Security Lab

SSL

1625
SSL
SSL - криптографический протокол, при котором для аутентификации используется пара открытый — закрытый ключ, а для сохранения конфиденциальности — секретный ключ. Комбинация всех ключей сохраняет высокую скорость обработки данных.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Скрытность и устойчивость: новый Coyote как революция банковских троянов

Использование языка Nim и открытых инструментов показывает, как хакеры следуют трендам.

Безопасность большинства сетевого трафика в опасности из-за устаревших криптографических протоколов

SSL 3.0 и TLS 1.0 всё ещё в ходу. Когда компании поймут, что угроза реальна?

От MATA ничего хорошего: кибератаки парализуют промышленность Европы

Internet Explorer — новый троянский конь для Восточной Европы.

Отчет об опасностях современного интернета: WatchGuard расставляет киберугрозы по полочкам

Компания проанализировала статистику за последние несколько месяцев. Что удалось выяснить?

Геополитические игры в киберпространстве: «HiatusRAT» меняет фокус на США и Тайвань

Новая тактика Китая по раскрытию секретов соперников и шпионажа.

SSL

Мартин Льюис обвиняет Meta* в недостаточном контроле одной из своих платформ

Телеведущий из Великобритании посетовал на распространение в социальной сети Facebook* дипфейк-аферы с его участием.

Когда обновление игнорируется: отказ от исправления оставляет 300 тысяч брандмауэров FortiGate под угрозой

По словам экспертов, многие из открытых устройств FortiGate не обновлялись в течение 8-ми лет.

Ряд российских интернет-магазинов начали требовать установку отечественного TLS-сертификата

Интернет-магазины, которые проводят платежи через Сбер, стали просить пользователей установить российский браузер или отечественный TLS-сертификат.

Чем отличается SSL-инспекция от SSL-расшифрования

Для коллег из мира ИТ два разных слова: «инспекция» и «расшифрование» — означают одно и то же. На самом деле это два разных по сложности действия. Денис Батранков поможет разобраться в различиях.

Хакеры атакуют пользователей криптовалют через серверы в сети Tor

В феврале 2021 года атаки задействовали 27% вредоносных выходных узлов Tor.

АНБ США призвало сисадминов отказаться от устаревших версий TLS

АНБ рекомендовало больше не использовать SSL 2.0, SSL 3.0, TLS 1.0 и TLS 1.1 и перейти на TLS 1.2 или TLS 1.3.

Почему замок в адресной строке не всегда является признаком безопасности сайта

80% фишинговых сайтов, выявленных во 2 квартале 2020 года, использовали SSL-сертификаты.

Positive Technologies приглашает на вебинар «Как выявлять активность злоумышленников в зашифрованном трафике»

Вебинар состоится 28 марта в 14:00.

BREACH-атака позволяет быстро расшифровать HTTPS трафик

Эксперты продемонстрировали атаку на примере Gmail и чата Facebook.

Анализ безопасности SSL-соединений онлайн-банкинга ТОП-50 российских банков

23% проверенных сайтов банков позволяют осуществить MitM атаку на своих клиентов.

SecurityLab провел повторную проверку надежности SSL-соединений самых популярных почтовых серверов в РФ

По результатам, у Rambler самое надежное шифрование соединения для отправки и получения почты.

Выпущен инструмент для проверки надежности SSL-соединений в почтовых сервисах (обновлено)

Доступен бесплатный сканер SSL, который можно использовать для сканирования и проверки безопасности любой SSL/TLS службы.

Появился новый бесплатный сервис для проверки безопасности SSL/TLS

Разработчиком сервиса стала ИБ-компания High-Tech Bridge.

Индустрия платежных карт окончательно откажется от SSL

Согласно обновленному стандарту безопасности данных PCI DSS 3.1, интернет-сообществу стоит перейти на TLS.

Уязвимость 13-летней давности в SSL/TLS упрощает хищение конфиденциальных данных

С помощью новой атаки «бар-мицва» можно раскрыть SSL/TLS-трафик, не прибегая к атаке «человек посередине».

В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.

Qualys: POODLE можно эксплуатировать для атак по TLS

Специалисты Google считают, что для обеспечения криптографической безопасности необходимо использовать, по меньшей мере, TLS 1.2 с поддержкой AEAD.

