Krypto

Miliony kluczy RSA generowanych sprzętowo podatnych na złamanie

Miliony kluczy RSA generowanych sprzętowo podatnych na złamanie

Dzień złych wiadomości w świecie bezpieczeństwa się jeszcze nie skończył – ujawniono dzisiaj, że na skutek błędu w popularnej bibliotece kryptograficznej można odzyskać niektóre klucze prywatne RSA tylko na podstawie kluczy publicznych.… Czytaj dalej

Zapomnij o bezpieczeństwie sieci WiFi – wszystkie połączenia da się zhakować

Zapomnij o bezpieczeństwie sieci WiFi – wszystkie połączenia da się zhakować

Naukowcy opublikowali właśnie szczegóły ataku, o którym plotki krążyły już od jakiegoś czasu. Okazuje się, że każdą sieć WiFi opartą na najpopularniejszym standardzie WPA2 można łatwo zhakować.… Czytaj dalej

Coś dla miłośników podsłuchów, czyli backdoor in da crypto, yo!

Coś dla miłośników podsłuchów, czyli backdoor in da crypto, yo!

Mamy nadzieję, że wypoczęliście w weekend, bo przy lekturze tego artykułu trzeba myśleć. Podobno nie boli, a przy okazji można się czegoś ciekawego nauczyć.  Polecamy opowieść Łukasza o tylnych furtkach w kryptografii.… Czytaj dalej

Jak zabezpieczyć logowanie do serwera za pomocą jednorazowych tokenów

Jak zabezpieczyć logowanie do serwera za pomocą jednorazowych tokenów

Wielu zwykłym administratorom serwerów wystarcza możliwość logowania do SSH za pomocą loginu i hasła. Niektórzy używają też swojego klucza. My chcemy zaproponować inne ciekawe rozwiązanie – tokeny z aplikacji Google Authenticator.… Czytaj dalej

Kryptografia haseł maskowanych, czyli magia matematyki

Kryptografia haseł maskowanych, czyli magia matematyki

Zastanawialiście się kiedyś, jak zapisywane w bazie jest hasło maskowane, którego być może używacie by logować się do swojego banku? Odpowiedź ma dla Was Łukasz. I uwaga, będzie trochę matematyki (na poziomie podstawówki).… Czytaj dalej

Gigantyczna wpadka Cloudflare – wyciekała zawartość szyfrowanych połączeń

Gigantyczna wpadka Cloudflare – wyciekała zawartość szyfrowanych połączeń

Na skutek błędu na serwerach Cloudflare potrafiły one w określonych warunkach w odpowiedzi dla klienta serwować takie dane jak hasła, tokeny czy inne poufne informacje należące do zupełnie innych serwisów. Takie odpowiedzi indeksował m.in. Google.… Czytaj dalej

Jak jeden dodatkowy znak w kodzie pozwolił komuś zarobić prawie 2 mln PLN

Jak jeden dodatkowy znak w kodzie pozwolił komuś zarobić prawie 2 mln PLN

Czy uważna lektura kodu źródłowego możemy być opłacalna? Coś na ten temat wiedzą łowcy błędów, jednak nagrody wynoszące prawie dwa miliony złotych nie zdarzają sie codziennie i czekają głównie w kodzie źródłowym różnych nowych kleptowalut.… Czytaj dalej

Bezpieczeństwo kontra użyteczność – Lavabit i bitwa o przyszłość emaila

Bezpieczeństwo kontra użyteczność – Lavabit i bitwa o przyszłość emaila

Poczta elektroniczna to usługa, w której zadbanie o prywatność komunikacji jest nadzwyczaj trudne. Wymaga sporej wiedzy, obniża ogromnie użyteczność a metadane i tak pozostają dostępne. Czy można to zmienić?… Czytaj dalej

Apple ponad tysiąckrotnie osłabiło siłę szyfrowania lokalnych kopii bezpieczeńtwa w iOS10

