В Citizen Lab нашли проблемы в протоколе MMTLS, используемом в WeChat
Специалисты CitizenLab обнаружили, что китайская платформа WeChat использует кастомный протокол шифрования, который порождае…
Компрометирующая Secure Boot проблема PKfail оказалась распространена шире, чем считалось
Специалисты компании Binarly пишут, что проблема PKfail, обнаруженная в цепочке поставок UEFI минувшим летом, оказалась гора…
EdDSA. Исследуем криптоподпись и учимся с ней бороться
В сегодняшней статье я хочу помучить тебя самым ненавистным для некоторых студентов предметом — высшей математикой. А именно рассказать о распространенном, но малоизвестном алгоритме криптоподписи EdDSA + SHA-512.
Эксперты доказали, что клонирование YubiKey возможно через side-channel атаку
Специалисты NinjaLab представили side-channel атаку EUCLEAK, направленную на криптографическую библиотеку защищенных микроко…
PKfail: Secure Boot можно считать скомпрометированным на множестве устройств
Сотни моделей устройств многих крупных производителей (Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и …
Постквантовая криптография в Chrome может ломать TLS
Некоторые пользователи Google Chrome сообщили о проблемах с подключением к сайтам, серверам и брандмауэрам, начавшимся после…
Серьезная уязвимость в PuTTY позволяет восстанавливать приватные ключи
Разработчики PuTTY выпустили обновление, исправляющее криптографическую уязвимость CVE-2024-31497, затрагивающую версии с 0.…
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность
Группа ученых опубликовала информацию о side-channel атаке под названием GoFetch. Проблема связана с серьезной уязвимостью в…
Microsoft прекратит поддержку 1024-битных ключей RSA в Windows
Компания Microsoft объявила, что ключи RSA менее 2048 бит вскоре будут считаться устаревшими в Windows Transport Layer Secur…
Атака Terrapin ослабляет защиту SSH-соединений
Ученые из Рурского университета в Бохуме разработали атаку Terrapin, которая манипулирует данными в процессе хендшейка, в ит…
Исследователи научились извлекать ключи RSA из SSH-трафика благодаря ошибкам
Группа ученых продемонстрировала, что при определенных условиях пассивный злоумышленник, прослушивающий трафик, может узнать…
Алгоритмы стандарта транкинговой связи TETRA станут доступны широкой публике
Европейский институт телекоммуникационных стандартов (ETSI) принял решение, что набор алгоритмов шифрования, используемых в …
Microsoft: хакеры украли ключ MSA из аварийного дампа Windows, взломав аккаунт инженера
Компания Microsoft наконец рассказала, как китайские хакеры из группировки Storm-0558 смогли похитить ключ подписи, который …
0-day уязвимости под общим названием BitForge угрожают криптовалютным кошелькам
На ИБ-конференции BlackHat эксперты Fireblocks рассказали о двух уязвимостях (CVE-2023-33241 и CVE-2023-33242) в криптографи…
Сенатор США обвинил Microsoft в халатном отношении к кибербезопасности
Сенатор от штата Орегон Рон Уайден заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежн…
В стандарте транкинговой радиосвязи TETRA, которым пользуются военные и полиция, нашли множество проблем
Исследователи выявили пять уязвимостей в стандарте TETRA (Terrestrial Trunked Radio), который используют правоохранительные …
Wiz: украденный у Microsoft ключ подписи MSA позволил хакерам взломать не только Outlook и Exchange Online
Аналитики из компании Wiz уверены, что недавняя кража криптографического ключа MSA (Microsoft account consumer signing key) …
HTB RainyDay. Эксплуатируем API и брутим «соленый» пароль
В этом райтапе я покажу, как можно проэксплуатировать уязвимость в API веб-приложения, чтобы получить доступ к хосту. Затем выйдем из песочницы Python и покопаемся в криптографии, чтобы получить критически важные данные и повысить привилегии в системе.
