Компания по кибербезопасности Volexity выяснила, что злоумышленники используют законные рабочие процессы аутентификации OAuth 2.0 для захвата учётных записей Microsoft 365 сотрудников организаций.
Разработчик Джонатан Проценко из Microsoft Research сообщил об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим (формальным) доказательством надёжности, подготовленные проектом HACL*. Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирована после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python‑модуле hashlib.
Microsoft подтвердила, что блокировки учётных записей Entra на выходных были вызваны аннулированием краткосрочных токенов обновления пользователей, которые были ошибочно введены во внутренние системы.
Хакеры использовали уязвимость, которая позволяла им отправлять поддельное электронное письмо якобы от систем Google, проходя все проверки компании. При этом оно вело на мошенническую страницу, которая собирала пользовательские данные для входа.
Исследовательская фирма квантовых вычислений Project Eleven запустила конкурс, чтобы определить, насколько большую угрозу квантовые вычисления представляют для блокчейна Bitcoin в настоящее время.
Привет, Хабр!
На связи команда разработки облака MWS. Это анонс нового выпуска нашего реалити про строительство облака с нуля — Building the Cloud.
В новом выпуске расскажем, как мы строим KMS для нового облака MWS.
Покажем архитектуру, обсудим технические челленджи в реализации и ответим на вопросы.
Спикер: Кирилл Беспалов, руководитель направления Crypto Services.
За лучший вопрос в лайв-чате дарим фирменный мерч МТС Web Services.
Дата: 30 апреля, 11:00 — 12:00 (мск).
Регистрация открыта по ссылке.
8 апреля 2025 года вышел открытый проект OpenSSL 3.5.0. Криптографическая библиотека поддерживает новые алгоритмы шифрования и работы с ключами, работает с протоколами SSL/TLS на уровне ядра Linux клиента, имеет обновлённый модуль FIPS и получила интеграцию с протоколом управления сертификатами CMP.
Компания JPMorgan Chase & Co. сгенерировала и сертифицировала так называемые истинно случайные числа с помощью квантового компьютера, что является первым мировым достижением, которое, как надеются в банке, найдёт применение в сфере безопасности и торговли.
Исследователи создали последовательность с помощью квантового компьютера, построенного компанией Honeywell's Quantinuum, говорится в статье, опубликованной в научном журнале Nature. Исследователи JPMorgan, а также Аргоннская и Ок-Риджская национальные лаборатории и Техасский университет в Остине, стали первыми, кто математически доказал, что они создали «настоящую случайность».
В Сloudflare анонсировали внедрение технологии единого входа OpenID Connect в SSH с помощью протокола OPKSSH (OpenPubkey SSH). Это избавит клиентов от необходимости вручную управлять ключами и настраивать их.
В лиссабонском офисе Cloudflare установили «стену энтропии» из 50 лавовых ламп. Термодинамическая система генерируют энергию для нужд защиты Интернета через LavaRand.
На GitHub замечена фишинговая кампания, которая уже затронула 12 тыс. репозиториев. Злоумышленники при помощи поддельных уведомлений безопасности убеждают пользователей авторизоваться во вредоносном OAuth-приложении, что даёт им полный контроль над учётными записями и кодом жертв.
В отделе перспективных исследований компании «Криптонит» (входит в «ИКС Холдинг») разработали новый метод измерения пульса по видеозаписи. Он имеет большой потенциал не только в медицине и спорте, но и для повышения общественной безопасности. Разработка может применяться для фонового мониторинга работы сердечно-сосудистой системы там, где обычные пульсовые датчики мешают или стесняют движения. Также бесконтактное считывание пульса в общественных местах поможет выявить лица с признаками инфекционного заболевания или сильного волнения.
Существуют разные методы бесконтактного измерения пульса под общим названием дистанционная фотоплетизмография (ДФПГ, rPPG). В её основе лежит регистрация едва заметных изменений цвета кожи при увеличении объёма кровеносных сосудов после каждого сокращения левого желудочка сердца (систолы). Существующие системы ДФПГ достаточно надёжны только в идеальных условиях. Если же человек использует макияж, частично закрывает лицо, движется, или в кадре меняется освещённость, то частота его сердечных сокращений определяется неверно. Поэтому пока ДФПГ не получила широкого распространения.
Специалисты компании «Криптонит» разработали новый метод дистанционной фотоплетизмографии, более устойчивый к искажениям. Также он не требует дорогого оборудования и может использоваться в реальных условиях, не ограничивая свободу действий человека. В настоящий момент предложенная технология работает только с уже завершёнными видеозаписями, но в перспективе её можно адаптировать к наблюдениям в реальном времени.
В Android Authority выяснили, что Google начала развёртывать опцию «Удалить все данные» в Password Manager для избранных пользователей. Она позволяет быстро удалить сохранённые пароли и ключи доступа.
AgileBits упростила в своём менеджере 1Password поиск паролей в зависимости от местоположения. Теперь мобильное приложение позволяет закреплять определённые локации за логинами, паролями и другими сохранённым элементам, которые будут отображаться в новом разделе Nearby на домашней странице сервиса.
Google представила открытый инструментарий под названием Zentool под лицензией Apache 2.0 для анализа и изменения микрокода процессоров AMD на базе 1–4 поколений микроархитектуры Zen. Специалисты компании опубликовали руководство по микроархитектуре RISC86, применяемой в микрокоде AMD, а также выложили в общий доступ документацию по созданию собственного микрокода для энтузиастов и исследователей.
Google Cloud развёртывает квантово-безопасные цифровые подписи в своей службе управления облачными ключами (Cloud KMS). Они стали доступными в предварительной версии.
Autodesk со 2 апреля 2025 года внедрит двухфакторную аутентификацию на основе проверки одноразового пароля (OTP, One-Time-Passcode) по электронной почте. Это должно обеспечить дополнительную безопасность учётных записей.
В рамках проекта «Карта „Родина“» россияне, проживающие за границей, начали получать электронные подписи. Проект реализуют Россотрудничество, «Аналитический центр» Госкорпорации Ростех и информационное агентство ТАСС.
Энтузиаст рассказал о фишинговой атаке с использованием g.co, сервиса сокращения URL-адресов Google. Она позволяет злоумышленникам красть аккаунты Google.
Злоумышленники в соцсети X начали использовать новости о помилованном владельце анонимной торговой площадки Silk Road Россе Ульбрихте, чтобы направлять пользователей на канал Telegram. Там их обманом заставляют запускать код PowerShell, заражающий устройства вредоносным ПО.
