Привет, Шляпники мои 🎩
Сеть победила и сегодня/завтра выложу что-нибудь интересное про трафик и сеть.
Но сейчас спонтанно пришла идея написать про waf, и в первую очередь скинуть статьи про них .✨

Какие у waf есть методы защиты

Анализ поведения и репутационный анализ

Грубо говоря есть базы подозрительных ip - c странных прокси или тор . И различные шаблонны поведения атак они могут указывать на вредоносный трафик, включая типы запросов, аномальные ответы сервера. Раньше WAF юзали в основном его , но сейчас часто используют и другие методы

Анализ трафика с помощью ИИ 

Алгоритмы искусственного интеллекта позволяют проводить поведенческий анализ шаблонов трафика, используя базовые поведенческие показатели для различных типов трафика для обнаружения аномалий, указывающих на атаку. Это позволяет обнаруживать атаки, которые не соответствуют известным вредоносным шаблонам. Но к этому методу у меня всегда были подозрения ибо я понимаю как сложно собрать обучающею базу для такого и потом эффективно применить на практике . Это минимум очень дорого. По этому часто такие методы не эффективны

Профилирование приложений  

Это включает в себя анализ структуры приложения, включая типичные запросы, URL-адреса, значения и разрешенные типы данных. Это позволяет WAF идентифицировать и блокировать потенциально вредоносные запросы.

Корреляционные двигатели  

Они анализируют входящий трафик и сортируют его с помощью известных сигнатур атак, профилирования приложений, анализа ИИ и настраиваемых правил, чтобы определить, следует ли его блокировать.

Добавление времени задержки при проксирование трафика так же полезно.

Настоятельно советую глянуть архив ниже💥.
Кстати помимо waf там есть статьи про работу F5. Мне кажется это довольно крутая тема.

А на этом все . Спасибо за прочьтение❤️ .
И не бегайте в сад к карточной королеве не будучи готовыми красить розы🌹🃏
#waf #web #protection

Hello, Hatterheads 🎩
The net has won and I'll post something interesting about traffic and the net today/tomorrow.
But now the idea came spontaneously to write about waf, and first of all to discount articles about them .✨

What are the waf's defenses

Behavior Analysis and Reputation Analysis.

Roughly speaking there are bases of suspicious ip - from strange proxies or tor . And different patterns of attack behavior they can indicate malicious traffic, including types of requests, anomalous server responses. WAF used to use it mainly, but now other methods are often used too.

Traffic analysis using AI 

Artificial intelligence algorithms allow behavioral analysis of traffic patterns, using basic behavioral indicators for different types of traffic to detect anomalies indicative of an attack. This allows you to detect attacks that don't match known malicious patterns. However, I've always been suspicious of this method because I understand how difficult it is to build a training foundation for this and then effectively enforce it. This minimum is very expensive. Because of this often such methods are not effective

Application profiling  

This involves analyzing the application structure, including typical queries, URLs, values and allowed data types. This allows WAF to identify and block potentially malicious requests.

Correlation engines.  

They analyze incoming traffic and sort it using known attack signatures, application profiling, AI analysis, and customizable rules to determine whether it should be blocked.

Adding lag time when proxying traffic is just as useful.

I strongly suggest checking out the archive below💥. 

By the way in addition to waf there are articles about how F5 works. I think it's a pretty cool topic.

And that's it . Thanks for reading❤️ .
And don't run to the card queen garden without being ready to paint roses🌹🃏
#waf #web

статьи про waf

articles about waf

#waf #web #ddos #f5

Здравствуйте мои Алисы- любители физики.🧬🎀

Простите за мое отсутствие.😢
Сегодня мы поговорим про взлом Air Gapped через кабели Ethernet.📡

Эта наша электромагнитная атака позволяет злоумышленникам получить чувствительные к утечке данные из изолированных сетей с воздушным зазором.  

Пост будет делиться на две части: 1 краткое описание , 2 тех подробности и защита

Первая часть- Описание

Начнем с того что такое Air Gapped или воздушного зазора?
В связи с повышенным риском утечки информации, когда речь идет об особенно секретных данных(к примеру правительственных и военных) , организация может перейти к так называемой изоляции воздушного зазора. (как в пентагоне или например, SIPRNet это система изолированных и взаимосвязанных сетей, используемые Министерством обороны США для обмена информацией)
Компьютеры с воздушным зазором полностью отделены от внешних глобальных сетей (WAN).
Хоть многие и говорят "такое нельзя взломать", это далеко не правда.
Просто атаки нужно делать более на физическом уровне продвинутыми, более профессиональными так сказать .
Как например атака через модули wifi на телефонах, или есть чудесный вид атак через usb накопители .

