What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-05-07 15:32:13 | Nouvelle attaque contre les VPN New Attack on VPNs (lien direct) |
Ce attaque est faisable depuis plus de deux décennies:
Les chercheurs ont conçu une attaque contre presque toutes les applications de réseaux privés virtuels qui les obligent à envoyer et à recevoir un peu ou un trafic à l'extérieur du tunnel crypté conçu pour le protéger de l'espionnage ou de la falsification.
TunnelLion, comme les chercheurs ont nommé leur attaque, annule en grande partie le but et le point de vente des VPN, qui est de résumer le trafic Internet entrant et sortant dans un tunnel crypté et de masquer l'adresse IP de l'utilisateur.Les chercheurs pensent que cela affecte toutes les applications VPN lorsqu'elles sont connectées à un réseau hostile et qu'il n'y a aucun moyen d'empêcher de telles attaques, sauf lorsque le VPN de l'utilisateur s'exécute sur Linux ou Android.Ils ont également déclaré que leur technique d'attaque était peut-être possible depuis 2002 et peut-être déjà découverte et utilisée dans la nature depuis ...
This attack has been feasible for over two decades: Researchers have devised an attack against nearly all virtual private network applications that forces them to send and receive some or all traffic outside of the encrypted tunnel designed to protect it from snooping or tampering. TunnelVision, as the researchers have named their attack, largely negates the entire purpose and selling point of VPNs, which is to encapsulate incoming and outgoing Internet traffic in an encrypted tunnel and to cloak the user’s IP address. The researchers believe it affects all VPN applications when they’re connected to a hostile network and that there are no ways to prevent such attacks except when the user’s VPN runs on Linux or Android. They also said their attack technique may have been possible since 2002 and may already have been discovered and used in the wild since then... |
Mobile | ||
|
2024-05-06 11:03:08 | Nouveau procès tentant de rendre l'interopérabilité contradictoire légale New Lawsuit Attempting to Make Adversarial Interoperability Legal (lien direct) |
Beaucoup de détails compliqués ici: trop pour moi de bien résumer.Il implique une disposition obscure de l'article 230 & # 8212; et une faute de frappe encore plus obscure.Lire ce .
Lots of complicated details here: too many for me to summarize well. It involves an obscure Section 230 provision—and an even more obscure typo. Read this. |
|||
|
2024-05-03 21:05:57 | Vendredi Blogging Squid: Squid Gurses Friday Squid Blogging: Squid Purses (lien direct) |
en forme de calmar sacs à main à vendre.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
Squid-shaped purses for sale. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
|||
|
2024-05-03 18:13:24 | Mes discussions Ted My TED Talks (lien direct) |
J'ai parlé lors de plusieurs conférences TED au fil des ans.
TEDXPSU 2010: & # 8220; Reconceptualiser la sécurité & # 8221;
TEDXCAMBRIDGE 2013: & # 8220; La bataille pour le pouvoir sur Internet & # 8221;
Tedmed 2016: & # 8220; Qui contrôle vos données médicales ? & # 8221;
i & # 8217; je mets ceci ici parce que je veux les trois liens en un seul endroit.
I have spoken at several TED conferences over the years. TEDxPSU 2010: “Reconceptualizing Security” TEDxCambridge 2013: “The Battle for Power on the Internet” TEDMed 2016: “Who Controls Your Medical Data?” I’m putting this here because I want all three links in one place. |
Medical | ||
|
2024-05-03 11:10:08 | Entrevues rares avec Enigma Cryptanalyst Marian Rejewski Rare Interviews with Enigma Cryptanalyst Marian Rejewski (lien direct) |
L'ambassade de polonais a Posté Une série de courts segments d'interview avec Marian Rejewski, la première personne à casser l'Enigma.
Détails de son biographie .
The Polish Embassy has posted a series of short interview segments with Marian Rejewski, the first person to crack the Enigma. Details from his biography. |
|||
|
2024-05-02 11:05:03 | Le Royaume-Uni interdit les mots de passe par défaut The UK Bans Default Passwords (lien direct) |
Le Royaume-Uni est le premier pays à interdire les mots de passe par défaut sur les appareils IoT.
Lundi, le Royaume-Uni est devenu le premier pays au monde à interdire les noms d'utilisateur et les mots de passe devignables par défaut de ces appareils IoT.Les mots de passe uniques installés par défaut sont toujours autorisés.
le Sécurité des produits et télécommunications.Normes de sécurité pour les fabricants et exige que ces entreprises soient ouvertes auprès des consommateurs sur la durée de leurs produits pour les mises à jour de sécurité.
Le Royaume-Uni est peut-être le premier pays, mais pour autant que je sache, la Californie est la première juridiction.It ...
The UK is the first country to ban default passwords on IoT devices. On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted. The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for. The UK may be the first country, but as far as I know, California is the first jurisdiction. It ... |
Legislation | ★★★ | |
|
2024-05-01 11:09:23 | Vous avez une arnaque de voix AI Voice Scam (lien direct) |
Scammeurs a trompé une entreprise pour croire qu'elle avait affaire à un présentateur de la BBC.Ils ont simulé sa voix et ont accepté de l'argent destiné à elle.
Scammers tricked a company into believing they were dealing with a BBC presenter. They faked her voice, and accepted money intended for her. |
★★ | ||
|
2024-04-30 11:00:28 | WhatsApp en Inde WhatsApp in India (lien direct) |
Meta a menacé de tirage whatsapp Out of India si les tribunaux essaient de le forcer à briser son chiffrement de bout en bout.
Meta has threatened to pull WhatsApp out of India if the courts try to force it to break its end-to-end encryption. |
★★ | ||
|
2024-04-29 11:07:42 | Code de la chanson de baleine Whale Song Code (lien direct) |
Pendant la guerre froide, l'US Navy a essayé de faire un Code secret hors de la chanson de baleine.
Le plan de base était de développer des messages codés à partir d'enregistrements de baleines, de dauphins, de lions de mer et de phoques.Le sous-marin diffuserait les bruits et un ordinateur & # 8212; Le Reconnateur de signal combo (CSR) & # 8212; détecterait les modèles spécifiques et les décoderait à l'autre extrémité.En théorie, cette idée était relativement simple.Au fur et à mesure que les travaux progressaient, la Marine a trouvé un certain nombre de problèmes compliqués à surmonter, dont la majeure partie était centrée sur l'authenticité du code lui-même.
La structure des messages ne pouvait pas substituer simplement le gémissement d'une baleine ou d'un sceau de cri pour As et BS ou même des mots entiers.De plus, les techniciens Sounds Navy enregistrés entre 1959 et 1965 ont tous eu un bruit de fond naturel.Avec la technologie disponible, il aurait été difficile de le nettoyer.Des explosions répétées des mêmes sons avec un bruit supplémentaire identique se démarqueraient même d'opérateurs de sonar non formés ...
