#zkp #crypto #fun

Я ДУМАЛ ЭТО ШУТКА! Токсические отходы

Эндрю Миллер (Andrew Miller) и Райан Пирс (Ryan Pierce), создатели криптовалюты Zcash, использовали чернобыльские радиоактивные отходы для сохранения анонимности участников в сети. Об этом сообщает издание Motherboard.

Для обеспечения работы zk-SNARK должны задаваться начальные параметры через генерацию случайных чисел. Они называются участниками сети «токсичными отходами», поскольку должны быть уничтожены после использования в целях обеспечения безопасности. Если кто-то разгадает алгоритм их генерации, он сможет создавать ложные доказательства. Чтобы этого избежать была запущена церемония Powers of Tau, в ходе которой каждый участник сети генерирует случайные числа, что затрудняет потенциальному злоумышленнику взломать Zcash.

В качестве генератора случайных чисел Миллер и Пирс использовали небольшое количество радиоактивного материала — кусок графитового замедлителя из Чернобыльской АЭС. Он является источником гамма- и бета-лучей из-за распада цезия-137 и стронция-90. С помощью счетчика Гейгера они измеряли ионизирующее излучение, получая электрические импульсы, продолжительность промежутков между которыми была случайной. Чтобы гарантировать невозможность вмешательства в процедуру третьих лиц, разработчики проводили измерения в частном самолете на высоте 900 метров.

- Зачем мы это делаем?
- Потому что это весело!

src: https://lenta.ru/news/2018/02/15/radioactive/
src: https://www.fintechru.org/upload/iblock/4bf/ZKP_16122020_FIN4.pdf (страница 10)
src: https://www.vice.com/en/article/gy8yn7/power-tau-zcash-radioactive-toxic-waste

#recommendation #binary #exploitation #reverse

Перерождение канала о бинарной эксплуатации. К предыдущему был утрачен доступ. Поэтому, если вы интересуетесь безопасностью низкого уровня, реверсом архитектурами , то зацените канал :)

@cha1ned_channel

UPD: Канал старого знакомого :)

#crypto #papers #recommendation #zkp #awesome

Один товарищ поделился ссылкой на awesome-list[1] с научными работами по криптографии. В данном случае меня интересуют именно материалы по zero-knowledge-proof. В моем списке собранных работ гораздо больше, но в списке представлены самые основные.

В списке есть также следующие темы:
Hashing - important bits on modern and classic hashes.
Secret key cryptography - all things symmetric encryption.
Cryptoanalysis - attacking cryptosystems.
Public key cryptography: General and DLP - RSA, DH and other classic techniques.
Public key cryptography: Elliptic-curve crypto - ECC, with focus on pratcial cryptosystems.
Zero Knowledge Proofs - Proofs of knowledge and other non-revealing cryptosystems.
Math - useful math materials in cryptographic context.
Post-quantum cryptography - Cryptography in post-quantum period.


[1] awesome-list - сборник лучших материалов по какой-то теме. Существует большое количество awesome-репозиториев. Настолько большое, что энтузиасты составляют awesome-list для awesome-list.

К примеру:
* Awesome IT Films
* Awesome Zero knowledge Proofs
* Основный awesome-list со многими темами

#crypto #chaos #article #math

Слышали ли вы про теорию хаоса?

Эффект бабочки, например, самый известный парадокс. Взмах крыла бабочки на одно земном полушарии способен спровоцировать катастрофу на другом полушарии. Оказывается, что теория хаоса это отдельное математические направление.

Каким-то образом я вышел на статью, в которой описывается chaos based криптография. Криптография, основанная на теории хаоса. Это довольно современное направление. Интересно почитать о последних решениях в этой сфере :)

UPD: Здесь в референсах увидел - An authentication protocol based on chaos and zero knowledge proof

#crypto #book

Очень хорошо!

Спасибо Украинскому Государственному Университету Телекоммуникаций за пдфку с очень годной книжкой по криптографии.

В данной книге есть буквально всё. Начиная с основам математики, заканчивая нулевым разглашением и криптографическими протоколами. Сам возьму отсюда информацию и обязательно прочитаю полностью. Рекомендую

#offtop #zkp

Админ канала успешно защитил диплом по специальности защита информации!

