What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-26 11:01:09 | Long article sur GM Esping sur ses voitures \\ 'conducteurs Long Article on GM Spying on Its Cars\\' Drivers (lien direct) |
Cachemir Hill a un vraiment bon article sur la façon dont GM a trompé ses conducteurs pour leur espérer & # 8212; puis a vendu ces données aux compagnies d'assurance.
Kashmir Hill has a really good article on how GM tricked its drivers into letting it spy on them—and then sold that data to insurance companies. |
★★★ | ||
|
2024-04-25 11:02:48 | La montée de l'optimisation du modèle de langage grand The Rise of Large-Language-Model Optimization (lien direct) |
Le Web est devenu si entrelacé de la vie quotidienne qu'il est facile d'oublier ce qu'est un accomplissement et un trésor extraordinaires.En quelques décennies, une grande partie des connaissances humaines ont été collectivement écrites et mises à la disposition de toute personne ayant une connexion Internet.
Mais tout cela touche à sa fin.L'avènement de l'IA menace de détruire l'écosystème en ligne complexe qui permet aux écrivains, artistes et autres créateurs d'atteindre le public humain.
Pour comprendre pourquoi, vous devez comprendre la publication.Sa tâche principale est de connecter les écrivains à un public.Les éditeurs travaillent comme gardiens, filtrant les candidats, puis amplifiant les élus.Dans l'espoir d'être sélectionné, les écrivains façonnent leur travail de diverses manières.Cet article pourrait être écrit très différemment dans une publication académique, par exemple, et la publier ici a impliqué de lancer un éditeur, de réviser plusieurs brouillons pour le style et la concentration, etc. ...
The web has become so interwoven with everyday life that it is easy to forget what an extraordinary accomplishment and treasure it is. In just a few decades, much of human knowledge has been collectively written up and made available to anyone with an internet connection. But all of this is coming to an end. The advent of AI threatens to destroy the complex online ecosystem that allows writers, artists, and other creators to reach human audiences. To understand why, you must understand publishing. Its core task is to connect writers to an audience. Publishers work as gatekeepers, filtering candidates and then amplifying the chosen ones. Hoping to be selected, writers shape their work in various ways. This article might be written very differently in an academic publication, for example, and publishing it here entailed pitching an editor, revising multiple drafts for style and focus, and so on... |
★★ | ||
|
2024-04-24 11:05:29 | Dan Solove sur la réglementation de la confidentialité Dan Solove on Privacy Regulation (lien direct) |
Le professeur de droit Dan Solove a un nouvel article sur la réglementation de la confidentialité.Dans son e-mail à moi, il écrit: & # 8220; Je réfléchis au consentement en matière de confidentialité depuis plus d'une décennie, et je pense que j'ai finalement fait une percée avec cet article. & # 8221;Son mini-abstraire:
Dans cet article, je soutiens que la plupart du temps, le consentement en matière de confidentialité est fictif.Au lieu d'efforts futiles pour essayer de transformer le consentement de la vie privée de la fiction en fait, la meilleure approche consiste à se pencher sur les fictions.La loi ne peut pas empêcher le consentement de la vie privée d'être un conte de fées, mais la loi peut garantir que l'histoire se termine bien.Je soutiens que le consentement en matière de confidentialité devrait conférer moins de légitimité et de puissance et qu'il est soutenu par un ensemble de tâches sur les organisations qui traitent les données personnelles en fonction du consentement ...
Law professor Dan Solove has a new article on privacy regulation. In his email to me, he writes: “I\'ve been pondering privacy consent for more than a decade, and I think I finally made a breakthrough with this article.” His mini-abstract: In this Article I argue that most of the time, privacy consent is fictitious. Instead of futile efforts to try to turn privacy consent from fiction to fact, the better approach is to lean into the fictions. The law can’t stop privacy consent from being a fairy tale, but the law can ensure that the story ends well. I argue that privacy consent should confer less legitimacy and power and that it be backstopped by a set of duties on organizations that process personal data based on consent... |
★★ | ||
|
2024-04-23 11:09:31 | Microsoft et incitations à la sécurité Microsoft and Security Incentives (lien direct) |
L'ancien directeur principal de la cyber-politique de la Maison Blanche A. J. Grotto parle des incitations économiques Pour les entreprisesPour améliorer leur sécurité & # 8212; en particulier, Microsoft:
Grotto nous a dit que Microsoft devait être & # 8220; traîner des coups de pied et des cris & # 8221;Pour fournir des capacités d'exploitation forestière au gouvernement par défaut, et étant donné le fait que le méga-corp a mis en banque environ 20 milliards de dollars de revenus des services de sécurité l'année dernière, la concession était au mieux minime.
[& # 8230;]
& # 8220; Le gouvernement doit se concentrer sur l'encouragement et la catalyse de la concurrence, & # 8221;Dit Grotte.Il pense qu'il doit également examiner publiquement Microsoft et s'assurer que tout le monde sait quand il gâche ...
Former senior White House cyber policy director A. J. Grotto talks about the economic incentives for companies to improve their security—in particular, Microsoft: Grotto told us Microsoft had to be “dragged kicking and screaming” to provide logging capabilities to the government by default, and given the fact the mega-corp banked around $20 billion in revenue from security services last year, the concession was minimal at best. […] “The government needs to focus on encouraging and catalyzing competition,” Grotto said. He believes it also needs to publicly scrutinize Microsoft and make sure everyone knows when it messes up... |
★★★ | ||
|
2024-04-22 15:26:34 | Utilisation d'URL GitHub légitime pour les logiciels malveillants Using Legitimate GitHub URLs for Malware (lien direct) |
Intéressant d'ingénierie sociale attaquez le vecteur d'attaque:
McAfee a publié un rapport sur un newLUA Malware Loader Distribué via ce qui semblait être un référentiel Microsoft Github légitime pour le gestionnaire de bibliothèque & # 8220; C ++ pour Windows, Linux et MacOS, & # 8221;connu sous le nom de vcpkg .
L'attaquant exploite une propriété de GitHub: les commentaires à un dépôt particulier peuvent contenir des fichiers, et ces fichiers seront associés au projet dans l'URL.
Cela signifie que quelqu'un peut télécharger des logiciels malveillants et & # 8220; joint & # 8221;à un projet légitime et fiable.
Comme l'URL du fichier contient le nom du référentiel dans lequel le commentaire a été créé, et comme presque toutes les sociétés de logiciels utilisent Github, ce défaut peut permettre aux acteurs de menace de développer des leurres extraordinairement astucieux et dignes de confiance..
Interesting social-engineering attack vector: McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg. The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL. What this means is that someone can upload malware and “attach” it to a legitimate and trusted project. As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures... |
Malware Threat | ★★ | |
|
2024-04-19 21:05:43 | Vendredi Blogging Squid: Squid Trackers Friday Squid Blogging: Squid Trackers (lien direct) |
a nouveau bioadhesive facilite l'attachement des trackers à la calmar.
Remarque: L'article ne discute pas
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
A new bioadhesive makes it easier to attach trackers to squid. Note: the article does not discuss squid privacy rights. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-18 11:06:45 | Autres tentatives pour reprendre les projets open source Other Attempts to Take Over Open Source Projects (lien direct) |
Après la découverte de XZ Utils, les gens ont été Examen .Ne surprenant personne, l'incident n'est pas unique:
Le Conseil OpenJS Foundation Cross Project a reçu une série suspecte d'e-mails avec des messages similaires, portant différents noms et chevauchant des e-mails associés à GitHub.Ces e-mails ont imploré OpenJS pour prendre des mesures pour mettre à jour l'un de ses projets JavaScript populaires à & # 8220; Addressez toutes les vulnérabilités critiques, & # 8221;Pourtant, aucune spécification n'a cité.L'auteur de courriels voulait que OpenJS les désigne en tant que nouveau responsable du projet malgré peu de participation préalable.Cette approche ressemble fortement à la manière dont & # 8220; Jia Tan & # 8221;se positionné dans la porte dérobée XZ / Liblzma ...