During the Cold War, the US Navy tried to make a secret code out of whale song. The basic plan was to develop coded messages from recordings of whales, dolphins, sea lions, and seals. The submarine would broadcast the noises and a computer—the Combo Signal Recognizer (CSR)—would detect the specific patterns and decode them on the other end. In theory, this idea was relatively simple. As work progressed, the Navy found a number of complicated problems to overcome, the bulk of which centered on the authenticity of the code itself. The message structure couldn’t just substitute the moaning of a whale or a crying seal for As and Bs or even whole words. In addition, the sounds Navy technicians recorded between 1959 and 1965 all had natural background noise. With the technology available, it would have been hard to scrub that out. Repeated blasts of the same sounds with identical extra noise would stand out to even untrained sonar operators... |
★★★ | ||
|
2024-04-26 21:07:33 | Vendredi Blogging Squid: Recherche du calmar colossal Friday Squid Blogging: Searching for the Colossal Squid (lien direct) |
Un bateau de croisière est Recherche pour le calmar colossal Squid Colossal Squid.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
A cruise ship is searching for the colossal squid. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-26 11:01:09 | Long article sur GM Esping sur ses voitures \\ 'conducteurs Long Article on GM Spying on Its Cars\\' Drivers (lien direct) |
Cachemir Hill a un vraiment bon article sur la façon dont GM a trompé ses conducteurs pour leur espérer & # 8212; puis a vendu ces données aux compagnies d'assurance.
Kashmir Hill has a really good article on how GM tricked its drivers into letting it spy on them—and then sold that data to insurance companies. |
★★★ | ||
|
2024-04-25 11:02:48 | La montée de l'optimisation du modèle de langage grand The Rise of Large-Language-Model Optimization (lien direct) |
Le Web est devenu si entrelacé de la vie quotidienne qu'il est facile d'oublier ce qu'est un accomplissement et un trésor extraordinaires.En quelques décennies, une grande partie des connaissances humaines ont été collectivement écrites et mises à la disposition de toute personne ayant une connexion Internet.
Mais tout cela touche à sa fin.L'avènement de l'IA menace de détruire l'écosystème en ligne complexe qui permet aux écrivains, artistes et autres créateurs d'atteindre le public humain.
Pour comprendre pourquoi, vous devez comprendre la publication.Sa tâche principale est de connecter les écrivains à un public.Les éditeurs travaillent comme gardiens, filtrant les candidats, puis amplifiant les élus.Dans l'espoir d'être sélectionné, les écrivains façonnent leur travail de diverses manières.Cet article pourrait être écrit très différemment dans une publication académique, par exemple, et la publier ici a impliqué de lancer un éditeur, de réviser plusieurs brouillons pour le style et la concentration, etc. ...
The web has become so interwoven with everyday life that it is easy to forget what an extraordinary accomplishment and treasure it is. In just a few decades, much of human knowledge has been collectively written up and made available to anyone with an internet connection. But all of this is coming to an end. The advent of AI threatens to destroy the complex online ecosystem that allows writers, artists, and other creators to reach human audiences. To understand why, you must understand publishing. Its core task is to connect writers to an audience. Publishers work as gatekeepers, filtering candidates and then amplifying the chosen ones. Hoping to be selected, writers shape their work in various ways. This article might be written very differently in an academic publication, for example, and publishing it here entailed pitching an editor, revising multiple drafts for style and focus, and so on... |
★★ | ||
|
2024-04-24 11:05:29 | Dan Solove sur la réglementation de la confidentialité Dan Solove on Privacy Regulation (lien direct) |
Le professeur de droit Dan Solove a un nouvel article sur la réglementation de la confidentialité.Dans son e-mail à moi, il écrit: & # 8220; Je réfléchis au consentement en matière de confidentialité depuis plus d'une décennie, et je pense que j'ai finalement fait une percée avec cet article. & # 8221;Son mini-abstraire:
Dans cet article, je soutiens que la plupart du temps, le consentement en matière de confidentialité est fictif.Au lieu d'efforts futiles pour essayer de transformer le consentement de la vie privée de la fiction en fait, la meilleure approche consiste à se pencher sur les fictions.La loi ne peut pas empêcher le consentement de la vie privée d'être un conte de fées, mais la loi peut garantir que l'histoire se termine bien.Je soutiens que le consentement en matière de confidentialité devrait conférer moins de légitimité et de puissance et qu'il est soutenu par un ensemble de tâches sur les organisations qui traitent les données personnelles en fonction du consentement ...
Law professor Dan Solove has a new article on privacy regulation. In his email to me, he writes: “I\'ve been pondering privacy consent for more than a decade, and I think I finally made a breakthrough with this article.” His mini-abstract: In this Article I argue that most of the time, privacy consent is fictitious. Instead of futile efforts to try to turn privacy consent from fiction to fact, the better approach is to lean into the fictions. The law can’t stop privacy consent from being a fairy tale, but the law can ensure that the story ends well. I argue that privacy consent should confer less legitimacy and power and that it be backstopped by a set of duties on organizations that process personal data based on consent... |
★★ | ||
|
2024-04-23 11:09:31 | Microsoft et incitations à la sécurité Microsoft and Security Incentives (lien direct) |
L'ancien directeur principal de la cyber-politique de la Maison Blanche A. J. Grotto parle des incitations économiques Pour les entreprisesPour améliorer leur sécurité & # 8212; en particulier, Microsoft:
Grotto nous a dit que Microsoft devait être & # 8220; traîner des coups de pied et des cris & # 8221;Pour fournir des capacités d'exploitation forestière au gouvernement par défaut, et étant donné le fait que le méga-corp a mis en banque environ 20 milliards de dollars de revenus des services de sécurité l'année dernière, la concession était au mieux minime.
[& # 8230;]
& # 8220; Le gouvernement doit se concentrer sur l'encouragement et la catalyse de la concurrence, & # 8221;Dit Grotte.Il pense qu'il doit également examiner publiquement Microsoft et s'assurer que tout le monde sait quand il gâche ...
Former senior White House cyber policy director A. J. Grotto talks about the economic incentives for companies to improve their security—in particular, Microsoft: Grotto told us Microsoft had to be “dragged kicking and screaming” to provide logging capabilities to the government by default, and given the fact the mega-corp banked around $20 billion in revenue from security services last year, the concession was minimal at best. […] “The government needs to focus on encouraging and catalyzing competition,” Grotto said. He believes it also needs to publicly scrutinize Microsoft and make sure everyone knows when it messes up... |
★★★ | ||
|
2024-04-22 15:26:34 | Utilisation d'URL GitHub légitime pour les logiciels malveillants Using Legitimate GitHub URLs for Malware (lien direct) |
Intéressant d'ingénierie sociale attaquez le vecteur d'attaque:
McAfee a publié un rapport sur un newLUA Malware Loader Distribué via ce qui semblait être un référentiel Microsoft Github légitime pour le gestionnaire de bibliothèque & # 8220; C ++ pour Windows, Linux et MacOS, & # 8221;connu sous le nom de vcpkg .
L'attaquant exploite une propriété de GitHub: les commentaires à un dépôt particulier peuvent contenir des fichiers, et ces fichiers seront associés au projet dans l'URL.
Cela signifie que quelqu'un peut télécharger des logiciels malveillants et & # 8220; joint & # 8221;à un projet légitime et fiable.
Comme l'URL du fichier contient le nom du référentiel dans lequel le commentaire a été créé, et comme presque toutes les sociétés de logiciels utilisent Github, ce défaut peut permettre aux acteurs de menace de développer des leurres extraordinairement astucieux et dignes de confiance..
