Менеджер паролей 1Password внедрил две новые функции, которые упростят процесс входа в систему на новых устройствах и добавляет возможность восстановления доступа к учётной записи в случае утери главного пароля и секретного ключа.
Криптография *
Шифрование и криптоанализ
Новости
Telegram запустил TON Dating — сервис для знакомств, разработанный на блокчейне TON
В Telegram запустился TON Dating — первый сервис для знакомств, разработанный на блокчейне TON. Селективный сервис знакомств стал доступен пользователям мессенджера 18 июня, сообщили «Коду Дурова» в пресс-службе TON Dating.
В Hugging Face подтвердили взлом платформы Spaces
Платформа Hugging Face сообщила, что её платформа Spaces была взломана. Это позволило хакерам получить доступ к токенам аутентификации участников.
LastPass начал шифровать URL-адреса в хранилищах паролей для повышения безопасности
Менеджер паролей LastPass объявил, что начнёт шифровать URL-адреса в хранилищах пользователей для повышения конфиденциальности и защиты от утечки данных и несанкционированного доступа.
Истории
Zoom внедрит постквантовое сквозное шифрование в Workplace
Компания Zoom объявила, что внедряет постквантовое сквозное шифрование (E2EE) по всему миру для сервиса видеоконференций Workplace, в частности Zoom Meetings. Вскоре оно также появится в Zoom Phone и Rooms.
Proton Mail раскрыла данные пользователя, что привело к аресту в Испании
Благодаря информации от Proton Mail, испанские власти смогли установить личность участника движения за независимость Каталонии. Известный под псевдонимом Xuxo Rondinaire подозреваемый, по утверждениям органов власти, занимает должность полицейского. Его обвиняют в том, что он использовал свою служебную позицию для поддержки акций протеста. Используя антитеррористические законы, полиция Испании обратилась за информацией о активности к Proton Mail и Wire, хотя группа Tsunami Democràtic в основном ограничивается проведением протестов и блокировками дорог.
Proton Mail, которая позиционирует себя как «стандарт конфиденциальности» в сфере электронной почты, предоставила полиции резервный электронный адрес пользователя. В свою очередь, Apple выдала информацию о владельце этого адреса полиции, что позволило испанской полиции установить личность Xuxo Rondinaire как полицейского, передающего сведения организаторам протестов. Эту информацию раскрыло издание Restoreprivacy. Представитель Proton Mail в Швейцарии подчеркнул, что их сервис обеспечивает защиту конфиденциальности переписки, но не обещает полную анонимность своих пользователей.
Бастион — первый дайджест весны
Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.
Читаем, пока читается и не наступили следующие выходные
А что по деньгам? Пишем резюме и осваиваем Big Bounty
Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.
Найм хакеров: советы для всех участников процесса
Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.
Рассуждаем о деньгах и безопасности в этом материале
Походкой пентестера
В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:
Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.
1Password переименовал бизнес-хранилища из-за путаницы с хранением данных
Менеджер паролей 1Password решил переименовать бизнес-хранилища, чтобы пользователи не могли сохранять там личные данные. Так, в бизнес-аккаунтах Teams и Business теперь будут называться хранилищами сотрудников. При этом их функциональность не изменится.
В Google Meet зашифрованные звонки стали доступны для пользователей без аккаунта
Google обновляет механизм шифрования на стороне клиента для Meet, чтобы позволить внешним пользователям без учётных записей присоединяться к зашифрованным звонкам. Шифрование на стороне клиента гарантирует, что только участники собрания будут иметь доступ к данным, доставляемым через приложение.
Proton Mail предлагает мониторинг даркнета для клиентов с платными планами
Сервис Proton Mail анонсировал новую функцию для владельцев платных планов: мониторинг даркнета. Сервис будет сканировать даркнет-площадки и проверять, фигурирует ли адрес клиента в каких-нибудь утечках.
