Молекулярное шифрование: полимерный пароль

Неустанно растущий объем информации требует создания новых носителей. Данная потребность уже давно привела к тому, что ученые с особым интересом рассматривают ДНК в качестве идеального (по мнению многих) носителя информации. Проблема в том, что доступ к данным на молекулах является крайне сложным, дорогим и длительным процессом. Ученые из Техасского университета в Остине (США) разработали новый метод кодирования информации в синтетических молекулах, который может сталь более выгодной и эффективной альтернативой биомолекул. Как именно работает данный метод, что лежит в его основе, и что удалось с его помощью сделать? Ответы на эти вопросы мы найдем в докладе ученых.

https://habr.com/ru/companies/ua-hosting/articles/911714/

#криптография #шифрование_данных #днк #молекулы #полимеры #мономеры #информационная_безопасность #химия #пароли

Криптокошелек или жизнь (данных): Ransomware вчера, сегодня, завтра

Программы-вымогатели, шифровальщики, ransomware — одна из самых остроумных, эффективных и злободневных киберугроз нашего времени. Попробуем охватить этот занимательный феномен целиком, от его зарождения до самых ярких проявлений и перспектив на будущее. За 2024 год атаки ransomware в России выросли на 44% по сравнению с 2023 годом. Особенно активными были такие вредоносы как LockBit 3 Black и Mimic, на которые пришлось до 50% всех инцидентов. Растут и суммы выкупа, который жертвы выплачивают злоумышленникам за расшифровку информации — в 2024 году средняя сумма такого платежа составляла 10-15 млн рублей. Не лучше ситуация и за рубежом: по данным BlackFog, 2024 год стал поворотным для программ-вымогателей с годовым ростом в 25%. NCC Group также подтверждает , что в 2024 году наблюдался самый высокий за пять лет объем атак программ-вымогателей. За 10% всех атак отвечали LockBit, более половины всех инцидентов были зарегистрированы в США. Средний размер требования о выкупе в 2024 году,по данным Comparitech,составил более $3,5 млн, при этом подтвержденные выплаты группам программ-вымогателей составили $133,5 млн.

https://habr.com/ru/companies/ddosguard/articles/899092/

#ransomware #шифровальщик #вымогатель #wannacry #ryuk #petya #кибербезопасность #шифрование_данных #aids #lazarus

[Перевод] Расшифровка зашифрованных файлов программы-вымогателя Akira (Linux/ESXi 2024) с использованием набора GPU

Хакер делает из любви то, что другие не стали бы делать и за деньги. Недавно я помог компании восстановить их данные после атаки программы-вымогателя Akira без выплаты выкупа. Я делюсь тем, как я это сделал, вместе с полным исходным кодом. Код доступен здесь: https://github.com/yohanes/akira-bruteforce Для ясности, несколько вариантов программ-вымогателей были названы Akira за эти годы, и несколько версий сейчас находятся в обращении. Вариант, с которым я столкнулся, активен с конца 2023 года по настоящее время (компания подверглась взлому в этом году). Была более ранняя версия (до середины 2023 года), которая содержала ошибку, позволившую Avast создать дешифратор. Однако, как только это было опубликовано, злоумышленники обновили свое шифрование. Я ожидаю, что они снова изменят своё шифрование после того, как я опубликую эту информацию.

https://habr.com/ru/articles/891258/

#программавымогатель #восстановление_данных #перебор #linux #безопасность_данных #криптоанализ #шифрование_данных #chacha8rand #vmware_esxi

[Перевод] Почему QR-коды в верхнем регистре меньше, чем в нижнем?

Взгляните на эти два QR-кода. Отсканируйте их, если хотите: обещаю, в них нет ничего опасного. Слева HTTPS://EDENT.TEL/ в верхнем регистре, а справа — https://edent.tel/ в нижнем. Можно чётко заметить, что слева QR-код «меньше», то есть в нём меньше битов данных. Оба ведут на один и тот же URl, единственное различие заключается в регистре. Что здесь происходит?

https://habr.com/ru/articles/885990/?utm_source=habrahabr&utm_medium=rss&utm_campaign=885990

#qrкоды #qrcode #шифрование_данных #кодирование_данных #визуализация_данных

[Перевод] Почему QR-коды в верхнем регистре меньше, чем в нижнем?

