Lawrence’s List 061016

Lawrence Hoffman //
** advisory: 本文提及的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。**

这是异常忙碌的一周。我总觉得没有足够的时间阅读文章、浏览Reddit，并试图跟上LKML（我知道这不可能，但我有什么办法呢？我有这个问题。）此外，本周以BSidesMSP结束，这真是太棒了。

如果你在周五或周六（6月10/11日）阅读本文，请来BHIS / OCM展位与@GailMenius和我聊天。

我对物联网时代将带来的安全故事感到超级兴奋。我觉得这篇文章是另一个小预告，想象一下这种安全故障发生在你拥有的每一个重要设备上。
https://www.pentestpartners.com/blog/hacking-the-mitsubishi-outlander-phev-hybrid-suv/

马克·扎克伯格本周因弱密码暂时失去了两个账户的控制权。关于这一点没什么更多可说的。
http://www.theregister.co.uk/2016/06/06/facebook_zuckerberg_social_media_accnt_pwnage/

域名拼写错误劫持是一个老把戏。这篇文章将其提升到了一个新高度。作者有一个聪明的想法，劫持包管理器的拼写错误。我承认这比我想象的要成功得多。我也承认自从读了这篇文章后，我一直紧张地双重检查包名。
http://incolumitas.com/2016/06/08/typosquatting-package-managers/

虽然我自己不进行硬件逆向工程，甚至没有相关工具，但我总是喜欢阅读关于硬件逆向工作的内容。自四月份以来，jcjc-dev.com上一直有一个很好的系列。该系列的第四部分于本周三发布，它提供了一些非常有信息量和可读性的内容。
http://jcjc-dev.com/2016/04/08/reversing-huawei-router-1-find-uart/

核心基础设施倡议（CII）宣布了一个安全最佳实践徽章。该徽章旨在为开发者提供一个清单，列出其他自由/开源软件（FLOSS）项目艰难学到的教训。通过满足标准清单，项目不仅获得某种认可，还在FLOSS软件中创造了关注良好安全实践的氛围。
https://www.coreinfrastructure.org/news/announcements/2016/05/free-badge-program-signals-what-open-source-projects-meet-criteria

我在@BSidesMSP结束本文，如果你在这里，请随时来BHIS展位看看我们。