- Kongresy -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 



Datum

Název

Kategorie

Web

26.2.20

VPGC Forum 2020: Strategie kybernetické bezpečnosti v době AI a 5G | Computerworld.cz KongresyComputerworld.cz

Prague Hacks – hackathon zaměřený na otevřená data startuje na konci září

3.8.2016 Zdroj: Lupa Kongresy
Víkendový programovací maraton se bude už podruhé zabývat daty, která poskytuje Praha, a to včetně třeba zoologické zahrady.
Jako Londýn nebo Leeds. Fond Otakara Motejla chce v rámci hackathonu na přelomu září a října naplnit „pražský dashboard“, tedy platformu, která bude ukazovat, co všechno lze s otevřenými daty v rámci města dělat. Přihlášky se otevírají dnes.

Loni na prvním ročníku hackathonu vzniklo 13 prototypů aplikací. Šlo třeba o platformu pro sdílení informací o kvalitě škol, model aplikace sledující pohyb prostředků hromadné dopravy v reálném čase nebo prototyp aplikace pro chytré hodinky sledující bezpečnost v ulicích.

Letos by měli během třídenní akce vývojáři v prostorech Node5 pracovat na widgetech a aplikacích, které budou popisovat život v metropoli ve čtyřech tematických oblastech. Těmi by měla být mobilita a obyvatelstvo, volný čas a vzdělávání, dobré vládnutí a transparentnost, a konečně i životní prostředí & sociální služby. Všechny aplikace budou pak zapojeny do výsledného dashboardu. „Dashboard a jeho výstupy budou v otevřeném kódu, aby bylo možné je upravovat a doplňovat i v budoucnu,“ tvrdí Michal Tošovský z Fondu Otakara Motejla.

K dispozici budou data z pražského katalogu otevřených dat, tedy třeba mapové podklady Prahy, jízdní řády MHD, ekonomická data některých městských částí, data pražské ZOO, Technické správy komunikací a plno dalších.

"Na projektech a aktivitách Fondu Otakara Motejla spolupracujeme dlouhodobě. I v případě této akce jsme se rozhodli podpořit ji a to jak finančně, tak především formou poskytnutí konzultací odborníků ze sdružení CZ.NIC. Naše participace na Prague Hacks 2016 bude spočívat ve zprostředkování vybraných dat z projektu Netmetr. V rámci akce budou také kolegové vystupovat jako mentoři, kteří pomohou účastníkům se v datech z toho projektu zorientovat a ukáží jim, jak s nimi vhodně pracovat,“ tvrdí šéf CZ.NIC Ondřej Filip.


Když český státní úřad a americký operátor AT&T pořádají hackathon

27.4.2016 Zdroj: Lupa.cz Kongresy

Český telekomunikační úřad opět ukázal, že se myšlení zbytku státní správy trochu vymyká a uspořádal vlastní hackathon. Připojil se i obr AT&T.
Viděli jste někdy vysoce postaveného státního úředníka, jak si vezme tričko, dá si pivo a dorazí na hackathon? Český telekomunikační úřad (ČTÚ) pod vedením Jaromíra Nováka opět ukázal, že je ve zdejším státním prostředí tak trochu anomálie. Úřad tento víkend uspořádal CTU and AT&T V4 hackathon.

Akci společně s americkým velvyslancem v Praze Andrew Shapirem otevřel i vicepremiér Pavel Bělobrádek (KDU-ČSL), který se čas od času veřejně k (alespoň slovní) podpoře digitální agendy přihlásí. Jenže jeho řeč mezi liberální internetovou společností působila poněkud zvláštně – v podstatě zde obhajoval nedávno schválené blokování stránek v rámci boje s internetovým hazardem.

Podle mnohých jde o cenzuru. Bělobrádek ale hájí vládní politiku a například v následné malé debatě na Twitteru uvedl, že „cenzura a pravidla jsou něco jiného“.

S penězi od AT&T

Zajímavé je zapojení amerického operátora AT&T, který se stal partnerem hackathonu. AT&T je vnímaný především jako tradiční značka působící na severoamerickém trhu, byznys se službami ale rozvíjí po celém světě a v českém prostředí je zakořeněn poměrně hodně. V takzvaném centru sdílených služeb v Brně pro AT&T pracuje už přes tisíc lidí. Nejde pouze o zaměstnance call centra, ale také techniky a další odborníky.


AT&T z Moravy obsluhuje zákazníky v Evropě, Africe a na Blízkém východě. Z Brna se řeší zejména telekomunikační služby a sítě. Firma má v současné době otevřeny desítky pracovních míst, hledá i specialisty na sítě, storage, Linux či OpenStack.

AT&T na Moravě spolupracuje i se školami a otevřela laboratoře a koncem dubna chystá i den otevřených dveří. Ve své podstatě jde každopádně o tradiční nadnárodní korporaci se všemi výhodami i nevýhodami. Zaměstnanci si pochvalují možnosti růstu, stabilní prostředí či přístup k hardwaru, stěžují si naopak na byrokracii, procesy, limitované růsty platů a podobně.

Americký operátor (proto i účast Shapira na startu) si prostřednictvím hackathonů a podobných akcí buduje povědomí mezi IT komunitou a aktivity tohoto druhu rozvíjí už několik let. Jde i o formu náborové kampaně. Ostatně podobně to dělají mnohé jiné firmy z oboru. AT&T rovněž na hackathonu poskytl vlastní platformu pro internet věcí, konkrétně AT&T M2X, a také poradce.


Zaměření akce je byznysu AT&T blízké. Vývojáři měli k dispozici zařízení typu Arduino či beacony od Kontakt.io, takže se daly rozvíjet i koncepty internetu věcí, hardwarové komunikace a podobně. Tedy něco, co dnes operátory dost zajímá. ČTÚ a americký operátor AT&T se do kontaktu a prvních námluv dostali během předsednictví Česka v rámci V4.

Sám v autobusu

ČTÚ zase od hackathonu očekává rozvoj nových oblastí. „Akce tohoto typu je přesně to, co v současné době region V4 v podpoře inovací potřebuje. Je to báječná příležitost, abychom akcelerovali právě probíhající rozvoj internetu věcí a využití otevřených dat veřejné správy,” věří předseda úřadu Jaromír Novák. Později dodal, že mu hackathon „potvrdil, že tahle země má obrovský potenciál“ a že se nemá promarnit.


Do akce se zapojili také partneři CZ.NIC, Y Soft Ventures a Credo Ventures, dorazil i prezident AT&T pro oblast EMEA Vladimir Slamecka. Zatímco na jiných hackathonech se často za odměnu dává pocit z dobře odvedené práce, přístup k nějaké cloudové platformě, pizza a Red Bull zdarma či nějaké to pěkné tričko, tato akce díky AT&T přinesla na odměnách celkem 15 tisíc dolarů.

Stačilo uspět v jedné ze čtyř oblastí a napsat aplikaci pro chytrá města, open data, vzdělávání nebo open source projekt následně uvolněný pro komunitu. Do pražského hotelu Pyramida nakonec dorazilo odhadem kolek čtyřiceti účastníků několika národností a často tu zněla angličtina.

Deset tisíc dolarů nakonec vyhrála aplikace Babble, která má „vracet lidi od technologií do reálného kontaktu“, zejména v hromadné dopravě. CZ.NIC zase udělil cenu za open source projektu DámeMatiku, který je už k dispozici na GitHubu. Feed dalších fotek a tweetů je možné si vyfiltrovat na Twitteru.


Black Hat: Android má v sobě závažnou chybu

13.8.2015 Konference
Zranitelnost Certifi-gate nalezená v nástrojích mobile Remote Support Tools (mRST), které jsou v podstatě ve všech verzích Androidu a které se využívají mohou útočníci využít pro neomezený přístup k zařízení,ke krádežím osobních údajů a další nekalé operace.

