Разработчики Google готовят постквантовые сертификаты для Chrome
В компании Google представили план по защите HTTPS-сертификатов Chrome от постквантовых атак. Решение строится на Merkle Tre…
Атака AirSnitch позволяет обойти шифрование Wi-Fi
ИБ-специалисты представили серию атак AirSnitch, которые эксплуатируют проблемы сетевого стека и позволяют обойти изоляцию к…
Практика хешкрекинга. Замеряем скорость перебора хешей с разным софтом и железом
Сегодня разберемся с практической стороной хешкрекинга: установим драйверы CUDA и OpenCL, сравним программы для взлома хешей и проверим, есть ли разница в скорости на разном железе, — ура, бенчмаркинг! Заодно узнаем, с какими методами защиты паролей приходится иметь дело хешкрекерам, что делать с «дорогими» алгоритмами, как посчитать время подбора пароля и что такое хешрейт.
В шифровальщике CyberVolk нашли уязвимость, позволяющую расшифровать файлы
Пророссийская хактивистская группировка CyberVolk запустила RaaS-сервис VolkLocker (он же CyberVolk 2.x). Однако ИБ-исследов…
Tor переходит на новый алгоритм шифрования Counter Galois Onion
Разработчики Tor Project объявили о внедрении нового алгоритма шифрования трафика Counter Galois Onion (CGO), который замени…
Криптографы отменили результаты выборов руководства, так как потеряли ключ дешифрования
Международная ассоциация криптологических исследований (IACR) — одна из ведущих мировых организаций в области криптографии —…
Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD
Группа исследователей представила атаку TEE.Fail, которая позволяет извлекать ключи и другие секретные данные из защищенных …
Тонкости passkeys. Разбираем сильные и слабые стороны нового способа аутентификации
При слове «криптография» все обычно сразу думают о шифровании, то есть сохранении данных в секрете. Но не менее важна и подлинность: гарантия того, что информация действительно исходит от надежного источника. Пароли традиционно служат для аутентификации пользователей, но они уязвимы для фишинг‑атак и утечек данных. И здесь на помощь приходят passkeys, они же — ключи доступа.
В OpenPGP.js нашли критический баг, позволяющий подделывать сообщения
Разработчики OpenPGP.js выпустили исправление для критической уязвимости, которая могла использоваться для спуфинга. Баг поз…
В Google Cloud KMS появятся квантово-устойчивые цифровые подписи
Разработчики Google Cloud представили квантово-устойчивые цифровые подписи в сервисе управления ключами Cloud Key Management…
Замок «под ключ». Пишем свою программу для шифрования файлов
Сегодня мы с тобой разработаем собственную программу для шифрования файлов. Писать будем на C++ и используем криптоалгоритмы из библиотеки Botan. Давай посмотрим, какие подводные камни есть при разработке подобных программ и как ненароком не помочь атакующему.
В Citizen Lab нашли проблемы в протоколе MMTLS, используемом в WeChat
Специалисты CitizenLab обнаружили, что китайская платформа WeChat использует кастомный протокол шифрования, который порождае…
Компрометирующая Secure Boot проблема PKfail оказалась распространена шире, чем считалось
Специалисты компании Binarly пишут, что проблема PKfail, обнаруженная в цепочке поставок UEFI минувшим летом, оказалась гора…
EdDSA. Исследуем криптоподпись и учимся с ней бороться
В сегодняшней статье я хочу помучить тебя самым ненавистным для некоторых студентов предметом — высшей математикой. А именно рассказать о распространенном, но малоизвестном алгоритме криптоподписи EdDSA + SHA-512.
