Feed cleverhans-blog [copy] http://www.cleverhans.io/feed.xml has loading error: cURL error 22: The requested URL returned error: 404
Утечка приватных клиентских ключей в OpenSSH
В OpenSSH версий с 5.4 по 7.1 обнаружилась дыра, позволяющая серверам утаскивать приватные ключи у клиентов. MITM здесь не работает, атака может производиться только с поддельных или хакнутых ssh-серверов.
Рекомендуется апгрейд до версии 7.1p2, либо добавление опции 'UseRoaming no' в глобальный ssh_config или в личный ~/.ssh/config, либо -oUseRoaming=no в командной строке.
http://www.openssh.com/txt/release-7.1p2
Утекай: как минимизировать негативные последствия утечки информации (ч.1)
«Все американские компании делятся на две категории: те, у которых были инциденты ИБ, и те, кто просто об этом еще не догадывается» Джеймс Коми, директор ФБР
В 2013 году у 43% всех компаний США хотя бы раз случалась утечка информации. Симптоматично, что по данным InfoWatch за тот же период, Россия занимает вторую строчку в глобальном рейтинге утечек - как раз после Штатов.
Эксперты знают, что 100% безопасности не существует и инциденты случаются даже в тех компаниях, где вопросам ИБ уделяется самое пристальное внимание. Утечка данных – это не вопрос о том «как?», это вопрос о том «когда?». Поэтому в этот раз...
0-day in GRUB2
Originally posted by malaya_zemlya at 0-day in GRUB2Если кто не видел - в популярном загрузчике Grub2 обнаружена уязвимость, позволяющая обходить защиту паролем, и дающая полный доступ к шеллу.
Эксплоит: вместо введения пароля нажать на Backspace ровно 28 раз, а потом Enter
Нет, это не секретный бекдор и не шутка девелоперов. Тут произошло нечто потрясающее. Постараюсь передать вкратце (если кому интересны все детали, то смотрите линк).
Если вместо ввода пароля нажимать на Backspace, то из-за пропущенной проверки программа заезжает за пределы буфера и начинает затирать нулями память с отрицательным смещением. Бывает.
В результате затирается стек, включая адрес возврата из текущей функции. Ок....
Нет здоровых ИТ-систем, есть недообследованные
Компания InfoWatch, как вы знаете, разрабатывает решение для обнаружения таргетированных атак — InfoWatch Targeted Attack Detector. Спешим поделиться некоторыми результатами работы решения на боевых проектах за последние 6 месяцев.
В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.
За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать...
Поверьте машинам – это выгодно
Беспилотные автомобили, созданные Google, за шесть лет прошли более 2,7 миллиона километров. По статистике компании, за все время эксплуатации ее машины лишь 14 раз попали в аварию. В последний раз в самоуправляемый автомобиль въехала сзади машина под управлением человека.
Казалось бы, причем тут безопасность? А вот причем: антивирусы, положившие начало направлению информационной безопасности, были полностью независимы от действий человека. Этакий домашний скайнет, который сам решает, какой файл заблокировать, какой поместить в карантин. Участие человека в работе антивирусных продуктов было минимальным. Ответственность за ошибки также ложилась на «искусственный интеллект».
Однако после антивирусных программ разработчики систем защиты пошли по пути все большего привлечения человека....
end-of-encryption
Наконец то, чего мы все с таким большим нетерпением ожидали наступит ещё при нашей жизни (нет, не коммунизм)- вчера на туманном альбионе началось рассмотрение закона, который запретит шифроваться от государства, т.е. всем гуглам и эпплам ключи надо будет сдать в KGB.
Естесттвенно, не манипулирования сознанием добропорядочных граждан ради, а борьбы с террористами для.
Можно ли резать косты на ИБ в кризис?
На безопасности лучше не экономить
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
Взято отсюда
Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так...
«Безопаснику» на заметку: как сделать босса своим союзником?
Тяжела и неказиста (с) доля высокого начальства. Не каждый топ-менеджер или владелец бизнеса (в данном случае без разницы, потому синонимы), является «мастером на все руки». Для управленцев даже особый вид финансовой отчетности придумали, чтобы не вникать принимать решения по готовым шаблонам на основе агрегированных, специальным образом преобразованных данных.
То же с защитой информации. Владелец бизнеса воспринимает «безопасника» как помесь страхового агента и пожарного. Агент продает страх и постоянно требует денег, пожарный прибегает по первому зову и «решает вопросы» с мошенниками и прочими нарушителями внутреннего распорядка. Человек-функция, который неведомо каким способом «делает хорошо», занимается непонятно чем и недешево обходится.
Причина такого отношения проста...
leaving sony.
New year, new lifestyle. After nearly 9 years at Sony Computer Entertainment Europe across both R&D and World Wide Studios, I’m leaving for pastures new and exciting.
This marks major a shift in career for me. By leaving SCEE I’ll effectively be leaving the games industry that I’ve worked in since leaving university in 2001, and instead doing something that probably makes perfect sense for a demo coder by moving into visual arts / stage / events / entertainment: I’ll be working with United Visual Artists developing D3. A great bunch of people working at the very top of the...
direct to video
Typo-Protected Public Keys
Typo-Protected Public Keys
This is an imported news item from the old Drupal GNUnet homepage.
When users type in public keys (such as the 53-characters of a GNS zone), they might make typos. The usual way to fix typos is to add a checksum, further increasing the length of the sequence that has to be typed in.
We can fix this by including the checksum of the public key in the public key itself, simply by trying new private keys until the corresponding public key...