Chyba, kterou objevili analytici Check Pointu, ovlivňuje zařízení významných výrobců, včetně společností LG, Samsung, HTC a ZTE.

„Certifi-gate“ je zranitelnost, která umožňuje aplikacím získat nelegitimní privilegovaná přístupová práva, která jsou obvykle používána pro vzdálenou podporu aplikací (předinstalovaných aplikací i nainstalovaných uživateli).

Útočníci mohou zneužít Certifi-gate pro neomezený přístup k zařízení a mohou krást osobní údaje, sledovat polohu zařízení, zapnout mikrofony pro záznam rozhovorů a provádět řadu dalších akcí s infikovaným zařízením.

Všichni dotčení prodejci začali uvolňovat aktualizace. Zranitelnost nelze opravit, jedinou možností je provést aktualizaci zařízení, což je poměrně pomalý proces. Android nenabízí žádný způsob, jak zrušit certifikáty používané k podpisu zranitelných pluginů.

Uživatelé mobilních zařízení se systémem Android si mohou ověřit, jestli je jejich zařízení ohroženo zranitelností Certifi-gate prostřednictvím bezplatné skenovací aplikace Certifi-gate Scanner na Google Play.


Blackhat USA a Defcon 2015
12.8.2015 Konference

Blackhat a Defcon 2015ar se koná v Las Vegas v tomto roce ve městě Mandalay Bay a Paříži, s 9000 lidmi v Blackhat účasti a další na Defcon. Zatímco navštěvuje blackhat je mnohem dražší, jste téměř jisti si místo na jednání máte v úmyslu na navštěvovat. V Defcon, se zdá, že většina účastníků byli ujištěni čekat ve frontě na nejvíc chybí z rozhovorů, které mají zájem, s jinými lidé křičí o tom v halách. Organizátoři DEFCON zvolili nové místo konání konference v letošním roce, a je třeba jej opravit.

bh_escalator

Blackhat měl další fantastický lineup s některými ohromující obsah, jako v minulých letech . Široká škála témat byly představeny letos a našli jsme několik velmi zajímavé. Možná již nalézt nástroje na GitHub a papíry a skluzavky pro mnoho prezentace na blackhat.com. Můžeme očekávat, že videa z těchto rozhovorů na youtube v blízké budoucnosti. Organizátoři DEFCON budou nahrát příval rozhovorů, jak činili v minulých letech:

čtyři z rozhovorů se točila kolem hypervisor implementací a související obsah, včetně silných a slabých stránek současné i budoucí bezpečnostní architektury Windows10 závislých na hypervisoru a firmware systému. Pass-the-hash a zlaté a stříbrné obranu vstupenek, Windows 10 pověření Guard a ostatní služby jsou postaveny na předpokladu důvěryhodného zavazadlového prostoru
Kód průmyslový PLC injekce s kódem STL Socks Proxy a STL SNMP skener pro plné průmyslové sítě kompromisu, zneužívání internetu čelí PLC
unpatchable globální zranitelnosti v simplex SATCOM protokolu Globalstar GPS, ovlivňuje vojenské, SCADA sítě, komunikace první odpověď a doprava
nová třída eskalace privilegium x86 prstenci -2 zranitelnosti pouze opravené 2013+ procesory Intel, odcházející 100000000, že nelze opravit


Virus Bulletin 2014: nové časy, stejné problémy
4.10.2014 Konference
Během posledního týdne v září antimalware průmysl se dali dohromady v jedné z nejstarších a nejvíce legendární informační bezpečnosti konference ve světě, 24. Virus Bulletin International Conference (VB2014), která se konala v krásném Seattlu, USA. Společnost Kaspersky Lab byla tam prezentovat a sdílet širokou škálu probíhajících výzkumných témat s bezpečnostní komunitou.

seattle

V první den konference jsme se ukázaly znovu a znovu, jak Linux operační že to není tak škodlivý software zdarma více. Demontáž mýtus, měli jsme několik rozhovorů na toto téma, mezi nimi "Ebury a CDorked Full zveřejňování." a " infekce malware Apache Linux-založené: kousání do ruky, která nás všechny slouží "upozornil na netradiční malware a jak Webový server Apache je chycen uprostřed tohoto * nix světě, se stal efektivní platformou pro útočení a infikovat nic netušící zákazníky.

Můj kolega Santiago Pontiroli představil o aktuálním "Bitcoin zlatý důl", a jak se s počítačovou kriminalitou se rychle zaměřuje cryptocurrencies a jejich uživatelů. Zatímco sdílet některé z nejzajímavějších vzorků malwaru, které se zaměřují Bitcoin a jiných alternativních měn, diváci dostali přehled výhod, které digitální měny nabízejí zemích Latinské Ameriky a důvodech činnosti zločinců.

Santi

Třešničkou na první den dortu byla prezentace sdílí Patrick Wardle, který se vztahuje " Metody malware vytrvalosti na Mac OS X ", opět nám ukazuje, že ne všechno v malware ekosystému je o Microsoft.

S tolika dobrých jednání, aby se zúčastnili druhého dne, někdy dělat správná rozhodnutí bylo poměrně obtížné. Velmi zajímavé prezentace Jérôme Segura, pokud jde o technické podpory podvody, demonstroval v detailu, jak vytvořit honeypot chytit tyto podvodníky a zároveň zdůrazňuje, že je důležité povědomí uživatelů a vzdělávání.

Předložil jsem jeden rok výzkumů útoků proti " boletos " , starý a velmi oblíbený platebního styku z Brazílie se sídlem v tištěných dokumentech a čárových kódů, které ukazují, jak místní špatní přizpůsobily své trojských koní je změnit, přesměrování plateb na svých účtech, a krást miliony dolarů v procesu.

Fabio

Byl to obrat k mé kolegyně David Jacoby předložit velmi legrační (zatím informativní) prezentaci o tom, jak se naboural svůj vlastní domov , využívají různé chyby zabezpečení v síťových zařízení, jako jsou inteligentní televizory, tiskárny, NAS, atd interaktivně ukazuje, jak vystavovat těchto zařízení aby se útoky znamenat ohrožení celé domácí sítě, všechny prezentace byla zobrazena s legračními obrázky GIF a (kupodivu), diapozitivy byly ručně vytvořený s MS Paint.

david

Bezpečnostní výzkumníci společnosti Microsoft nám běh dolů na NET malware analýzy jejich poslední chvíli papíru "NET malware dynamické vybavení pro automatizované a manuální analýzy". Jako malware vývojáři se stále více spoléhají na vyšších programovacích jazyků pro své škodlivé výtvory, nástroje, jako je předloženou v této přednášce bude zásadní pro malware analytiků, kteří chtějí, aby se stal zdatný v NET Škodlivé aplikace studia.

A poslední Kaspersky prezentace byla od Vicente Diaz v "OPSEC pro výzkumníky bezpečnosti" . Pracuje jako bezpečnostní výzkumník je v dnešní době není snadný úkol, zvlášť teď, když už se zabývá pouze technickými aspekty. Globální obraz bezpečnostního prostředí v těchto dnech nabízí nové aktéry, včetně vlády, velkých společností, zločinecké gangy a zpravodajskými službami. To staví výzkumníky v některých obtížných situacích.

Vicente

Závěrečný panel byl zábavný a poučný, se David Jacoby přináší povědomí komunity o tom, jak se zveřejňování důležitých zranitelnosti (jako Heartbleed, a nyní neslavný Shellshock ) by měly být řešeny, a to, co role dělat prodejci hrají v tomto scénáři. Po proslovu Katie Moussouris z HackerOne na "Odměny a norem a vuln zveřejnění, oh my!", závěrečná panel od nás odešel s koherentní citem pro konference, čímž se do popředí to, co průmysl jako celek by měla být orientace v Podmínky zranitelností zveřejnění a stejné problémy jsme museli chránit připojená zařízení, internet věcí, Crypto měn a platebních systémů.

