Shmoocon 2006:Dan Geer Keynote

私はShmoocon 2006年1月13日から01月13日に行きました。私はビデオを待っていました、そして、身元からのスライドを投稿するだけでなく、私は完全に何が起こったのかを覚えていない前に出版を始めるべきです。次の数日間に私は参加したさまざまな話について出版します。

Dan Geerの基調講演は、CONからの私の好ましい協議の1つでした。彼は、「あなたが基調を提供するのに十分な人を尊重するのであれば、それを構成するのに十分な視聴者を尊重する」と信じています。彼が彼の話からスライドのPDFと同様に全文を提供してくれたことのおかげで。私の要約はそれを正義にしませんが、あなたは少なくともあなたが自分自身になっているものを理解することができます。チェックアウトしました。

Danは、観客のほとんどの人のように、彼はセキュリティで訓練されていなかったことを認め始めました。彼の正式な学校教育はバイオスタティシャンです。物事は変更されていますが、すぐにセキュリティマーケットはセキュリティでのみ訓練された人々と充填されます。ダンは私たちがまだできる間私たちの多様性を活かしているべきだと感じています。特にセキュリティを判断する方法の問題を解決するために。

最終的な目標は、「定量的な金銭的な危険な管理とは並んでいる定量的な情報の危険」です。 Webに関する問題は、それが相互接続された自然のために集約された危険であるということです。集約された危険性は、まったく同じ保険カバレッジ事業が隣の隣の隣の扉に政策を提供しない理由です。一方が燃えている場合、他のものはおそらく会社の損失を2倍にするでしょう。 2003年にDANと6つの共著者は、国家安全保障の一本培養としてマイクロソフトの独占を説明しました。 (彼はそれからプレスリリースを介して@stakeから終了しました)この単体培養は大きな集約的なリスクです。他にも問題があります。現代的な保険カバレッジポリシーは歴史に基づいていますが、24歳の禁煙、白人男性とは異なり、Webには測定可能な危険史はありません。

Danは、セキュリティが信頼性の高いサブセットであると感じていると感じています。この時点で、スピーチDANは彼の背景からバイオスタティシシャ語として問題に近づくと始まります。彼は2行のチャートを表示することから始まります:1つは2行目を明確に超える脆弱なホストの引用であり、これはインシデントの数です。スペースがセキュリティの働きを表す可能性が最も高い、しかし同様に攻撃されていない脆弱な保持。彼はこれらの数字がバイアスされていることを認めますが、それらはまだ正確な絵を提供することができます。彼のトークの最後のセクションは、コードの複雑さとインシデントとの接続を提供します。

閉会では、これが1人の男の数だけでなく、私たちが最終的な包装された測定ソリューションから遠く離れていることを指摘することを指摘しています。彼は、私たちがまだ時間がある間、彼らの視点、背景だけでなく自分の視点を適用することを勧めます。もちろん、これは単なる概要だけでなく、全文とスライドを調べることをやる気にさせます。

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Post

WhatsApp Group CallWhatsApp Group Call

の使用方法グループビデオコールまたはグループボイスコールは、誰も聞いたことのないものではありません。 WhatsAppやグループビデオの呼び出しがしばらく前から存在する前でさえ、グループボイスコールは存在していました。ハングアウト、Skypeなどのいくつかのアプリは、すでにグループコールを許可しています。 WhatsAppはどういうわけかグループコールを許可することができませんでしたが、過去に見逃していた多くの機能を考えると、それは予想外ではありません。この耳の早い段階で、WhatsAppは、ビデオ通話と音声通話の両方を呼び出し、その瞬間が到来したことを発表しました。 会社によると、ユーザーは1日あたりの電話に20億分以上を費やしています。 WhatsAppには約15億人のユーザーがいることを考えると、理にかなっています。実際、WhatsApp呼び出しで1日でユーザーが費やした平均時間は、約1.3分になります。 WhatsAppでのグループコールは常にエンドツーエンドの暗号化されているため、プライバシーを確​​認できます。同社はまた、この機能がさまざまなネットワーク条件で世界中で確実に機能するように開発されたと述べています。 WhatsAppグループの呼び出しは、ビデオ通話であろうと音声通話であろうと、一度に最大4人のサポートをサポートします。つまり、ユーザーはグループコールで最大3人の他の人を呼び出すことができます。更新は今日、AndroidおよびiOSユーザーにグローバルに展開されているため、アプリを更新してください。そこにある他のオプションと比較するために、Facebookメッセンジャーは最大50のグループビデオ通話をサポートしています。Skypeは25をサポートし、Snapchatは16人の参加者をサポートしています。 IOS 12が今年後半に発売されると、AppleのFaceTimeは最大32人と連携します。 1回の電話で4人以上の人々に対処できるかどうかは、別の議論です。 お見逃しなく:whatsappボイスメッセージをテキストに変換する方法 WhatsAppグループコールの使用方法 WhatsAppでグループコールを使用するには、最初に1つの音声またはビデオ通話を配置する必要があります。その後、より多くの参加者を通話に追加できます。これは、テキストへの連絡先を選択するときに新しいグループを作成するための個別のオプションがあるグループチャットとは少し異なります。 ホーム画面またはアプリの引き出しからWhatsAppを開きます。 [コール]タブに移動し、右下隅にあるフローティングダイヤラーアイコンをタップします。 連絡先リストから、グループコールの最初の参加者を選択します。ダイヤラーまたは連絡先名の横にあるビデオアイコンをタップすることで、音声通話またはビデオ通話のどちらかを選択できます。 これにより、選択した最初の参加者に音声またはビデオ通話を接続します。コール画面では、右上にあるADD連絡先アイコンに気付くでしょう。それをタップして、より多くの参加者を追加します。 アイコンをタップすると、2人目の参加者を追加できる連絡先リストに再度表示されます。 同様に、ADD連絡先アイコンを再度タップすることにより、3番目および/または4番目の参加者を追加できます。 読み取り:削除されたwhatsappメッセージを表示する方法

