> Verge

> Slashdot

Citiraj:

Reversing blurred pixels to reveal censored content in videos is easier than you think

Update CVE teme:

Citiraj:

CISA says the U.S. government has extended MITRE’s funding to ensure no continuity issues with the critical Common Vulnerabilities and Exposures (CVE) program. […] The announcement follows a warning from MITRE Vice President Yosry Barsoum that government funding for the CVE and CWE programs was set to expire today, April 16, potentially leading to widespread disruption across the cybersecurity industry. ↫ Sergiu Gatlan at BleepingComputer

Kaj drugo reci osim:

Citiraj:

Elect clowns, live in a circus.

Nekaj iz susjedstva:

Citiraj:

Amnesty International reports that a Cellebrite zero-day exploit was used to unlock a Serbian activist’s Android phone.

> securityaffairs


Za one koji neznaju sto je Cellebrite: 1 2 3

Dečki i cure (kolko znam ima bar jedna), heads up!



> Forbes

> HackerNews

To sa supply chain napadima je živo s*anje. Za neupućene, to je kada haker ne napadne vas koji imate jaku obranu nego napadne vašeg poslovnog partnera koji ima puno slabiji security pa uđe vama u sustav jer je kompromitirani poslovni partner na svim vašim white listama.

Sad ti objasni upravi i nadzornom odboru da njegov kum/rođo iz partnerske firme mora imati 2FA i certove za sve (VPN npr), DMARC/DKIM/SPF prolaz, Zero Trust…

Yep...i onda dodaš Slopsquatting....


https://socket.dev/blog/slopsquattin...-chain-attacks

Još malo o Slopsquatting temi:

NIsma našao posebnu temu, a možda je zgodno to i ovdje ubaciti.

Ima li netko od vas iskustva iz prve ruke s NIS2?


Naime, firma u kojoj trenutno radim dobila je neke naznake da će biti uključena u NIS2 priču pa bismo se htjeli pripremiti za isto.


Znam ono što se da zguglati o inicijatiivi i ono što se traži. Međutim je zapravo vrlo malo konrketnog napisano o tome.


Ono što mene zanima su neki konkretni tehnički setup detalji.
Što točno treba biti implementirano? IDP sistem? EDR? IDS? SIEM? Sve to?


Mi recimo u firmi imamo već Fortigate firewall s pretplatom za cloud sigurnosne servise, i tu već ima svašta unutra, da li je to dovoljno?
Mailovi su nam u 365 officu, s enkripcijom, imamo i enkripciju od windowsa na hardovima.

https://nis2direktiva.hr/


Nazalost nekaj pametnijeg nemam u rukavu osim ako netko od kolega ima dublje iskustvo.

Heads up...



> Techzine



> PcPer

> These are RSS Feed readers, search engines crawling your content, or nowadays AI bots crawling content to power LLMs. But then there are the malicious bots. These are from spammers, content scrapers or hackers.


Ma nemoj me. Search engines/AI bots <> content scrapers?

Prijateljski podsjetnik...

https://i.postimg.cc/Y9K7YXLG/9thcjjifxrxe1.png

> HiveSystems

Ovo FTW!






https://imgs.xkcd.com/comics/password_strength_2x.png

Tako je! Moje glavne koje trebam pamtiti su takve godinama. Mislim da sam to vidio kod Snowdena na twitteru kad je savjetovao kako imati sigurnu lozinku, a da možeš zapamtiti.

Tipa:
gledam pce svaki dan

Onda staviš malo velikih slova

gledamPCEsvakiDAN

Onda dodaš neki broj i znak

gledamPCEsvaki1DAN!

I eto gadne lozinke za pogoditi a relativno lake za zapamtiti. :)

Ovo je vec godinama jedna od glupljih tablica koja kola internetima i poslovicno pali... sve koji vole infografike bez konteksta i minimuma pozadinskog znanja.

Bonjour tristesse, niti itko normalan vise ne koristi hashiranje bez salta vec... desetcima godina kao industrijski standard. Mozda sam malo i rekao.

Uz to sto vise nitko ne bruteforcea passworde isto tako svih tih... desetak godina, nego ih ukrades kako je Bog i zamislio - na izvoru!