Apple ponad tysiąckrotnie osłabiło siłę szyfrowania lokalnych kopii bezpieczeńtwa w iOS10

Apple w ostatnich latach położyło dużych nacisk na bezpieczeństwo danych swoich klientów. Dlaczego zatem w iOS 10 wprowadziło mechanizm osłabiający siłę szyfrowania lokalnych kopii bezpieczeństwa o ok. 2500 razy?… Czytaj dalej

Jak Dropbox przechowuje Wasze hasła, czyli uczmy się od najlepszych

Jak Dropbox przechowuje Wasze hasła, czyli uczmy się od najlepszych

Wycieki haseł z największych firm branży technologicznej pokazują, że prawidłowe przechowywanie poufnych informacji ciągle jest dla wielu organizacji dużym wyzwaniem. Tym cenniejszy jest przykład Dropboxa, który dzieli się swoim doświadczeniem.… Czytaj dalej

Niespodziewany zwrot akcji w sprawie odszyfrowania przez Apple telefonu terrorysty

Niespodziewany zwrot akcji w sprawie odszyfrowania przez Apple telefonu terrorysty

W sprawie FBI vs. Apple co chwilę wypływają na światło dzienne nowe fakty i analizy. Najnowsze informacje mówią o tym, że to FBI swoimi nieodpowiedzialnymi działaniami spowodowało brak możliwości dostępu do danych z telefonu.… Czytaj dalej

Czy policja lub Apple mogą odszyfrować Twojego iPhona – analiza

Czy policja lub Apple mogą odszyfrować Twojego iPhona – analiza

Czy polskie lub amerykańskie organy ścigania mogą odszyfrować dane zapisane w iPhonie nie znając hasła użytkownika? Jak Apple zabezpiecza swoje urządzenia i od której wersji sprzętu i oprogramowania są one naprawdę bezpieczne?… Czytaj dalej

DMA Locker czyli komicznie nieudany i pełen błędów polski ransomware

DMA Locker czyli komicznie nieudany i pełen błędów polski ransomware

Tworzenie oprogramowania związanego z kryptografią to proszenie się o problemy. Boleśnie przekonał się o tym autor polskiego ransomware, które nie dość, że często nie działa, to jeszcze używa własnej kryptografii.… Czytaj dalej

Ransomware atakuje serwery, na szczęście jego autor nie ma pojęcia o kryptografii

Ransomware atakuje serwery, na szczęście jego autor nie ma pojęcia o kryptografii

Na rynku programów szyfrujących cudze pliki pojawił się nowy gracz, atakujący linuksowe serwery WWW. Na szczęście dla poszkodowanych autor kodu miał mgliste pojęcie o zasadach generowania liczb pseudolosowych i dane można odzyskać.… Czytaj dalej

W cyklu „Kryptografia w PRL”: Pocztówka z Dolnego Śląska

W cyklu „Kryptografia w PRL”: Pocztówka z Dolnego Śląska

Jak radzono sobie z kryptografią gdy komputery nie były jeszcze powszechnie dostępne? Jakich technik używali szpiedzy czasów zimnej wojny i w jaki sposób byli lokalizowani przez kontrwywiad? Zapraszamy do nowego cyklu.… Czytaj dalej

Bezpieczna poczta ProtonMail dodała funkcję specjalnie na potrzeby Mr. Robota

Bezpieczna poczta ProtonMail dodała funkcję specjalnie na potrzeby Mr. Robota

Serial telewizyjny Mr. Robot nie bez powodu otrzymuje wysokie noty i rekomendacje od osób mających pojęcie o komputerach. Realizm, z jakim jego twórcy pokazują różne elementy pracy hakera, jest godny podziwu.… Czytaj dalej

Jak łatwo zostać podsłuchanym w trakcie korzystania z Tora

Jak łatwo zostać podsłuchanym w trakcie korzystania z Tora

Wszyscy świadomi użytkownicy Tora wiedzą, że ich ruch wychodzący z ostatniego węzła sieci może zostać podsłuchany. Badacze potwierdzili doświadczalnie, że niektóre węzły nie tylko podsłuchują, ale także wykorzystują skradzione dane.… Czytaj dalej

