#安全

物联网供应链的级联安全性(Herr、Kim和Bruce Schneier)
Cascading Security Through the IoT Supply Chain (Herr, Kim and Bruce Schneier)(www.lawfareblog.com)
2020-7-6 4:29
自从第一台联网的冰箱醒来并要求更多牛奶以来,“物联网”(IoT)就一直不安全。但是,尽管冰箱被黑看起来充其量是有趣的,在最坏的情况下是不方便的,但噩梦般的场景是一个国家安全问题。想象一下,数十万台智能冰箱,都有相同的默认密码,被黑客入侵,将大量网络流量引导到关键的互联网服务器上,使它们陷入瘫痪。把智能冰箱换成安全摄像......
ProtonMail-安全电子邮件
ProtonMail – Secure Email(en.wikipedia.org)
2020-7-5 2:50
跳转到导航跳转到搜索ProtonMail是一项端到端加密电子邮件服务,由在CERN研究机构相遇的科学家于2013年在瑞士日内瓦创立。[7]与Gmail和Outlook.com等其他常见电子邮件提供商不同,ProtonMail在将电子邮件内容和用户数据发送到ProtonMail服务器之前,使用客户端加密来保护它们。这项......
谷歌AMP:我在哪个网站上?纽约时报还是谷歌?
Google AMP: What Website Am I On? NYTimes or Google?(theinternetbytes.com)
2020-7-4 10:17
请看下面来自Safari for iOS的屏幕截图。我在哪个网站上? 根据该页面的内容,我显然在“纽约时报”的网站上,但根据地址栏,我显然在google.com上。如果我点击地址栏,请参见https://www.google.com/amp/s/www.nytimes.com/2020/05/22/technolog......
修复Apache远程桌面中的严重漏洞
Fixing critical vulnerabilities in Apache's remote desktop(blog.checkpoint.com)
2020-7-4 7:33
就在短短几个月前,对于我们中的大多数人来说,日常工作包括去办公室操作公司的计算机,或者直接将笔记本电脑插入公司网络。有时,我们在远程工作时需要特殊的网络访问权限,无论是通过VPN还是使用众多远程连接工具中的一种。 但众所周知,我们现在正处于后新冠肺炎时代的“新常态”,许多人的大部分工作都是在家里完成的。Check P......
哈哈-Y瓜卡摩尔!修复Apache远程桌面中的严重漏洞
Hole-y Guacamole! Fixing critical vulnerabilities in Apache's remote desktop(blog.checkpoint.com)
2020-7-3 1:59
就在短短几个月前,对于我们中的大多数人来说,日常工作包括去办公室操作公司的计算机,或者直接将笔记本电脑插入公司网络。有时,我们在远程工作时需要特殊的网络访问权限,无论是通过VPN还是使用众多远程连接工具中的一种。 但众所周知,我们现在正处于后新冠肺炎时代的“新常态”,许多人的大部分工作都是在家里完成的。Check P......
互联网太不安全了:我们需要更多的黑客
The Internet is too unsafe: We need more hackers(medium.com)
2020-6-28 21:21
不久前,我在一个拥有数百万用户的网站上偶然发现了一个漏洞。 问题是,我不是黑客。远非如此--我从来没有试图黑过任何东西。 我像往常一样浏览网站,意识到它有一个潜在的漏洞。然后我就害怕了,真的很害怕。 所以我做了你应该做的-我报告了。四次。 问题是:他们没有负责任的披露政策。这意味着我没有正式的方式向团队通报这一问题,......
Genode-一种构建安全操作系统的框架
Genode – A framework for building secure OSS(en.wikipedia.org)
2020-6-28 15:31
跳转到导航跳转到搜索Genode[4][5][6]是一个免费的开源操作系统框架,由一个微内核抽象层和一组用户空间组件组成。值得注意的是,该框架是为数不多的不是从专有操作系统(如Unix)派生而来的开源操作系统之一。其特征设计理念是,在面向安全的操作系统中,小型可信计算基础是首要考虑的问题。 Genode可以用作台式机......
