TAG:安全

2020-6-28 21:21
不久前,我在一个拥有数百万用户的网站上偶然发现了一个漏洞。 问题是,我不是黑客。远非如此--我从来没有试图黑过任何东西。 我像往常一样浏览网站,意识到它有一个潜在的漏洞。然后我就害怕了,真的很害怕。 所以我做了你应该做的-我报告了。四次。 问题是:他们没有负责任的披露政策。这意味着我没有正式的方式向团队通报这一问题,......
2020-6-28 15:31
跳转到导航跳转到搜索Genode[4][5][6]是一个免费的开源操作系统框架,由一个微内核抽象层和一组用户空间组件组成。值得注意的是,该框架是为数不多的不是从专有操作系统(如Unix)派生而来的开源操作系统之一。其特征设计理念是,在面向安全的操作系统中,小型可信计算基础是首要考虑的问题。 Genode可以用作台式机......
2020-6-26 19:44
两名员工卡洛斯·加布里埃尔(Carlos Gabriel)和杰西卡·纳罗(Jessica Naro)表示,他们上周收到了特斯拉的解雇通知,此前他们为了避免冠状病毒而休了无薪假期。“圣何塞水星新闻”上周最先报道了加布里埃尔的解约通知。 这两名员工都表示,特斯拉人力资源部本周联系了他们。如果纳罗承诺一个回归日期,她就有机......
2020-6-25 21:48
当然,由于新冠肺炎的大流行,这一切都停止了。在那之后的几个月里,行业团体-包括一个由来自多个好莱坞工会和工会的成员组成的特别工作组-一直在制定如何安全恢复生产的指导方针,从用餐时间(应该错开,食物应该分开包装)到人群场景(应该尽量减少),都有建议。 帕特森说,他一直在与工会和制片厂合作,以解决亚特兰大松林重新开业的问......
2020-6-18 18:59
安全的现实是数学的,基于不同风险的概率和不同对策的有效性。我们可以根据你居住的街区的犯罪率和你的锁门习惯等因素来计算你的家免受入室盗窃的安全程度。我们可以计算出你被谋杀的可能性有多大,无论是在街上被陌生人谋杀,还是在你家里被家人谋杀。或者你成为身份盗用的受害者的可能性有多大。考虑到关于犯罪行为的足够多的统计数据,保险......
2020-6-18 7:53
“如果我们要做出必要的革命性改变,我们必须像关心系统运行一样关心我们系统的安全。”--中情局维基解密特别工作组(Wikileaks Task Force)。 美国中央情报局(US Central Intelligence Agency)在2016年发生大规模数据泄露事件后发布的一份报告的关键部分到此为止,这起事件导致......
2020-6-16 3:7
六名前eBay员工被控对一份电子商务时事通讯进行离奇的跟踪活动。司法部声称,詹姆斯·鲍尔、大卫·哈维尔、斯蒂芬妮·波普、布莱恩·吉尔伯特、斯蒂芬妮·斯托克韦尔和维罗妮卡·泽亚恶意骚扰了这对因eBay负面报道而发表时事通讯的夫妇--向他们发送在线威胁和辱骂,邮寄活昆虫和一个“血淋淋的猪脸”面具,并驱车前往马萨诸塞州的家......
2020-6-15 16:11
blob:4822f881ea2919a10c3e75018da51c41e38ef07d(普通)#!/bin/bash#美国未签名语言#=#by zx2c4,2020-06-13##此漏洞利用efivar_ssdt入口点将#ACPI表插入到Ubuntu Bio中。其结果是,用户可以随后将#未签名内核驱动程序加载到启......
2020-6-15 13:48
简报-开始安全的匿名视频聊天
2020-6-15 6:40
RedHat的Flat-pak最近得到了很多关注,它自称是在Linux上分发桌面应用程序的新方式。他们说这是安全的..。 flathub上几乎所有流行的应用程序都附带FILESYSTEM=HOST、FILESYSTEM=HOME或DEVICE=ALL权限,即对用户主目录(以及更多)的写入权限,这实际上意味着逃离沙盒所......
2020-6-15 5:26
保护芯片免受网络攻击正变得越来越困难,成本越来越高,资源也越来越密集,但随着其中一些芯片最终进入任务关键型服务器和汽车等安全关键型应用程序,保护芯片也变得越来越有必要。 尽管安全技术的进展参差不齐,应用也不一致,但至少在过去几年里,安全一直在半导体行业的雷达上。然而,由于安全背后的经济变化,这种情况正在开始好转。虽然......
