✅#0day
ظاهراً هکری ادعای داشتن/فروش آسیب‌پذیری روز-صفر از نوبیتکس رو داره که می‌تونه کل سیستم ایمیل شرکتی نوبیتکس رو تحت کنترل بگیره. قیمتش هم ۱۰ بیت کوین گذاشته و فقط به یک نفر می‌فروشه.

طبق ادعای این فرد، مشکل از یک پیکربندی اشتباه در سرور SMTP نوبیتکس ناشی میشه که باعث میشه هر کسی بتونه بدون احراز هویت، مستقیماً از سرورهای رسمی نوبیتکس ایمیل بفرسته. این یعنی امکان ارسال ایمیل‌های فیشینگ فوق العاده معتبر، پخش باج افزار، و انواع کلاهبرداری‌های پیچیده از طریق ایمیل وجود داره. نکته جالب توجه اینه که این هکر میگه قبلاً سعی کرده با تیم امنیتی و مدیریت نوبیتکس تماس بگیره ولی جوابی نگرفته. حالا علاوه بر فروش این آسیب‌پذیری، داده‌هایی که ادعا میکنه از شرکت به دست آورده رو هم می‌فروشه. میگه بیش از پنجاه هزار آدرس ایمیل مشتریان و همچنین لیست ایمیل کارمندان شرکت رو در اختیار داره.

در حال حاضر بهتره همه کاربران این صرافی با هر ایمیلی که از طرف نوبیتکس دریافت می‌کنن با احتیاط زیاد برخورد کنن و روی هیچ لینکی کلیک نکنن، حتی اگه کاملاً رسمی به نظر برسه. فروشنده ادعا میکنه این آسیب‌پذیری هنوز پچ نشده و هیچ فایروال یا آنتی ویروسی هم نمی‌تونه تشخیصش بده . ( به هوش/گوش باشید )

@NullError_ir

✅#winrar_0day

حفره امنیتی روز-صفر در نرم‌افزار WinRAR برای ویندوز (CVE-2025-8088) که توسط گروه روسی RomCom در حملات واقعی استفاده شده است.

مهاجمان با استفاده از فایل‌های RAR آلوده می‌توانند فایل‌های مخرب را در مسیرهای اجرای خودکار ویندوز (startup) قرار دهند.

ضروری است:

۔winrar را به نسخه 7.13 بروزرسانی کنید (دستی)

پایش و امن سازی startup

@NullError_ir

✅#python
ابزار کاربردی
تبدیل تصاویر به PDF

✨ ویژگی‌های اسکریپت پایتونی

دو حالت کارکرد
هر تصویر به یک فایل PDF
چندین تصویر به یک فایل PDF

⚙️ سفارشی‌سازی
تنظیم دلخواه موارد زیر :
- اندازه صفحه (مثل A4, A5, A3 یا ابعاد دلخواه)
- حاشیه (Margin) از لبه‌های صفحه
- کیفیت و رزولوشن (DPI) فایل خروجی
- نحوه قرارگیری عکس (contain, cover, stretch)
- چرخش خودکار صفحه برای تطابق با جهت عکس

برای تبدیل تصاویر به یک pdf فقط تصاویر رو بر اساس ترتیب عددی بچینید . مثلاً (page-1.jpg, page-2.jpg, ..., page-10.jpg)

استفاده:
نصب پیش نیاز = pip install Pillow
اجرای اسکریپت = python i2p.py

@NullError_ir

✅#Encryption

🔐 حل معمای ۴۰ ساله رمزنگاری: جهشی به سوی امنیت کوانتومی

دانشمندان موفق به حل یک مسئله ۴۰ ساله در حوزه رمزنگاری مبتنی بر شبکه (Lattice-based Cryptography) شده‌اند که راه را برای ایجاد سیستم‌های رمزنگاری "غیرقابل شکست" و مقاوم در برابر کامپیوترهای کوانتومی هموار می‌کند. این دستاورد بزرگ که امنیت یکی از کلیدی‌ترین روش‌های رمزنگاری پسا-کوانتومی را به طور ریاضی اثبات می‌کند، می‌تواند آینده امنیت دیجیتال را متحول سازد.

🧩 معمای ۴۰ ساله: امنیت در برابر کارایی

در قلب این پیشرفت، مسئله‌ای ریاضی به نام یادگیری با خطا (Learning with Errors - LWE) قرار دارد. این ایده که در سال ۱۹۸۲ توسط Ajtai و Dwork مطرح شد، امنیت خود را بر پایه دشواری حل معادلات خطی که به آن‌ها مقداری خطای تصادفی اضافه شده، بنا می‌کند.