Вообще если более конкретно какие есть методы атак то: можно использовать радиоволны, исходящие от внутренних электронных компонентов для передачи данных ,светодиоды состояния на настольных компьютерах для скрытой передачи информацию, акустические , тепловые , магнитные ,электрические ..

Сейчас я хочу рассказать про атаки типа LANTENNA

Отностительно новый тип электромагнитной атаки, использующий сетевые кабели Ethernet.

Если кратко о нашей атаке:

Вредоносный код на изолированных компьютерах собирает конфиденциальные данные, а затем кодирует их радиоволны, исходящие от кабелей Ethernet, используя их как антенны.
Ближайшее принимающее устройство может перехватывать сигналы по беспроводной сети, декодировать и отправить злоумышленнику наши данные . 

Конкретнее про модель атаки модель атаки состоит из двух основных этапов: Заражение закрытой среды и эксфильтрация данных( в посте будет про последние) .
В первом шаге атаки, среда с воздушным зазором заражена вредоносным ПО.
Цель APT обычно состоит в повышение привилегий и распространения в сети, для усиления точки опоры в организации. На этом этапе злоумышленник может собирать данные со взломанных компьютеров: документами, базами данных, учетными данными доступа, ключи шифрования и тд

Далее идеи передача данных: как только данные собраны, вредоносное ПО эксфильтрует его по скрытому каналу.
В этом случае атаки LANTENNA, они модулирует данные и передают их через радиоволны, исходящие из Ethernet. Вредоносное ПО, на изолированной рабочей станции генерирует электромагнитное излучение от
Ethernet-кабеля м двоичная информация модулируется поверх сигналов и перехватывается ближайшим радиоприемником.
Грубо говоря модель атаки: злоумышленники собрали важные данные на нашем рабочем компе . Теперь им нудно их вытащить . Это они смогут сделать чрез придачу UDP-пакетов, из кабелей Ethernet на их рабочей частоте.
#еtthernet #wireless_hacking #network #air_gap

Чать 2 -Техподробности и защита 🔧

Кабели Ethernet соединяют сетевые устройства, такие как рабочие станции и серверы, принтеры, камеры, маршрутизаторы и коммутаторы внутри локальной сети (LAN). 
Сетевой кабель состоит из восьми проводов, скрученных в четыре пары. Несколько категории (cat) кабелей Ethernet определяют такие параметры, как рабочие частоты, экранирование и полоса пропускания. 

Про кабели
Есть розненные кабели :
Cat 5e,5 , работает на максимальной частоте 100 МГц. Cat 6 и 6a поддерживают пропускную способность до 1 Гбит/с . Cat 6a пропускная способность сети до 10 Гбит/с.
Cat 7 и Cat 7a кабели поддерживают более высокую пропускную способность до 10-40 Гбит на дальность около 15 метров. Кабели категории 7 экранированы и содержат
четыре индивидуально экранированные пары внутри общего экрана. Они изготовлены с разъемом GG45, который также совместим с портами RJ45 Ethernet.
Помимо них есть еще кабели, но они мнение распространённые

Так к чему это?
Кабели Ethernet излучают электромагнитные волны на частоте 125 МГц и ее гармоники (например, 250 МГц и 375 МГц).
Обратите внимание, что излучаемые полосы частот определяются по рабочей частоте кабеля (например, 0-250 МГц для Cat 6, 0–500 МГц для Cat 6a и 0–700 МГц для кабелей категории 7).

Скорость адаптера или включение и выключение позволяет регулировать электромагнитное излучение и его амплитуду активности слоев данных и ссылок определяют текущий поток на медных проводах кабелей Ethernet. Отправляя необработанные UDP-пакеты, мы могли бы инициировать и регулировать передачу из кабель Ethernet на его рабочей частоте.🔭
В статье данные с компьютера с воздушным зазором были переданы через кабель Ethernet на расстоянии 200 см друг от друга. Точная полоса частот зависит от типа передающего устройства. База
частот обернута вокруг 250 МГц с различиями менее 0,1 МГц между ними.

А как же защищаться?💊

Есть несколько защитных мер, которые можно предпринять LANTENNA атак.

Например, самое эффективное это то что любой радиоприемник должен быть запрещен в зоне закрытых сетей.

🙃

Это понятно, а как можно обнаружить такие атаки ?

Можно отслеживать активность соединения сетевой карты у пользователя и уровни ядра.

В нашем случае любое изменение состояния ссылки должно вызвать оповещение. Например, использование ethtool для изменения конфигурации интерфейса должна быть проверена. Если скорость переключается в течение короткого периода времени, активность должна блочиться .
Но этот метод можно обойти различными вредоносми🦠 .

