Tag Archives: Uncategorized

YubiKey Side-Channel Attack

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/09/yubikey-side-channel-attack.html

There is a side-channel attack against YubiKey access tokens that allows someone to clone a device. It’s a complicated attack, requiring the victim’s username and password, and physical access to their YubiKey—as well as some technical expertise and equipment.

Still, nice piece of security analysis.

Security Researcher Sued for Disproving Government Statements

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/09/security-researcher-sued-for-disproving-government-statements.html

This story seems straightforward. A city is the victim of a ransomware attack. They repeatedly lie to the media about the severity of the breach. A security researcher repeatedly proves their statements to be lies. The city gets mad and sues the researcher.

Let’s hope the judge throws the case out, but—still—it will serve as a warning to others.

List of Old NSA Training Videos

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/09/list-of-old-nsa-training-videos.html

The NSA’s “National Cryptographic School Television Catalogue” from 1991 lists about 600 COMSEC and SIGINT training videos.

There are a bunch explaining the operations of various cryptographic equipment, and a few code words I have never heard of before.

SQL Injection Attack on Airport Security

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/09/sql-injection-attack-on-airport-security.html

Interesting vulnerability:

…a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips.

The KCM process is fairly simple: the employee uses the dedicated lane and presents their KCM barcode or provides the TSA agent their employee number and airline. Various forms of ID need to be presented while the TSA agent’s laptop verifies the employment status with the airline. If successful, the employee can access the sterile area without any screening at all.

A similar system also exists for cockpit access, called the Cockpit Access Security System (CASS). Most aircraft have at least one jumpseat inside the cockpit sitting behind the flying pilots. When pilots need to commute or travel, it is not always possible for them to occupy a revenue seat, so a jumpseat can be used instead. CASS allows the gate agent of a flight to verify that the jumpseater is an authorized pilot. The gate agent can then inform the crew of the flight that the jumpseater was authenticated by CASS.

[attack details omitted]

At this point, we realized we had discovered a very serious problem. Anyone with basic knowledge of SQL injection could login to this site and add anyone they wanted to KCM and CASS, allowing themselves to both skip security screening and then access the cockpits of commercial airliners.

We ended up finding several more serious issues but began the disclosure process immediately after finding the first issue.

Adm. Grace Hopper’s 1982 NSA Lecture Has Been Published

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/adm-grace-hoppers-1982-nsa-lecture-has-been-published.html

The “long lost lecture” by Adm. Grace Hopper has been published by the NSA. (Note that there are two parts.)

It’s a wonderful talk: funny, engaging, wise, prescient. Remember that talk was given in 1982, less than a year before the ARPANET switched to TCP/IP and the internet went operational. She was a remarkable person.

Listening to it, and thinking about the audience of NSA engineers, I wonder how much of what she’s talking about as the future of computing—miniaturization, parallelization—was being done in the present and in secret.

US Federal Court Rules Against Geofence Warrants

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/us-federal-court-rules-against-geofence-warrants.html

This is a big deal. A US Appeals Court ruled that geofence warrants—these are general warrants demanding information about all people within a geographical boundary—are unconstitutional.

The decision seems obvious to me, but you can’t take anything for granted.

How A/B Testing and Multi-Model Hosting Accelerate Generative AI Feature Development in Amazon Q

Post Syndicated from Sai Srinivas Somarouthu original https://aws.amazon.com/blogs/devops/how-a-b-testing-and-multi-model-hosting-accelerate-generative-ai-feature-development-in-amazon-q/

Introduction

In the rapidly evolving landscape of Generative AI, the ability to deploy and iterate on features quickly and reliably is paramount. We, the Amazon Q Developer service team, relied on several offline and online testing methods, such as evaluating models on datasets, to gauge improvements. Once positive results are observed, features were rolled out to production, introducing a delay until the change affected 100% of customers.

This blog post delves into the impact of A/B testing and Multi-Model hosting on deploying Generative AI features. By leveraging these powerful techniques, our team has been able to significantly accelerate the pace of experimentation, iteration, and deployment. We have not only streamlined our development process but also gained valuable insights into model performance, user preferences, and the potential impact of new features. This data-driven approach has allowed us to make informed decisions, continuously refine our models, and provide a user experience that resonates with our customers

What is A/B Testing?

A/B testing is a controlled experiment, and a widely adopted practice in the tech industry. It involves simultaneously deploying multiple variants of a product or feature to distinct user segments. In the context of Amazon Q Developer, the service team leverages A/B testing to evaluate the impact of new model variants on the developer experience. This helps in gathering real-world feedback from a subset of users before rolling out changes to the entire user base.

