هذا الأسبوع آمن: تحصل Huawei على Banhammer و Lastpass وكود كسر قديم
بينما كان الكثير منا يستمتع بعطلة عيد الشكر ، اتخذت حكومة الولايات المتحدة إجراءات صارمة ضد Huawei وأربع شركات صينية أخرى. الأكثر تضررا هي Huawei و ZTE ، حيث يمنع الحظر أي منتجات جديدة من الموافقة على السوق الأمريكية. الشركات الثلاث الأخرى هي Dahua و Hikvision ، اللتان تصنعان معدات CCTV ، و Hytera ، التي تصنع أنظمة الراديو. أكد مفوض لجنة الاتصالات الفيدرالية بريندان كار على جدية القرار.
[نتيجة] لطلبنا ، لا يمكن الموافقة على أي جهاز جديد من Huawei أو ZTE. ولا يمكن الموافقة على أي معدات Dahua أو Hikvision أو Hytera جديدة ما لم تؤكد لجنة الاتصالات الفيدرالية (FCC) أن معداتها لن تُستخدم للسلامة العامة وأمن المنشآت الحكومية وأغراض الأمن القومي الأخرى.
من الممكن أيضًا أن الأجهزة التي تمت الموافقة عليها مسبقًا قد يتم إبطال التفويض الخاص بها. تتوفر مستندات FCC الأولية ، إذا كنت تريد حقًا الاطلاع عليها. اللافت للنظر هو أن إدارتين أمريكيتين متعارضتين تمامًا دفعتا باتجاه هذا الحظر. سيكون من المثير للاهتمام بالتأكيد إلقاء نظرة على التقارير السرية التي توضح بالتفصيل ما تم العثور عليه بالفعل. ربما في غضون عقد أو عقدين يمكننا التقدم بطلب للحصول على قانون حرية المعلومات والحصول على القصة كاملة أخيرًا. التشويش من أجل العودة
[0xacb] لديه تقنية جديدة ممتعة للمشاركة ، والتي يسميها REcollapse. هذه هي التعبيرات العادية المستخدمة في التحقق من صحة إدخال المستخدم وتعقيمه. من الصعب إتقان Regex وهو مليء بالمراوغات في طريقة تنفيذ اللغات والمكتبات المختلفة له. مثال بسيط هو عنوان بريد إلكتروني يحتوي على "punycode" - أحرف غير ASCII Unicode. من الشرعي تمامًا أن يحتوي العنوان على Unicode ، لكن العديد من أنظمة التطبيع تقلل سلاسل Unicode إلى أقرب تقريب لـ ASCII. خذ example.com و example.com. إذا رأى أحد أجزاء خدمة الويب أنها متشابهة ورأتها خدمة أساسية أخرى فريدة من نوعها ، فقد يسمح عدم التطابق هذا بالاستيلاء على الحساب. أدخل بريدك الإلكتروني هنا لتلقي رابط إعادة تعيين كلمة المرور.
الجديد هنا هو نهج منظم غامض لهذه المشاكل. يقترح [0xacb] تحديد "مواضع regex pivot" ، وهي أماكن في سلسلة قد يكون فيها تطابق regex غير متوقع أو غير متسق. مثال مختلف جدًا على ذلك هو رمز نهاية السلسلة $. يمكن للمطور استخدامه لتحديد أن نمطًا معينًا يجب أن يطابق فقط عندما يكون في نهاية السلسلة. ولكن ماذا يحدث عندما يكون هناك سطر جديد مضمن في السلسلة؟ هذا يعتمد على اللغة. أوتش!
تتاح ميزة "إعادة الانهيار" الآن كأداة مفتوحة المصدر وتعمل بشكل رائع لتغذية المدخلات الغامضة في أداة آلية. قم بتشغيله ضد هدف وشاهد الردود المختلفة. ابحث عن شيء جيد واستمتع به! التصيد باستخدام الساعات الذكية
ابتكر فريق Cybervelia طريقة أخرى لحصد هدف. يمتلك الكثير منا ساعات ذكية ، وإحدى الوظائف الأكثر فائدة لهذه الأعاجيب المثبتة على المعصم هي إلقاء نظرة على نص أو رسالة أخرى دون البحث عن هاتف. هل يمكن لمهاجم ، بهوائي بلوتوث منخفض الطاقة ، محاكاة ساخرة لرسالة نصية إلى ساعة ذكية قريبة؟ بعد بعض الهندسة العكسية ، بالتأكيد. من خلال الرسالة الصحيحة ، مثل "بحاجة إلى مساعدة ، الطابق الثاني" ، يمكن للهدف أن يبدأ في التحرك دون التحقق من الهاتف واكتشاف الانتحال. البحث عن البرامج الضارة في الوقت الفعلي
بينما كان الكثير منا يستمتع بعطلة عيد الشكر ، اتخذت حكومة الولايات المتحدة إجراءات صارمة ضد Huawei وأربع شركات صينية أخرى. الأكثر تضررا هي Huawei و ZTE ، حيث يمنع الحظر أي منتجات جديدة من الموافقة على السوق الأمريكية. الشركات الثلاث الأخرى هي Dahua و Hikvision ، اللتان تصنعان معدات CCTV ، و Hytera ، التي تصنع أنظمة الراديو. أكد مفوض لجنة الاتصالات الفيدرالية بريندان كار على جدية القرار.