Interesting social-engineering attack vector: McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg. The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL. What this means is that someone can upload malware and “attach” it to a legitimate and trusted project. As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures... |
Malware Threat | ★★ | |
|
2024-04-19 21:05:43 | Vendredi Blogging Squid: Squid Trackers Friday Squid Blogging: Squid Trackers (lien direct) |
a nouveau bioadhesive facilite l'attachement des trackers à la calmar.
Remarque: L'article ne discute pas
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
A new bioadhesive makes it easier to attach trackers to squid. Note: the article does not discuss squid privacy rights. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-18 11:06:45 | Autres tentatives pour reprendre les projets open source Other Attempts to Take Over Open Source Projects (lien direct) |
Après la découverte de XZ Utils, les gens ont été Examen .Ne surprenant personne, l'incident n'est pas unique:
Le Conseil OpenJS Foundation Cross Project a reçu une série suspecte d'e-mails avec des messages similaires, portant différents noms et chevauchant des e-mails associés à GitHub.Ces e-mails ont imploré OpenJS pour prendre des mesures pour mettre à jour l'un de ses projets JavaScript populaires à & # 8220; Addressez toutes les vulnérabilités critiques, & # 8221;Pourtant, aucune spécification n'a cité.L'auteur de courriels voulait que OpenJS les désigne en tant que nouveau responsable du projet malgré peu de participation préalable.Cette approche ressemble fortement à la manière dont & # 8220; Jia Tan & # 8221;se positionné dans la porte dérobée XZ / Liblzma ...
After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique: The OpenJS Foundation Cross Project Council received a suspicious series of emails with similar messages, bearing different names and overlapping GitHub-associated emails. These emails implored OpenJS to take action to update one of its popular JavaScript projects to “address any critical vulnerabilities,” yet cited no specifics. The email author(s) wanted OpenJS to designate them as a new maintainer of the project despite having little prior involvement. This approach bears strong resemblance to the manner in which “Jia Tan” positioned themselves in the XZ/liblzma backdoor... |
Vulnerability | ★★ | |
|
2024-04-17 11:08:32 | L'utilisation des modifications législatives générées par l'IA comme technique de retard Using AI-Generated Legislative Amendments as a Delaying Technique (lien direct) |
Les législateurs canadiens ont proposé 19 600 amendements & # 8212; Presque certainement AI-généré & # 8212; à un projet de loi dans le but de retarder son adoption.
J'ai écrit sur de nombreuses tactiques de retard législatives différentes dans un hacker & # 8217;> , mais c'est un nouveau.
Canadian legislators proposed 19,600 amendments—almost certainly AI-generated—to a bill in an attempt to delay its adoption. I wrote about many different legislative delaying tactics in A Hacker’s Mind, but this is a new one. |
★★ | ||
|
2024-04-16 11:00:58 | X.com modifiant automatiquement le texte du lien mais pas les URL X.com Automatically Changing Link Text but Not URLs (lien direct) |
Brian Krebs rapporté Que X (anciennement connu sous le nom de Twitter) a commencé à modifier automatiquement les liens Twitter.com vers des liens X.com.Le problème est: (1) il a changé tout nom de domaine qui s'est terminé avec & # 8220; twitter.com, & # 8221;et (2) il n'a changé que l'apparence du lien (AnchOrtExt), pas l'URL sous-jacente.Donc, si vous étiez un phisher intelligent et un Fedtwitter.com inscrit, les gens verraient le lien comme FedEx.com, mais cela enverrait les gens à Fedtwitter.com.
Heureusement, le problème a été résolu.
Brian Krebs reported that X (formerly known as Twitter) started automatically changing twitter.com links to x.com links. The problem is: (1) it changed any domain name that ended with “twitter.com,” and (2) it only changed the link’s appearance (anchortext), not the underlying URL. So if you were a clever phisher and registered fedetwitter.com, people would see the link as fedex.com, but it would send people to fedetwitter.com. Thankfully, the problem has been fixed. |
FedEx | ★★ | |
|
2024-04-15 11:04:50 | Nouvelle technique cryptanalytique du réseau New Lattice Cryptanalytic Technique (lien direct) |
a nouveau papier présente un algorithme quantique en temps polynomial pour résoudre certains problèmes de réseau dur.Cela pourrait être un gros problème pour les algorithmes cryptographiques post-Quantum, car beaucoup d'entre eux fondent leur sécurité sur les problèmes de réseau dur.
quelques choses à noter.Premièrement, ce document n'a pas encore été évalué par des pairs.Comme ce commentaire souligne: & # 8220; nous avionsDéjà dans certains cas où des algorithmes quantiques efficaces pour des problèmes de réseau ont été découverts, mais ils se sont avérés Ne pas être correct ou n'a travaillé que pour caisses spéciales simples . & # 8221;
deux, il s'agit d'un algorithme quantique, ce qui signifie qu'il n'a pas été testé.Il y a un large fossé entre les algorithmes quantiques en théorie et dans la pratique.Et jusqu'à ce que nous puissions réellement coder et tester ces algorithmes, nous devons nous méfier de leurs revendications de vitesse et de complexité ...
A new paper presents a polynomial-time quantum algorithm for solving certain hard lattice problems. This could be a big deal for post-quantum cryptographic algorithms, since many of them base their security on hard lattice problems. A few things to note. One, this paper has not yet been peer reviewed. As this comment points out: “We had already some cases where efficient quantum algorithms for lattice problems were discovered, but they turned out not being correct or only worked for simple special cases.” Two, this is a quantum algorithm, which means that it has not been tested. There is a wide gulf between quantum algorithms in theory and in practice. And until we can actually code and test these algorithms, we should be suspicious of their speed and complexity claims... |
★★ | ||
|
2024-04-12 21:08:47 | Vendredi Blogging Squid: The Hornalif of Squid Pêche Boats Friday Squid Blogging: The Awfulness of Squid Fishing Boats (lien direct) |
il est un joli horaire horrible .
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
It’s a pretty awful story. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-12 11:01:18 | Tableau d'or en le déguisant en pièces de machine Smuggling Gold by Disguising it as Machine Parts (lien direct) |
Quelqu'un s'est fait prendre à essayer de houpe 322des livres d'or (qui & # 8217; est environ 1/4 d'un pied cube) de Hong Kong.Il était déguisé en pièces de machine:
Le 27 mars, les responsables des douanes ont radié deux compresseurs d'air et ont découvert qu'ils contenaient de l'or qui avait été & # 8220; dissimulé dans les parties intégrales & # 8221;des compresseurs.Ces pièces d'or avaient également été peintes en argent pour correspondre aux autres composants pour tenter de jeter les douanes du sentier.