Взгляните на эти два QR-кода. Отсканируйте их, если хотите: обещаю, в них нет ничего опасного. Слева HTTPS://EDENT.TEL/ в верхнем регистре, а справа — https://edent.tel/ в нижнем. Можно чётко заметить, что слева QR-код «меньше», то есть в нём меньше битов данных. Оба ведут на один и тот же URl, единственное различие заключается в регистре. Что здесь происходит?

https://habr.com/ru/articles/885990/

#qrкоды #qrcode #шифрование_данных #кодирование_данных #визуализация_данных

Оптическая криптография: нейронные сети, голограммы, лазеры и этанол

Развитие технологий коммуникации сопряжено с двумя соперничающими процессами — развитием информационной безопасности и развитием методов ее обхода. Это вечное противостояние весьма полезно, так как заставляет технологии цифровой безопасности развиваться и не стоять на месте. Ученые из Института электронных структур и лазеров (Греция) разработали новую оптическую систему шифрования, которую невозможно взломать классическими методами. Из чего состоит данная система, как она работает, и действительно она так надежна? Ответы на эти вопросы мы найдем в докладе ученых.

https://habr.com/ru/companies/ua-hosting/articles/879288/

#шифрование_данных #голограммы #нейронные_сети #криптография #лазеры #кодирование #декодирование #безопасность_данных

[Перевод] Станет ли ИИ катастрофой для сквозного шифрования?

Недавно я обнаружил потрясающую новую статью How to think about end-to-end encryption and AI , написанную группой исследователей из Нью-Йоркского и Корнеллского университетов. Я очень рад прочтению этой статьи, потому что, хоть не согласен со всеми её выводами, она стала первой попыткой ответа на невероятно важные вопросы. С одной стороны, максимума мой интерес к этой теме достиг, когда были разработаны системы ИИ-помощников наподобие защиты от мошеннических звонков Google и Apple Intelligence . Обе эти системы нацелены на то, чтобы ИИ был задействован практически во всех частях телефона, даже в личных сообщениях. С другой стороны, я размышлял о негативном влиянии ИИ на конфиденциальность из-за недавних европейских обсуждений законов об обязательном сканировании контента , благодаря которым системы машинного обучения смогут сканировать все отправляемые личные сообщения. Несмотря на различия этих двух аспектов, я пришёл к мнению, что в конечном итоге они сведутся к одному. А поскольку меня больше десятка лет волнует шифрование и обсуждения «криптовойн», я был вынужден начать задавать неприятные вопросы о будущем сквозного шифрования. Возможно, даже вопросы о том, есть ли у него будущее. Но давайте начнём с чего-то попроще.

https://habr.com/ru/companies/ruvds/articles/875554/

#сквозное_шифрование #speechtotext #слежка_за_гражданами #шифрование_данных #тайна_переписки #правоохранительные_органы #ruvds_перевод