Časy se mění, ale stejné problémy přetrvávají, jedna věc je jasná, jsme stále tady pro ochranu uživatele a boj proti počítačové trestné činnosti.


Zářijová 3x CON: Part 1
Britská cesta Kongresy

24.9.2014

Co, kdy a kde: 4. ročník 44CON , roční IT Security konference organizovaná Sense / Net, sro, se konal 10.-12 září v Londýně, v místě nedaleko výstaviště Earl Court. Geeks, kteří se stalo, aby si trochu strašidelné historické památky, může trvat pět minut chůze od místa konání navštívit starého a impozantní hřbitov, jeden z londýnských Sedm statečných .

Plán tento rok byl plný tří stop (většinou) 1h dlouhých prezentacích v rámci širokého spektra témat: od sociálního inženýrství k využívání technik, od crypto-měn na internetu věcí souvisejících s hrozbami pro GSM hacking. Některé úžasné semináře byly spuštěny současně v prostorách, které byly nesoucí známé názvy AES, 2DES a Blowfish.

odznak
44CON Badge: BusBlaster v3
Letošní odznak je nejen velmi pohledný, ale také se může ukázat, že je velmi užitečné, alespoň pro výzkumné pracovníky hardware orientované, jak se to stane, že je BusBlaster v3 deska, zvláště přizpůsobeny pro 44CON (najdete úplnou specifikaci zde ) . Tato malá roztomilá věcička může být použit k programování a ladění ARM zařízení.

Rozhovory
S tak mnoho věcí děje současně, nebylo možné plně účastnit i třetina z nich. Navíc, on-line program neobsahoval popis jednání, takže v některých případech výběru správné skladby předem tak trochu loterie. Nicméně celková kvalita prezentace byla tak vysoká, že bez ohledu na to, který mluví jste zvolili, vždy skončil s nějakou novou, cenné informace.

44con
Joshua J. Drake na jevišti
Z výběru velmi dobré jednání jsem se zúčastnil, tady jsou moje oblíbené ty:

"Zkoumání Android zařízení zabezpečení pomocí droid armáda" , Joshua J. Drake (jduck), ve kterém - v poměrně zábavnou formou - Joshua vysvětlil, jak a proč se stavěl jeho výzkumnou laboratoř, schopná testování 40+ zařízení se systémem Android ve stejnou dobu. Byl jsem opravdu ohromen rámci Joshua vynalezl pro správu jeho "armády droidů".
"Já lovit TR-069 Admins: pwning ISP jako šéf" tím, že Shahar Tal (jifa). Tato diskuse byla obzvláště zajímavé pro mě, protože já jsem v současné době podílí na výzkumu hrozby pro malé síťových zařízení, jako jsou obytné brány (aka SOHO routery), z nichž spravedlivý podíl pomocí protokolu TR-069 mluvit s ISP Auto konfigurace serverů. Ukazuje se, že (opravdu překvapivé, pokud se mě ptáte), že tento protokol je špatně zabezpečené a velmi zranitelné, a mohou být využívány takovým způsobem, který by mohl mít vliv na celou řadu zařízení. A nejhorší na tom je, že průměrný uživatel nemůže udělat mnoho pro zlepšení bezpečnosti jejich sítě, a to i v případě, že mají dostatečné znalosti. Většina zodpovědnosti leží na poskytovateli služeb, spolu s výrobci hardwaru, kteří se nezdají obavy dost o bezpečnostních otázkách ...
"Na Jejího Veličenstva tajné službě: GRX a Spy agentura" , Stephen Kho a Rob Kuiters. To docela zajímavá diskuse o tom, jak a proč GCHQ pirát Belgický poskytovatel GRX byla dána odborníky z týmu KPN CISO a uzavřel druhý den konference. První část přednášky byla technický popis protokolu GRX, to je funkčnost a slabé stránky, a jaký druh informací může být propuštěn; V druhé části jsou reproduktory předložila výsledky "rozsáhlé síťové skenování", které provedla během posledních několika měsíců. Je to opravdu děsivé, že existuje spousta zařízení se systémem zranitelné a * hrozně * zastaralý software na GRX sítí.
44con_networking
Socializace v 44CON
Networking je jednodušší s Gin hodin, přestávky jednu hodinu v odpoledním rozvrhu (na obou konferenčních dnů), který byl speciálně určen pro lidské interakce a socializace v intimní atmosféře konference baru. Tradiční červený double-decker autobus tam byl, aby britské pivo, jablečný mošt a Pimm je; Každý účastník byl také nabídnut zdarma sklenku ginu a tonikum.

Některé z materiálů již byly publikovány a jsou k dispozici na Slideshare .

Celkově Zkušenosti byl opravdu skvělý a my se těšíme na účast na další 44CON v roce 2015!


Cyber ​​Security EXPO: Kdo, co a kdy
22.9.2014 Kongresy
V dnešním složitém a vždy-propojeném světě, útočníci mohou využívat stále větší počet vstupních bodů, aby páchaly škody na společnosti a jednotlivce. S více a více hráčů (Kyberzločinci, ví o korupčním jednání, vlády atd), které mohou představovat stále vážnějším hrozbám, jako jsou apts, špionáže a podvodů, je velmi důležité být připraven na budoucnost.

Vzhledem k tomu, hrozba kyberkriminality stále roste, je klíčem k připojení společnosti na nejnovější myšlení v kybernetické bezpečnosti. Mezi předních událostí počítačové bezpečnosti je Cyber ​​Security EXPO , která bude umístěna společně s IP EXPO Evropy v londýnském Excel. Konat v 8 -. 9. října 2014 mají za cíl, Cyber ​​Security EXPO bude poskytovat CISO a IT bezpečnostní pracovníci nástroje, nové myšlení a politiky ke splnění 21. století obchodní kybernetické bezpečnosti výzvu S více než 300 vystavovatelů, bude letošní akce mají řadu činností, aby nás blíže k hackerské komunity a jejích technik. Cyber ​​Hack, živé open source bezpečnostní laboratoř, odhalí návštěvníkům ukázky a diskuse o nejnovějších útocích a zjištěným rizikům. akce bude také hostit širokou škálu seminářů zasedání, včetně:

Bydlení v dohledu stavu - Mikko Hypponen, F-Secure
Už profesionálové kybernetické bezpečnosti ztratily kontakt? - Jitender Arora, Independent
Paradoxem velkých dat - Bruce Schneier, CO3 Systems
Vedení největší světový telefon podnikání bezpečná a její akcionáři šťastný - Richard Knowlton, Vodafone
Ochrana vaší organizaci ve vnějším světě-in - Jon Callas, Silent Circle
CIO a CSO v C-Suite: Kam patří? - Robert Quinn a Rick Howard, Palo Alto Networks
Teď mě vidíte, teď nemusíte: honit úhybný malware - Giovanni Vigna, Lastline.
Je důležité, aby podniky zavést komplexní přístup k ochraně jejich majetku, a to s největší pravděpodobností jedná spíše proaktivní než reaktivní přístup k bezpečnosti. ponořit se hlouběji do toho, co potřebujete vědět o svých vlastních systémů a obranu, zaregistrujte se na Cyber ​​Security EXPO 2014.


V září proběhne veletrh Prague Fire & Security Days 2014

11.9.2014 Konference
Šestý ročník veletrhu protipožární a zabezpečovací techniky, systémů a služeb FSDays 2014 se uskuteční ve dnech 16. – 20. září v PVA EXPO Praha v Letňanech. Opět proběhne souběžně s veletrhy FOR ARCH 2014.

