Shared posts

16 Sep 10:24

Microsoft Teams has been storing authentication tokens in plaintext

by Steve Dent

Microsoft Teams stores authentication tokens in unencrypted plaintext mode, allowing attackers to potentially control communications within an organization, according to the security firm Vectra. The flaw affects the desktop app for Windows, Mac and Linux built using Microsoft's Electron framework. Microsoft is aware of the issue but said it has no plans for a fix anytime soon, since an exploit would also require network access.

According to Vectra, a hacker with local or remote system access could steal the credentials for any Teams user currently online, then impersonate them even when they're offline. They could also pretend to be the user through apps associated with Teams, like Skype or Outlook, while bypassing the multifactor authentication (MFA) usually required. 

"This enables attackers to modify SharePoint files, Outlook mail and calendars, and Teams chat files," Vectra security architect Connor Peoples wrote. "Even more damaging, attackers can tamper with legitimate communications within an organization by selectively destroying, exfiltrating, or engaging in targeted phishing attacks."

Attackers can tamper with legitimate communications within an organization by selectively destroying, exfiltrating, or engaging in targeted phishing attacks.

Vectra created a proof-of-concept exploit that allowed them to send a message to the account of the credential holder via an access token. "Assuming full control of critical seats–like a company’s Head of Engineering, CEO, or CFO — attackers can convince users to perform tasks damaging to the organization."  

The problem is mainly limited to the desktop app, because the Electron framework (that essentially creates a web app port) has "no additional security controls to protect cookie data," unlike modern web browsers. As such, Vectra recommends not using the desktop app until a patch is created, and using the web application instead.

When informed by cybersecurity news site Dark Reading of the vulnerability, Microsoft said it "does not meet our bar for immediate servicing as it requires an attacker to first gain access to a target network," adding that it would consider addressing it in a future product release. 

However, threat hunter John Bambenek told Dark Reading it could provide a secondary means for "lateral movement" in the event of a network breach. He also noted that Microsoft is moving toward Progressive Web Apps that "would mitigate many of the concerns currently brought by Electron."

13 Sep 09:12

DCXLV ~ Swordtember : Coffee

by Matthew Wills

An Orc walks in to a coffee shop. The sign says "SHORT / LONG / GREAT"

Orc Customer: Make mine a great!

The Barista Orc stabs a Coffee Bean Golem with a greatsword - hot steamy coffee pours from the stab wound

coffee bean golem: AROO~!

Orc Customer: SIP!

Orc Customer: WOW! I feel sharper already!

09 Sep 15:42

Complex optics

by Nina Meinzer

Nature Physics, Published online: 08 September 2022; doi:10.1038/s41567-022-01750-5

Complex optics
09 Sep 15:41

Controlling random lasing action

by Riccardo Sapienza

Nature Physics, Published online: 08 September 2022; doi:10.1038/s41567-022-01655-3

Random lasers made out of disordered media have a rich but often unpredictable laser light emission, in all directions and over many frequencies. Strategies for taming random lasing are emerging, which have the potential to deliver programmable lasers with unprecedented properties.
11 Aug 08:05

Complex Vowels

Pronouncing [ṡṡċċḣḣẇẇȧȧ] is easy; you just say it like the 'x' in 'fire'.
01 Aug 09:07

Saturday Morning Breakfast Cereal - Parenting Technique

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
Fables are really underestimated as an efficiency mechanism.


Today's News:
26 Jul 10:28

Physics Cost-Saving Tips

I got banned from the county fair for handing out Helium-2 balloons. Apparently the instant massive plasma explosions violated some local ordinance or something.
21 Jul 08:49

Chemicals

It's hard to believe, but lots of kids these days ONLY know how to buy prepackaged molecules.
21 Jul 08:49

Saturday Morning Breakfast Cereal - Anything

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
There should be a safe word for TAing.


Today's News:
12 May 08:45

Saturday Morning Breakfast Cereal - Grind

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
Did you know that the word amateur comes from the Latin amare, meaning 'to love'?


Today's News:
25 Mar 14:31

Saturday Morning Breakfast Cereal - Dunno

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
People also say Bigfoot, but Bigfoot is actually just a type of alien ghost.


