Введите Ваш E-mail адрес и Вы будете первым, кто получит новые статьи.

Статьи

Интернет умирает | TechSNAP 279 | Вещание Юпитера

  1. Прямая загрузка:
  2. RSS-каналы:
  3. Станьте сторонником на Patreon :
  4. Показать заметки:

Почему Интернет нуждается в собственной версии исследователей рака, минуя защиту от чипов и булавок и награду Pwnie Awards 2016 от Blackhat!

Плюс ваши вопросы, наши ответы и многое, многое другое!

Благодаря:


Благодаря:



Прямая загрузка:

HD видео | Мобильное видео | MP3 Audio | OGG Audio | YouTube | HD Торрент | Мобильный торрент

RSS-каналы:

HD Video Feed | Подача мобильного видео | MP3 Audio Feed | Ogg Audio Feed | iTunes Feed | Поток торрента

Станьте сторонником на Patreon :

Станьте сторонником на Patreon   :

Показать заметки:

Исправление этого интернета, прежде чем он снова сломается

  • «То, что мы называем Интернетом, не было нашей первой попыткой создания глобальной сети передачи данных, охватывающей весь земной шар. Это было только первое, что сработало ».
  • «Нет никаких гарантий, что Интернет будет успешным. И если мы не будем осторожны, мы можем все испортить. Это случилось раньше, и мы можем сделать это снова ».
  • «Каминский, который выступил с докладом для более чем 6000 участников Black Hat USA 2016, заявил, что проблемы, которые необходимо решать в сообществе безопасности, носят политический, технический характер и как сообщество безопасности сотрудничает».
  • «В интернете нет эквивалента« парня », который работает над раком. Нам нужны институты и системы. Нам нужно что-то вроде NIH (Национальные институты здоровья) для кибер. Для этого нужно хорошее и стабильное финансирование », - сказал Каминский. Исследования, решение проблем и решения слишком часто проводятся в вотчинах, которые редко разделяют коллективные решения, необходимые для решения важных проблем безопасности дня. "Я обеспокоен. Я обеспокоен нашей способностью к инновациям и нашей способностью создавать, и я обеспокоен тем, что мы не создаем такую ​​инфраструктуру, чтобы сделать Интернет безопасным местом ».
  • «Используя подход, основанный на NIH, Камински утверждал, что интернет поможет большому количеству глубоко приверженных экспертов в области безопасности работать независимо и в стороне от коммерческого интереса, что побуждает сектор безопасности быстро находить решения для решения больших проблем безопасности. «Нам нужно внести изменения, и нам нужно изучить методы программирования и методы, которые люди используют для создания безопасных вещей»
  • «Итак, я надеюсь ответить на этот вопрос - забыть о слоях абстракции и политике - как мы можем заставить 100 ботаников работать над проектом в течение 10 лет, не прерывая их и не беспокоя их и не заставляя их делать разные вещи. Как ты это делаешь? То, как вы этого не добиваетесь, это то, как мы делаем это сегодня в InfoSec - и это благодаря свободному времени небольшого числа высокооплачиваемых консультантов. Мы можем добиться большего, чем это »
  • «Каминский не рассматривает подход NIH как панацею от всего, что беспокоит мир безопасности. На самом деле, в своем выступлении он описал деликатный баланс, когда сообщество безопасности извлекает выгоду из более широкой администрации, не будучи вовлеченным в потенциальную политику. Он утверждает, что контроль, жадность и компании, движимые прибылью, убили Интернет 90-х годов. Он утверждает, что AOL пытался создать огороженный сад, контролировать все и зарабатывать миллиарды. Но этот интернет провалился »
  • «Есть две модели интернета. Есть огороженный сад и свобода. Сад в стенах гласит: «Хорошо, вот твоя среда, иди и попробуй ее использовать». Другая модель заключается в том, что люди могут мириться с вещами, а другие могут использовать и злоупотреблять ими. Людям не нужно спрашивать разрешения, которое им не нужно просить. Может быть, это работает, а может и нет ».
  • Apple, Facebook, Google и Microsoft, ведут нас к своим собственным версиям AOLs, огороженным садом Интернета?
  • Как часто интернет-браузеры вашей семьи покидают Facebook?
  • Он предупреждает, что точно так же, как огороженный сад AOL угрожал бесплатному Интернету 1990-х годов, государственный контроль над шифрованием может оказать такое же удушающее воздействие на инновации и кибер-свободы. «Давайте прекратим дебаты о шифровании. Это на самом деле бесполезно. Это отнимает всю энергию у того, что нам нужно исправить ».
  • Возглавив список исправлений Камински, он разработал лучшие способы для сообщества безопасности коллективно продвигать мяч безопасности вперед, а не рассматривать решения в области безопасности как отдельные гонки для победы. «Давайте возьмем наши неясные знания и реальный опыт и сделаем их доступными для всего сообщества безопасности», - сказал он. Обмен знаниями и решениями позволяет нам быстрее находить недостатки и исправлять их еще быстрее ».
  • Речь идет не о самой выплескиваемой вульне с самым крутым именем или самой быстрой фиксацией, а о том, чтобы быть в ней надолго, и на самом деле исправить вещи.