По этому есть подход, где брандмауэр уровня гипервизора

Он проверяет изменения в сетевом интерфейсе и проверяет UDP от активной виртуальной машины.
Нерегулярные действия регистрируются, а исходящие пакеты блокируются.
Еще есть несколько видов защиты таких как: мониторинг сигналов или их заглушение
Еще есть метод такой как экранирование кабеля :
Металлическое экранирование является типичной мерой, используемой для блокировки или ограничения электромагнитные поля от помех или исходящих от них экранированных проводов.

Подобные взломы в основном происходят на проф уровне. А в обычной жизни доступны в основном всяким федералам. 🔑
Советую вам прочитать статью ниже там дан более подробный матерьял с примерами кода и иллюстрациями .

Спасибо за прочтение .❤️
И помните пока вы, следуйте за белым кроликом чеширский кот следует за вами🐰
#еtthernet #wireless_hacking #network #air_gap #protection

Hello my Alice physics lovers.🧬🎀

Forgive my absence.😢
Today we're going to talk about hacking Air Gapped through Ethernet cables.📡

This electromagnetic attack of ours allows attackers to get leak-sensitive data from isolated networks with an air gap.  

The post will be divided into two parts: 1 brief denoscription , 2 tech details and protection

Part 1 Denoscription

Let's start with what is Air Gap?
Due to the risk of increased security risks, when it comes to sensitive data (e.g. from the government and the military), an organization can move to what is called an air gap isolation. (as in the Pentagon or e.g. SIPRNet is a system of isolated and interconnected networks used by the US Department of Defense for the exchange of information)
Air-gap computers are completely separate from external wide area networks (WANs).
While many people say "you can't hack that," it's far from the truth.
The attacks just need to be more physically advanced, more professional so to speak.
Like for example the attack via wifi modules on phones, or there is a wonderful kind of attack via usb drives.

In general, if you are more specifically what are the methods of attack: you can use radio waves coming from internal electronic components for transmitting data, LEDs on desktops for hidden data transfer, acoustic, thermal, magnetic, electrical.

Now I want to talk about LANTENNA type attacks

A relatively new type of electromagnetic attack, using Ethernet network cables.

To give you a brief introduction to our attack:

Malicious code on isolated computers collects sensitive data and then encodes it with radio waves emanating from Ethernet cables, using them as antennas.
A nearby receiving device can intercept the signals over the wireless network, decode and send the attacker our data . 

More specifically about the attack model the attack model consists of two main steps: Infecting a closed environment and exfiltrating the data (the latter will be discussed in the post) .
In the first step of the attack, the air gap environment is infected with malware.
The purpose of APT is usually to elevate privilege and spread in the network, to strengthen the fulcrum in the organization. At this stage, the attacker can collect data from compromised computers: documents, databases, access credentials, encryption keys, etc.

Next, the data transfer ideas: once the data is collected, the malware exfiltrates it through a covert channel.
In this case, LANTENNA attacks, they modulate the data and transmit it through radio waves coming from Ethernet. The malware, on an isolated workstation, generates electromagnetic radiation from the
Ethernet cable m binary information is modulated over the signals and intercepted by a nearby radio receiver.
Roughly speaking, the attack model: the intruders have collected important data from our work computer. Now they need to get it out. They can do this by attaching UDP packets, from the Ethernet cables on their working frequency.
#еtthernet #wireless_hacking #network #air_gap

Part 2 -Technical details and protection 🔧

Ethernet cables connect network devices such as workstations and servers, printers, cameras, routers, and switches within a local area network (LAN). 
A network cable consists of eight wires twisted into four pairs. Several categories (cat) of Ethernet cables determine parameters such as operating frequencies, shielding, and bandwidth. 

About cables
There are different cables:
Cat 5e,5 , operates at a maximum frequency of 100 MHz.
Cat 6 and 6a support bandwidth up to 1 Gbit/s. Cat 6a bandwidth up to 10 Gbit / s.
Cat 7 and Cat 7a cables support higher bandwidths up to 10-40 Gbps over a range of about 15 meters. Category 7 cables are shielded and contain
four individually shielded pairs within a common shield. They are made with a GG45 connector, which is also compatible with RJ45 Ethernet ports.
There are other cables besides these, but they are common

So what is the point?
Ethernet cables emit electromagnetic waves at 125 MHz and its harmonics (e.g. 250 MHz and 375 MHz).
Note that the emitted frequency bands are determined by the operating frequency of the cable (e.g. 0-250 MHz for Cat 6, 0-500 MHz for Cat 6a, and 0-700 MHz for Category 7 cables).

The adapter speed or on and off allows you to adjust the electromagnetic emission and its amplitude of activity of the data and link layers determine the current flow on the copper wires of the Ethernet cables. By sending raw UDP packets, we could initiate and regulate the transmission from the Ethernet cable at its operating frequency.🔭

In the article, the data from the air gap computer was transmitted over an Ethernet cable 200 cm apart. The exact bandwidth depends on the type of transmitting device. The base
frequencies are wrapped around 250 MHz with less than 0.1 MHz difference between them.

