Из-за ошибок разрушаются многие криптосистемы. Некоторые системы, в целях защиты данных от потери, при сбое в системе, используют временные файлы или виртуальную память; данность увеличивает риск оставления открытого текста на винчестере. В редких случаях операционная система оставляет ключи на жестких дисках. На практике довелось иметь дело с одним из продуктов, где для ввода пароля использовалось всплывающее окно, которое было взломано через пользовательский интерфейс, не смотря на криптографию продукта.

Имело место быть продуктам, которые использовали шифрование одной и той же информации разными ключами (сильным и слабым); другие же использовали как главные, так и сеансовые ключи. Однако они легко были взломаны при помощи частичной информации о разных ключах. Встречались также продукты, где разработчики полагались по ошибке на надежность сеансовых ключей, однако и это не помогло. Было допущено множество ошибок, одна из которых, пожалуй, самая главная - это сокрытие любого возможного доступа к информации о ключах.

Как известно, криптографическая система опирается на неотъемленные элементы для реализации всего своего потенциала мощности, а именно: алгоритмы цифровой подписи, коды идентификации сообщений, односторонние хэш-функции, алгоритмы шифрования. Взломав один из элементов, откроется доступ ко всей системе в целом.

Из прочных материалов возможно построить слабую структуру, так и из надежных алгоритмов и протоколов возможно построить слабую криптосистему.

Зачастую на практике встречаются системы, которые неправильно использую криптографическую систему в целом: не проверяется размер значений, используются случайные параметры повторно и тому подобное. Не всегда алгоритмы обеспечивают целостность данных, а протокол обмена также не всегда гарантирует получение сторонами необходимого ключа.

Всевозможные специализированные статьи описывают продукты криптографической направленности с различными алгоритмами и ключами. Как правило, описания алгоритмов не блещут насыщенностью и чаще всего это выглядит примерно так: «128-битные ключи - высокая степень защиты», «Тройной DES - высокая степень защиты», «2048-битный RSA лучше 1024-битного RSA» и так далее. Однако в объективной действительности дела обстоят иначе.

Не всегда ключи длинного размера обладаю более эффективной защитой. Для примера проведём сравнение алгоритма криптографии с механизмом дверного замка. Как известно, большая часть дверных замков обладает 4-мя металлическими штифтами, которые находятся в одном из 10-ти положений. Сам же ключ располагает их в нужной комбинации: при правильном расположении открывается дверной замок. Таким образом, существует только 10000 всевозможных ключей, используя которые взломщик осуществит взлом вашего дверного замка. Но и модернизированный замок, который преподнесёт 10 млрд. всевозможных ключей не факт что обезопасит жилище. Взломщики не всегда используют так называемую атаку «в лоб» (используя каждый ключ), а некоторые не настолько «компетентны» в своём деле – им проще выбить окна, разбить стекла либо отнять ключи под угрозой насилия.

Каждый из нас использует компьютер с разными целями: для кого-то компьютер является средством для игр, кто-то использует компьютер для того, чтобы получить и отправить электронную почту, а для кого-то компьютер – это основой инструмент работы.

Соответственно, у одних людей в компьютере нет никакой информации, которая могла бы кого-то, кроме них, заинтересовать, а другие люди хранят в компьютере очень важную и секретную информацию, доступ к которой должен иметь лишь ограниченный круг особ. То есть в данном случае требуется обеспечение компьютерной безопасности.

Ведь если повреждение автомобиля сможет компенсировать страховой полис каско, украденные данные во многих случаях уже не компенсируешь ничем.

Один из способов увеличения стойкости шифра – установление неопределенности в ходе шифровании данных. Как таковая идея может быть реализуема путём введения данных наугад, преобразующихся в сообщение. Операции преобразования имеют вероятностный характер, таким образом, вычислительная стойкость криптосистемы повышается; данное происходит из-за «подмешивания» случайных данных к шифруемой информации.

