет делать в статье не указано.
Невозможно установить круг общения — что и от вирусов защищаете?
Такой подход попытка скрыть звонок и информацию о нем, но не защищает информацию как таковую. ОПСОС ее все равно сможет собрать в кучу по получателю.

Промышленные системы управления — 2016: уязвимость и доступность

Город миллионник не будет без воды ни в каком случае — вот этот термин весьма спорный с моей точки зрения. Вот вам исторический пример:
29 июня 1995 года на главной насосной станции Диканевских очистных сооружений случилась техногенная авария. В результате попадания значительного количества сточных вод за небольшой отрезок времени (приблизительно 70 куб.м в сек.) главная насосная станция была затоплена сточными водами машинного отделения. При этом сточные воды полностью затопили основные коллекторы системы городской канализации. Почти месяц в Харькове были отключены водопровод и канализация.
Просто насосы не справились — а если несколько отключить?

Промышленные системы управления — 2016: уязвимость и доступность

Не обязательно в интернете искать промышленное оборудование торчащее напрямую. Может так сложится что торчит наружу Telnet из обычной сети, а вот уже в эту сеть есть канал из АСУ ТП. Вот представьте, любой город от 1 миллиона жителей, лето, жарко. Местный водоканал с небольшими зарплатами, поставили новые контроллеры на задвижки. Квалификации собственных админов и программистов не хватило на то что бы написать для них нормальные рецепты. Пришлось привлекать человека из вне. Не компанию, на нее денег не хватило, просто человека который знает что делать конкретно с этим КИП, он попросил удаленный доступ, админ ему дал его как умел. Дальше — вопрос воображения. История очень очень близка к реальности. Город миллионник без воды летом или без тепла зимой — это очень страшно.

Исследуем защиту и восстанавливаем аркады Namco System ES1

Интересно было бы в процессе старта UEFI и TPM промониторить сеть, не исключено что будет попытка общения с сервером производителя что бы дополнительно целостность TPM/UEFI/cамой игры проконтролировать, ключи сменить, телеметрию слить.
1

Информация

В рейтинге
5,829-й
Откуда
Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность