Forwarded from 0•Bytes•1
Hello, my Mad Hatter friends! 🎩
Let me ask you a question: have you ever wondered how Monero's security works and whether it is as reliable as they say?🪙
In my new article, I figured this out and also explained how to further protect yourself so that your transactions remain invisible even to the most curious eyes.🛡
I describe in detail how Monero works, how resistant it is to attacks, and what measures will help you maintain your anonymity. 🔑
The article covers attacks ranging from Black Marble Flooding to Eclipse Attacks, and I also share practical tips on how to run your own node and configure Tor to increase your privacy.
I hope you will find it interesting to delve into this topic. 🧩 At the end of the article, there are links to additional materials so that you can explore this topic in more depth if you wish. ⚙️
Enjoy your tea! ☕️🩷
English version:
#Monero #XMR #cryptography #privacy #blockchain #ring_signatures #stealth_addresses #RingCT #Tor #I2P #crypto_wallet #security #anonymity #decentralization #Kovri #FCMP #crypto_protection
Let me ask you a question: have you ever wondered how Monero's security works and whether it is as reliable as they say?
In my new article, I figured this out and also explained how to further protect yourself so that your transactions remain invisible even to the most curious eyes.
I describe in detail how Monero works, how resistant it is to attacks, and what measures will help you maintain your anonymity. 🔑
The article covers attacks ranging from Black Marble Flooding to Eclipse Attacks, and I also share practical tips on how to run your own node and configure Tor to increase your privacy.
I hope you will find it interesting to delve into this topic. 🧩 At the end of the article, there are links to additional materials so that you can explore this topic in more depth if you wish. ⚙️
Enjoy your tea! ☕️
English version:
#Monero #XMR #cryptography #privacy #blockchain #ring_signatures #stealth_addresses #RingCT #Tor #I2P #crypto_wallet #security #anonymity #decentralization #Kovri #FCMP #crypto_protection
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
Forwarded from 0day Alert
CVE-2025-8088: WinRAR без автообновлений — бомба замедленного действия
🎯 В популярном архиваторе WinRAR обнаружили серьёзную дыру в безопасности, но худшая новость — хакеры уже знали о ней и активно использовали до выхода исправления. Уязвимость CVE-2025-8088 позволяет злоумышленникам создавать коварные архивы, которые при распаковке подкладывают файлы не туда, куда выбрал пользователь, а в автозагрузочные папки Windows. Так вредоносная программа попадает в систему и запускается при каждом включении компьютера.
💣 Группа RomCom уже вовсю использует эту фишку в фишинговых рассылках — присылают письма с "безобидными" RAR-архивами, а внутри сидит эксплойт. Пользователь думает, что распаковывает документы в выбранную папку, а на самом деле вредонос тихо устанавливается в автозагрузку. При следующем включении компьютера — сюрприз, система уже под контролем злоумышленников.
🔧 Проблема усугубляется тем, что WinRAR до сих пор не умеет обновляться автоматически. Миллионы пользователей могут месяцами сидеть на уязвимых версиях, даже не подозревая об угрозе. Если у вас стоит WinRAR старше версии 7.13 — самое время обновиться вручную, пока не стали жертвой вымогателей.
#winrar #cve20258088 #romcom #уязвимость #malware #вредонос
@ZerodayAlert
🎯 В популярном архиваторе WinRAR обнаружили серьёзную дыру в безопасности, но худшая новость — хакеры уже знали о ней и активно использовали до выхода исправления. Уязвимость CVE-2025-8088 позволяет злоумышленникам создавать коварные архивы, которые при распаковке подкладывают файлы не туда, куда выбрал пользователь, а в автозагрузочные папки Windows. Так вредоносная программа попадает в систему и запускается при каждом включении компьютера.
💣 Группа RomCom уже вовсю использует эту фишку в фишинговых рассылках — присылают письма с "безобидными" RAR-архивами, а внутри сидит эксплойт. Пользователь думает, что распаковывает документы в выбранную папку, а на самом деле вредонос тихо устанавливается в автозагрузку. При следующем включении компьютера — сюрприз, система уже под контролем злоумышленников.
🔧 Проблема усугубляется тем, что WinRAR до сих пор не умеет обновляться автоматически. Миллионы пользователей могут месяцами сидеть на уязвимых версиях, даже не подозревая об угрозе. Если у вас стоит WinRAR старше версии 7.13 — самое время обновиться вручную, пока не стали жертвой вымогателей.
#winrar #cve20258088 #romcom #уязвимость #malware #вредонос
@ZerodayAlert
SecurityLab.ru
Открыли RAR-архив? Поздравляем, вирус уже в вашей Windows
WinRAR без патча проживёт в безопасности максимум сутки.
🌚2
Небезопасность
Небезопасный Linux «Мы пробьём все стены в мире» — Наутилус Помпилиус Благодарности Автор благодарит следующих людей и сообщества за помощь в подготовке материалов: Моего отца — за консультации и помощь в формировании концепции. Близких…
Я никуда не пропал, идём на всех парах, рукопись уже в редакции, работаем с корректором.
👍8
Forwarded from 0•Bytes•1
Всем приятного чаепития, мои Алисы в стране чудес! 🎀
Многие слышали про луковое шифрование в Tor и примерно представляют, как оно работает. Но, меньше людей знают про чесночное шифрование.
Потому, я решила написать краткую заметку о том, что это и как оно работает в I2P 🚥
Как отправляется сообщение?✉️
В I2P ваше сообщение передается через туннель — цепочку случайно выбранных компьютеров (узлов) в сети.
Каждый узел знает только, куда передать данные дальше, но не видит содержимого сообщения. Для этого используется чесночное шифрование🧄
Сначала ваше сообщение шифруется для конечного получателя. Это называется сквозное шифрование.
Применяется асимметричное шифрование🔐: у получателя есть пара ключей — публичный, которым вы шифруете сообщение, и приватный, которым он его расшифровывает.
Как создаются слои шифрования?🔒
Теперь начинается процесс оборачивания сообщения в слои.
Представьте, что у вас есть туннель из трех узлов: A, B и C.
Зашифрованное сообщение (уже защищенное для получателя) нужно провести через эти узлы так, чтобы каждый знал только следующий шаг. Для этого I2P создает слои шифрования, по одному для каждого узла.
Каждый слой — это дополнительное шифрование с инструкцией для конкретного узла, например, «передай узлу B» или «отправь получателю».
Работает это так: сообщение шифруется ключом узла C с инструкцией «передай B».
После пакет шифруется ключом B с инструкцией «передай A», затем весь пакет шифруется открытым ключом узла A с инструкцией «отправь получателю».
После отправки, он попадает к узлу A. Узел A открывает свой слой секретным ключом, видит инструкцию «передай узлу B» и передает данные. Данные остаются зашифрованными для других узлов. Узел B открывает свой слой, видит инструкцию «передай узлу C» и передает дальше. Узел C открывает последний слой, видит, что нужно отправить получателю, и выполняет это.
Каждый узел знает только свой шаг и не видит ни содержимого сообщения, ни его отправителя, ни получателя.
Почему шифрование называется чесночным?🧄
В I2P ваше сообщение могут упаковать вместе с другими в один большой зашифрованный пакет🗂, который называется чесночным.
Это значит, что в одном таком пакете, идущем через туннель, могут быть ваше сообщение, сообщения других людей и даже какие-то служебные данные сети, например, команды для управления туннелями⚙️
Все сообщения шифруются вместе, и каждый слой шифрования (для узлов A, B, C) покрывает весь большой пакет целиком, а не каждое сообщение по отдельности.
Когда узел A открывает свой слой, он видит инструкцию для всего пакета, например, «передай узлу B», и отправляет его дальше. Он не знает, сколько сообщений внутри, чьи они или куда они идут. Узел B делает то же самое, открывая свой слой и передавая пакет узлу C. Узел C, открыв последний слой, может отправить весь пакет или его части (в зависимости от инструкции) к получателям, но он не знает, сколько сообщений внутри и кому они предназначены. По этому не возможно определить, чье сообщение где находится, даже при наблюдении за сетью.
Каждое сообщение в пакете защищено индивидуальным шифрованием для своего получателя🔑 так что никто, кроме нужного человека, не сможет его открыть.
Сами сообщения внутри пакета не разделены явно — они как бы слипаются в один сплошной зашифрованный кусок данных. Еще I2P может может добавлять «мусорные» данные🗑 — фальшивые сообщения, которые маскируются под настоящие, но ничего не значат.
Кроме того, I2P перемешивает♻️ ваш пакет с другими данными в сети и может добавлять случайные задержки при передаче. Это затрудняет анализ трафика. Туннели меняются каждые 10 минут, и узлы в них выбираются заново, так что отследить путь.