Уязвимости в TPM 2.0 угрожают миллиардам устройств
Эксперты из компании Quarkslab обнаружили две серьезные уязвимости в спецификации библиотеки Trusted Platform Module (TPM) 2…
NIST стандартизирует семейство алгоритмов Ascon для IoT и легкой электроники
Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) объявил, что гр…
Баг в шифровальщике Clop для Linux позволял жертвам восстанавливать данные бесплатно
В декабре 2022 года исследователи обнаружили версию шифровальщика Clop, нацеленную на Linux-серверы. Однако в схеме шифрован…
Опубликован эксплоит для уязвимости в CryptoAPI
Исследователи из компании Akamai опубликовали описание и эксплоит для уязвимости CVE-2022-34689, затрагивающей Windows Crypt…
В защищенном мессенджере Threema нашли серьезные уязвимости
Исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали доклад, в котором описали многочислен…
NIST окончательно отказывается от алгоритма хеширования SHA-1
Национальный институт стандартов и технологий США (NIST) сообщает об отказе от использования криптографического алгоритма SH…
К зашифрованным архивам ZIP подходят два разных пароля
Эксперт Positive Technologies обратил внимание сообщества на интересную особенность в работе защищенных паролем архивов ZIP.…
Microsoft: Windows-устройства на новых CPU могут повреждать данные
Инженеры Microsoft предупредили, что устройства, работающие под управлением Windows 11 и Windows Server 2022 с новейшими под…
Эксперты утверждают, что в Mega могли читать пользовательские файлы
Новозеландская компания Mega, занимающаяся разработкой одноименного файлообенника, устранила ряд ряда серьезных уязвимостей,…
Миллионы устройств Samsung подвержены аппаратной криптографической проблеме
Группа ученых из Тель-Авивского университета раскрыла подробности уже исправленных аппаратных уязвимостей, которые затрагива…
LUKS, eCryptFS или шифрование ZFS? Выбираем способ защиты данных в Linux
Многие дистрибутивы Linux в качестве штатных средств защиты предлагают полнодисковое шифрование (LUKS), шифрование папок и файлов (eCryptFS) или даже шифрование средствами ZFS, неродной для Linux файловой системой. Какой из доступных способов имеет смысл выбрать сегодня? Попробуем разобраться.
Алгоритмы шифрования 2G-сетей были намерено ослаблены
Группа исследователей из Германии, Франции и Норвегии опубликовала доклад, согласно которому два старых алгоритма шифрования…
Серьезный баг исправлен в библиотеке Libgcrypt
Эксперт Google Project Zero Тэвис Орманди рассказ о серьезной проблеме, которую ему удалось найти в криптографической библио…
Получи и распишись. Защищаем подписью запросы приложения для Android
Цифровая подпись запросов к серверу — это не какая-то черная магия или удел избранных сумрачных безопасников: внедрить ее по силам любому хорошему разработчику при условии, что он знает правильные инструменты и подход. Хорошим разработчиком тебе придется становиться самостоятельно, но об инструментах и подходах я расскажу в этой статье.
Хеш четкий и хеш нечеткий. Как средства защиты ловят и классифицируют малварь
Создатели вредоносных программ используют массу разных методов, чтобы скрыть свои творения от антивирусных средств и статических-динамических анализаторов. Однако и антивирусы для поиска «родственных» семплов разрабатывают продвинутые алгоритмы хеширования. Сегодня мы расскажем, как работают эти алгоритмы, — с подробностями и наглядными примерами.
Специалисты Elcomsoft заявляют, что защита пакета «МойОфис» устарела
Эксперты компании Elcomsoft изучили криптоалгоритмы и безопасность офисного пакета «МойОфис» и, по сути, не нашли в продукте…
Атаку Raccoon можно использовать для расшифровки HTTPS-трафика
Группа специалистов опубликовала описание теоретической атаки на TLS, которая может использоваться для расшифровки HTTPS-сое…
Уязвимость BLURtooth позволяет перезаписывать аутентификационные ключи Bluetooth
Все устройства, использующие Bluetooth от 4.0 до 5.0, уязвимы перед обнаруженной специалистами проблемой BLURtooth.
306 уязвимостей найдено в популярных приложениях для Android. Патчи получили лишь 18
Исследователи из Колумбийского университета создали инструмент CRYLOGGER, предназначенный для динамического анализа Android-…
В открытом доступе появились эксплоиты для свежей уязвимости в CryptoAPI
В сети появились PoC-эксплоиты для опасной криптографической уязвимости в CryptoAPI, которую обнаружили специалисты АНБ США.
АНБ обнаружило опасную криптографическую уязвимость в Windows
Агентство национальной безопасности США (АНБ) обнаружило криптографический баг, опасный для многих версий Windows. Уязвимост…
ПриватностьДля начинающих
Справочник анонима. Как работают токены аутентификации и в чем их отличия от паролей
Мы все окружены паролями, одноразовыми кодами, ключами и токенами, но не всегда знаем об их существовании. Они каждую минуту обеспечивают безопасность наших аккаунтов и данных. Однако нам с тобой важно знать, как именно устроены самые базовые механизмы защиты информации. Один из них — это токены аутентификации, которые повышают надежность защиты данных и при этом не мешают комфортно пользоваться сервисами.
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Из рубрики «Взлом»
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире