SEC News

What's new arround internet

Last one

Src	Date (GMT)	Titre	Description	Tags	Stories	Notes
	2024-05-31 21:02:12	Vendredi Blogging Squid: Baby Colossal Squid Friday Squid Blogging: Baby Colossal Squid (lien direct)	Cette vidéo pourrait être a calmar juvénile colossal. Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . This video might be a juvenile colossal squid. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.
	2024-05-31 11:04:01	Comment l'IA changera la démocratie How AI Will Change Democracy (lien direct)	Je ne pense pas que ce soit une exagération pour prédire que l'intelligence artificielle affectera tous les aspects de notre société.Pas en faisant de nouvelles choses.Mais surtout en faisant des choses qui sont déjà faites par les humains, parfaitement avec compétence. Remplacer les humains par AIS n'est pas nécessairement intéressant.Mais lorsqu'une IA reprend une tâche humaine, la tâche change. En particulier, il y a des changements potentiels sur quatre dimensions: vitesse, échelle, portée et sophistication.Le problème avec les actions de négociation AIS n'est pas qu'ils sont mieux que les humains que les humains sont plus rapides.Mais les ordinateurs sont meilleurs dans les échecs et partent parce qu'ils utilisent des stratégies plus sophistiquées que les humains.Nous nous inquiétons des comptes de médias sociaux contrôlés par l'IA car ils opèrent sur une échelle surhumaine ... I don’t think it’s an exaggeration to predict that artificial intelligence will affect every aspect of our society. Not by doing new things. But mostly by doing things that are already being done by humans, perfectly competently. Replacing humans with AIs isn’t necessarily interesting. But when an AI takes over a human task, the task changes. In particular, there are potential changes over four dimensions: Speed, scale, scope and sophistication. The problem with AIs trading stocks isn’t that they’re better than humans—it’s that they’re faster. But computers are better at chess and Go because they use more sophisticated strategies than humans. We’re worried about AI-controlled social media accounts because they operate on a superhuman scale...	Prediction		★★★
	2024-05-30 11:04:43	Attaque de la chaîne d'approvisionnement contre le logiciel de la salle d'audience Supply Chain Attack against Courtroom Software (lien direct)	Pas de mot sur la façon dont cela Backdoor a été installé: Un fabricant de logiciels servant plus de 10 000 salles d'audience à travers le monde a organisé une mise à jour d'application contenant une porte dérobée cachée qui a maintenu une communication persistante avec un site Web malveillant, ont rapporté jeudi des chercheurs dans le dernier épisode d'une attaque de chaîne d'approvisionnement. Le logiciel, connu sous le nom de Javs Viewer 8, est un composant de la suite Javs 8 , un package d'applications utilisé pour enregistrer, lire et gérer l'audio et la vidéo à partir des procédures.Son fabricant, Louisville, basé au Kentucky, Justice AV Solutions, affirme que ses produits sont utilisés dans plus de 10 000 salles d'audience à travers les États-Unis et 11 autres pays.L'entreprise est en activité depuis 35 ans ... No word on how this backdoor was installed: A software maker serving more than 10,000 courtrooms throughout the world hosted an application update containing a hidden backdoor that maintained persistent communication with a malicious website, researchers reported Thursday, in the latest episode of a supply-chain attack. The software, known as the JAVS Viewer 8, is a component of the JAVS Suite 8, an application package courtrooms use to record, play back, and manage audio and video from proceedings. Its maker, Louisville, Kentucky-based Justice AV Solutions, says its products are used in more than 10,000 courtrooms throughout the US and 11 other countries. The company has been in business for 35 years...			★★★
	2024-05-29 11:01:24	(Déjà vu) Implications de confidentialité du suivi des points d'accès sans fil Privacy Implications of Tracking Wireless Access Points (lien direct)	Brian Krebs rapports sur la recherche sur les routeurs de géolocation:			★★
	2024-05-28 11:09:28	Cryptosystèmes basés sur un réseau et cryptanalyse quantique Lattice-Based Cryptosystems and Quantum Cryptanalysis (lien direct)	Les ordinateurs quantiques arrivent probablement, bien que nous ne sachions pas quand & # 8212; et quand ils arrivent, ils pourront, très probablement, briser nos algorithmes de cryptographie public-clé publique standard.En prévision de cette possibilité, les cryptographes ont travaillé sur des algorithmes de clé publique résistants aux quantités.L'Institut national des normes et de la technologie (NIST) a été Hosting a Concurrence Depuis 2017, et il y a déjà plusieurs Normes proposées .La plupart d'entre eux sont basés sur des problèmes de réseau. Les mathématiques de la cryptographie en réseau tournent autour de la combinaison de séries de vecteurs & # 8212; que & # 8217; s le réseau & # 8212; dans un espace multidimensionnel.Ces réseaux sont remplis de périodicités multidimensionnelles.Le ... Quantum computers are probably coming, though we don’t know when—and when they arrive, they will, most likely, be able to break our standard public-key cryptography algorithms. In anticipation of this possibility, cryptographers have been working on quantum-resistant public-key algorithms. The National Institute for Standards and Technology (NIST) has been hosting a competition since 2017, and there already are several proposed standards. Most of these are based on lattice problems. The mathematics of lattice cryptography revolve around combining sets of vectors—that’s the lattice—in a multi-dimensional space. These lattices are filled with multi-dimensional periodicities. The ...			★★★
	2024-05-24 21:03:27	Vendredi Squid Blogging: Dana Squid Attack Camera Friday Squid Blogging: Dana Squid Attacking Camera (lien direct)	séquences fantastiques d'un calmar dana attaquant une caméra à une profondeur d'environ un kilomètre. Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . Fantastic footage of a Dana squid attacking a camera at a depth of about a kilometer. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-05-24 11:07:53	Sur le marché zéro jour On the Zero-Day Market (lien direct)	Nouveau article: & # 8220; zéro progrès les jours: comment les dix dernières années ont créé le moderne moderneMarché des logiciels espions & # 8220 ;: Résumé: Les logiciels espions facilitent la surveillance.Les dix dernières années ont vu un marché mondial émerger pour les logiciels prêts à l'emploi qui permettent aux gouvernements de surveiller leurs citoyens et leurs adversaires étrangers et pour le faire plus facilement que lorsque ces travaux nécessitaient des métiers.Les dix dernières années ont également été marquées par des échecs frappés de contrôler les logiciels espions et ses précurseurs et composants.Cet article tient compte et critique ces échecs, offrant une histoire socio-technique depuis 2014, en se concentrant en particulier sur la conversation sur le commerce des vulnérabilités et des exploits zéro-jour.Deuxièmement, cet article applique des leçons de ces échecs pour guider les efforts réglementaires à l'avenir.Tout en reconnaissant que le contrôle de ce commerce est difficile, je soutiens que les pays devraient se concentrer sur la construction et le renforcement des coalitions multilatérales des institutions multilatérales disposées, plutôt que sur les institutions multilatérales existantes fortes pour travailler sur le problème.Individuellement, les pays devraient se concentrer sur les contrôles à l'exportation et autres sanctions qui ciblent les mauvais acteurs spécifiques, plutôt que de se concentrer sur la restriction des technologies particulières.Enfin, je continue d'appeler la transparence en tant que partie clé de la surveillance des gouvernements nationaux & # 8217;Utilisation de logiciels espions et de composants associés ... New paper: “Zero Progress on Zero Days: How the Last Ten Years Created the Modern Spyware Market“: Abstract: Spyware makes surveillance simple. The last ten years have seen a global market emerge for ready-made software that lets governments surveil their citizens and foreign adversaries alike and to do so more easily than when such work required tradecraft. The last ten years have also been marked by stark failures to control spyware and its precursors and components. This Article accounts for and critiques these failures, providing a socio-technical history since 2014, particularly focusing on the conversation about trade in zero-day vulnerabilities and exploits. Second, this Article applies lessons from these failures to guide regulatory efforts going forward. While recognizing that controlling this trade is difficult, I argue countries should focus on building and strengthening multilateral coalitions of the willing, rather than on strong-arming existing multilateral institutions into working on the problem. Individually, countries should focus on export controls and other sanctions that target specific bad actors, rather than focusing on restricting particular technologies. Last, I continue to call for transparency as a key part of oversight of domestic governments’ use of spyware and related components...	Vulnerability Threat
	2024-05-23 11:00:36	Assistants et intimité personnels d'IA Personal AI Assistants and Privacy (lien direct)	Microsoft est Essayer de créer un assistant numérique personnel: Lors d'un événement de conférence de construction lundi, Microsoft a révélé une nouvelle fonctionnalité alimentée par AI appelée & # 8220; Rappel & # 8221;Pour copiloote + pcs Cela permettra aux utilisateurs de Windows 11 de rechercher et de récupérer leurs activités passées sur leur PC.Pour le faire fonctionner, Rappel enregistre tout ce que les utilisateurs font sur leur PC, y compris les activités dans les applications, les communications lors de réunions en direct et les sites Web visités pour la recherche.Malgré le cryptage et le stockage local, la nouvelle fonctionnalité soulève des problèmes de confidentialité pour certains utilisateurs de Windows. i a écrit sur ... Microsoft is trying to create a personal digital assistant: At a Build conference event on Monday, Microsoft revealed a new AI-powered feature called “Recall” for Copilot+ PCs that will allow Windows 11 users to search and retrieve their past activities on their PC. To make it work, Recall records everything users do on their PC, including activities in apps, communications in live meetings, and websites visited for research. Despite encryption and local storage, the new feature raises privacy concerns for certain Windows users. I wrote about...	Conference		★★★
	2024-05-22 11:03:26	Texte pixélé sans expulsion Unredacting Pixelated Text (lien direct)	Expériences dans Undacting texte qui a été pixélé. Experiments in unredacting text that has been pixelated.			★★
	2024-05-21 11:09:36	Détecter les trackers malveillants Detecting Malicious Trackers (lien direct)	de slashdot : Apple et Google ont lancé une nouvelle norme de l'industrie appelée & # 8220; Détecter les trackers d'emplacement indésirables & # 8221;à combattre l'abus de trackers Bluetooth pour le traque .À partir de lundi, les utilisateurs d'iPhone et Android recevront des alertes lorsqu'un appareil Bluetooth inconnu sera détecté en mouvement avec eux.Cette décision intervient après que de nombreux cas de trackers comme les Airtags d'Apple soit utilisé à des fins malveillantes . Plusieurs sociétés Bluetooth Tag se sont engagées à rendre leurs futurs produits compatibles avec la nouvelle norme.Apple et Google ont déclaré qu'ils continueraient de collaborer avec le groupe de travail sur Internet Engineering pour développer davantage cette technologie et résoudre le problème du suivi indésirable ... From Slashdot: Apple and Google have launched a new industry standard called “Detecting Unwanted Location Trackers” to combat the misuse of Bluetooth trackers for stalking. Starting Monday, iPhone and Android users will receive alerts when an unknown Bluetooth device is detected moving with them. The move comes after numerous cases of trackers like Apple’s AirTags being used for malicious purposes. Several Bluetooth tag companies have committed to making their future products compatible with the new standard. Apple and Google said they will continue collaborating with the Internet Engineering Task Force to further develop this technology and address the issue of unwanted tracking...	Mobile		★★★
	2024-05-20 11:04:19	IBM vend un groupe de cybersécurité IBM Sells Cybersecurity Group (lien direct)	IBM est vendre à Palo Alto Networks, pour un non divulgué & # 8212; mais probablement étonnamment petit & # 8212; sum. J'ai un lien personnel à cela.En 2016, IBM acheté Systèmes résilients, la startup dont je faisais partie.Cela est devenu une partie si les offres de cybersécurité IBM, principalement et étrangement subditées à Qradar. C'était ce qui semblait être le problème à IBM.Qradar a été la première acquisition de l'IBM dans l'espace de cybersécurité, et elle a tout vu à travers l'objectif de ce système SIEM.J'ai quitté l'entreprise deux ans après l'acquisition, et comme je pouvais le dire, il n'a jamais réussi à comprendre l'espace ... IBM is selling its QRadar product suite to Palo Alto Networks, for an undisclosed—but probably surprisingly small—sum. I have a personal connection to this. In 2016, IBM bought Resilient Systems, the startup I was a part of. It became part if IBM’s cybersecurity offerings, mostly and weirdly subservient to QRadar. That was what seemed to be the problem at IBM. QRadar was IBM’s first acquisition in the cybersecurity space, and it saw everything through the lens of that SIEM system. I left the company two years after the acquisition, and near as I could tell, it never managed to figure the space out...			★★
	2024-05-17 11:09:17	Le FBI saisit le site Web de BreachForums FBI Seizes BreachForums Website (lien direct)	Le FBI a saisi Le site Web de BreachForums, utilisé par les criminels de ransomware pour divulguer des données d'entreprise volées.	Ransomware Legislation		★★★
	2024-05-16 11:03:58	DNS de truie zéro Zero-Trust DNS (lien direct)	Microsoft est Travailler sur Un protocole d'aspect prometteur pour verrouiller DNS. ZTDNS vise à résoudre ce problème vieux de plusieurs décennies en intégrant le moteur DNS Windows avec la plate-forme de filtrage Windows & # 8212; le composant central du pare-feu Windows & # 8212; directement dans les appareils clients. Jake Williams, vice-président de la recherche et du développement chez Consultancy Hunter Strategy, a déclaré que le syndicat de ces moteurs auparavant disparates permettrait de faire des mises à jour au pare-feu Windows sur une base de nom de domaine.Le résultat, a-t-il dit, est un mécanisme qui permet aux organisations de dire, en substance, de dire aux clients & # 8220; utiliser uniquement notre serveur DNS, qui utilise TLS et ne résoudra que certains domaines. & # 8221;Microsoft appelle ce serveur DNS ou sert le serveur DNS protecteur. & # 8221; ... Microsoft is working on a promising-looking protocol to lock down DNS. ZTDNS aims to solve this decades-old problem by integrating the Windows DNS engine with the Windows Filtering Platform—the core component of the Windows Firewall—directly into client devices. Jake Williams, VP of research and development at consultancy Hunter Strategy, said the union of these previously disparate engines would allow updates to be made to the Windows firewall on a per-domain name basis. The result, he said, is a mechanism that allows organizations to, in essence, tell clients “only use our DNS server, that uses TLS, and will only resolve certain domains.” Microsoft calls this DNS server or servers the “protective DNS server.”...			★★★
	2024-05-14 11:01:48	Une autre vulnérabilité chromée Another Chrome Vulnerability (lien direct)	google a Papché Un autre chrome zéro-jour: jeudi, Google a déclaré une source anonymel'a informé de la vulnérabilité.La vulnérabilité a une cote de gravité de 8,8 sur 10. En réponse, Google a déclaré qu'il publierait les versions 124.0.6367.201/.202 pour MacOS et Windows et 124.0.6367.201 pour Linux dans les jours suivants. & # 8220; Google est conscient qu'un exploit pour CVE-2024-4671 existe dans la nature, & # 8221;La société a déclaré. google n'a pas fourni d'autres détails sur l'exploit, comme les plates-formes ciblées, qui était derrière l'exploit, ou ce qu'ils l'utilisaient pour ... Google has patched another Chrome zero-day: On Thursday, Google said an anonymous source notified it of the vulnerability. The vulnerability carries a severity rating of 8.8 out of 10. In response, Google said, it would be releasing versions 124.0.6367.201/.202 for macOS and Windows and 124.0.6367.201 for Linux in subsequent days. “Google is aware that an exploit for CVE-2024-4671 exists in the wild,” the company said. Google didn’t provide any other details about the exploit, such as what platforms were targeted, who was behind the exploit, or what they were using it for...	Vulnerability Threat		★★★
	2024-05-13 11:04:08	LLMS \\ 'Insécurité du chemin de contrôle des données LLMs\\' Data-Control Path Insecurity (lien direct)	Dans les années 1960, si vous jouiez un ton de 2 600 Hz dans un téléphone AT & # 38;, vous pourriez passer des appels sans payer.Un pirate de téléphone nommé John Draper a remarqué que le Whistle en plastique qui est venu librement dans une boîte de céréales Captain Crunch a fonctionné pour faire le bon son.C'est devenu son nom de pirate, et tous ceux qui connaissaient l'astuce ont fait des appels gratuits. Il y avait toutes sortes de hacks connexes, comme simulant les tons qui signalaient des pièces de monnaie tombant dans un téléphone payant et truant les tons utilisés par l'équipement de réparation.AT & # 38; ne pouvait pas parfois changer les tons de signalisation, les rendre plus compliqués ou essayer de les garder secrètes.Mais la classe générale de l'exploit était impossible à résoudre car le problème était général: les données et le contrôle utilisaient le même canal.Autrement dit, les commandes qui ont dit au changement de téléphone quoi faire ont été envoyées le long du même chemin que les voix ... Back in the 1960s, if you played a 2,600Hz tone into an AT&T pay phone, you could make calls without paying. A phone hacker named John Draper noticed that the plastic whistle that came free in a box of Captain Crunch cereal worked to make the right sound. That became his hacker name, and everyone who knew the trick made free pay-phone calls. There were all sorts of related hacks, such as faking the tones that signaled coins dropping into a pay phone and faking tones used by repair equipment. AT&T could sometimes change the signaling tones, make them more complicated, or try to keep them secret. But the general class of exploit was impossible to fix because the problem was general: Data and control used the same channel. That is, the commands that told the phone switch what to do were sent along the same path as voices...	Threat		★★★
	2024-05-10 21:07:50	Vendredi Blogging Squid: Squid Mating Strategies Friday Squid Blogging: Squid Mating Strategies (lien direct)	Certains calmars sont & # 8220; consorts, & #8221;D'autres sont & # 8220; baskets. & # 8221;L'espèce est plus saine lorsque les individus ont différentes stratégies au hasard. Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . Some squids are “consorts,” others are “sneakers.” The species is healthiest when individuals have different strategies randomly. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-05-10 16:01:00	Nouvelle attaque contre la voiture autonome AI New Attack Against Self-Driving Car AI (lien direct)	C'est une autre attaque qui convainc l'AI à Ignore des panneaux routiers : En raison de la façon dont les caméras CMOS fonctionnent, le changement rapide de la lumière des diodes clignotants rapides peut être utilisé pour varier la couleur.Par exemple, la nuance de rouge sur un panneau d'arrêt peut être différente sur chaque ligne en fonction du temps entre le flash de diode et la capture de ligne. Le résultat est que la caméra capturant une image pleine de lignes qui ne correspondent pas tout à fait.Les informations sont recadrées et envoyées au classificateur, généralement basées sur des réseaux de neurones profonds, pour l'interprétation.Parce qu'il ne correspond pas aux lignes qui ne correspondent pas, le classificateur ne reconnaît pas l'image comme un panneau de trafic ... This is another attack that convinces the AI to ignore road signs: Due to the way CMOS cameras operate, rapidly changing light from fast flashing diodes can be used to vary the color. For example, the shade of red on a stop sign could look different on each line depending on the time between the diode flash and the line capture. The result is the camera capturing an image full of lines that don’t quite match each other. The information is cropped and sent to the classifier, usually based on deep neural networks, for interpretation. Because it’s full of lines that don’t match, the classifier doesn’t recognize the image as a traffic sign...	Hack		★★★
