sueden.social ist einer von vielen unabhängigen Mastodon-Servern, mit dem du dich im Fediverse beteiligen kannst.
Eine Community für alle, die sich dem Süden hingezogen fühlen. Wir können alles außer Hochdeutsch.

Serverstatistik:

2 Tsd.
aktive Profile

#itsec

9 Beiträge8 Beteiligte0 Beiträge heute

Whoa, hearing ProtonMail got blocked in India... supposedly over deepfakes? 🤔 That's pretty wild stuff.

It really drives home how fast new tech can spawn problems we just don't have easy answers for yet, doesn't it? You know, end-to-end encryption is super important, absolutely vital even, but let's be real – it's not some magic wand that fixes everything.

So, it leaves us wrestling with the big question: How do we actually protect people from misuse like this without just jumping straight to heavy-handed censorship?

Putting on my pentester hat for a sec, I can't help but feel the providers themselves have a part to play here. Do they need to step up their game? Or is this whole situation just way more complicated than it looks on the surface?

Seriously curious to hear what you all think about this. Drop your thoughts below! 👇

alright, a vulnerability for educational institutions using the contentkeeper software.
if you are using the on prem appliance, and you have it reconfigured to reroute to a uRL (EG blockage.example.com) it obviously has strings.
these strings can be manipulated in order to turn it around and say someone else did it. for example, if the person is John do and their email is jdoh@studentschool.org and they got caught and redirected to this url, this means that they can manipulate the URL to change the email to say, a staff member, and make it seam like someone else visited that website. weather this can be done in realtime, I am sure it can.
my recommendation is that you do not have it redirect t9o a URL and in stead, just have it stay on that same webpage they are trying to access while displaing it there. alternatively, relay the block page someware static which doesn't reveal any of this information. for example blindsoft.net/sorry.html which has a static page. (if it's an option).
#cybersecurity #it #itsec

Ich habe mir die aktuelle Folge des Podcasts angehört. Gefällt mir gut 👍🏻

#podcast #itsec #informationssicherheit

sicherheitsluecke.fm/

Die Sicherheits_lückeDie Sicherheits_lückeWas macht unsere digitale Welt sicher – und wo bleiben wir verwundbar? Der Podcast Die Sicherheits_lücke hilft dir, Cybersecurity zu verstehen. Prof. Dr. Volker Skwarek (HAW Hamburg) spricht gemeinsam mit Monina Schwarz (LSI Bayern) und Prof. Dr. Ingo Timm (DFKI & Uni Trier) über aktuelle Risiken, technologische Trends und gesellschaftliche Herausforderungen. Du bekommst praxisnahe Einblicke und verständliche Erklärungen – ergänzt durch eine klare Einordnung von Fakten und Meinungen. Der Podcast macht IT-Sicherheit greifbar und verbindet fundierte Inhalte mit unterhaltsamen Gesprächen. Ob du Entscheidungsträger:in, IT-interessiert oder Einsteiger:in bist – die Sicherheitslücke gibt dir die Möglichkeit, digitale Risiken besser einzuschätzen und kluge Entscheidungen zu treffen. Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm Die Sicherheits_lücke im Netz: www.sicherheitsluecke.fm Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU) – https://portal.hoou.de Ingo Timm beim DFKI: https://www.dfki.de/web/ueber-uns/mitarbeiter/person/inti01 Volker Skwarek an der HAW Hamburg: https://www.haw-hamburg.de/hochschule/life-sciences/forschung/ftz-cybersec/unser-team/ Produktion und Musik: Christian Friedrich – https://christianfriedrich.org Design: Anne Vogt – https://von-vogt.de Der Podcast ist, soweit nicht anders vermerkt, lizenziert unter CC BY-SA 4.0: https://creativecommons.org/licenses/by-sa/4.0/deed.de
Antwortete im Thread

@dave_andersen @AVincentInSpace personally I consider any "#KYC" a risk-factor, and @signalapp has proven their ability and willingness to restrict functionality (i.e. their #Shitcoin-#Scam #MobileCoin) based off said #PhoneNumbers (Cuban, Russian and North Korean Numbers were excluded) which are in fact #PII (even if one doesn't have to #ID for obtaining a #SIM, they are circumstantial PII)...

