Рубрика «криптография»

image

Фотографы, создатели фильмов и цифровые художники из кожи вон лезут, чеканя NFT в попытке по-быстрому разбогатеть, но на самом деле только способствуют перетоку денег от творцов к технологическим миллиардерам. Почему так много людей купилось на идею о том, что нечто является ценностью просто потому, что все так говорят?

Если вы ещё не создали свой первый NFT и вам интересно, как это работает, то вкратце процесс выглядит так: вы заводите кошелёк, покупаете немного Ethereum и выбираете платформу. Затем берёте одно из своих цифровых творений и платите примерно 70-100 долларов, чтобы «отчеканить» это to произведение в Non-Fungible Token (невзаимозаменяемый токен). Выбираете начальную цену и ждёте, когда начнут поступать ставки. Можно даже подготовиться к аукциону, чтобы создать ажиотаж.
Читать полностью »

Зодиак (неопознанный американский серийный убийца, действовавший в 60-х и 70-х годах прошлого века) отправил множество издевательских писем в прессу города Сан-Франциско. В этих письмах убийца брал на себя ответственность за преступления и угрожал совершить новые убийства. Письма также содержали три шифра, каждый из которых являлся частью 408-символьной криптограммы. Убийца утверждал, что эта криптограмма раскроет секрет его личности. Зодиак отправил четвертый и последний шифр (который рассматривается в этой статье) в San Francisco Chronicle после того, как 408-символьная криптограмма, расшифрованная в 1969 году, не раскрыла личность убийцы.

Читать полностью »

image

Инженеры намекнули, что спрятали зашифрованное послание в парашюте, с помощью которого совершил посадку марсоход Perseverance. Энтузиастам на решение этой загадки потребовалось несколько часов.

Когда на прошлой неделе марсоход NASA Perseverance преодолевал атмосферу Марса, видеокамера на устройстве зафиксировала головокружительное раскрытие парашюта, украшенного красно-оранжевыми и белыми пятнами.

В этих пятнах было закодировано секретное сообщение.

Во время пресс-конференции в понедельник Аллен Чен, инженер, отвечающий за систему посадки, рассказал о том, что можно было увидеть и узнать из замедленного видео.

Он добавил, загадочно и беспечно, что его команда надеется вдохновить других. «Иногда мы оставляем сообщения в нашей работе, чтобы другие могли их найти и получить дозу мотивации», — сказал он. «Поэтому мы приглашаем всех вас поучаствовать и показать свои работы».
Читать полностью »

Примечание: проблема решена. Сейчас национальный домен .cd уже не делегирует полномочия скомпрометированному нейм-серверу

TL;DR Представьте, что может произойти, если национальный домен верхнего уровня (ccTLD) суверенного государства попадет в чужие руки. Однако я (@Almroot) купил доменное имя, которое указано для делегирования NS в национальном домене Демократической Республики Конго (.cd), и временно принял более 50% всего DNS-трафика для этой TLD. На моём месте мог оказаться злоумышленник, который использовал бы эту возможность для MITM или других злоупотреблений.

Как я угнал национальный домен Демократической Республики Конго - 1
Читать полностью »

Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ - 1

Доброго времени суток! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

Читать полностью »

На фоне борьбы мессанджеров, особенно когда WhatsApp так сильно скомпрометировал себя, очередной раз встал вопрос о безопасности общения и приватных данных. И конечно что же всех интересуют доказательство того, что нашу переписку невозможно прочесть.

Читать полностью »

Disclaimer. Я не «настоящий сварщик», но, в связи с поиском интересной работы в сфере информационной безопасности, в последнее время регулярно решаю разные CTF и машинки на HackTheBox. Поэтому, когда мне прислали ссылку на одно из тестовых заданий в стиле CTF, я не смог пройти мимо…

История одного «сломанного» тестового задания или осторожнее с версиями OpenSSL… - 1

Смысл тестового задания достаточно простой. Дан дамп трафика, в котором спрятан ключ шифрования, некий мусор и зашифрованный флаг. Нужно их извлечь и расшифровать флаг. Также приведена команда OpenSSL, с помощью которой был зашифрован данный флаг. Трафик достаточно интересный, но уже через 10 строк кода на питоне передо мной лежал ключ шифрования, мусор и зашифрованный флаг. Казалось бы, что может пойти не так?

Читать полностью »

image

Прошло 2 года с тех пор, как в России появилась возможность разворачивать IoT-системы на базе технологии NB-IoT. Счётчики, сами отправляющие свои показатели в ЖКХ, автоматические микро-метеозонды вдали от цивилизации, умное сельское хозяйство — всё это скоро станет частью повседневности.

Важно, чтобы ни система устройств, ни данные, которые она собирает и передаёт, не были использованы против пользователей системы. Если вам интересно, как стандарт NB-IoT защищает их от сетевых атак, то приглашаю под кат.

Читать полностью »

Если необходимость — мать изобретения, то неблагоприятная обстановка и драматические события — это, пожалуй, мать криптоанализа.

Автор "Книги шифров" - Сингх Саймон.

Какие способы взлома эффективнее? Поиск уязвимостей в программах? Полный перебор? Разгадывание хэша? А вот и не угадали. Именно атаки на уровне пользователя эффективнее всего справляются со своей задачей.

Одна из основных проблем криптографии как раз и состоит в том, что человек является слабым звеном в криптосистеме.

Spoiler The Mandalorian
Хакеры SolarWinds размазали свои байты в HTTP-трафике через регулярные выражения - 1

Валидная цифровая подпись на DLL со встроенным бэкдором

Практически по всем профильным СМИ прошла новость о взломе программного обеспечения SolarWinds в рамках глобальной кампании кибершпионажа. Здесь нужно понимать масштаб атаки: этот софт для мониторинга IT-инфраструктуры (CPU, RAM, сеть) используют тысячи частных компаний и государственных учреждений, включая АНБ, Пентагон, Госдеп и проч. В общей сложности 300 000 клиентов по всему миру (данная страница уже удалена с официального сайта SolarWinds, по ссылке — копия из веб-архива).

Самое интересное в этой атаке: 1) внедрение бэкдора внутрь обновлений SolarWinds и 2) оригинальный механизм сокрытия данных в служебном HTTP-трафике программы SolarWinds. В двух словах расскажем о методе стеганографии (covert signaling), который здесь применялся.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js