Рассмотрим на примере.

Имеем где b = r + p, где Е (b-битовая функция шифрования), Р (p-битовый блок открытого текста) и R (r-битовый случайный блок). На вход шифрующей функции блока В (B = R | P) подаётся знак «|», обозначающий конкатенацию двоичных векторов R и P:

P -> B = R | P -> C = E( B, K ), где К – ключ шифрования.

Автоматическая аутентификация чрезвычайно важна в современных компьютерных системах.

Используемые сегодня в компьютерах пароли и другие механизмы аутентификации охватывают широкий диапазон методик и технологий. Разработчикам Web-серверов, постановщикам задач в области электронной торговли и другим системным разработчикам приходится выбирать среди многочисленных продук¬тов и принимать многочисленные решения о конфигурации каждого из этих продуктов. Системы, подобные Windows NT и Windows 2000. имеют несколько альтернатив паролевого доступа, чтобы обеспечить взаимодействие с другими продуктами. Некоторым организациям требуется дополнительная защита в виде смарт-карт или аутентификацконных опознавательных знаков систем типа Safe-word или SecurlD. Главный мотив, стоящий за так иазываемой "инфраструктурой открытого ключа", в том, чтобы со временем революционизировать, упрочнить и упростить процесс выполнения индивидуальной аутентификации. Но, как в случае любой развивающейся технологии, трудно предсказать, в какой степени будут выполнены выдаваемые обещания.

Breitbart, ссылаясь на AFP, сообщает, что хакеры, по словам специалистов в области безопасности, добрались до уязвимости, позволяющей контролировать трафик в интернете.

Лучшие специалисты ломали голову над решением проблемы долгое время. В итоге была создано актуальное программно обеспечение, «заплатка». Пользователям отвели месяц для защиты своих компьютеров от кибератак.

«Нас ждет множество неприятностей», - уточняет специалист по безопасности IOActive Дэн Камински. Напомним, что полгода назад именно он наткнулся на уязвимое место в системе доменных имен (DNS), сообщив об этом гигантам компьютерной отрасли, чтобы совместными усилиями решить проблему. «Эта атака будет мощной. Каждому нужна заплатка. Пожалуйста, защитите себя», - призывает Камински.

Лаборатория Касперского сообщает, что обнаружен вирус, который заражает аудиофайлы *. WMA. Заражённый файл вызывает загрузку троянской программы, которая позволяет злоумышленнику устанавливать удалённый контроль над компьютером жертвы.

Worm.Win32.GetCodec.а. – наименование новоявленного червя. Он конвертирует mp3-файлы в формат WMA, однако при этом сохраняется расширение mp3. В тоже время добавляется маркер, который содержит ссылку на заражённую web-страницу.

Активация происходит автоматически во время прослушивания заражённого файла, что приводит к запуску браузера Internet Explorer. Пользователя перекидывает на заражённый сайт, где пользователю предлагается установить программу, который позиционирует себя как кодекс. После того как пользователь соглашается на установку вредоносного ПО, на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp. С помощью трояна, «установленного самим пользователем», злоумышленник получает контроль над компьютером.

Криптопровайдер Signal-COM CSP v2 будет обеспечен поддержкой электронных ключей eToken компаниями «Aladdin» и «Сигнал-КОМ».

Aladdin, российский разработчик и поставщик средств аутентификации, продуктов и решений по информационной безопасности в сотрудничестве с «Сигнал-КОМ», разработчик сертифицированной криптографической защиты информации (СКЗИ), 17 июля нынешнего года заявили о поддержке смарт-карт и электронных ключей eToken.

Партнёрские отношения между компаниями длятся с 1996 года. Их логическим продолжением является разработка системы аутентификации с новой платформой eToken Java. В последней на данный момент версии криптопровайдера Signal-COM CSP v2 присутствуют вышеописанные разработки двух компаний.