Today's News:
21 Mar 09:30

Advanced Techniques

A blow from Emmy's Cutlass of Variations will transport the dragon to a corresponding symmetric position in the Noetherworld.
02 Mar 10:59

Le conseguenze spaziali dell’invasione russa: il punto della situazione

by Paolo Attivissimo

Ultimo aggiornamento: 2022/03/14 13:15.

Di fronte alle morti, alle sofferenze e alla distruzione che stanno colpendo l’Ucraìna, parlare degli effetti dell’invasione russa sulle attività spaziali può sembrare insensibile o perlomeno secondario. Ma il dramma principale è ben documentato dal giornalismo generalista; l’aspetto spaziale molto meno, e qui forse posso dare un contributo.

Prima di tutto, non c’è alcun pericolo immediato di caduta della Stazione Spaziale Internazionale. È vero che Dmitri Rogozin, direttore dell’agenzia spaziale russa Roscosmos, ha pubblicato una serie delirante di tweet nei quali in sostanza ha minacciato di lasciare che la Stazione precipiti, visto che la sua stabilità orbitale dipende dalla sezione russa del complesso spaziale, e ha detto che tanto la Stazione non sorvola mai il territorio russo (è falso, e vi transita l’1,9% del tempo contro il 2,3% degli Stati Uniti, secondo i calcoli aggiornati dell’esperto Jonathan McDowell).

Ma Rogozin è noto da tempo, fra gli addetti ai lavori, per le sue sparate incoerenti, che ultimamente si sono alzate di tono. La sua risposta ai calcoli di McDowell è stata “2.8% of mostly deserted territory? OK))) But all your territory and the territory of your NATO allies looks great”. McDowell ha fatto notare che nel territorio “principalmente deserto” ci sono le città di Vladivostok e Volgograd. La questione è descritta in dettaglio in questo mio articolo.

Quello che conta è la realtà tecnica: la Stazione Spaziale Internazionale si trova a circa 400 km di quota, in orbita intorno alla Terra a circa 28.000 km/h, e a quella quota l’atmosfera terrestre è incredibilmente tenue ma esiste ancora, per cui la Stazione viene lentamente frenata dalla resistenza aerodinamica e di conseguenza perde lentamente quota. Periodicamente è necessario un reboost, ossia un’applicazione di un spinta per riaccelerarla e farle riprendere quota. Il grafico di queste variazioni di quota è disponibile per esempio presso Heavens Above.

Questa spinta viene solitamente applicata dai motori di manovra del modulo Zvezda, che fa parte della sezione russa della Stazione, oppure dai motori di una navetta Progress attraccata alla Stazione. In questo senso è corretto dire che il mantenimento della quota orbitale normalmente dipende dai russi. Tuttavia il reboost può essere effettuato anche da veicoli non russi. Lo ha fatto in passato il veicolo europeo ATV (ora non più operativo) e nel 2018 questa capacità è stata dimostrata sperimentalmente da un veicolo cargo Cygnus ed è poi diventata operativa di recente con un nuovo reboost.

Fra l’altro, la Cygnus viene messa in orbita da un vettore Antares, il cui primo stadio è costruito in Ucraina e ha motori russi, mentre il secondo stadio è statunitense e la Cygnus ha molti componenti strutturali europei (Scott Manley). Sventolii di bandiere a parte, le interdipendenze spaziali sono tante.

La situazione è leggermente più delicata per un altro tipo di manovra, ossia lo spostamento per evitare collisioni con detriti spaziali. Qui la dipendenza dai russi è più forte, ma se i rapporti di cooperazione dovessero davvero deteriorarsi fino a questo punto ci sarebbe la possibilità di utilizzare i motori di manovra delle capsule cargo Dragon o quelli delle capsule con equipaggio Crew Dragon. Ovviamente si tratterebbe di un’operazione nuova, da collaudare con estrema cautela, ma fattibile, e la NASA ha già dichiarato di aver esplorato concretamente questa ipotesi.

Per ora, comunque, in concreto non ci sono cambiamenti alla situazione di bordo. La Progress 79 russa ha effettuato regolarmente un reboost a fine febbraio. Sulla situazione personale a bordo bocche cucite: i due russi, Anton Shkaplerov e Pyotr Dubrov, i quattro statunitensi Mark Vande Hei, Kayla Barron, Raja Chari e Thomas Marshburn e l’europeo Matthias Maurer non commentano gli eventi. Kathy Lueders, associate administrator della NASA per le attività spaziali, ha detto che le operazioni della Stazione non sono cambiate: “Non stiamo ricevendo indicazioni, a livello operativo, che le nostre controparti non siano impegnate a continuare l’attività della Stazione... operiamo esattamente come operavamo tre settimane fa” (Spacenews).

