#安全

当你飞时,你是多么安全的Covid?
How Safe AreYou from Covid When You Fly?(www.nytimes.com)
2021-4-18 20:54
每天更多的人都在飞行,因为Covid限制缓解和接种疫苗加速。但危险的变种导致了新的爆发,提高了对大流行致命延长的恐惧。要了解现在飞行的安全程度,请从飞机中流动的方式开始。 在大多数单通道型号中,您不断呼吸新鲜和再循环空气的混合物。 在这架飞机上,空气从天花板管道中吹入,并通过楼层附近的通风口吸出来。被吸出的空......
Solarwinds Hacking Campaign将微软在热门座位上
SolarWinds hacking campaign puts Microsoft in hot seat(apnews.com)
2021-4-18 18:10
波士顿(AP) - 庞大的黑客运动被视为对美国国家安全的严重威胁被称为SolarWinds,该公司被俄罗斯智能代理用恶意软件播种的软件更新,以穿透敏感的政府和专用网络。 然而,微软的代码网络间谍在广告系列的第二阶段持续受到滥用,通过电子邮件和其他高价值目标的其他档案,如此作为当时的国土安全首席乍得狼,并在受害网络中......
赌场通过鱼缸温度计进行黑客攻击
A Casino Gets Hacked Through a Fish-Tank Thermometer(www.entrepreneur.com)
2021-4-17 8:35
保护你的。保护您的智能手机。保护你的平板电脑。并且,在我忘记之前,请固定鱼缸。是的,你听到了我。你的鱼缸。 这是几年前从北美赌场的运营商汲取的教训。根据2018年的商业内幕报告,安全公司Darktrace of Security Curime eAgangang adiontrace在解决会议时告诉故事。 “攻击......
企业安全攻击者是远离最糟糕的一天的一个密码
Enterprise security attackers are one password away from your worst day (techcrunch.com)
2021-4-17 1:22
Ralph Pisani是Exabeam的总裁,在Imperva和Securecomputing这样的组织中拥有20年的销售和渠道和业务发展经验(由McAfee收购)。 犯罪分子继续以高度复杂的攻击方法创新,但许多安全组织仍然使用与10年前相同的技术方法。世界已经改变,但网络安全并没有保持步伐。 随着人物和数据......
IOT安全认证机身安全事物联盟联盟向VPN应用推出新标准,Google One VPN首次认证
IoT security certification body Internet of Secure Things Alliance launches a new standard for VPN apps, with Google One VPN one of the first to be certified(www.zdnet.com)
2021-4-17 0:31
安全事物联盟(A.K.A.Ioxt)的安全事物联盟联盟互联网推出了移动应用程序和VPN的新安全认证。 新的IOXT合规计划包括A'移动应用程序简介' - 一组安全相关的标准,可以通过哪些应用程序认证。配置文件或移动应用程序评估包括虚拟专用网络(VPN)应用程序的其他要求。 谷歌和亚马逊曾在......
安全研究员在Twitter上删除Chrome和Edge Exploit
Security Researcher Drops Chrome and Edge Exploit on Twitter(therecord.media)
2021-4-14 1:34
今天的印度安全研究员今天发表了概念验证,用于最近发现的漏洞影响谷歌Chrome,Microsoft Edge和其他基于铬的浏览器,如歌剧和勇敢的浏览器。 研究员Rajvardhan Agarwal今天告诉了历史记录,利用代码是在上周举行的PWN2WOREWACKING比赛中使用的铬错误。 在比赛期间,安全研究员B......
C C中的类型安全通用数据结构
Type-safe generic data structures in C(iafisher.com)
2021-4-8 21:5
新一代低级编程语言的崛起,如Rust,Go和Zig导致了C及其原始类型系统陷入了一些荒唐。尽管如此,具有足够的创造力,可以在C中实现令人惊讶的复杂结果。一个这样的结果是通用数据结构。这篇帖子评论用于在C中实现通用数据结构的两种技术:不用利地使用原始内存和指针投射,并安全地使用通过宏生成代码。 1 我们将实现的......