So how do you protect yourself? 💊

There are several defensive measures that can be taken by LANTENNA attacks.

For example, the most effective one is that any radio should be banned from the area of closed networks.

🙃

This is clear, but how can one detect such attacks ?

You can monitor the link activity of the NIC at the user and the kernel levels.

In our case, any change in link state should trigger an alert. For example, using ethtool to change the interface configuration should be checked. If the speed is switched for a short period of time, the activity should be blocked .
But it is possible to bypass this method with different malware🦠 .

So there is an approach where a hypervisor-level firewall

It checks for changes on the network interface and checks for UDP from the active virtual machine.
Irregular activities are logged and outgoing packets are blocked.
There are also several types of protection such as: signal monitoring or signal jamming
There is also a method such as cable shielding:
Metal shielding is a typical measure used to block or limit electromagnetic fields from interference or outgoing shielded wires.

This kind of hacking mostly takes place at the professional level. And in normal life are mostly available to all sorts of feds. 🔑
I suggest you read the article below where you can find more detailed information with code examples and illustrations.

Thank you for reading.❤️
And remember while you, follow the white rabbit the cheshire cat follows you🐰
#еtthernet #wireless_hacking #network #air_gap

Полная сатья про это✨

Full article about it✨
#еtthernet #wireless_hacking #network #air_gap

Добрый день котки которые любят улыбаться 😺🎩

Захотелось сделать пост про: Уязвимости и проблемы безопасности и ее требования в 5G📡 а так же поделиться крутыми статьями про эту тему . Пост состоит из двух частей ибо он длинный

Некоторым кажется далёким приход этих сетей, хотя это далеко не так.
Во многих регионах особенно в ЕС или Китае уже активно юзают 5G (да и по прогнозам 6G уже не за горами про него и его безопасность будет пост в будущем) . А 5G активно используют , его захотят взломать .

Об это мы с вами и поговорим точнее об атаках и безопасности .

5G более безопасная , чем его предшественники, по крайней мере так задумывалось .
У самой 5G изначально было 2 реализации NSA и SA.

NSA- реализация работает на основе ядра прошлого 4G поколения  сети . 

По этому может иметь уязвимости прошлого поколения . Тем не менее на практике именно она гораздо проще во внедрение .
SA в свою очередь "самобытная 5G" то-есть она имеет самобытное ядро 5GC .
И в ней не будет уязвимостей ядер других поколений. Но она гораздо сложнее во внедрение .

Но давайте разберем сами уязвимости и возможные атаки на 5G.🔭

1) Манипуляции с конфигурацией сети :
Отравление таблицы маршрутизации, манипуляция DNS или фальсификация криптографических ключей и политик. Эти атаки нацелены на AMF, DNS-сервер или PCF.
Если смотреть с точки зрения EPC, атаки будет нацелен на MME и PCRF.

Чтобы смягчить эти атаки, можно к примеру уменьшать привилегии юзеров . 

Что касается манипуляций с DNS, DNSSEC могут использоваться для противодействия атакам.

DNSSEC предоставляет открытый ключ для проверки результата DNS-запроса

2) Вредоносное ПО:
Программные атаки на CN могут привести к недоступности услуг или уничтожению информации.
Для защиты от этих атак думаю лучшее что я могу предложить это обновлять ваши технологии, тестить сеть на уязвимости, и конечно делать бекапы🙃

3) Аппаратные манипуляции:
Атаки физического оборудования, точнее сказать это атаки по побочному каналу. Атака по побочному каналу использует текущие измерения от заданного устройства для обработки или получения данных.
Поскольку эта атака работает по сторонним каналам — это физическая атака, то-есть ее обычно сложнее сделать .
Защита от этих атак обычно требует специального оборудования. Для защиты от таких атак можно выравнивать энергопотребления для пиков/аномалий для специально разработанного оборудования.
Еще TPM был бы простым и хорошим решением для этого.

4) Утечка информации:
Несанкционированный доступ к пользовательским данным, криптографические ключи и журналы, которые просочились. Эти типы атаки будут направлены на SMF.
Контрмеры могут заключаться в реализации туннельного шифрования с IPsec для обеспечения
конфиденциальность и целостность IP-пакетов.

5) Злоупотребление аутентификацией:
результат нарушения целостности, повышения привилегий. Такие атаки могут быть направлены к AMF и AKA, который представляет собой протокол запроса/ответа, основанный на SQN.

Для предотвращения этой атаки предлагается что механизм сокрытия использует симметричное шифрование .

