🛡Новый уровень анонимности: Tor переходит на алгоритм Counter Galois Onion (CGO)

Tor Project готовится к крупному обновлению, внедряя новый алгоритм шифрования Counter Galois Onion (CGO), который заменит устаревшую схему Tor1. Разработчики рассчитывают таким образом существенно усилить анонимность пользователей и сделать сеть устойчивее к современным методам перехвата данных.

Старая схема Tor1 была уязвима для так называемых tagging-атак, которые позволяли злоумышленникам отслеживать трафик и потенциально деанонимизировать пользователей. Кроме того, она страдала от повторного использования ключей и использования короткой 4-байтной контрольной суммы, что не соответствовало современным криптографическим стандартам.

CGO призван закрыть эти уязвимости с помощью широкоблочного шифрования и немедленной прямой секретности, обеспечивая невосстановимость данных при любом вмешательстве. Внедрение уже ведется, и для пользователей браузера Tor переход на новый, более безопасный алгоритм произойдет автоматически.

#TorProject #Кибербезопасность #CGO
@SecLabNews

Доброе утро, эволюция глупости уже проснулась и снова меняет пароль на 123456!2025 🙃

🧐Цифровой суверенитет ЕС: Парламент требует выгнать Microsoft и перейти на Vivaldi и Proton

Группа депутатов Европарламента призвала отказаться от продуктов Microsoft во внутренней работе и перейти на европейские решения. Они предупреждают, что зависимость ключевой инфраструктуры от американских ИТ-корпораций создает риски для цифровой безопасности и суверенитета ЕС. По их задумке именно европейские институты должны показать пример технологической независимости.

В письме, адресованном Роберте Мецоле, 38 депутатов из разных фракций предлагают постепенно вывести из эксплуатации не только софт Microsoft, но и оборудование Dell, HP и LG. Вместо этого они называют европейские альтернативы: браузер Vivaldi, поисковик Qwant, почту Proton и платформу Nextcloud. В качестве примера уже сделанного шага приводится отказ Международного уголовного суда от услуг Microsoft из-за риска американских санкций.

Авторы инициативы предлагают создать рабочую группу для перехода на европейские технологии и уверены, что при достаточной политической воле парламент может успеть до конца текущего мандата. Microsoft в ответ подчеркивает, что уже предлагает европейским организациям расширенные инструменты контроля над данными и обещает продолжить их развивать.

#Европарламент #цифровойсуверенитет #Microsoft

@SecLabNews

⚒️Никаких соцсетей до 13 лет. Европарламент одобрил жесткий «цифровой ценз»

Европарламент одобрил резолюцию о защите детей в интернете и призвал к введению единого "цифрового минимального возраста" для доступа к онлайн-сервисам. Документ не является законом, но обязывает Еврокомиссию разработать конкретные законодательные инициативы в этом направлении.

Центральное предложение — установить общеевропейский "цифровой минимальный возраст" 16 лет для соцсетей и ИИ-компаньонов, при этом 13 лет предлагается считать абсолютным нижним порогом. Подростки от 13 до 16 лет смогут пользоваться платформами только с согласия родителей, что напрямую связывают с ростом тревожности и зависимости от цифровых сред.

Парламент также выступил за запрет рекомендательных алгоритмов, основанных на максимизации вовлечения, для несовершеннолетних пользователей. Дополнительно депутаты потребовали по умолчанию отключать такие "залипательные" функции, как бесконечная лента и автоплей-воспроизведение, а также навести порядок в сфере таргетированной рекламы детям и инфлюенсер-маркетинга.

#технологии #соцсети #дети
@SecLabNews

ICEBREAKER 2025: как защищать веб-ресурсы от киберугроз в 2026 году?

🗓12 декабря состоится онлайн-конференция по веб-безопасности ICEBREAKER 2025.

Собрали для вас топ-3 выступления, которые нельзя пропустить:

🔴11:45 Презентация нового облачного продукта NGENIX
Для представителей сегмента финансов и других отраслей, чувствительных к требованиям регуляторов

🔴12:40 Как бороться с автоматизированными угрозами в 2026 году
Для всех, кому важно правильно отслеживать и митигировать ботов

🔴13:20 Бот-войны: инструкция для бизнеса, который не хочет работать на скрытых паразитов
Иван Попов из компании «Комус» расскажет, как бизнес страдает и защищается от бот-атак

ЗАРЕГИСТРИРОВАТЬСЯ

💥Невидимый враг внутри: Как группировка APT31 шпионила за российскими IT-компаниями

Российский IT-сектор в 2024–2025 годах оказался в центре сложной и длительной кибершпионской кампании, организованной группировкой APT31. Атаки были направлены против интеграторов и подрядчиков, работающих с государственными заказчиками, а также против компаний, обслуживающих крупные инфраструктурные объекты.