波兰博客在UseCrypt Messenger揭示安全问题后起诉
Polish blogger sued after revealing security issue in UseCrypt messenger(therecord.media)
2021-4-8 17:36
UseCrypt Messenger加密的公司上个月担任诉讼,针对波兰安全研究员发布了一篇公开了应用程序的用户邀请机制中漏洞的文章的诉讼。 诉讼目标TomaszZieliński是InformatykZakładowy的编辑,致力于IT主题的波兰语博客,并谴责20世纪20年10月发布的网站文章之一。 本文介绍了Z......
重新定义威胁建模:安全团队正在度假
Redefining Threat Modeling: Security team goes on vacation(segment.com)
2021-4-7 23:47
这是温哥华的冷酷而黑暗的日期;另一名员工安全工程师和我是开发人员LED威胁建模会话的一部分。我们找不到开发人员领导的团队的一个额外的安全问题。领导该项目的开发商考虑了所有选择! 当会议结束时,工作人员安全工程师问:“我们做了什么?我们甚至有什么目的?“我们开玩笑说失去了我们的工作,但我们知道这是一个最好的问题! ......
工程师安全培训
Security Training for Engineers(sudo.pagerduty.com)
2021-4-4 3:0
欢迎"为工程师&#34的安全培训;这个谈话专门针对工程师,并且比上一个训练更具技术性。如果你'虽然不是工程师,但不要担心,你'重新欢迎留下来。虽然主题将是技术性的,但无论您的技能水平如何,它都应该是信息性的,无论您是何处才能入门,还是拥有多年经验的经验丰富的工程师。 对于那些没有遇见我的人,......
如何在Bash中安全地做事
How to do things safely in Bash(github.com)
2021-4-4 1:17
永久性链接,如C或驾驶汽车,当代壳牌语言需要一些知识和纪律来安全使用,但不是说它可以' t完成。 Shellharden建议,并且可以应用,以删除壳牌中的脆性。这符合Shellcheck和Bashpitfalls - Shellharden不同意这些。 问题是,并非所有脚本都将只是删除他们的脆性,......
朝鲜黑客现在使用假安安全公司来定位研究人员
North Korean hackers are now using a fake security company to target researchers(siliconangle.com)
2021-4-2 19:22
谷歌LLC威胁分析小组的研究人员警告说,今年早些时候针对安全研究人员的同一个朝鲜黑客现在已经为一个名为“Securielite”的假公司建立了一个新的网站和假社交媒体档案。 在1月份的初始报告中,谷歌研究人员警告说,朝鲜高级持久威胁小组专门针对各种公司和组织的漏洞研究和开发的安全研究人员。 该活动涉及韩国黑客建立......
英国可能会强迫Facebook服务,以允许后门警察访问
UK may force Facebook services to allow backdoor police access(www.theguardian.com)
2021-4-2 5:27
部长正在考虑强迫Facebook实施后门,允许安全机构和警方阅读其信使,WhatsApp和Instagram聊天服务中发送的消息内容。 行业消息人士称他们明白家庭办公室威胁要使用称为技术能力通知的特殊法律权力来强迫Facebook开发系统,以便允许窃听消息。 公开权利小组是一个隐私看门狗表示,它担心追溯到努力的......
新的克莱斯的安全移动友好网站
New KrebsOnSecurity Mobile-Friendly Site(krebsonsecurity.com)
2021-4-2 4:40
亲爱的读者,这已经姗姗来迟了,但最后我给你一个更响应的移动友好版本的克鲁斯的安全。 我们试图将视觉变化保持为最小,并专注于一个简单的主题,以简单,易于读取的格式提供信息。 在接下来的几天里,我们会忍受我们的齿轮灰色。 我们正在射击响应(快速)和整洁的。 希望我们实现了这一点,这种新设计将在您用来查看它的任何设备中呈......
将Cisos带入C-Suite以烘焙网络安全进入公司文化
Bring CISOs into the C-suite to bake cybersecurity into company culture (techcrunch.com)
2021-4-2 3:59
但信息时代正在震动C-Suite的组成。网络市场正在爆炸,试图确保现代企业:多箱环境,生成和存储的数据比任何人都可以跟上和SaaS应用程序几乎可以在ORG上供电,除了与...一致的新类型的安全姿势那个趋势。但是,无论司机是什么,这一切都增加了网络策略和公司策略密不可分地联系起来的事实。因此,C-Suite中的首席信息......
朝鲜黑客返回,针对新操作的Infosec研究人员
North Korean hackers return, target infosec researchers in new operation(arstechnica.com)
2021-4-1 20:45
1月份,谷歌和微软突出了他们所说的是朝鲜政府赞助的黑客定位安全研究人员。黑客使用假的Twitter配置文件 - 据称属于漏洞研究人员 - 在释放Internet Explorer零日和恶意Visual Studio项目之前,这两个安装了自定义恶意软件。 现在,谷歌研究员周三表示,这次同一黑客回来了,这次是一批新的社......
关于广告系列的更新目标安全研究人员
Update on campaign targeting security researchers(blog.google)
2021-4-1 20:5
1月份,威胁分析小组记录了一个黑客活动,我们能够归于朝鲜政府支持的实体,针对安全研究人员。 3月17日,这些袭击背后的相同的演员将一个新的网站与名为“Securielite”的假公司的相关社交媒体档案建立了一个新的网站。 新网站声称该公司是一家位于土耳其的进攻安全公司,提供了Pentests,软件安全评估和漏洞利......
掉落散列(2020)
Dropping Hashes (2020)(www.kalzumeus.com)
2021-3-30 0:15
存在称为“丢弃的哈希”的成语,在安全社区中广泛理解,并且在其他地方没有广泛理解。有点令人惊讶的是,似乎没有一个规范解释。我之前有哈希,并写了这一点,向非专家解释它的重要性。 这种解释假定熟悉加密,散列或安全研究的社会学。它被编写的专业人士广泛易懂,包括非技术人员。 如果您是持怀疑态度,您可以使用任何专业安全研究员......
开源安全基金会
Open Source Security Foundation(openssf.org)
2021-3-28 23:38
openssf是一种跨行业合作,汇集领导人通过建立更广泛的社区,有针对性的举措和最佳实践来提高开源软件(OSS)的安全性 OpenSSF在一个基础下汇集了开源安全举措,以加速跨行业支持。这是从核心基础设施计划和开源安全联盟开始的,并将包括地址漏洞泄露,安全性工具等的新工作组。 可能有点一点,但首先我们需要对我们一......
追求幸福(2020年)
The Pursuit of Appiness (2020)(infrequently.org)
2021-3-27 12:36
TL; DR:APP商店存在,以提供适量的且易受滥用的本机应用程序平台的安全性。当更好的答案Weren'可用时,出版前盖茨是有价值的,但评论员应该更新他们的前锋,以考虑过去13年的硬件和软件进度。为不同的时代而建造的政策今天是有道理的,我们不再需要以安全名称接受扫描限制。防止浏览器创新是亲用户的想法特别是可戏......
NHTSA说,Tesla的新触摸屏驱动选择器不会违反规则
Tesla’s new touchscreen drive selector doesn’t violate the rules, NHTSA says(www.theverge.com)
2021-3-27 3:14
Tesla决定从方向盘上取下齿轮选择器茎并自动化公园,反向,中性和驱动器(PRND)不会违反任何联邦机动车规则,这是国家公路交通安全机构告诉边缘的发言人。 通过触摸屏选择的档位是备份,而Tesla仍然可以自动化该过程。本周早些时候在Tesla模型S和X的刷新版本中提供的新触摸屏界面的视频,在使用触摸屏的安全性以控制......
openssl安全咨询
OpenSSL Security Advisory(www.openssl.org)
2021-3-26 20:6
openssl安全咨询[3月25日2021] ========================================= CA证书检查旁路带X509_V_FLAG_X509_STRICT(CVE-2021-3450)====================================== ========......