因担心COVID而呆在家里的特斯拉工厂工人面临解雇
Tesla factory workers who stayed home due to COVID fears face termination(arstechnica.com)
2020-6-26 19:44
两名员工卡洛斯·加布里埃尔(Carlos Gabriel)和杰西卡·纳罗(Jessica Naro)表示,他们上周收到了特斯拉的解雇通知,此前他们为了避免冠状病毒而休了无薪假期。“圣何塞水星新闻”上周最先报道了加布里埃尔的解约通知。 这两名员工都表示,特斯拉人力资源部本周联系了他们。如果纳罗承诺一个回归日期,她就有机......
松林亚特兰大制片厂准备重启影视制作概述安全措施
Pinewood Atlanta Studios outlines safety measures as it prepares to restart movie and TV production (techcrunch.com)
2020-6-25 21:48
当然,由于新冠肺炎的大流行,这一切都停止了。在那之后的几个月里,行业团体-包括一个由来自多个好莱坞工会和工会的成员组成的特别工作组-一直在制定如何安全恢复生产的指导方针,从用餐时间(应该错开,食物应该分开包装)到人群场景(应该尽量减少),都有建议。 帕特森说,他一直在与工会和制片厂合作,以解决亚特兰大松林重新开业的问......
“安全心理学”(2008)
The Psychology of Security (2008)(www.schneier.com)
2020-6-18 18:59
安全的现实是数学的,基于不同风险的概率和不同对策的有效性。我们可以根据你居住的街区的犯罪率和你的锁门习惯等因素来计算你的家免受入室盗窃的安全程度。我们可以计算出你被谋杀的可能性有多大,无论是在街上被陌生人谋杀,还是在你家里被家人谋杀。或者你成为身份盗用的受害者的可能性有多大。考虑到关于犯罪行为的足够多的统计数据,保险......
当安全性退居次要地位而不是工作效率时
When Security Takes a Backseat to Productivity(krebsonsecurity.com)
2020-6-18 7:53
“如果我们要做出必要的革命性改变,我们必须像关心系统运行一样关心我们系统的安全。”--中情局维基解密特别工作组(Wikileaks Task Force)。 美国中央情报局(US Central Intelligence Agency)在2016年发生大规模数据泄露事件后发布的一份报告的关键部分到此为止,这起事件导致......
前eBay安全总监因用蟑螂骚扰记者被捕
Former eBay security director arrested for harassing journalist with cockroaches(www.theverge.com)
2020-6-16 3:7
六名前eBay员工被控对一份电子商务时事通讯进行离奇的跟踪活动。司法部声称,詹姆斯·鲍尔、大卫·哈维尔、斯蒂芬妮·波普、布莱恩·吉尔伯特、斯蒂芬妮·斯托克韦尔和维罗妮卡·泽亚恶意骚扰了这对因eBay负面报道而发表时事通讯的夫妇--向他们发送在线威胁和辱骂,邮寄活昆虫和一个“血淋淋的猪脸”面具,并驱车前往马萨诸塞州的家......
使用ACPI SSDT注入绕过Ubuntu 18.04上的内核锁定/UEFI安全引导
Bypass kernel lockdown/UEFI secure boot on Ubuntu 18.04 with ACPI SSDT injection(git.zx2c4.com)
2020-6-15 16:11
blob:4822f881ea2919a10c3e75018da51c41e38ef07d(普通)#!/bin/bash#美国未签名语言#=#by zx2c4,2020-06-13##此漏洞利用efivar_ssdt入口点将#ACPI表插入到Ubuntu Bio中。其结果是,用户可以随后将#未签名内核驱动程序加载到启......
匿名、安全、现代、开源的WebRTC群组视频聊天和BG模糊
Anonymous, secure, modern, open source WebRTC group video chat and bg blur(brie.fi)
2020-6-15 13:48
简报-开始安全的匿名视频聊天
Flatpak--安全噩梦
Flatpak – A Security Nightmare(flatkill.org)
2020-6-15 6:40
RedHat的Flat-pak最近得到了很多关注,它自称是在Linux上分发桌面应用程序的新方式。他们说这是安全的..。 flathub上几乎所有流行的应用程序都附带FILESYSTEM=HOST、FILESYSTEM=HOME或DEVICE=ALL权限,即对用户主目录(以及更多)的写入权限,这实际上意味着逃离沙盒所......
