#HotTake: Wer "#KI" im #Recruiting einsetzt gehört mit #Berufsverbot wegen mangelnder #Berufsethik belegt!
Recherches récentes
Options de recherche
#itsec
0 message0 participant0 message aujourd’hui
A répondu dans un fil de discussion
@heiseonline Sich von US Diensten abhängig zu machen ist keine gute Idee. Und auch eine physische Isolation schützt nicht davor keine Patches mehr zu bekommen. Dieses Vorgehen ist naiv.
Eine Sicherheitsrelevante Komponente ohne Sicherheitspatches ist mit Sicherheit Unsicherheit.
Suite du fil
»184 Millionen Logins im Klartext: Der mysteriöse Datenfund, der selbst Profis schockiert:
Ein Leak dieser Größenordnung ist ungewöhnlich. Noch ungewöhnlicher – und für Expert:innen wirklich alarmierend – ist die rätselhafte Herkunft dieses „Traums eines jeden Cyberkriminellen“.«
Dies zeigt doch mal wieder, dass vielen IT & Internet Konzerne die Privatsphäre so wie Sicherheit nicht interessiert aber ver-sprechen.
https://t3n.de/news/datenleck-184-millionen-logins-passwoerter-im-netz-1689398/
t3n Magazin · 184 Millionen Logins im Klartext: Der mysteriöse Datenfund, der selbst Profis schockiert - t3n – digital pioneersEin Leak dieser Größenordnung ist ungewöhnlich. Noch ungewöhnlicher – und für Expert:innen wirklich alarmierend – ist die rätselhafte Herkunft dieses „Traums eines jeden Cyberkriminellen“. Einem Sicherheitsforscher ist ein potenziell verheerender Fund gelungen. In einer frei zugänglichen Datenbank entdeckte er 184.162.718 Datensätze mit vollständigen Anmeldeinformationen, wie Benutzernamen, E-Mail-Adressen und Passwörtern im Klartext. Der Entdecker, IT-Sicherheitsforscher Jeremiah […]
The cryptography behind passkeys
https://blog.trailofbits.com/2025/05/14/the-cryptography-behind-passkeys/
The Trail of Bits Blog · The cryptography behind passkeysThis post will examine the cryptography behind passkeys, the guarantees they do or do not give, and interesting cryptographic things you can do with them, such as generating cryptographic keys and storing certificates.
BitLocker Encryption Bypassed in Minutes Using Bitpixie Vulnerability
A critical vulnerability in Microsoft’s BitLocker full disk encryption, demonstrating that it can be bypassed in under five minutes using a software-only attack dubbed “Bitpixie”
https://cybersecuritynews.com/bitlocker-encryption-bypassed/
Cyber Security News · BitLocker Encryption Bypassed in Minutes Using Bitpixie Vulnerability: PoC ReleasedA critical vulnerability in Microsoft’s BitLocker full disk encryption, demonstrating that it can be bypassed in under five minutes using a software-only attack dubbed "Bitpixie" (CVE-2023-21563).
Insight: Rogue communication devices found in #Chinese #solar power inverters
Using the rogue communication devices to skirt firewalls and switch off inverters remotely, or change their settings, could destabilise #powergrids, damage #energy infrastructure, and trigger widespread #blackouts, experts said. "That effectively means there is a built-in way to physically destroy the grid," one of the people said.
https://www.reuters.com/sustainability/climate-energy/ghost-machine-rogue-communication-devices-found-chinese-inverters-2025-05-14/
#espionage #china #itsec #security
»Here's the source code for the unofficial @signalapp app used by Trump officials«
– from @micahflee
My goodness is this dilantic or a deliberate security weakening? In the code you do never write a fixed security code and even in the .env it is avoided. However, this is still implemented a lot of "professionals".
https://micahflee.com/heres-the-source-code-for-the-unofficial-signal-app-used-by-trump-officials/
micahflee · Here's the source code for the unofficial Signal app used by Trump officials💡Update May 4, 2025: I have published quite the follow-up story, if I may say so myself: The Signal Clone the Trump Admin Uses Was Hacked
Update May 6, 2025: I've written a new detailed analysis. The findings are based on the TM SGNL source code and are corroborated by
A répondu dans un fil de discussion
Was? Das ist noch eine Meldung wert? Sollte es ernsthaft noch denkende Menschen geben, die #Zyxel einsetzen?
www.pc-fluesterer.infozyxel | Suchergebnisse | pc-flüsterer bremen
I took an ITSec training today that gave "Thi5izmyP4ssWord!" as an example of a good password to use. I'm curious what people think of a password like this.