セキュリティでの今週:地政学的なハックティシズム、ウイルス対策マイニング、そしてLinuxマルウェアセキュリティでの今週:地政学的なハックティシズム、ウイルス対策マイニング、そしてLinuxマルウェア

CIAハックティバストは、Belarusian Rail Systemに対する一種のランサムウェアキャンペーンを導入しましたが、暗号通信の代わりに、彼らは政治囚のリリースを望んでいます。ロシアの兵士の撤去として。これはサイバーテロの例と呼ばれるかもしれませんが、これは州スポンサーのハックであるという手頃な価格の理論があります。特定のようなように見えることは、何かが鉄道輸送を中断したこと、およびTwitterのグループが違反の説得力のある証明を起こしたということです。 あなたのアンチウイルスにはクリプトミーナが含まれています 今見てはいけませんが、Norton 360またはAviraの最新の更新プログラムが暗号化マイニングモジュールをインストールした可能性があります。銀の裏地は、メーカーが開始される前に、いくつかの正気が保持されているだけでなく、メーカーが採掘の予備のサイクルがコストであることが前にオプトインしなければならないということです。している個人のために、彼らは鉱山プールに入れられ、多くのハードウェアのための小さな支払いをしました。ノートン、当然のことながら、彼らのトラブルのためにトップから15%の充電を受けます。 Linuxマルウェアの指定 Linuxマシンがマルウェアを手に入れることができないという格言であることがあります。それは本当に真に真実であることは決してなかったが、サーバの風景の継続的な征服は、Linuxマルウェアをさらに高い危険にするという側面の影響を与えてきた。 CrowdStrikeは、2021年にLinuxマルウェアで35%のブーストを見ました。 Pwnkit. そしてLinuxと言えば、非常に深刻なLinuxの脆弱性が発表されたばかりで、働いている悪用はすでにリリースされています。この問題はPolkitバイナリの基本的なものです。この目的のために、sudoの代替案として信じることができます。重要な部分は、それが独自のユーザーによって実行されたときにそれ自身の特権を昇格させるものであるSetuid Binaryです。 「今待って、「それは恐ろしい安全問題のようです!」と言うのを聞いています。それが間違っているときになることができます。ただし、基本的な現実は、個人がroot特権を必要とする操作をする必要がある場合があることです。基本的な例、pingは、関数に買うのに生のネットワークソケットを開く必要があります。これらのバイナリは、制限されたアクションのみを可能にするために非常に慎重に作成されていますが、この「サンドボックス」をエスケープすることを可能にすることが多い。 それでは、Pkexecとの物語は何ですか? NULL ARGV OK、Linuxプログラミング101の時間。プログラムがLinux上で導入されたとき、それは通常argcとargvという名前の2つのパラメータに渡されます。これらはそれぞれ整数、ならびにさまざまなCHARガイドラインです。プログラマーではない場合は、引数のリストと引数のリストとしてこれを信じる。この情報は、プログラム内でコマンドラインの選択を管理するだけでなく、解析に利用されます。 argcは常に少なくとも1つ、そしてargv [0]は常に実行されるようにバイナリの名前で構成されます。それ以外は、それは必ずしもそうではありません。 execve()関数を利用してバイナリを導入する方法はもう1つあります。その機能により、プログラマは、不一致0を含む引数のリストを直接指定できます。 それで、そのリストがちょうどnullの場合、どうなるのでしょうか。 sudoのようにプログラムがこの可能性を説明するように書かれたならば、すべてがうまくいっています。ただし、pkexecは、空のargvまたは0のargcの検査を含めません。読み取り対象の対象があるかのように機能します。代わりに、引数のように扱います。それは一致するバイナリのためのシステムパスをチェックし、それが信じるものがそれがあると考えているものであるかをチェックしますが、実際には大気変数です。これは、制御されていないテキストをPKEXEC、SETUIDプログラムの雰囲気変数として注入できることを示しています。 PKEXECが噴射が発生した直後の雰囲気変数をクリアするので、それは即座に役立つわけではありません。だから私たちが本当にこれを活用するためにどのような卑劣なテクニックを利用するかもしれませんか?エラーメッセージを投げます。 PKEXECは、gconv共有ライブラリを利用してエラーメッセージを印刷し、GConv-Modules構成ファイルを見つけようとしていることから始めます。このデータは、どの特定のライブラリデータを開くかを定義します。 Atmosphere変数gconv_pathを使用して、代替の設定ファイルを指定できますが、このAtmosphere変数はSetUIDバイナリを実行するときにブロックされます。ただし、ああ、これが起こった後に大気変数を注入する方法があります。それが悪用です。任意のコードを含むペイロード。私は誰?根。 この物語に興味深いねじれがあります。まず、[Ryan Mallon]は2013年のこの脆弱性を見つけることに苦痛にぴったりやって来ました。舵のバグ。 ランダムパスワードを攻撃する 安全なパスワードの多くはランダムに生成されたものです。はい、しかし、そのランダムジェネレータがそうでなくランダムではない場合はどうなるのでしょうか。今、私たちは今回は意図的なバックドアについて話していませんが、非常に大きな違いを生むことが多い一見無関係なパターン。エニグママシンは、結局のところ、それ自体として文字を符号化することは決してないので、部分的に割れた。 [Hans