No eto čovjek nešto nauči svaki dan :lol2:

Ima nas koji smo koristili smart kartice prije 23 godine jer je firma passworde smatrala nesigurnima. Zbog toga smo žurili s migracijom na XP :)

Htio sam ovo komentirati, ali onda sam ponovno pročitao i vidio da piše "nitko normalan". Tako da teza ipak drži vodu :D

> Pcworld

StručLJaci za Trumpova državna pitanja uspješno koriste (nešto kao, a moglo bi biti nalik, dosta je slično, pa valjda i sigurno kao) Signal koliko i Severina PEZ bonbone za kontracepciju.:):D

Ima nazalost puno nenormalnih i dalje :beer:

A svak normalan ce throttleat loginove nakon faila, i onemogucit login nakon x,

A opet kako si rekao niko nece vise brute forcat nego ce ko normalni svit, ukrast od onih istih nenormalnih koji ne da nisu hashali password nego ga enkriptirali, sa keyem iz baze, koja je dostupna sql injectionom. Pa ce dekriptirati i najsigurniji password od 487541 random znakova il rijeci, i ako isti koristis na gmailu sa svim accountovima.... well..... a cak te i 2fa nasamare, nasamarili su Troy Hunta, pa mogu i nekog tipicnog advanced usera....

Jel ovo tema da priupitam jel koristi tko Yubikey ili nešto slično?

Razmišljam da nabavim možda jedan ili dva (drugi za backup).

Privatnost i sigurnost podataka i korisnika
 

Pazi koju verziju softwarea imaju. Prošle godine je otkriven vulnerability koji te ne bi trebao pretjerano zabrinjavati ali kad već uzimaš novo… iz sigurnosnih razloga Yubikey ima zapečen firmware - nema updatea.

Meni je osobno Yubikey a must have.

Onaj s fingerprint readerom mi slabo očitava prste. Imam suhi kožu pa je možda do toga. Moram stisnuti prst a onda savijam USB-C port… a ako tri puta ne očita prst ili fula PIN onda pobriše (sve) sa sebe.
Lupam bezveze neke passworde iz bilo kojeg kraja svijeta i zalokam ti account. Samo trebam znati tvoj username.

Super scenarij za tebe ako radiš od doma :D

2 komada je neki standardni slucaj, ne bi uzimao samo jedan kljuc osim za inicijalnu probu da se uvjeris treba li ti to i da vidis kako radi.

Ovdje smo pisali dosta o kljucevima:
http://forum.pcekspert.com/showthread.php?t=216268

Osobno imam Token2 kljuceve jer su visestruko jeftiniji od jubija, a podrzavaju sve sto mi REALNO treba (passkey, TOTP, CLI/GUI appovi za pristup kljucu ako ikad zatreba).

Osobno kljuc koristim za ulazak u password manager i par drugih accounta. Neke usluge imam slozene na nacin da im mogu pristupiti s kljucem i sa passkeyem spremljenim u password manageru - u slucaju da nemam komp ili lak pristup password manageru na ovaj ga nacin mogu zaobici samo koristenjem kljuca - pod uvjetom da me taj servis u praksi NE pita password nego da mu je dosta samo passkey... Jbga, jedini pass koji znam napamet je taj od password managera. Sve ostalo mi je 20+ random znakova i ovisim o manageru.

Kakogod, passkey spika je dosta sarena i nisam odusevljen kako to sve radi. Zato fokus stavljam na otkljucavanje password managera pa dalje sve vadim iz njega, passworde, passkeyeve, sve.

Imam dvije pričice za ne povjerovati :D

Dakle, na svoje sam oči vidio kako su majstori u produkcijskom okruženju koristili user/pass za pristup db serveru u plain text formatu u sklopu konfiguracijskog JSONa i to vidljivog u aplikacijskim postavkama, kojima (makar read only) pristup imaju svi korisnici sajta :D Istina je da su korisnici glup k'o k*rac i ne umiju čitati JSON, ali svejedno.

Lijeno programiranje na 15tu, liku se jednostavno nije dalo to napraviti kako treba, zadovoljio je KPI, pripremili su skripte, deployali u produkciju (dakle, više ljudi je sudjelovalo u tom procesu) i onda je to stajalo tako tko zna koliko dugo dok ja na to nisam naletio. Užas.

Netko isto tako pametan kao ovaj iz gornjeg primjera u produkcijskom okruženju podesio da se neki vanjski servis logira u web aplikaciju koristeći administratorski account. Kako je bila konfigurirana kriva (stara) lozinka, nakon 5 pokušaja account bi se zaključao na 5 minuta. Servis se pokušavao spojiti više puta svaku sekundu tako da je account bio konstantno zaključan.

Govorim kolegama šta se dešava, i kažem kako je taj account stalno zaključan već duže vrijeme. Ma kakvi, nema šanse :D Prvotno sam napravio drugi account (tako da sam administratorski privremeno preimenovao kroz bazu da mogu ući unutra) da mogu odraditi što treba.

Onda kada mi je dopizdilo (6 mjeseci kasnije) išao sam tražiti po konfiguracijskim fajlovima i naravno našao konfiguraciju za taj servis. Naučio sam da nije dovoljno ukazati na problem nego treba i prstom uprti u rješenje, staviti pokoji uskličnik, podcrtati, uokviriti, poslati pokoji nadrkani mail i tako ukrug. Također užas.