V rámci veletrhu bude představena řada nových nebo inovovaných produktů z oboru zabezpečení, jako například:

Centr PCO bude na svém stánku prezentovat minialarm EPIR3 – plnohodnotné zabezpečovací zařízení v „samoinstalačním“ balíčku. Jde o ojedinělé zařízení typu „all in one“ s nativní možností připojení k PCO, jehož zprovoznění zvládne běžný uživatel sám.

Express Alarm Czech předvede novinky v oblasti průmyslové televize, například panoramatickou kameru Fisheye nebo analogovou technologii HD-TVI.

Firma Flajzar představí například prvky zabezpečovací techniky nebo komunikátory GSM.

Elfnet Group bude na veletrhu prezentovat inteligentní bezpečnostní systémy (ISS), které jsou inteligentním řešením automatizované videoanalýzy obrazu se specifickými pokročilými funkcemi – rozpoznávání registračních značek, zaznamenávání a rozeznávání obličejů, analýza plynulosti dopravy a dopravních nehod.

Jablotron Alarms rozšiřuje nabídku komponent svých systémů. Na veletrhu FSDays představí například novou ústřednu řady JA-100 s vestavěným komunikátorem LAN JA-101KR-LAN a pohybové detektory PIR systému Jablotron 100.

Hned několik novinek představí společnost Radom, například zařízení dálkového přenosu z ústředen EPS či EZS – vysílač STX23A a komunikátor GSM/LAN určený pro přenosy informací z ústředen EZS či EPS.

Společnost Safe 4U představí vojenské bezpilotní stroje a další vlastní produkty, ale předvede také přístrojové vybavení k hledání pasivních a aktivních odposlechových prostředků. Společnost je činná v profesionálním zajištění aktivní ochrany proti úniku informací.

Společnost Secar Bohemia pod svou vlastní značkou SHERLOG nabízí technologie zabezpečení vozidel, strojů, nemovitostí, úniku médií z potrubí, monitoring dopravních prostředků, zásilek, osob, až po zdraví a životní styl.

Sicurit CS přichází na veletrh se systémem SmartLiving, platformou EZS, na které je možné postavit systém domácí automatizace. Společnost bude dále prezentovat videodetekční systémy a záznamové servery pro vysokou bezpečnost.

Společnost Siemens představí produkty z oblasti požárních a bezpečnostních systémů.

Soutěž FSDays Award 2014

Pro všechny prezentující se společnosti je v letošním roce opět vyhlášena již tradiční prestižní soutěž o nejlepší exponát či službu FSDays Award 2014. Přihlášené exponáty bude hodnotit komise složená z odborníků bezpečnostního průmyslu. Hlavní cenou pro výherce je originální skleněná plastika navržená předním českým designérem Pavlem Šťastným.

Odborné konference a workshopy na aktuální témata

Návštěvníci se mohou těšit na řadu zajímavých témat odborných konferencí, workshopů a seminářů.

17. 9. – vzdělávací workshopy s praktickými ukázkami s mottem „Bezpečnost se mění z minuty na minutu...“

13:00 – 14:00 Dohledová centra
14:10 – 15:10 Způsob řízení bezpečnosti z pohledu jednotlivých bezpečnostních firem
15:20 – 16:20 Mechanické zábranné systémy

18. 9. se od 9:30 do 15:00 uskuteční konference se dvěma hlavními tematickými okruhy:

Bezpečnostní systémy a jejich verifikace
Falešné poplachy v systémech EPS – eliminace a jak jim předcházet,

Další informace získáte na stránkách www.fsdays.cz.


Comguard a IDG zvou na mezinárodní konferenci o bezpečnosti ICT

5.9.2014 Konference
Jaká jsou aktuální řešení v boji proti malwaru, jak vypadá detekce složená z postupných analýz, co jsou technologické inovace řešení webových a e-mailových bran, co může přinést nový management pro mobilní zařízení či jak vyzrát na zálohování dat a virtuálních strojů? Na to vám odpoví mezinárodní konference Security & Networking Praha 2014, kterou pořádá Comguard a jehož partnerem je IDG včetně magazínu Securityworld.

Podtitulem akce je „Hrozby musíme umět předvídat“ a účastnit ser jí můžete ve čtvrtek 25. 9. 2014 v Aquapalace Hotel Prague v Čestlicích od 9.00 do 16.00 hodin. Bližší informace a registrace zde. Bezpečnostní odborníci Comguardu se v tradiční sekci TOP USE CASES zaměří na to, jak umí malware elegantně obejít antivirová řešení a na testech z Kompetenčního centra ukážou, jak různé modifikace malwaru detekovat.

Účastníci konference budou provedeni skládačkou moderních datových center, která musí splňovat podmínky pro cloudové služby, mobilitu, vysokou dostupnost a jednoduchou správu. Součástí programu budou i dvě případové studie, právní okénko s advokátní kanceláří Havel, Holásek & Partners, které se tentokrát zaměří na implementace softwaru, specifika cloudu a smluv na cloudové služby a zpráva z kybernetického evropského cvičení CyberEurope 2014 v podání milého hosta Andreji Kropáčové z CSIRT.CZ

Přednášky a prezentace budou doplněny o živé ukázky, návody a konzultace během celého dne.

Generálním partnerem akce je společnost McAfee, partnery firmy Barracuda, Brocade Communications, Cyberoam, Observe IT a Sophos.


Odhalení vzorců hrozeb ve vaší web a mobilní majetku
14.8.2014 Kongresy
Během Black Hat konferenci v Las Vegas, RiskIQ oznámila automatizované platformy s globálním dosahem, která umožňuje organizacím objevovat, skenování malwaru a sbírat hrozbách na všech webových stránkách a mobilních aplikací, které jsou zákonně nebo nezákonně spojené s jejich podnikáním.

Tato technologie poskytuje společnostem žalovatelné informace potřebné, aby se zabránilo zločincům využívat své značky na přípravky na útoky, které se zaměřují na nic netušící uživatele. V nedávném posouzení více než 27.000 internetových stránkách spojených s pěti největších zdravotnických společností v USA, RiskIQ služba zjistila, že 16 procent porušil SSL certifikáty a 77 procent obsahovalo stránky, které byly buď aktivní, přesměrování provozu nebo zlomený. Tento snímek ukazuje rozsah problému, že velké společnosti čelí ve snaze sledovat jejich legitimních webových služeb, policie je pro malware a identifikovat lokality, které mohou být se vydává svou značku. RiskIQ platforma využívá celosvětovou síť softwaru na bázi virtuálních uživatelů automaticky zaznamenávají a inventář webových stránek, on-line reklamy a mobilní aplikace, které jsou oprávněně nebo podvodně spojené s společnosti nebo kterýkoli z jejích značek. Spojité funkce zjišťování RiskIQ může identifikovat všechny případy spojené s firmou, na internetu, včetně těch na weby třetích stran, ve vestavěných a odkazující adresy URL, a přes 90 různých app obchody. Pro ​​každou objevenou aktiva, RiskIQ automaticky zachycuje úplný relace a údaje Document Object ( DOM) k vytvoření dynamického soupisu jeho atributy (datum registrace, majitel, geografie, atd). Tento globální viditelnost umožňuje organizacím jednoznačně znát a řídit jejich web a mobilní otisk. Chcete-li určit, webové a mobilní aktiva společnosti, které jsou, které představují riziko pro své zákazníky, virtuální uživatel software RiskIQ v interakci s webovými stránkami, uvádí na trh mobilní aplikace a takto vložené URL Způsob, jakým člověk by uživatel. Tato technologie odzbrojí únikové techniky používané malware skrývat od tradičních webových roboti a mobilní aplikace pro skenování agentů. RiskIQ automaticky a průběžně vyhodnocuje / třídí webové stránky na přítomnost malware, škodlivé reklamy, snímání osobně identifikovatelných informací, atd Objevuje také imitátor, zlomyslný a údaje krádež mobilních aplikací. "Pro většinu firem, udržování zásob a policejní krky webové stránky a mobilní aplikace pro malware a porušení značky je ručně nemožné. Nicméně, oni jsou stále zodpovědný za detekci a sundávat hrozeb, které uživatelé místo v nebezpečí, "řekl Elias Manousos, generální ředitel společnosti RiskIQ. "Musíme umožnit společnostem, aby okamžitě získat přehled a kontrolu nad jejich webových a mobilních zdrojů, včetně těch, které jsou uchvácení jejich značku, aby jim bez malware a dalších hrozeb." Chcete-li pomoci podnikům řídit, audit a odhalit vzory hrozeb přes jejich web a mobilní majetek, RiskIQ poskytuje intelligence palubní desku naplněn tři roky aktuálních a historických dat hrozeb. To umožňuje uživatelům spouštět velkých objemů dat dotazy přes jejich web a mobilní majetek, u prošlých SSL certifikáty, skripty a cookies třetích stran, případy malware, typo squatting, využívat sady a další. RiskIQ lze zjistit, co-události, jako je například přítomnost určitého škodlivého softwaru napříč všemi aktivy, a provádět posouzení shody. RiskIQ platforma pro web a mobilní je k dispozici ihned od RiskIQ a jejích obchodních partnerů, a cena je založena na Objem a četnost zkoumaných aktiv.