芯片安全经济学的根本性变革
Fundamental Changes in Economics of Chip Security(semiengineering.com)
2020-6-15 5:26
保护芯片免受网络攻击正变得越来越困难,成本越来越高,资源也越来越密集,但随着其中一些芯片最终进入任务关键型服务器和汽车等安全关键型应用程序,保护芯片也变得越来越有必要。 尽管安全技术的进展参差不齐,应用也不一致,但至少在过去几年里,安全一直在半导体行业的雷达上。然而,由于安全背后的经济变化,这种情况正在开始好转。虽然......
从超安全SGX掠夺密钥让英特尔再次陷入混乱
Plundering of crypto keys from ultrasecure SGX sends Intel scrambling again(arstechnica.com)
2020-6-10 4:7
在过去的两年里,现代CPU-特别是那些由英特尔制造的CPU-一直受到一系列无休止的攻击,这些攻击使得高技能的攻击者有可能从硅片驻留的存储器中窃取密码、加密密钥和其他秘密。周二,两个不同的学术团队披露了两个新的、独特的漏洞,它们穿透了英特尔的软件保护扩展,这是迄今为止该公司处理器中最敏感的区域。 缩写为SGX的保护旨在......
5.7内核已推出
The 5.7 kernel is out(lwn.net)
2020-6-1 11:16
Linus已经如期发布了5.7内核。5.7中的主要特性包括86拆分锁检测、热压管理、加载跟踪代码中的频率不变性、BPF和实时抢占的共存、对BPF安全钩子程序(以前称为KRSI安全模块)的支持、微软支持的新exFAT文件系统实现,以及更多。最后要合并的补丁打破了内核源代码80列的长期限制。有关更多详细信息,请参阅Ker......
Linux安全强化和其他调整
Linux Security Hardening and Other Tweaks(vez.mrsk.me)
2020-5-30 0:16
下面是一些需要考虑的sysctl设置。#/etc/sysctl.d/99-sysctl.conf#防止自动加载行规程#https://lore.kernel.org/patchwork/patch/1034150dev.tty.ldisc_autoload=0#对FIFO、硬链接、常规文件和符号链接的额外保护#htt......
云安全从首要原则开始
Cloud Security from First Principles(franklyspeaking.substack.com)
2020-5-28 0:41
如果你被转发了这份时事通讯,你可以在这里订阅,也可以在这里查看旧的时事通讯。 希望大家都有一个愉快的阵亡将士纪念日周末!我几乎忘了这件事,直到我意识到我的日历是空的。 在其他新闻方面,尽管被隔离了,但我正在尽力结识新的人(当然是通过Zoom),谈论安全、AI/ML和devops。欢迎提出建议!他们不需要在创业公司工作......
铬项目发现70%的安全缺陷是内存安全问题
Chromium project finds that 70% of security defects are memory safety problems(www.chromium.org)
2020-5-24 12:26
Chromium项目发现,大约70%的严重安全漏洞是内存安全问题。我们的下一个重大项目是从源头上防止此类错误。 大约70%的严重安全错误是内存不安全问题(即C/C++指针错误)。其中一半是免费后使用的漏洞。 (基于自2015年以来影响稳定渠道的912个高或严重严重安全漏洞进行分析。)。 这些错误均匀地分布在我们的代码......
随着高速公路交通量的下降,鲁莽的司机是否还在增加高速公路的死亡人数?
With Highway Traffic Down, Are Reckless Drivers Still Increasing Highway Fatalities?(abcnews.go.com)
2020-5-24 11:41
呆在家里的命令让更多的人远离道路,但全国各地的警察报告说,鲁莽驾驶的情况有所上升。 在康涅狄格州,与去年相比,交通减少了一半,但致命的机动车事故增加了约40%。 康涅狄格州警察若瑟·多雷卢斯告诉美国广播公司新闻记者吉奥·贝尼特斯,我们重新发现,随着道路开放,某些人正以此为契机,将自己的车辆推向极限。 多雷卢斯说,在冠......
