Криптография *

Менеджер паролей 1Password внедрил две новые функции, которые упростят процесс входа в систему на новых устройствах и добавляет возможность восстановления доступа к учётной записи в случае утери главного пароля и секретного ключа. 

В Telegram запустился TON Dating — первый сервис для знакомств, разработанный на блокчейне TON. Селективный сервис знакомств стал доступен пользователям мессенджера 18 июня, сообщили «Коду Дурова» в пресс-службе TON Dating.

Платформа Hugging Face сообщила, что её платформа Spaces была взломана. Это позволило хакерам получить доступ к токенам аутентификации участников.

Менеджер паролей LastPass объявил, что начнёт шифровать URL-адреса в хранилищах пользователей для повышения конфиденциальности и защиты от утечки данных и несанкционированного доступа.

Компания Zoom объявила, что внедряет постквантовое сквозное шифрование (E2EE) по всему миру для сервиса видеоконференций Workplace, в частности Zoom Meetings. Вскоре оно также появится в Zoom Phone и Rooms. 

Благодаря информации от Proton Mail, испанские власти смогли установить личность участника движения за независимость Каталонии. Известный под псевдонимом Xuxo Rondinaire подозреваемый, по утверждениям органов власти, занимает должность полицейского. Его обвиняют в том, что он использовал свою служебную позицию для поддержки акций протеста. Используя антитеррористические законы, полиция Испании обратилась за информацией о активности к Proton Mail и Wire, хотя группа Tsunami Democràtic в основном ограничивается проведением протестов и блокировками дорог.

Proton Mail, которая позиционирует себя как «стандарт конфиденциальности» в сфере электронной почты, предоставила полиции резервный электронный адрес пользователя. В свою очередь, Apple выдала информацию о владельце этого адреса полиции, что позволило испанской полиции установить личность Xuxo Rondinaire как полицейского, передающего сведения организаторам протестов. Эту информацию раскрыло издание Restoreprivacy. Представитель Proton Mail в Швейцарии подчеркнул, что их сервис обеспечивает защиту конфиденциальности переписки, но не обещает полную анонимность своих пользователей.

Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.

Читаем, пока читается и не наступили следующие выходные

А что по деньгам? Пишем резюме и осваиваем Big Bounty

Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.

Найм хакеров: советы для всех участников процесса

Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.

Рассуждаем о деньгах и безопасности в этом материале 

Походкой пентестера 

В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:

Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.

Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.

Менеджер паролей 1Password решил переименовать бизнес-хранилища, чтобы пользователи не могли сохранять там личные данные. Так, в бизнес-аккаунтах Teams и Business теперь будут называться хранилищами сотрудников. При этом их функциональность не изменится.

Некоторые пользователи Google Chrome сообщают о проблемах с подключением к веб-сайтам, серверам и брандмауэрам после того, как установили версию браузера 124. Она получила новый квантово-устойчивый механизм инкапсуляции X25519Kyber768, который включён по умолчанию.

Google обновляет механизм шифрования на стороне клиента для Meet, чтобы позволить внешним пользователям без учётных записей присоединяться к зашифрованным звонкам. Шифрование на стороне клиента гарантирует, что только участники собрания будут иметь доступ к данным, доставляемым через приложение.

Сервис Proton Mail анонсировал новую функцию для владельцев платных планов: мониторинг даркнета. Сервис будет сканировать даркнет-площадки и проверять, фигурирует ли адрес клиента в каких-нибудь утечках.

Разработчики клиента для различных протоколов удалённого доступа сообщили о критической уязвимости CVE-2024-31497 в PuTTY версий от 0.68 до 0.80, которая позволяет провести компрометацию закрытого ключа. В стабильной версии PuTTY 0.81 эта проблема устранена.

Наши коллеги из Музея криптографии запускают новый сезон дискуссионного клуба! В лектории музея встречаются эксперты и обсуждают темы, связанные с криптографией, кибербезопасностью, новыми цифровыми технологиями.

Первая встреча пройдёт уже в эту субботу, 20 апреля в 17:00! Её тема — «Доверие 2.0: критическое мышление и цифровая грамотность в эпоху цифровых обманов».

Что обсудят эксперты?

Как нас могут обманывать с помощью ИИ и LLM‑чат‑ботов и что можно сделать, чтобы этого избежать?

Как обезопасить свои данные и при чём тут криптография?

Как формировать цифровую насмотренность в эпоху дипфейков?

Зарегистрироваться и узнать больше можно по ссылке. Вход бесплатный.

Локация: Музей криптографии, Москва, Ботаническая улица, 25с4.

Google анонсировала функцию безопасности Chrome под названием «Учётные данные сеанса, привязанного к устройству» (Device Bound Session Credentials, DBSC), которая связывает файлы cookie с конкретным устройством пользователя и не позволяет хакерам красть и использовать их для взлома учётных записей.

В Worldcoin Foundation открыли исходные коды компонентов проекта и устройства Orb для верификации личности. Они опубликованы на GitHub под двойной лицензией MIT/Apache 2.0. 

Microsoft объявила, что вскоре прекратит поддержку ключей RSA длиной менее 2048 бит для аутентификации по протоколу Transport Layer Security, чтобы будущие версии Windows могли блокировать устаревшие и потенциально вредоносные веб-сайты и приложения. 

Компания Apple заблокировала приложения разработки «КриптоПро CSP» в AppStore и отозвала сертификат подписи кода продуктов для операционных систем MacOS. Блокировка произошла 9 марта 2024 года.

Разработчики «КриптоПро CSP» уже отреагировали на блокировку и выпустили инструкции и новые дистрибутивы для программы, чтобы была возможность восстановить доступ к сертификатам.

В бета-версии WhatsApp 2.24.6.11 тестируют функцию индикации сквозного шифрования в чатах. Она позволит пользователям понять, какие именно чаты защищены с помощью E2EE. 

Испанское агентство по защите данных (AEPD) потребовало от корпорации Tools for Humanity прекратить сбор и обработку некоторых категорий персональных данных. Ранее в агентство поступило несколько жалоб, в которых, среди прочего, говорится о сборе данных без возможности отзыва согласия и от несовершеннолетних.