  • They have neither "legitimate interest" nor legal mandate to collect said data (or to integrate a scammy Shitcoin for that matter) as the discontinuation of #ChatSecure / #TextSecure has eliminated the "technical necessity" to have those.

Either way they either have to yeet #Hegseth as client and/or stop collecting PII like PhoneNumbers - they gotta have to do something

#ITsec is a different story, but unlike #Signal these do not depend on a #PhoneNumber and work through @torproject / #Tor.

  • And I've been using Tor for almost 15 years daily now...

I took an ITSec training today that gave "Thi5izmyP4ssWord!" as an example of a good password to use. I'm curious what people think of a password like this.
#ITSec #security #passwords

ARD AudiothekPodcast: Das wichtigste Hobby der WeltChristian kämpft mit Selbstzweifeln. Doch dann findet er ein neues Hobby, das sein Leben ändert - und nebenbei das von jedem, der das hier gerade liest. Ein Deep Dive in die Welt der Open Source Maintainer, eine Gruppe freiwilliger Programmierer, die das Internet für uns alle am Laufen hält und dabei immer mehr Druck gerät. SHOWNOTES Podcast-Tipp: "Too Many Tabs" hört ihr hier: https://1.ard.de/too_many_tabs Happy Places der Woche: André nerdet sich in Beatles Songs rein: https://shorturl.at/D4Arp Caro von Too Many Tabs ist im "Wer wird Millionär Trainingslager" unterwegs: https://spiele.rtl.de/denk-spiele/wer-wird-millionaer-trainingslager-online.html Und Miguel treibt sich auf den Insta-Accounts von Hubert Feller und Matthias Mangiapane rum: https://www.instagram.com/reel/DHRRNHZoJNE/ Hier lest ihr einen guten Text des Standard zum finnischen Entwickler Lasse Collins und dem XZ Utils "Hack": https://www.derstandard.at/story/3000000213960/wie-die-computerwelt-gerade-haarscharf-an-einer-sicherheitskatastrophe-vorbeigeschrammt-ist Vordenker Richard Stallman über die Grundsätze der Open Source Bewegung https://www.youtube.com/watch?v=Ag1AKIl_2GM Schüler eklären Log4j so gut, dass es jeder versteht https://www.youtube.com/watch?v=W_p6YmLQfp8 CNN Beitrag über Log4J https://edition.cnn.com/2021/12/15/tech/log4j-vulnerability/index.html Das Open Source Förderprogramm des Bundesministeriums für Wirtschaft und Klimaschutz https://www.sovereign.tech/ Ein Ex-Maintainer bloggt über seine Gründe aus Open Source auszusteigen https://dev.to/sapegin/why-i-quit-open-source-1n2e

Browser extensions... seriously? 🤯 Think of 'em like little backdoors straight into your systems.

Sure, things like spellcheckers and handy AI tools seem convenient, right? But the permissions they often demand? Honestly, it's often insane. 😵‍💫

Look, as a pentester, I strike gold with these *all the time*! 💰 We're talking cookies, passwords, browsing habits – sometimes it's all just wide open. And *then* people are shocked when they get hacked. 🤷‍♂️

Yeah, security awareness training definitely matters. But here’s what’s even more critical: you absolutely *need* to know which extensions your team is actually using! Go on, check those permissions thoroughly! Otherwise, you're just asking for trouble down the line. 💥

So, spill the beans: Which browser extension has given *you* a major headache before? Let's hear it!

Die #US-Zoll- und Grenzschutzbehörde hat weitreichende Befugnisse, um alle Geräte von Reisenden bei der Ein- und Ausreise - unabhängig von deren Staatsangehörigkeit - zu durchforsten.