Стало известно, что PayPal, платёжная система, планирует запретить доступ к сервису браузерам, которые не используют технологию автоматического блокирования поддельных сайтов, а в том числе не поддерживают сертификаты EV SSL. Как ни странно к числу потенциально запрещённых браузеров могут отнести Safari, в котором поддержка сертификата EV SSL не реализована.

PayPal является главной целью фишинга. Проведение радикальных мер с её стороны можно понять. По словам представителей PayPal выясняется, что «если разрешить браузеры без антифишинговой технологии, то это равносильно тому, как если бы производители автомобилей разрешили пользователям покупать машины без ремней безопасности». Разрешая таким пользователям пользоваться сервисом – PayPal расширяет аудиторию жертв.

PC World пишет, Крис Касперски, российский хакер, в процессоре Intel обнаружил уязвимость. Найденная брешь позволяет совершать удалённый взлом системы, используя JavaScript или же сформированный пакет протокола TCP/IP независимо от ОС. Издание также ссылается на анонс презентации, подготовленной Касперски.

На конференции «Hack In The Box», которая в октябре будет проведена в малазийском Куала-Лумпуре, хакер намерен продемонстрировать метод взлома процессора Intel. Касперски отмечет, что желает разработать код и открыть общий доступ к нему. «Ошибки в микропроцессорах становятся все более серьезной угрозой, так как уже пишутся использующие их зловредные программы», - добавил хакер.

OFFSystem (Owner-Free File System) — это распределённая файловая система, которая кусочки файлов случайным образом хранит на разных компьютерах, и ни один пользователь не имеет определённый файл целиком. Эта система была создана по необходимости, хакерской группой The Big Hack, которая борется с цифровым копирайтом.

Во время использования OFFSystem на компьютерах пользователей сети хранятся не цельные файлы с нелегальным содержимым, а всего лишь абстрактные блоки данных, не считающиеся объектами которые охраняются авторскими правами. Получить такой файл, становится возможным, только имея специальную ссылку. Суть этого подхода в том, что абсолютно любой файл, который защищён авторским правом, является определённым набором битов и может быть получен из абсолютно другого набора бит, а на него копирайт уже не распространяется. Рассмотрим пример: двоичный файл с легкостью можно представить в виде числа; если кто-то имеет права на число 15, то числа 5 и 10 мы можем использовать свободно.

Брюс Шнайер, стоящий во главе исследователей, изучает TrueCrypt. Напомним, что TrueCrypt – известное программное обеспечение для шифрования данных.

Исследователи проверяли программу на соответствие стандарту Deniable File System (DFS). Известно, что DFS присутствует в TrueCrypt в виде создаваемого скрытого тома.

В ходе исследования использовалась версия продукта 5.1a. В версии 6.0 некоторые проблемы уже устранены. TrueCrypt не оставляет «следов», однако сторонние приложения могут оставлять информацию о манипуляциях на скрытом томе.

Ситуация: если пользователь Windows Vista монтирует на данной ОС том, то вносятся данные в реестр, которые в свою очередь сообщат о данной операции.

Google Desktop, к примеру, не поддерживает криптографию, а индексация документов реализуется только после того как том станет доступным к чтению. Автосохранение в Word способствует восстановлению документа, если даже он был открыт со спрятанного тома.

Уточним, OOXML (Office Open XML) – серия форматов файлов для хранения электронных документов пакетов офисных приложений — в частности, Microsoft Office.

Международная организация по стандартам (ISO) и Международная Электротехническая Комиссия (IEC) рекомендует отклонить апелляция от Бразилии, Индии, ЮАР и Венесуэлы в отношении формата OOXML.

Бразилия, Индия, ЮАР и Венесуэла негодовали форматом OOXML, который позиционирует себя как международный стандарт. Страны ссылаются на очевидные минуса и процедурные ошибки формата OOXML, настаивают на пересмотре решений и обращают своё внимание на ошибки при голосовании за данный формат.