Google выпустила утилиту для обнаружения уязвимостей в TLS/SSL

Приложение совместимо с большинством современных десктопных и мобильных ОС, а его исходный код находится в открытом доступе.

Apple прекратит поддержку SSL 3.0 в push-уведомлениях

Причиной прекращения поддержки SSL стала критическая уязвимость POODLE.

С помощью Pineapple Wi-Fi эксперт продемонстрировал ошибки реализации SSL

Эксперт показал, как анализатор может использоваться для похищений, преследования, шпионажа и даже нанесения физического ущерба жертвам.

Шведский ИБ-эксперт создал список «плохих» SSL-сертификатов

Список будет обновляться каждые 15 минут и предоставлять администраторам хеши SHA-1 SSL-сертификатов и IP-адреса связанных с ними ботнетов и вредоносного ПО.

Индийский NIC выдавал поддельные сертификаты для доменов Google

В Google говорят, что опасности подвержены только пользователи Windows-устройств.

Heartleech позволяет автоматизировать поиск и извлечение секретных SSL-ключей

Инструмент можно использовать для автоматизации сканирования ОЗУ во время эксплуатации уязвимости Heartbleed.

Методы шифрования в WhatsApp - мечта АНБ

Реализация SSL шифрования раскрывает широкий горизонт возможностей перед злоумышленниками.

Пользователей Apple накрыла волна фишинговых писем об «обновлении через новые SSL-серверы»

Целью злоумышленников является хищение финансовой информации, а также учетных данных клиентов компании.

В Google сообщили об обнаружении поддельных SSL-сертификатов

По данным поисковика, фиктивные протоколы агентства ANSSI предназначены сразу для нескольких доменов компании.

High-Tech Bridge: 75% сайтов интернет-магазинов не поддерживают SSL сертификаты расширенной проверки

Только 2% проверенных сайтов защищают данные клиентов посредством принудительного задействования протоколов защищенной связи.

Google перешла на использование 2048-битных SSL-ключей

2048-битные ключи дополнили существующие меры безопасности компании в отношении своих клиентов.

Администрация PHP.net сбросила пароли пользователей

SSL-сертификат портала был отозван и вскоре будет заменен.

Администрация php.net подтвердила факт взлома двух серверов

Представители ресурса ведут работы по восстановлению работоспособности скомпрометированных служб.

Сервис Yahoo Mail переходит на использование SSL-протокола по умолчанию

Нововведение вступит в силу 8 января следующего года.

Официальный web-сайт президента США остался без SSL-сертификата

При попытке посетить портал через HTTPS пользователи сталкиваются с предупреждением об истечении срока давности сертификата.

Появился инструмент для осуществления BREACH-атаки на TLS/SSL

Авторы эксплойта BREACH опубликовали в открытом доступе программу для пентестинга, предназначенную «только оценки своего сайта».

Исследователи раскрыли метод компрометации данных пользователей Dropbox

На конференции USENIX 2013 раскрыли способ обхода двухфакторной аутентификации сервиса для получения доступа к конфиденциальным данным.

Проект Mozilla намерен заблокировать SSL-сертификаты TeliaSonera

По мнению компании, оператор связи продает технологии, предназначенные для скрытой слежки за пользователями.

Создан совет по усилению безопасности SSL-подключений

Ведущие центры сертификации сформировали совет, который будет заниматься разработкой и внедрением методов защиты передачи данных в Интернет.

Брешь в реализации SSL позволяет осуществлять MitM атаки на платежные системы

Исследователи обнаружили некорректную реализацию SSL шифрования, которая позволяет осуществить атаки на огромное количество приложений и сервисов, предоставляемых PayPal, Amazon, Microsoft, Google, Yahoo.

Ученые запустили службу для проверки подлинности SSL сертификатов

Служба ICSI Certificate Notary позволяет проверить достоверность сгенерированных SSL-сертификатов, предоставляемых сайтами.

Исследование: Приложения Android часто содержат ошибки реализации SSL

Сотрудники двух немецких университетов установили, что 17% Android-приложений с SSL позволяет злоумышленнику провести атаку «человек посередине».

Исследователи создали TLS расширение, обнаруживающие поддельные SSL-сертификаты

Для проверки подлинности SSL-сертификатов расширение TACK TLS совмещает проверку открытого ключа с самоподписанным ключом.

Web-сайты с поддержкой протокола HTTPS уязвимы к MiM-атакам

По данным компании TIM, небезопасными являются 90% крупнейших сайтов.