Как ни странно, тема была связана с аутентификацией и нулевым разглашением. В целом получилось неплохо, но могло быть и лучше. Не обещаю, что опубликую работу, но какие-то выкладки опубликовать можно.

Настало время разгребать отложенные на потом проекты и статьи 🔥

#meme

взято из чатика @dc8044

Терморектальный криптоанализ

#offtop #education #longread #self

Рефлексии пост. Внимание, многобуков. Будет отдельно tldr

ВВЕДЕНИЕ
Считаю действительно важным подвести некоторые итоги по последним 4 годам в ВУЗе. Как уже было написано выше, теперь у меня есть корочка, которая подтверждает (не совсем) мои знания и мою компетенцию в ИБ.

Спидран по высшему образованию. Поехали. Повезло, повезло.

НАЧАЛО
В первые два года в студента запихивается инженерная база (математика разных сортов, физика разных сортов, базовые гуманитарные предметы). Безусловно, эти предметы прокачивают интеллект и умение думать, что важно в самом начале пути.

Если сравнивать ВУЗ и школу, то это совершенно разные вещи. В школе было намного проще. Меньше принятий решений, меньше ответственности, меньше времени на сдачу зачетов. В сумме по всем метрикам - меньше трудностей. К концу первого семестра меня одолева паника от приближающихся дедлайнов. Казалось, будто бы мне тяжело и я не справлюсь. Спойлер, это прошло очень быстро.

Сложно сказать о практической пользе матана и физики в работе безопасника. Ладно, последнее, конечно, полезно. Лишь бы током не ударило 😄.

Однако чего действительно не хватало в моей программе, так это большего числа реальных примеров, большего числа практикующих безопасников. Компетентного преподавателя видно сразу и очень интересно слушать истории из практики.

ПОЛПУТИ
К середине второго курса я полностью разочаровался в месте, в котором учусь. Это было не то, чего я ожидал. К тому моменту я играл цтфки, ездил по соревнованиям и чувствовал, что у меня появляется опыт и что я понимаю как работают вещи. Не скрою, я чувствовал некоторое превосходство над преподавателями и одногруппниками. Да, это может прозвучать высокомерно, но на тот момент ощущалось это именно так.

Где-то здесь должен быть референс о том, что без самообразования не выжить. Сразу вспоминаются слова преподов на первом курсе:
"Если вы пришли сюда за знаниями, то вы выбрали не то место" и "нужно бежать, чтоб хотя бы оставаться на месте".

И я забил на программу. Занимался ресерчами, изучал вещи самостоятельно, знакомился с людьми, вел социальный проект по безопасности. Знакомая назвала этот упадок "кризисом третьего курса". К этому времени люди начинают забивать на учёбу, осознавать, что это им не интересно иди вовсе уходить. Приходит некоторая осознанность.

Но однажды мне позвонил куратор группы и серьёзным тоном сообщил, что не понимает, почему у такого хорошего студента столько долгов. На меня это очень сильно подействовало и я начал закрывать свои накопившиеся за год долги.

Спец. предметы начались с середины второго курса и это был глоток свежего воздуха. Появились основы ИБ, далее технические средства охраны, криптография, управление ИБ, сети, программирование, организационная ИБ.

ПРЕДДИПЛОМНАЯ ПРАКТИКА, ГОСЫ И ДИПЛОМ
Последний этап. Один из самых сложных и волнительных. Сложный из-за ГОСТов, волнительный из-за неизбежных дедлайнов.

ГОСы в моём случае прошли снова несложно. Комиссия из привычных преподавателей не ставила перед собой цель в каком-то давлении.

На самом деле, не так сложно, если начинать готовиться заранее. Я начал писать диплом за полторы нежели до сдачи. Не повторяйте моих ошибок. Пишите диплом хотя бы за пару месяцев.

К защите готовишь выступление на 5-7 минут и графические материалы. Во время выступления показываешь какой ты крутой специалист и какие компетенции не обрел за 4 года.