Someone got caught trying to smuggle 322 pounds of gold (that’s about 1/4 of a cubic foot) out of Hong Kong. It was disguised as machine parts: On March 27, customs officials x-rayed two air compressors and discovered that they contained gold that had been “concealed in the integral parts” of the compressors. Those gold parts had also been painted silver to match the other components in an attempt to throw customs off the trail. |
★★★ | ||
|
2024-04-11 11:01:51 | Backdoor dans XZ utilise qui s'est presque passé Backdoor in XZ Utils That Almost Happened (lien direct) |
La semaine dernière, Internet a esquivé une grande attaque d'État-nation qui aurait eu des répercussions catastrophiques de cybersécurité dans le monde.C'est une catastrophe qui ne s'est pas produite, donc cela n'a pas attiré beaucoup d'attention & # 8212; mais cela devrait.Il y a une morale importante pour le Story of the Attack et ses Discovery: La sécurité de l'Internet mondial dépend d'innombrables éléments obscurs écrits et maintenus par des bénévoles encore plus obscurs non rémunérés, distractionibles et parfois vulnérables.C'est une situation intenable, et qui est exploitée par des acteurs malveillants.Pourtant, un peu précieux est fait pour y remédier ...
Last week, the internet dodged a major nation-state attack that would have had catastrophic cybersecurity repercussions worldwide. It\'s a catastrophe that didn\'t happen, so it won\'t get much attention—but it should. There\'s an important moral to the story of the attack and its discovery: The security of the global internet depends on countless obscure pieces of software written and maintained by even more obscure unpaid, distractible, and sometimes vulnerable volunteers. It\'s an untenable situation, and one that is being exploited by malicious actors. Yet precious little is being done to remedy it... |
★★ | ||
|
2024-04-10 11:08:10 | Dans Memoriam: Ross Anderson, 1956-2024 In Memoriam: Ross Anderson, 1956-2024 (lien direct) |
La semaine dernière, j'ai publié un court mémorial de Ross Anderson.Les communications de l'ACM m'ont demandé de l'étendre.Ici & # 8217; est le version plus longue .
Last week I posted a short memorial of Ross Anderson. The Communications of the ACM asked me to expand it. Here’s the longer version. |
★★ | ||
|
2024-04-09 13:56:55 | US Cyber Safety Review Board sur le hack d'échange Microsoft 2023 US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack (lien direct) |
US Cyber Safety Review Board a publié un | Hack | ★★ | |
|
2024-04-08 11:03:44 | Vulnérabilité de sécurité des e-mails HTML Security Vulnerability of HTML Emails (lien direct) |
Il s'agit d'un Vulnérabilité des e-mails nouvellement découverte :
L'e-mail que votre gestionnaire a reçu et vous a transmis était quelque chose de complètement innocent, comme un client potentiel posant quelques questions.Tout ce que l'e-mail était censé réaliser était de vous être transmis.Cependant, au moment où l'e-mail est apparu dans votre boîte de réception, cela a changé.Le prétexte innocent a disparu et le véritable e-mail de phishing est devenu visible.Un e-mail de phishing vous avait en faire confiance parce que vous connaissiez l'expéditeur et ils ont même confirmé qu'ils vous l'avaient transmis.
Cette attaque est possible car la plupart des clients de messagerie permettent à CSS d'être utilisé pour styliser des e-mails HTML.Lorsqu'un e-mail est transmis, la position de l'e-mail d'origine dans le DOM change généralement, permettant aux règles CSS d'être appliquées sélectivement uniquement lorsqu'un e-mail a été transmis ...
This is a newly discovered email vulnerability: The email your manager received and forwarded to you was something completely innocent, such as a potential customer asking a few questions. All that email was supposed to achieve was being forwarded to you. However, the moment the email appeared in your inbox, it changed. The innocent pretext disappeared and the real phishing email became visible. A phishing email you had to trust because you knew the sender and they even confirmed that they had forwarded it to you. This attack is possible because most email clients allow CSS to be used to style HTML emails. When an email is forwarded, the position of the original email in the DOM usually changes, allowing for CSS rules to be selectively applied only when an email has been forwarded... |
Vulnerability | ★★ | |
|
2024-04-05 21:02:11 | Vendredi Blogging Squid: Squid Bots Friday Squid Blogging: SqUID Bots (lien direct) |
Ils & # 8217; re Ai Warehouse robots .
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
They’re AI warehouse robots. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-05 11:00:42 | Peut-être que les vulnérabilités de surveillance du système téléphonique seront fixes Maybe the Phone System Surveillance Vulnerabilities Will Be Fixed (lien direct) |
Il semble que la FCC soit Fixation des vulnérabilités en SS7 et le protocole diamètre:
Le 27 mars, la Commission a demandé aux fournisseurs de télécommunications de peser et de détailler ce qu'ils font pour empêcher les vulnérabilités de SS7 et de diamètre d'être mal utilisées pour suivre les consommateurs & # 8217;emplacements.
La FCC a également demandé aux transporteurs de détailler les exploits des protocoles depuis 2018. Le régulateur veut connaître la date de l'incident, ce qui s'est passé, quelles vulnérabilités ont été exploitées et avec quelles techniques, où laLe suivi de l'emplacement s'est produit et est timide;Si connu et timide;L'identité de l'attaquant ...
It seems that the FCC might be fixing the vulnerabilities in SS7 and the Diameter protocol: On March 27 the commission asked telecommunications providers to weigh in and detail what they are doing to prevent SS7 and Diameter vulnerabilities from being misused to track consumers’ locations. The FCC has also asked carriers to detail any exploits of the protocols since 2018. The regulator wants to know the date(s) of the incident(s), what happened, which vulnerabilities were exploited and with which techniques, where the location tracking occurred, and if known the attacker’s identity... |
Vulnerability | ★★★ | |
|
2024-04-04 11:07:39 | Surveillance par la nouvelle application Microsoft Outlook Surveillance by the New Microsoft Outlook App (lien direct) |
Les gens de ProtonMail accusent l'application des nouvelles perspectives pour Windows de Microsoft de conduiteSurveillance étendue sur ses utilisateurs.Il partage des données avec les annonceurs, beaucoup de données:
La fenêtre informe les utilisateurs que Microsoft et ces 801 tiers utilisent leurs données à plusieurs fins, y compris pour:
Store et / ou accéder aux informations sur l'appareil de l'utilisateur
Développer et améliorer les produits
Personnaliser les annonces et le contenu
Mesurer les annonces et le contenu
dériver les idées du public
Obtenir des données de géolocalisation précises
Identifier les utilisateurs via la numérisation des périphériques
Commentaire .
...
The ProtonMail people are accusing Microsoft’s new Outlook for Windows app of conducting extensive surveillance on its users. It shares data with advertisers, a lot of data: The window informs users that Microsoft and those 801 third parties use their data for a number of purposes, including to: Store and/or access information on the user’s device Develop and improve products Personalize ads and content Measure ads and content Derive audience insights Obtain precise geolocation data Identify users through device scanning Commentary. ... |
★★★ | ||
|
2024-04-03 11:01:51 | Course en cours de réaction contre le mode incognito de Google \\ Class-Action Lawsuit against Google\\'s Incognito Mode (lien direct) |
Le procès a été réglé :
Google a accepté de supprimer & # 8220; milliards de dossiers de données & # 8221;L'entreprise a collecté tandis que les utilisateurs ont parcouru le Web en utilisant le mode incognito, selon Documents déposés au tribunal fédéral à San Francisco lundi.L'accord, qui fait partie d'un règlement dans un recours collectif déposé en 2020, met en évidence des années de divulgations sur les pratiques de Google \\ qui mettent en lumière la quantité de données que le géant technologique siphons de ses utilisateurs et timide; & # 8212; même lorsqu'ils\\ 're en mode de navigation privée.