After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique: The OpenJS Foundation Cross Project Council received a suspicious series of emails with similar messages, bearing different names and overlapping GitHub-associated emails. These emails implored OpenJS to take action to update one of its popular JavaScript projects to “address any critical vulnerabilities,” yet cited no specifics. The email author(s) wanted OpenJS to designate them as a new maintainer of the project despite having little prior involvement. This approach bears strong resemblance to the manner in which “Jia Tan” positioned themselves in the XZ/liblzma backdoor... |
Vulnerability | ★★ | |
|
2024-04-17 11:08:32 | L'utilisation des modifications législatives générées par l'IA comme technique de retard Using AI-Generated Legislative Amendments as a Delaying Technique (lien direct) |
Les législateurs canadiens ont proposé 19 600 amendements & # 8212; Presque certainement AI-généré & # 8212; à un projet de loi dans le but de retarder son adoption.
J'ai écrit sur de nombreuses tactiques de retard législatives différentes dans un hacker & # 8217;> , mais c'est un nouveau.
Canadian legislators proposed 19,600 amendments—almost certainly AI-generated—to a bill in an attempt to delay its adoption. I wrote about many different legislative delaying tactics in A Hacker’s Mind, but this is a new one. |
★★ | ||
|
2024-04-16 11:00:58 | X.com modifiant automatiquement le texte du lien mais pas les URL X.com Automatically Changing Link Text but Not URLs (lien direct) |
Brian Krebs rapporté Que X (anciennement connu sous le nom de Twitter) a commencé à modifier automatiquement les liens Twitter.com vers des liens X.com.Le problème est: (1) il a changé tout nom de domaine qui s'est terminé avec & # 8220; twitter.com, & # 8221;et (2) il n'a changé que l'apparence du lien (AnchOrtExt), pas l'URL sous-jacente.Donc, si vous étiez un phisher intelligent et un Fedtwitter.com inscrit, les gens verraient le lien comme FedEx.com, mais cela enverrait les gens à Fedtwitter.com.
Heureusement, le problème a été résolu.
Brian Krebs reported that X (formerly known as Twitter) started automatically changing twitter.com links to x.com links. The problem is: (1) it changed any domain name that ended with “twitter.com,” and (2) it only changed the link’s appearance (anchortext), not the underlying URL. So if you were a clever phisher and registered fedetwitter.com, people would see the link as fedex.com, but it would send people to fedetwitter.com. Thankfully, the problem has been fixed. |
FedEx | ★★ | |
|
2024-04-15 11:04:50 | Nouvelle technique cryptanalytique du réseau New Lattice Cryptanalytic Technique (lien direct) |
a nouveau papier présente un algorithme quantique en temps polynomial pour résoudre certains problèmes de réseau dur.Cela pourrait être un gros problème pour les algorithmes cryptographiques post-Quantum, car beaucoup d'entre eux fondent leur sécurité sur les problèmes de réseau dur.
quelques choses à noter.Premièrement, ce document n'a pas encore été évalué par des pairs.Comme ce commentaire souligne: & # 8220; nous avionsDéjà dans certains cas où des algorithmes quantiques efficaces pour des problèmes de réseau ont été découverts, mais ils se sont avérés Ne pas être correct ou n'a travaillé que pour caisses spéciales simples . & # 8221;
deux, il s'agit d'un algorithme quantique, ce qui signifie qu'il n'a pas été testé.Il y a un large fossé entre les algorithmes quantiques en théorie et dans la pratique.Et jusqu'à ce que nous puissions réellement coder et tester ces algorithmes, nous devons nous méfier de leurs revendications de vitesse et de complexité ...
A new paper presents a polynomial-time quantum algorithm for solving certain hard lattice problems. This could be a big deal for post-quantum cryptographic algorithms, since many of them base their security on hard lattice problems. A few things to note. One, this paper has not yet been peer reviewed. As this comment points out: “We had already some cases where efficient quantum algorithms for lattice problems were discovered, but they turned out not being correct or only worked for simple special cases.” Two, this is a quantum algorithm, which means that it has not been tested. There is a wide gulf between quantum algorithms in theory and in practice. And until we can actually code and test these algorithms, we should be suspicious of their speed and complexity claims... |
★★ | ||
|
2024-04-12 21:08:47 | Vendredi Blogging Squid: The Hornalif of Squid Pêche Boats Friday Squid Blogging: The Awfulness of Squid Fishing Boats (lien direct) |
il est un joli horaire horrible .
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
It’s a pretty awful story. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-12 11:01:18 | Tableau d'or en le déguisant en pièces de machine Smuggling Gold by Disguising it as Machine Parts (lien direct) |
Quelqu'un s'est fait prendre à essayer de houpe 322des livres d'or (qui & # 8217; est environ 1/4 d'un pied cube) de Hong Kong.Il était déguisé en pièces de machine:
Le 27 mars, les responsables des douanes ont radié deux compresseurs d'air et ont découvert qu'ils contenaient de l'or qui avait été & # 8220; dissimulé dans les parties intégrales & # 8221;des compresseurs.Ces pièces d'or avaient également été peintes en argent pour correspondre aux autres composants pour tenter de jeter les douanes du sentier.
Someone got caught trying to smuggle 322 pounds of gold (that’s about 1/4 of a cubic foot) out of Hong Kong. It was disguised as machine parts: On March 27, customs officials x-rayed two air compressors and discovered that they contained gold that had been “concealed in the integral parts” of the compressors. Those gold parts had also been painted silver to match the other components in an attempt to throw customs off the trail. |
★★★ | ||
|
2024-04-11 11:01:51 | Backdoor dans XZ utilise qui s'est presque passé Backdoor in XZ Utils That Almost Happened (lien direct) |
La semaine dernière, Internet a esquivé une grande attaque d'État-nation qui aurait eu des répercussions catastrophiques de cybersécurité dans le monde.C'est une catastrophe qui ne s'est pas produite, donc cela n'a pas attiré beaucoup d'attention & # 8212; mais cela devrait.Il y a une morale importante pour le Story of the Attack et ses Discovery: La sécurité de l'Internet mondial dépend d'innombrables éléments obscurs écrits et maintenus par des bénévoles encore plus obscurs non rémunérés, distractionibles et parfois vulnérables.C'est une situation intenable, et qui est exploitée par des acteurs malveillants.Pourtant, un peu précieux est fait pour y remédier ...
Last week, the internet dodged a major nation-state attack that would have had catastrophic cybersecurity repercussions worldwide. It\'s a catastrophe that didn\'t happen, so it won\'t get much attention—but it should. There\'s an important moral to the story of the attack and its discovery: The security of the global internet depends on countless obscure pieces of software written and maintained by even more obscure unpaid, distractible, and sometimes vulnerable volunteers. It\'s an untenable situation, and one that is being exploited by malicious actors. Yet precious little is being done to remedy it... |
★★ | ||
|
2024-04-10 11:08:10 | Dans Memoriam: Ross Anderson, 1956-2024 In Memoriam: Ross Anderson, 1956-2024 (lien direct) |
La semaine dernière, j'ai publié un court mémorial de Ross Anderson.Les communications de l'ACM m'ont demandé de l'étendre.Ici & # 8217; est le version plus longue .
