⚡️ Почему RSA в OpenSSL не делает «обычное деление»
В реализации RSA внутри OpenSSL почти не используется прямое модульное деление. Вместо этого там работает Montgomery reduction - алгоритм, который ещё в 1985 году предложил Питер Монтгомери.
Идея простая: в RSA постоянно нужны операции вида «умножили большие числа и взяли остаток по модулю». Обычное деление на больших числах дорогое, поэтому его стараются избегать.
Montgomery reduction переводит вычисления в специальную форму, где параметр R выбирают как степень двойки. После этого часть дорогих делений превращается в сдвиги битов и более дешёвую арифметику.
Для пользователя это незаметная деталь. Но без таких трюков современный RSA был бы намного медленнее.
Есть хороший шанс, что HTTPS-соединение, которым вы пользуетесь прямо сейчас, где-то внутри уже опиралось на эту технику.
C2 без сервера, домена и открытых портов - теперь прямо внутри GitHub
Появился OctoC2 - GitHub-native C2 framework, где весь трафик идёт через api.github.com по HTTPS. Без VPS, кастомных доменов и listening server. Для сети это может выглядеть как обычная активность разработчика или CI/CD.
По README, OctoC2 использует несколько каналов внутри возможностей GitHub, поддерживает fallback между ними и шифрование payload’ов. Проект прямо помечен как инструмент только для authorized red-team и security research.
GitHub-трафик нельзя считать безопасным просто потому, что это GitHub.
Что стоит мониторить:
* странные паттерны запросов к GitHub API
* неожиданные GitHub tokens на машинах
* необычную активность private repos
* подозрительную CI/CD-активность
* долгоживущие процессы, которые постоян
Линус Торвальдс не поддержал запрет AI-кода в Linux.
ИИ - это инструмент. Такой же, как компилятор, статический анализатор или IDE. Неважно, писал разработчик код вручную или использовал ассистента. Важно, что получилось в итоге.
Плохой патч отклонят, даже если его написал человек.
Хороший патч могут принять, даже если помогала модель.
Но ответственность переложить на AI не получится.
Разработчик должен сам проверить сгенерированный код, убедиться в соблюдении лицензий и поставить собственный Signed-off-by. AI-агент не имеет права делать это за человека. Использование модели также рекомендуется отмечать через Assisted-by.
Правило осталось прежним: присылай качественный код и будь готов за него отвечать.
⚡️ Mail.ru и Одноклассники тоже удалили из Google Play вслед за VK. Max тоже пропал из российского Google Play
До этого он также исчез из магазинов других регионов.
UPD. Исчез теперь и VK.
VK экстренно переходит на домен .ru — пользователям массово приходят уведомления.
По данным СМИ, одной из причин стали риски, связанные с доменом vk.com, который находится в международной доменной зоне и потенциально может попасть под ограничения или быть недоступен для компании из-за санкций.
⚡️ Awesome OSINT MCP Servers - это curated GitHub-список MCP-серверов для задач open-source intelligence.
Он помогает быстрее находить нужные OSINT-серверы, группируя их по категориям расследований и сразу показывая, какие из них open source, бесплатные, с free-tier или требуют платный API.
Trusted Publishing звучит так, будто пакет стал безопасным.
На деле это не так.
Trusted Publishing убирает долгоживущий токен из CI и заменяет его коротким OIDC-токеном. Это сильнее, чем хранить секрет в GitHub Actions, но доверие никуда не исчезает. Оно просто переезжает в другое место.
Теперь критичны:
* кто имеет доступ к репозиторию
* кто может менять workflow
* какие third-party actions подключены
* защищены ли tags и release branches
* используется ли protected environment
* зафиксированы ли actions по SHA
Если атакующий получил возможность изменить release workflow, registry увидит “правильный” OIDC-запрос и выдаст токен на публикацию. С точки зрения системы всё будет выглядеть легитимно.
Она защищает от украденных PyPI/npm токенов, но не защищает от скомпрометированного CI, слабых permissions и дырявого release process.
Для нормального supply chain security нужны ещё protected environments, минимальные права, pinning зависимостей, контроль workflow, подписи артефактов и provenance.
Не надо путать “опубликовано через trusted workflow” с “этому пакету можно доверять”.
SearchPhone -инструмент для анализа телефонных номеров
Полезная находка для легальных расследований, threat intelligence и проверки цифровых следов по открытым источникам.
SearchPhone автоматизирует сбор данных по номеру телефона и собирает результат в отчёт.
Что умеет:
* проверка и форматирование номера
* поиск оператора и геоданных через Numverify
* поиск упоминаний через Google, Bing и DuckDuckGo
* поиск номера в GitHub-коде
* поиск обсуждений на Reddit
* генерация JSON и PDF-отчётов
* параллельный поиск по нескольким источникам
* простой CLI-интерфейс на Python
Важно: это инструмент для работы с открытыми данными и легальных проверок, а не для сталкинга или «пробива» людей.