Совместные конфиденциальные вычисления: как это работает

Моя основная деятельность — конфиденциальная обработка данных. Это такая развивающаяся область науки и техники, в которой часто возникает что-то новое, поэтому терминология ещё не устоялась. То, чем я занимаюсь, по-английски называется Secure Multi-Party Computation, а на русский переводят как совместные или многосторонние вычисления. Однажды я видел перевод: «многопартийные вычисления», – но, надеюсь, это единичный случай. Лично мне нравится вариант: «конфиденциальные вычисления», который использует википедия . Его буду использовать и я. Представьте, вы собрали какие-то ценные данные, зашифровали их и сохранили на диске. Таким образом, вы защищаете данные во время хранения (data-at-rest). Далее, предположим, вам нужно передать данные по сети с одного сервера на другой. Серверы устанавливают защищённое соединение и обмениваются данными – снова зашифрованными. Так серверы защищают данные во время передачи (data-in-transit). Пока всё знакомо и понятно. Далее вы собираетесь делать то, ради чего вы эти данные собирали, хранили и передавали: использовать их. Что-нибудь посчитать, агрегат какой-нибудь, статистику или даже модельку обучить. Анализировать зашифрованные данные —, затруднительно, поэтому вы их расшифровываете и… делате беззащитными. Во-первых, это странно: вы старательно защищали данные, когда хранили и передавали, и вдруг почему-то перестали. Во-вторых, это опасно: атаки, утечки, несанкционированный доступ, всё, что угодно может случиться, когда данные уязвимы. Ну, и в-третьих, расшифровывать не обязательно: существуют методы, защищающие данные, когда они используются (data-in-use). Совместные конфиденциальные вычисления – один из них.

https://habr.com/ru/articles/872410/

#алгоритмы #вычислительная_сложность #вычисления #криптографические_алгоритмы #конфеденциальность #математика #шифрование #шифрование_данных #информационная_безопасность #безопасность_данных

Как создать плохой REST-сервис: краткое руководство

REST API — один из самых популярных типов веб‑сервисов. Но несмотря на множество туториалов по его созданию, на практике встречаются сервисы, которые вызывают лишь разочарование у пользователей. Это подтолкнуло Костю, проектного разработчика в Naumen, создать краткое руководство по написанию плохого REST‑сервиса. Уже несколько лет он занимается поддержкой и развитием проектов на Naumen Service Management Platform, часто сталкивается с проектированием REST API и точно знает, каких ошибок лучше не допускать. В статье Костя поделился основными антипаттернами и рассказал, что не нужно нести на прод.

https://habr.com/ru/companies/naumen/articles/856734/

#java #restсервис #антипаттерны #архитектура #HTTPметоды #шифрование_данных #TLS #restapi

Цифровая крепость: как защитить себя в мире киберугроз

В нашу эпоху, когда цифровые технологии пронизывают каждый аспект нашей жизни, вопрос кибербезопасности становится как никогда актуальным. Мы живем в мире, где информация стала валютой, а ее защита — необходимостью. Ох, как же быстро меняется ландшафт угроз! Будто вчера мы беспокоились о простых вирусах, а сегодня сталкиваемся с изощренными APT‑атаками и программами‑вымогателями . Представьте себе: вы сидите в уютном кафе, потягивая латте и просматривая новости на смартфоне. Кажется, что может быть безопаснее? А между тем, в этот самый момент ваши данные могут быть под прицелом киберпреступников. Бац! — и ваша банковская информация уже путешествует по даркнету. Или, того хуже, ваша компания становится жертвой масштабной кибератаки, парализующей работу на недели. Но не спешите паниковать! Хотя угрозы и кажутся вездесущими, у нас есть инструменты и знания, чтобы противостоять им. В этой статье мы глубоко нырнем в мир современной кибербезопасности. Мы разберем наиболее актуальные угрозы, с которыми сталкиваются как рядовые пользователи, так и крупные корпорации. А главное — вооружимся знаниями о самых эффективных методах защиты. Готовы построить свою цифровую крепость? Тогда пристегните ремни — мы отправляемся в увлекательное путешествие по лабиринтам кибербезопасности!

https://habr.com/ru/articles/832928/

#кибербезопасность #хакерские_атаки #фишинг #вредоносное_по #шифрование_данных #многофакторная_аутентификация #обновления_безопасности #киберграмотность

Секретные материалы: удобство (без)опасности

Выбор метода хранения и передачи секретной информации и его настройки могут серьёзно сказаться на общей безопасности инфраструктуры. Наши аналитики Нина Степовик и Виктор Кузнецов рассказали об этом со сцены Positive Hack Days Fest 2, а мы выкладываем видеозапись и дополненную текстовую версию доклада. Из этого материала вы узнаете о некоторых аспектах управления секретными данными и основных видах атак на хранилища секретов. Наши специалисты сравнили популярные хранилища, поделились рекомендациями и лучшими практиками для их настройки, а также разобрали типичные ошибки в интеграции хранилищ секретов в инфраструктуру.