Google исправила ошибку проверки подлинности SSL сертификатов

Релиз 18.0.1025.152 восстанавливает для пользователей возможность подключения через HTTPS протокол.

Ошибка в Chrome блокирует проверку SSL сертификатов

После обновления Google Chrome браузер прекратил осуществлять подключения по протоколу HTTPS.

Firefox будет шифровать поиск в Google по умолчанию

Данное нововведение позволит пользователям защититься от атак «человек посередине».

Разработчики Chrome намерены отключить онлайн проверку SSL-сертификатов

Ведущий программист компании Google считает, что эта мера предосторожности является устаревшей и неэффективной.

CAB Forum предъявил новые требования к центрам сертификации

Организация опубликовала список требований, призванных повысить уровень безопасности систем SSL-сертификации.

EFF предлагает новый метод укрепления безопасности в Интернете

Новое решение от EFF обеспечит дополнительный уровень безопасности для центров сертификации.

Компания Qualys поддержала проект Convergence

Целью проекта Convergence является увеличение уровня безопасности зашифрованного SSL-трафика.

Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.

SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов

Исследователи Таи Дуонг и Джулиано Риццо планируют выступить на конференции Ekoparty в Буэнос-Айрес с докладом, описывающим уязвимости в протоколе TLS 1.0.

Иранский хакер взял на себя ответственность за взлом сертификатов DigiNotar

Хакер под псевдонимом Сomodohacker заявил, что причиной взлома DigiNotar стала месть за преступления правительства Голландии за преступления перед мусульманами.

Microsoft: Windows Update не установит ложные обновления через SSL-сертификаты от DigiNotar

Представители Microsoft заявили о невозможности использования Windows Update для установки вредоносного ПО через похищенные SSL-сертификаты.

Участники конференции Black Hat обговорили проблемы использования протокола SSL

Многие web-ресурсы, декларирующие использование SSL, сознательно не шифруют передаваемые пароли.

Компании Solera Networks и Netronome намерены разработать решение для анализа SSL-трафика

Новое решение позволит сетевым администраторам быстро воссоздавать сценарии инцидентов безопасности.

Иранский хакер признался в краже SSL-сертификатов

Иранский хакер утверждает, что ему в одиночку удалось похитить цифровые сертификаты для обеспечения безопасности онлайн-транзакций ряда крупнейших Интернет-сайтов, в том числе Google, Microsoft, Skype и Yahoo.

Comodo обвиняет Иран в краже SSL-сертификатов

Успешная атака против одного из партнеров компании Comodo позволила неизвестным взломщикам получить легитимные цифровые сертификаты для ряда крупнейших сетевых ресурсов - Google и Gmail, Microsoft, Skype, Yahoo.

Заработал интернет-проект по размещению закрытых SSL-ключей

Группа энтузиастов, называющая себя /dev/ttyS0, запустила сайт LittleBlackBox Project, где все желающие могут публиковать полученные ими приватные SSL-ключи, аппаратно встроенные во многие электронные устройства, такие как домашние WiFi-роутеры или различные интернет-планшеты.

Ростелеком забыл обновить ssl-сертификат gosuslugi.ru

Сообщение об истекшем сроке действия сертификата (о недоверенном соединении и т.п.) могут наблюдать посетители личного кабинета портала государственных и муниципальных услуг gosuslugi.ru.

SSL Appliance - аппаратный анализатор SSL-трафика от Sourcefire

SSL Appliance позволяет системе предотвращения вторжений (IPS) производить инспекцию SSL (Secure Sockets Layer) трафика, блокируя потенциально вредоносную часть, которая может быть замаскирована шифрованием.

В протоколах TLS и SSL найдена серьезная уязвимость

В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.

Black Hat: Обнаружены проблемы с безопасностью в протоколе SSL

Эксперты Дэн Камински и Лен Сассман обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете.

SSL-шифрование Gmail не защищает от атак

Роберт Грэхэм, генеральный директор Errata Security, заявил, что сервисы шифрования таких компаний, как Google Gmail, могут предоставить доступ к временным файлам.

Microsoft отказалась от обязательного SSL для CardSpace

Отказ вызван желанием компании сделать технологию более массовой. Теперь при отсутствии SSL-сертификата на сайте CardSpace будет предупреждать пользователя о том, что трафик не шифруется.