  1. Control group: Developers in the control group continue to receive the base Amazon Q Developer experience, serving as the benchmark against which changes are measured.
  2. Treatment group: Developers in the treatment group are exposed to the new model variant or feature, providing a contrasting experience to the control group.

To run an experiment, we take a random subset of developers and evenly split it into two groups: The control group continues to receive the base Amazon Q Developer experience, while the treatment group receives a different experience.

By carefully analyzing user interactions and telemetry metrics of the control group and comparing them to those from the treatment group, we can make informed decisions about which variant performs better, ultimately shaping the direction of future releases.

How do we split the users?

Whenever a user request is received, we perform consistent hashing on the user identity and assign the user to a cohort. Irrespective on which machine the algorithm runs, the user will be assigned the same cohort. This means that we can scale horizontally – user A’s request can be served by any machine and user A will always be assigned to group A from the beginning to the end of the experiment.

Individuals in the two groups are, on average, balanced on all dimensions that will be meaningful to the test. This means that we do not expose a cohort to have more than one experiment at any given time. This enables us to conduct multivariate experiments where one experiment does not impact the result of another.

The diagram illustrates how a consistent hashing algorithm based on userID’s assigns users to cohorts representing control or treatment groups of experiments.

The above diagram illustrates the process of user assignment to cohorts in a system conducting multiple parallel A/B experiments.

How do we enable segmentation?

For some A/B experiments, we want to perform A/B experiments for users matching certain criteria. Assume we want to exclusively target Amazon Q Developer customers using the Visual Studio Code Integrated Development Environment (IDE). For such scenarios, we perform cohort allocation only for users who meet the criteria. In this example, we would divide a subset of Visual Studio Code IDE users into control and treatment cohorts.

How do we route the traffic between different models ?

Early on, we realized that we will need to host hundreds of models. To achieve this, we run multiple Amazon Elastic Container Service (Amazon ECS) clusters to host different models. We leverage Application Load Balancer’s path based routing to route traffic to the various models.

The diagram depicts how Application Load Balancer paths 1-n direct traffic to control model or treatment model 1-n.

The above diagram depicts how Application Load Balancer redirects traffic to various models based on path-based routing. Where path1 is routing to control model and path2 is routing to treatment model 1 etc.

How do we enable different IDE experiences for different groups?

The IDE plugin polls the service endpoint asking if the developer belongs to the control or treatment group. Based on the response the user will be served the control or treatment experience.

The diagram shows the IDE plugin polling the backend service to display a control or treatment experience.

The above diagram depicts how the IDE plugin provides different experience based on control or treatment group.

How do we ingest data?

From the plugin, we publish telemetry metrics to our data plane. We honor opt-out settings of our users. If the user is opted-out, we do not store their data. In the data plane, we check the cohort of the caller. We publish telemetry metrics with cohort metadata to Amazon Data Firehose, which delivers the data to an Amazon OpenSearch Serverless destination.

The diagram depicts the flow of data from IDE to Data Plane to Kinesis Data Firehose to Amazon OpenSearch Serverless.

The above diagram depicts how metrics are captured via the data plane into Amazon OpenSearch Serverless.

How do we analyze the data?

We publish the aggregated metrics to OpenSearch Serverless. We leverage OpenSearch Serverless to ingest and index various metrics to compare and contrast between control and treatment cohorts. We enable filtering based on metadata such as programming language and IDE.

Additionally, we publish data and metadata to a data lake to view, query and analyze the data securely using Jupyter Notebooks and dashboards. This enables our scientists and engineers to perform deeper analysis.

Conclusion

This post has focused on challenges Generative AI services face when it comes to fast experimentation cycles, the basics of A/B testing and the A/B testing capabilities built by the Amazon Q Developer service team to enable multi-variate service and client-side experimentation. We can gain valuable insights into the effectiveness of the new model variants on the developer experience within Amazon Q Developer. Through rigorous experimentation and data-driven decision-making, we can empower teams to iterate, innovate, and deliver optimal solutions that resonate with the developer community.

We hope you are as excited as us about the opportunities with Generative AI! Give Amazon Q Developer and Amazon Q Developer Customization a try today:

Amazon Q Developer Free Tier: https://aws.amazon.com/q/developer/#Getting_started/

Amazon Q Developer Customization: https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/customizations.html

About the authors

Sai Srinivas Somarouthu

Sai Srinivas Somarouthu is a Software Engineer at AWS, working on building next generation models and development tools such as Amazon Q. Outside of work, he finds joy in traveling, hiking, and exploring diverse cuisines.

