La Quadrature du Net - Mastodon - Media Fédéré
#infosec

Oracle released the October 2017 Critical Patch Update (CPU) that addresses a total of 252 security vulnerabilities that affect multiple products.
securityaffairs.co/wordpress/6 #infosec

I've been too negligent on keeping up with #infosec. how did we get to a point where ME can be disabled on core i7 machines? how far-reaching are the approaches?

#Infosec WiFi WPA2 - KRACK : petit résumé de la disponibilité des patchs de sécurité buff.ly/2ikDp3X (Le Comptoir du Hardware)

C'est pour cela que tous les professionnels #Infosec vous diront que ce n'est pas "si je me fais attaquer" mais "quand je me ferai attaquer"

Alors je sais bien qu'étant moi acteur du milieu, ça ressemble à un biais. Et pourtant c'est bel et bien une réalité.

Bref, si ce "petit" thread a pu vous en faire prendre conscience, c'est déjà ça ! (Mais je vous connais trop bien bande de tête de mules 😉)

On m'a demandé de parler un peu plus de mon boulot en #Infosec alors je vais commencer par le problème numéro 1 : Les gens "non concernés".

Le principal obstacle que l'on doit surmonter dans le métier, c'est ouvrir les yeux des gens sur le fait que TOUT LE MONDE est concerné.

D'abord on a des chiffres : En 2015, plus de 80% des entreprises ont été attaquées. 4 sur 5. C'est un peu beaucoup quand même.

To improve the security of my severs, I'm generating my own moduli file. Having a different one from others makes certain precomputed attacks more difficult.

"""
for i in 2048 3072 4096 6144 7680 8192 ; do ssh-keygen -G moduli-${i}.candidates -b $i; done

for i in 2048 3072 4096 6144 7680 8192 ; do ssh-keygen -T moduli-${i} -f moduli-${i}.candidates; done

cat moduli-???? > moduli; mv moduli /etc/moduli
"""

This will take a few days....

#openbsd #infosec #security #ssh

Thanks to Yubico for their quick reaction on the Infineon RSA Key Generation Issue!

It turned out that my Yubikey 4 is affected by the bug while my Yubikey Neo is not. (Luckily I'm currently only using my Neo key). You can check your key here:
yubico.com/keycheck/verify_otp

If your key is affected Yubico sends you a coupon code for a new, free Yubikey.

#yubico #yubikey #infineon #rsa #bug #infosec

So many websites backup their databases into the web server public directory, oh my gawd! Lazy #devops I guess. They probably have a wget cron job on another machine to pull the backup. google.com/search?q=filetype:s #infosec