#hack #btc #js #alert
Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы. Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.
«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.
источник: https://bits.media/kompaniya-unciphered-vyyavila-kriticheskuyu-uyazvimost-bitkoin-koshelkov-na-2-mlrd/
📌 @tech_di
Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы. Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.
«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.
источник: https://bits.media/kompaniya-unciphered-vyyavila-kriticheskuyu-uyazvimost-bitkoin-koshelkov-na-2-mlrd/
📌 @tech_di
bits.media
Компания Unciphered выявила критическую уязвимость биткоин-кошельков на $2 млрд
Компания Unciphered выявила критическую уязвимость биткоин кошельков на $2 млрд
#backdoor #hack #linux #debian #ssh
The пакет xz-утильс, начиная с версий 5.6.0 до 5.6.1, было обнаружено, что содержать бэкдор (CVE-2024-3094). Этот бэкдор потенциально может позволить злоумышленнику скомпрометировать sshd-аутентификацию, предоставляя удаленный несанкционированный доступ ко всей системе.
https://www.kali.org/blog/about-the-xz-backdoor/
The пакет xz-утильс, начиная с версий 5.6.0 до 5.6.1, было обнаружено, что содержать бэкдор (CVE-2024-3094). Этот бэкдор потенциально может позволить злоумышленнику скомпрометировать sshd-аутентификацию, предоставляя удаленный несанкционированный доступ ко всей системе.
https://www.kali.org/blog/about-the-xz-backdoor/
Kali Linux
All about the xz-utils backdoor | Kali Linux Blog
As of 5:00 pm ET on March 29, 2024 the following information is accurate. Should there be updates to this situation, they will be edited onto this blog post.
The xz-utils package, starting from versions 5.6.0 to 5.6.1, was found to contain a backdoor…
The xz-utils package, starting from versions 5.6.0 to 5.6.1, was found to contain a backdoor…
Forwarded from ...Teka-819 🧭 (ʣͥ)
#opinion #news #neuro #nation #hack #ver #chance
Чем больше внешних новостей по конкретной теме проходит через вас, чем больше из них вы читаете, осмысливаете и анализируете -- тем вероятнее, что вы принимаете (порой неосознанно) вектор, заложенный в конкретную инфо.компанию.
Таковы косвенные выводы большинства исследований, которые проводились с человеческой социальной психологией.
Яркий пример тому описан на странице блокнота 170
Абъюз этого (модный ныне англицизм, рекомендую ознакомится со значением) в части рекламы и зарабатывания доходов корпораций -- лишь побочный эффект.
---
Для меня наиболее любопытен этот опыт и знание применительно к нейросетям, и тем потенциальным возможностям, которые эта методика за собой несëт.
📟 @tech_di
Чем больше внешних новостей по конкретной теме проходит через вас, чем больше из них вы читаете, осмысливаете и анализируете -- тем вероятнее, что вы принимаете (порой неосознанно) вектор, заложенный в конкретную инфо.компанию.
Таковы косвенные выводы большинства исследований, которые проводились с человеческой социальной психологией.
Яркий пример тому описан на странице блокнота 170
Абъюз этого (модный ныне англицизм, рекомендую ознакомится со значением) в части рекламы и зарабатывания доходов корпораций -- лишь побочный эффект.
---
Для меня наиболее любопытен этот опыт и знание применительно к нейросетям, и тем потенциальным возможностям, которые эта методика за собой несëт.
📟 @tech_di
Блокнот Техника [📌📒📟]
#mem #evangelion #eva #dg #gif #limit #n16 #n18 #mental #level #opinion В моëм случае -- это пересечение черты, которая отделяет то, что "кое-как получается" от того, что "так получается лучше". Такое направление и развиваю, значит "нащупал" что-то ценное…
This media is not supported in your browser
VIEW IN TELEGRAM
#mem #video #darts #target #rule #hack #surprise
Любопытная ситуация, которую многие программисты отнесли бы к "багофиче" 😁
Не знаю точных правил соревнований по дартсу, но предположу, что:
1. Третий дротик не упал!
2. Третий дротик остался у доски.
3. Острие третьего дротика касается доски и "яблочка" в частности, что считается как попадание и фиксация результата броска.
Врядли есть уточняющие правила, насколько глубоко должно острие дротика погрузиться в доску цели.
😄
📌 @tech_di
Любопытная ситуация, которую многие программисты отнесли бы к "багофиче" 😁
Не знаю точных правил соревнований по дартсу, но предположу, что:
1. Третий дротик не упал!