https://habr.com/ru/companies/bastion/articles/824748/

#секреты #хранение_данных #шифрование_данных #системное_администрирование #доклад #конференция #информация #информационная_безопасность #иб

Шифрование бэкапов в ClickHouse: виды, инструменты и настройка

Один из наших клиентов обнаружил, что резервные копии ClickHouse, которые он хранит в S3 провайдера CROC, не очень-то и шифруются. А ФСТЭК суров. Перед нами была поставлена задача: настроить шифрование бэкапов. В статье покажу, как мы это сделали. Ещё расскажу вам про такой инструмент как clickhouse-backup, распишу его плюсы и минусы и продемонстрирую, как легко восстановить данные из шифрованных бэкапов. Пошли шифровать!

https://habr.com/ru/companies/nixys/articles/820907/

#бэкап #резервное_копирование #clickhouse #clickhousebackup #nxsbackup #восстановление_данных #s3 #sse #шифрование #шифрование_данных

От установки до использования: пример развертывания сервиса шифрования данных в покое

Нарушение конфиденциальности данных, хранящихся на серверах компаний, недопустимо и неизбежно ведет к тяжелым последствиям. Поэтому компании стараются «обвешать» свои хранилища всеми возможными мерами защиты. В том числе прибегают к использованию сервисов шифрования данных в состоянии покоя, которые гарантируют, что даже если злоумышленник получит физический доступ к устройству, он не сможет прочитать находящиеся на нем данные без ключей расшифровки.

https://habr.com/ru/companies/vk/articles/820617/

#vk_cloud #шифрование #шифрование_данных #cryptsetup #Hashicorp

НЕ идеальный алгоритм шифрования… HASH-CRYPT (2 часть)

Кажется, мой алгоритм шифрования оказался ужасен... Или нет? Какие уязвимости могут быть в самой основе любого алгоритма шифрования, или при их неправильной эксплуатации? И как я исправил уязвимость в предыдущей версии алгоритма? > DECRYPT <

https://habr.com/ru/articles/817579/

#шифрование #шифрование_данных #иб #информационная_безопасность #безопасность #алгоритм #уязвимости #уязвимость

Б значит не Безумие, а Безопасность часть 3 — Последний элемент

Один мудрец как-то сказал: «Мы сами порождаем своих демонов». Неважно, кто это сказал, но важно, как это может быть интерпретировано в том или ином контексте. Любое действие рождает противодействие — именно об этом хочется поговорить в рамках финальной статьи. На данном этапе уже не хочется рассказывать про то, как инфраструктура масштабировалась в дальнейшем, но хочется поделиться кейсом повышения безопасности одного из самых важных компонентов инфраструктуры. В связи с этим проведём одну большую линию и расскажем всё как есть. Надеюсь, статья поможет каждому избежать ошибок в планировании и узнать что-то новое. Последний рывок?

https://habr.com/ru/companies/nixys/articles/800875/

#devops #devsecops #ssl #шифрование_данных #postgresql #patroni #cryptsetup #безопасность #безопасность_данных

Открытый код. Сокрытие данных

Введение Приветствую дорогих читателей канала, наверняка в жизни случались у многих такие ситуации в которых очень бы хотелось обеспечить безопасность личных данных от посторонних глаз, или же как-либо скрыто передать информацию таким образом, чтобы никто и не догадывался о факте того, что вы впринципе передали какую-то важную информацию. Поэтому сегодня хочу представить вашему вниманию несколько интересных инструментов для шифрования и сокрытия информации с открытым исходным кодом.

https://habr.com/ru/articles/795905/

#информационная_безопасность #открытый_код #шифрование #шифрование_данных #софт #github

SafeRAT: так ли он безопасен?