Zavádění a monitorování lákadla snadno
14.8.2014 Kongresy
Na Black Hat konferenci, LogRhythm vydala nový analytický balík, který sleduje honeypots sledovat rádoby útočníci, což umožňuje zákazníkům analyzovat hanebné taktiku a generovat cílenou hrozbách, které usnadňuje probíhající adaptivní obrannou pozici.

Honeypots jsou izolovány vějička systémy a služby, jejichž cílem je vypadat jako produkční servery, ale možnost být citlivé na IT útočníky. Při nasazení a analyzovány správně, poskytují organizacím zvýšení povědomí o útoku a narušení činnosti generující dynamický výzkum hrozeb jedinečné pro zákazníka prostředí, ve kterém se zaměřujeme. S LogRhythm nové sady mohou zákazníci snadno nasadit honeypots přilákat oportunistických hackery. Když útočník začne komunikovat s honeypot, Bezpečnostní informační platforma LogRhythm začíná sleduje akce útočníka, analýzu dat honeypot vytvořit profily vzorců chování a metodik útoku na základě nových hrozeb. AI Engine provádět v reálném čase, pokročilé analytiky na veškeré činnosti zachycené v honeypot, včetně úspěšné přihlášení do systému, pozoroval úspěšných útoků a pokusů o úspěšné / malware činnosti na počítači. Tento automatizovaný a integrovaný přístup k lákadla eliminuje potřebu manuálního kontroly a údržby spojené s tradičními honeypot nasazení. LogRhythm Security Intelligence Platform upřednostňuje Intel odvozený od lákadla zorganizovat odpovědí od podobných útoků na produkčních sítích. Například, pluginy LogRhythm SmartResponse automaticky uplatnit svá vyjádření z apartmánu na řízených černých listin a zjištěné malware, tak IP adresu útočníka zaměřeného na honeypot bude blokován a programy prováděné lze identifikovat v případě, objevil na produkčních systémech. "LogRhythm pokračuje v inovacích a naše Honeypot Security Analytics Suite je nejnovějším příkladem ze sady vlastností a funkcí, že rozvoj schopnosti našich zákazníků odhalit a reagovat na kybernetické hrozby rychleji, "řekl David balení, ředitel LogRhythm Labs. "Je to teď velmi rovně vpřed pro zákazníka LogRhythm nastavit honeypot, který vypadá a chová se stejně jako sítě zákazníka. LogRhythm Security Intelligence Platform analyzuje, co útočníci dělají, a že Intel je okamžitě sklízí nejlépe ochránit celou společnost. " apartmá je k dispozici zákazníkům okamžitě jako součást Bezpečnostní informační platformy LogRhythm je.


CIA venture firma CISO nabízí singulární řešení pro počítačové problémů
14.8.2014 Kongresy
V eklektickém keynote doručeným Black Hat konferenci publikum, Dan Geer, CISO v In-Q-Tel, dělal známý jeho myšlenky na a představy o celé řadě věcí: z internetového hlasování na hledání slabých míst, z čisté neutrality práva který se nezapomíná. In-Q-Tel je ne-pro-korporace zisku, který investuje do technologických společností s cílem udržet US výzvědné služby vybavené nejmodernějšími informačními technologiemi, ale v tomto případě, Geer předložit své vlastní názory. Věří že hlasování přes internet je obecně velmi špatný nápad ("Motivovaný a odborné soupeři jsou skoro undefendable proti."), a která se zřekla kód základny by měla být otevřená zdrojů jako věc veřejného zájmu. Vysvětlil, že neutralita sítě by měla být záležitostí volby pro ISP: vyberte nabíjení v závislosti na obsahu, ale je odpovědný za to, i když jeho "škodlivé"; nebo si ochranu nosiče, ale pak ztrácí právo kontrolovat obsah a účtovat více. Použil příklad Spojených států Centra pro kontrolu nemocí argumentovat pravděpodobné přínosy povinného režimu pro hlášení závad kybernetické Odhaduje se, že překonal konkrétní závažnost práh; a řekl, že vývojáři a prodejci by se měla konat právně zodpovědná za "nedbale kódování, nedostatečné testování, snižování nákladů, neúplné dokumentace, nebo prostě neschopnost", a bez ohledu na poškození jejich software způsobí, že když se používá, jak je to určeno k použití. "Buď softwarové domy poskytují kvalitu a zálohovat se odpovědnosti za vadné výrobky, nebo budou muset nechat svým uživatelům chránit současnou situaci -. uživatelé nemohou zjistit, zda je třeba chránit a mít jinou možnost bytí nechráněné - nemůže jít dál, "poznamenal. Poukázal na to, proč se domnívá, že stávkující se na kybernetických útočníků je obtížné dělat správné (sdílené infrastruktury, přičítání problém), a že "právo být zapomenut" a právo si vybrat, zda budete používat své skutečné identity pro váš digitální jeden, nebo ne (a při této příležitosti), je něco, co chce pro sebe a pro ostatní. Nakonec navrhl, aby americká vláda otevřeně ovládnout světový trh zranitelnosti tím, že platí za informace, desetkrát více než ostatní uchazeči a zajistit, aby všechny veřejné. "užitečnost této strategie pochází ze dvou vedlejších účinků: jeden, že přeplácení jsme rozšířit talentů zranitelnosti nálezci, a dva, že tím, že veřejnost každou chybu americká vláda nakupuje jsme je devalvovat , "podotkl. "Nepotřebujeme inteligenci na to, co zbraně, nepřátelé naši, máme-li něco, co v blízkosti kompletní inventář světových vulns a mají společné, že se všechny dotčené dodavatele softwaru." Jeho návrhy jsou nekonvenční, a většina z nich - není-li všechny - pravděpodobně nikdy realizován (a možná, že by neměla být), ale rozhodně se podařilo stimulovat publikum, a doufejme, že zahájí jednání, které přinese lepší řešení problémů kybernetické nyní čelit. přepis keynote je dobře stojí za přečtení, a můžete si je stáhnout zde.