#ITSec #security #passwords
Wahnsinn. #opensource #linux #log4j #itsec #exploits
"I am no hero" Unfassbar gut, lieber @br_data ! #br #bayerischerrundfunk
Linkempfehlung ARD Audiothek
Die #US-Zoll- und Grenzschutzbehörde hat weitreichende Befugnisse, um alle Geräte von Reisenden bei der Ein- und Ausreise - unabhängig von deren Staatsangehörigkeit - zu durchforsten.
Es gibt zwei Arten von Durchsuchungen:
Eine einfache Durchsuchung kann ohne jeden Grund, völlig willkürlich oder aufgrund einer bloßen Vermutung über eine Person erfolgen - vielleicht aufgrund ihres Aussehens oder einer Antwort, die sie auf eine Frage gegeben hat. Bei einer einfachen Durchsuchung blättert ein Beamter durch die Fotos, E-Mails, Apps und Dateien der Geräte. Für diese Art der Durchsuchung ist kein Verdacht auf ein Fehlverhalten erforderlich.
Bei einer erweiterten Suche kann der Inhalt der Geräte zur Analyse kopiert werden. Dazu muss ein "begründeter Verdacht" auf einen Rechtsverstoß vorliegen, oder Bedenken hinsichtlich der nationalen Sicherheit bestehen. Ab hier müssen Geräte grundsätzlich als kompromittiert betrachtet werden.
Zu einer starken digitalen Sicherheit gehört daher, dass eine Verteidigung in der Tiefe praktiziert wird: Wenn eine Sicherheitsebene versagt, muss für den Fall der Fälle eine weitere Schutzschicht vorhanden sein. Auch fehlende Daten können eine solche Schutzschicht darstellen.
Wenn du in der nächsten Zeit planst, in die USA einzureisen, dann solltest du einige #ITSec Tipps wissen und einhalten.
Allgemeine Hygienetipps:
1. Aktiviere die Festplatten- bzw. Vollverschlüsselung der Geräte. Verwende starke Passwörter.
2. Verwende keine biometrischen Merkmale zur Entsperrung.
3. Lade dir alle Daten, die du auf den Geräte benötigst, offline herunter. Entferne alle vorhandenen Cloud-Anbindungen.
4. Logge dich nicht bei Accounts, Social Media, etc ein. Wenn du sie verwenden musst, nutze nur den Browser und logge dich nach der Nutzung explizit wieder aus. Lösche Apps, die du nicht benötigst.
5. Verwende PINs und Passwörter zum Öffnen von Apps, falls möglich.
6. Lösche alle Kontakte, die du nicht benötigst. Erstelle ein Backup der Kontakte und spiele es erst nach deiner Rückkehr wieder ein.
7. Lasse die Geräte vor Kontrollen ausgeschaltet.
Bei einer einfachen Durchsuchung:
8. Kooperiere sofort, wenn du bei einer Kontrolle zum Einschalten oder Entsperren des Geräts oder von Accounts aufgefordert wirst.
9. Gib bei einer Kontrolle nie dein Passwort heraus. Entsperre die Geräte nur selber. Wenn du zur Herausgabe eines Passworts gezwungen wurdest, ändere das Passwort sobald wie möglich.
Next Level für die erweiterte Suche:
10. Nutze Wegwerfgeräte. Das gilt für Smartphone, Tablets, Labtops, USB-Sticks, Festplatten, Speicherkarten, etc. Nimm dir nur leere oder frisch aufgesetzte Geräte mit minimaler Ausstattung mit. Betrachte die Geräte nach einer erweiterten Suche als kompromittiert und entsorge sie nach der Rückreise.
11. Besorge vor Ort, oder vor der Anreise eine neue SIM-Karte. Benutze keine bestehende SIM-Karte. Nimm keine vorhandene SIM-Karte mit. Betrachte SIM-Karten ab einer erweiterten Suche als kompromittiert und entsorge sie nach der Rückreise.
12. Lege dir Proforma-Accounts an. Keinen Social-Media-Account zu haben kann verdächtig wirken, daher pflege Accounts mit unverfänglichen Inhalten, die du entsperren kannst, falls du dazu aufgefordert wirst.
13. Wenn ein Gerät beschlagnahmt wird, verlange einen detaillierten Eigentumsnachweis und eine Erklärung darüber, wann und wie du es zurückbekommst.