Last week I posted a short memorial of Ross Anderson. The Communications of the ACM asked me to expand it. Here’s the longer version. |
★★ | ||
|
2024-04-09 13:56:55 | US Cyber Safety Review Board sur le hack d'échange Microsoft 2023 US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack (lien direct) |
US Cyber Safety Review Board a publié un | Hack | ★★ | |
|
2024-04-08 11:03:44 | Vulnérabilité de sécurité des e-mails HTML Security Vulnerability of HTML Emails (lien direct) |
Il s'agit d'un Vulnérabilité des e-mails nouvellement découverte :
L'e-mail que votre gestionnaire a reçu et vous a transmis était quelque chose de complètement innocent, comme un client potentiel posant quelques questions.Tout ce que l'e-mail était censé réaliser était de vous être transmis.Cependant, au moment où l'e-mail est apparu dans votre boîte de réception, cela a changé.Le prétexte innocent a disparu et le véritable e-mail de phishing est devenu visible.Un e-mail de phishing vous avait en faire confiance parce que vous connaissiez l'expéditeur et ils ont même confirmé qu'ils vous l'avaient transmis.
Cette attaque est possible car la plupart des clients de messagerie permettent à CSS d'être utilisé pour styliser des e-mails HTML.Lorsqu'un e-mail est transmis, la position de l'e-mail d'origine dans le DOM change généralement, permettant aux règles CSS d'être appliquées sélectivement uniquement lorsqu'un e-mail a été transmis ...
This is a newly discovered email vulnerability: The email your manager received and forwarded to you was something completely innocent, such as a potential customer asking a few questions. All that email was supposed to achieve was being forwarded to you. However, the moment the email appeared in your inbox, it changed. The innocent pretext disappeared and the real phishing email became visible. A phishing email you had to trust because you knew the sender and they even confirmed that they had forwarded it to you. This attack is possible because most email clients allow CSS to be used to style HTML emails. When an email is forwarded, the position of the original email in the DOM usually changes, allowing for CSS rules to be selectively applied only when an email has been forwarded... |
Vulnerability | ★★ | |
|
2024-04-05 21:02:11 | Vendredi Blogging Squid: Squid Bots Friday Squid Blogging: SqUID Bots (lien direct) |
Ils & # 8217; re Ai Warehouse robots .
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
They’re AI warehouse robots. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-04-05 11:00:42 | Peut-être que les vulnérabilités de surveillance du système téléphonique seront fixes Maybe the Phone System Surveillance Vulnerabilities Will Be Fixed (lien direct) |
Il semble que la FCC soit Fixation des vulnérabilités en SS7 et le protocole diamètre:
Le 27 mars, la Commission a demandé aux fournisseurs de télécommunications de peser et de détailler ce qu'ils font pour empêcher les vulnérabilités de SS7 et de diamètre d'être mal utilisées pour suivre les consommateurs & # 8217;emplacements.
La FCC a également demandé aux transporteurs de détailler les exploits des protocoles depuis 2018. Le régulateur veut connaître la date de l'incident, ce qui s'est passé, quelles vulnérabilités ont été exploitées et avec quelles techniques, où laLe suivi de l'emplacement s'est produit et est timide;Si connu et timide;L'identité de l'attaquant ...
It seems that the FCC might be fixing the vulnerabilities in SS7 and the Diameter protocol: On March 27 the commission asked telecommunications providers to weigh in and detail what they are doing to prevent SS7 and Diameter vulnerabilities from being misused to track consumers’ locations. The FCC has also asked carriers to detail any exploits of the protocols since 2018. The regulator wants to know the date(s) of the incident(s), what happened, which vulnerabilities were exploited and with which techniques, where the location tracking occurred, and if known the attacker’s identity... |
Vulnerability | ★★★ | |
|
2024-04-04 11:07:39 | Surveillance par la nouvelle application Microsoft Outlook Surveillance by the New Microsoft Outlook App (lien direct) |
Les gens de ProtonMail accusent l'application des nouvelles perspectives pour Windows de Microsoft de conduiteSurveillance étendue sur ses utilisateurs.Il partage des données avec les annonceurs, beaucoup de données:
La fenêtre informe les utilisateurs que Microsoft et ces 801 tiers utilisent leurs données à plusieurs fins, y compris pour:
Store et / ou accéder aux informations sur l'appareil de l'utilisateur
Développer et améliorer les produits
Personnaliser les annonces et le contenu
Mesurer les annonces et le contenu
dériver les idées du public
Obtenir des données de géolocalisation précises
Identifier les utilisateurs via la numérisation des périphériques
Commentaire .
...
The ProtonMail people are accusing Microsoft’s new Outlook for Windows app of conducting extensive surveillance on its users. It shares data with advertisers, a lot of data: The window informs users that Microsoft and those 801 third parties use their data for a number of purposes, including to: Store and/or access information on the user’s device Develop and improve products Personalize ads and content Measure ads and content Derive audience insights Obtain precise geolocation data Identify users through device scanning Commentary. ... |
★★★ | ||
|
2024-04-03 11:01:51 | Course en cours de réaction contre le mode incognito de Google \\ Class-Action Lawsuit against Google\\'s Incognito Mode (lien direct) |
Le procès a été réglé :
Google a accepté de supprimer & # 8220; milliards de dossiers de données & # 8221;L'entreprise a collecté tandis que les utilisateurs ont parcouru le Web en utilisant le mode incognito, selon Documents déposés au tribunal fédéral à San Francisco lundi.L'accord, qui fait partie d'un règlement dans un recours collectif déposé en 2020, met en évidence des années de divulgations sur les pratiques de Google \\ qui mettent en lumière la quantité de données que le géant technologique siphons de ses utilisateurs et timide; & # 8212; même lorsqu'ils\\ 're en mode de navigation privée.
Selon les termes du règlement, Google doit mettre à jour davantage la "page de splash" du mode incognito qui apparaît chaque fois que vous ouvrez une fenêtre chromée en mode incognito après ...
The lawsuit has been settled: Google has agreed to delete “billions of data records” the company collected while users browsed the web using Incognito mode, according to documents filed in federal court in San Francisco on Monday. The agreement, part of a settlement in a class action lawsuit filed in 2020, caps off years of disclosures about Google\'s practices that shed light on how much data the tech giant siphons from its users—even when they\'re in private-browsing mode. Under the terms of the settlement, Google must further update the Incognito mode “splash page” that appears anytime you open an Incognito mode Chrome window after ... |
★★★ | ||
|
2024-04-02 18:50:50 | XZ Utils Backdoor (lien direct) | Le monde de la cybersécurité a eu beaucoup de chance la semaine dernière.Une porte dérobée intentionnellement placée dans XZ Utils, un utilitaire de compression open-source, était à peu près Découvert accidentellement découvert accidentellement Par un ingénieur Microsoft & # 8212; Des semaines avant, il aurait été incorporé à Debian et Red Hat Linux.De arstehnica :
Code malveillant ajouté aux versions XZ Utils 5.6.0 et 5.6.1 a modifié la façon dont le logiciel fonctionne.Le SSHD manipulé de la porte dérobée, le fichier exécutable utilisé pour établir des connexions SSH distantes.Toute personne en possession d'une clé de chiffrement prédéterminée pourrait ranger tout code de son choix dans un certificat de connexion SSH, le télécharger et l'exécuter sur l'appareil arrière.Personne n'a réellement vu du code téléchargé, donc il ne sait pas quel code l'attaquant prévoyait d'exécuter.En théorie, le code pourrait permettre à peu près n'importe quoi, y compris le vol de clés de chiffrement ou l'installation de logiciels malveillants ...