IOSIOS

PubgモバイルファナティックでPUBGモバイルアップデートを0.3.3に強制する方法AppleのiOSベースのデバイスの1つを実行していますか?多くの友人やゲームの知り合いがApp Storeを介してバージョン0.3.3に更新していることに気づいていますか?私たちがあなたをカバーしたので心配しないでください。 通常の状況では、自動更新が有効になっているユーザーの場合、アプリまたはゲームの新しいバージョンがアプリストアにプッシュされると、ユーザーはアプリアイコンバッジ通知を受け取り、アップデートが利用可能であることを知らせてから更新を通知します。自動的にダウンロードされ、バックグラウンドで適用されます。 何らかの理由で、これは実際には多くのPUBGユーザーにとって起こっていないように思われます。つまり、カウンターパートがバージョン0.3の利点をうまく楽しんでいるときに、以前のバージョンのゲームを使用してプレイし続けることを余儀なくされていることを意味します。 .3がもたらします。 PUBGモバイルチームによると、これが起こっていることです。 一部のiOSユーザーが0.3.3アップデートを受け取っていないことに気付きました。影響を受けている場合は、App Storeの「更新」セクションにアクセスして、スワイプダウンして更新してから、ゲームを手動で更新してください。 実際に自動更新をオフにすることを好むiOSデバイスの所有者の多くにとって、アプリとゲームを更新するこの手動の方法は、すべての更新の適用方法です。 PUBG Mobileの背後にあるチームは、アプリのビューを参照して、アプリを再度ロードしてから上記のプロセスを繰り返す前に、バックグラウンドから公式のiOS App Storeを殺すこともアドバイスしています。 このプロセスに従っていれば、PUBGモバイルゲームのバージョン0.3.3はすぐにそれ自体を提示し、ダウンロードできるようになることを願っています。 このプロセスが追跡され、デバイスに0.3.3がインストールされている場合、Tencentが実際にそれを英語バージョンのゲームでリリースすることを決定したときにバージョン0.4.0を辛抱強く待つことができることを意味します。それでも、それが起こるまで、バージョン0.3.3は、次のPUBGモバイルの修正を探している多くのゲーマーをなだめるべきです。 あなたもチェックアウトしたいかもしれません: iOS 11.3ジェイルブレイク:iPhoneとiPadユーザーが知っておくべきことは次のとおりです pubgモバイルホワイトスクリーンの問題iPhone5の問題修正が利用可能になりました iOS 11.3最終リリースノート、機能、チェンジログはすべてここで1つの場所にチェックしてください iOS 11.3 IPSWリンク、最終バージョンのOTAアップデートをこちらからダウンロードしてください デバイスでiOS 11.3をダウングレードする方法[ガイド] Fortnite 3.4モバイルアップデートやリリースされた他のプラットフォーム用のパッチノート、新しいものはここにあります Pubg Mobile