6) Какие-то случайные баги и человеческий фактор:
даже хорошо спроектированная и защищенная сеть не может быть надежна на 100%. К примеру неправильные настройки могут привести к нарушениям безопасности или любой другой человеческий фактор.
Чтобы смягчить эти виды ошибок, нужно автоматизировать человеческий аспект или ввести проверку коммитов и мониторинг.
#5g #network #mobile #attacks #protection

Давайте приведем более техничные примеры атак .🙃

В 5G могут быть атаки типо подслушивание:

это тип атаки, при котором злоумышленник прослушивает ваш трафик на устройства UE и от них, и получает конфиденциальную информацию юзеров.

Для защиты от этого 5G использует SUPI и SUCI,  5G-GUTI.

Пример угрозы против GUTI можно найти во входящем вызове или сообщении, когда сеть направляет UE к его последнему известному местоположение. Это отправляется в виде обычного текста без какой-либо аутентичности или защиты целостности по каналу пейджинга.

Эксплуатация этого отправленного пейджингового сообщения может привести к отслеживанию местоположения. 

🦠

Так же в 5G есть угрозы передачи сигналов📡:

С помощью вредоносов сигнальные штормы могут быть использованы для перегрузки RAN и CN. 

В некоторых случаях эта атака может также использоваться для разрядки батареи мобильного устройства, используя PSM введенный в 3GPP Release 12.
А злоумышленник может воспользоваться этой функцией, чтобы разрядить аккумулятор.
Исследования в статьях ниже показало что процесс регистрации не прерывается, даже если проверка целостности не удается на MME.
В этом контексте, сообщение TAU является уязвимым и может быть модифицировано, чтобы вызвать разрядку аккумулятора.

Как вы видите 5G не такая безопасная как могло показаться на первый взгляд .
Для более подробного технического ознакомления гляньте архив ниже🔑✨ .
А на этом все , спасибо за прочтение ❤️.
И помните не покупайте шляпу у шляпника если он безумен🎩
#5g #network #mobile #attacks

Good afternoon cats who like to smile 😺🎩

Wanted to do a post about: Vulnerabilities and security issues and requirements in 5G📡 as well as share some cool articles about the topic. This post is in two parts because it's a long one.

To some people it seems far away the arrival of these networks, although this is far from it.
In many regions especially in EU or China already actively use 5G (and according to the forecasts 6G is not far off about it and its security will be a post in the future) . And 5G is actively used, they will want to hack it.

About it we will talk more exactly about attacks and security.

5G is more secure than its predecessors, at least that was the idea.
The 5G itself originally had two implementations NSA and SA.

NSA- implementation works on the basis of the core of the last 4G generation network. 

On this may have the vulnerabilities of the previous generation. Nevertheless, in practice, it is much easier to implement.

SA in turn "native 5G" that is, it has a native 5GC core. 

And it will not have the vulnerabilities of other generations cores. But it is much harder to implement.

But let's look at the vulnerabilities and possible attacks on 5G.🔭

1) Network Configuration Manipulation :
Poisoning the routing table, manipulating DNS, or tampering with cryptographic keys and policies. These attacks target AMF, DNS server or PCF.
When viewed from the EPC perspective, attacks will target MME and PCRF.

To mitigate these attacks it is possible to e.g. decrease user privileges. 

With regards to DNS manipulation, DNSSEC can be used to mitigate attacks.

DNSSEC provides a public key to verify the result of a DNS query.

2) Malware:
Software attacks on CN can lead to inaccessibility of services or destruction of information.
To protect against these attacks I think the best I can suggest is to update your technology, test your network for vulnerabilities, and of course do backups🙃

3) Hardware manipulation:
Physical hardware attacks, more accurately these are sidelink attacks. A side-channel attack uses current measurements from a given device to process or receive data.
Since this attack works through third-party channels, it is a physical attack, i.e. it is usually harder to do .
Defending against these attacks usually requires special equipment. To protect against such attacks, power consumption can be equalized for peaks/anomalies for specially designed equipment.

TPM would also be a simple and good solution for this.

4) Information leakage:
Unauthorized access to user data, cryptographic keys and logs that are leaked. These types of attacks will target SMF.
Countermeasures could be to implement tunnel encryption with IPsec to ensure
confidentiality and integrity of IP packets.

5) Authentication abuse:
The result of integrity violations, privilege escalation. Such attacks can target AMF and AKA, which is a request/response protocol based on SQN.

To prevent this attack, it is suggested that the concealment mechanism uses symmetric encryption .

6) Some random bugs and human error:
Even a well designed and secured network cannot be 100% reliable. For example the wrong settings may lead to security breaches or any other human error.
To mitigate these types of bugs, you need to automate the human aspect or introduce commit checking and monitoring.
#5g #network #mobile #attacks #protection

Let's give some more technical examples of attacks .🙃

In 5G, there can be a type of eavesdropping attack:

This is a type of attack in which an attacker eavesdrops on your traffic to and from UE devices, and obtains confidential user information.