	2024-05-09 16:05:57	Comment les criminels utilisent une IA générative How Criminals Are Using Generative AI (lien direct)	Il y a un Nouveau rapport Sur la façon dont les criminels utilisent des outils d'IA génératifs: Takeways clés: Les taux d'adoption des technologies de l'IA parmi les criminels sont à la traîne des taux de leurs homologues de l'industrie en raison de la nature évolutive de la cybercriminalité. Par rapport à l'année dernière, les criminels semblent avoir abandonné toute tentative de formation de vrais modèles criminels de grande langue (LLM).Au lieu de cela, ce sont des jailbreuses existantes. Nous voyons enfin l'émergence de véritables services criminels Deepfake, certains contournant la vérification des utilisateurs utilisés dans les services financiers. There’s a new report on how criminals are using generative AI tools: Key Takeaways: Adoption rates of AI technologies among criminals lag behind the rates of their industry counterparts because of the evolving nature of cybercrime. Compared to last year, criminals seem to have abandoned any attempt at training real criminal large language models (LLMs). Instead, they are jailbreaking existing ones. We are finally seeing the emergence of actual criminal deepfake services, with some bypassing user verification used in financial services.	Tool		★★★
	2024-05-07 15:32:13	Nouvelle attaque contre les VPN New Attack on VPNs (lien direct)	Ce attaque est faisable depuis plus de deux décennies: Les chercheurs ont conçu une attaque contre presque toutes les applications de réseaux privés virtuels qui les obligent à envoyer et à recevoir un peu ou un trafic à l'extérieur du tunnel crypté conçu pour le protéger de l'espionnage ou de la falsification. TunnelLion, comme les chercheurs ont nommé leur attaque, annule en grande partie le but et le point de vente des VPN, qui est de résumer le trafic Internet entrant et sortant dans un tunnel crypté et de masquer l'adresse IP de l'utilisateur.Les chercheurs pensent que cela affecte toutes les applications VPN lorsqu'elles sont connectées à un réseau hostile et qu'il n'y a aucun moyen d'empêcher de telles attaques, sauf lorsque le VPN de l'utilisateur s'exécute sur Linux ou Android.Ils ont également déclaré que leur technique d'attaque était peut-être possible depuis 2002 et peut-être déjà découverte et utilisée dans la nature depuis ... This attack has been feasible for over two decades: Researchers have devised an attack against nearly all virtual private network applications that forces them to send and receive some or all traffic outside of the encrypted tunnel designed to protect it from snooping or tampering. TunnelVision, as the researchers have named their attack, largely negates the entire purpose and selling point of VPNs, which is to encapsulate incoming and outgoing Internet traffic in an encrypted tunnel and to cloak the user’s IP address. The researchers believe it affects all VPN applications when they’re connected to a hostile network and that there are no ways to prevent such attacks except when the user’s VPN runs on Linux or Android. They also said their attack technique may have been possible since 2002 and may already have been discovered and used in the wild since then...	Mobile		★★★★
	2024-05-06 11:03:08	Nouveau procès tentant de rendre l'interopérabilité contradictoire légale New Lawsuit Attempting to Make Adversarial Interoperability Legal (lien direct)	Beaucoup de détails compliqués ici: trop pour moi de bien résumer.Il implique une disposition obscure de l'article 230 & # 8212; et une faute de frappe encore plus obscure.Lire ce . Lots of complicated details here: too many for me to summarize well. It involves an obscure Section 230 provision—and an even more obscure typo. Read this.			★★
	2024-05-03 21:05:57	Vendredi Blogging Squid: Squid Gurses Friday Squid Blogging: Squid Purses (lien direct)	en forme de calmar sacs à main à vendre. Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . Squid-shaped purses for sale. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-05-03 18:13:24	Mes discussions Ted My TED Talks (lien direct)	J'ai parlé lors de plusieurs conférences TED au fil des ans. TEDXPSU 2010: & # 8220; Reconceptualiser la sécurité & # 8221; TEDXCAMBRIDGE 2013: & # 8220; La bataille pour le pouvoir sur Internet & # 8221; Tedmed 2016: & # 8220; Qui contrôle vos données médicales ? & # 8221; i & # 8217; je mets ceci ici parce que je veux les trois liens en un seul endroit. I have spoken at several TED conferences over the years. TEDxPSU 2010: “Reconceptualizing Security” TEDxCambridge 2013: “The Battle for Power on the Internet” TEDMed 2016: “Who Controls Your Medical Data?” I’m putting this here because I want all three links in one place.	Medical		★★
	2024-05-03 11:10:08	Entrevues rares avec Enigma Cryptanalyst Marian Rejewski Rare Interviews with Enigma Cryptanalyst Marian Rejewski (lien direct)	L'ambassade de polonais a Posté Une série de courts segments d'interview avec Marian Rejewski, la première personne à casser l'Enigma. Détails de son biographie . The Polish Embassy has posted a series of short interview segments with Marian Rejewski, the first person to crack the Enigma. Details from his biography.			★★★
	2024-05-02 11:05:03	Le Royaume-Uni interdit les mots de passe par défaut The UK Bans Default Passwords (lien direct)	Le Royaume-Uni est le premier pays à interdire les mots de passe par défaut sur les appareils IoT. Lundi, le Royaume-Uni est devenu le premier pays au monde à interdire les noms d'utilisateur et les mots de passe devignables par défaut de ces appareils IoT.Les mots de passe uniques installés par défaut sont toujours autorisés. le Sécurité des produits et télécommunications.Normes de sécurité pour les fabricants et exige que ces entreprises soient ouvertes auprès des consommateurs sur la durée de leurs produits pour les mises à jour de sécurité. Le Royaume-Uni est peut-être le premier pays, mais pour autant que je sache, la Californie est la première juridiction.It ... The UK is the first country to ban default passwords on IoT devices. On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted. The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for. The UK may be the first country, but as far as I know, California is the first jurisdiction. It ...	Legislation		★★★
	2024-05-01 11:09:23	Vous avez une arnaque de voix AI Voice Scam (lien direct)	Scammeurs a trompé une entreprise pour croire qu'elle avait affaire à un présentateur de la BBC.Ils ont simulé sa voix et ont accepté de l'argent destiné à elle. Scammers tricked a company into believing they were dealing with a BBC presenter. They faked her voice, and accepted money intended for her.			★★
	2024-04-30 11:00:28	WhatsApp en Inde WhatsApp in India (lien direct)	Meta a menacé de tirage whatsapp Out of India si les tribunaux essaient de le forcer à briser son chiffrement de bout en bout. Meta has threatened to pull WhatsApp out of India if the courts try to force it to break its end-to-end encryption.			★★