Критическая уязвимость CVE-2024-31497 в PuTTY версий от 0.68 до 0.80 позволяет провести компрометацию закрытого ключа
Разработчики клиента для различных протоколов удалённого доступа сообщили о критической уязвимости CVE-2024-31497 в PuTTY версий от 0.68 до 0.80, которая позволяет провести компрометацию закрытого ключа. В стабильной версии PuTTY 0.81 эта проблема устранена.
Дискуссионный клуб Музея криптографии открывает новый сезон
Наши коллеги из Музея криптографии запускают новый сезон дискуссионного клуба! В лектории музея встречаются эксперты и обсуждают темы, связанные с криптографией, кибербезопасностью, новыми цифровыми технологиями.
Первая встреча пройдёт уже в эту субботу, 20 апреля в 17:00! Её тема — «Доверие 2.0: критическое мышление и цифровая грамотность в эпоху цифровых обманов».
Что обсудят эксперты?
Как нас могут обманывать с помощью ИИ и LLM‑чат‑ботов и что можно сделать, чтобы этого избежать?
Как обезопасить свои данные и при чём тут криптография?
Как формировать цифровую насмотренность в эпоху дипфейков?
Зарегистрироваться и узнать больше можно по ссылке. Вход бесплатный.
Локация: Музей криптографии, Москва, Ботаническая улица, 25с4.
Ближайшие события
Как изучить информационную безопасность? Рассказываем в новом бесплатном курсе
Google начала привязывать cookie в Chrome к конкретному устройству для защиты от хакеров
Google анонсировала функцию безопасности Chrome под названием «Учётные данные сеанса, привязанного к устройству» (Device Bound Session Credentials, DBSC), которая связывает файлы cookie с конкретным устройством пользователя и не позволяет хакерам красть и использовать их для взлома учётных записей.
Worldcoin Foundation открыл исходные коды компонентов проекта и сферы Orb
В Worldcoin Foundation открыли исходные коды компонентов проекта и устройства Orb для верификации личности. Они опубликованы на GitHub под двойной лицензией MIT/Apache 2.0.
Microsoft прекратила поддерживать 1024-битный TLS для борьбы с загрузкой устаревших теневых приложений
Microsoft объявила, что вскоре прекратит поддержку ключей RSA длиной менее 2048 бит для аутентификации по протоколу Transport Layer Security, чтобы будущие версии Windows могли блокировать устаревшие и потенциально вредоносные веб-сайты и приложения.
Apple заблокировала приложения разработки «КриптоПро CSP» и отозвала сертификат подписи продуктов
Компания Apple заблокировала приложения разработки «КриптоПро CSP» в AppStore и отозвала сертификат подписи кода продуктов для операционных систем MacOS. Блокировка произошла 9 марта 2024 года.
Разработчики «КриптоПро CSP» уже отреагировали на блокировку и выпустили инструкции и новые дистрибутивы для программы, чтобы была возможность восстановить доступ к сертификатам.
WhatsApp тестирует возможность индикации случаев сквозного шифрования чатов на Android
В бета-версии WhatsApp 2.24.6.11 тестируют функцию индикации сквозного шифрования в чатах. Она позволит пользователям понять, какие именно чаты защищены с помощью E2EE.
В Испании запретили работу криптопроекта Worldcoin с биометрией для защиты данных пользователей
Испанское агентство по защите данных (AEPD) потребовало от корпорации Tools for Humanity прекратить сбор и обработку некоторых категорий персональных данных. Ранее в агентство поступило несколько жалоб, в которых, среди прочего, говорится о сборе данных без возможности отзыва согласия и от несовершеннолетних.
Вклад авторов
alizar 5323.1Scratch 1858.0GlobalSign_admin 1395.4NeverWalkAloner 1168.0Jeditobe 594.0shifttstas 572.0m1rko 433.6Data_center_MIRAN 420.1Number571 399.0OLS 396.0