To protect against this, 5G uses SUPI and SUCI, 5G-GUTI.

An example of a threat against GUTI can be found in an incoming call or message where the network directs the UE to its last known location. This is sent as plain text without any authenticity or integrity protection over the paging channel.

Exploiting this sent paging message can lead to location tracking. 🦠

There are also signaling threats in 5G📡:

With malware, signal storms can be used to overload RANs and CNs. 

In some cases, this attack can also be used to drain the battery of a mobile device using the PSM introduced in 3GPP Release 12.
And an attacker can use this feature to drain the battery.
Research in the articles below has shown that the registration process is not interrupted even if the integrity check fails on the MME.
In this context, the TAU message is vulnerable and can be modified to cause a battery drain.

As you can see 5G is not as secure as it may have seemed at first glance .

For a more technical look at the archive below🔑✨ . 

That's all, thanks for reading ❤️.
And remember don't buy a hat from a hatter if he's crazy🎩
#5g #network #mobile #attacks

Статьи про атаки , угрозы , меры безопасности и подробную работу 5G , надеюсь вам будет полезно ❤️✨

Articles about attacks, threats, security measures and detailed operation of 5G, I hope you will find useful ✨❤️
#5g #network #mobile #attacks #protection

Привет, тебе моя Алиса.🎀✨

Вот тебе забавная уязвимость в продукте Oracle Java SE, Oracle GraalVM Enterprise Edition для Oracle Java SE - CVE-2022-21449

Для начала предисловие ✨

ECDSA является широко используемым стандартом для подписи всех видов цифровых документов.

По сравнению со старым стандартом RSA ключи и подписи на эллиптических кривых, как правило, намного меньше для обеспечения эквивалентной безопасности, в результате чего они широко используются в тех случаях, когда размер имеет большое значение🙃
Например, стандарт WebAuthn для двухфакторной аутентификации позволяет производителям устройств выбирать из широкого спектра алгоритмов подписи, но на практике почти все устройства, произведенные сейчас, поддерживают только подписи ECDSA (заметным исключением является Windows Hello, в которой используется RSA). Подписи.

ECDSA состоит из двух значений, называемых r и s . 

Чтобы проверить подпись ECDSA , верификатор проверяет уравнение, включающее r , s , открытый ключ подписавшего и хэш сообщения. Если две части уравнения равны, то подпись действительна, в противном случае она отклоняется.

Одна часть уравнения равна r , а другая часть умножается на r и значение, полученное из s . Так что, очевидно, было бы очень плохо, если бы r и s были равны 0, потому что тогда вы бы проверяли, что 0 = 0 ⨉ [куча вещей] , что будет истинным независимо от значения [куча вещей]. ] ! И эта куча вещей — важные биты, такие как сообщение и открытый ключ.

Вот почему самая первая проверка в алгоритме проверки ECDSA заключается в том, чтобы убедиться, что r и s оба >= 1.

Java забыл сделать реализацию проверки подписи ECDSA в Java грубо говоря она не проверяла, равны ли r или s нулю, поэтому вы можете создать значение подписи, в котором они оба равны 0 😶‍🌫️, и Java примет его как действительную подпись для любого сообщения и для любого общедоступного сообщения.

Вот статья с более подробным описанием тык
Вот сканер и подтверждение ее использования:
Реализация и подтверждение на go тык
Сканер наличие это уязвимости на python тык
Будьте осторожны при работе с java всегда проверяйте код на уязвимости🙃

А на это все . Спасибо за прочтение. ❤️
А тебе дорогая Алиса , удачной игры в крокет с Чеширским котом🐈
#cryptography #cve #scanners #java

Hello, my Alice .🎀✨

Here's a fun vulnerability in the Oracle Java SE product, Oracle GraalVM Enterprise Edition for Oracle Java SE - CVE-2022-21449

To begin with a preface ✨

ECDSA is a widely used standard for signing all kinds of digital documents.

Compared to the older RSA standard, elliptic curve keys and signatures tend to be much smaller for equivalent security, resulting in their widespread use where size matters🙃
For example, the WebAuthn standard for two-factor authentication allows device manufacturers to choose from a wide range of signature algorithms, but in practice almost all devices manufactured now support only ECDSA signatures (a notable exception is Windows Hello, which uses RSA). Signatures.

ECDSA consists of two values called r and s . 

To verify an ECDSA signature, the verifier checks an equation that includes r , s , the signer's public key, and the message hash. If the two parts of the equation are equal, the signature is valid, otherwise it is rejected.

One part of the equation is equal to r , and the other part is multiplied by r and the value obtained from s . So obviously it would be very bad if r and s were equal to 0, because then you would be checking that 0 = 0 ⨉ [a bunch of stuff] , which would be true regardless of the value of [a bunch of stuff] . ] ! And that pile of things are important bits, such as the message and the public key.

