|Monero Bulletproofs+ Security Audit|
Продолжу
#xmr #cryptocurrency
Продолжу
тему криптовалют.
Опять про монеро, только теперь про аудит безопасности системы проверки monero bulletproofs+, также можете почитать про monero bulletproofs.I will continue the topic of cryptocurrencies.
Again about Monroe, only now about the security audit of the monero bulletproofs+ verification system , you can also read about monero bulletproofs.#xmr #cryptocurrency
|CVE-2022-28128|
AttacheCase(github)
#cve
Untrusted search path vulnerability in AttacheCaseAttacheCase(github)
🦠В AttacheCase(программа для шифрования файлов) версии 3.6.1.0 и более ранних можно загружать DLL небезопасно(к примеру троян DLL), посредством ненадёжного поиска пути и получить привилегии для выполнения вредоносного кода.
Уязвимость была залатана и благодаря устранению этой, предыдущая(AttacheCase3) тоже пофикшена. Для её устранения нужно просто обновиться до последней версии.🦠In AttacheCase(file encryption software) version 3.6.1.0 and earlier, it is possible to load the DLL insecurely (for example, a Trojan DLL), through an unreliable search path and get privileges to execute malicious code.
The vulnerability was patched up and thanks to the elimination of this, the previous one (AttacheCase3) is also fixed. To fix it, you just need to upgrade to the latest version.#cve
⬆️|Chameleon|⬆️
🦊Firefox
🦊Firefox
💻Реинкарнация давно ушедшего расширения для лисы RAM(Random Agent Spoofer) , название говорит само за себя, для чего оно нужно было. Основная цель - подмена фингерпринтов и повышение конфиденциальности(НЕ АНОНИМНОСТИ!), прикладываю скрины на них функционал(просто пост сильно растянулся, тем более потихоньку начну разбирать их в следующих постах) .
Применение найдёте сами, но точно не для использования в связке поверх оверлейных сетей, запуская лису, опять же для повышения конфиденциальности - да, для анонимности - нет.
💻Reincarnation of a long-gone extension for firefox RAM(Random Agent Spoofer) , the name speaks for itself, what it was needed for. The main goal is the substitution of fingerprints and increased privacy (NOT ANONYMITY!), I attach screenshots of their functionality (just the post has stretched a lot, especially since I will slowly begin to analyze them in the following posts).
You will find the application yourself, but definitely not for use in a bundle on top of overlay networks, launching a fox, again to increase privacy - yes, for anonymity - no.
#spoof #fingerprintGitHub
GitHub - sereneblue/chameleon: WebExtension port of Random Agent Spoofer
WebExtension port of Random Agent Spoofer. Contribute to sereneblue/chameleon development by creating an account on GitHub.
👍2
⬆️|USB Side-channel Attack on Tor|⬆️
🔥Исследование про атаку на Tor с помощью вредоносной зарядной станции( иногда в компаниях стоят, иногда в ТЦ,бывают в кафе, а иногда просто у кого-то дома. Краткая статья от Dr.WEB). Суть в том, что пока стоит на зарядке устройство можно определить какие ресурсы посещает жертва, пока заряжает устройство. Основано это всё на измерениях мощности, выполняемых
во время зарядки.
Самый сок и одновременно беда, то что с помощью такого вектора атак можно не только "клирнетовские" сайты идентифицировать ( точность 34.5 - 85.7%) , но ещё и луковые сервисы. Также, что не мало важно , нам не нужен высокий уровень привилегий в системе, как не требуется доступ к сетевому трафику.
Вообщем, хоть и работа 2018 года, и прошло 4 года, но сильных подвижек в решение этих проблем не было предпринято. А так как бы логично, когда ты хоть как-то думаешь о анонимности или приватности, то использование публичных зарядок - идиотизм. Конечно можно обмазаться ограничениями, изоляциями, но уверен ли ты, что это наверняка сработает?
Тогда зачем использовать Tor, если не можем включить голову?
Работа мне понравилась, как уже некоторые знают, на канале ближе к лету или летом выйдет работа про вектора атак на Tor и контр-меры.
🔥A study about an attack on Tor using a malicious charging station (sometimes they stand in companies, sometimes in a shopping center, they are in a cafe, and sometimes just at someone's house). The bottom line is that while the device is charging, you can determine which resources the victim visits while charging the device. This is all based on power measurements performed
during charging.
The juice and at the same time the trouble is that with the help of such an attack vector, it is possible not only to identify "clearnet" sites (accuracy 34.5 - 85.7%), but also onion services. Also, which is not a little important, we do not need a high level of privileges in the system, as we do not need access to network traffic.
In general, although the work of 2018, and 4 years have passed, but no strong progress has been made in solving these problems. And since it would be logical, when you somehow think about anonymity or privacy, the use of public exercises is idiocy. Of course, you can smear yourself with restrictions, isolations, but are you sure that this will definitely work?
Then why use Tor if we can't turn on the head?
I liked the work, as some already know, a work about the attack vector on Tor and counter-measures will be released on the channel closer to summer or summer.
#tor #privacy #anonymity #android