The cybersecurity world got really lucky last week. An intentionally placed backdoor in xz Utils, an open-source compression utility, was pretty much accidentally discovered by a Microsoft engineer—weeks before it would have been incorporated into both Debian and Red Hat Linux. From ArsTehnica: Malicious code added to xz Utils versions 5.6.0 and 5.6.1 modified the way the software functions. The backdoor manipulated sshd, the executable file used to make remote SSH connections. Anyone in possession of a predetermined encryption key could stash any code of their choice in an SSH login certificate, upload it, and execute it on the backdoored device. No one has actually seen code uploaded, so it’s not known what code the attacker planned to run. In theory, the code could allow for just about anything, including stealing encryption keys or installing malware... |
Malware | ★★ | |
|
2024-04-02 17:05:15 | Declassifiez les newsletters de la NSA Declassified NSA Newsletters (lien direct) |
Grâce à une demande de FOIA 2010 (oui, cela a pris autant de temps), nous avons des copies de la newsletter de la NSA & # 8217; S Society, & # 8220; Contes du krypt , & # 8221;de 1994 à 2003.
Il y a beaucoup de choses intéressantes dans les 800 pages de newsletter.Il existe de nombreuses rédactions.Et une revue de 1994 de la cryptographie appliquée par expurgé :
La cryptographie appliquée, pour ceux qui ne lisent pas Internet News, est un livre écrit par Bruce Schneier l'année dernière.Selon la veste, Schneier est un expert en sécurité des données avec un diplôme de maître en informatique.Selon ses disciples, il est un héros qui a finalement réuni les fils lâches de la cryptographie pour que le grand public comprenne.Schneier a rassemblé des recherches académiques, des potins sur Internet et tout ce qu'il pouvait trouver sur la cryptographie en un fouillis de 600 pages ...
Through a 2010 FOIA request (yes, it took that long), we have copies of the NSA’s KRYPTOS Society Newsletter, “Tales of the Krypt,” from 1994 to 2003. There are many interesting things in the 800 pages of newsletter. There are many redactions. And a 1994 review of Applied Cryptography by redacted: Applied Cryptography, for those who don’t read the internet news, is a book written by Bruce Schneier last year. According to the jacket, Schneier is a data security expert with a master’s degree in computer science. According to his followers, he is a hero who has finally brought together the loose threads of cryptography for the general public to understand. Schneier has gathered academic research, internet gossip, and everything he could find on cryptography into one 600-page jumble... |
★★ | ||
|
2024-04-01 14:19:54 | Poussière de sécurité magique Magic Security Dust (lien direct) |
Adam Shostack vend poussière de sécurité magique .
Il est à peu près de temps que quelqu'un commercialise cette technologie essentielle.
Adam Shostack is selling magic security dust. It’s about time someone is commercializing this essential technology. |
★★ | ||
|
2024-04-01 00:21:09 | Ross Anderson (lien direct) | Ross Anderson est décédé de façon inattendue jeudi soir Dans, je crois, sa maison à Cambridge.
Je ne peux pas me souvenir quand j'ai rencontré Ross pour la première fois.Bien sûr, c'était avant 2008, lorsque nous avons créé le sécuritéet comportement humain Atelier.C'était bien avant 2001, lorsque nous avons créé le atelier sur l'économie et la sécurité de l'information .(D'accord, il a créé les deux & # 8212; J'ai aidé.) C'était avant 1998, lorsque nous a écrit à propos de Les problèmes avec les systèmes d'entiercement clés.J'étais l'une des personnes qu'il a apportées au Newton Institute pour le programme de résidence de cryptographie de six mois qu'il a dirigé (je ne suis pas resté à tort) & # 8212; c'était en 1996 ...
Ross Anderson unexpectedly passed away Thursday night in, I believe, his home in Cambridge. I can’t remember when I first met Ross. Of course it was before 2008, when we created the Security and Human Behavior workshop. It was well before 2001, when we created the Workshop on Economics and Information Security. (Okay, he created both—I helped.) It was before 1998, when we wrote about the problems with key escrow systems. I was one of the people he brought to the Newton Institute for the six-month cryptography residency program he ran (I mistakenly didn’t stay the whole time)—that was in 1996... |
★★ | ||
|
2024-03-29 21:02:07 | Vendredi Blogging Squid: The Geopolitics of Manger Squid Friday Squid Blogging: The Geopolitics of Eating Squid (lien direct) |
New York Times Sur la domination chinoise de l'industrie du calmar:
La domination de la Chine dans les fruits de mer a exprimé de profondes préoccupations parmi les pêcheurs américains, les décideurs politiques et les militants des droits de l'homme.Ils avertissent que la Chine élargit sa portée maritime d'une manière qui met les pêcheurs domestiques dans le monde dans un désavantage compétitif, érodant le droit international régissant les frontières maritimes et sapant la sécurité alimentaire, en particulier dans les pays pauvres qui s'appuient fortement sur les poissons pour les protéines.Dans certaines parties du monde, des incursions illégales fréquentes par des navires chinois dans d'autres nations & # 8217;Les eaux augmentent les tensions militaires.Les législateurs américains sont préoccupés parce que les États-Unis, enfermés dans une guerre commerciale avec la Chine, sont le plus grand importateur de fruits de mer du monde ...
New York Times op-ed on the Chinese dominance of the squid industry: China’s domination in seafood has raised deep concerns among American fishermen, policymakers and human rights activists. They warn that China is expanding its maritime reach in ways that are putting domestic fishermen around the world at a competitive disadvantage, eroding international law governing sea borders and undermining food security, especially in poorer countries that rely heavily on fish for protein. In some parts of the world, frequent illegal incursions by Chinese ships into other nations’ waters are heightening military tensions. American lawmakers are concerned because the United States, locked in a trade war with China, is the world’s largest importer of seafood... |
★★★ | ||
|
2024-03-29 11:03:14 | Leçons d'une attaque de ransomware contre la bibliothèque britannique Lessons from a Ransomware Attack against the British Library (lien direct) |
Vous pourriez penser que les bibliothèques sont un peu ennuyeuses, mais Cette auto-analyse d'une attaque de ransomware et d'extorsion en 2023 contre la bibliothèque britannique est tout sauf.
You might think that libraries are kind of boring, but this self-analysis of a 2023 ransomware and extortion attack against the British Library is anything but. |
Ransomware | ★★★ | |
|
2024-03-28 11:05:01 | Vulnérabilité matérielle dans les puces de la série M Apple \\ Hardware Vulnerability in Apple\\'s M-Series Chips (lien direct) |
Une autre Attaque du canal latéral matériel:
La menace réside dans le préfetcher dépendant de la mémoire des données, une optimisation matérielle qui prédit les adresses mémoire des données à laquelle le code exécutif est susceptible d'accéder dans un avenir proche.En chargeant le contenu dans le cache CPU avant qu'il soit réellement nécessaire, le DMP, comme la fonctionnalité est abrégée, réduit la latence entre la mémoire principale et le CPU, un goulot d'étranglement commun dans l'informatique moderne.Les DMP sont un phénomène relativement nouveau trouvé uniquement dans les puces de la série M et la microarchitecture du lac Raptor de 13217;
It’s yet another hardware side-channel attack: The threat resides in the chips\' data memory-dependent prefetcher, a hardware optimization that predicts the memory addresses of data that running code is likely to access in the near future. By loading the contents into the CPU cache before it\'s actually needed, the DMP, as the feature is abbreviated, reduces latency between the main memory and the CPU, a common bottleneck in modern computing. DMPs are a relatively new phenomenon found only in M-series chips and Intel’s 13th-generation Raptor Lake microarchitecture, although older forms of prefetchers have been common for years... |
Vulnerability Threat | ★★★ | |
|
2024-03-27 11:01:08 | Vulnérabilité de sécurité dans les verrous de Keycard basés sur RFID de Saflok \\ Security Vulnerability in Saflok\\'s RFID-Based Keycard Locks (lien direct) |
il & # 8217; s assez dévastateur :
Aujourd'hui, Ian Carroll, Lennert Wouters et une équipe d'autres chercheurs en sécurité révèlent une technique de piratage de l'hôtel Keycard qu'ils appellent Unfillok .La technique est une collection de vulnérabilités de sécurité qui permettraient à un pirate d'ouvrir presque instantanément plusieurs modèles de serrures Keycard basées sur la marque Saflok-Brand vendues par le fabricant de serrures suisses Dormakaba.Les systèmes Saflok sont installés sur 3 millions de portes dans le monde, dans 13 000 propriétés dans 131 pays.En exploitant les faiblesses dans le cryptage de Dormakaba et du système RFID sous-jacent que Dormakaba, connu sous le nom de Mifare Classic, Carroll et Wouters ont démontré à quel point ils peuvent facilement ouvrir un verrou de Keycard Saflok.Leur technique commence par l'obtention de n'importe quelle carte-clé à partir d'un hôtel cible & # 8212; disons, en réservant une chambre là-bas ou en saisissant une courte-clés dans une boîte de celles d'occasion & # 8212; puis en lisant un certain code de cette carte avec une lecture RFID de 300 $dispositif, et enfin écrire deux cartes-clés qui leur sont propres.Lorsqu'ils appuyent simplement sur ces deux cartes sur une serrure, la première réécrit un certain morceau des données de verrouillage, et la seconde l'ouvre ...