Selon les termes du règlement, Google doit mettre à jour davantage la "page de splash" du mode incognito qui apparaît chaque fois que vous ouvrez une fenêtre chromée en mode incognito après ...
The lawsuit has been settled: Google has agreed to delete “billions of data records” the company collected while users browsed the web using Incognito mode, according to documents filed in federal court in San Francisco on Monday. The agreement, part of a settlement in a class action lawsuit filed in 2020, caps off years of disclosures about Google\'s practices that shed light on how much data the tech giant siphons from its users—even when they\'re in private-browsing mode. Under the terms of the settlement, Google must further update the Incognito mode “splash page” that appears anytime you open an Incognito mode Chrome window after ... |
★★★ | ||
|
2024-04-02 18:50:50 | XZ Utils Backdoor (lien direct) | Le monde de la cybersécurité a eu beaucoup de chance la semaine dernière.Une porte dérobée intentionnellement placée dans XZ Utils, un utilitaire de compression open-source, était à peu près Découvert accidentellement découvert accidentellement Par un ingénieur Microsoft & # 8212; Des semaines avant, il aurait été incorporé à Debian et Red Hat Linux.De arstehnica :
Code malveillant ajouté aux versions XZ Utils 5.6.0 et 5.6.1 a modifié la façon dont le logiciel fonctionne.Le SSHD manipulé de la porte dérobée, le fichier exécutable utilisé pour établir des connexions SSH distantes.Toute personne en possession d'une clé de chiffrement prédéterminée pourrait ranger tout code de son choix dans un certificat de connexion SSH, le télécharger et l'exécuter sur l'appareil arrière.Personne n'a réellement vu du code téléchargé, donc il ne sait pas quel code l'attaquant prévoyait d'exécuter.En théorie, le code pourrait permettre à peu près n'importe quoi, y compris le vol de clés de chiffrement ou l'installation de logiciels malveillants ...
The cybersecurity world got really lucky last week. An intentionally placed backdoor in xz Utils, an open-source compression utility, was pretty much accidentally discovered by a Microsoft engineer—weeks before it would have been incorporated into both Debian and Red Hat Linux. From ArsTehnica: Malicious code added to xz Utils versions 5.6.0 and 5.6.1 modified the way the software functions. The backdoor manipulated sshd, the executable file used to make remote SSH connections. Anyone in possession of a predetermined encryption key could stash any code of their choice in an SSH login certificate, upload it, and execute it on the backdoored device. No one has actually seen code uploaded, so it’s not known what code the attacker planned to run. In theory, the code could allow for just about anything, including stealing encryption keys or installing malware... |
Malware | ★★ | |
|
2024-04-02 17:05:15 | Declassifiez les newsletters de la NSA Declassified NSA Newsletters (lien direct) |
Grâce à une demande de FOIA 2010 (oui, cela a pris autant de temps), nous avons des copies de la newsletter de la NSA & # 8217; S Society, & # 8220; Contes du krypt , & # 8221;de 1994 à 2003.
Il y a beaucoup de choses intéressantes dans les 800 pages de newsletter.Il existe de nombreuses rédactions.Et une revue de 1994 de la cryptographie appliquée par expurgé :
La cryptographie appliquée, pour ceux qui ne lisent pas Internet News, est un livre écrit par Bruce Schneier l'année dernière.Selon la veste, Schneier est un expert en sécurité des données avec un diplôme de maître en informatique.Selon ses disciples, il est un héros qui a finalement réuni les fils lâches de la cryptographie pour que le grand public comprenne.Schneier a rassemblé des recherches académiques, des potins sur Internet et tout ce qu'il pouvait trouver sur la cryptographie en un fouillis de 600 pages ...
Through a 2010 FOIA request (yes, it took that long), we have copies of the NSA’s KRYPTOS Society Newsletter, “Tales of the Krypt,” from 1994 to 2003. There are many interesting things in the 800 pages of newsletter. There are many redactions. And a 1994 review of Applied Cryptography by redacted: Applied Cryptography, for those who don’t read the internet news, is a book written by Bruce Schneier last year. According to the jacket, Schneier is a data security expert with a master’s degree in computer science. According to his followers, he is a hero who has finally brought together the loose threads of cryptography for the general public to understand. Schneier has gathered academic research, internet gossip, and everything he could find on cryptography into one 600-page jumble... |
★★ | ||
|
2024-04-01 14:19:54 | Poussière de sécurité magique Magic Security Dust (lien direct) |
Adam Shostack vend poussière de sécurité magique .
Il est à peu près de temps que quelqu'un commercialise cette technologie essentielle.
Adam Shostack is selling magic security dust. It’s about time someone is commercializing this essential technology. |
★★ | ||
|
2024-04-01 00:21:09 | Ross Anderson (lien direct) | Ross Anderson est décédé de façon inattendue jeudi soir Dans, je crois, sa maison à Cambridge.
Je ne peux pas me souvenir quand j'ai rencontré Ross pour la première fois.Bien sûr, c'était avant 2008, lorsque nous avons créé le sécuritéet comportement humain Atelier.C'était bien avant 2001, lorsque nous avons créé le atelier sur l'économie et la sécurité de l'information .(D'accord, il a créé les deux & # 8212; J'ai aidé.) C'était avant 1998, lorsque nous a écrit à propos de Les problèmes avec les systèmes d'entiercement clés.J'étais l'une des personnes qu'il a apportées au Newton Institute pour le programme de résidence de cryptographie de six mois qu'il a dirigé (je ne suis pas resté à tort) & # 8212; c'était en 1996 ...
Ross Anderson unexpectedly passed away Thursday night in, I believe, his home in Cambridge. I can’t remember when I first met Ross. Of course it was before 2008, when we created the Security and Human Behavior workshop. It was well before 2001, when we created the Workshop on Economics and Information Security. (Okay, he created both—I helped.) It was before 1998, when we wrote about the problems with key escrow systems. I was one of the people he brought to the Newton Institute for the six-month cryptography residency program he ran (I mistakenly didn’t stay the whole time)—that was in 1996... |
★★ | ||
|
2024-03-29 21:02:07 | Vendredi Blogging Squid: The Geopolitics of Manger Squid Friday Squid Blogging: The Geopolitics of Eating Squid (lien direct) |
New York Times Sur la domination chinoise de l'industrie du calmar:
La domination de la Chine dans les fruits de mer a exprimé de profondes préoccupations parmi les pêcheurs américains, les décideurs politiques et les militants des droits de l'homme.Ils avertissent que la Chine élargit sa portée maritime d'une manière qui met les pêcheurs domestiques dans le monde dans un désavantage compétitif, érodant le droit international régissant les frontières maritimes et sapant la sécurité alimentaire, en particulier dans les pays pauvres qui s'appuient fortement sur les poissons pour les protéines.Dans certaines parties du monde, des incursions illégales fréquentes par des navires chinois dans d'autres nations & # 8217;Les eaux augmentent les tensions militaires.Les législateurs américains sont préoccupés parce que les États-Unis, enfermés dans une guerre commerciale avec la Chine, sont le plus grand importateur de fruits de mer du monde ...