Karthik Rao

Karthik is a Senior Software Engineer at AWS, working on building next generation development tools such as Amazon Q. Outside of work, he can be found hiking and snowboarding.

Kenneth Sanchez

Kenneth is a Software Engineer at AWS, working on building next generation development tools such as Amazon Q. Outside of work, he likes spending time with his family and finding new good places to drink coffee.

Вода в чешмите на селата от Родопи няма, но проблемът не е в липсата на дъжд

Post Syndicated from VassilKendov original https://kendov.com/%D0%B2%D0%BE%D0%B4%D0%B0-%D0%B2-%D1%87%D0%B5%D1%88%D0%BC%D0%B8%D1%82%D0%B5-%D0%BD%D0%B0-%D1%81%D0%B5%D0%BB%D0%B0%D1%82%D0%B0-%D0%BE%D1%82-%D1%80%D0%BE%D0%B4%D0%BE%D0%BF%D0%B8-%D0%BD%D1%8F%D0%BC%D0%B0/

Вода в чешмите на селата от Родопи няма, но проблемът не е в липсата на дъжд.

Много се е изписало за Маите. Тяхната цивилизация все още крие тайните си, макар някои обичаи да са доста добре изследвани.
При тях решението на всеки природен проблем се е свеждал до жертвоприношения. При продължителна суша например, владетелите са имали задачата да измолят дъжд от боговете. Те на свой ред са прехвърляли топката върху поданиците и са организирали публични жертвоприношения. В една от свещените пещери в Чечен Ица, където хвърляли телата от жертвоприношенията са намерени 127 тела, като 80% от тях са били момчета на възраст от 3 до 11 години. Лично мое предположение е, е това са били деца на политически опоненти.

Какво обаче се е случвало, когато владетелите не са успявали да измолят дъжд от боговете?
Ами много просто – пренасяли са в жетртва владетелите и техните семейства, и са избирали нов владетел.
Нищо не искам да кажа, но мисля че доста мъдър народ са били Маите. Затова и до ден днешен се възхищаваме на достиженията на цивилизацията им.

Да видим сега как ние с нашите достижения 1000 години след тях би следвало да се справим с липсата на вода в 21 век.

Тръбите не се виждат и не стават за PR

Може би едина от най-важните предпоставки за да не се реши проблемът с водата е, че тръбите са под земята и не се виждат. От друга страна копането и затваряне на улици създава доста неприятности на населението, а това не е добре. Всички знаем колко е важен PR-а за кмета на Община Родопи. Друго си е да е лапма, или улица, или някоя обновенна сграда… Вървиш си и се блъскаш в нея ежедневно. Няма как да не я видиш. Пък си речеш «Добър си ни е Кмета. Я виж колко неща прави неща за селото.» А водата? Те дъждовете като дойдат, всичко ще се оправи.
Хубаво ама така е от 5 години.

Администрацията няма проблем с водата

Служителите в Община Родопи до един имат жилища в Пловдив. А в Пловдив проблем с водата няма.
Злите езици говорят, че председателят на Общинския съвет г-н Владо Маринов, който живее в с. Бойково, нямал проблем с водата в къщата си за гости. Да но останалите в село Бойково имат такъв проблем всяко лято.
Аз самият съм жител на Бойково. Миналата неделя се разходих по планината над селото и стигнах до съседното село – Ситово. И то няма вода. Чешмите в гората обаче всичките бликат от вода. Явно вода има и дъждът не е фактор. Позагледах и старите каптажи (защото направиха нови преди години). Ами имат си вода, даже някои преливат. Откъдето и да го погледна, вода в гората има предостатъчно. В селата обаче няма, което ме навежда на друга мисъл.


Специално в Бойково загледах тръбите на каптажите, които водят към селото. Ами теснички са и са стари. Прди 2 седмици, докато пооправяха горския път за селския събор, спукаха тръбата и сега се вижда над земята. Според мен е 1.5 цола, но не мога да се закълна. Не носех шублер да я измеря. А ВиК мрежата в Бойково беше сменена преди години с изцяло нови тръби, които сад доста по-широки от тези, които доставят водата от каптажа. Колко са затлачени това е отделен въпрос. Знам обаче, че ВиК искат да им се отчужди право на преминаване или собственост върху земята, през които минават тръбите от каптажите, за да ги сменят. И са си прави. Много от тръбите минават през частни имоти, защото са правени по комунизма. Как си представяте ВиК да копае в частен имот?