It’s pretty devastating: Today, Ian Carroll, Lennert Wouters, and a team of other security researchers are revealing a hotel keycard hacking technique they call Unsaflok. The technique is a collection of security vulnerabilities that would allow a hacker to almost instantly open several models of Saflok-brand RFID-based keycard locks sold by the Swiss lock maker Dormakaba. The Saflok systems are installed on 3 million doors worldwide, inside 13,000 properties in 131 countries. By exploiting weaknesses in both Dormakaba’s encryption and the underlying RFID system Dormakaba uses, known as MIFARE Classic, Carroll and Wouters have demonstrated just how easily they can open a Saflok keycard lock. Their technique starts with obtaining any keycard from a target hotel—say, by booking a room there or grabbing a keycard out of a box of used ones—then reading a certain code from that card with a $300 RFID read-write device, and finally writing two keycards of their own. When they merely tap those two cards on a lock, the first rewrites a certain piece of the lock’s data, and the second opens it... |
Vulnerability | ★★★ | |
|
2024-03-26 11:08:16 | Sur les systèmes de vote sécurisés On Secure Voting Systems (lien direct) |
Andrew Appel Shepherd a Commentaire public & # 8212; Signé par vingt experts en cybersécurité électorale, y compris moi-même & # 8212; sur les meilleures pratiques pour les appareils de marquage des bulletins de vote et la tabulation de vote.Il a été écrit pour la législature de Pennsylvanie, mais il est de nature générale. .
du résumé de l'exécutif:
Nous pensons qu'aucun système n'est parfait, chacun ayant des compromis.Les bulletins de vote à la main et à la main enlèvent l'incertitude introduite par l'utilisation de machines électroniques et la capacité des mauvais acteurs à exploiter les vulnérabilités électroniques pour modifier à distance les résultats.Cependant, une partie des électeurs marquent à tort les bulletins de vote en papier d'une manière qui ne sera pas comptée dans la façon dont l'électeur voulait, ou qui annule même le bulletin de vote.Les comptages à main retardent la déclaration en temps opportun des résultats et introduisent la possibilité d'erreur humaine, de biais ou d'interprétation erronée ...
Andrew Appel shepherded a public comment—signed by twenty election cybersecurity experts, including myself—on best practices for ballot marking devices and vote tabulation. It was written for the Pennsylvania legislature, but it’s general in nature. From the executive summary: We believe that no system is perfect, with each having trade-offs. Hand-marked and hand-counted ballots remove the uncertainty introduced by use of electronic machinery and the ability of bad actors to exploit electronic vulnerabilities to remotely alter the results. However, some portion of voters mistakenly mark paper ballots in a manner that will not be counted in the way the voter intended, or which even voids the ballot. Hand-counts delay timely reporting of results, and introduce the possibility for human error, bias, or misinterpretation... |
Vulnerability Threat | ★★★ | |
|
2024-03-26 09:01:57 | AI and Trust (lien direct) | Regardez la vidéo sur youtube.com
une conversation de 15 minutes par Bruce Schneier.
Watch the Video on YouTube.com A 15-minute talk by Bruce Schneier. |
★★★ | ||
|
2024-03-25 11:04:34 | Licence d'ingénieurs d'IA Licensing AI Engineers (lien direct) |
Le débat sur les ingénieurs logiciels de professionnalisation a des décennies.(L'idée de base est que, comme les avocats et les architectes, il devrait y avoir une exigence de licence professionnelle pour les ingénieurs logiciels.) Ici & # 8217; s Article du journal de droit Recommander la même idée pour les ingénieurs de l'IA.
Cet article propose une autre manière: professionnalisation de l'ingénierie AI.Obliger les ingénieurs d'IA pour obtenir des licences pour construire des produits d'IA commerciaux, les pousser à collaborer sur des normes techniques spécifiques au domaine en faveur scientifique et en appuyant sur le domaine et en facilitant les services de police eux-mêmes.Cette proposition de cette article traite des préjudices de l'IA à leur création, influençant les décisions même d'ingénierie qui leur donnent naissance en premier lieu.En arrachant le contrôle des informations et de la conception du système aux entreprises et en les remettant aux ingénieurs de l'IA, la professionnalisation enget une IA digne de confiance par conception.Au-delà de la recommandation de la solution politique spécifique de la professionnalisation, cet article vise à éloigner le discours sur l'IA de l'accent mis sur les solutions légères et les solutions ex post qui traitent des produits déjà créés à un accent sur les contrôles ex ante qui précèdent le développement de l'IA.Nous avons déjà utilisé ce livre de jeu dans les domaines nécessitant un niveau d'expertise élevé où une obligation pour le bien-être public doit l'emporter sur les motivations commerciales.Et si, comme les médecins, les ingénieurs de l'IA ont également promis de ne pas faire de mal? ...
The debate over professionalizing software engineers is decades old. (The basic idea is that, like lawyers and architects, there should be some professional licensing requirement for software engineers.) Here’s a law journal article recommending the same idea for AI engineers. This Article proposes another way: professionalizing AI engineering. Require AI engineers to obtain licenses to build commercial AI products, push them to collaborate on scientifically-supported, domain-specific technical standards, and charge them with policing themselves. This Article’s proposal addresses AI harms at their inception, influencing the very engineering decisions that give rise to them in the first place. By wresting control over information and system design away from companies and handing it to AI engineers, professionalization engenders trustworthy AI by design. Beyond recommending the specific policy solution of professionalization, this Article seeks to shift the discourse on AI away from an emphasis on light-touch, ex post solutions that address already-created products to a greater focus on ex ante controls that precede AI development. We’ve used this playbook before in fields requiring a high level of expertise where a duty to the public welfare must trump business motivations. What if, like doctors, AI engineers also vowed to do no harm?... |
Technical Commercial | ★★★ | |
|
2024-03-22 21:03:52 | Vendredi Blogging Squid: Nouvelles espèces de calmars découverts Friday Squid Blogging: New Species of Squid Discovered (lien direct) |
Une nouvelle espèce de calmar était découverte , ainsi qu'une centaine d'autres espèces.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
A new species of squid was discovered, along with about a hundred other species. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-03-22 11:01:39 | Google paie 10 millions de dollars en primes de bogue en 2023 Google Pays $10M in Bug Bounties in 2023 (lien direct) |
BleepingComputer a le Détails .Il est de 2 millions de dollars de moins qu'en 2022, mais il est encore beaucoup beaucoup.
La récompense la plus élevée pour un rapport de vulnérabilité en 2023 était de 113 337 $, tandis que le décompte total depuis le lancement du programme en 2010 a atteint 59 millions de dollars.
Pour Android, le système d'exploitation mobile le plus populaire et le plus largement utilisé, le programme a accordé plus de 3,4 millions de dollars.