Sources:
- https://apnews.com/article/internet-privacy-smartphones-travel-e0a3146ae7966ea0e4157dbfae1f6a81
- https://theintercept.com/2025/03/29/customs-us-border-travel-airports-phone-searches/
AP News · One Tech Tip: Locking down your device when crossing borders
Suite du fil
GitHubRework `clamd` command protocol (insecure by design) · Issue #1169 · Cisco-Talos/clamav
Suite du fil
Dieses MS-Zeug ist echt übergriffig. Normale TOTP nimmt es zumindest wie es für diese konkrete Organisation eingestellt ist nicht an, sondern verlangt die MS-Authenticator-App. Der Workaround "Configure app without notifications" wäre nice, ist aber seitens der Org. nicht aktiviert. Wenn man es schafft, nach mehrfachen Versuchen, doch ne SMS-Tan zugeschickt zu kriegen, kann man im Account nen Hardware-Token hinzufügen & die SMS rauswerfen. Dinge, die keinen Spaß machen. #Datenschutz #ITSec
Wer von euch ist denn auf der SecIT in #Hannover? Ich halte morgen eine kurze Keynote (mit anschließendem Panel) mit dem Titel "KI - Schutzschild oder Einfallstor?" Iich tendiere zu letzterem und erwarte euren Widerspruch. Oder euren Zuspruch. :)
Freue mich über Gespräche zum Kaffee und so. Stupst ihr mich an, falls ihr vor Ort seid?
https://secit-heise.de/programm
#secIT #cybersecurity #ITSec
secit-heise.desecIT by heise in Hannover, ProgrammNeben einer Ausstellung, auf der Ihnen die Player der IT-Sicherheitsbranche ihre neuesten Produkte und Dienstleistungen präsentieren, bietet ein hochkarätiges/ interessantes Vortragsprogramm mit Top-Referenten umfangreiches Know-how zum Thema IT-Sicherheit. In intensiven Workshops und Expert Talks erhalten Sie zusätzliche tiefe Einblicke.
Since I just checked again for a lemmy post and verified that my complaints are still current:
I explicitly recommend against the use of @threemaapp@mastodon.social as a messenger because of their bad #encryption.
I make this recommendation as a professional cryptographer who holds a PhD in that field and give explicit permission to be quoted on it.
The reason for this recommendation is that Threema’s End-to-End encryption offers no forward- or backward secrecy of any kind. This follows directly from the protocol description they themselves publish in their own whitepaper, so if this is a wrong claim, their own publications are wrong, which would be just as much of a reason not to use them!
Any claims about forward-secrecy they make is purely about their transport-layer encryption, which offers zero protection against corrupted servers. If someone corrupts signal’s servers they don’t get anything. If they corrupt Threema’s servers they get everything as ciphertexts that are merely encrypted with a pairwise static key that does not get updated.
A good messenger should not rely on the trustworthiness of the servers, so doing it like that does is not acceptable and enough reason to give the boot to their app.
As much as I dislike its lack of federation (not that Threema is doing any better there), this still means that #Signal remains my recommendation as messenger, with #matrix being an alternative that feels like it makes a degree of sense to me. Other than those two we quickly get into “wouldn’t recommend” territory!
#Threema #itsec #cryptography
A répondu dans un fil de discussion
@dragonfrog @benh @mastodonmigration @GottaLaff as for #ITsec amd the whole #Starlink #Network: It basically uses a homegrown mix of #DOCSIS, #GSM and #ViaSat #SurfBeam technologies to generate these hexagon coverage areas.
- Certainly not trivial, but not impossible to #BlueBox, tho unless one needs #FPS-grade #Ping|s, it's not worth the effort when other Options like #KaSAT are easier and cheaper to get hold of...https://infosec.space/@kkarhan/114048966406486263
Infosec.SpaceKevin Karhan :verified: (@kkarhan@infosec.space)@jt_rebelo@ciberlandia.pt @mastodonmigration@mastodon.online @GottaLaff@mstdn.social #Ukraine has higher degree of #FTTH than the #USA...
- Loosing #Starlink is like downgrading an Audi A4 from 3.2 FSI quattro to 1.8 FWD: It's still a 5-seater limo!
https://infosec.space/@kkarhan/114048956346770087
»Datenschutzbedenken wegen balenaEtcher – Tails setzt auf Rufus:
Das @tails Team warnt vor balenaEtcher wegen Datenschutzbedenken und empfiehlt jetzt Rufus als sicherere Alternative. Erfahre, warum.«
Gut zu wissen, das muss ich mir mal noch genauer ansehen um es entsprechend den Menschen zu erklären. Nun ja, in der IT steht die Welt nie still.
TARNKAPPE.INFO · Datenschutzbedenken wegen balenaEtcher: Tails-Team empfiehlt jetzt RufusDas Tails-Team warnt vor balenaEtcher wegen Datenschutzbedenken und empfiehlt jetzt Rufus als sicherere Alternative. Erfahre, warum.
A répondu dans un fil de discussion
@bkastl Das große Problem sind nicht die Sicherheitslücken, sondern der Umgang damit. Mein Vertrauen ist jedenfalls auf einem Tiefpunkt und ich hatte mich echt darüber gefreut, dass wir eine ePA bekommen sollen.