Zmiany w naszym serwisie – ładniej, szybciej i bezpieczniej

Zmiany w naszym serwisie – ładniej, szybciej i bezpieczniej

W historii Zaufanej Trzeciej Strony nastąpił przełomowy moment, który powinien mieć miejsce już ponad 3 lata temu, gdy strona startowała. Zajęło to sporo czasu, ale zawsze ważniejsze były artykuły do napisania i brakowało rąk do pomocy.… Czytaj dalej

Atak na wymianę kluczy zagraża połączeniom HTTPS, VPN, SSH i SMTPs

Atak na wymianę kluczy zagraża połączeniom HTTPS, VPN, SSH i SMTPs

Ponad połowa VPNów opartych o IPSec, 1 na 4 serwery SSH oraz 17% z miliona najpopularniejszych serwerów WWW mogą być podatne na podsłuchanie ich szyfrowanych połączeń z powodu nowo odkrytych błędów.… Czytaj dalej

Klucz RSA 4096 bitów niby złamany, ale nie ma powodów do niepokoju

Klucz RSA 4096 bitów niby złamany, ale nie ma powodów do niepokoju

Badacze ogłosili, że ku swojemu zaskoczeniu złamali właśnie klucz RSA o długości 4096 bitów, należący do jednego z najważniejszych programistów jądra Linuks. Jest to jednak – z wielu powodów – bardziej ciekawostka, niż powód do zmartwienia.… Czytaj dalej

Audyt Truecrypta zakończony, dwa istotne błędy w implementacji

Audyt Truecrypta zakończony, dwa istotne błędy w implementacji

Zakończyła się druga faza audytu Truecrypta, obejmująca jego mechanizmy kryptograficzne. Nie znaleziono żadnej tylnej furtki, za to trafiono na dwa błędy wymagające poprawy. Nie wpadajcie jednak w panikę – nie jest tragicznie.… Czytaj dalej

Google banuje chiński rządowy urząd certyfikacji z powodu utraty zaufania

Google banuje chiński rządowy urząd certyfikacji z powodu utraty zaufania

Certyfikat chińskiego rządowego urzędu certyfikacji wkrótce zostanie zablokowany w Google Chrome. To bardzo radykalne, rzadko spotykane posunięcie jest wynikiem podejrzanego incydentu sprzed kilku tygodni, w który zamieszany był ten urząd.… Czytaj dalej

Hillary Clinton i serwer tajemnic, czyli po co komu służbowa skrzynka pocztowa

Hillary Clinton i serwer tajemnic, czyli po co komu służbowa skrzynka pocztowa

Hillary Clinton, w latach 2009 – 2013 amerykański sekretarz stanu, odpowiednik naszego ministra spraw zagranicznych, w pracy korzystała wyłącznie ze swojej prywatnej skrzynki pocztowej na swoim domowym serwerze.… Czytaj dalej

Uwaga, najnowszy uTorrent może Ci zainstalować kopacza bitcoinów

Uwaga, najnowszy uTorrent może Ci zainstalować kopacza bitcoinów

Instalator najnowszej wersji popularnego klienta sieci bittorrent może zrobić z Twojego komputera koparkę bitcoinów. Na szczęście można tego uniknąć – trzeba tylko zwrócić uwagę na sprytnie skonstruowany komunikat instalatora.… Czytaj dalej

Jak bezpiecznie szyfrować pocztę PGP, a oto nasz klucz prywatny

Jak bezpiecznie szyfrować pocztę PGP, a oto nasz klucz prywatny

Największa szwedzka gazeta zaliczyła właśnie spektakularną wpadkę. W poradniku opisującym, jak szyfrować za pomocą PGP poufne materiały przesyłane do redakcji, załączyła przez przypadek swój klucz prywatny. I to nie pierwszy raz.… Czytaj dalej

aruba