FTC Žádat DEF CON Nápověda Catch Robocallers
19.6.2014 Kongresy
Spojené státy americké Federal Trade Commission je nemocná a unavená z nelegální robocalling, a to hostování soutěž letos na DEF CON hackerské konferenci v Las Vegas ve snaze dělat něco o tom.
Únava ochrany spotřebitele agentury pravděpodobně pochází z více než 150 tisíc stížností, které dostává o automatizované telefonní hovory každý měsíc. Soutěž, známý jako "Zapping Rachel," vyzývá DEF CON účastníků rozvíjet honeypot systémy navrženy tak, aby přilákat a identifikovat pachatele nezákonných automatizovaných systémech volání.
FTC říká, že technologický pokrok, jako je auto-dialery jsou podněcuje nárůst škodlivých robocalls. Nejen, že zločinci vypálit tisíce hovorů každou minutu méně peněz a počítačových zdrojů, ale mohou také snadno poplést sebe a své umístění podle spoofing identifikační informace o volajícím.
"FTC a naše orgány činné v trestním partnery jsou zejména zájem na vývoji robustních, řezání-hrana robocall honeypots (informační systém určený pro přilákání robocallers), které mohou pomoci odborníci a úřady pochopit a boje proti nedovoleným hovorů", napsal Lois Greisman, náměstek ředitele marketingových postupů divize FTC.
Chodí na vysvětlení, že tam jsou robustní bezpečnostní produkty a technologie k dispozici pro boj webové nese spam, ale že existuje vážný nedostatek takových řešení, které chrání uživatele od telefonního spamu.
"Bohužel, technické rozdíly mezi telefonní hovor a e-mailu, a proto je obtížné používat internetové taktiku zabezpečení v boji proti robocalls," Greisman píše. "Doufáme, že to změnit tím, že inspiruje DEF CON exp 0381-robocalls-infographicERTS uplatnit své znalosti a kreativitu jménem milionů lidí, frustrovaných těchto nelegálních volání. "
FTC jasně nevidí robocalling jako pouhou obtíž. Tvrdí, že praxe napadne soukromí uživatelů, kypí nákladné podvody, a v extrémních případech, představuje vážné ohrožení kritické infrastruktury tím, že umožňuje telefonní popření servisních útoků.
K tomuto bodu, FTC primárně bojoval telefonní spam v soudní síni. Nicméně, v roce 2012, uspořádala Komise podobnou soutěž nabízí 50.000 dolarů každému, kdo by mohl vyvinout prostředky pro zmírnění robocalls. Nové obchodní objevila mezi vítězi této soutěže - tzv. Nomorobo - kdo komerčně anti-robocalling výrobek, že škeble zablokovala více než čtyři miliony automatických hovorů.
Mluvčí FTC potvrdil v telefonickém rozhovoru s Threatpost, že bude finanční odměna pro vítěze soutěže. Konkrétní pravidla a výplata budou zveřejněny na internetových stránkách FTC na pozdější dobu.
"Pravděpodobně jste dostali robocalls o kandidátech systémem pro kanceláře, nebo charitativní organizace žádat o dary. Tyto robocalls jsou povoleny, "FTC vysvětluje na robocalling informačního listu. "Ale v případě, že záznam je zpráva prodeje a jste dali svůj písemný souhlas získat volání z firmy na druhém konci hovoru je nezákonné. Kromě toho, že telefonní hovory jsou nelegální, jejich rozteč největší pravděpodobností je podvod. "

Ve stejném informačního listu, Komise uvádí, že čistě informační hovory jsou zcela legální. To by mohlo zahrnovat automatické volání o zrušení letu, jmenování připomenutí, opožděné školní otvorů a další. Nicméně, firma za volání není dovoleno propagovat prodej veškerého zboží a služeb. Nahrané zprávy od podniku, který je v kontaktu se vám sbírat dluhu jsou také povoleny, ale zprávy, které nabízejí prodat služby na snížení dluhu, budou blokovány.

"Jiné výjimky zahrnují politické hovory a hovory z určitých poskytovatelů zdravotní péče. Například, lékárny jsou povoleny pro použití předem nahrané zprávy, aby předpis náplň připomenutí. Nahrané zprávy od bank, telefonních dopravců a charity jsou rovněž osvobozeny od těchto pravidel v případě, že banky, dopravci nebo charity, aby sami volat. "


DARPA Grand Challenge Cyber ​​Finale Set Pro DEF CON 2016
6.6.2014 Kongresy
DARPA oznámení v říjnu loňského roku, že by sponzor $ 2 milión soutěž, náročné akademické a bezpečnostní průmysl oddaní stoupenci přijít s automatickým obranným systémem v síti, již přilákal 35 účastníky a high-profil místo pro fázi turnaje finále.

Závěrečná fáze DARPA Cyber ​​Grand Challenge se bude konat v průběhu DEF CON 2016, s kvalifikačních akcí plánovaných v mezidobí.

Oba týmy, z nichž sedm byly vyhlášeny včera: For All Secure; GrammaTech; Lekkertech; SIFT; SRI; Trail of Bits; University of California v Berkeley; bude navrhovat a stavět vysoce výkonné počítače používané v průběhu výzvy.

Týmy jsou za úkol budování automatizovaných systémů zabezpečení, které budou moci bránit.
Týmy jsou za úkol budování automatizovaných systémů zabezpečení, které budou moci bránit proti útoku, jak jsou vypuštěny tyto útoky.

DARPA včera řekl, že registrace je otevřena do 2.listopadu. Týmy mohou vstoupit do jedné ze dvou kolejí jsou k dispozici ve výzvě. Open Track je pro osoby samostatně financované týmy, zatímco návrh skladby budou tvořeny týmy pozvané a vzhledem k financování semeno DARPA. Tato skladba se bude přehrávat v otevřeném výběrovém řízení vedle června v kvalifikačním případě, že DARPA.

Vhodně se soutěž odehrává na DEF CON, domov jednoho z nejznámějších a nejdéle běžící zachycení bezpečnostního průmyslu soutěží Flag, DARPA řekl Cyber ​​Grand Challenge bude následovat podobný formát.

"Tento přístup vyžaduje, aby konkurenti zpětně analyzovat tento software vytvořený organizátory výzvou a najít a léčit své skryté nedostatky v živém soutěži sítě," řekl DARPA v prohlášení.

Soutěžící budou mít dva roky na vybudování těchto samostatně hájit systémy před tím, než soutěžit head-to-head v Las Vegas; DARPA plánuje vytvořit vizualizační systém, aby diváci mohli sledovat událost živě a přes internet.

"Metody zabezpečení Dnešní zapojit odborníky pracující s počítačovými systémy pro identifikaci útoků, řemesla nápravná opravy a podpisy a distribuovat tyto korekční uživatelům všude, proces, který může trvat celé měsíce od doby, kdy útok je nejprve zahájena," řekl Mike Walker , DARPA manažer programu . "Jediná efektivní přístup k obraně proti dnešním neustále se zvyšující objem a rozmanitost útoků je přejít na plně automatizovaných systémů, které jsou schopny objevit a neutralizovat útoky okamžitě."

DARPA také včera oznámila, že to bylo uvolnění rozšíření open-source pro operační systém Linux s názvem VYHLÁŠKA. Rozšíření je platforma pro spouštění malých vzorků zkušební software, v podstatě dávat konkurentům výzkumného prostředí pro práci, který bude použit ve výzvě.

DARPA oznámila Cyber ​​Grand Challenge na konci října , a že v době, kdy se systém nebude skenovat a identifikovat zranitelnosti systému, ale Patch je na pochodu.

"V současné době náš čas na opravu nově objevenou bezpečnostní chybu se měří ve dnech," řekl Walker. "Prostřednictvím automatického uznávání a sanace softwarových chyb, termín pro nové kybernetického útoku se může měnit od nuly den nulové sekundu."

DARPA řekl, v té době také, že vstřelí záznamy o tom, jak dobře systém chránit hostitele, identifikovat nedostatky a udržovat software běží. Kromě první ceny, běžci-up by získáte 1 milionů dolarů a třetí místo 750.000 dolar.