تصور کنید معادله به شکل A * s + e = b باشد:
۔* A یک ماتریس عمومی و شناخته‌شده است.
۔* s کلید خصوصی مخفی است که باید پیدا شود.
۔* b نتیجه قابل مشاهده است.
۔* e یک خطای کوچک و ناشناخته است.

حضور همین خطای e پیدا کردن کلید مخفی s را از یک مسئله ساده جبر خطی به یک مسئله فوق‌العاده دشوار تبدیل می‌کند که حتی کامپیوترهای کوانتومی نیز قادر به حل سریع آن نیستند.

مشکل اصلی اینجا بود: برای تضمین حداکثر امنیت، ماتریس A (که بخشی از کلید عمومی است) باید کاملاً تصادفی و بسیار بزرگ باشد. این موضوع باعث می‌شد حجم کلیدهای عمومی به شدت زیاد شده و استفاده از این نوع رمزنگاری در دستگاه‌های با منابع محدود (مانند گوشی‌های هوشمند و اینترنت اشیاء - IoT) غیرعملی باشد.

💡 راه‌حل فشرده‌سازی و شک امنیتی

برای حل مشکل حجم، رمزنگاران نسخه‌های ساختاریافته‌ای مانند Module-LWE را پیشنهاد دادند. در این روش‌ها، به جای تولید یک ماتریس کاملاً تصادفی، تنها چند عنصر تصادفی انتخاب شده و بقیه ماتریس بر اساس یک ساختار جبری مشخص از روی آن‌ها ساخته می‌شود. این کار حجم کلید را به طرز چشمگیری کاهش می‌دهد.

اما این فشرده‌سازی یک شک و معمای ۴۰ ساله را به همراه داشت:
> آیا با اضافه کردن این ساختار منظم، یک بکدور یا ضعف امنیتی ناخواسته ایجاد نکرده‌ایم؟ آیا حل مسئله LWE با ماتریس ساختاریافته، آسان‌تر از نسخه کاملاً تصادفی آن نیست؟

تا پیش از این، هیچ اثبات قطعی وجود نداشت که امنیت نسخه فشرده (ساختاریافته) دقیقاً معادل امنیت نسخه اصلی (تصادفی) است. این عدم قطعیت، مانعی بزرگ برای استانداردسازی و استفاده گسترده از این الگوریتم‌ها بود.

تکنیک ریاضی breakthrough: اثبات هم‌ارزی امنیتی

راه‌حل نوآورانه و اخیر، ارائه یک اثبات ریاضی دقیق از طریق تکنیکی به نام کاهش (Reduction) است. این اثبات یک "پل ریاضی" مستحکم بین این دو نسخه از مسئله LWE ایجاد کرد.

این اثبات به طور خلاصه نشان می‌دهد:
> "اگر الگوریتمی وجود داشته باشد که بتواند نسخه فشرده و ساختاریافته LWE را بشکند، می‌توان از همان الگوریتم برای شکستن نسخه اصلی، بزرگ و کاملاً تصادفی LWE نیز استفاده کرد."

از آنجایی که می‌دانیم شکستن نسخه اصلی بسیار دشوار است، این اثبات نتیجه می‌دهد که نسخه فشرده نیز *باید* به همان اندازه امن باشد. در واقع، این پژوهشگران ثابت کردند که فرآیند فشرده‌سازی هیچ ضعفی ایجاد نمی‌کند و کاملاً Lossless (بدون اتلاف امنیت) است.

اهمیت و پیامدهای این دستاورد

1. امنیت پسا-کوانتومی (Post-Quantum Security): این اثبات، اطمینان لازم برای استانداردسازی و پیاده‌سازی الگوریتم‌های مبتنی بر LWE را به عنوان جایگزین الگوریتم‌های فعلی (مانند RSA و ECC) که در برابر کامپیوترهای کوانتومی آسیب‌پذیرند، فراهم می‌کند.

2. کاربردهای عملی: با تایید امنیت کلیدهای فشرده، اکنون می‌توان این رمزنگاری قدرتمند را به طور کارآمد در طیف وسیعی از دستگاه‌ها، از سرورهای بزرگ گرفته تا دستگاه‌های کوچک IoT، پیاده‌سازی کرد.

3. تضمین ریاضی قوی: این کشف تنها یک پیشرفت مهندسی نیست، بلکه یک بنیان ریاضی محکم برای نسل بعدی سیستم‌های رمزنگاری است که امنیت ارتباطات دیجیتال ما را برای دهه‌های آینده، حتی در عصر کوانتوم، تضمین خواهد کرد.

@NullError_ir