Чем чесночное шифрование отличается от лукового?🧅
В луковом шифровании каждое сообщение шифруется отдельно и передается через свою цепочку узлов. А чесночное шифрование, не только оборачивает ваше сообщение в слои шифрования, но и объединяет его с другими сообщениями и фальшивыми данными в единый зашифрованный пакет
#i2p #cryptography #garlic_encryption #anonymity #tor
Многие слышали про луковое шифрование в Tor и примерно представляют, как оно работает. Но, меньше людей знают про чесночное шифрование.
Потому, я решила написать краткую заметку о том, что это и как оно работает в I2P 🚥
Как отправляется сообщение?✉️
В I2P ваше сообщение передается через туннель — цепочку случайно выбранных компьютеров (узлов) в сети.
Каждый узел знает только, куда передать данные дальше, но не видит содержимого сообщения. Для этого используется чесночное шифрование🧄
Сначала ваше сообщение шифруется для конечного получателя. Это называется сквозное шифрование.
Применяется асимметричное шифрование🔐: у получателя есть пара ключей — публичный, которым вы шифруете сообщение, и приватный, которым он его расшифровывает.
Как создаются слои шифрования?🔒
Теперь начинается процесс оборачивания сообщения в слои.
Представьте, что у вас есть туннель из трех узлов: A, B и C.
Зашифрованное сообщение (уже защищенное для получателя) нужно провести через эти узлы так, чтобы каждый знал только следующий шаг. Для этого I2P создает слои шифрования, по одному для каждого узла.
Каждый слой — это дополнительное шифрование с инструкцией для конкретного узла, например, «передай узлу B» или «отправь получателю».
Работает это так: сообщение шифруется ключом узла C с инструкцией «передай B».
После пакет шифруется ключом B с инструкцией «передай A», затем весь пакет шифруется открытым ключом узла A с инструкцией «отправь получателю».
После отправки, он попадает к узлу A. Узел A открывает свой слой секретным ключом, видит инструкцию «передай узлу B» и передает данные. Данные остаются зашифрованными для других узлов. Узел B открывает свой слой, видит инструкцию «передай узлу C» и передает дальше. Узел C открывает последний слой, видит, что нужно отправить получателю, и выполняет это.
Каждый узел знает только свой шаг и не видит ни содержимого сообщения, ни его отправителя, ни получателя.
Почему шифрование называется чесночным?🧄
В I2P ваше сообщение могут упаковать вместе с другими в один большой зашифрованный пакет🗂, который называется чесночным.
Это значит, что в одном таком пакете, идущем через туннель, могут быть ваше сообщение, сообщения других людей и даже какие-то служебные данные сети, например, команды для управления туннелями⚙️
Все сообщения шифруются вместе, и каждый слой шифрования (для узлов A, B, C) покрывает весь большой пакет целиком, а не каждое сообщение по отдельности.
Когда узел A открывает свой слой, он видит инструкцию для всего пакета, например, «передай узлу B», и отправляет его дальше. Он не знает, сколько сообщений внутри, чьи они или куда они идут. Узел B делает то же самое, открывая свой слой и передавая пакет узлу C. Узел C, открыв последний слой, может отправить весь пакет или его части (в зависимости от инструкции) к получателям, но он не знает, сколько сообщений внутри и кому они предназначены. По этому не возможно определить, чье сообщение где находится, даже при наблюдении за сетью.
Каждое сообщение в пакете защищено индивидуальным шифрованием для своего получателя🔑 так что никто, кроме нужного человека, не сможет его открыть.
Сами сообщения внутри пакета не разделены явно — они как бы слипаются в один сплошной зашифрованный кусок данных. Еще I2P может может добавлять «мусорные» данные🗑 — фальшивые сообщения, которые маскируются под настоящие, но ничего не значат.
Кроме того, I2P перемешивает♻️ ваш пакет с другими данными в сети и может добавлять случайные задержки при передаче. Это затрудняет анализ трафика. Туннели меняются каждые 10 минут, и узлы в них выбираются заново, так что отследить путь.
Чем чесночное шифрование отличается от лукового?🧅
В луковом шифровании каждое сообщение шифруется отдельно и передается через свою цепочку узлов. А чесночное шифрование, не только оборачивает ваше сообщение в слои шифрования, но и объединяет его с другими сообщениями и фальшивыми данными в единый зашифрованный пакет
#i2p #cryptography #garlic_encryption #anonymity #tor
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Небезопасность
Я никуда не пропал, идём на всех парах, рукопись уже в редакции, работаем с корректором.
Половина корректуры пройдена!
🎉2🔥1
Forwarded from RutheniumOS
MAX
Когда хайп подутих, можно рассмотреть функционал мессенджера MAX
Отчёт - моё почтение.