That's why the very first check in the ECDSA checking algorithm is to make sure that r and s are both >= 1.

Java forgot to do an implementation of ECDSA signature checking in Java roughly it didn't check if r or s were equal to zero, so you can create a signature value where they are both 0 😶‍🌫️ and Java will accept it as a valid signature for any message and for any publicly available message.

Here's an article with more details link
Here is the scanner and confirmation of its use:
Implementation and acknowledgement on go link
Scanner for this python vulnerability link
Be careful when working with java always check the code for vulnerability🙃

And that's it . Thanks for reading. ❤️
And to you dear Alice , have a good croquet game with the Cheshire cat🐈
#cryptography #cve #scanners #java

Здравствуйте мои белые кролики. 🐰
Перед началом:
Хочу поблагодарить вас 500 людей на канале, я очень этому рада 🎉❤️

Я хочу рассказать про криминалистику мобильных сетей📡, и как эти доказательства будут применяться в суде.

Пост разделен на 3 ибо он длинный, так же ниже будет архив с подробными матерьялами по этой тематике⭐️

Сейчас буквально у всех есть мобильные телефоны с возможностью юзать многие интернет сервисы, подобное и повышение коммуникабельности приводит к снижению "обычных" коммуникационных событий (голосовые вызовы, текстовые сообщения и тд), зафиксированных в раскрытых CDR сейчас стало больше событий с передачей GPRS/мобильных данных, зафиксированных в биллинговых данных.
А это означает, что аналитики вынуждены анализировать все большей масштабы данных что довольно трудоемко🧩
Влияние неопределенности, существующей в отношении CDR GPRS/мобильных данных, в частности в отношении "стартовой ячейки", указанной в CDR, и корреляции между этой ячейкой и выводы о сотовом сайте, основанные на доказательствах GPRS, часто не могут быть столь же определенными, как данные, которые могут быть сделаны на основе данных GPRS.

Для начала немножко про GPRS

GPRS предлагает услугу передачи данных "с коммутацией пакетов".
Услуги с PS обычно только занимают ячейку соединения, когда им действительно есть что отправлять или получать(сообщения , звонки и тд)
Это делает его хорошо подходящими для передачи трафика данных.
Большинство приложений для передачи данных - просмотр веб-страниц, электронная почта и тд, имеют данные, которыми нужно обмениваться лишь периодически(пакетиками)
Но грубо говоря, термин "GPRS" (и связанный с ним термин "EDGE") относится только к службе мобильной передачи данных, предоставляемой в сетях 2G. В сетях 3G, 4G и 5G эта услуга называется
просто "мобильными данными" или "данными с коммутацией пакетов", но термин "GPRS" прижился и ошибочно используется как общий термин для всех услуг мобильной передачи данных.
В дальнейшем тексте термины "GPRS" и "сети передачи данных PS" будут использоваться для обозначения ко всем поколениям мобильно сети 🙃

Услуги передачи данных 2G GPRS используют те же радиоканалы, соты и сети доступа, что и голосовые услуги 2G голосовые услуги GSM.
GSM увеличивает пропускную способность своих радиоканалов путем разделения каждый из них на набор из 8 "таймслотов" - до 8 телефонов используют один и тот же радиоканал одновременно, каждый из которых периодически передает/принимает небольшие объемы данных в свой собственный
таймслоте в строгой последовательности.

BSC в 2G обрабатывает трафик, полученный в таймслотах "голос" и "данные" по-разному, перенаправляя голосовой трафик в основную сеть CS, а трафик данных - в основную сеть PS
базовой сети.

Радиоканалы 3G/4G/5G не используют таймслоты, но предоставляют общий доступ к ресурсам соединений, которые они используют. Общие термины "соединения" или "сеансы" будут используются для описания подключения данных PS, используемого всеми поколениями сетей.
Основная сеть PS 2G/3G состоит из двух основных элементов, известных как SGSN и GGSN . SGSN взаимодействует с сетью доступа и управляет обменом пакетами данных с мобильными устройствами. SGSN получает запросы на установку сеанса передачи данных от мобильных устройств и передает их в GGSN. Как только сеанс активирован, SGSN передает пакеты данных как в восходящем, так и в нисходящем и ведет подсчет объема отправленных и полученных данных.

SGSN также периодически получает информацию о соте, которую в настоящее время использует каждое активное мобильное устройство и принимает к сведению любые изменения соты или области маршрутизации. GGSN - это, по сути, маршрутизатор, который взаимодействует с внешними сетями, такими как интернет
#GPRS #network #mobile #forensics

Каждый GGSN может подключаться к нескольким внешним сетям и включает в себя логический элемент, известный как APN элемент, для выполнения обязанностей по взаимодействию с каждой конкретной внешней сети. 😶‍🌫️

Имя, присвоенное APN, обычно отражает сеть или услуги, к которой она подключается, поэтому типичными являются APN 'Internet', 'MMS' и 'ims'. SGSN и GGSN генерируют CDR  для каждого сеанса передачи данных и передают их в сеть.