Первичное проникновение чаще всего происходило через фишинговые письма с LNK-файлами, запускающими загрузчик CloudyLoader, при этом злоумышленники активно использовали корпоративную лексику для маскировки. Для дальнейшего продвижения и скрытого управления APT31 применяла легитимные облачные сервисы, такие как OneDrive и Dropbox, для передачи команд вредоносам.

Закрепление в системах строилось вокруг планировщика задач с тщательно замаскированными заданиями, а для скрытого туннелирования трафика использовались легитимные VPN-решения вроде Tailscale. Высокая степень подготовки и комбинация легитимных сервисов с новыми вредоносами позволяла APT31 продолжительное время оставаться незамеченной в инфраструктуре жертв.

#APT31 #Кибершпионаж #ИБ

@SecLabNews

🥷 Минтранс хочет штрафовать пешеходов «по лицу»

Россиян предлагают автоматически штрафовать за переход железнодорожных путей в неположенном месте по данным с камер и распознаванию лиц, по аналогии с "письмами счастья" для водителей. Минтранс опубликовал поправки, которые расширяют перечень случаев, когда биометрические данные можно обрабатывать без согласия граждан, добавляя контроль за соблюдением правил нахождения на инфраструктуре железнодорожного транспорта в зонах повышенной опасности.

Отдельно предлагается разрешить установку автоматических камер фотовидеофиксации нарушений на таких участках. В пояснительной записке говорится о росте числа погибших при переходе путей в неположенных местах и о том, что автоматический режим привлечения к ответственности должен заработать по аналогии с дорожным движением. Для этого, помимо изменений в закон о персональных данных и закон о железнодорожном транспорте, все равно потребуются поправки в КоАП.

Оператор Единой биометрической системы заявляет, что реализовать функцию автоматического наложения штрафов на базе ЕБС нельзя ни технически, ни нормативно. Биометрия в этой системе регистрируется добровольно и по согласию, гражданин может удалить шаблоны. Силовые ведомства ранее предупреждали, что угроза штрафов по лицу на фоне и так низкой готовности сдавать биометрию может обернуться оттоком данных из ЕБС.

#биометрия #штрафы #железнаядорога

@SecLabNews

💡 Почти тысяча жалоб за сутки: пользователи по России снова не могут нормально пользоваться WhatsApp

По данным мониторингового сервиса «Сбой.рф», за сутки зафиксировано 944 жалобы на работу WhatsApp, с пиком обращений в Москве (39%) и Санкт-Петербурге (17%). Пользователи жалуются на то, что мессенджер «лежит трупом», а отправка медиафайлов и даже текстовых сообщений происходит с огромной задержкой или невозможна без VPN.

Многие воспринимают происходящее как попытку «насильно пересадить» аудиторию на отечественные платформы, лишая их нормальной связи с близкими и коллегами за рубежом. Член комитета Госдумы по информационной политике Антон Немкин напомнил, что WhatsApp принадлежит Meta, чья деятельность запрещена в России, и она годами игнорирует требования регуляторов и не локализовала данные россиян.

Аналогичную позицию озвучивал депутат Артем Кирьянов, указывая на «полное пренебрежение» к безопасности данных пользователей и называя постоянные сбои и утечки крайне рискованными. Он отметил, что вывод о возможной блокировке WhatsApp в России «напрашивается сам собой» из-за игнорирования платформой российских законов.

#WhatsApp #связь #мессенджеры
@SecLabNews

🇷🇺 Роскомнадзор расширяет ограничения в отношении WhatsApp

Роскомнадзор продолжает последовательно вводить ограничительные меры в отношении мессенджера WhatsApp из-за нарушения российского законодательства. По данным ведомства, сервис используется для организации и проведения террористических действий, вербовки исполнителей, а также мошеннических преступлений против граждан.

WhatsApp не выполняет требования, направленные на предупреждение и пресечение преступлений в России, что может привести к полной блокировке. Регулятор подчеркнул, что в этих условиях ограничения будут расширяться, а пользователям рекомендуется переходить на национальные сервисы.