И тук зачитаме закона за водите

чл.10 ал.4 (2) Политиката по експлоатация и реконструкция на В и К инфраструктурата се осъществява от кмета на общината.

ал. 1 Общинският съвет приема Програма за развитието на В и К сектора

ал. 2 Кметът на общината разработва Програмата и я предлага за обществено обсъждане.

И щом законът е такъв, продължаваме да търсим да видим какво пак не е свършила общината



Заделените пари в бюджета реално не се използват

В заседанията по обсъждането на бюджета, почти винаги съм сам. С малки изключения. Помня как жители на с. Марково, организирани от кмета г-жа Терзиева, дойдоха на такова заседание и съответно получиха най-голям дял от парите по изтегления кредит, за ремонт на няколко улици в селото.
Нищо, че всички ще плащат кредита, парите отиват в Марково.

ТАКА И ТРЯБВА ДА БЪДЕ! – Парите трябва да следват инициативните!

Да обаче и в Марково вече има режим на водата. Не ми се рови отново в бюджета (ако някои си плати ще му го изровя разбира се), но в последните бюджети имаше заложени капиталови разходи за водни колектори, които да решат проблема с водата в Марково. И така няколко години. Земята била отредена, проект по думите на кмета Михайлов имало, но колекторите нещо ги няма.
Всички знаем колко е сложна работата на кмета, но пък според закона по-горе, политиката по водата се осъществява от него. Това му е работата. Би следвало да е и приоритет. Много хубаво, че имаме LED лампи или тържества с хора във всяко село, ама водата…

Може би малко хора знаят, че акведуктът на Коматевския възел в Пловдив е захранвал Тримонциум с вода точно от землището на Марково. Тогава в Тримонциум по оценки на историци са живели между 60-80 000 души.
В днешното село Марково живет около 5500 души. Разбира се това са хора с много по-голямо потребление на вода от средния жител в древен Тримонциум. В селото има множество къщи с басейни и морави, изискващи напояване, така че потребленито не вода на тези 5500 може и да е по-голямо от това на древните жители, ако и да са били над 60 000 души.
Но и другото е вярно. Днес не строим акведукти, а полагаме тръби в дупки, изкопани с фадроми и багери. Загубите на вода би следвало да са много по-малко в сравнение с акведукта, а водита може да се пренася от много километри, благодарение на електричество и помпени станции.

Може ама някой трябва да има визията да го направи, а 5 години явно не са достаъчни за тази визия в Община Родопи. Не са римляни все пак и са тук само до следващите избори.

Ръстът в населението

Ето какво казва г-жа Терзиева, кмет на с. Марково

„”Признанието е голямо, това е много важен приз за всеки общественик, който е решил да извършва дейност за благото на хората. Марково е една кауза. Доста се разраства селото, в него вече има около 5500 жители. Тенденцията в последните 4-5 години е такава – младите семейства да отиват в населени места близо до големия град. Марково се намира на само 5 км от Пловдив, което го прави притегателно място”, заяви Терзиева пред Bulgaria ON AIR.“

Мисля, че ако синът ми в 6-ти клас прочете тези редове, веднага ще разбере, че инфраструктурата няма да издържи това развитие и трябва да се направят инвестиции за подобрението. За общинската администрация не мога да гаранирам какви изводи си правят от тази информация.

И понеже инвестициите изискват средства, отиваме на следващия очевидно нерешим проблем

Колко пари трябват, откъде да дойдат и какво пропуснахме

На този въпрос не мога да отговоря на прима виста. Мога да предполагам обаче.
От опит знам, че смяната на канализацията на едно село като Марково, ще струва около 30 млн. лева. Отделно пречиствателна станция. Последният бюджет на Община Родопи за 2024 е 52.5 млн.

С две думи без кредит или заем проблемът с доставката на вода няма да се реши. Просто не е по силите на Община Родопи. Нито финансово, нито административно, както е видно.

Селата от Община Родопи се водоснабдяват от ВиК Пловдив. Самия Пловдив е около 500 000 хиляди, но няма проблем с водата. Бюджетът им обач е 684 милиона. Възможностите им за получаване на кредит съответно също са 10 пъти по-добри от тези на Община Родопи.
Друг е въпросът, че Община Родопи похарчи кредита не за водна инфраструктура, а за лампи и пътища. Няма лошо разбира се, но така унищожава възможността за получаване на кредит за ВиК инфраструктура.