2020-6-10 4:7
在过去的两年里,现代CPU-特别是那些由英特尔制造的CPU-一直受到一系列无休止的攻击,这些攻击使得高技能的攻击者有可能从硅片驻留的存储器中窃取密码、加密密钥和其他秘密。周二,两个不同的学术团队披露了两个新的、独特的漏洞,它们穿透了英特尔的软件保护扩展,这是迄今为止该公司处理器中最敏感的区域。 缩写为SGX的保护旨在......
2020-6-1 11:16
Linus已经如期发布了5.7内核。5.7中的主要特性包括86拆分锁检测、热压管理、加载跟踪代码中的频率不变性、BPF和实时抢占的共存、对BPF安全钩子程序(以前称为KRSI安全模块)的支持、微软支持的新exFAT文件系统实现,以及更多。最后要合并的补丁打破了内核源代码80列的长期限制。有关更多详细信息,请参阅Ker......
2020-5-30 0:16
下面是一些需要考虑的sysctl设置。#/etc/sysctl.d/99-sysctl.conf#防止自动加载行规程#https://lore.kernel.org/patchwork/patch/1034150dev.tty.ldisc_autoload=0#对FIFO、硬链接、常规文件和符号链接的额外保护#htt......
Cloud Security from First Principles(franklyspeaking.substack.com)
2020-5-28 0:41
如果你被转发了这份时事通讯,你可以在这里订阅,也可以在这里查看旧的时事通讯。 希望大家都有一个愉快的阵亡将士纪念日周末!我几乎忘了这件事,直到我意识到我的日历是空的。 在其他新闻方面,尽管被隔离了,但我正在尽力结识新的人(当然是通过Zoom),谈论安全、AI/ML和devops。欢迎提出建议!他们不需要在创业公司工作......
2020-5-24 12:26
Chromium项目发现,大约70%的严重安全漏洞是内存安全问题。我们的下一个重大项目是从源头上防止此类错误。 大约70%的严重安全错误是内存不安全问题(即C/C++指针错误)。其中一半是免费后使用的漏洞。 (基于自2015年以来影响稳定渠道的912个高或严重严重安全漏洞进行分析。)。 这些错误均匀地分布在我们的代码......
2020-5-24 11:41
呆在家里的命令让更多的人远离道路,但全国各地的警察报告说,鲁莽驾驶的情况有所上升。 在康涅狄格州,与去年相比,交通减少了一半,但致命的机动车事故增加了约40%。 康涅狄格州警察若瑟·多雷卢斯告诉美国广播公司新闻记者吉奥·贝尼特斯,我们重新发现,随着道路开放,某些人正以此为契机,将自己的车辆推向极限。 多雷卢斯说,在冠......
2020-5-24 4:59
谷歌工程师本周表示,Chrome代码库中约70%的严重安全漏洞是内存管理和安全漏洞。 70%的漏洞中有一半是释放后使用漏洞,这类安全问题源于对内存指针(地址)的错误管理,为攻击者攻击Chrome的内部组件敞开了大门。 这一百分比是在谷歌工程师分析了自2015年以来在Chrome稳定分支中修复的912个安全漏洞后得出的......
2020-5-22 3:13
Scout Suite是一款开源的多云安全审计工具,可实现云环境的安全状态评估。Scout Suite使用云提供商提供的API收集配置数据进行手动检查,并突出显示风险区域。Scout Suite不需要在网络控制台上浏览几十个页面,而是自动呈现攻击面的清晰视图。 Scout Suite是由安全顾问/审计师设计的。它的目......
2020-5-21 5:41
虽然该公司不愿透露具体数字,但新合同涉及使用Anthos,该公司去年宣布使用该工具来保护DIU的多云环境。尽管绝地合同只涉及一家供应商,但国防部一直使用来自所有三大云供应商-亚马逊、微软和谷歌-的解决方案,根据该公司的说法,这个解决方案将提供一种在所有三种环境中监控安全的方式。 “多云是未来。Google Cloud......