Google a également augmenté le montant maximal de récompense pour les vulnérabilités critiques concernant Android à 15 000 $, ce qui a augmenté les rapports communautaires.
Au cours des conférences de sécurité comme ESCAL8 et Hardwea.io, Google a attribué 70 000 $ pour 20 découvertes critiques dans le système d'exploitation Android et Android Automotive et 116 000 $ pour 50 rapports concernant les problèmes dans Nest, Fitbit et Wearables ...
BleepingComputer has the details. It’s $2M less than in 2022, but it’s still a lot. The highest reward for a vulnerability report in 2023 was $113,337, while the total tally since the program’s launch in 2010 has reached $59 million. For Android, the world’s most popular and widely used mobile operating system, the program awarded over $3.4 million. Google also increased the maximum reward amount for critical vulnerabilities concerning Android to $15,000, driving increased community reports. During security conferences like ESCAL8 and hardwea.io, Google awarded $70,000 for 20 critical discoveries in Wear OS and Android Automotive OS and another $116,000 for 50 reports concerning issues in Nest, Fitbit, and Wearables... |
Vulnerability Studies Mobile | ★★★ | |
|
2024-03-21 11:03:18 | AI publique comme alternative à l'IA des entreprises Public AI as an Alternative to Corporate AI (lien direct) |
Ce mini-essai a été ma contribution à une table ronde sur puissance et puissance et puissanceGouvernance à l'ère de l'Ai .Ce que je n'ai rien dit auparavant, mais pour quiconque n'a pas lu mes essais plus longs sur le sujet, il est une introduction plus courte.
& # 160;
Le contrôle de plus en plus centralisé de l'IA est un inquiétantesigne .Lorsque les milliardaires et les sociétés technologiques dirigent l'IA, nous obtenons l'IA qui a tendance à refléter les intérêts des milliardaires et des sociétés technologiques, au lieu du public.Étant donné la transformation de cette technologie pour le monde, c'est un problème.
Pour bénéficier à la société dans son ensemble, nous avons besoin d'un ...
This mini-essay was my contribution to a round table on Power and Governance in the Age of AI. It’s nothing I haven’t said here before, but for anyone who hasn’t read my longer essays on the topic, it’s a shorter introduction. The increasingly centralized control of AI is an ominous sign. When tech billionaires and corporations steer AI, we get AI that tends to reflect the interests of tech billionaires and corporations, instead of the public. Given how transformative this technology will be for the world, this is a problem. To benefit society as a whole we need an ... |
★★ | ||
|
2024-03-20 11:08:52 | Tricher les cabines à péage automatiques en obscurcissant les plaques d'immatriculation Cheating Automatic Toll Booths by Obscuring License Plates (lien direct) |
Le Wall Street Journal est Reporting Sur une variété de techniques, les pilotes utilisent pour masquer leurs tas d'immatriculation.>
Certains conducteurs ont une peinture lavée en puissance de leurs assiettes ou les ont recouverts d'une gamme d'articles ménagers tels que des aimants en forme de feuilles, a déclaré Bramwell-Stewart.L'Autorité portuaire affirme que les agents en 2023 ont approfondi le nombre de citations de permis délivrées pour des plaques d'immatriculation obstruées, manquantes ou fictives par rapport à l'année précédente.
Bramwell-Stewart a déclaré qu'un pilote du New Jersey a utilisé à plusieurs reprises ce que connu dans les rues comme une flipper, ce qui vous permet d'échanger à distance une véritable assiette de voiture pour un faux devant une zone à péage.Dans ce cas, la fausse plaque correspondait à une réelle inscrite à une femme qui a été mystifiée pour recevoir les péages.& # 8220; Pourquoi continuez-vous de me facturer? & # 8221;Bramwell-Stewart a rappelé qu'elle avait demandé ...
The Wall Street Journal is reporting on a variety of techniques drivers are using to obscure their license plates so that automatic readers can’t identify them and charge tolls properly. Some drivers have power-washed paint off their plates or covered them with a range of household items such as leaf-shaped magnets, Bramwell-Stewart said. The Port Authority says officers in 2023 roughly doubled the number of summonses issued for obstructed, missing or fictitious license plates compared with the prior year. Bramwell-Stewart said one driver from New Jersey repeatedly used what’s known in the streets as a flipper, which lets you remotely swap out a car’s real plate for a bogus one ahead of a toll area. In this instance, the bogus plate corresponded to an actual one registered to a woman who was mystified to receive the tolls. “Why do you keep billing me?” Bramwell-Stewart recalled her asking... |
★★ | ||
|
2024-03-19 11:05:23 | AI et l'évolution des médias sociaux AI and the Evolution of Social Media (lien direct) |
Oh, comment les puissants sont tombés.Il y a une décennie, les médias sociaux étaient Celebrated Pour susciter les soulèvements démocratiques dans le monde arabe et au-delà.Maintenant, les premières pages sont éclaboussées d'histoires de plates-formes sociales \\ 'Rôle dans Misinformation , Business complot , Malfeasance , et risque de santé mentale .En 2022 Enquête , les Américains ont blâmé les médias sociaux pour le grossissement de notre discours politique, la propagation de la désinformation et l'augmentation de la polarisation partisane.
Aujourd'hui, la chérie de Tech \\ est l'intelligence artificielle.Comme les médias sociaux, il a le potentiel de changer le monde de plusieurs manières, certains favorables à la démocratie.Mais en même temps, il a le potentiel de faire des dégâts incroyables à la société ...
Oh, how the mighty have fallen. A decade ago, social media was celebrated for sparking democratic uprisings in the Arab world and beyond. Now front pages are splashed with stories of social platforms\' role in misinformation, business conspiracy, malfeasance, and risks to mental health. In a 2022 survey, Americans blamed social media for the coarsening of our political discourse, the spread of misinformation, and the increase in partisan polarization. Today, tech\'s darling is artificial intelligence. Like social media, it has the potential to change the world in many ways, some favorable to democracy. But at the same time, it has the potential to do incredible damage to society... |
★★★ | ||
|
2024-03-18 11:03:14 | Drones et l'US Air Force Drones and the US Air Force (lien direct) |
fascinant analyse de l'utilisation de drones sur un champ de bataille moderne & # 8212;
Le F-35A reste une plate-forme importante pour la guerre conventionnelle à haute intensité.Mais l'Air Force prévoit d'acheter 1 763 de l'avion, qui restera en service jusqu'en 2070.I> Coûts d'opportunité pour le service dans son ensemble.Dans un ensemble de commentaires Publié sur LinkedIn...
Fascinating analysis of the use of drones on a modern battlefield—that is, Ukraine—and the inability of the US Air Force to react to this change. The F-35A certainly remains an important platform for high-intensity conventional warfare. But the Air Force is planning to buy 1,763 of the aircraft, which will remain in service through the year 2070. These jets, which are wholly unsuited for countering proliferated low-cost enemy drones in the air littoral, present enormous opportunity costs for the service as a whole. In a set of comments posted on LinkedIn... |
★★★ | ||
|
2024-03-15 21:08:32 | Vendredi Blogging Squid: Operation Squid Friday Squid Blogging: Operation Squid (lien direct) |
Operation Squid a trouvé 1,3 tonnes de cocaïne Hidden chez Frozenpoisson.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je n'ai pas couvertes. .
Lisez mes directives de publication de blog ici .
Operation Squid found 1.3 tons of cocaine hidden in frozen fish. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered. Read my blog posting guidelines here. |
★★ | ||
|
2024-03-15 11:05:41 | Amélioration du C ++ Improving C++ (lien direct) |
c ++ guru herb sutter écrit sur la façon dont nous pouvons améliorer le langage de programmation pour une meilleure sécurité.
