Kündigte den Standard WPA3, Wi-Fi

WPA3

Detaillierte Spezifikation von WPA3 wird später im Jahr 2018 bekannt gegeben, aber vier wichtige Funktionen sind jetzt bekannt geworden . Die neue Version des Standards soll Wi-Fi-Netzwerke sicherer machen. 

Insbesondere implementiert WPA3 einen integrierten Schutz vor Brute-Force-Angriffen, der die Authentifizierung nach einer Reihe fehlgeschlagener Versuche blockiert. Außerdem können Benutzer einige Wi-Fi-Geräte verwenden, um andere zu konfigurieren. Zum Beispiel können Sie Ihr Smartphone oder Tablet für WPA3 Einstellungen auf der „Nachbarschaft“ ohne Bildschirm – Gerät verwenden – so viel unter IoT-Geräten ( „smart“ Schlösser, Glühbirnen, etc.).

Zwei weitere angekündigte Funktionen stehen in direktem Zusammenhang mit der Verschlüsselung. WPA3 bietet daher Geräten eine “individuelle Datenverschlüsselung”, dh alle Verbindungen werden entweder zwischen den Geräten selbst verschlüsselt und mit einem Router oder Access Point verbunden. Darüber hinaus wird es einen neuen, verbesserten kryptographischen Standard geben, den die Vertreter der WiFi Alliance als “192-Bit-Sicherheitspaket” beschreiben. Er wird sich an der vom Nationalen 
Komitee für nationale Sicherheit (Committee on National Security Systems) geschaffenen Commercial National Security Algorithm (CNSA) -Suite orientieren . Diese Lösung ist in erster Linie für Netzwerke gedacht, in denen erhöhte Sicherheit erforderlich ist, dh für staatliche Institutionen, Verteidigungs- und Industrieunternehmen.

Obwohl WPA3 gerade angekündigt wurde, läuft die Entwicklung schon seit einiger Zeit und die WiFi Alliance verschwendet keine Zeit. Es wird erwartet, dass die ersten Geräte, die den neuen Standard unterstützen, bis Ende 2018 verfügbar sein werden.

Putin unterzeichnete ein Gesetz zum Verbot von VPN und Anonymisierung

VPN

Was kann dazu gesagt werden? 
Zum einen wünschen gute Gesundheit Personal RKN, schützen die Nerven, sagen sie oft, werden nicht wiederhergestellt. 

Zweitens kann ich Ihnen versichern – in der Tat wird sich nichts ändern. Sie können dort zumindest gesperrt werden, was dann nicht gewaschen wird. Aber die Tatsache bleibt – Sie können das Internet nicht einfach nehmen und vernichten. Das ist nicht Oma’s TV, es sind keine gelben Zeitungen in Kiosken und kein Radio im Land. Hier im Internet führen alle Versuche, die Freiheit des Zugangs zu Informationen zu beschränken, zu einem absolut gegenteiligen Effekt.Es wird hunderte von privatem VPN-Server, VPN-Services – Geschäft wird Abhilfen entwickeln für die Sperrung und die Technologie populär machen , so dass keine Sperre überhaupt keinen Sinn machen.

Sie können auf China schauen. Nun, sie versuchen das VPN zu blockieren. Na und? Auch mit ihrer technischen Ausstattung und viel kompetenter in Sachen Netzwerkzensur. Struktur können sie es nicht tun. Nun, schauen Sie sich Roskomnadsor an. Ja, im Vergleich mit der chinesischen Zensur ist RKN nur ein lahmes Pony. 

Nun und endlich. Wie die Geschichte zeigt – je absurder das Gesetz ist, desto weniger wird dem Buchstaben dieses Gesetzes gefolgt. Und es ist sehr leichtsinnig zu denken, dass die Leute alles kauen werden.
Das Verbot von Anonymisierungen, VPN und anderen Mitteln, die dazu beitragen, Sperrstellen in Russland zu umgehen, wird ab November 2018 in Kraft treten.