	2024-04-29 11:07:42	Code de la chanson de baleine Whale Song Code (lien direct)	Pendant la guerre froide, l'US Navy a essayé de faire un Code secret hors de la chanson de baleine. Le plan de base était de développer des messages codés à partir d'enregistrements de baleines, de dauphins, de lions de mer et de phoques.Le sous-marin diffuserait les bruits et un ordinateur & # 8212; Le Reconnateur de signal combo (CSR) & # 8212; détecterait les modèles spécifiques et les décoderait à l'autre extrémité.En théorie, cette idée était relativement simple.Au fur et à mesure que les travaux progressaient, la Marine a trouvé un certain nombre de problèmes compliqués à surmonter, dont la majeure partie était centrée sur l'authenticité du code lui-même. La structure des messages ne pouvait pas substituer simplement le gémissement d'une baleine ou d'un sceau de cri pour As et BS ou même des mots entiers.De plus, les techniciens Sounds Navy enregistrés entre 1959 et 1965 ont tous eu un bruit de fond naturel.Avec la technologie disponible, il aurait été difficile de le nettoyer.Des explosions répétées des mêmes sons avec un bruit supplémentaire identique se démarqueraient même d'opérateurs de sonar non formés ... During the Cold War, the US Navy tried to make a secret code out of whale song. The basic plan was to develop coded messages from recordings of whales, dolphins, sea lions, and seals. The submarine would broadcast the noises and a computer—the Combo Signal Recognizer (CSR)—would detect the specific patterns and decode them on the other end. In theory, this idea was relatively simple. As work progressed, the Navy found a number of complicated problems to overcome, the bulk of which centered on the authenticity of the code itself. The message structure couldn’t just substitute the moaning of a whale or a crying seal for As and Bs or even whole words. In addition, the sounds Navy technicians recorded between 1959 and 1965 all had natural background noise. With the technology available, it would have been hard to scrub that out. Repeated blasts of the same sounds with identical extra noise would stand out to even untrained sonar operators...			★★★
	2024-04-26 21:07:33	Vendredi Blogging Squid: Recherche du calmar colossal Friday Squid Blogging: Searching for the Colossal Squid (lien direct)	Un bateau de croisière est Recherche pour le calmar colossal Squid Colossal Squid. Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . A cruise ship is searching for the colossal squid. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-04-26 11:01:09	Long article sur GM Esping sur ses voitures \\ 'conducteurs Long Article on GM Spying on Its Cars\\' Drivers (lien direct)	Cachemir Hill a un vraiment bon article sur la façon dont GM a trompé ses conducteurs pour leur espérer & # 8212; puis a vendu ces données aux compagnies d'assurance. Kashmir Hill has a really good article on how GM tricked its drivers into letting it spy on them—and then sold that data to insurance companies.			★★★
	2024-04-25 11:02:48	La montée de l'optimisation du modèle de langage grand The Rise of Large-Language-Model Optimization (lien direct)	Le Web est devenu si entrelacé de la vie quotidienne qu'il est facile d'oublier ce qu'est un accomplissement et un trésor extraordinaires.En quelques décennies, une grande partie des connaissances humaines ont été collectivement écrites et mises à la disposition de toute personne ayant une connexion Internet. Mais tout cela touche à sa fin.L'avènement de l'IA menace de détruire l'écosystème en ligne complexe qui permet aux écrivains, artistes et autres créateurs d'atteindre le public humain. Pour comprendre pourquoi, vous devez comprendre la publication.Sa tâche principale est de connecter les écrivains à un public.Les éditeurs travaillent comme gardiens, filtrant les candidats, puis amplifiant les élus.Dans l'espoir d'être sélectionné, les écrivains façonnent leur travail de diverses manières.Cet article pourrait être écrit très différemment dans une publication académique, par exemple, et la publier ici a impliqué de lancer un éditeur, de réviser plusieurs brouillons pour le style et la concentration, etc. ... The web has become so interwoven with everyday life that it is easy to forget what an extraordinary accomplishment and treasure it is. In just a few decades, much of human knowledge has been collectively written up and made available to anyone with an internet connection. But all of this is coming to an end. The advent of AI threatens to destroy the complex online ecosystem that allows writers, artists, and other creators to reach human audiences. To understand why, you must understand publishing. Its core task is to connect writers to an audience. Publishers work as gatekeepers, filtering candidates and then amplifying the chosen ones. Hoping to be selected, writers shape their work in various ways. This article might be written very differently in an academic publication, for example, and publishing it here entailed pitching an editor, revising multiple drafts for style and focus, and so on...			★★
	2024-04-24 11:05:29	Dan Solove sur la réglementation de la confidentialité Dan Solove on Privacy Regulation (lien direct)	Le professeur de droit Dan Solove a un nouvel article sur la réglementation de la confidentialité.Dans son e-mail à moi, il écrit: & # 8220; Je réfléchis au consentement en matière de confidentialité depuis plus d'une décennie, et je pense que j'ai finalement fait une percée avec cet article. & # 8221;Son mini-abstraire: Dans cet article, je soutiens que la plupart du temps, le consentement en matière de confidentialité est fictif.Au lieu d'efforts futiles pour essayer de transformer le consentement de la vie privée de la fiction en fait, la meilleure approche consiste à se pencher sur les fictions.La loi ne peut pas empêcher le consentement de la vie privée d'être un conte de fées, mais la loi peut garantir que l'histoire se termine bien.Je soutiens que le consentement en matière de confidentialité devrait conférer moins de légitimité et de puissance et qu'il est soutenu par un ensemble de tâches sur les organisations qui traitent les données personnelles en fonction du consentement ... Law professor Dan Solove has a new article on privacy regulation. In his email to me, he writes: “I\'ve been pondering privacy consent for more than a decade, and I think I finally made a breakthrough with this article.” His mini-abstract: In this Article I argue that most of the time, privacy consent is fictitious. Instead of futile efforts to try to turn privacy consent from fiction to fact, the better approach is to lean into the fictions. The law can’t stop privacy consent from being a fairy tale, but the law can ensure that the story ends well. I argue that privacy consent should confer less legitimacy and power and that it be backstopped by a set of duties on organizations that process personal data based on consent...			★★
	2024-04-23 11:09:31	Microsoft et incitations à la sécurité Microsoft and Security Incentives (lien direct)	L'ancien directeur principal de la cyber-politique de la Maison Blanche A. J. Grotto parle des incitations économiques Pour les entreprisesPour améliorer leur sécurité & # 8212; en particulier, Microsoft: Grotto nous a dit que Microsoft devait être & # 8220; traîner des coups de pied et des cris & # 8221;Pour fournir des capacités d'exploitation forestière au gouvernement par défaut, et étant donné le fait que le méga-corp a mis en banque environ 20 milliards de dollars de revenus des services de sécurité l'année dernière, la concession était au mieux minime. [& # 8230;] & # 8220; Le gouvernement doit se concentrer sur l'encouragement et la catalyse de la concurrence, & # 8221;Dit Grotte.Il pense qu'il doit également examiner publiquement Microsoft et s'assurer que tout le monde sait quand il gâche ... Former senior White House cyber policy director A. J. Grotto talks about the economic incentives for companies to improve their security—in particular, Microsoft: Grotto told us Microsoft had to be “dragged kicking and screaming” to provide logging capabilities to the government by default, and given the fact the mega-corp banked around $20 billion in revenue from security services last year, the concession was minimal at best. […] “The government needs to focus on encouraging and catalyzing competition,” Grotto said. He believes it also needs to publicly scrutinize Microsoft and make sure everyone knows when it messes up...			★★★
