Код в мешке
249 subscribers
9.08K photos
1.6K videos
2.11K files
42.7K links
Код в мешке - про кодинг, и не только...
Это личная записная книжка

https://t.me/joinchat/AAAAAEIy6oGlr8oxqTMS5w
Download Telegram
Forwarded from Mobile AppSec World (Yury Shabalin)
Управление уязвимостями или как быть в курсе всего

Всем привет!

Как многие из вас знают, недавно была опубликована уязвимость в Telegram, которая при должном уровне подготовки с небольшой примесью социальной инженерии превращалась в возможность установки произвольного приложения на устройство пользователя!

Эту новость я впервые увидел на канале "Управление Уязвимостями и прочее" моего друга, Саши Леонова, который делится новостями из мира ИБ, своими мыслями, комментариями и идеями.

Всем, кто интересуется миром ИБ, рекомендовал бы подписаться, так как сам с удовольствием читаю и много нового узнаю :)

Например о том, что есть такая замечательная штука, как Vulristics, которая может очень хорошо помочь собрать и агрегировать дополнительную информацию по обнаруженным CVE идентификатором, чтобы понять насколько они действительно критичны. В канале выходят ежемесячные обзоры Microsoft Patch Tuesday и Linux Patch Wednesday уязвимостей, проанализированных с помощью Vulristics.

Так что, приятного чтения!

#vulristics #leonov #telegram #cve
Forwarded from Белый хакер
⚙️ Apple опубликовала открытую библиотеку гомоморфного шифрования

Привет, друзья! Хотите узнать что-то крутое из мира шифрования и безопасности данных? Apple выкатил открытую библиотеку для гомоморфного шифрования, написанную на Swift. Это значит, что теперь можно создавать приложения, которые работают с зашифрованными данными, не раскрывая их на промежуточных этапах обработки.

🧑‍💻 Гомоморфное шифрование позволяет выполнять вычисления с данными, которые остаются зашифрованными на всех этапах обработки. То есть вы шифруете данные, передаёте их на сервер, сервер выполняет нужные вычисления и возвращает результат тоже в зашифрованном виде. Расшифровать результат можете только вы, используя свои ключи. Такой подход идеально подходит для облачных сервисов, конфиденциальных вычислений, электронного голосования и даже для работы с зашифрованными данными в СУБД и машинном обучении.


Apple использует схему BFV (Brakerski-Fan-Vercauteren), основанную на задаче обучения с ошибками в кольце (RLWE), которая защищена от криптоанализа квантовыми компьютерами. В библиотеке Swift Crypto находятся низкоуровневые примитивы для шифрования, что обеспечивает безопасность и производительность.

Как это может помочь?

🖌 Представьте себе огромные базы данных, которые невозможно передать на клиентскую сторону для проверки. С гомоморфным шифрованием это не проблема: достаточно передать небольшую порцию метаданных, и сервер сделает всю работу, сохраняя данные в безопасности.

P. S Библиотека распространяется под лицензией Apache 2.0, так что каждый из вас может её использовать и дорабатывать. Это огромный шаг вперёд в мире безопасности данных и конфиденциальных вычислений.

#Apple #Шифрование
Белый хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Mobile AppSec World (Yury Shabalin)
Шифрование!

Вот это прям реально круто! И чтобы Apple, да в openSource. Это внушает надежды, что проект будет поддерживаться.

Однако, судя по тому, что мы видим, редко кто обычное шифрование использует, почти никогда не встретишь использование Security Enclave, что говорить о гомоморфном шифровании (всегда два раза проверяю написание этого слова).

Но очень хочется верить, что если это правильно донести до разработки, очень надеюсь, что мы скоро сможем увидеть использование этого подхода в приложениях.

Так что изучаем, продвигаем и используем! :D
Forwarded from Mobile AppSec World (Yury Shabalin)
Это лучшее, что я читал и слышал за последнее время!

Спасибо @OxFi5t за прекрасный ресерч!

Если честно, боюсь представить, сколько приложений подвержено этой проблеме.. Учитывая, что согласно нашему последнему анализу, примерно каждое 4-е приложение использует Jetpack :)

Но думаю, очень скоро мы это узнаем))
Forwarded from Android Guards
Опять Android, опять навигация. Я уже рассказывал вам про интересную технику эксплуатации уязвимости в библиотеке Jetpack Navigation, которую обнаружил мой коллега. Кто не читал, обязательно ознакомьтесь. В той статье шла речь про навигацию для приложений использующих фрагменты. Но проблема не только в них. Поэтому я решил посмотреть что там с расширением для Jetpack Compose и оказалось, что там все еще веселее. Техники эксплуатации этой уязвимости даже более простые, чем в предыдущем варианте. Исследование вышло в двух вариантах:
1. На английском языке в блоге PT SWARM
2. На русском языке в моем личном блоге

Надеюсь вам понравится.
Что выгодней — свое железо или облако?

На первый взгляд облако кажется идеальным решением: не нужно сразу вкладываться в железо, можно быстро масштабироваться, легко получать доступ к новым технологиям.
Однако стоит копнуть чуть глубже, и картина становится не такой однозначной.
Особенно когда речь заходит о долгосрочной перспективе и финансах.

Сегодня мы в ServerFlow попробуем разобраться, что же действительно выгоднее: аренда облачных ресурсов или покупка своего оборудования.
↘️ https://habr.com/ru/companies/serverflow/articles/849784/
...
Монета Hamster Сombat обвалилась в цене: какие итоги игры и кто остался в плюсе
https://rg.ru/2024/10/13/moneta-hamster-kombat-obvalilas-v-cene-kakie-itogi-igry-i-kto-ostalsia-v-pliuse.html