Sicherheitslücke in allen Versionen von WordPress

CVE-2018-6389

Das WordPress CMS hat eine einfache, aber sehr ernste Sicherheitslücke in Verbindung mit Denial of Service (DoS) Attacken auf Anwendungsebene gefunden, die es jedem Benutzer ermöglicht, die meisten WordPress Websites zu umgehen, selbst mit Hilfe von eine Maschine. Dies geschieht, ohne eine riesige Anzahl von Computern verwenden zu müssen, um die Bandbreite wie bei einem DDoS-Angriff zu überfließen, aber mit dem gleichen Ergebnis. 
Da WordPress Foundation sich weigerte, das Problem zu beheben, bleibt die Sicherheitsanfälligkeit (CVE-2018-6389) ohne Patch und betrifft fast alle Versionen von WordPress, die in den letzten neun Jahren veröffentlicht wurden, einschließlich der neuesten stabilen Version (WordPress Version 4.9.5).

Barak Tawily, israelische Forscher auf dem Gebiet der Sicherheit, entdeckten die Verletzlichkeit, die Essenz davon liegt in der Tatsache , dass «Last-scripts.php», integrierten Skript WordPress CMS und verarbeitete Anforderungen Benutzer. 
Wie von den Entwicklern geplant wird belastungs scripts.php Datei für Administratoren gedacht und ist so konzipiert , Standort , um die Leistung zu verbessern und die Seite schneller geladen werden, indem (auf dem Server), mehrere JavaScript – Dateien in eine einzige Anfrage. 
Allerdings «Last-scripts.php» zu bearbeitenden auf der Anmeldeseite des Administrators (wp-login.php) anmelden, WordPress – Entwickler bieten nicht den Authentifizierungs – Mechanismus, mit dem Ergebnis , dass die Funktion für alle verfügbar ist.
Abhängig von den Plugins und Modulen, die Sie installiert haben, ruft die Datei load-scripts.php selektiv die notwendigen JavaScript-Dateien auf und übergibt ihre Namen an den “load” -Parameter, getrennt durch ein Komma. Wenn die Website geladen wird, versucht “load-scripts.php”, jeden Namen der in der URL angegebenen JavaScript-Datei zu finden, fügt ihren Inhalt zu einer Datei hinzu und sendet sie dann an den Browser des Benutzers. Laut dem Forscher können Sie load-scripts.php zwingen, alle möglichen JavaScript-Dateien (insgesamt 181 Skripte) in einem Durchgang aufzurufen und ihre Namen in der obigen URL zu übergeben. Dies wird die Arbeit der Zielseite etwas langsamer machen, was hohe Kosten von dem Prozessor- und Serverspeicher erfordert.

Obwohl eine Abfrage nicht ausreichen würde, um die gesamte Site für alle Besucher zu “packen”, verwendete Tawily Python-Skripte, um einen Proof-of-Concept (PoC) zu erstellen. Das von ihm erstellte doser.py erstellt eine große Anzahl von gleichzeitigen Anforderungen für dieselbe URL, um möglichst viele CPU-Serverressourcen zu verwenden und die für andere Benutzer verfügbaren Ressourcen zu minimieren. 
Hacker News hat die Authentizität des DoS-Exploits getestet und erfolgreich eine der Demo-Sites WordPress “aufgesetzt”, die an einem mittelgroßen VPS arbeitet.

Da Tawily weiß, dass DoS-Schwachstellen über das Bug Bounty-Programm für WordPress hinausgehen, hat Tawily diese DoS-Schwachstelle verantwortlich für das WordPress-Team über die HackerOne-Plattform gemeldet.
Die Firma weigerte sich jedoch, dieses Problem anzuerkennen und sagte, dass ein solcher Fehler außerhalb der Kontrolle von WordPress liegt und “auf der Serverebene oder auf der Netzwerkebene und nicht auf der Anwendungsebene gemildert werden sollte”. 
Vulnerabilität scheint ernst zu sein, denn etwa 29% der Seiten im Internet verwenden WordPress. Dies macht Millionen von Websites anfällig für Hacker und möglicherweise nicht verfügbar für ihre Benutzer.

Für Websites, die sich keine Dienste leisten können, die Schutz vor Angriffen auf Anwendungsebene bieten, hat der Forscher eine geteilte WordPress-Version bereitgestellt, die einen Patch für diese Sicherheitsanfälligkeit enthält. Sie sollten jedoch die Risiken der Installation eines modifizierten CMS in Betracht ziehen, auch wenn Sie die Quelle als zuverlässig betrachten. Außerdem hat der Forscher ein einfaches Bash-Skript veröffentlicht, das das Problem in einem bereits installierten WordPress behebt.

WordPress gegabelte Version 
Bash-Skript