2020-5-19 22:38
市场对软件产品需求的增加正在迅速改变软件开发的性质。大多数团队不再从头开始编写所有代码,而是依赖开源组件来缩短开发周期。 但是,使用开放源码组件会增加使用过时库和引入安全漏洞的风险,这两种情况都会对组织和其他最终用户造成破坏性影响。此外,开源用户很容易违反许可要求,这反过来又会危及知识产权。简而言之,与不加控制地使用......
2020-5-19 14:53
政府官员对冠状病毒如何可能在2020年总统选举期间减少选民投票率表达了越来越多的担忧。 作为部分解决方案,少数几个州已经转向互联网投票试点计划:新泽西州、特拉华州和西弗吉尼亚州最近都启动了试点,其中大部分试点范围有限,主要集中在减轻残疾选民和海外选民的障碍。 然而,计算机科学界-长期以来一直批评互联网投票-认为这些程......
2020-5-19 2:56
三星和韩国电信巨头SK电信首次亮相Galaxy A Quantum 5G智能手机,搭载量子随机数生成(RNG)芯片组。这是移动电话量子技术的首次商业化,它将成为全量子加密成为主流机会的重要风向标。 量子加密通常被吹捧为“不可破解的”,因为它通过无法拦截、窃听或欺骗的粒子生成无法预测的随机数字和安全密钥。该理论认为,正......
2020-5-15 3:23
SAFE旨在帮助您更快地重新开放建筑物,并在不侵犯隐私的情况下保护您的团队、员工和访客的安全。SAFE有三个关键功能-显示、分析和警报。 如果您是现有的Density客户,则此升级是免费的。如果您是新客户,请发送电子邮件至safe@density.io开始。 设置任何房间、楼层或建筑物的最大容量,保险箱将自动确定是否......
2020-5-12 22:0
仅引导系统所有者授权的代码(通过为内核和initrd安装硬件保护的平台密钥)。 简化加密磁盘引导过程(通过将密钥存储在TPM中,并且仅在固件和配置未修改时才将其解封)。 减少受攻击面(通过启用Linux内核功能来启用硬件保护功能并取消root帐户的特权)。 保护运行时系统完整性(通过使用dmverity和签名根散列从......
2020-5-11 10:12
多年来,安全偏执狂一直警告说,任何与黑客单独相处超过几分钟的笔记本电脑都应该被认为受到了威胁。现在,一位荷兰研究人员已经演示了这种物理访问黑客是如何在一个超常见的组件中实现的:数百万台个人电脑中发现的英特尔迅雷端口。 周日,埃因霍温理工大学研究员比约恩·鲁滕贝格透露了他称之为“雷霆间谍”的一种新攻击方法的细节。在20......
2020-5-8 2:28
在这篇文章中,我想分享我对SaaS公司如何在拥有坚实的云基础设施安全和过度使用激怒自己的工程师之间进行权衡的观察。 保安很烦人。如果安全措施不妨碍事情的完成,生活可能会容易得多。如果您是一名正在处理紧急停机的站点可靠性工程师,从陷入困境的数据库管理员那里收到一条“拒绝访问”消息就像医生被他们试图救活的病人一拳打在脸上......
2020-5-2 21:57
尽管拥有4亿用户的安全信使服务Telegram等公司已经证实,它正在进军视频聊天领域,但Zoom的主导地位面临的最直接威胁是微软团队。尤其是对于全球这么多员工来说,在离家工作过渡期间做生意时更是如此。这应该不足为奇,因为在3月底的短短两周内,日活跃用户数量从4400万跃升至7500万。 一份新的报告揭示了安全研究人员......
2020-5-2 21:46
分散的、私有的、安全的和免费的基础设施。获取开始构建所需的工具和支持。 您的用户的隐私和匿名性。每个人的安全访问(SAFE)网络的建立是为了用内置的加密通信来否定互联网入侵者的窥探。 易于使用多种语言的API,这意味着您可以专注于编码。这里无需担心您的基础设施或扩展成本! 用户始终控制着他们的数据,随着网络的货币化,......
2020-5-2 17:47
在我的LinkedIn上可以看到,SecureDNS将于2020年4月30日关闭。许多人问我,他们是否可以购买SecureDNS,或者让我帮助他们建立一个类似的。这篇技术文章是为那些人写的。为了让它有意义,最好也检查一下我的Github SecureDNS存储库。 作为前端负载均衡器/反向代理,它使用HaProxy。......