New York Times op-ed on the Chinese dominance of the squid industry: China’s domination in seafood has raised deep concerns among American fishermen, policymakers and human rights activists. They warn that China is expanding its maritime reach in ways that are putting domestic fishermen around the world at a competitive disadvantage, eroding international law governing sea borders and undermining food security, especially in poorer countries that rely heavily on fish for protein. In some parts of the world, frequent illegal incursions by Chinese ships into other nations’ waters are heightening military tensions. American lawmakers are concerned because the United States, locked in a trade war with China, is the world’s largest importer of seafood... |
★★★ | ||
|
2024-03-29 11:03:14 | Leçons d'une attaque de ransomware contre la bibliothèque britannique Lessons from a Ransomware Attack against the British Library (lien direct) |
Vous pourriez penser que les bibliothèques sont un peu ennuyeuses, mais Cette auto-analyse d'une attaque de ransomware et d'extorsion en 2023 contre la bibliothèque britannique est tout sauf.
You might think that libraries are kind of boring, but this self-analysis of a 2023 ransomware and extortion attack against the British Library is anything but. |
Ransomware | ★★★ | |
|
2024-03-28 11:05:01 | Vulnérabilité matérielle dans les puces de la série M Apple \\ Hardware Vulnerability in Apple\\'s M-Series Chips (lien direct) |
Une autre Attaque du canal latéral matériel:
La menace réside dans le préfetcher dépendant de la mémoire des données, une optimisation matérielle qui prédit les adresses mémoire des données à laquelle le code exécutif est susceptible d'accéder dans un avenir proche.En chargeant le contenu dans le cache CPU avant qu'il soit réellement nécessaire, le DMP, comme la fonctionnalité est abrégée, réduit la latence entre la mémoire principale et le CPU, un goulot d'étranglement commun dans l'informatique moderne.Les DMP sont un phénomène relativement nouveau trouvé uniquement dans les puces de la série M et la microarchitecture du lac Raptor de 13217;
It’s yet another hardware side-channel attack: The threat resides in the chips\' data memory-dependent prefetcher, a hardware optimization that predicts the memory addresses of data that running code is likely to access in the near future. By loading the contents into the CPU cache before it\'s actually needed, the DMP, as the feature is abbreviated, reduces latency between the main memory and the CPU, a common bottleneck in modern computing. DMPs are a relatively new phenomenon found only in M-series chips and Intel’s 13th-generation Raptor Lake microarchitecture, although older forms of prefetchers have been common for years... |
Vulnerability Threat | ★★★ | |
|
2024-03-27 11:01:08 | Vulnérabilité de sécurité dans les verrous de Keycard basés sur RFID de Saflok \\ Security Vulnerability in Saflok\\'s RFID-Based Keycard Locks (lien direct) |
il & # 8217; s assez dévastateur :
Aujourd'hui, Ian Carroll, Lennert Wouters et une équipe d'autres chercheurs en sécurité révèlent une technique de piratage de l'hôtel Keycard qu'ils appellent Unfillok .La technique est une collection de vulnérabilités de sécurité qui permettraient à un pirate d'ouvrir presque instantanément plusieurs modèles de serrures Keycard basées sur la marque Saflok-Brand vendues par le fabricant de serrures suisses Dormakaba.Les systèmes Saflok sont installés sur 3 millions de portes dans le monde, dans 13 000 propriétés dans 131 pays.En exploitant les faiblesses dans le cryptage de Dormakaba et du système RFID sous-jacent que Dormakaba, connu sous le nom de Mifare Classic, Carroll et Wouters ont démontré à quel point ils peuvent facilement ouvrir un verrou de Keycard Saflok.Leur technique commence par l'obtention de n'importe quelle carte-clé à partir d'un hôtel cible & # 8212; disons, en réservant une chambre là-bas ou en saisissant une courte-clés dans une boîte de celles d'occasion & # 8212; puis en lisant un certain code de cette carte avec une lecture RFID de 300 $dispositif, et enfin écrire deux cartes-clés qui leur sont propres.Lorsqu'ils appuyent simplement sur ces deux cartes sur une serrure, la première réécrit un certain morceau des données de verrouillage, et la seconde l'ouvre ...
It’s pretty devastating: Today, Ian Carroll, Lennert Wouters, and a team of other security researchers are revealing a hotel keycard hacking technique they call Unsaflok. The technique is a collection of security vulnerabilities that would allow a hacker to almost instantly open several models of Saflok-brand RFID-based keycard locks sold by the Swiss lock maker Dormakaba. The Saflok systems are installed on 3 million doors worldwide, inside 13,000 properties in 131 countries. By exploiting weaknesses in both Dormakaba’s encryption and the underlying RFID system Dormakaba uses, known as MIFARE Classic, Carroll and Wouters have demonstrated just how easily they can open a Saflok keycard lock. Their technique starts with obtaining any keycard from a target hotel—say, by booking a room there or grabbing a keycard out of a box of used ones—then reading a certain code from that card with a $300 RFID read-write device, and finally writing two keycards of their own. When they merely tap those two cards on a lock, the first rewrites a certain piece of the lock’s data, and the second opens it... |
Vulnerability | ★★★ | |
|
2024-03-26 11:08:16 | Sur les systèmes de vote sécurisés On Secure Voting Systems (lien direct) |
Andrew Appel Shepherd a Commentaire public & # 8212; Signé par vingt experts en cybersécurité électorale, y compris moi-même & # 8212; sur les meilleures pratiques pour les appareils de marquage des bulletins de vote et la tabulation de vote.Il a été écrit pour la législature de Pennsylvanie, mais il est de nature générale. .
du résumé de l'exécutif:
Nous pensons qu'aucun système n'est parfait, chacun ayant des compromis.Les bulletins de vote à la main et à la main enlèvent l'incertitude introduite par l'utilisation de machines électroniques et la capacité des mauvais acteurs à exploiter les vulnérabilités électroniques pour modifier à distance les résultats.Cependant, une partie des électeurs marquent à tort les bulletins de vote en papier d'une manière qui ne sera pas comptée dans la façon dont l'électeur voulait, ou qui annule même le bulletin de vote.Les comptages à main retardent la déclaration en temps opportun des résultats et introduisent la possibilité d'erreur humaine, de biais ou d'interprétation erronée ...
Andrew Appel shepherded a public comment—signed by twenty election cybersecurity experts, including myself—on best practices for ballot marking devices and vote tabulation. It was written for the Pennsylvania legislature, but it’s general in nature. From the executive summary: We believe that no system is perfect, with each having trade-offs. Hand-marked and hand-counted ballots remove the uncertainty introduced by use of electronic machinery and the ability of bad actors to exploit electronic vulnerabilities to remotely alter the results. However, some portion of voters mistakenly mark paper ballots in a manner that will not be counted in the way the voter intended, or which even voids the ballot. Hand-counts delay timely reporting of results, and introduce the possibility for human error, bias, or misinterpretation... |
Vulnerability Threat | ★★★ | |
|
2024-03-26 09:01:57 | AI and Trust (lien direct) | Regardez la vidéo sur youtube.com
une conversation de 15 minutes par Bruce Schneier.