Bitcoin 2014 Konference - Jsou Crypto-Měny dosažení dospělosti?
19.5.2014 Konference

Jak Bitcoin 2014 konference je odvíjení zde v Amsterdamu dnes, musím přiznat, že jsem ohromen tím, jak se crypto-měna komunita dělat rychlé kroky k dosažení zralosti.

Více než 1100 Bitcoin nadšenci z 50 zemí, 120 reproduktory a 40 vystavovatelů se sešli na každoroční akci Bitcoin Foundation diskutovat o minulosti, přítomnosti a budoucnosti kryptografických měně, ze všech možných perspektiv - technických, právních, ekonomických a sociálních.

Gavin Andresen Roční Stav Bitcoin Adresa - Bitcoin 2014 - Amsterdam, Nizozemsko
Hlavní otázkou pro většinu Bitcoin firem právě teď je "Jak se dostaneme všichni používat tuto novou měnu? " - a získání důvěry je nezbytnou součástí každého z možných odpovědí na tuto otázku.

Víme, že bezpečnostní incidenty v minulosti narušily důvěru ve Bitcoin ekosystému. Jako Gavin Andresen navrhl ve své "výroční státě Bitcoin" adresy, lidé by měli "zapomenout února 2014" - to je, když největší bezpečnostní incident v historii Bitcoin stalo, což vede k odstávce Mt. GOX , největší výměna v té době Bitcoin. To je také, když cena za 1 BTC klesl z více než 1000 USD na méně než 400 dolarů.

Bitcoin ekosystém byl vždy negativně ovlivněna mnoha hrozeb - od relativně vzácné, ale velmi důležité, "Bitcoin loupeže", nebo bezpečnostních incidentů, které zahrnují digitální výměnu nebo třetí strany poskytovatelů peněženky, na výzvu ze dne na den udržet své bitcoins bezpečí před hrozbami, jako jsou trojské koně, které se zaměřují na Bitcoin peněženky , malware, který se těžba CPU / GPU , nebo dokonce Ransomware, že je s použitím Bitcoin jako způsob platby za digitální vydírání ( Cryptolocker případ ).

Pomocí anonymního charakteru a nevratnými transakce, není divu, že ti špatní bude vždy zájem Bitcoin. A to je pro jakoukoliv šifrovací měně nadšence špatné zprávy venku.

Následujte mě na Twitteru

Dobrou zprávou je, že všechny zúčastněné strany v Bitcoin právě teď se zdá, pochopit význam bezpečnosti - od zákazníků, kteří se rozhodli poskytovatelům služeb, které pracují s pečlivě, na základě bezpečnostních funkcí, které nabízí a bezvadný historických záznamů, aby venture kapitalisté, kteří se ujistit, investice proudí do směru profesionálně a zodpovědně spustit start-up firem Bitcoin.

Bezpečnost udělat hned přinese důvěru a důvěra je to, co je potřeba pro dosažení masové přijetí .


Rekordní ceny za Pwn2Own a Pwnium soutěžících
1.4.2014 Konference

Výsledky prvního dne tradičních Pwn2Own hackerské soutěže na CanSecWest konferenci v současné době probíhá ve Vancouveru jsou, a poražení jsou Adobe, Microsoft a Mozilla.

Tým z francouzské bezpečnostní firmy a zranitelnosti / zneužít prodejce Vupen se hrabal v 300000dolar krakování Adobe Reader ($ 75,000), MS Internet Explorer 11 ($ 100,000), Adobe Flash ($ 75,000) a Mozilla Firefox ($ 50,000). Firefox byl ohrožen další dva doba ve stejný den od bezpečnostních výzkumníků Mariusz Mlynski a Jüri Aedla, z nichž každý obdržel $ 50,000 cenu. "Máme pwnd Adobe Reader XI se přetečení haldy + PDF sandbox útěku (aniž by se spoléhat na chyby jádra)," komentoval Vupen na jeho účtu Twitter. "Máme pwnd IE11 na Win8.1 pomocí použití-po-free kombinaci k objektu zmatku v makléřem obejít IE pískoviště." Je zajímavé si povšimnout, že iniciativa společnosti Hewlett-Packard Zero Day (ZDI) - organizátoři Akce - změnila některá pravidla soutěže téměř na poslední chvíli, a nejdůležitější je, že každý, kdo uspěje rozlousknout jeden z cílů bude odměněn, a ne jen první tým nebo jednotlivec, který jej řídí. Samozřejmě, že zranitelností / využije, musí být jiný. "Bylo fascinující vidět různé způsoby, které výzkumníci obchází karantény a způsoby, které zřetězené více zranitelná," ZDI manažer výzkumu zranitelnosti Brian Gorenc komentoval výsledky na celý den. Než soutěž začala, Google je a ZDI tým zúčastnil v Pwn4Fun, samostatné akci, která skončila v úspěšné využití řady nově objevených zranitelností v prohlížeči Safari a IE. Ceny (82.500 dolar celkem) byly darovány do kanadského Červeného kříže. Také ve středu, první den Google sponzorované Pwnium soutěži skončil jeden badatel využití Chrome OS na HP Chromebook 11, vyhrál i notebook a cenu 150,000 dolarů. Soutěž pokračuje ve čtvrtek. Pwn2Own pokračuje, a naplánované "útoky" jsou proti Safari, IE, Firefox, Flash a Chrome. Bohužel zde nejsou žádné naplánované soutěžící pro okázale oznámila Exploit Unicorn událost multi-produktu.


Pwn2Own 2014 končí, $ 850k distribuovány úspěšných hackery
1.4.2014 Konference
Den dva na hackerské soutěže Pwn2Own na konferenci CanSecWest ve Vancouveru skončila s Safari, Internet Explorer, Firefox, Chrome a Flash jít dolů.

Tým Vupen pokračoval včerejší řetězec úspěchů tím, že udeří Chrome se zneužít chyby zabezpečení použití-po-free v Blink a Webkit remizoval s sandbox útěku Chrome, a přidal další $ 100,000 300,000 dolarů dříve získal. Mají staženy jejich vstup za to, že jít na Safari. prohlížeč Apple byl místo toho úspěšně "pwned" od Liang Chen Keen týmu, který se děje doma s 65,000 dolary v kapse a, samozřejmě, notebook, že to udělal on. Chcete-li, že bude také přidat polovinu 75000dolar on a Zeguang Zhao z team509 byly uděleny pro přetečení haldy Adobe Flash s sandbox obtokem, který vyústil v kódu. George Hotz (aka "geohotovu"), slavný iPhone a PlayStation 3 hacker, sestřelil Firefox i když s out-of-vázané čtení / zápis zranitelnosti, a dostal 50,000 amerických dolarů za to. úspěšný pokus na praskání Internet Explorer byl vykonán Sebastian Apelt a Andreas Schmidt. Jsou využívány dva use-po-bez chyby a zranitelnosti jádra, a vysloužily 50.000 dolarů hlavu. Jung Hoon Lee ASRT také vzal šanci na IE, ale byl neúspěšný. Nakonec anonymní výzkumník, který vstoupil do soutěže na základě plné moci se podařilo využít libovolný čtecí / zapisovací chyba s sandbox bypass, což mělo za následek spuštění kódu, ale bude udělena pouze 60.000 dolary kvůli jedné části prezentace je v kolizi s zranitelnosti prezentované ve středu v soutěži Pwnium sponzorované firmou Google. Letošní Pwn2Own viděl rekordní počet přihlášek. Účastníci byli odměněni 850.000 dolarů celkem -. Bez dobročinné dary nebo hodnoty notebooků a ZDI bodů "Všechny zranitelnosti byly zveřejněny na svých prodejců v Poslanecké zveřejňování, a každý bude pracovat na řešení těchto problémů prostřednictvím svých příslušných postupů , "komentoval Angela Gunn, Senior Security Content Developer, HP Security Research.