Es gibt zwei Arten von Durchsuchungen:

Eine einfache Durchsuchung kann ohne jeden Grund, völlig willkürlich oder aufgrund einer bloßen Vermutung über eine Person erfolgen - vielleicht aufgrund ihres Aussehens oder einer Antwort, die sie auf eine Frage gegeben hat. Bei einer einfachen Durchsuchung blättert ein Beamter durch die Fotos, E-Mails, Apps und Dateien der Geräte. Für diese Art der Durchsuchung ist kein Verdacht auf ein Fehlverhalten erforderlich.

Bei einer erweiterten Suche kann der Inhalt der Geräte zur Analyse kopiert werden. Dazu muss ein "begründeter Verdacht" auf einen Rechtsverstoß vorliegen, oder Bedenken hinsichtlich der nationalen Sicherheit bestehen. Ab hier müssen Geräte grundsätzlich als kompromittiert betrachtet werden.

Zu einer starken digitalen Sicherheit gehört daher, dass eine Verteidigung in der Tiefe praktiziert wird: Wenn eine Sicherheitsebene versagt, muss für den Fall der Fälle eine weitere Schutzschicht vorhanden sein. Auch fehlende Daten können eine solche Schutzschicht darstellen.

Wenn du in der nächsten Zeit planst, in die USA einzureisen, dann solltest du einige #ITSec Tipps wissen und einhalten.

Allgemeine Hygienetipps:

1. Aktiviere die Festplatten- bzw. Vollverschlüsselung der Geräte. Verwende starke Passwörter.
2. Verwende keine biometrischen Merkmale zur Entsperrung.
3. Lade dir alle Daten, die du auf den Geräte benötigst, offline herunter. Entferne alle vorhandenen Cloud-Anbindungen.
4. Logge dich nicht bei Accounts, Social Media, etc ein. Wenn du sie verwenden musst, nutze nur den Browser und logge dich nach der Nutzung explizit wieder aus. Lösche Apps, die du nicht benötigst.
5. Verwende PINs und Passwörter zum Öffnen von Apps, falls möglich.
6. Lösche alle Kontakte, die du nicht benötigst. Erstelle ein Backup der Kontakte und spiele es erst nach deiner Rückkehr wieder ein.
7. Lasse die Geräte vor Kontrollen ausgeschaltet.

Bei einer einfachen Durchsuchung:

8. Kooperiere sofort, wenn du bei einer Kontrolle zum Einschalten oder Entsperren des Geräts oder von Accounts aufgefordert wirst.
9. Gib bei einer Kontrolle nie dein Passwort heraus. Entsperre die Geräte nur selber. Wenn du zur Herausgabe eines Passworts gezwungen wurdest, ändere das Passwort sobald wie möglich.

Next Level für die erweiterte Suche:

10. Nutze Wegwerfgeräte. Das gilt für Smartphone, Tablets, Labtops, USB-Sticks, Festplatten, Speicherkarten, etc. Nimm dir nur leere oder frisch aufgesetzte Geräte mit minimaler Ausstattung mit. Betrachte die Geräte nach einer erweiterten Suche als kompromittiert und entsorge sie nach der Rückreise.
11. Besorge vor Ort, oder vor der Anreise eine neue SIM-Karte. Benutze keine bestehende SIM-Karte. Nimm keine vorhandene SIM-Karte mit. Betrachte SIM-Karten ab einer erweiterten Suche als kompromittiert und entsorge sie nach der Rückreise.
12. Lege dir Proforma-Accounts an. Keinen Social-Media-Account zu haben kann verdächtig wirken, daher pflege Accounts mit unverfänglichen Inhalten, die du entsperren kannst, falls du dazu aufgefordert wirst.
13. Wenn ein Gerät beschlagnahmt wird, verlange einen detaillierten Eigentumsnachweis und eine Erklärung darüber, wann und wie du es zurückbekommst.

Sources:
- apnews.com/article/internet-pr
- theintercept.com/2025/03/29/cu

AP News · One Tech Tip: Locking down your device when crossing bordersVon Kelvin Chan