Non ci sono indicazioni, al momento, di alcun cambiamento nel lancio dell’astronauta europea Samantha Cristoforetti insieme agli statunitensi Kjell Lindgren, Robert Hines e Jessica Watkins a bordo di una capsula Crew Dragon previsto per il 15 aprile (ma ESA ha annunciato poco fa un accorciamento della loro missione che implica che Samantha non diventerà comandante dell’intera Stazione ma solo lead del segmento non russo). Nessun cambiamento è annunciato anche per il lancio della Soyuz MS-21 russa da Baikonur con tre cosmonauti russi (Oleg Artemyev, Denis Matveev e Sergey Korsakov) verso la Stazione il 18 marzo e per il rientro di Shkaplerov e Dubrov il 28 marzo. Nessuna variazione è stata resa nota anche per il volo dell’equipaggio Axiom 1 (10 giorni sulla Stazione) previsto per il 28 marzo e per il rientro dell’equipaggio della Crew Dragon 3 il 21 aprile.

Forse la situazione più delicata è quella dello statunitense Mark Vande Hei, che in teoria dovrebbe rientrare sulla Terra insieme a Shkaplerov e Dubrov su un veicolo Soyuz russo (MS-19), atterrando in Kazakistan. Vande Hei e Dubrov avranno trascorso in tutto 355 giorni continuativi nello spazio.

Per contro, sembrano esserci problemi per quanto riguarda il braccio robotico europeo ERA che è installato a bordo del modulo russo Nauka della Stazione: le sanzioni internazionali potrebbero rendere impossibile la collaborazione russo-europea, rendendo problematica la manutenzione e l’evoluzione del modulo Nauka, che dipende in gran parte da questo braccio telecomandato.

---

Le cose vanno meno bene allo spazioporto europeo di Kourou, nella Guyana francese; i russi hanno deciso di richiamare il loro personale presente e di sospendere le attività del vettore Soyuz che avrebbe dovuto portare in orbita una coppia di satelliti di navigazione europei Galileo ad aprile.

Un altro atto concreto derivante dall’invasione russa dell’Ucraina è l’interruzione delle attività del telescopio a raggi X eRosita, che è tedesco, a bordo del satellite di ricerca scientifica russo Spektr-RG, situato a un milione e mezzo di chilometri dalla Terra.

Anche un’altra collaborazione europea con la Russia è ora fortemente compromessa: un vettore russo Proton avrebbe dovuto lanciare la missione robotica ExoMars verso Marte a settembre dal cosmodromo di Baikonur, e la sonda avrebbe dovuto usare un modulo russo, Kazachok, per l’atterraggio su Marte, ma l’Agenzia Spaziale Europea ha dichiarato che questo lancio è ora “molto improbabile”. Le leggi inesorabili della meccanica orbitale implicano che la missione dovrà aspettare altri due anni prima della prossima finestra di lancio.

Sul piano commerciale, inoltre, Rogozin ha dichiarato inizialmente che se la Russia non riceverà entro il 4 marzo prossimo garanzie che i satelliti commerciali per telecomunicazioni OneWeb non verranno usati per scopi militari, il loro lancio a bordo di un vettore Soyuz, previsto per il 5 marzo da Baikonur, non avverrà. Poi RIA Novosti ha scritto che Roscosmos ha chiesto anche il ritiro del governo britannico dall’azionariato di OneWeb.

Il problema di fondo, qui, è che il programma spaziale russo non può permettersi di perdere queste commesse. Rogozin può strillare finché vuole e annunciare improbabili fughe in avanti autarchiche, ma la realtà dei fatti è che la Russia non ha soldi per le missioni spaziali e per mantenere le infrastrutture necessarie per effettuarle. Se la politica impone a Roscosmos di sbattere la porta in faccia a tutti, l’agenzia spaziale russa e tutto lo storico apparato che ha contribuito così tanto alla storia dell’esplorazione spaziale rischiano di chiudere definitivamente.