Le problème immédiat & # 8220; est & # 8221;qu'il est trop facile par défaut ™ pour rédiger des vulnérabilités de sécurité et de sécurité en C ++ qui auraient été capturées par une application plus stricte de règles connues pour le type , les limites, l'initialisation et Lifetime Sécurité linguistique.
sa conclusion:
Nous devons améliorer la sécurité des logiciels et la sécurité des logiciels dans l'industrie, en particulier en améliorant la sécurité du langage de programmation en C et C ++, et en C ++, une amélioration de 98% dans les quatre problèmes les plus courants est réalisable à moyen terme.Mais si nous nous concentrons uniquement sur la sécurité du langage de programmation, nous pouvons nous retrouver à combattre hier \\ et manquer des dangers de sécurité passés et futurs qui affectent les logiciels écrits dans n'importe quelle langue ...
C++ guru Herb Sutter writes about how we can improve the programming language for better security. The immediate problem “is” that it\'s Too Easy By Default™ to write security and safety vulnerabilities in C++ that would have been caught by stricter enforcement of known rules for type, bounds, initialization, and lifetime language safety. His conclusion: We need to improve software security and software safety across the industry, especially by improving programming language safety in C and C++, and in C++ a 98% improvement in the four most common problem areas is achievable in the medium term. But if we focus on programming language safety alone, we may find ourselves fighting yesterday\'s war and missing larger past and future security dangers that affect software written in any language... |
Vulnerability Legislation | ★★ | |
|
2024-03-14 11:01:43 | Les constructeurs automobiles partagent les données du conducteur avec les assureurs sans consentement Automakers Are Sharing Driver Data with Insurers without Consent (lien direct) |
Kasmir Hill a le story :
Les voitures modernes sont compatibles sur Internet, permettant d'accéder à des services tels que la navigation, l'assistance routière et les applications de voitures que les conducteurs peuvent se connecter à leurs véhicules pour les localiser ou les déverrouiller à distance.Ces dernières années, les constructeurs automobiles, dont G.M., Honda, Kia et Hyundai, ont commencé à offrir des fonctionnalités facultatives dans leurs applications de voitures connectées qui évaluent les gens de la conduite.Certains conducteurs peuvent ne pas se rendre compte que, s'ils activent ces fonctionnalités, les constructeurs automobiles donnent ensuite des informations sur la façon dont ils se rendent aux courtiers de données comme LexisNexis [qui les vendent ensuite aux compagnies d'assurance] ...
Kasmir Hill has the story: Modern cars are internet-enabled, allowing access to services like navigation, roadside assistance and car apps that drivers can connect to their vehicles to locate them or unlock them remotely. In recent years, automakers, including G.M., Honda, Kia and Hyundai, have started offering optional features in their connected-car apps that rate people’s driving. Some drivers may not realize that, if they turn on these features, the car companies then give information about how they drive to data brokers like LexisNexis [who then sell it to insurance companies]... |
★★ | ||
|
2024-03-13 11:07:18 | Cambrioleurs utilisant des brouillards Wi-Fi pour désactiver les caméras de sécurité Burglars Using Wi-Fi Jammers to Disable Security Cameras (lien direct) |
La course aux armements se poursuit, alors que les cambrioleurs apprennent à Utiliser Jammers pour désactiver les caméras de sécurité Wi-Fi.
The arms race continues, as burglars are learning how to use jammers to disable Wi-Fi security cameras. |
★★★ | ||
|
2024-03-12 11:12:15 | LLMS jailbreaking avec art ASCII Jailbreaking LLMs with ASCII Art (lien direct) |
Les chercheurs ont a démontré que la mise en place de mots dans l'art ascii peut provoquer des LLM & # 8212; GPT-3.5, gpt-4 ,Gemini, Claude et Llama2 & # 8212; pour ignorer leurs instructions de sécurité.
Recherche papier .
Researchers have demonstrated that putting words in ASCII art can cause LLMs—GPT-3.5, GPT-4, Gemini, Claude, and Llama2—to ignore their safety instructions. Research paper. |
★★★★ | ||
|
2024-03-11 11:01:55 | Utilisation de LLMS pour désagréger le texte Using LLMs to Unredact Text (lien direct) |
Résultats initiaux En utilisant le LLMS pour un texte non raboug>
Cela ressemble à quelque chose sur lequel un système ML spécialisé pourrait être formé.
Initial results in using LLMs to unredact text based on the size of the individual-word redaction rectangles. This feels like something that a specialized ML system could be trained on. |
★★★ | ||
|
2024-03-08 22:11:17 | Vendredi Blogging Squid: une nouvelle plante ressemble à un calmar Friday Squid Blogging: New Plant Looks Like a Squid (lien direct) |
plante nouvellement découverte Comme un calmar .Et il est super bizarre:
La plante, qui pousse à 3 centimètres de haut et 2 centimètres de large, émerge à la surface pendant aussi peu qu'une semaine chaque année.Il appartient à un groupe de plantes appelées lanternes de fées et a reçu le nom scientifique Redictithismia kimotsukiensis .
Contrairement à la plupart des autres plantes, les lanternes de fées ne produisent pas la chlorophylle du pigment vert, qui est nécessaire pour la photosynthèse.Au lieu de cela, ils tirent leur énergie des champignons.
Comme d'habitude, vous pouvez également utiliser ce post de calmar pour parler des histoires de sécurité dans les nouvelles que je ne suis pas couverte ...
Newly discovered plant looks like a squid. And it’s super weird: The plant, which grows to 3 centimetres tall and 2 centimetres wide, emerges to the surface for as little as a week each year. It belongs to a group of plants known as fairy lanterns and has been given the scientific name Relictithismia kimotsukiensis. Unlike most other plants, fairy lanterns don’t produce the green pigment chlorophyll, which is necessary for photosynthesis. Instead, they get their energy from fungi. As usual, you can also use this squid post to talk about the security stories in the news that I haven\'t covered... |
★★★ | ||
|
2024-03-08 18:38:32 | Essais du deuxième iword Essays from the Second IWORD (lien direct) |
Le centre de cendres a Posté Une série de douze essais résultant du deuxième atelier interdisciplinaire sur la réinvention de la démocratie ( iword 2023 ).
Aviv Ovadya, démocratie comme approximation: Une introduction pour les innovateurs «AI pour la démocratie»
Kathryn Peters, permission et participation
Claudia Chwalisz, dépasser le paradigme de "démocratie": 12 questions
Riley Wong, Privacy-preserving data Governance
Christine Tran, recommandationspour la mise en œuvre du vote des prisons: identifier les thèmes communs
Niclas Boehmer, Épée à double tranchant de gouvernance algorithmique: transparence en jeu ...