Заместитель председателя комитета Госдумы Андрей Свинцов допускает полную блокировку WhatsApp в ближайшие четыре-шесть месяцев. По его мнению, это связано с отказом создателей мессенджера сотрудничать с российскими властями и хранением данных граждан за пределами страны.

#WhatsApp #Роскомнадзор #Блокировка
@SecLabNews

🆕 Еженедельный обзор киберновостей

На этой неделе технологии снова сошлись с большой политикой и безопасностью: Китай закрепляет цифровую автократию, США ускоряют модернизацию ядерного арсенала, а учёные обещают лечить сердце без статинов одной инъекцией. В России обсуждают устаревшие магистральные сети, готовятся штрафовать читеров и всё плотнее подводят WhatsApp к краю пропасти. Параллельно атакующие придумывают новые трюки - от эксплуатации капчи и роутеров до шпионажа через Telegram и Discord.

Рассказываем о главных событиях недели в мире кибербезопасности:

🌎 В мире

Китай вступает в эпоху «умной автократии», где ошибка одного лидера может стоить стране будущего, ломая механизм, сделавший государство великим.

В США досрочно собрали ключевой узел новой ядерной боеголовки W80-4, что сигнализирует о новом витке технологической гонки вооружений.

Революционный редактор генома позволяет одной инъекцией снизить холестерин у приматов, обещая человечеству жизнь без ежедневного приема статинов.

Сторонний аналитический сервис Mixpanel допустил утечку данных, которая затронула часть пользователей API OpenAI, вынудив компанию ужесточить проверки партнеров.

Исследование технологического сектора КНДР показало, что за «мирными» сервисами скрывается настоящий цифровой концлагерь и фундамент для глобальных киберкраж.

🇷🇺 В России

Группировка APT31 атаковала российский IT-сектор, используя маскировку под менеджеров, вредоносные LNK-файлы и скрытые VPN-туннели.

В Госдуме предложили бороться с любителями нечестной игры радикально: штраф до 30 тысяч рублей и конфискация оборудования за использование читов.

Роскомнадзор официально признал, что ухудшение качества звонков в WhatsApp является намеренной мерой воздействия, а не техническим сбоем.

В Москве по обвинению в государственной измене арестован 21-летний айтишник.

Минтранс предлагает рассылать штрафы пешеходам по лицу, добавив контроль за переходом железнодорожных путей в список оснований для обработки биометрии без согласия граждан.

🥷 Темная сторона цифры

Исследователи показали, как можно угнать аккаунт в защищенном мессенджере Signal, просто просканировав поддельный QR-код.

Всего одно нажатие кнопки «Разрешить» в браузере Chrome может превратить ваш компьютер в часть глобальной бот-сети для кражи данных.

ASUS настоятельно рекомендует обновить прошивки роутеров, так как обнаружено, что устройства могут работать на иностранную разведку.

Новая схема RelayNFC позволяет злоумышленникам перехватывать оплату с вашего телефона и оплачивать свои покупки, пока антивирусы безмолвствуют.

Эксперты выяснили, что метаданные сообщений в WhatsApp позволяют с высокой точностью восстановить геолокацию пользователя и историю его перемещений.


💳 Аналитика недели

Спасти рядовую Долину: почему за чудовищную наивность народной артистки расплачиваются тысячи людей.

Ваши чаты в WhatsApp — проходной двор, если вы не включили одну критически важную настройку.

Легкие деньги = Уголовка? Как студентов вербуют в денежных мулов и чем это грозит.

Хранилище для семейного архива: выбираем облако, которому можно доверять.

Налог на глупость: как вам продают «квантовый воздух» за реальные деньги, используя манипуляции со статистикой и масштабом графиков.

@SecLabNews

🔥Дуров представил Cocoon - сеть ИИ вычислений с 100% конфиденциальностью запросов

Павел Дуров объявил о запуске децентрализованной сети конфиденциальных вычислений Cocoon. По его словам, сервис уже обрабатывает первые запросы к ИИ с 100% конфиденциальностью, а владельцы GPU получают вознаграждение в Toncoin за предоставление ресурсов. Одновременно заработал сайт проекта cocoon.org с документацией и исходным кодом.

Дуров напрямую противопоставляет Cocoon классическим централизованным провайдерам вычислений вроде Amazon и Microsoft. Такие компании, по его оценке, становятся дорогими посредниками, повышают стоимость услуг и снижает уровень приватности пользователей. Cocoon призван решить и экономические, и конфиденциальные проблемы, связанные с традиционной инфраструктурой ИИ.