Исследователи обходят защиту чипов и выводов, атакуя терминалы PoS

  • «Платежная индустрия все больше зависит от стандартов безопасности. Тем не менее, краеугольные камни все еще не сломаны даже при использовании последних версий этих платежных систем, в основном из-за того, что они сосредоточены на стандартах, а не на безопасности ».
  • «К этому моменту компании, выпускающие кредитные карты, по большей части перешли от кредитных карт« считывания и подписи »к картам с чипами и пин-кодами; По словам исследователей, технология, известная как EMV (Europay, MasterCard и Visa), которая должна предоставить потребителям дополнительный уровень безопасности, начинает испытывать некоторый износ ».
  • Кроме в США
  • Переход чиповой карты в США стал катастрофой
  • «Нир Вальтман и Патрик Уотсон, исследователи из корпорации NCR, провели в среду в Black Hat ряд вредоносных транзакций, демонстрируя, как они могут захватить данные Track 2 и обойти защиту чипов и выводов».
  • «Вместо того чтобы атаковать операционную систему устройств POI и POS, исследователи обошли большую часть встроенной системы безопасности. Это включает в себя интегрированные схемы криптографической защиты. В конце концов, взломать крипто очень сложно. Это потому, что криптография - это просто математика, а математика (по большей части) работает. Но криптография - это только часть общей системы безопасности, другие части которой уязвимы для атак. Это стало еще проще, поскольку большая часть информации, которую команда искала в своих атаках, не была зашифрована на платежном устройстве ».
  • «В своей первой демонстрации дуэт использовал Raspberry Pi для захвата пакетов данных Track 2 в режиме реального времени. Посредством пассивного компромисса «человек посередине» Wireshark обнаружил два взаимодействия из данных, введенных в пин-ап с запущенным программным обеспечением для производства, которое в настоящее время находится на свободе. Эти двое отказались указать название компании, но заявили, что говорили с поставщиком и попросили их внедрить соединения TLS, но сказали, что не могут, поскольку они используют старое оборудование ».
  • «Искаженные данные могут быть преобразованы в читаемые биты, данные об истечении срока действия служебного кода, дискреционные данные и т. Д., Данные, которые могут подсказать хакеру, является ли карта чип-картой».
  • Пара показала, как легко было бы использовать злонамеренную форму, чтобы обмануть потребителя при повторном вводе его PIN-кода или CVV на карточном компьютере. «Потребители доверяют кнопочным панелям, они обычно думают, что ввели их неправильно»
  • «По словам двух исследователей, злоумышленники могут скомпрометировать пинпад, введя форму Malform.FRM в этом случае, когда никого нет в магазине, и быстро измените ее обратно на настроенное сообщение« Добро пожаловать! ». Как Valtman, так и Watson выступают за то, чтобы контактные площадки использовали сильные криптоалгоритмы и допускали только подписанные обновления белого списка. Контактные площадки в точках продаж, как правило, сертифицированы PCI, но два указанных PCI не требуют шифрования в локальной сети, и именно так злоумышленник может провести атаку MiTM ».
  • Поэтому они использовали API платежного терминала, чтобы обманным путем заставить пользователя ввести CVV, чтобы они могли его захватить.
  • Кроме того, они социальным путем заставляют пользователя думать, что он неправильно набрал свой ПИН-код, и заставляют его ввести его повторно. Один из которых не ожидается программным обеспечением, а взломан программным обеспечением злоумышленников
  • «Потребители никогда не должны повторно вводить свой ПИН-код, поскольку это контрольная раздача о том, что пин-код может быть скомпрометирован», - заявил Вальтман, прежде чем добавить, что он обычно посещает магазины, которые позволяют ему расплачиваться своими Apple Watch, поскольку он находит технологию более безопаснее, чем EMV »
  • «Это круто, но не безопасный стандарт», - сказал Нир.
  • «В рамках наших демонстраций мы будем включать обход EMV, избегая защиты ПИН-кодами и очистку PAN от различных каналов».
  • Слайды
  • Дополнительное покрытие

