Case study of a project I did of interfacing a proprietary digital cinema server to a FreeBSD machine, configured to act as a SCSI target. Also contains an analysis of NetBSD's CGD disk encryption with respect to several less common security models. While CGD (and similar products) focus on providing privacy if an attacker has one-time read-only access to the ciphertext, they were not designed to address other threat models. Talk given at Usenix 2004.
Effects of Non-Ionizing Electromagnetic Radiofrequency Fields on Human HealtRenato Sabbatini
A Literature Review of Possible Effects of Non-Ionizing Electromagnetic Radiofrequency Fields on Human Health. Presented at the Annual Meeting of the International Commission of Non-Ionizing Radiation Protection (ICNIRP) in Rio de Janeiro, October 2008. Presented by Renato M.E. Sabbatini, chairman of the Latin American Expert Commission on Effects of Non Ionizing Electromagnetic Radiation on Human Health.
Les bi-thérapies à base de dérivés d'artémisinine: pourquoi et comment ? - Conférence du 3e édition du Cours international « Atelier Paludisme » - MILLET Pascal - Université Victor Segalen Bordeaux2 - France - pascal.millet@u-bordeaux2.fr
Encrypting and decrypting, choosing a random number, signing and verifying -- it all seems so logical. But the road to hell is paved with good intentions and a copy of "Applied Cryptography".
This talk will cover recent crypto vulnerabilities in widely-deployed systems and how the smallest oversight resulted in catastrophe. You'll learn why public key crypto is like a Ford Pinto in a demolition derby, the meaning of "PBKDF2", and how Web 2.0 reinvented 1970's-style password hashing, badly. And maybe, just maybe, you'll leave with a newfound respect for the utter brittleness of even the simplest crypto.
Nate Lawson is the founder of Root Labs, which specializes in the design and analysis of embedded security and cryptography. Previously, he worked at Cryptography Research, analyzing cryptographic products and co-designing the Blu-ray content protection layer known as BD+.
Copy Protection Wars: Analyzing Retro and Modern Schemes (RSA 2007)Nate Lawson
This document discusses copy protection schemes used for retro systems like the Commodore 64 as well as modern consoles like the Xbox 360. It analyzes the asymmetries exploited in copy protection methods and how those same techniques are still used today. Specific techniques covered include checking for sector errors, gap bytes, and track alignment. The document also provides a side-by-side comparison of cracking a protected Commodore 64 disk and a hacked Xbox 360 drive, illustrating the similarities in their approaches. Finally, it evaluates the current status of Xbox 360 security and provides recommendations for strengthening protection by leveraging asymmetries between legitimate and copied media.
Effects of Non-Ionizing Electromagnetic Radiofrequency Fields on Human HealtRenato Sabbatini
A Literature Review of Possible Effects of Non-Ionizing Electromagnetic Radiofrequency Fields on Human Health. Presented at the Annual Meeting of the International Commission of Non-Ionizing Radiation Protection (ICNIRP) in Rio de Janeiro, October 2008. Presented by Renato M.E. Sabbatini, chairman of the Latin American Expert Commission on Effects of Non Ionizing Electromagnetic Radiation on Human Health.
Les bi-thérapies à base de dérivés d'artémisinine: pourquoi et comment ? - Conférence du 3e édition du Cours international « Atelier Paludisme » - MILLET Pascal - Université Victor Segalen Bordeaux2 - France - pascal.millet@u-bordeaux2.fr
Encrypting and decrypting, choosing a random number, signing and verifying -- it all seems so logical. But the road to hell is paved with good intentions and a copy of "Applied Cryptography".
This talk will cover recent crypto vulnerabilities in widely-deployed systems and how the smallest oversight resulted in catastrophe. You'll learn why public key crypto is like a Ford Pinto in a demolition derby, the meaning of "PBKDF2", and how Web 2.0 reinvented 1970's-style password hashing, badly. And maybe, just maybe, you'll leave with a newfound respect for the utter brittleness of even the simplest crypto.
Nate Lawson is the founder of Root Labs, which specializes in the design and analysis of embedded security and cryptography. Previously, he worked at Cryptography Research, analyzing cryptographic products and co-designing the Blu-ray content protection layer known as BD+.
