Пара резисторов вместо квантовой криптографии
dl // 18.12.05 13:52
Профессор техасского университета Ласло Киш предложил схему обеспечения безопасного канала связи, на первый взгляд дающую результаты, аналогичные тем, что пытаются достичь, вбухав миллионы долларов в квантовую криптографию.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/12/07.html]
Схема проста до безобразия: обе стороны на каждом такте случайным образом подключают к двухпроводной передающей цепи резисторы, имеющие разное сопротивление (скажем, один резистор из пары с сопротивлениями 10 и 1000 Ом), после чего измеряют силу тока в цепи. Зная величину своего сопротивления, каждая сторона элементарно определяет, что подключил ее визави, в то время как постороннему наблюдателю, врезавшемуся в линию, известна только сумма сопротивлений. Переданная таким образом информация вполне может быть использована в качестве сессионного ключа для любого классического криптоалгоритма.

Разумеется, не исключено, что в схеме есть и подводные камни, которые вполне могут возникнуть при смешении дискретного мира криптографии с аналоговым миром цепей и сопротивлений. Кроме того, пропускная способность ее невелика - порядка двух килобит при километровом линке. Наконец, она защищает только от пассивного прослушивания и уязвима к аткам man-in-the-middle, поэтому требует дополнительной аутентификации. Впрочем, квантовое распределение ключей страдает примерно теми же проблемами, оставаясь на несколько порядков дороже. Да и сама идея как минимум любопытная.

Источник: Wired, Schneier on Security обсудить  |  все отзывы (7)

Ежемесячные исправления от Microsoft
dl // 14.12.05 08:09
На этот раз два обновления, критическое и важное: кумулятивное обновления для IE, лечащее 4 уязвимости (и заодно удаляющее компонент из сониевского патча), и исправление уязвимости в ядре системы, допускающей повышение пользовательских привилегий.

Источник: MS Security Bulletins теги: microsoft, уязвимости  |  обсудить  |  все отзывы (0)

Safe’n’Sec+Anti-Spyware
dl // 13.12.05 03:14
Компания StarForce объявила о коммерческом запуске своего новго продукта - Safe’n’Sec+Anti-Spyware.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/12/05.html]
Как видно из названия, к поведенческому анализатору Safe’n’Sec, занимающемуся блокированием ранее неизвестных угроз, добавился модуль Anti-Spyware, сканирующий и удаляющий уже известное шпионское ПО при помощи расширенных сигнатурных баз.

Источник: StarForce теги: spyware  |  обсудить  |  все отзывы (2)

Полку виртуальных машин прибыло
dl // 13.12.05 03:02
Parallels, Inc.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/12/04.html]
объявила о выходе релиза виртуальной машины Parallels Workstation 2.0 (несмотря на номер, это первая доступная публично версия). Доступны версии для Linux и Windows, обеспечивается широкая поддержка гостевых систем, включая такую экзотику на сегодня, как OS/2 Warp и eComStation, не говоря уж о всех Windows, FreeBSD и популярных Linux'ах. Цена в 49$ за лицензию также является самой низкой в индустрии.

С технической точки зрения интерес представляет реализованная технология Lightweight Hypervisor. Встроенный в ВМ гипервизор частично отстраняет хостовую ОС от физического процессора, самостоятельно обрабатывая все прерывания и исключения. В результате достигается большая изоляции гостевых ОС, повышается стабильность и производительность.

Наконец, Parallels Workstation поддерживает Intel Virtualization Technology (VT-x) и специально оптимизирована для работы в VT-mode на новейших VT-enabled процессорах от Intel. Обещается поддержка архитектуры AMD Pacifica после того как та станет доступной.

Источник: описание продукта теги: linux, freebsd, windows, os/2  |  обсудить  |  все отзывы (8)

Google исправляет уязвимость в Desktop Search
dl // 06.12.05 18:43
Google устранила возможность использования Google Desktop для атаки на компьютеры с Internet Explorer'ом.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/12/03.html]
Уязвимость была связана с некорректной обработке CSS в IE, что позволяло атакующему создать web-страницу, запускающую, к примеру, поиск паролей на локальной системе. Поскольку проблема возникала на стыке IE и Google Desktop, Google не стала дожидаться исправлений от MS и внесла модификации в службу Desktop Search, блокирующие подобные удаленные атаки. Исправление прошло прозрачно для пользователей.

А вообще, данный случай - любопытная демонстрация того, как не слишком опасная уязвимость (передача CSS-данных из одного домена в другой), требующая очень специфических условий для использования, оказалась многократно усилена за счет возникновения этих самых условий в популярном стороннем продукте, работающем с локальными данными.

Источник: CIO Today теги: google  |  обсудить  |  все отзывы (0)

««    «   271  |  272  |  273  |  274  |  275  |  276  |  277  |  278  |  279  |  280   »    »»

Предложить свою новость