Эксперты доказали, что клонирование YubiKey возможно через side-channel атаку
Специалисты NinjaLab представили side-channel атаку EUCLEAK, направленную на криптографическую библиотеку защищенных микроко…
PKfail: Secure Boot можно считать скомпрометированным на множестве устройств
Сотни моделей устройств многих крупных производителей (Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo и …
Постквантовая криптография в Chrome может ломать TLS
Некоторые пользователи Google Chrome сообщили о проблемах с подключением к сайтам, серверам и брандмауэрам, начавшимся после…
Серьезная уязвимость в PuTTY позволяет восстанавливать приватные ключи
Разработчики PuTTY выпустили обновление, исправляющее криптографическую уязвимость CVE-2024-31497, затрагивающую версии с 0.…
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность
Группа ученых опубликовала информацию о side-channel атаке под названием GoFetch. Проблема связана с серьезной уязвимостью в…
Microsoft прекратит поддержку 1024-битных ключей RSA в Windows
Компания Microsoft объявила, что ключи RSA менее 2048 бит вскоре будут считаться устаревшими в Windows Transport Layer Secur…
Атака Terrapin ослабляет защиту SSH-соединений
Ученые из Рурского университета в Бохуме разработали атаку Terrapin, которая манипулирует данными в процессе хендшейка, в ит…
Исследователи научились извлекать ключи RSA из SSH-трафика благодаря ошибкам
Группа ученых продемонстрировала, что при определенных условиях пассивный злоумышленник, прослушивающий трафик, может узнать…
Алгоритмы стандарта транкинговой связи TETRA станут доступны широкой публике
Европейский институт телекоммуникационных стандартов (ETSI) принял решение, что набор алгоритмов шифрования, используемых в …
Microsoft: хакеры украли ключ MSA из аварийного дампа Windows, взломав аккаунт инженера
Компания Microsoft наконец рассказала, как китайские хакеры из группировки Storm-0558 смогли похитить ключ подписи, который …
0-day уязвимости под общим названием BitForge угрожают криптовалютным кошелькам
На ИБ-конференции BlackHat эксперты Fireblocks рассказали о двух уязвимостях (CVE-2023-33241 и CVE-2023-33242) в криптографи…
Сенатор США обвинил Microsoft в халатном отношении к кибербезопасности
Сенатор от штата Орегон Рон Уайден заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежн…
В стандарте транкинговой радиосвязи TETRA, которым пользуются военные и полиция, нашли множество проблем
Исследователи выявили пять уязвимостей в стандарте TETRA (Terrestrial Trunked Radio), который используют правоохранительные …
Wiz: украденный у Microsoft ключ подписи MSA позволил хакерам взломать не только Outlook и Exchange Online
Аналитики из компании Wiz уверены, что недавняя кража криптографического ключа MSA (Microsoft account consumer signing key) …
HTB RainyDay. Эксплуатируем API и брутим «соленый» пароль
В этом райтапе я покажу, как можно проэксплуатировать уязвимость в API веб-приложения, чтобы получить доступ к хосту. Затем выйдем из песочницы Python и покопаемся в криптографии, чтобы получить критически важные данные и повысить привилегии в системе.
Уязвимости в TPM 2.0 угрожают миллиардам устройств
Эксперты из компании Quarkslab обнаружили две серьезные уязвимости в спецификации библиотеки Trusted Platform Module (TPM) 2…
NIST стандартизирует семейство алгоритмов Ascon для IoT и легкой электроники
Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) объявил, что гр…
Баг в шифровальщике Clop для Linux позволял жертвам восстанавливать данные бесплатно
В декабре 2022 года исследователи обнаружили версию шифровальщика Clop, нацеленную на Linux-серверы. Однако в схеме шифрован…
Опубликован эксплоит для уязвимости в CryptoAPI
Исследователи из компании Akamai опубликовали описание и эксплоит для уязвимости CVE-2022-34689, затрагивающей Windows Crypt…
В защищенном мессенджере Threema нашли серьезные уязвимости
Исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали доклад, в котором описали многочислен…
NIST окончательно отказывается от алгоритма хеширования SHA-1
Национальный институт стандартов и технологий США (NIST) сообщает об отказе от использования криптографического алгоритма SH…
К зашифрованным архивам ZIP подходят два разных пароля
Эксперт Positive Technologies обратил внимание сообщества на интересную особенность в работе защищенных паролем архивов ZIP.…
Microsoft: Windows-устройства на новых CPU могут повреждать данные
Инженеры Microsoft предупредили, что устройства, работающие под управлением Windows 11 и Windows Server 2022 с новейшими под…
Эксперты утверждают, что в Mega могли читать пользовательские файлы
Новозеландская компания Mega, занимающаяся разработкой одноименного файлообенника, устранила ряд ряда серьезных уязвимостей,…
Миллионы устройств Samsung подвержены аппаратной криптографической проблеме
Группа ученых из Тель-Авивского университета раскрыла подробности уже исправленных аппаратных уязвимостей, которые затрагива…
LUKS, eCryptFS или шифрование ZFS? Выбираем способ защиты данных в Linux
Многие дистрибутивы Linux в качестве штатных средств защиты предлагают полнодисковое шифрование (LUKS), шифрование папок и файлов (eCryptFS) или даже шифрование средствами ZFS, неродной для Linux файловой системой. Какой из доступных способов имеет смысл выбрать сегодня? Попробуем разобраться.
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
950 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире