Bảo mật

Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.

Bài báo này giới thiệu một phương pháp làm động tầng thay thế của AES dựa trên thuật toán RC4. Đây là một trong những phương pháp làm động hóa thuật toán AES nguyên thủy dựa vào việc làm động các hộp thế, góp phần nâng cao độ an toàn của mã khối AES.

Trong bối cảnh gia tăng của việc sử dụng ngân hàng di động (mobile banking) khu vực châu Á - Thái Bình Dương (APAC), đã trở thành “mảnh đất màu mỡ” của các nhóm tội phạm mạng.

Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.

Ngày 13/01, tại Hà Nội, trong khuôn khổ Hội nghị toàn quốc quán triệt Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia, bài phát biểu của Chủ tịch Quốc hội Trần Thanh Mẫn đã nhấn mạnh tầm quan trọng của việc thúc đẩy những lĩnh vực này như là động lực quyết định cho phát triển kinh tế - xã hội, nâng cao vị thế quốc gia trong kỷ nguyên mới.

Trong thời đại số hóa đang diễn ra mạnh mẽ hiện nay, việc đảm bảo an toàn thông tin trong liên lạc là một nhu cầu cấp thiết của mọi cơ quan tổ chức. Terrestrial Trunked Radio (TETRA) là một tiêu chuẩn quốc tế về hệ thống thông tin liên lạc vô tuyến số, được thiết kế để đáp ứng nhu cầu liên lạc an toàn và tin cậy của các tổ chức và cơ quan chức năng như cảnh sát, cứu hỏa, y tế khẩn cấp cũng như các ngành công nghiệp quan trọng khác [1]. Bài viết sẽ trình bày về cơ chế bảo mật cho mạng viễn thông TETRA giúp ngăn chặn truy cập trái phép và bảo vệ thông tin nhạy cảm.

Độ an toàn của các hệ thống mật mã hiện nay phụ thuộc vào việc có các khóa mật mã mạnh (có entropy cao) và giữ bí mật các khóa đó. Khả năng tạo ra các khóa mật mã mạnh yêu cầu phải truy cập tới một nguồn ngẫu nhiên không thể dự đoán. Tuy nhiên, việc này trên các thiết bị máy tính thông thường hoặc các thiết bị IoT là khó và không đáng tin cậy. Dịch vụ entropy được đề xuất bởi Viện Tiêu chuẩn quốc gia Hoa Kỳ là một kiến trúc dịch vụ Internet mới, cho phép cung cấp dữ liệu ngẫu nhiên không thể dự đoán, với entropy cao được tạo bởi các nguồn entropy lượng tử từ các trung tâm tin cậy đến các máy khách gửi yêu cầu.

Microsoft đã phát hành bản vá không chính thức để khắc phục lỗ hổng bảo mật trên Windows, có thể cho phép tiết lộ thông tin và leo thang đặc quyền cục bộ (LPE) trên các hệ thống dễ bị tấn công.

Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.

Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.