2. Третий дротик остался у доски.
3. Острие третьего дротика касается доски и "яблочка" в частности, что считается как попадание и фиксация результата броска.
Врядли есть уточняющие правила, насколько глубоко должно острие дротика погрузиться в доску цели.
📌 @tech_di
Please open Telegram to view this post
VIEW IN TELEGRAM
#hack #battary #li #paranoid #opinion
В свете последних событий с удалённой детонацией литий-ионных батарей...
Очевидно, что теперь ЛЮБОЕ устройство с литий-ионной батареей может считаться взрывоопасным.
B аэропортах на самолёты пускают с ручной кладью с телефонами, планшетами, ноутбуками, блютуз наушниками и т.п. Да и в принципе никто эти устройства ранее не воспринимал опасными.
А сколько килограммов весят батареи в скутерах, в электромобилях?
Встречаем новый виток паранойи😳
📌 @tech_di
В свете последних событий с удалённой детонацией литий-ионных батарей...
Очевидно, что теперь ЛЮБОЕ устройство с литий-ионной батареей может считаться взрывоопасным.
B аэропортах на самолёты пускают с ручной кладью с телефонами, планшетами, ноутбуками, блютуз наушниками и т.п. Да и в принципе никто эти устройства ранее не воспринимал опасными.
А сколько килограммов весят батареи в скутерах, в электромобилях?
Встречаем новый виток паранойи
📌 @tech_di
Please open Telegram to view this post
VIEW IN TELEGRAM
#hack #win #cmd #site #verify
Записка от пояснительной бригады:
Якобы обычная проверка на человека, обычная капча. Однако в процессе предлагают нажать пару сочетаний кнопок и Enter типо как следующие шаги верификации вас как человекачайника
Что происходит, по порядку:
1. Кликнули на капчу = скопировался в буфер обмена текст кода для исполнения в командной строке
2. "Win + R" - открывает окошко на исполнение команды в Windows
3. "CRTL + V" - вставка из буфера обмена
4. Нажали Enter - и вы сами, с правами вашего пользователя в командной строке исполняете то, что вам подсунули на каком-то сайте
...
Расчëт на невнимательного и неопытного пользователя.
А хакерам 👍 за смекалку в соц.инженерии
📌 @tech_di
Записка от пояснительной бригады:
Якобы обычная проверка на человека, обычная капча. Однако в процессе предлагают нажать пару сочетаний кнопок и Enter типо как следующие шаги верификации вас как человека
Что происходит, по порядку:
1. Кликнули на капчу = скопировался в буфер обмена текст кода для исполнения в командной строке
2. "Win + R" - открывает окошко на исполнение команды в Windows
3. "CRTL + V" - вставка из буфера обмена
4. Нажали Enter - и вы сами, с правами вашего пользователя в командной строке исполняете то, что вам подсунули на каком-то сайте
...
Расчëт на невнимательного и неопытного пользователя.
А хакерам 👍 за смекалку в соц.инженерии
📌 @tech_di
Есть способ восстановить свой ключ от адреса в Xaman (бывший Xumm) и использовать его в другом приложении (XRPL кошельке), если будет на то необходимость.
#xumm #xaman #seed #key #keys #secret #js #html #hack #restore #prog #github #howto #crypto #xrpl #xrp
Для начала нужно скачать скрипт от разработчика Xumm (Xaman), который переводит цифры seed Xaman в секретный ключ XRPL от адреса на который они криптографически ведут. Речь про разработчика: WietseWind
https://github.com/WietseWind/secret-numbers-to-family-seed/releases
Скрипты хоть и старые, но рабочие (забегая наперёд скажу, что проверил лично).
Собирал скрипты из исходника на отдельной системе. НАСТОЯТЕЛЬНО рекомендую это делать на разовой виртуальной машине (образе) под Linux. Вам нужно только самостоятельно скомпилировать эти скрипты, что бы убедиться в том, что всё выполнено точно так же как это задумывал разработчик.
НИ В КОЕМ Случае не пользуйтесь онлайн формой для ввода вашей цифровой seed. В инструкции к этому скрипту есть пример с сайтом, где есть уже скомпилированный вариант. Это, как минимум, риск скомпрометировать ваш ключ.
Рекомендую сделать всё самостоятельно и грамотно запустить скрипт в безопасном окружении!
Что для этого нужно?
:::
Скачиваем скрипт, распаковываем. В его директории выполняем установку NPM менеджера JS пакетов и запускаем сборку. Всё по инструкции из исходников.