SafiNINT,一个C ++类库安全地管理整数溢出
SafeInt, a C++ class library to safely manage integer overflows(github.com)
2021-3-24 2:30
现在更新以保持类的整个历史记录,它从首次被检查到CodePlex中。 2018年3月 - 添加了对CONDEXPR的支持,也强制执行COSTEMETS --STD = C ++ 11或--STD = C ++ 14has用于GCC或CLANG,最小Visual Studio Compiler版本TBD。 注意 -......
ORCA安全在独角兽估价中提高了210米系列C.
Orca Security raises $210M Series C at a unicorn valuation (techcrunch.com)
2021-3-23 20:7
如果所有这些声音都熟悉,这可能是因为ORCA在12月份宣布了5月份宣布其2050万美元系列的一轮之后,仅提高了5500万美元的B系列。这是一段时间内很多资金回合,但我们在去年左右的经常看到的事情。 正如orca联合创始人兼首席执行官Avi Shua告诉我,该公司正在看到令人印象深刻的增长和IT - 它的投资者......
NSA在零信任安全模型上发出指导
NSA Issues Guidance on Zero Trust Security Model(www.nsa.gov)
2021-3-23 12:0
打印 | 电子邮件全国安全局于周四发布了一个网络安全产品,“拥有零信任安全模型”。本产品显示部署零信任安全原理如何更好地定位网络安全专业人员来保护企业网络和敏感数据。为了为NSA的客户提供对零信任的基础知识,本产品讨论其利益以及潜在的挑战,并提出在其网络内实施零信任的建议。 零信任模型通过假设违规是不可避免......
通过侵蚀第230节,民主党参议员的安全技术法案风险沉默边缘化社区,将使互联网对性工作者保持安全
By eroding Section 230, Democratic senators' SAFE TECH Act risks silencing marginalized communities and will make the internet less safe for sex workers(onezero.medium.com)
2021-3-22 23:49
立法者应该在急于改变第230节之前,倾听最受影响的社区 这款OP-ED由旧金山性交民主俱乐部通信副总裁Cathy Reisenwitz撰写。她定期写在性别和国家,一份关于权力的时事通讯。在Facebook,Twitter,Instagram和唯一的广告上连接凯茜。 大科技的随意内容适度和滥用个人数据创造了真正的......
'Frankencloud'模型是我们最大的安全风险
The ‘Frankencloud’ model is our biggest security risk (techcrunch.com)
2021-3-22 22:47
霍华德·博维尔是IBM杂交云的高级副总裁。他将IBM的全球网络在19个国家和18个可用区域跨越60多个云数据中心。 辩论不应该围绕哪种云方法更安全,而是我们需要设计安全性的。我们 - 企业技术提供商 - 应该在现代系统工作的方式方面设计安全,而不是将客户汇贴到另一个计算模型。 Solarwinds攻击是成功......
FLOTPAK - 安全噩梦 - 2年后
Flatpak – a security nightmare – 2 years later(flatkill.org)
2021-3-21 16:20
大多数应用程序都可以完全访问主机系统,但用户误导了相信应用程序是沙箱 几乎所有流行的应用程序在flathub上仍然带有filesystem = host或filesystem = home权限,换句话说,写入访问用户主目录(和更多)所以所有它需要逃脱沙箱是琐事echo下载_and_execute_evil&gt......
BPF遇到IO_uration.
BPF Meets Io_uring(lwn.net)
2021-3-20 8:58
只要验证者的输出为"这是安全的,这是安全的。或者"我不知道这是否是安全的,所以我赢了' t让你运行它",无论"安全"你要。在微不足道的情况下,验证者可以发出"唐' t知道"对于每个程序。诀窍是在挑选"安全",然后使可证实的安全子集......
启动,在早期2021年之前获取您的Bug Bounty Crash课程
Startups, get your bug bounty crash course at Early Stage 2021 (techcrunch.com)
2021-3-18 23:38
安全错误是在线世界的不可避免的后果,但公司如何接收和回应黑客可以制作或打破它们。对它进行对,您可以通过安全和黑客社区建立债券,并通过在恶意演员做之前修复缺陷来提高您的安全性。弄错 - 好吧,你可以想象剩下的。 这就是为什么我们很激动,即凯蒂·穆斯梅里斯,创始人和行政长官在Luta Security,将在TC早期20......