[نتيجة] لطلبنا ، لا يمكن الموافقة على أي جهاز جديد من Huawei أو ZTE. ولا يمكن الموافقة على أي معدات Dahua أو Hikvision أو Hytera جديدة ما لم تؤكد لجنة الاتصالات الفيدرالية (FCC) أن معداتها لن تُستخدم للسلامة العامة وأمن المنشآت الحكومية وأغراض الأمن القومي الأخرى.
من الممكن أيضًا أن الأجهزة التي تمت الموافقة عليها مسبقًا قد يتم إبطال التفويض الخاص بها. تتوفر مستندات FCC الأولية ، إذا كنت تريد حقًا الاطلاع عليها. اللافت للنظر هو أن إدارتين أمريكيتين متعارضتين تمامًا دفعتا باتجاه هذا الحظر. سيكون من المثير للاهتمام بالتأكيد إلقاء نظرة على التقارير السرية التي توضح بالتفصيل ما تم العثور عليه بالفعل. ربما في غضون عقد أو عقدين يمكننا التقدم بطلب للحصول على قانون حرية المعلومات والحصول على القصة كاملة أخيرًا. التشويش من أجل العودة
[0xacb] لديه تقنية جديدة ممتعة للمشاركة ، والتي يسميها REcollapse. هذه هي التعبيرات العادية المستخدمة في التحقق من صحة إدخال المستخدم وتعقيمه. من الصعب إتقان Regex وهو مليء بالمراوغات في طريقة تنفيذ اللغات والمكتبات المختلفة له. مثال بسيط هو عنوان بريد إلكتروني يحتوي على "punycode" - أحرف غير ASCII Unicode. من الشرعي تمامًا أن يحتوي العنوان على Unicode ، لكن العديد من أنظمة التطبيع تقلل سلاسل Unicode إلى أقرب تقريب لـ ASCII. خذ example.com و example.com. إذا رأى أحد أجزاء خدمة الويب أنها متشابهة ورأتها خدمة أساسية أخرى فريدة من نوعها ، فقد يسمح عدم التطابق هذا بالاستيلاء على الحساب. أدخل بريدك الإلكتروني هنا لتلقي رابط إعادة تعيين كلمة المرور.
الجديد هنا هو نهج منظم غامض لهذه المشاكل. يقترح [0xacb] تحديد "مواضع regex pivot" ، وهي أماكن في سلسلة قد يكون فيها تطابق regex غير متوقع أو غير متسق. مثال مختلف جدًا على ذلك هو رمز نهاية السلسلة $. يمكن للمطور استخدامه لتحديد أن نمطًا معينًا يجب أن يطابق فقط عندما يكون في نهاية السلسلة. ولكن ماذا يحدث عندما يكون هناك سطر جديد مضمن في السلسلة؟ هذا يعتمد على اللغة. أوتش!
تتاح ميزة "إعادة الانهيار" الآن كأداة مفتوحة المصدر وتعمل بشكل رائع لتغذية المدخلات الغامضة في أداة آلية. قم بتشغيله ضد هدف وشاهد الردود المختلفة. ابحث عن شيء جيد واستمتع به! التصيد باستخدام الساعات الذكية
ابتكر فريق Cybervelia طريقة أخرى لحصد هدف. يمتلك الكثير منا ساعات ذكية ، وإحدى الوظائف الأكثر فائدة لهذه الأعاجيب المثبتة على المعصم هي إلقاء نظرة على نص أو رسالة أخرى دون البحث عن هاتف. هل يمكن لمهاجم ، بهوائي بلوتوث منخفض الطاقة ، محاكاة ساخرة لرسالة نصية إلى ساعة ذكية قريبة؟ بعد بعض الهندسة العكسية ، بالتأكيد. من خلال الرسالة الصحيحة ، مثل "بحاجة إلى مساعدة ، الطابق الثاني" ، يمكن للهدف أن يبدأ في التحرك دون التحقق من الهاتف واكتشاف الانتحال. البحث عن البرامج الضارة في الوقت الفعلي
What's Your Reaction?
