Cybersecurity. Kyberbezpečnost. (Ne)bezpečí v síti.

R_U_SIRIOUS --- --- 21:16:59 16.8.2024

Milník v kryptografii je tady, post-kvantové šifrování má první tři standardy - Lupa.cz
https://www.lupa.cz/aktuality/milnik-v-kryptografii-je-tady-post-kvantove-sifrovani-ma-prvni-tri-standardy/?

R_U_SIRIOUS --- --- 15:50:13 8.8.2024

Kyberbezpečnost: stát uvaluje břemeno, ale nepomáhá jej nést | Hospodářské noviny (HN.cz)
https://nazory.hn.cz/c1-67349190-kyberbezpecnost-stat-uvaluje-bremeno-ale-nepomaha-jej-nest

Stát přitom klade na soukromý sektor velké břímě, ale sám by měl aktivně zlepšovat podmínky pro firmy a podporovat jejich ochranu IT systémů. Například na úrovni EU jsou k dispozici značné finance ve fondech na podporu implementace kybernetické regulace, stát i firmy je ale využívají jen minimálně. Evergreenem pak je, že v tomto úzce specializovaném odvětví, stejně jako jinde v IT, chybí kvalifikovaní odborníci. Stát jako garant vzdělávacího systému v tom není dostatečně aktivní.

V důsledku nového zákona se počet a okruh povinných organizací může zvýšit až o 10 tisíc nových subjektů a tomu bude muset odpovídat i vyšší počet specialistů. V soukromém sektoru vidíme snahy o řešení: vytváří vlastní školy a kurzy, organizuje soutěže jako třeba EY ESO o nejlepšího etického hackera. Popularizuje tak profesi, o níž se ve školních lavicích mladí lidé nedovědí téměř nic.

R_U_SIRIOUS --- --- 21:31:01 1.8.2024

Populární česká služba Herohero měla chyby ohrožující data a peníze všech uživatelů - Lupa.cz
https://www.lupa.cz/aktuality/popularni-ceska-sluzba-herohero-mela-chyby-ohrozujici-data-a-penize-vsech-uzivatelu/?

R_U_SIRIOUS --- --- 15:13:42 21.7.2024

Organized Crime and Corruption Reporting Project - OCCRP
https://www.occrp.org/en/37-ccblog/ccblog/18883-how-crypto-atms-in-the-u-s-became-a-favorite-tool-for-scammers

While crypto ATM operators insist they take steps to protect the public, investigators say the machines are a gift to criminal networks.

A small number of crypto ATMs allow users to sell bitcoin and take out cash, but the majority only convert cash to crypto. The machines have less stringent identification requirements than online crypto exchanges — and, as in Anne’s case, they allow large amounts of cash to be stolen long before law enforcement has even been notified about a scam. Inconsistent regulations across U.S. states and historically strained resources for fighting financial crimes exacerbate the issue...

DED --- --- 12:39:19 21.7.2024

SAPwned: SAP AI vulnerabilities expose customers’ cloud environments and private AI artifacts | Wiz Blog
https://www.wiz.io/blog/sapwned-sap-ai-vulnerabilities-ai-security

ja vim, ze ted frci crowdstrike ale pojdme nezapominat na AI ;)

R_U_SIRIOUS --- --- 22:19:10 20.7.2024

https://www.nytimes.com/2024/07/19/us/politics/crowdstrike-outage.html?unlocked_article_code=1.8k0._ZDj.e5unf_bqIJNo&;smid=url-share

The CrowdStrike debacle may have accidentally provided cybercriminals and countries a road map to using security software to disrupt US critical infrastructure (David E. Sanger/New York Times)

R_U_SIRIOUS --- --- 22:14:29 20.7.2024

R_U_SIRIOUS: One defective CrowdStrike update for Windows breaking global systems resurfaces concerns about Microsoft's monopoly in government and enterprise IT systems (Washington Post)

R_U_SIRIOUS --- --- 22:13:28 20.7.2024

1 odpověď

Hm...

Microsoft’s global sprawl under fire from regulators after Windows outage - The Washington Post
https://www.washingtonpost.com/technology/2024/07/20/microsoft-outage-crowdstrike-regulatory-scrutiny/

R_U_SIRIOUS --- --- 22:23:34 19.7.2024

Stát chystá novou strategii kyberbezpečnosti. NÚKIB vyzval veřejnost k posílání podnětů a témat - Lupa.cz
https://www.lupa.cz/aktuality/stat-chysta-novou-strategii-kyberbezpecnosti-nukib-vyzval-verejnost-k-posilani-podnetu-a-temat/?

_KRYSTOF_ --- --- 15:50:52 19.7.2024

Centralized system concept ouched loud out today.