Сега вече би трябвало хората да научат думата „ПРИОРИТЕТ“ в харчовете. Ясно е, че улиците и лампите се виждат, ама не се пият. По лош път мога да се движа, със стара лампа мога да се осветявам, ама без вода в чешмата… Направо да хващаме коритата и на ходим да перем на реката. Администрацията на общината няма да ги мислим, те си отиват в Пловдив, а там всичко си има.

И тук един риторичен въпрос към жителите на с. Белащица „-Как очаквате пари за инфраструктура с бюджета на Община Родопи? Нали не искахте в пределите на Пловдив?“

Политическата страна на нещата

Ако трябва да падна на нивото на Общинската администрация, бих попитал съвсем по герберски „-И как очаквате да Ви дадем държавни пари за ВиК, като сте си избрали кмет комунист?“
Парите знаете, че не достигат никога. В положението на селата от Община Родопи са стотици други села с кметове близки до властта. На кое село да оправим водата по-напред? На Брестовица (с кмет комунист) или някое друго с кмет лоялен към друга политическа сила?

За финал ще съм доволен, ако в главите на хората остане схващането, че решението на проблема с водата не е еднократен акт. Трябват много предпоставки за да се случи. Този порядък за мен е най-добрия

Гласувате за хора с визия – Ходите на заседанията на Общински съвет и си задавате въпросите, колкото и да са неудобни – Обединявате се около хора с визия, а не с PR мания – Организирате протести пред Общна Родопи – Не си мълчите, когато в социалните мрежи бушуват тролове и се опитват да ви замазват очите.

Иначе и обичаят “Бяла пеперуда” върши работа до следващото лято, когато проблемът ще е същият.

Васил Кендов – жител на безводно Бойково

Моля използвайте приложената форма за записване на час за среща
[contact-form-7]

The post Вода в чешмите на селата от Родопи няма, но проблемът не е в липсата на дъжд appeared first on Kendov.com.

Story of an Undercover CIA Agent who Penetrated Al Qaeda

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/story-of-an-undercover-cia-agent-who-penetrated-al-qaeda.html

Rolling Stone has a long investigative story (non-paywalled version here) about a CIA agent who spent years posing as an Islamic radical.

Unrelated, but also in the “real life spies” file: a fake Sudanese diving resort run by Mossad.

Hacking Wireless Bicycle Shifters

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/hacking-wireless-bicycle-shifters.html

This is yet another insecure Internet-of-things story, this one about wireless gear shifters for bicycles. These gear shifters are used in big-money professional bicycle races like the Tour de France, which provides an incentive to actually implement this attack.

Research paper. Another news story.

Slashdot thread.

The State of Ransomware

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/the-state-of-ransomware.html

Palo Alto Networks published its semi-annual report on ransomware. From the Executive Summary:

Unit 42 monitors ransomware and extortion leak sites closely to keep tabs on threat activity. We reviewed compromise announcements from 53 dedicated leak sites in the first half of 2024 and found 1,762 new posts. This averages to approximately 294 posts a month and almost 68 posts a week. Of the 53 ransomware groups whose leak sites we monitored, six of the groups accounted for more than half of the compromises observed.

In February, we reported a 49% increase year-over-year in alleged victims posted on ransomware leak sites. So far, in 2024, comparing the first half of 2023 to the first half of 2024, we see an even further increase of 4.3%. The higher level of activity observed in 2023 was no fluke.

Activity from groups like Ambitious Scorpius (distributors of BlackCat) and Flighty Scorpius (distributors of LockBit) has largely fallen off due to law enforcement operations. However, other threat groups we track such as Spoiled Scorpius (distributors of RansomHub) and Slippery Scorpius (distributors of DragonForce) have joined the fray to fill the void.

Friday Squid Blog: The Market for Squid Oil Is Growing

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/08/friday-squid-blog-the-market-for-squid-oil-is-growing.html

How did I not know before now that there was a market for squid oil?

The squid oil market has experienced robust growth in recent years, expanding from $4.56 billion in 2023 to $4.94 billion in 2024 at a compound annual growth rate (CAGR) of 8.5%. The growth in the historic period can be attributed to global market growth, alternative to fish oil, cosmetics and skincare industry, sustainability practices, regulatory influence.

Blog moderation policy.