2016 Pwnie Awards!

Обратная связь:

Округлять:

Похожие

Microsoft постоянно собирает отзывы о Windows 7 от клиентов и партнеров по нескольким каналам. Эта обратная связь ...
Microsoft постоянно собирает отзывы о Windows 7 от клиентов и партнеров по нескольким каналам. Эта обратная связь приводит к улучшениям, которые помогают улучшить совместимость, надежность, производительность и удобство использования. Пакет обновления объединяет все эти обновления вместе с дополнительными усовершенствованиями в единый пакет и помогает обеспечить актуальность ваших систем. Обновление 20 февраля 2011 года. Также смотрите
Как ты это делаешь?
Apple, Facebook, Google и Microsoft, ведут нас к своим собственным версиям AOLs, огороженным садом Интернета?
Как часто интернет-браузеры вашей семьи покидают Facebook?

Новости

Сайт 9 карпов рыбалка волоколамск - ловля бычка на ясенской переправе
Show likes Show shared copies. Очередной визит на водоём порадовал Всем привет, Блуждая по просторам ВК набрел на группу. Может для кого полезен будет отчет о нашей рыбалке Свози меня на рыбалку, хочу

Самые необходимые аксессуары для рыбалки


Ароматизаторы для ловли мирной рыбы
В современной рыбалке широко применяются ароматические вещества, призванные активировать клев и удерживать рыбу на прикормленном месте. Ароматизаторы для рыбалки выпускаются в порошкообразной форме, в

9 карпов рыбалка волоколамск форум
Брать перепечатку для подавляющего большинства из водоёма, за солнцем наблюдение как. Заходить на рассвете без преувеличения Главного сатаны. Удить автотранспорт, устанавливать практически, такая, уж,

Как выбрать алюминиевую лодку для рыбалки?
Оглавление: Преимущества алюминиевых лодок для рыбалки Как выбрать свою первую алюминиевую лодку? Что нужно помнить при покупке алюминиевой лодки? Наличие своего собственно плавательного

Caperlan тент для рыбалки xl: Прогноз на клев в калмыкии
Mercedes-Benz E-class Coupe 3. Renault Logan AIRfrance Samopal Custom. Toyota Corolla V8 drift RDS. С ЭТИМ ТОВАРОМ ВМЕСТЕ ПОКУПАЮТ:. QUECHUA ПОХОДНЫЙ РЮКЗАК ARPENAZ 10 Л. QUECHUA ПАЛАТКА 2 - Х МЕСТНАЯ

Болонская рыбалка на карася: Лодочные моторы тохатсу в воронеже
Для оснастки болонской удочки применяется как фиксированный поплавок, так и скользящий по леске. Болонская удочка хороша и для рыбалки с берега, и для ловли с лодки. Она позволяет забрасывать наживку достаточно

Анисовые капли для рыбалки
Зачастую начинающие рыболовы большую часть своего внимания уделяют подготовке снастей, экипировки для рыбалки, и упускают из вида подбор и подготовку аттрактантов. Пренебрегая применением такой, казалось

Девять карпов рыбалка
Дневная путевка обойдется в 1 руб. Десятидневная путевка на 10 руб. Каждый из различных на водоеме где обязан приобрести путевку может от того, ловит ли он лодку. Если изъял, то ловля при том какую, а

Балансир для зимней рыбалки – Техника ловли на балансир
Балансир появился в арсенале рыбаков относительно недавно, и его уловистость способствовала быстрому росту популярности этой прелести. Однако часть рыболовов относятся к балансиру скептически