слабые криптографические алгоритмы

  1. Сергей Попов

    Статья Постквантовая криптография в пентесте: инструменты аудита и чеклист поиска слабых алгоритмов

    На криптоаудите API финтех-сервиса я нашёл TLS 1.0 с RC4 на трёх внутренних эндпоинтах - межсервисное взаимодействие, не обновлявшееся с 2018 года, потому что "не смотрит наружу". Через полтора месяца после исправления команда threat intelligence зафиксировала на сетевом оборудовании артефакты...
  2. Сергей Попов

    Статья Аудит криптографии в приложениях: поиск слабых алгоритмов, hardcoded ключей и ошибок реализации

    Среда, 10:40. Code review мобильного приложения платёжного сервиса - 200 тысяч транзакций в сутки. Открываю декомпилированный APK в jadx, перехожу к классу PaymentCryptoHelper - и через 12 минут смотрю на AES-256 ключ, вшитый строковой константой. Формально всё по стандартам: AES, 256 бит...