Смысл жизни

Я полагаю, в кач-ве резюме туда принимают лист эксплойтов с эксплойт-дб. Допустим, люди типа Луиджи Ауриемма.

На стороне инцидент респонса всё хуже примерно в два раза, не раз видел вакансии масштаба 130-175к для реверс инженеров, это даже хуже архитекторов.

А как же йа? Увы и ах, йа лох и неудачник. Жизнь просрана, хехе

Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.

Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!

Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:



Как правильно поступать с этими вопросами? Примерно вот так:



А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.

Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.

Видосы с последнего ДербиКона. Бесплатно и ездить никуда не надо.

http://www.irongeek.com/i.php?page=videos/derbycon6/mainlist

Вот тут помимо прочего новая техника внедрения макрокода и прочего выполняемого кода в файлы офеса через OLE-объекты, которая позволяет обходить запрет макросов в Trust Center:

https://youtu.be/nJSMJyRNvlM

Вроде как единственный надёжный способ спастись это правило в ЕМЕТ:

https://medium.com/@networksecurity/oleoutlook-bypass-almost-every-corporate-security-control-with-a-point-n-click-gui-37f4cbc107d0#.ca962tq0v

После последних ддосов Кребса и французов овх Шнеер решил, что the line is crossed и нужно обязывать производителей делать свои устройства secure:

https://www.schneier.com/blog/archives/2016/10/security_econom_1.html

Не читал ещё камменты, интересно, натолкали ли ему там чего в панаму?

http://betanews.com/2016/08/03/investigating-the-dnc-hack-qa/

Везде об этом пишут, дотянулись лапищи и до бетаньюза. Йа ф камментах, конешно, попросил обосновать. Ответа нет и уже не будет. Автор до полемики с читателями решил не снисходить.

Вообще удивительно, насколько велика мощь СМИ в форматировании реальности. Я не говорю, что всего этого ДНЦ хака не было вообще или что это не русские, просто это нужно доказывать. На данный момент доказательств предоставлено ровно ноль. Но все уверены -- ДНЦ хакнули и ни кто иной, как русские. Почему? Потому что некто Дмитрий Алперович из Crowdstrike (от комментариев этой темы журналистам уклонился, хотя, казалось бы), специалисты FireEye (не сказать, чтобы с незапятнанной репутацией) и теперь вот ещё какой-то Михаил Буратовский из Fidelis утверждают, что это так, и не иначе.

С трудом понимаю, как это всё может происходить в прямом эфире. Люди на этой планете вполне безнадёжны.

http://krebsonsecurity.com/?p=35619

Или прямо проплаченный пост, или по зову сердца согласованный со штабом Хиллари.

Я читаю Кребса давно, и этим постом он явно выходит за пределы типажа для его блога, а тема для докапывания (не настроен дмарк -- да у половины интернета его нету вообще) совершенно мелочна. При этом сам пост даже бессмыслен, покуда не доказано, что домен вообще используется для отправки почты в хоть сколько-нибудь значительных количествах.

Мудак. Агитировать можно, конечно, но не вот так изподтишка. Но хеспект

Бетаньюз репортует:

http://betanews.com/2016/07/05/fbi-do-not-prosecute-clinton/

В камментах поразительное единодушие местных ойтишнегов. В ленте некоторые восклицают что эпоха верховенства закона в США закончилась.

На этот раз в инфобезе, не проходит и дня, чтобы в каком-нибудь очередном блоге я не прочитал очередной консенсус экспертов о том, что пароли умерли, все их похоронили и вот-вот беспарольные методы типа всяких там челлендж-респонсов или биометрии станут вездесущи.

http://betanews.com/2016/06/29/ditching-passwords-by-2025/

Вот буквально на прошлой неделе, запароленный спредшит из офиса 2010 (2013 ещё тяжелее идёт, а ведь на дворе 2016), наша крэкстанция со скоростью перебора в 162 000 попыток в секунду, пилила 4 дня на брутфорсе, дошла до 5 символов. А пароль был Qwerty12345.

Что несут эти кретины? Какая смерть паролей? Нет никакого другого дешёвого, удобного и с большой применимостью там и сям способа аутентифицировать юзеров.

Конечно, если ты Марк Цукерберг, т.е. дебил, и твой пароль это dadadada, который ты используешь на доброй половине онлайн сервисов в энторнетах, то да, твой пароль могут и подобрать лет через 6 его использования. А если ты не селебрити и всем на тебя насрать, если твои пароли боле-мене сложны, а тем паче используешь пассворд менеджер, то подбор пароля при условии не просранных прочих мер безопасности займёт вечность.

Из поста МакАфи про Драйдекс( Read more... )

Judging by the events of Sunday, Facebook CEO Mark Zuckerberg won’t be forgetting it anytime soon. In case you don’t know: Zuckerberg’s Twitter, Pinterest, and LinkedIn accounts were compromised. Criminals explained that they found his data in the LinkedIn database sold underground. Though the Facebook founder declined to comment, it seems that he reused the same password for multiple social accounts.

https://usblog.kaspersky.com/change-passwords-now/7257/

Если что, линкедин был хакнут хз сколько лет назад. Часть паролей этого взлома к нему выложили, ну не знаю, недели две назад или больше. Новости не читай, везде используй один пароль.

PS Утверждают, что у дебила пароль был вполне дебильный, 'dadadada'. Ржунимагу.