Мне под Linux понадобилось следующее:
Исходник из 700кб распух до 110+ мегабайт 😄
Менеджер естественно ругается на зависмости и устаревшие пакеты с критическими проблемами, так как скриптам под Vue из исходника и из пакета уже около 4 лет и локально окружение их считает не актуальными и с проблемами критического уровня.
Однако сборка проходит успешно и в директории
⚠️
Именно в этот момент 👉 рекомендую его запускать на системе, которая НЕ общается с сетью. Лучше всего на ОС, которая запущена с флешки и без сети.
Цифры seed-фразы, созданный скрипт, принимает и выдаёт секретный ключ от адреса исправно.
---
Так что не переживайте лишний раз... Если совсем прижмёт, то вы всегда сможете свои средства их Xaman (Xumm) восстановить и вывести!
📌 @tech_di
#xumm #xaman #seed #key #keys #secret #js #html #hack #restore #prog #github #howto #crypto #xrpl #xrp
Для начала нужно скачать скрипт от разработчика Xumm (Xaman), который переводит цифры seed Xaman в секретный ключ XRPL от адреса на который они криптографически ведут. Речь про разработчика: WietseWind
https://github.com/WietseWind/secret-numbers-to-family-seed/releases
Скрипты хоть и старые, но рабочие (забегая наперёд скажу, что проверил лично).
Собирал скрипты из исходника на отдельной системе. НАСТОЯТЕЛЬНО рекомендую это делать на разовой виртуальной машине (образе) под Linux. Вам нужно только самостоятельно скомпилировать эти скрипты, что бы убедиться в том, что всё выполнено точно так же как это задумывал разработчик.
НИ В КОЕМ Случае не пользуйтесь онлайн формой для ввода вашей цифровой seed. В инструкции к этому скрипту есть пример с сайтом, где есть уже скомпилированный вариант. Это, как минимум, риск скомпрометировать ваш ключ.
Рекомендую сделать всё самостоятельно и грамотно запустить скрипт в безопасном окружении!
Что для этого нужно?
:::
Скачиваем скрипт, распаковываем. В его директории выполняем установку NPM менеджера JS пакетов и запускаем сборку. Всё по инструкции из исходников.
Мне под Linux понадобилось следующее:
# установка npm менеджера пакетов
sudo apt install npm
# находясь в директории приложения, установка локально:
npm i @vue/cli-service
npm install
npm run build
Исходник из 700кб распух до 110+ мегабайт 😄
Менеджер естественно ругается на зависмости и устаревшие пакеты с критическими проблемами, так как скриптам под Vue из исходника и из пакета уже около 4 лет и локально окружение их считает не актуальными и с проблемами критического уровня.
Однако сборка проходит успешно и в директории
dist формируется HTML файлик со всеми там же расположенными скриптами. Этот файлик запускается любыми современными браузерами.Именно в этот момент 👉 рекомендую его запускать на системе, которая НЕ общается с сетью. Лучше всего на ОС, которая запущена с флешки и без сети.
Цифры seed-фразы, созданный скрипт, принимает и выдаёт секретный ключ от адреса исправно.
---
Так что не переживайте лишний раз... Если совсем прижмёт, то вы всегда сможете свои средства их Xaman (Xumm) восстановить и вывести!
📌 @tech_di
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
#hack #android #google #app #info #is #infobez #privacy #crypto
Google тайно установил более миллиарду пользователей ещë одно Android приложение. На этот раз новый скрытный "гость" связан с ключами шифрования неких контактов, их хранением и верификацией
Android System Key Verifier
Приложение появилось на огромном числе устройств без предварительного уведомления и какого-либо согласия пользователей
Почитайте отзывы пользователей на этого непрошенного гостя на гугло-плей
---
Это уже вторая скрытая установка приложения от гугла за месяц. Прошлое сканировало все ваши фото и мало кто понимает что именно они искали 😏
📌 @tech_di
Google тайно установил более миллиарду пользователей ещë одно Android приложение. На этот раз новый скрытный "гость" связан с ключами шифрования неких контактов, их хранением и верификацией
Android System Key Verifier
Приложение появилось на огромном числе устройств без предварительного уведомления и какого-либо согласия пользователей
Почитайте отзывы пользователей на этого непрошенного гостя на гугло-плей
---
Это уже вторая скрытая установка приложения от гугла за месяц. Прошлое сканировало все ваши фото и мало кто понимает что именно они искали 😏
📌 @tech_di