Watch the Video on YouTube.com A 15-minute talk by Bruce Schneier. |
★★★ | ||
|
2024-03-25 11:04:34 | Licence d'ingénieurs d'IA Licensing AI Engineers (lien direct) |
Le débat sur les ingénieurs logiciels de professionnalisation a des décennies.(L'idée de base est que, comme les avocats et les architectes, il devrait y avoir une exigence de licence professionnelle pour les ingénieurs logiciels.) Ici & # 8217; s Article du journal de droit Recommander la même idée pour les ingénieurs de l'IA.
Cet article propose une autre manière: professionnalisation de l'ingénierie AI.Obliger les ingénieurs d'IA pour obtenir des licences pour construire des produits d'IA commerciaux, les pousser à collaborer sur des normes techniques spécifiques au domaine en faveur scientifique et en appuyant sur le domaine et en facilitant les services de police eux-mêmes.Cette proposition de cette article traite des préjudices de l'IA à leur création, influençant les décisions même d'ingénierie qui leur donnent naissance en premier lieu.En arrachant le contrôle des informations et de la conception du système aux entreprises et en les remettant aux ingénieurs de l'IA, la professionnalisation enget une IA digne de confiance par conception.Au-delà de la recommandation de la solution politique spécifique de la professionnalisation, cet article vise à éloigner le discours sur l'IA de l'accent mis sur les solutions légères et les solutions ex post qui traitent des produits déjà créés à un accent sur les contrôles ex ante qui précèdent le développement de l'IA.Nous avons déjà utilisé ce livre de jeu dans les domaines nécessitant un niveau d'expertise élevé où une obligation pour le bien-être public doit l'emporter sur les motivations commerciales.Et si, comme les médecins, les ingénieurs de l'IA ont également promis de ne pas faire de mal? ...
The debate over professionalizing software engineers is decades old. (The basic idea is that, like lawyers and architects, there should be some professional licensing requirement for software engineers.) Here’s a law journal article recommending the same idea for AI engineers. This Article proposes another way: professionalizing AI engineering. Require AI engineers to obtain licenses to build commercial AI products, push them to collaborate on scientifically-supported, domain-specific technical standards, and charge them with policing themselves. This Article’s proposal addresses AI harms at their inception, influencing the very engineering decisions that give rise to them in the first place. By wresting control over information and system design away from companies and handing it to AI engineers, professionalization engenders trustworthy AI by design. Beyond recommending the specific policy solution of professionalization, this Article seeks to shift the discourse on AI away from an emphasis on light-touch, ex post solutions that address already-created products to a greater focus on ex ante controls that precede AI development. We’ve used this playbook before in fields requiring a high level of expertise where a duty to the public welfare must trump business motivations. What if, like doctors, AI engineers also vowed to do no harm?... |
Technical Commercial | ★★★ | |
|
2024-03-22 21:03:52 | Vendredi Blogging Squid: Nouvelles espèces de calmars découverts Friday Squid Blogging: New Species of Squid Discovered (lien direct) |
Une nouvelle espèce de calmar était découverte , ainsi qu'une centaine d'autres espèces.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
A new species of squid was discovered, along with about a hundred other species. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-03-22 11:01:39 | Google paie 10 millions de dollars en primes de bogue en 2023 Google Pays $10M in Bug Bounties in 2023 (lien direct) |
BleepingComputer a le Détails .Il est de 2 millions de dollars de moins qu'en 2022, mais il est encore beaucoup beaucoup.
La récompense la plus élevée pour un rapport de vulnérabilité en 2023 était de 113 337 $, tandis que le décompte total depuis le lancement du programme en 2010 a atteint 59 millions de dollars.
Pour Android, le système d'exploitation mobile le plus populaire et le plus largement utilisé, le programme a accordé plus de 3,4 millions de dollars.
Google a également augmenté le montant maximal de récompense pour les vulnérabilités critiques concernant Android à 15 000 $, ce qui a augmenté les rapports communautaires.
Au cours des conférences de sécurité comme ESCAL8 et Hardwea.io, Google a attribué 70 000 $ pour 20 découvertes critiques dans le système d'exploitation Android et Android Automotive et 116 000 $ pour 50 rapports concernant les problèmes dans Nest, Fitbit et Wearables ...
BleepingComputer has the details. It’s $2M less than in 2022, but it’s still a lot. The highest reward for a vulnerability report in 2023 was $113,337, while the total tally since the program’s launch in 2010 has reached $59 million. For Android, the world’s most popular and widely used mobile operating system, the program awarded over $3.4 million. Google also increased the maximum reward amount for critical vulnerabilities concerning Android to $15,000, driving increased community reports. During security conferences like ESCAL8 and hardwea.io, Google awarded $70,000 for 20 critical discoveries in Wear OS and Android Automotive OS and another $116,000 for 50 reports concerning issues in Nest, Fitbit, and Wearables... |
Vulnerability Studies Mobile | ★★★ | |
|
2024-03-21 11:03:18 | AI publique comme alternative à l'IA des entreprises Public AI as an Alternative to Corporate AI (lien direct) |
Ce mini-essai a été ma contribution à une table ronde sur puissance et puissance et puissanceGouvernance à l'ère de l'Ai .Ce que je n'ai rien dit auparavant, mais pour quiconque n'a pas lu mes essais plus longs sur le sujet, il est une introduction plus courte.
& # 160;
Le contrôle de plus en plus centralisé de l'IA est un inquiétantesigne .Lorsque les milliardaires et les sociétés technologiques dirigent l'IA, nous obtenons l'IA qui a tendance à refléter les intérêts des milliardaires et des sociétés technologiques, au lieu du public.Étant donné la transformation de cette technologie pour le monde, c'est un problème.
Pour bénéficier à la société dans son ensemble, nous avons besoin d'un ...
This mini-essay was my contribution to a round table on Power and Governance in the Age of AI. It’s nothing I haven’t said here before, but for anyone who hasn’t read my longer essays on the topic, it’s a shorter introduction. The increasingly centralized control of AI is an ominous sign. When tech billionaires and corporations steer AI, we get AI that tends to reflect the interests of tech billionaires and corporations, instead of the public. Given how transformative this technology will be for the world, this is a problem. To benefit society as a whole we need an ... |
★★ | ||
|
2024-03-20 11:08:52 | Tricher les cabines à péage automatiques en obscurcissant les plaques d'immatriculation Cheating Automatic Toll Booths by Obscuring License Plates (lien direct) |
Le Wall Street Journal est Reporting Sur une variété de techniques, les pilotes utilisent pour masquer leurs tas d'immatriculation.>
Certains conducteurs ont une peinture lavée en puissance de leurs assiettes ou les ont recouverts d'une gamme d'articles ménagers tels que des aimants en forme de feuilles, a déclaré Bramwell-Stewart.L'Autorité portuaire affirme que les agents en 2023 ont approfondi le nombre de citations de permis délivrées pour des plaques d'immatriculation obstruées, manquantes ou fictives par rapport à l'année précédente.