	2024-04-22 15:26:34	Utilisation d'URL GitHub légitime pour les logiciels malveillants Using Legitimate GitHub URLs for Malware (lien direct)	Intéressant d'ingénierie sociale attaquez le vecteur d'attaque: McAfee a publié un rapport sur un newLUA Malware Loader Distribué via ce qui semblait être un référentiel Microsoft Github légitime pour le gestionnaire de bibliothèque & # 8220; C ++ pour Windows, Linux et MacOS, & # 8221;connu sous le nom de vcpkg . L'attaquant exploite une propriété de GitHub: les commentaires à un dépôt particulier peuvent contenir des fichiers, et ces fichiers seront associés au projet dans l'URL. Cela signifie que quelqu'un peut télécharger des logiciels malveillants et & # 8220; joint & # 8221;à un projet légitime et fiable. Comme l'URL du fichier contient le nom du référentiel dans lequel le commentaire a été créé, et comme presque toutes les sociétés de logiciels utilisent Github, ce défaut peut permettre aux acteurs de menace de développer des leurres extraordinairement astucieux et dignes de confiance.. Interesting social-engineering attack vector: McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg. The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL. What this means is that someone can upload malware and “attach” it to a legitimate and trusted project. As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures...	Malware Threat		★★
	2024-04-19 21:05:43	Vendredi Blogging Squid: Squid Trackers Friday Squid Blogging: Squid Trackers (lien direct)	a nouveau bioadhesive facilite l'attachement des trackers à la calmar. Remarque: L'article ne discute pas Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . A new bioadhesive makes it easier to attach trackers to squid. Note: the article does not discuss squid privacy rights. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-04-18 11:06:45	Autres tentatives pour reprendre les projets open source Other Attempts to Take Over Open Source Projects (lien direct)	Après la découverte de XZ Utils, les gens ont été Examen .Ne surprenant personne, l'incident n'est pas unique: Le Conseil OpenJS Foundation Cross Project a reçu une série suspecte d'e-mails avec des messages similaires, portant différents noms et chevauchant des e-mails associés à GitHub.Ces e-mails ont imploré OpenJS pour prendre des mesures pour mettre à jour l'un de ses projets JavaScript populaires à & # 8220; Addressez toutes les vulnérabilités critiques, & # 8221;Pourtant, aucune spécification n'a cité.L'auteur de courriels voulait que OpenJS les désigne en tant que nouveau responsable du projet malgré peu de participation préalable.Cette approche ressemble fortement à la manière dont & # 8220; Jia Tan & # 8221;se positionné dans la porte dérobée XZ / Liblzma ... After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique: The OpenJS Foundation Cross Project Council received a suspicious series of emails with similar messages, bearing different names and overlapping GitHub-associated emails. These emails implored OpenJS to take action to update one of its popular JavaScript projects to “address any critical vulnerabilities,” yet cited no specifics. The email author(s) wanted OpenJS to designate them as a new maintainer of the project despite having little prior involvement. This approach bears strong resemblance to the manner in which “Jia Tan” positioned themselves in the XZ/liblzma backdoor...	Vulnerability		★★
	2024-04-17 11:08:32	L'utilisation des modifications législatives générées par l'IA comme technique de retard Using AI-Generated Legislative Amendments as a Delaying Technique (lien direct)	Les législateurs canadiens ont proposé 19 600 amendements & # 8212; Presque certainement AI-généré & # 8212; à un projet de loi dans le but de retarder son adoption. J'ai écrit sur de nombreuses tactiques de retard législatives différentes dans un hacker & # 8217;> , mais c'est un nouveau. Canadian legislators proposed 19,600 amendments—almost certainly AI-generated—to a bill in an attempt to delay its adoption. I wrote about many different legislative delaying tactics in A Hacker’s Mind, but this is a new one.			★★
	2024-04-16 11:00:58	X.com modifiant automatiquement le texte du lien mais pas les URL X.com Automatically Changing Link Text but Not URLs (lien direct)	Brian Krebs rapporté Que X (anciennement connu sous le nom de Twitter) a commencé à modifier automatiquement les liens Twitter.com vers des liens X.com.Le problème est: (1) il a changé tout nom de domaine qui s'est terminé avec & # 8220; twitter.com, & # 8221;et (2) il n'a changé que l'apparence du lien (AnchOrtExt), pas l'URL sous-jacente.Donc, si vous étiez un phisher intelligent et un Fedtwitter.com inscrit, les gens verraient le lien comme FedEx.com, mais cela enverrait les gens à Fedtwitter.com. Heureusement, le problème a été résolu. Brian Krebs reported that X (formerly known as Twitter) started automatically changing twitter.com links to x.com links. The problem is: (1) it changed any domain name that ended with “twitter.com,” and (2) it only changed the link’s appearance (anchortext), not the underlying URL. So if you were a clever phisher and registered fedetwitter.com, people would see the link as fedex.com, but it would send people to fedetwitter.com. Thankfully, the problem has been fixed.		FedEx	★★
	2024-04-15 11:04:50	Nouvelle technique cryptanalytique du réseau New Lattice Cryptanalytic Technique (lien direct)	a nouveau papier présente un algorithme quantique en temps polynomial pour résoudre certains problèmes de réseau dur.Cela pourrait être un gros problème pour les algorithmes cryptographiques post-Quantum, car beaucoup d'entre eux fondent leur sécurité sur les problèmes de réseau dur. quelques choses à noter.Premièrement, ce document n'a pas encore été évalué par des pairs.Comme ce commentaire souligne: & # 8220; nous avionsDéjà dans certains cas où des algorithmes quantiques efficaces pour des problèmes de réseau ont été découverts, mais ils se sont avérés Ne pas être correct ou n'a travaillé que pour caisses spéciales simples . & # 8221; deux, il s'agit d'un algorithme quantique, ce qui signifie qu'il n'a pas été testé.Il y a un large fossé entre les algorithmes quantiques en théorie et dans la pratique.Et jusqu'à ce que nous puissions réellement coder et tester ces algorithmes, nous devons nous méfier de leurs revendications de vitesse et de complexité ... A new paper presents a polynomial-time quantum algorithm for solving certain hard lattice problems. This could be a big deal for post-quantum cryptographic algorithms, since many of them base their security on hard lattice problems. A few things to note. One, this paper has not yet been peer reviewed. As this comment points out: “We had already some cases where efficient quantum algorithms for lattice problems were discovered, but they turned out not being correct or only worked for simple special cases.” Two, this is a quantum algorithm, which means that it has not been tested. There is a wide gulf between quantum algorithms in theory and in practice. And until we can actually code and test these algorithms, we should be suspicious of their speed and complexity claims...			★★