---

2022/03/02 17.30. Roscosmos.ru è inaccessibile. Anonymous afferma di aver preso il controllo del centro di controllo dell’agenzia spaziale russa, ma non ci sono conferme. RIA Novosti parla di un attacco hacker al centro di controllo ma non conferma che abbia avuto successo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
23 Feb 11:02

Saturday Morning Breakfast Cereal - Econs

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
I feel this is a universal and underappreciated phenomenon. Like, consider how all poetry is written by the kind of people who are attracted to poetry classes.


Today's News:
11 Feb 10:17

Tractor Beam

Did you base the saucer shape on pop culture depictions of aliens, or was that stuff based on your ships? Does the rotational symmetry help with ... hey, where are you going?
17 Jan 09:12

Spinthariscope

Other high scorers are melt-in-your-hand aluminum-destroying gallium and tritium-powered glowsticks. Lawn darts are toward the other end.
01 Dec 10:56

Siren

Directions from CITY OF TROY to ITHACA / Total time: 10y 54d 14h 25m / Warning: Route crosses an international border / route includes capture by the goddess Calypso / route includes a ferry
09 Nov 09:03

Flinch

Premed: "Does this count for a physics credit? Can we shorten the string so I can get it done faster? And can we do one where it hits me in the face? I gotta do a thing for first aid training right after."
03 Nov 09:16

Saturday Morning Breakfast Cereal - Destiny

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
Top perovskite joke of the decade.


Today's News:
15 Oct 10:18

Saturday Morning Breakfast Cereal - Life of a Salesman

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
It's time for a play about how wait a minute middle class life was okay.


Today's News:
12 Aug 07:46

Average Familiarity

How could anyone consider themselves a well-rounded adult without a basic understanding of silicate geochemistry? Silicates are everywhere! It's hard to throw a rock without throwing one!
10 Aug 09:06

Global Temperature Over My Lifetime

I was really impressed by the accuracy of some of the report's predictions about fossil fuel consumption. Then I realized, oh, right, of course.
27 Jul 09:03

Flawed Data

We trained it to produce data that looked convincing, and we have to admit the results look convincing!
27 Jul 08:57

07/26/21 PHD comic: 'Among Us'

Piled Higher & Deeper by Jorge Cham
www.phdcomics.com
Click on the title below to read the comic
title: "Among Us" - originally published 7/26/2021

For the latest news in PHD Comics, CLICK HERE!

01 Jun 08:36

Saturday Morning Breakfast Cereal - Disinformation

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
If only we could merge relativistic bullshit with quantum bullshit.


Today's News:
28 May 08:38

Saturday Morning Breakfast Cereal - Disinformation

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
If only we could merge relativistic bullshit with quantum bullshit.


Today's News:
28 Apr 08:15

Saturday Morning Breakfast Cereal - Nanacoin

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
Please keep your hatemail as technically inscrutable as possible.


Today's News:
27 Apr 08:39

Virus Consulting

All our teams make an effort to stay optimistic, but I will say that once our virus division saw the vaccine efficacy data, they started asking for payment up front.
25 Mar 10:31

Saturday Morning Breakfast Cereal - Trolley

by tech@thehiveworks.com


Click here to go see the bonus panel!

Hovertext:
There, now I've solved demarcation, consciousness, and ethics. That's pretty much it, right?


Today's News:

Suddenly, I have this fear that someone somewhere has done this.

22 Mar 10:30

QC ethics and hype: the call is coming from inside the house

by Scott

For years, I’d sometimes hear discussions about the ethics of quantum computing research. Quantum ethics!

When the debates weren’t purely semantic, over the propriety of terms like “quantum supremacy” or “ancilla qubit,” they were always about chin-strokers like “but what if cracking RSA encryption gives governments more power to surveil their citizens? or what if only a few big countries or companies get quantum computers, thereby widening the divide between haves and have-nots?” Which, OK, conceivably these will someday be issues. But, besides barely depending on any specific facts about quantum computing, these debates always struck me as oddly safe, because the moral dilemmas were so hypothetical and far removed from us in time.

I confess I may have even occasionally poked fun when asked to expound on quantum ethics. I may have commented that quantum computers probably won’t kill anyone unless a dilution refrigerator tips over onto their head. I may have asked forgiveness for feeding custom-designed oracles to BQP and QMA, without first consulting an ethics committee about the long-term effects on those complexity classes.