В базовой сети 4G PS используются устройства, аналогичные SGSN/GGSN, которые называются S-GW и P-GW . Контроль соединений и управление абонентами в сетях 4G осуществляется с помощью MME . Биллинговые данные для сеансов передачи данных 4G генерируются в S-GW и P-GW.

В сетях 5G используются аналогичные методы обработки мобильных данных, что и в сетях 4G, хотя названия сетевых узлов снова изменились: вместо типов узлов обработки пакетных данных, в сети 5G имеется только один тип устройств, известный как UPF . Управление соединениями и абонентами осуществляется узлом, известным как AMF (функция управления доступом и мобильностью).
Данные для выставления счетов генерируются в UPF.

Голосовые и текстовые события обычно имеют очень четкую временную идентичность, в том смысле есть с времени начала до окончания голосового вызова и время передачи или время доставки текстового события.
Записи вызовов для событий SMS определяют идентификатор соты, которая использовалась для передачи текстового сообщения.
Передача SMS обычно занимает всего несколько десятков миллисекунд, не существует механизма, позволяющего, позволяющего осуществлять переключение во время SMS-события, поэтому в записях SMS обычно указывается только
идентификатор "стартовой" ячейки.

В случае как голосовых, так и SMS-событий, аналитики сотовых сайтов могут быть абсолютно уверены в том, что целевой телефон находился в зоне покрытия перечисленных сот в момент начала события и (в случае голосовых записей) в момент начала события и в момент его окончания. 👌
Таким образом, по отчетам сотовых сайтов можно сделать вывод в отношении соты, обслуживающей важное местоположение, что использование этой соты согласуется с возможностью того, что целевой телефон мог находиться "в" этом месте

CDR данных GPRS/PS могут быть гораздо менее определенными в отношении корреляции их временных меток и начальных ячеек, и поэтому потенциально менее ценны с точки зрения доказательств о сотовом сайте, которые они могут предоставить.
Новый CDR данных GPRS/PS открывается, когда мобильное устройство устанавливает новый логический сеанс связи с сетью передачи данных
Например, с интернетом📡, там каждому новому сеансу присваивается отдельный идентификатор.

Отдельные CDR генерируются узлами SGSN/S-GW и GGSN/P-GW.
#GPRS #network #mobile #forensics

Ну так вот к чему эти тех подробности ?

Они нужны для того чтобы вы поняли как работают мобильные сети и как передаются данные по ним, чтобы понимать как вас можно отследить .

Что собирает наш оператор ?

А собирает он и виде много чего что у нас есть, как вы читали ранее:
От нашего точного местоположение(даже при отсутствии вызовов) , до истории поиска и сайтов в интернете, звонки и смс (но там немного сложнее как вы читали выше), или что вы используйте i2p , vpn или tor .

Из-за этого я искренне советую не пользоваться чем то подобным с телефоном .

Более подробно именно по сбору данных в статьях в архиве ниже✨🧩

Но так что из этого можно применить в суде ?

Поговорим о криминалистике операторов MNO и операторов MVNO, но ремарочка все что здесь сказано имеет отношение в основном к США тем не менее многое из нее уместно и в других странах .
Но так вот как мы наверное знаем активность абонентов MNO/MVNO , определенные в стандартах 3G это CDR ,он представляет собой некую "коллекция информации о платном событии "(например, время установления вызова, продолжительность вызова, объем переданных данных и тд)
CDR, относятся к классу не зависимых доказательств. Т.е эти доказательства представляются в зале суда в основном качестве доказательств деловой документации.

Обычно ключевыми доказательствами юзается такая инфа как данные о CDR/CSLI и MNO так же могут юзать записи активности абонентов мобильной сети (созданные во время использования абонентского устройства, пока оно зарегистрировано в MNO/MVNO инфраструктуре и во время коммуникаций сеансов связи), голосовые вызовы, текстовые SMS, голосовые вызовы, текстовые сообщения SMS и использование данных.
Множество элементов мобильной элементов сети, включая HLR, VLR , CGF, PCRF документируются в качестве доказательств использование устройства , так же отправка записей об активности на шлюз выставления счетов/выставления счетов.

Думаю на этом все✨
Для более подробного ознакомления глянуть архив со статьями ниже. Там много итересного 🙃

Спасибо за прочтение❤️ .
И помните даже если вы не червонный валет, вас тоже могут судить у пиковой королевы🃏♠️
#network #mobile #forensics