	2024-04-12 21:08:47	Vendredi Blogging Squid: The Hornalif of Squid Pêche Boats Friday Squid Blogging: The Awfulness of Squid Fishing Boats (lien direct)	il est un joli horaire horrible . Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . It’s a pretty awful story. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-04-12 11:01:18	Tableau d'or en le déguisant en pièces de machine Smuggling Gold by Disguising it as Machine Parts (lien direct)	Quelqu'un s'est fait prendre à essayer de houpe 322des livres d'or (qui & # 8217; est environ 1/4 d'un pied cube) de Hong Kong.Il était déguisé en pièces de machine: Le 27 mars, les responsables des douanes ont radié deux compresseurs d'air et ont découvert qu'ils contenaient de l'or qui avait été & # 8220; dissimulé dans les parties intégrales & # 8221;des compresseurs.Ces pièces d'or avaient également été peintes en argent pour correspondre aux autres composants pour tenter de jeter les douanes du sentier. Someone got caught trying to smuggle 322 pounds of gold (that’s about 1/4 of a cubic foot) out of Hong Kong. It was disguised as machine parts: On March 27, customs officials x-rayed two air compressors and discovered that they contained gold that had been “concealed in the integral parts” of the compressors. Those gold parts had also been painted silver to match the other components in an attempt to throw customs off the trail.			★★★
	2024-04-11 11:01:51	Backdoor dans XZ utilise qui s'est presque passé Backdoor in XZ Utils That Almost Happened (lien direct)	La semaine dernière, Internet a esquivé une grande attaque d'État-nation qui aurait eu des répercussions catastrophiques de cybersécurité dans le monde.C'est une catastrophe qui ne s'est pas produite, donc cela n'a pas attiré beaucoup d'attention & # 8212; mais cela devrait.Il y a une morale importante pour le Story of the Attack et ses Discovery: La sécurité de l'Internet mondial dépend d'innombrables éléments obscurs écrits et maintenus par des bénévoles encore plus obscurs non rémunérés, distractionibles et parfois vulnérables.C'est une situation intenable, et qui est exploitée par des acteurs malveillants.Pourtant, un peu précieux est fait pour y remédier ... Last week, the internet dodged a major nation-state attack that would have had catastrophic cybersecurity repercussions worldwide. It\'s a catastrophe that didn\'t happen, so it won\'t get much attention—but it should. There\'s an important moral to the story of the attack and its discovery: The security of the global internet depends on countless obscure pieces of software written and maintained by even more obscure unpaid, distractible, and sometimes vulnerable volunteers. It\'s an untenable situation, and one that is being exploited by malicious actors. Yet precious little is being done to remedy it...			★★
	2024-04-10 11:08:10	Dans Memoriam: Ross Anderson, 1956-2024 In Memoriam: Ross Anderson, 1956-2024 (lien direct)	La semaine dernière, j'ai publié un court mémorial de Ross Anderson.Les communications de l'ACM m'ont demandé de l'étendre.Ici & # 8217; est le version plus longue . Last week I posted a short memorial of Ross Anderson. The Communications of the ACM asked me to expand it. Here’s the longer version.			★★
	2024-04-09 13:56:55	US Cyber Safety Review Board sur le hack d'échange Microsoft 2023 US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack (lien direct)	US Cyber Safety Review Board a publié un	Hack		★★
	2024-04-08 11:03:44	Vulnérabilité de sécurité des e-mails HTML Security Vulnerability of HTML Emails (lien direct)	Il s'agit d'un Vulnérabilité des e-mails nouvellement découverte : L'e-mail que votre gestionnaire a reçu et vous a transmis était quelque chose de complètement innocent, comme un client potentiel posant quelques questions.Tout ce que l'e-mail était censé réaliser était de vous être transmis.Cependant, au moment où l'e-mail est apparu dans votre boîte de réception, cela a changé.Le prétexte innocent a disparu et le véritable e-mail de phishing est devenu visible.Un e-mail de phishing vous avait en faire confiance parce que vous connaissiez l'expéditeur et ils ont même confirmé qu'ils vous l'avaient transmis. Cette attaque est possible car la plupart des clients de messagerie permettent à CSS d'être utilisé pour styliser des e-mails HTML.Lorsqu'un e-mail est transmis, la position de l'e-mail d'origine dans le DOM change généralement, permettant aux règles CSS d'être appliquées sélectivement uniquement lorsqu'un e-mail a été transmis ... This is a newly discovered email vulnerability: The email your manager received and forwarded to you was something completely innocent, such as a potential customer asking a few questions. All that email was supposed to achieve was being forwarded to you. However, the moment the email appeared in your inbox, it changed. The innocent pretext disappeared and the real phishing email became visible. A phishing email you had to trust because you knew the sender and they even confirmed that they had forwarded it to you. This attack is possible because most email clients allow CSS to be used to style HTML emails. When an email is forwarded, the position of the original email in the DOM usually changes, allowing for CSS rules to be selectively applied only when an email has been forwarded...	Vulnerability		★★
	2024-04-05 21:02:11	Vendredi Blogging Squid: Squid Bots Friday Squid Blogging: SqUID Bots (lien direct)	Ils & # 8217; re Ai Warehouse robots . Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. . Lisez mes directives de publication de blog ici . They’re AI warehouse robots. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here.			★★
	2024-04-05 11:00:42	Peut-être que les vulnérabilités de surveillance du système téléphonique seront fixes Maybe the Phone System Surveillance Vulnerabilities Will Be Fixed (lien direct)	Il semble que la FCC soit Fixation des vulnérabilités en SS7 et le protocole diamètre: Le 27 mars, la Commission a demandé aux fournisseurs de télécommunications de peser et de détailler ce qu'ils font pour empêcher les vulnérabilités de SS7 et de diamètre d'être mal utilisées pour suivre les consommateurs & # 8217;emplacements. La FCC a également demandé aux transporteurs de détailler les exploits des protocoles depuis 2018. Le régulateur veut connaître la date de l'incident, ce qui s'est passé, quelles vulnérabilités ont été exploitées et avec quelles techniques, où laLe suivi de l'emplacement s'est produit et est timide;Si connu et timide;L'identité de l'attaquant ... It seems that the FCC might be fixing the vulnerabilities in SS7 and the Diameter protocol: On March 27 the commission asked telecommunications providers to weigh in and detail what they are doing to prevent SS7 and Diameter vulnerabilities from being misused to track consumers’ locations. The FCC has also asked carriers to detail any exploits of the protocols since 2018. The regulator wants to know the date(s) of the incident(s), what happened, which vulnerabilities were exploited and with which techniques, where the location tracking occurred, and if known the attacker’s identity...	Vulnerability		★★★