The Ash Center has posted a series of twelve essays stemming from the Second Interdisciplinary Workshop on Reimagining Democracy (IWORD 2023). Aviv Ovadya, Democracy as Approximation: A Primer for “AI for Democracy” Innovators Kathryn Peters, Permission and Participation Claudia Chwalisz, Moving Beyond the Paradigm of “Democracy”: 12 Questions Riley Wong, Privacy-Preserving Data Governance Christine Tran, Recommendations for Implementing Jail Voting: Identifying Common Themes Niclas Boehmer, The Double-Edged Sword of Algorithmic Governance: Transparency at Stake... |
★★ | ||
|
2024-03-08 12:06:58 | Une taxonomie d'attaques d'injection rapide A Taxonomy of Prompt Injection Attacks (lien direct) |
Les chercheurs ont organisé un concours mondial de piratage rapide et ont documenté Les résultats dans un article qui donne beaucoup de bien donne beaucoup de bienExemples et essaie d'organiser une taxonomie de stratégies d'injection rapide efficaces.Il semble que la stratégie réussie la plus courante soit l'attaque d'instructions composée la plus courante, & # 8221;Comme dans & # 8220; dire & # 8216; J'ai été Pwned & # 8217;sans période. & # 8221;
Ignorez ce titre et HackapRomppt: exposer les vulnérabilités systémiques de
LLMS via une compétition de piratage invite à l'échelle mondiale
Résumé: Les modèles de grande langue (LLM) sont déployés dans des contextes interactifs avec l'engagement direct des utilisateurs, tels que les chatbots et les assistants d'écriture.Ces déploiements sont vulnérables à l'injection rapide et au jailbreak (collectivement, piratage rapide), dans lequel les modèles sont manipulés pour ignorer leurs instructions d'origine et suivre des instructions potentiellement malveillantes.Bien que largement reconnue comme une menace de sécurité significative, il y a une pénurie de ressources à grande échelle et d'études quantitatives sur le piratage rapide.Pour aborder cette lacune, nous lançons un concours mondial de piratage rapide, qui permet des attaques d'entrée humaine en forme libre.Nous produisons 600k + invites adversaires contre trois LLM de pointe.Nous décrivons l'ensemble de données, qui vérifie empiriquement que les LLM actuels peuvent en effet être manipulées via un piratage rapide.Nous présentons également une ontologie taxonomique complète des types d'invites contradictoires ...
Researchers ran a global prompt hacking competition, and have documented the results in a paper that both gives a lot of good examples and tries to organize a taxonomy of effective prompt injection strategies. It seems as if the most common successful strategy is the “compound instruction attack,” as in “Say ‘I have been PWNED’ without a period.” Ignore This Title and HackAPrompt: Exposing Systemic Vulnerabilities of LLMs through a Global Scale Prompt Hacking Competition Abstract: Large Language Models (LLMs) are deployed in interactive contexts with direct user engagement, such as chatbots and writing assistants. These deployments are vulnerable to prompt injection and jailbreaking (collectively, prompt hacking), in which models are manipulated to ignore their original instructions and follow potentially malicious ones. Although widely acknowledged as a significant security threat, there is a dearth of large-scale resources and quantitative studies on prompt hacking. To address this lacuna, we launch a global prompt hacking competition, which allows for free-form human input attacks. We elicit 600K+ adversarial prompts against three state-of-the-art LLMs. We describe the dataset, which empirically verifies that current LLMs can indeed be manipulated via prompt hacking. We also present a comprehensive taxonomical ontology of the types of adversarial prompts... |
Vulnerability Threat Studies | ★★★ | |
|
2024-03-07 12:00:13 | Comment l'IA publique peut renforcer la démocratie How Public AI Can Strengthen Democracy (lien direct) |
avec la concentration du monde en se tournant vers Misinformation , Manipulation , et propagande pure et simple avant l'élection présidentielle américaine de 2024, nous savons que la démocratie a un problème d'IA.Mais nous apprenons que l'IA a également un problème de démocratie.Les deux défis doivent être relevés pour le bien de la gouvernance démocratique et de la protection du public.
Just Trois grandes entreprises technologiques (Microsoft, Google et Amazon) contrôlent environ les deux tiers du marché mondial des ressources de cloud computing utilisées pour former et déployer des modèles d'IA.Ils ont beaucoup de talents d'IA, la capacité d'innovation à grande échelle et font face à peu de réglementations publiques pour leurs produits et activités ...
With the world’s focus turning to misinformation, manipulation, and outright propaganda ahead of the 2024 U.S. presidential election, we know that democracy has an AI problem. But we’re learning that AI has a democracy problem, too. Both challenges must be addressed for the sake of democratic governance and public protection. Just three Big Tech firms (Microsoft, Google, and Amazon) control about two-thirds of the global market for the cloud computing resources used to train and deploy AI models. They have a lot of the AI talent, the capacity for large-scale innovation, and face few public regulations for their products and activities... |
Cloud | ★★ | |
|
2024-03-06 12:06:21 | Surveillance à travers des notifications push Surveillance through Push Notifications (lien direct) |
Le Washington Post est reportage sur le FBI, l'utilisation croissante des données de notification push & # 8212; & # 8221; push tokens & # 8221; & # 8212; pour identifier les personnes.La police peut demander ces données à des entreprises comme Apple et Google sans mandat.
La technique d'investigation remonte à des années.Les ordonnances judiciaires qui ont été rendues en 2019 à Apple et Google ont exigé que les entreprises remettent des informations sur les comptes identifiés par des tokens push liés à des partisans présumés du groupe terroriste de l'État islamique.
Mais la pratique n'a pas été largement comprise avant décembre, lorsque le sénateur Ron Wyden (D-Ore.), Dans un ...
The Washington Post is reporting on the FBI’s increasing use of push notification data—”push tokens”—to identify people. The police can request this data from companies like Apple and Google without a warrant. The investigative technique goes back years. Court orders that were issued in 2019 to Apple and Google demanded that the companies hand over information on accounts identified by push tokens linked to alleged supporters of the Islamic State terrorist group. But the practice was not widely understood until December, when Sen. Ron Wyden (D-Ore.), in a ... |
Legislation | ★★★ | |
|
2024-03-05 12:05:53 | L'insécurité des sonnettes vidéo The Insecurity of Video Doorbells (lien direct) |
Consumer Reports a analysé Un tas de sonnettes vidéo connectées à Internet populaires.Leur sécurité est terrible.
Tout d'abord, ces sonnettes exposent votre adresse IP à domicile et votre nom de réseau wifi sur Internet sans cryptage, ouvrant potentiellement votre réseau domestique aux criminels en ligne.
[& # 8230;]
Quiconque peut accéder physiquement à l'une des sonnettes peut reprendre l'appareil & # 8212; Aucun outil ou compétences de piratage de fantaisie nécessaire.
Consumer Reports has analyzed a bunch of popular Internet-connected video doorbells. Their security is terrible. First, these doorbells expose your home IP address and WiFi network name to the internet without encryption, potentially opening your home network to online criminals. […] Anyone who can physically access one of the doorbells can take over the device—no tools or fancy hacking skills needed. |
Tool | ★★ | |
|
2024-03-04 12:01:52 | Ver injection rapide LLM LLM Prompt Injection Worm (lien direct) |
Les chercheurs ont ont démontré un ver qui se propage par injection rapide. détails :
Dans un cas, les chercheurs, agissant comme attaquants, ont écrit un e-mail comprenant l'invite de texte adversaire, qui & # 8220; poisons & # 8221;La base de données d'un assistant par e-mail à l'aide de Generation (Rag) de récupération (Rag) , un moyenPour que les LLMS tirent des données supplémentaires de l'extérieur de son système.Lorsque l'e-mail est récupéré par le chiffon, en réponse à une requête utilisateur, et est envoyé à GPT-4 ou Gemini Pro pour créer une réponse, il & # 8220; jailbreaks The Genai Service & # 8221;Et finalement, vole des données des e-mails, dit Nassi.& # 8220; La réponse générée contenant les données utilisateur sensibles infecte plus tard les nouveaux hôtes lorsqu'il est utilisé pour répondre à un e-mail envoyé à un nouveau client, puis stocké dans la base de données du nouveau client, & # 8221;Nassi dit ...
Researchers have demonstrated a worm that spreads through prompt injection. Details: In one instance, the researchers, acting as attackers, wrote an email including the adversarial text prompt, which “poisons” the database of an email assistant using retrieval-augmented generation (RAG), a way for LLMs to pull in extra data from outside its system. When the email is retrieved by the RAG, in response to a user query, and is sent to GPT-4 or Gemini Pro to create an answer, it “jailbreaks the GenAI service” and ultimately steals data from the emails, Nassi says. “The generated response containing the sensitive user data later infects new hosts when it is used to reply to an email sent to a new client and then stored in the database of the new client,” Nassi says... |
★★★ |
To see everything:
Our RSS (filtrered)