R_U_SIRIOUS --- --- 13:25:03 19.7.2024

Vybavila se mi hláška z Návštěvníků, když na konci Brodský dá do vodováhy CML pomocí dřevěného klínku: "CML je idiot."

#kecy

R_U_SIRIOUS --- --- 12:41:09 19.7.2024

Není to tak trochu problém monopolizace kyberprostoru Microsoftem? Počítačů s Mac a Linux se to netýká.
Kvůli něčemu takovému byl internetový protokol koncipovaný jako distribuovaný systém. Až na to, že zařízením s MS Windows ta skutečnost, že centrální informační systém není bezpečný, možná tak trochu unikla.

MUXX --- --- 11:44:06 19.7.2024

QWWERTY: Jo. Akorat tam nesmis mit bitlocker. To se pak do toho Safe mode tak jednoduse nedostanes.

QWWERTY --- --- 10:08:35 19.7.2024

1 odpověď

MUXX: udajne, no guarantees

MUXX --- --- 8:41:36 19.7.2024

1 odpověď

Cybersecurity platform Crowdstrike down worldwide, many users logged out of systems
https://www.digit.in/news/general/cybersecurity-platform-crowdstrike-down-worldwide-many-users-logged-out-of-systems.html
Reddit - Dive into anything
https://www.reddit.com/r/crowdstrike/comments/1e6vmkf/bsod_error_in_latest_crowdstrike_update/

Volal mi kamos, ze ma vsechny sklady a pobocky v cesku a na slovensku nepouzitelny a zamestnanci posilaji fotky Windows BSOD...

E2E4 --- --- 14:17:01 11.7.2024

VIXLE: zas kdo se ti bude srat s jednotlivým dekodovanim tvýho schématu aby se ti dostal do Spotify..

u banky, emailu apod to je jiná, ale u běžných služeb mi to přijde ok, když nechceš nebo nemůžeš použít správce hesel..

VIXLE --- --- 13:05:06 11.7.2024

1 odpověď -3

R_U_SIRIOUS: ten seznam je absolutni bullshit, slepenec predchozich leaku (pouze hesel nesparovanych s username, jak plaintext, tak necracknuty hashe ruznych formatu) a totalnich nesmyslu (email adresy, nazvy firem, random non-ascii stringy)
viz treba: https://x.com/lkarlslund/status/1809573815887761459

SYNTAX_TERROR: jakmile v tom budes mit nejakej takhle trivialni system, nekdo se dostane k vic nez jednomu heslu ktery si sparuje treba podle emailu, neni zas tak tezky ten system reverznout a voila, mas pristup vsude. imho stejna blbost jako inkrementy cisel nebo pouzivat vsude "SuprTruprDlouhyHesloRandomBramboraPentagram" a pridavat za to "-sluzba". realne vetsinou ty leaky budou slouzit stejne k nejakymu stuffingu, takze by si te musel nekdo cilene vybrat, ale to uz mas asi lepsi nepamatovat si zadny heslo a pri kazdym prihlaseni si vyzadat reset na email s poradnym zabezpecenim...

QWWERTY: to mi pripomelo jak me kdysi SOC detekoval za pouziti Get-Aduser ... | findstr -i password kdyz jsem si chtel vyjet expiraci svyho vlasniho hesla z AD properties... tak od ty doby pouzivam Get-Aduser ... | findstr -i ssword a nic...

E2E4 --- --- 12:09:51 11.7.2024

QWWERTY: jo, to byl příklad a ani jsem si nevšiml že tam nabízí řešení.

a ano, najít řešení který bude natolik malej oser pro uživatele že ho skutečně začne používat místo triků jak to obejít je těžký..

QWWERTY --- --- 12:06:32 11.7.2024

1 odpověď

E2E4: kdyz nekomu posilam heslo k RADIUSu, aby se mohl pripojit na wifi, tak nedava uplne smysl do toho michat jeste Azure. nemluve o tom, ze treba nase business unit nema do Azure vubec prava tam cokoliv delat, takze se sice prihlasim, ale nemuzu nic.

bezpecnou alternativu mas nabidnutou primo v tom pop-upu: pouzij mail + AIP Protected/Encrypted.
jenze v tom je prave ten vtip - pro beznyho uzivatele uz jsi prave timhle prekrocil tu hranici "pouzitelnosti", takze nez aby sli hledat, jak vytvori zabezpeceny mail, tak udelaji screenshot a poslou ho znova tim stejnym kanalem

E2E4 --- --- 11:54:52 11.7.2024

1 odpověď

QWWERTY: ono bohužel nejde dělat test na secrets, aniž by měl false positives. tak se to prostě pohladí tak, aby měl málo false positives za cenu false negatives, lepší než nedělat nic.
been there, done that.

a druhá věc je, že by to mělo rovnou nabízet alternativu bezpečného a pohodlného sdílení hesel. (typu Azure keyvault)

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?