Всё ожидаемо. Собирается MAXсимум информации.
https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
Когда хайп подутих, можно рассмотреть функционал мессенджера MAX
Отчёт - моё почтение.
Всё ожидаемо. Собирается MAXсимум информации.
https://github.com/ZolManStaff/MAX-deep-analysis-of-the-messenger
Forwarded from Технологический Болт Генона
Извините, день сегодня такой тяжёлый. Понедельник!
> 20 июл. 2025
> ИА "Панорама"
Все SMS-коды теперь будут приходить только в национальный мессенджер МАХ
https://panorama.pub/news/vse-sms-kody-teper-budut
> 18 августа 2025
> первый зампред комитета Госдумы по информполитике Александр Ющенко
В Госдуме заявили, что все коды верификации должны отправляться в Max
https://absatz.media/news/130801-v-gosdume-zayavili-chto-vse-kody-verifikacii-dolzhny-otpravlyatsya-v-max
Спасибо
> 20 июл. 2025
> ИА "Панорама"
Все SMS-коды теперь будут приходить только в национальный мессенджер МАХ
https://panorama.pub/news/vse-sms-kody-teper-budut
> 18 августа 2025
> первый зампред комитета Госдумы по информполитике Александр Ющенко
«Если полноценно запускать мессенджер, он должен соответствовать всем возможным технологическим возможностям, которые есть на рынке, для того чтобы быть конкурентоспособным. У него должен быть практически весь функционал, в том числе и информационные каналы, и возможность взаимодействия с разными сервисами. Поэтому работа над тем, чтобы в Max приходили коды верификации, должна идти. Она уже ведется, я думаю, и надо быть уверенным, что данная функция будет представлена», – отметил Ющенко.В Госдуме заявили, что все коды верификации должны отправляться в Max
https://absatz.media/news/130801-v-gosdume-zayavili-chto-vse-kody-verifikacii-dolzhny-otpravlyatsya-v-max
Спасибо
❤1😱1
Forwarded from Блог CISO
— Пап, а тяжело быть директором по информационной безопасности?
— Нет, сынок, это то же самое, что стоять посреди ада с огнетушителем, пытаясь потушить инженеров на горящих велосипедах, при этом крича им: «Не останавливайтесь, крутите педали — это наш основной бизнес-процесс!». В это время начальник их отдела из бочки с говном орёт, что огонь в аду — это нештатная ситуация по вине ИБ. Рядом стоит технический директор, небрежно разливает бензин с целью превратить велосипеды в мотоциклы и требует снизить затраты на огнетушители.
— Нет, сынок, это то же самое, что стоять посреди ада с огнетушителем, пытаясь потушить инженеров на горящих велосипедах, при этом крича им: «Не останавливайтесь, крутите педали — это наш основной бизнес-процесс!». В это время начальник их отдела из бочки с говном орёт, что огонь в аду — это нештатная ситуация по вине ИБ. Рядом стоит технический директор, небрежно разливает бензин с целью превратить велосипеды в мотоциклы и требует снизить затраты на огнетушители.
Telegram
I’m CTO, bitch
— Пап, а тяжело быть инженером?
— Нет, сынок, это тоже самое, что ехать на велосипеде, который горит, и ты горишь, и всё горит, и ты в аду...
— Пап, а тяжело быть начальником отдела?
— Нет, сынок, это то же самое, что сидеть в бочке с говном, вокруг которой…
— Нет, сынок, это тоже самое, что ехать на велосипеде, который горит, и ты горишь, и всё горит, и ты в аду...
— Пап, а тяжело быть начальником отдела?
— Нет, сынок, это то же самое, что сидеть в бочке с говном, вокруг которой…
🤣7🔥2
Forwarded from ITRadio
«Кофе, SOC и логи». Анонс №2.
Немного новостей.
Мы приняли решение назвать новую еженедельную рубрику «Кофе, SOC и логи».
Как правило, будем выходить на связь по воскресеньям около 11 часов утра по GMT+3.
Если потребуется оперативное вмешательство и нужно срочно обсудить всё это голосом, возможны и внезапные эфиры в любое время дня и ночи.
Основные ведущие рубрики:
Александр Антипов и Денис Батранков.
Случайным образом кто-то из общего пула ITRadio ведущих тоже будет приходить. Далее, скорее всего, будут приглашаться к Денису и Александру #поибэшные гости для раскрытия тех или иных тем, над этим пока думаем, посмотрим, разберёмся, осознаем и т.д.
И да, всем спасибо за участие в голосовании!