Bramwell-Stewart a déclaré qu'un pilote du New Jersey a utilisé à plusieurs reprises ce que connu dans les rues comme une flipper, ce qui vous permet d'échanger à distance une véritable assiette de voiture pour un faux devant une zone à péage.Dans ce cas, la fausse plaque correspondait à une réelle inscrite à une femme qui a été mystifiée pour recevoir les péages.& # 8220; Pourquoi continuez-vous de me facturer? & # 8221;Bramwell-Stewart a rappelé qu'elle avait demandé ...
The Wall Street Journal is reporting on a variety of techniques drivers are using to obscure their license plates so that automatic readers can’t identify them and charge tolls properly. Some drivers have power-washed paint off their plates or covered them with a range of household items such as leaf-shaped magnets, Bramwell-Stewart said. The Port Authority says officers in 2023 roughly doubled the number of summonses issued for obstructed, missing or fictitious license plates compared with the prior year. Bramwell-Stewart said one driver from New Jersey repeatedly used what’s known in the streets as a flipper, which lets you remotely swap out a car’s real plate for a bogus one ahead of a toll area. In this instance, the bogus plate corresponded to an actual one registered to a woman who was mystified to receive the tolls. “Why do you keep billing me?” Bramwell-Stewart recalled her asking... |
★★ | ||
|
2024-03-19 11:05:23 | AI et l'évolution des médias sociaux AI and the Evolution of Social Media (lien direct) |
Oh, comment les puissants sont tombés.Il y a une décennie, les médias sociaux étaient Celebrated Pour susciter les soulèvements démocratiques dans le monde arabe et au-delà.Maintenant, les premières pages sont éclaboussées d'histoires de plates-formes sociales \\ 'Rôle dans Misinformation , Business complot , Malfeasance , et risque de santé mentale .En 2022 Enquête , les Américains ont blâmé les médias sociaux pour le grossissement de notre discours politique, la propagation de la désinformation et l'augmentation de la polarisation partisane.
Aujourd'hui, la chérie de Tech \\ est l'intelligence artificielle.Comme les médias sociaux, il a le potentiel de changer le monde de plusieurs manières, certains favorables à la démocratie.Mais en même temps, il a le potentiel de faire des dégâts incroyables à la société ...
Oh, how the mighty have fallen. A decade ago, social media was celebrated for sparking democratic uprisings in the Arab world and beyond. Now front pages are splashed with stories of social platforms\' role in misinformation, business conspiracy, malfeasance, and risks to mental health. In a 2022 survey, Americans blamed social media for the coarsening of our political discourse, the spread of misinformation, and the increase in partisan polarization. Today, tech\'s darling is artificial intelligence. Like social media, it has the potential to change the world in many ways, some favorable to democracy. But at the same time, it has the potential to do incredible damage to society... |
★★★ | ||
|
2024-03-18 11:03:14 | Drones et l'US Air Force Drones and the US Air Force (lien direct) |
fascinant analyse de l'utilisation de drones sur un champ de bataille moderne & # 8212;
Le F-35A reste une plate-forme importante pour la guerre conventionnelle à haute intensité.Mais l'Air Force prévoit d'acheter 1 763 de l'avion, qui restera en service jusqu'en 2070.I> Coûts d'opportunité pour le service dans son ensemble.Dans un ensemble de commentaires Publié sur LinkedIn...
Fascinating analysis of the use of drones on a modern battlefield—that is, Ukraine—and the inability of the US Air Force to react to this change. The F-35A certainly remains an important platform for high-intensity conventional warfare. But the Air Force is planning to buy 1,763 of the aircraft, which will remain in service through the year 2070. These jets, which are wholly unsuited for countering proliferated low-cost enemy drones in the air littoral, present enormous opportunity costs for the service as a whole. In a set of comments posted on LinkedIn... |
★★★ | ||
|
2024-03-15 21:08:32 | Vendredi Blogging Squid: Operation Squid Friday Squid Blogging: Operation Squid (lien direct) |
Operation Squid a trouvé 1,3 tonnes de cocaïne Hidden chez Frozenpoisson.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
Operation Squid found 1.3 tons of cocaine hidden in frozen fish. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-03-15 11:05:41 | Amélioration du C ++ Improving C++ (lien direct) |
c ++ guru herb sutter écrit sur la façon dont nous pouvons améliorer le langage de programmation pour une meilleure sécurité.
Le problème immédiat & # 8220; est & # 8221;qu'il est trop facile par défaut ™ pour rédiger des vulnérabilités de sécurité et de sécurité en C ++ qui auraient été capturées par une application plus stricte de règles connues pour le type , les limites, l'initialisation et Lifetime Sécurité linguistique.
sa conclusion:
Nous devons améliorer la sécurité des logiciels et la sécurité des logiciels dans l'industrie, en particulier en améliorant la sécurité du langage de programmation en C et C ++, et en C ++, une amélioration de 98% dans les quatre problèmes les plus courants est réalisable à moyen terme.Mais si nous nous concentrons uniquement sur la sécurité du langage de programmation, nous pouvons nous retrouver à combattre hier \\ et manquer des dangers de sécurité passés et futurs qui affectent les logiciels écrits dans n'importe quelle langue ...
C++ guru Herb Sutter writes about how we can improve the programming language for better security. The immediate problem “is” that it\'s Too Easy By Default™ to write security and safety vulnerabilities in C++ that would have been caught by stricter enforcement of known rules for type, bounds, initialization, and lifetime language safety. His conclusion: We need to improve software security and software safety across the industry, especially by improving programming language safety in C and C++, and in C++ a 98% improvement in the four most common problem areas is achievable in the medium term. But if we focus on programming language safety alone, we may find ourselves fighting yesterday\'s war and missing larger past and future security dangers that affect software written in any language... |
Vulnerability Legislation | ★★ | |
|
2024-03-14 11:01:43 | Les constructeurs automobiles partagent les données du conducteur avec les assureurs sans consentement Automakers Are Sharing Driver Data with Insurers without Consent (lien direct) |
Kasmir Hill a le story :
Les voitures modernes sont compatibles sur Internet, permettant d'accéder à des services tels que la navigation, l'assistance routière et les applications de voitures que les conducteurs peuvent se connecter à leurs véhicules pour les localiser ou les déverrouiller à distance.Ces dernières années, les constructeurs automobiles, dont G.M., Honda, Kia et Hyundai, ont commencé à offrir des fonctionnalités facultatives dans leurs applications de voitures connectées qui évaluent les gens de la conduite.Certains conducteurs peuvent ne pas se rendre compte que, s'ils activent ces fonctionnalités, les constructeurs automobiles donnent ensuite des informations sur la façon dont ils se rendent aux courtiers de données comme LexisNexis [qui les vendent ensuite aux compagnies d'assurance] ...
Kasmir Hill has the story: Modern cars are internet-enabled, allowing access to services like navigation, roadside assistance and car apps that drivers can connect to their vehicles to locate them or unlock them remotely. In recent years, automakers, including G.M., Honda, Kia and Hyundai, have started offering optional features in their connected-car apps that rate people’s driving. Some drivers may not realize that, if they turn on these features, the car companies then give information about how they drive to data brokers like LexisNexis [who then sell it to insurance companies]... |
★★ |
To see everything:
Our RSS (filtrered)
