SDO СryptoNet

Как избежать инъекций

14.07.11 Атаки на веб-системы основаны на багах обработки входных данных. Пользуясь различными уязвимостями софта и невнимательностью разработчика, хакер может составить такие данные, которые при обработке скомпроментируют систему — шелл, незашифрованные пароли, и даже эмуляция действий пользователя в браузере (например в банковской системе переведет деньги со счета).

Одним из популярных векторов атаки явлются всевозможные инъекции: html, javascript, sql. Поэтому многие авторитетные источники рекомендуют экранировать юзер инпут посредством различных заклинаний. В этой статье излагается одно простое правило, следуя которому можно гарантированно решить проблему инъекций.... читать дальше

Защита персональных данных — как быть и что делать?

14.07.11 Многие уже в курсе, что 1 июля в Российской Федерации окончательно вступили в силу положения закона ФЗ-152 «О персональных данных». Федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных, претерпел значительные изменения, которые могут сильно подпортить бизнес большинству компаний.

Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.

В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму... читать дальше

«Самоуничтожающаяся» флэшка IronKey

06.07.11 Как утверждают производители, IronKey – наилучший защищенный флэш-накопитель во всьом мире. В такие смелые заявления вполне можно поверить, так как для шифрования данных на аппаратном уровне они использовали криптографический чип. К тому же, IronKey способен еще на несколько интересных «шпионских штучек», которые могут быть полезны не только Джеймсу Бонду, а также и простым смертным.

Во-первых, защита на аппаратном уровне подразумевает постоянное шифрование данных (причем в режиме AES CBC) перед тем как их записывают.Для того чтобы получить доступ к информации нужно вести личный пароль. Ключи генерируются криптографическим процессором и аппаратным генератором случайных чисел. Вот поетому если с запоминанием пароля у вас возникли проблемы, то ждите неприятностей: после десятка последовательных попыток ввода... читать дальше

Для луча света нет сложных кодов

06.07.11 Прорыв в области использования света в криптографии совершили исследователи из Университета штата Мичиган. Новый способ расшифровки позволяет взламывать сложные коды буквально в течение нескольких секунд. Разработанный учеными метод основан на взаимодействии коротких импульсов когерентного светового потока с квантовыми точками. Вся соль открытия заключается в использовании такого свойства света, согласно которому он при определенной частоте и фазах образует сложную систему, что-то вроде разновидности «оптической сети», что позволяет считывать информацию по мере перехода от одной квантовой точки к другой.

Изобретенное североамериканскими учеными устройство позволяет шифровать луч света согласно запросу (используя нечто вроде разложения числа на множители или поиск числовой последовательности). Разобраться во всем этом... читать дальше