Итак, в это воскресенье снова встречаемся на эфире CSL (Coffee, SOC and Logs, запоминаем ещё одну аббревиатуру) в 11:00 7 сентября 2025.
О чём:
Обсуждение лучших новостей инфобеза за неделю.
Когда: 07.09.2025 11:00 – ссылка на наш календарь
Трансляция будет здесь:🗣 https://stream.itradio.su
Задаём свои вопросы в чате подкаста с тегом #csl2.
@ITRadiosu
Немного новостей.
Мы приняли решение назвать новую еженедельную рубрику «Кофе, SOC и логи».
Как правило, будем выходить на связь по воскресеньям около 11 часов утра по GMT+3.
Если потребуется оперативное вмешательство и нужно срочно обсудить всё это голосом, возможны и внезапные эфиры в любое время дня и ночи.
Основные ведущие рубрики:
Александр Антипов и Денис Батранков.
Случайным образом кто-то из общего пула ITRadio ведущих тоже будет приходить. Далее, скорее всего, будут приглашаться к Денису и Александру #поибэшные гости для раскрытия тех или иных тем, над этим пока думаем, посмотрим, разберёмся, осознаем и т.д.
И да, всем спасибо за участие в голосовании!
Итак, в это воскресенье снова встречаемся на эфире CSL (Coffee, SOC and Logs, запоминаем ещё одну аббревиатуру) в 11:00 7 сентября 2025.
О чём:
Обсуждение лучших новостей инфобеза за неделю.
Когда: 07.09.2025 11:00 – ссылка на наш календарь
Трансляция будет здесь:
Задаём свои вопросы в чате подкаста с тегом #csl2.
@ITRadiosu
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from Android Guards
В видео показаны некоторые фундаментальные архитектурные проблемы нашумевшего приложения Bitchat, которые в определенных сценариях могут быть конвертированы в проблемы безопасности. Автор видео по итогу приходит к разработке скрипта для отправки спама в общие чаты приложения. Но основная польза от этого видео, на мой взгляд - неплохо показан подход к анализу такого класса приложений, т.к. используемые техники легко натягиваются на анализ приложений-компаньонов для IoT например. Ну и те кто никогда не слышал про ImHex, но любят поволохать байтики, точно будут в восторге.
YouTube
BitChat Security Flaws - Writing a BitChat Spam App in Python
Check out the bitchat-spam repo! See you at DefCon ;)
https://github.com/BrownFineSecurity/bitchat-spam
Alex Radocea's blog post on BitChat security:
https://www.supernetworks.org/pages/blog/agentic-insecurity-vibes-on-bitchat
BitChat Website:
https://bit…
https://github.com/BrownFineSecurity/bitchat-spam
Alex Radocea's blog post on BitChat security:
https://www.supernetworks.org/pages/blog/agentic-insecurity-vibes-on-bitchat
BitChat Website:
https://bit…
❤4
Forwarded from VolgaCTF
Сохраняйте, чтобы удобно было использовать.
Возможные изменения в программе будут оперативно опубликованы, следите за обновлениями в канале
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Александр Вир про вашу (не)безопасность
Ещё один крутой спикер на VolgaCTF 2025!
В своем докладе «Архитектура утечек в операционной системе Android» Александр расскажет, как телефоны могут шпионить за хозяевами даже без симок и подключения к сети, а также, какие каналы утечек существуют, что может получить потенциальный злоумышленник и как нам с этим жить.
В конце доклада вас ждет обзор мер защиты, которые действительно работают и развенчание самых стойких мифов о настройках конфиденциальности.
Александр — специалист по информационной безопасности и партнер наших соревнований, на своих каналах он будет вести прямую трансляцию с площадки, так что, подписывайтесь 👇👇👇
🔵 IT Мемы -> @theaftertimes
🔵Про безопасность Android -> @rutheniumos
🔵НеБезопасность -> @securenot
Ещё один крутой спикер на VolgaCTF 2025!
В своем докладе «Архитектура утечек в операционной системе Android» Александр расскажет, как телефоны могут шпионить за хозяевами даже без симок и подключения к сети, а также, какие каналы утечек существуют, что может получить потенциальный злоумышленник и как нам с этим жить.
В конце доклада вас ждет обзор мер защиты, которые действительно работают и развенчание самых стойких мифов о настройках конфиденциальности.
Александр — специалист по информационной безопасности и партнер наших соревнований, на своих каналах он будет вести прямую трансляцию с площадки, так что, подписывайтесь 👇👇👇
🔵 IT Мемы -> @theaftertimes
🔵Про безопасность Android -> @rutheniumos
🔵НеБезопасность -> @securenot