TrustyCon jednání zpřístupněny na videu
9.3.2014 Konference
Jak oznámil , TrustyCon INFOSEC konference, zřízená bezpečnostní poradenská firma ISEC Partners, Electronic Frontier Foundation (EFF) a DEF CON a koná současně jako RSA Conference USA 2014 , byl vypracován docela dav. S reproduktory, jako je F-Secure je CRO Mikko Hypponen, cryptographer a bezpečnost počítačový expert Bruce Schneier, a několik dalších INFOSEC svítidla that bojkotovali konferenci RSA probuzení veřejných obvinění, že RSA přijato 10 milionů dolarů z NSA na backdoor its Bsafe řešení konference zabývat otázkou důvěry v technologii společnosti a jejich nabídky, jakož i vlády, a jak bychom mohli udělat druhý přepínač od špehování "všichni" na špionáž zločinců. Netrvalo dlouho a organizátorů vydat video s hodnotě více než sedmi hodinách rozhovorů od událost.


RSA Účastníci konference ambivalentní o taktice NSA
8.3.2014 Konference
Thycotic Software oznámila výsledky průzkumu 341 RSA Conference USA 2014 účastníků, která zjistila, že méně než polovina (48%) z pollees pocit, že NSA překročil své hranice ve svém dohledu amerických občanů. Po rozsáhlé kritice agentury v hlavní projevy Tato data ukazují, že mnozí odborníci na bezpečnost v úvahu jeho činnosti nezbytné k americkému kybernetické obrany. Současně, tři čtvrtiny (75%) respondentů, bez ohledu na jejich postoj k NSA, myslím, že ti, kteří bojkotovali RSA konference v letošním roce mají právo jejich názoru, a 9% dokonce uvažuje se k nim připojili. Pouze 17% uvedlo, ti, kteří bojkotovali RSA jsou pozornost azyl. Průzkum také odhalil rozšířené přesvědčení, že zneužití privilegovaného přístupu dochází v rámci organizace úcastník. Pouze 19% respondentů věří, že takový přístup, často odkazoval se na jako "klíče království", je používán správně. . V čem může signalizovat rezignaci na tuto skutečnost, zhruba jeden z pěti (19%) RSA attendees naznačují, že by ještě najmout Edward Snowdena, dána možnost Další klíčové závěry z průzkumu patří:

Z 52% respondentů, kteří neměli naznačují, že NSA překračuje své hranice, 21% věří, že vláda musí být vědomi toho, komunikačních údajů občanů z cílem lépe chránit z teroristické činnosti, a 31% uvedlo, že jsou v rozporu o problém, a že zatímco oni mají co skrývat, jsou obavy o ztrátu soukromí.
Případně, 48% respondentů jednoznačně říci, NSA se překročit jeho hranice v jeho sledování občanů USA.
61% respondentů na vědomí, že buď věděli, že zaměstnanci v rámci jejich společnosti byly zneužívány privilegovaný přístup (24%) nebo že je pravděpodobné, že mají (37%). Dalších 20% nejste jisti, zda se to stalo.
Bohužel, průzkum neříká, zda pollees byli američtí občané nebo ne.


CeBIT bude ve znamení bezpečné komunikace

8.3.2014 Kongresy
První ročník veletrhu CeBIT v post-Snowdenovské éře se zaměří na bezpečnost, zejména pak na ochranu mobilních zařízení proti odposlouchávání.

Pokračující špionážní aféra americké Národní bezpečnostní agentury přispěla k tomu, že se bezpečnost stala jedním z hlavních témat letošního veletrhu CeBIT, který se již tradičně uskuteční ve dnech 10. až 14. března 2014 v německém Hannoveru. Svými produkty se příští týden hodlá na CeBITu prezentovat téměř 500 bezpečnostních firem. Seznam obsahuje taková jména jako SecuSmart, Digittrade či Datev.

Zájem o produkty SecuSmart značně vzrostl poté, co německá kancléřka Angela Merkelová začala používat ve svém BlackBerry 10 pro ochranu komunikace nástroj SecuSuite. Tato služba umožňuje šifrování hlasových hovorů i datové komunikace. Používá kartu microSD se 4GB pamětí flash pro ukládání šifrovaných dokumentů a malou čipovou kartu pro realizaci šifrování. Letos pak společnost hodlá představit celou řadu produktů pro ochranu před odposlechy.

Na CeBITu budou k vidění také různé alternativy k populárním chatovacím aplikacím typu WhatsApp. Konkrétně v případě WhatsApp se totiž poté, co se služba stala majetkem Facebooku, objevují hlasy doporučující uživatelům přechod na jinou bezpečnější aplikaci. Například Digittrade se tak hodlá pochlubit aplikací Chiffry, která nabídne šifrované zprávy i telefonování.

Obě výše zmíněné společnosti mají své kořeny v Německu a tohoto faktu hodlají využít i při propagací svých bezpečnostních novinek.

Bezpečná komunikace však není jen záležitostí šifrování. Ošetřen musí být i přístup k zařízením a aplikacím. Oblíbenou alternativou ke kódům PIN se stávají čtečky prstů nebo odemykání obrazovky pomocí určitého zaklepání, které nabízejí produkty od LG. Zcela jiný způsob pak hodlá představit společnost Datev – čtečku čipových karet, která se k uživatelským zařízením bude připojovat přes rozhraní Bluetooth. Na CeBITu chce firma technologii předvést třeba na iPadu.


CSA up ante na virtuální Hackathon
6.3.2014 Kongresy
Cloud Security Alliance (CSA) dnes oznámila, že zvyšoval ante, protože nikdo zatím nebyl schopen proniknout Software Defined Perimeter (SDP) sítě, protože soutěž začala v pondělí.

Pro virtuální Hackathon, se registrovaní účastníci z celého světa, byl dán IP adresy cílového souborového serveru, stejně jako SDP komponenty je chrání. To v podstatě simuluje "" zasvěcených útok "- po vzoru reálného světa prostředí -. Jak na privátním cloudu a veřejné cloudové infrastruktury Účastníci mají také přístup k referenčním SDP systému se naučit, jak systém funguje naplánovat svůj útok. Hackathon je postaven na veřejném cloudu bez zvláštní ochrany, s výjimkou těch, poskytuje Software Defined obvodu. Pomáhá ověřit koncepci, že softwarové komponenty, může poskytnout tolik ochranu před síťovými útoky jsou fyzické systémy. První účastník úspěšně zachytit cílovou informace o chráněném serveru je obdrží hrazenou cestu do Black Hat USA 2014, jakož i na DEF CON 22. konference (původně to bylo jen DEF CON), včetně vzduchu a hotel, který se konal v Las Vegas 6-10 08. 2014. "Věříme, že SDP je zásadní změna v tom, jak se blížíme zajišťující sítě a jsou vyzývány, že nikdo nemá byli schopni proniknout prototyp ještě, "řekl Bob Flores, soudce případě, bývalý technický ředitel CIA, a prezident a generální ředitel společnosti Applicology Incorporated. "Chceme vyzvat všechny zainteresované strany, kdekoli na světě, pro testování bezpečnosti SDP sítě." Software Defined Perimeter (SDP) Iniciativa je CSA projekt zaměřený na rozvoj architektury pro zajištění spotřební zařízení, cloud infrastruktury, jakož i jako "internet věcí", s využitím cloud pro vytvoření vysoce zabezpečené a důvěryhodné end-to-end sítí mezi jakýmikoli adresovatelných subjekty IP. Úplná pravidla soutěže a registrace jsou k dispozici na zde . Hackaton bude trvat až do patnáct hodin PST 27. února