Большой хабросалют всем! С вами на связи я, Ксения Наумова, и мой коллега Антон Белоусов. Мы работаем в компании Positive Technologies, в отделе обнаружения вредоносного ПО. В декабре 2023 года, в ходе постоянного отслеживания новых угроз ИБ, изучая в PT Sandbox и других песочницах вредоносные образцы и генерируемый ими трафик, мы обнаружили подозрительное сетевое взаимодействие, с которого наше дальнейшее исследование и началось. Надо сказать, обратили мы внимание на это еще и благодаря внезапно увеличившемуся количеству похожих семплов. Сами злоумышленники, видимо призрачно надеясь на убедительность, назвали в коде свой троян удаленного действия SafeRAT, с именованием которого мы, конечно, не согласны, но довольно спойлеров! Ниже мы постарались детально описать вредонос, который ранее исследователям не встречался, чтобы показать его НЕбезопасность. Залетайте под кат

https://habr.com/ru/companies/pt/articles/793440/

#rat #cybersecurity #sandbox #стилер #кража_данных #malware #шифрование_данных #сетевой_трафик #впо #загрузчик

Хранение паролей: работа над ошибками

В предыдущей статье , я описал свой сетап хранения авторотационных данных (паролей). Многие эксперты изучили её и дали свои комментарии, - о том, где могут быть проблемы, о том, что можно упростить, и о том, что можно делать по другому. Но начнём мы с небольшого объяснения, почему система такая сложная. Вспомним суть: 1) Для логина на "не значимые" сайты (например в аккаунт очередного AI-продукта) мы используем уникальный пароль, который храним в программе хранения паролей (парольном менеджере) 2) Для логина на "более важные ресурсы" (например в аккаунт на github), мы используем уникальный пароль, который храним в парольном менеджере, плюс одноразовый пароль (TOTP - Time-based One-Time Password) который нам покажет специальное приложение на телефоне. Вот и всё. Это вся суть повседневного использования всей системы. Но почему она тогда казалась такой сложной? Вероятно из-за дополнительных слоёв защиты от самого себя или любых непредвиденных факторов.

https://habr.com/ru/articles/791914/

#хранение_паролей #2faаутентификация #шифрование_данных #бэкапирование #парольные_менеджеры #аутентификация

Основано на реальных событиях: как шифровальщики ведут переговоры и что советуют жертвам

Программы-вымогатели — одна из главных киберугроз для российских компаний. Только в прошлом году, по данным F.A.C.C.T. , количество атак шифровальщиков на бизнес увеличилось в 2,5 раза. В некоторых случаях суммы выкупа достигали 321 млн рублей. Мы изучили реальные переписки с вымогателями за последние два года. Самые показательные примеры и выводы — в этой статье.

https://habr.com/ru/companies/nubes/articles/790526/

#информационная_безопасность #защита_информации #защита_данных #шифровальщики #шифрование_данных #вымогатели #группировка #lockbit #akira #blackbasta

[Перевод] Обманчиво простой и интересный RSA

Недавно, читая книгу Real-World Cryptography , я узнала об атаке Блейхенбахера, иначе называемой атакой миллионом сообщений . Этот вид атаки Даниэль Блейхенбахер продемонстрировал в 1998 году, взломав RSA через функцию шифрования PKCS #1 . В книге об этой атаке было сказано немного, поэтому я решила изучить её сама и в конечном итоге реализовать. Поскольку эта уязвимость была обнаружена, то в большинстве криптографических библиотек она устранена. И если я разверну полноценную атаку против существующей реализации, то она также будет подразумевать использование реалистичного размера ключа. Вместо этого я решила реализовать RSA сама, чтобы иметь возможность развернуть слабую схему шифрования, позволяющую осуществить атаку Блейхенбахера. Пока что у меня готова реализация RSA и PKCS (уязвимой версии). На создание основы RSA ушло около часа, плюс несколько дней на отладку. И теперь она (кажется) работает. Вскоре, если звёзды сойдутся, можно будет развернуть саму атаку.

https://habr.com/ru/companies/ruvds/articles/789166/

#ruvds_перевод #rsa #криптография #алгоритмы #шифрование_данных