Just Some Ghost

06 февраля 2025 16:41

Реакция команды SimpleX была оперативной:

- Исправление реализации X3DH для обеспечения надлежащей безопасности обмена ключами.

- Внедрение механизмов очистки памяти после использования криптографических ключей, снижая риск их утечки.

- Рассмотрение возможности внедрения закрепления сертификатов и улучшения процесса их проверки для предотвращения атак MITM.

Just Some Ghost

06 февраля 2025 16:35

Ну собственно сам отчет по Simplex от Trail of Bits прикладываю.

Just Some Ghost

06 февраля 2025 16:27

Надо почитать их отчет.

Just Some Ghost

06 февраля 2025 16:10

Но мне нравится — как Евгений занимается прайваси.

Еще и из Лондона. Можно сказать героически.

Just Some Ghost

06 февраля 2025 16:02

Лондон это конечно хорошо. Но только если Маск там сможет сменить правительство.

Just Some Ghost

06 февраля 2025 15:57

98 подписчиков у СЕО Simplex. Можно сказать ранняя стадия.

Just Some Ghost

06 февраля 2025 15:36

Надо форкнуть их репо - пока моссад не поубивал разработчиков.

Just Some Ghost

06 февраля 2025 15:19

Эпоха частных мессенджеров только начинается. Сейчас мне Simplex нравится.

Но нет как бы никаких гарантий - что МИ-6 туда не наделают себе отверстий со временем.

Ситуацию спасает — что все опенсорсно. Это будет точно видно.

Еще я думаю что аналитика гита переходит на ИИ.

И комментарии скоро будут давать весьма мощные агенты. В том числе и оценивать код.

Just Some Ghost

06 февраля 2025 15:02

Simplex напоминает мне Telegram в 2015-2016. Никем не используемый.

Никому не понятный. Не очень стабильный. Много недоделок и пунктов в to do list.

Но задел хороший. Начинание. Намерение если угодно.

Just Some Ghost

06 февраля 2025 14:51

Для меня удивительно что до сих пор небольшие команды могут показывать хорошие результаты.

Just Some Ghost

06 февраля 2025 14:03

Сделали рабочую группу по изучению Simplex.

✅ /channel/SimpIe_X

Подписывайтесь. Обсудим там все вопросы.

Just Some Ghost

06 февраля 2025 13:54

Пабло. Конец.

Just Some Ghost

06 февраля 2025 13:07

Надеюсь никто не рагнет меня. Как на #UNI.

Дайте хотя бы 1000 иксов. Что за люди.

3imrYAzSDEVP1v7wMxXBVk99bQrwYUBeRzaM6CKvpump

Just Some Ghost

06 февраля 2025 12:55

Ну смешно ведь, разве нет?

Just Some Ghost

06 февраля 2025 12:53

Сорос кстати очень не любит неонацистов. Даже не знаю почему.

Just Some Ghost

06 февраля 2025 16:41

Отчёт Trail of Bits выявил несколько уязвимостей:

Ошибка в реализации X3DH: Ключевая функция, отвечающая за обмен ключами, была реализована с ошибкой. Это могло позволить злоумышленнику, получившему доступ к приватному ключу, нарушить прямую секретность до восстановления после взлома.

Хранение ключей в памяти: Криптографические ключи сохранялись в памяти, которая не очищалась после использования. Это открывало возможность для атакующих с привилегированным доступом извлечь эти ключи из оперативной памяти или файла подкачки.

Отсутствие закрепления сертификатов: Приложение не использовало закрепление сертификатов для своих соединений, что делало его уязвимым к атакам типа "человек посередине" (MITM), особенно в условиях скомпрометированных или злонамеренных сертификатов.

Недостатки в проверке сертификатов: Были обнаружены проблемы в процессе проверки сертификатов, что могло позволить злоумышленнику использовать поддельные сертификаты для установления защищённых соединений с клиентом.

Just Some Ghost

06 февраля 2025 16:28

Для тех кто не знает:

Trail of Bits – это элитная хакерская команда, которая легально ломает код, чтобы он стал безопаснее. Основана в 2012 году, базируется в Нью-Йорке. Специализируется на аудите безопасности, анализе уязвимостей и разработке инструментов для защиты ПО.

Что делает Trail of Bits?

Аудит кода – они проверяют, насколько твое приложение уязвимо для атак. Работают с блокчейном, AI, инфраструктурой, мобильными и десктопными приложениями.

Разработка инструментов – они создали кучу мощных security-инструментов, например:

Echidna – фреймворк для фуззинга смарт-контрактов (ищет баги в Ethereum).

Manticore – инструмент для символического выполнения программ.

Slither – статический анализатор уязвимостей для смарт-контрактов.

Пентесты и киберразведка – проводят тесты на проникновение, анализируют уязвимости, работают с крупными организациями (Google, Microsoft, OpenAI, криптобиржи, DAO).

Где они светились?

1. Аудит OpenAI – проверяли безопасность моделей ChatGPT.
2. Анализировали криптобаги – нашли кучу уязвимостей в DeFi-протоколах.
3. Работают с правительством США – участвуют в программах по кибербезопасности.

Just Some Ghost

06 февраля 2025 16:21

Выкачал вот. Все время забываю — что у вас нет ютубов.

22 окт. 2023 г. #MoneroKon

Just Some Ghost

06 февраля 2025 16:04

Сомневаюсь что это просто совпадение.

Just Some Ghost

06 февраля 2025 15:59

Ефим я так понимаю это аналог Николя в Симпле.

Just Some Ghost

06 февраля 2025 15:53

Мнение в целом положительное.

Just Some Ghost

06 февраля 2025 15:22

^ Плохо конечно что Лондон. Но разве Евгений и Ефим могут объебать?

Just Some Ghost

06 февраля 2025 15:13

Желательно вернуться к этому посту через год.

Just Some Ghost

06 февраля 2025 15:00

Потестил чат в консоли. Все выглядит круто.

Just Some Ghost

06 февраля 2025 14:37

Токен разумеется не симплов. Но мне понравилась идея и я эйпнул пару солан.

Ждем каналы в симплексе.

Just Some Ghost

06 февраля 2025 13:58

С учетом того что он полностью open-source —

Звучит все весьма круто.

Just Some Ghost

06 февраля 2025 13:16

Качайте https://simplex.chat/

Уходите из помойки Telegram. Расскажите друзьям.

Just Some Ghost

06 февраля 2025 12:57

4 года активности — и шиток на солане появился только сейчас.

Представляете насколько зумеры тупые?

Just Some Ghost

06 февраля 2025 12:53

Подумаем. О римском салюте.

Just Some Ghost

06 февраля 2025 12:51

Пока Пабло засел на бутылку Моет —

Не читая Ghost In The Block —

Приходится искать альтернативы.