Now fate has punished me for my flippancy. These days, I really do feel like quantum computing research has become an ethical minefield—but not for any of the reasons mentioned previously. What’s new is that millions of dollars are now potentially available to quantum computing researchers, along with equity, stock options, and whatever else causes “ka-ching” sound effects and bulging eyes with dollar signs. And in many cases, to have a shot at such riches, all an expert needs to do is profess optimism that quantum computing will have revolutionary, world-changing applications and have them soon. Or at least, not object too strongly when others say that.

Some of today’s rhetoric will of course remind people of the D-Wave saga, which first brought this blog to prominence when it began in earnest in 2007. Quantum computers, we hear now as then, will soon leave the Earth’s fastest supercomputers in the dust. They’re going to harness superposition to try all the exponentially many possible solutions at once. They’ll crack the Traveling Salesman Problem, and will transform machine learning and AI beyond recognition. Meanwhile, simulations of quantum systems will be key to solving global warming and cancer.

Despite the parallels, though, this new gold rush doesn’t feel to me like the D-Wave one, which seems in retrospect like just a little dry run. If I had to articulate what’s new in one sentence, it’s that this time “the call is coming from inside the house.” Many of the companies making wildly overhyped claims are recognized leaders of the field. They have brilliant quantum computing theorists and experimentalists on their staff with impeccable research records. Some of those researchers are among my best friends. And even when I wince at the claims of near-term applications, in many cases (especially with quantum simulation) the claims aren’t obviously false—we won’t know for certain until we try it and see! It’s genuinely gotten harder to draw the line between defensible optimism and exaggerations verging on fraud.

Indeed, this time around virtually everyone in QC is “complicit” to a greater or lesser degree. I, too, have accepted compensation to consult on quantum computing topics, to give talks at hedge funds, and in a few cases to serve as a scientific adviser to quantum computing startups. I tell myself that, by 2021 standards, this stuff is all trivial chump change—a few thousands of dollars here or there, to expound on the same themes that I already discuss free of charge on this blog. I actually get paid to dispel hype, rather than propagate it! I tell myself that I’ve turned my back on the orders of magnitude more money available to those willing to hitch their scientific reputations to the aspirations of this or that specific QC company. (Yes, this blog, and my desire to preserve its intellectual independence and credibility, might well be costing me millions!)

But, OK, some would argue that accepting any money from QC companies or QC investors just puts you at the top of a slope with unabashed snake-oil salesmen at the bottom. With the commercialization of our field that started around 2015, there’s no bright line anymore marking the boundary between pure scientific curiosity and the pursuit of filthy lucre; it’s all just points along a continuum. I’m not sure that these people are wrong.

As some of you might’ve seen already, IonQ, the trapped-ion QC startup that originated from the University of Maryland, is poised to have the first-ever quantum computing IPO—a so-called “SPAC IPO,” which while I’m a financial ignoramus, apparently involves merging with a shell company and thereby bypassing the SEC’s normal IPO rules. Supposedly they’re seeking $650 million in new funding and a $2 billion market cap. If you want to see what IonQ is saying about QC to prospective investors, click here. Lacking any choice in the matter, I’ll probably say more about these developments in a future post.

Meanwhile, PsiQuantum, the Palo-Alto-based optical QC startup, has said that it’s soon going to leave “stealth mode.” And Amazon, Microsoft, Google, IBM, Honeywell, and other big players continue making large investments in QC—treating it, at least rhetorically, not at all like blue-sky basic research, but like a central part of their future business plans.

All of these companies have produced or funded excellent QC research. And of course, they’re all heterogeneous, composed of individuals who might vehemently disagree with each other about the near- or long-term prospects of QC. And yet all of them have, at various times, inspired reflections in me like the ones in this post.

I regret that this post has no clear conclusion. I’m still hashing things out, solicing thoughts from my readers and friends. Speaking of which: this coming Monday, March 22, at 8-10pm US Eastern time, I’ve decided to hold a discussion around these issues on Clubhouse—my “grand debut” on that app, and an opportunity to see whether I like it or not! My friend Adam Brown will moderate the discussion; other likely participants will be John Horgan, George Musser, Michael Nielsen, and Matjaž Leonardis. If you’re on Clubhouse, I hope to see you there!

Update (March 22): Read this comment by “FB” if you’d like to understand how we got to this point.