Chrome:70%的安全错误都是内存安全问题
Chrome: 70% of all security bugs are memory safety issues(www.zdnet.com)
2020-5-24 4:59
谷歌工程师本周表示,Chrome代码库中约70%的严重安全漏洞是内存管理和安全漏洞。 70%的漏洞中有一半是释放后使用漏洞,这类安全问题源于对内存指针(地址)的错误管理,为攻击者攻击Chrome的内部组件敞开了大门。 这一百分比是在谷歌工程师分析了自2015年以来在Chrome稳定分支中修复的912个安全漏洞后得出的......
ScoutSuite:多云安全审计工具
ScoutSuite: Multi-cloud security auditing tool(github.com)
2020-5-22 3:13
Scout Suite是一款开源的多云安全审计工具,可实现云环境的安全状态评估。Scout Suite使用云提供商提供的API收集配置数据进行手动检查,并突出显示风险区域。Scout Suite不需要在网络控制台上浏览几十个页面,而是自动呈现攻击面的清晰视图。 Scout Suite是由安全顾问/审计师设计的。它的目......
Google Cloud赢得Anthos多云管理工具国防合同
Google Cloud earns defense contract win for Anthos multi-cloud management tool(techcrunch.com)
2020-5-21 5:41
虽然该公司不愿透露具体数字,但新合同涉及使用Anthos,该公司去年宣布使用该工具来保护DIU的多云环境。尽管绝地合同只涉及一家供应商,但国防部一直使用来自所有三大云供应商-亚马逊、微软和谷歌-的解决方案,根据该公司的说法,这个解决方案将提供一种在所有三种环境中监控安全的方式。 “多云是未来。Google Cloud......
开源分析核对表
Open Source Analysis Checklist(medium.com)
2020-5-19 22:38
市场对软件产品需求的增加正在迅速改变软件开发的性质。大多数团队不再从头开始编写所有代码,而是依赖开源组件来缩短开发周期。 但是,使用开放源码组件会增加使用过时库和引入安全漏洞的风险,这两种情况都会对组织和其他最终用户造成破坏性影响。此外,开源用户很容易违反许可要求,这反过来又会危及知识产权。简而言之,与不加控制地使用......
专家警告称,在线投票的风险掩盖了好处
Risks Overshadow Benefits with Online Voting, Experts Warn(www.govtech.com)
2020-5-19 14:53
政府官员对冠状病毒如何可能在2020年总统选举期间减少选民投票率表达了越来越多的担忧。 作为部分解决方案,少数几个州已经转向互联网投票试点计划:新泽西州、特拉华州和西弗吉尼亚州最近都启动了试点,其中大部分试点范围有限,主要集中在减轻残疾选民和海外选民的障碍。 然而,计算机科学界-长期以来一直批评互联网投票-认为这些程......
量子安全与三星Galaxy合作
Quantum Security Goes Live With Samsung Galaxy(threatpost.com)
2020-5-19 2:56
三星和韩国电信巨头SK电信首次亮相Galaxy A Quantum 5G智能手机,搭载量子随机数生成(RNG)芯片组。这是移动电话量子技术的首次商业化,它将成为全量子加密成为主流机会的重要风向标。 量子加密通常被吹捧为“不可破解的”,因为它通过无法拦截、窃听或欺骗的粒子生成无法预测的随机数字和安全密钥。该理论认为,正......
简介:按密度安全
Introducing: Safe by Density(www.density.io)
2020-5-15 3:23
SAFE旨在帮助您更快地重新开放建筑物,并在不侵犯隐私的情况下保护您的团队、员工和访客的安全。SAFE有三个关键功能-显示、分析和警报。 如果您是现有的Density客户,则此升级是免费的。如果您是新客户,请发送电子邮件至[email protected]开始。 设置任何房间、楼层或建筑物的最大容量,保险箱将自动确定是否......
SafeBoot:安全引导Linux
Safeboot: Booting Linux Safely(safeboot.dev)
2020-5-12 22:0
仅引导系统所有者授权的代码(通过为内核和initrd安装硬件保护的平台密钥)。 简化加密磁盘引导过程(通过将密钥存储在TPM中,并且仅在固件和配置未修改时才将其解封)。 减少受攻击面(通过启用Linux内核功能来启用硬件保护功能并取消root帐户的特权)。 保护运行时系统完整性(通过使用dmverity和签名根散列从......