Дальше - масштабирование сети. В ближайшие недели планируется подключать новых поставщиков GPU и привлекать разработчиков, которым нужны вычисления для ИИ. Пользователям Telegram обещают новые функции на базе Cocoon с полной конфиденциальностью обработки запросов и возвратом контроля над данными самим пользователям.

#Cocoon #ИИ #приватность
@SecLabNews

📌Израильская армия выбирает iPhone: Android отправили в личную жизнь

Армия обороны Израиля (ЦАХАЛ) ввела запрет на использование смартфонов на Android для служебной связи старшим командным составом. Для официальных коммуникаций теперь разрешены исключительно устройства iPhone, что связано с желанием снизить риск утечки чувствительной информации и противодействовать продолжающимся кибератакам.

Это решение контрастирует с недавними достижениями Google в оборонном секторе США, где смартфоны Pixel были включены в список одобренных устройств Министерства обороны. Google продвигала свою архитектуру безопасности как готовую к выполнению критически важных миссий, однако ЦАХАЛ принял иное решение.

Новые правила затронут все военные служебные телефоны, требуя от них быть iPhone для оперативной и командной деятельности. По оценке израильских военных, замкнутая и строго контролируемая экосистема Apple по-прежнему предоставляет iPhone необходимое преимущество в вопросах цифровой гигиены и безопасности.

#кибербезопасность #android #iphone

@SecLabNews

🇷🇺 Минцифры обяжет операторов перейти на отечественные USIM с 2026 года

Минцифры хочет перевести операторов на отечественные USIM с российской криптографией. Под проект приказа уже подведена дата - с 1 сентября 2026 года новые карты должны соответствовать техтребованиям, включая использование отечественной ОС из реестра и российских криптопротоколов.

Старые партии SIM и USIM никто не заставит выбрасывать, их позволят расходовать до нуля. Но для 5G правила жестче: аутентификация только на российской криптографии, ключи должны генерироваться в РФ, поэтому производитель чипа и карты фактически тоже должен быть российским.

На бумаге в реестрах уже есть несколько ОС для SIM и пара отечественных линий выпуска карт, но критерии к самим чипам и обращению с криптоключами пока расплывчаты. Производители и операторы тестируют решения на базе "Микрона" и других площадок, однако на рынке сомневаются, что к 2026 году получится полностью уйти от импортных чипов.

#симкарты #телеком #импортозамещение
@SecLabNews

🧟 Никаких чатов без сим-карты. Индия вводит жесткие правила для WhatsApp и Telegram (web-версии тоже пострадают)

Правительство Индии решило жестко связать мессенджеры с телекомом: WhatsApp, Telegram, Signal и другие сервисы нельзя будет использовать без активной SIM-карты в устройстве. Новые требования оформлены в Telecommunication Cybersecurity Amendment Rules 2025 и впервые подводят приложения под режим регулирования, близкий к классической связи.

TIUE-сервисы обязывают поддерживать постоянную привязку аккаунта к SIM и подтверждать ее каждые 90 дней. Для веб-версий вводится отдельный контроль: сеанс будет обнуляться каждые 6 часов, вход - только через новый QR-код. Идея в том, чтобы любой доступ к мессенджеру был связан с актуальной SIM, а не с разовым кодом активации.

Регулятор и операторы связи считают, что это усложнит жизнь мошенникам и спамерам, которые пользуются разрывом между приложениями и SIM-картами. Жесткая связка номера, устройства и личности, по задумке властей, должна снизить объем финансовых схем и злоупотреблений, но заодно усиливает контроль над пользователями.

#Индия #мессенджеры #кибербезопасность
@SecLabNews

Российская сеть живёт по своим правилам: маршруты плавают, DPI вмешивается, провайдеры ведут себя по-разному, подсети могут пропасть без предупреждения.

Мониторинг показывает «стабильно», а пользователи уже ловят таймауты и ошибки DNS — классика.

✔️MULTISTATUS проверяет доступность из нескольких точек: Москва, Санкт-Петербург, Новосибирск (плюс Алматы и Амстердам). Умеет делать диагностику «как в консоли» (HTTP, DNS, SSL, ping, traceroute) — всё пишется в лог, видна реальная картина и где именно начинает хромать доступ 🛠

Скоро появятся открытый API, публичный дашборд и алерты в Telegram и на почту — чтобы не только вы знали правду, но и заказчики её видели.

Проверки запускаются прямо в браузере, бесплатно и без регистрации.