	2024-04-04 11:07:39	Surveillance par la nouvelle application Microsoft Outlook Surveillance by the New Microsoft Outlook App (lien direct)	Les gens de ProtonMail accusent l'application des nouvelles perspectives pour Windows de Microsoft de conduiteSurveillance étendue sur ses utilisateurs.Il partage des données avec les annonceurs, beaucoup de données: La fenêtre informe les utilisateurs que Microsoft et ces 801 tiers utilisent leurs données à plusieurs fins, y compris pour: Store et / ou accéder aux informations sur l'appareil de l'utilisateur Développer et améliorer les produits Personnaliser les annonces et le contenu Mesurer les annonces et le contenu dériver les idées du public Obtenir des données de géolocalisation précises Identifier les utilisateurs via la numérisation des périphériques Commentaire . ... The ProtonMail people are accusing Microsoft’s new Outlook for Windows app of conducting extensive surveillance on its users. It shares data with advertisers, a lot of data: The window informs users that Microsoft and those 801 third parties use their data for a number of purposes, including to: Store and/or access information on the user’s device Develop and improve products Personalize ads and content Measure ads and content Derive audience insights Obtain precise geolocation data Identify users through device scanning Commentary. ...			★★★
	2024-04-03 11:01:51	Course en cours de réaction contre le mode incognito de Google \\ Class-Action Lawsuit against Google\\'s Incognito Mode (lien direct)	Le procès a été réglé : Google a accepté de supprimer & # 8220; milliards de dossiers de données & # 8221;L'entreprise a collecté tandis que les utilisateurs ont parcouru le Web en utilisant le mode incognito, selon Documents déposés au tribunal fédéral à San Francisco lundi.L'accord, qui fait partie d'un règlement dans un recours collectif déposé en 2020, met en évidence des années de divulgations sur les pratiques de Google \\ qui mettent en lumière la quantité de données que le géant technologique siphons de ses utilisateurs et timide; & # 8212; même lorsqu'ils\\ 're en mode de navigation privée. Selon les termes du règlement, Google doit mettre à jour davantage la "page de splash" du mode incognito qui apparaît chaque fois que vous ouvrez une fenêtre chromée en mode incognito après ... The lawsuit has been settled: Google has agreed to delete “billions of data records” the company collected while users browsed the web using Incognito mode, according to documents filed in federal court in San Francisco on Monday. The agreement, part of a settlement in a class action lawsuit filed in 2020, caps off years of disclosures about Google\'s practices that shed light on how much data the tech giant siphons from its users—even when they\'re in private-browsing mode. Under the terms of the settlement, Google must further update the Incognito mode “splash page” that appears anytime you open an Incognito mode Chrome window after ...			★★★
	2024-04-02 18:50:50	XZ Utils Backdoor (lien direct)	Le monde de la cybersécurité a eu beaucoup de chance la semaine dernière.Une porte dérobée intentionnellement placée dans XZ Utils, un utilitaire de compression open-source, était à peu près Découvert accidentellement découvert accidentellement Par un ingénieur Microsoft & # 8212; Des semaines avant, il aurait été incorporé à Debian et Red Hat Linux.De arstehnica : Code malveillant ajouté aux versions XZ Utils 5.6.0 et 5.6.1 a modifié la façon dont le logiciel fonctionne.Le SSHD manipulé de la porte dérobée, le fichier exécutable utilisé pour établir des connexions SSH distantes.Toute personne en possession d'une clé de chiffrement prédéterminée pourrait ranger tout code de son choix dans un certificat de connexion SSH, le télécharger et l'exécuter sur l'appareil arrière.Personne n'a réellement vu du code téléchargé, donc il ne sait pas quel code l'attaquant prévoyait d'exécuter.En théorie, le code pourrait permettre à peu près n'importe quoi, y compris le vol de clés de chiffrement ou l'installation de logiciels malveillants ... The cybersecurity world got really lucky last week. An intentionally placed backdoor in xz Utils, an open-source compression utility, was pretty much accidentally discovered by a Microsoft engineer—weeks before it would have been incorporated into both Debian and Red Hat Linux. From ArsTehnica: Malicious code added to xz Utils versions 5.6.0 and 5.6.1 modified the way the software functions. The backdoor manipulated sshd, the executable file used to make remote SSH connections. Anyone in possession of a predetermined encryption key could stash any code of their choice in an SSH login certificate, upload it, and execute it on the backdoored device. No one has actually seen code uploaded, so it’s not known what code the attacker planned to run. In theory, the code could allow for just about anything, including stealing encryption keys or installing malware...	Malware		★★
	2024-04-02 17:05:15	Declassifiez les newsletters de la NSA Declassified NSA Newsletters (lien direct)	Grâce à une demande de FOIA 2010 (oui, cela a pris autant de temps), nous avons des copies de la newsletter de la NSA & # 8217; S Society, & # 8220; Contes du krypt , & # 8221;de 1994 à 2003. Il y a beaucoup de choses intéressantes dans les 800 pages de newsletter.Il existe de nombreuses rédactions.Et une revue de 1994 de la cryptographie appliquée par expurgé : La cryptographie appliquée, pour ceux qui ne lisent pas Internet News, est un livre écrit par Bruce Schneier l'année dernière.Selon la veste, Schneier est un expert en sécurité des données avec un diplôme de maître en informatique.Selon ses disciples, il est un héros qui a finalement réuni les fils lâches de la cryptographie pour que le grand public comprenne.Schneier a rassemblé des recherches académiques, des potins sur Internet et tout ce qu'il pouvait trouver sur la cryptographie en un fouillis de 600 pages ... Through a 2010 FOIA request (yes, it took that long), we have copies of the NSA’s KRYPTOS Society Newsletter, “Tales of the Krypt,” from 1994 to 2003. There are many interesting things in the 800 pages of newsletter. There are many redactions. And a 1994 review of Applied Cryptography by redacted: Applied Cryptography, for those who don’t read the internet news, is a book written by Bruce Schneier last year. According to the jacket, Schneier is a data security expert with a master’s degree in computer science. According to his followers, he is a hero who has finally brought together the loose threads of cryptography for the general public to understand. Schneier has gathered academic research, internet gossip, and everything he could find on cryptography into one 600-page jumble...			★★

Last update at: 2024-06-01 07:08:50
See our sources.

To see everything: Our RSS (filtrered)