Copy Protection Wars: Analyzing Retro and Modern Schemes (RSA 2007)Nate Lawson
This document discusses copy protection schemes used for retro systems like the Commodore 64 as well as modern consoles like the Xbox 360. It analyzes the asymmetries exploited in copy protection methods and how those same techniques are still used today. Specific techniques covered include checking for sector errors, gap bytes, and track alignment. The document also provides a side-by-side comparison of cracking a protected Commodore 64 disk and a hacked Xbox 360 drive, illustrating the similarities in their approaches. Finally, it evaluates the current status of Xbox 360 security and provides recommendations for strengthening protection by leveraging asymmetries between legitimate and copied media.
In-depth list of attacks against various crypto implementations. Developers seem to have gotten the message not to design their own ciphers. Now, we're trying to get the message out that you shouldn't be implementing your own crypto protocols or constructions, using low-level crypto libraries. Instead, developers should work at a higher level, using libraries like GPGME, Keyczar, or cryptlib. If you do end up designing/implementing your own construction, getting it reviewed by a third party is an expensive but vital task.
Uses the concept of asymmetry as a foundation for analyzing the security of various systems. Asymmetry in security is the property where mounting an attack is much more difficult for the attacker than the defender's effort required to maintain security. Platform design principles, including a study of sendmail vs. qmail architectures, are recommended for those who are designing their own systems. Given to a SJSU security class on May 1, 2006.
An introduction to ACPI for developers. Includes an example tracing a power management event from the hardware up through the OS and back down. Intended to get other kernel developers interested in helping me maintain FreeBSD's ACPI layer. Given at the Bay Area FreeBSD User's Group, May 3, 2006.
An introduction to ACPI for users. Covers how to configure ACPI on FreeBSD and what is currently supported. Given at the Bay Area FreeBSD User's Group, September 6, 2006
Highway to Hell: Hacking Toll Systems (Blackhat 2008)Nate Lawson
FasTrak and related toll collection systems have been around since the mid-90’s. I started looking at them because I had never signed up due to privacy concerns. However, while the underlying Title 21 standard is public, I couldn’t find any details about the internal workings of the system or any security measures. I bought a few transponders and took them apart to find out.
Besides support for the standard messages, I found no encryption. So it’s easy for an attacker to use a simple RFID reader to collect transponder IDs from cars in a parking lot, then replay them to bill tolls to the real owners. By only using each stolen ID once, it would be difficult to track them down.
Even more surprising, I found support for a lot of proprietary messages that go far beyond toll collection. By sending a few packets, an attacker can activate a hidden “update mode” that allows the ID to be wiped or overwritten with a different one. This goes against claims that the transponder is “read-only” and “there is no memory to write anything to”.
More information available here:
http://rdist.root.org/2008/08/07/fastrak-talk-summary-and-slides/
Don't Tell Joanna the Virtualized Rootkit is Dead (Blackhat 2007)Nate Lawson
Analysis of virtualized rootkit detection methods. Introduces "Samsara", our framework for detecting virtualization and an implementation of data/instruction TLB sizing, HPET timer, and VT errata tests. We predict the future will be cat-and-mouse, where each side analyzes and responds to the behavior of their opponent, ad infinitum. Joint talk given with Thomas Ptacek and Peter Ferrie.
Why software protection matters to everyone, including IT professionals. Design principles for making more robust DRM. Attacker tools. Provides a framework in two variables (L and T) for evaluating the longer term success of a DRM system. Gives an update on the latest DRM cracks. Talk given at RSA Conference in the spring of 2008.
The document summarizes a security flaw in TLS/SSL that allows attackers to decrypt encrypted traffic by exploiting timing differences in error handling. Specifically, when padding is incorrect on encrypted records, servers may respond at different speeds depending on the stage the error is detected. This creates a timing side channel that can be used to gradually decrypt the last byte of records. The flaw was addressed in TLS 1.1 by standardizing error handling behavior. The document recommends not revealing too many error details and avoiding timing side channels to prevent similar attacks.
Nate Lawson presents an overview of the TLS/SSL protocol design. He discusses the security goals of privacy, integrity, and authentication. He explains how these goals are achieved using cryptography primitives like symmetric encryption, public key encryption, certificates, message authentication codes, and secure PRNGs. He walks through the TLS handshake protocol in detail and discusses various attacks against SSL/TLS like side channel attacks, similarly-named certificate attacks, and data injection via renegotiation attacks.
Introduction to the design principles behind SSL. This was a relatively basic talk since the audience was a networking class with no previous security experience. Talk given to Cal Poly networking class on November 29, 2007.
Stratégie et changement thérapeutique ; expérience en République Centrafricaine - Conférence du 3e édition du Cours international « Atelier Paludisme » - MENARD Didier - Institut Pasteur de Madagasca - dmenard@pasteur.mg
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".