Вот и все :)

Продолжение: Магистратура

#meme #vim #plugins

A Vim plugin that will automatically close Vim on startup.
Vim is scary. Here are 7 FACTS that YOU DIDN'T KNOW about Vim that will SHOCK you:

* Science has proven that Vim is harder to quit than smoking cigarettes.
- Наука доказала, что выйти из вима сложнее, чем курить сигареты

* Black holes trap all matter that passes beyond their event horizon using Vim.
- Черные дыры используют вим, чтобы захватывать всю материю, которая проходит через горизонт событий

* Maya Angelou wrote "I Know Why the Caged Bird Sings" when she was trying to get out of Vim.
- Майа Анджела написала "Я знаю от чего поют птицы в клетках", пока она пыталась выйти из вима

* Vim either voted for Hillary Clinton or Donald Trump, whomever you liked less.
- вим проголосовал и за Хилари Клинтон и за Дональда Трампа в зависимости от того, кто нравится тебе меньше

* Vim only supports the arrow keys, not WASD.
- Вим поддерживает только стрелочки. Не клавиши WASD

* The popular 2017 thriller "Get Out" was inspired by Jordan Peele trying to exit Vim.
- Популярный фильм 2017 года "Убирайся" появился на свет благодаря Джордану Пеле, который пытался выйти из вима

* Vim prefers T-Series.
- Вим предпочитает T-Series



BTW. Когда я начинал изучать vim, то поставил себе отдельный плагин vim-hardtime, который запрещает пользоваться стрелочками и несколько раз зажимать h,j,k,l. Усложняет жизнь, но позволяет учиться работать с комбинациями.

В выходные буду здесь. Если кто-то успел купить билеты и хочет со мной встретиться, то напишите в бота :)

Отзыв о предыдущем крипторейве

#domain

Самый первый .com в мире!

https://symbolics.com/

#meme #security #networking #web #bestpractice #waf

Годный получился мем. Делал его 40 минут. Внутри стеганографическое послание, если телеграм его не потер :)

PS: Потер. В комментах к посту оставил файл

PSS: Отпишите в бота, если достали инфу :)

На самом деле, здесь был тупой стегхайд без пароля 🤡

#joke

Сначала не понял, а потом как понял и засмеялся.

tldr:
Основная часть скрипта ничего не делает, а просто логгирует твой ip адрес и говорит, что нужно читать эксплойты перед их запуском.

источник

#security #proxy #networking #ad

Давно не было постов. Последние несколько месяцев изучают безопасность виндовой инфраструктуры. И вот совсем недавно столкнулся с интересным кейсом о том, как халатное отношение к внутренней конфигурации инфраструктуры и банальная лень могут привести к компрометации всей корпоративной сети. Решил написать об этом.

Если вы когда-нибудь изучали безопасность виндовых локалок, то наверняка пользовались инструментом Responder. Это довольно удобный и мощный инструмент. В его состав входит возможность отравления запросов к wpad.local - автоконфигурации прокси.

Опытный безопасник наверняка уже понял в чем суть, однако этот пост для молодых специалистов. Поэтому расскажу как это работает и что собственно потенциальный злоумышленник может сделать.

Proxy Auto Configuration (PAC) - очень удобный инструмент, который позволяет с лёгкостью настроить корпоративный прокси сервере для балансировки нагрузки, фильтрации контента и многое другое, но в IT существует извечный конфликт между безопасностью и удобством.

Получить wpad.dat файл можно несколькими способами. Операционная система делает это автоматически:
[1] От DHCP сервера
[2] Через широковещательный запрос к wpad.local
[3] Через запрос к доменному имени wpad.example.com

Именно третий случай был в моём кейсе. Примечательно, что в инфраструктуре заказчика происходила утечка доменного имени из Active Directory. Именно это и послужило вектором атаки. ADшка была настроена на доменное имя лет 5-6 назад. Но к сожалению про это доменное имя забыли. Его аренда истекла и нас удалось взять его под контроль.

Какого же было наше удивление, когда в логах веб сервера мы стали замечать обращения за файлом wpad.dat. После этого смело можно было утверждать о наличии утечки домена.

Помимо того, что пользователи из локальный сети отдавали свои NetNTLMv2 хеши при попытке получить wpad.dat (а в хеше логин и пароль пользователя), нам также удалось навязать пользователям свой прокси сервер через специальный файл конфигураций. Мы просто дали им то, что они хотели :)

Далее появилась возможность перехватывать трафик, идущий из локальной сети через наш прокси. Такие дела.

#privacy #cypherpunks #schneier

Privacy in the Age of Persistence (оригинал на английском)

Приватность в современном мире (http://www.cypherpunks.ru)