betway88必威官网备用 标签:www.vbispy.com,2014-06-11:/blog//2 2019年5月29日11:03:53Z 一个关于安全和安全技术的博客。 移动式Pro Alex Stamos关于内容适度性和安全性 标签:www.vbispy.com,2019:/blog//2.12079 2019年5月29日11:03:53Z 2019年5月29日11:03:53Z 前Facebook首席信息官亚历克斯•斯塔莫斯(AlexStamos)非常有趣地谈到了社交媒体平台在内容适度方面固有的问题。值得一看…… 布鲁斯·施奈尔 <p>真的很有趣吗?v=atmqj787jcc“>Talk(谈话)”作者:前Facebook Ciso Alex Stamos,关于社交媒体平台内容适度固有的问题。值得一看。<p> 第一美国金融公司数据记录泄漏 标签:www.vbispy.com,2019:/blog//2.12078 2019年5月28日14:59:17Z 2019年5月28日14:59:17Z Krebs的安全报告称,房地产产权保险公司First American Financial Corp.大量数据泄露。“产权保险机构从买卖双方收集各种文件,包括社会保险号码,驾驶执照,对账单,即使是内部公司文件,如果你是一个小企业。你给他们各种各样的私人… 布鲁斯·施奈尔 <p>krebs on security is<a href=“https://krebsonsecurity.com/2019/05/First American Financial Corp.Leaked数亿个产权保险记录/”>Reporting</a>a Massive Data Leak by the Real Estate Title Insurance Company First American Financial Corp.<p><blockQuote><p>”The Title Insurance Agency collects all kinds of documents from买卖双方,包括社会保险号码,驾驶执照,对账单,即使是内部公司文件,如果你是一个小企业。你给他们各种各样的私人信息,你希望他们保持秘密。”<p>肖瓦尔分享了一个文件链接,他是第一个美国人从最近的交易中得到的,它引用了一个9位数长的记录编号,日期为2019年4月。在同一日期和时间之前或之后,通过两个方向的编号修改其链接中的文档编号,生成其他人的记录,表明文件编号可能是按顺序发布的。<p>The earst document number available on the site--000000075--referenced a real estate transaction from 2003.从那里,文档上的日期越来越接近实时,记录编号中的每一个向前递增。<p>>blockquote>><p>This is not an uncommunication viability:documents without security,只是“受保护”通过一个唯一的序列号,结果很容易猜测。<p>krebs没有证据表明任何人都收集了所有这些数据,但这不是重点。该公司在一份声明中说:“首先是美国人,安全性,隐私和保密是最优先考虑的问题,我们致力于保护客户的信息。”这显然不是真的;对于公司来说,安全和隐私可能是非常低的优先级。这是基本的东西,像第一美国公司这样的公司。应该对他们糟糕的安全做法负责。<p> 星期五鱿鱼博客:鱿鱼皮的更多材料科学 标签:www.vbispy.com,2019:/blog//2.12070 2019年5月24日t21:11:23z 2019年5月24日t21:11:23z 文章:“鱿鱼变色的皮肤如何激发了一种新的材料,可以捕捉或释放热量。”像往常一样,你也可以用这篇乌贼文章来谈论我没有报道的新闻中的安全故事。请阅读我的博客发布指南… 布鲁斯·施奈尔 <p>文章:“<a href=“https://www.smithsoniamag.com/innovation/how-squid s-color-changing-skin-inspired-new-material-can-trap-release-heat-180972162/”>How a squid's color changing skin inspired a new material that can trap or release heat.<p>as normal,您也可以使用此Squid帖子来讨论我没有报道的新闻中的安全故事。<p><p>read my blog posting guidelines<a href=“//www.vbispy.com/blog/archives/2017/03/commenting ou poli.html”>here<a>。</p> 夏威夷国家安全局 标签:www.vbispy.com,2019:/blog//2.12071 2019年5月24日19:14:03Z 2019年5月24日19:14:03Z 最近,我听爱德华·斯诺登说他在夏威夷的国家安全局工作时“在菠萝地里”。哥伦比亚广播公司的新闻最近在国家安全局在瓦胡岛上的一篇收听文章上刊登了一段。实际信息不多。“我们在办公楼,在菠萝田里,关于瓦胡岛……”它的一部分在地下——我们看到… 布鲁斯·施奈尔 <p>最近,我听爱德华·斯诺登说他在夏威夷的国家安全局工作时“在菠萝地里”。CBS News Recently<a href=“https://www.cbs news.com/news/nsa Hawaii Exclusive Inside Look Front Lines Intelligence Gathering/”>在OAHU上运行了一个段</a>on that NSA listening post.<p><p>not a whole lot of actual information.“我们在办公楼,在菠萝田里,关于瓦胡岛……”它的一部分在地下——我们看到一条隧道。我们没有看到任何菠萝,但是,</P> 德国谈论禁止端到端加密 标签:www.vbispy.com,2019:/blog//2.12076 2019年5月24日13:39:37Z 2019年5月24日13:39:37Z 德国明镜周刊报道称,德国内政部计划要求所有互联网信息服务按需提供纯文本信息,基本上禁止强端到端加密。任何不遵守的人都将被阻止,尽管这篇文章没有说明怎么做。(科里·多克托罗曾解释过为什么这是不可能的。)这篇文章是用德语写的,我会… 布鲁斯·施奈尔 <p><i>der spiegel<i>is<a href=“https://www.spiegel.de/netzwelt/netzpolitik/horst-seehofer-will-messengerdinenste-zum-entschluesseln-zwingen-a-1269121.html”>reporting<a>that the German Ministry for Internal Affairs is planning to require all internet message services to provide plaintext messages on demand,基本上禁止强端到端加密。任何不遵守的人都将被阻止,尽管这篇文章没有说明怎么做。(cory doctorow has<a href=“https://boingboing.net/2017/06/04/theresa may king canute.html”>previously explained</a>why this would be impossible。)<p>the article is in german,我希望能从能说这种语言的人那里得到更多的信息。 德国SG-41加密机拍卖 标签:www.vbispy.com,2019:/blog//2.12072 2019年5月23日19:05:45Z 2019年5月23日19:05:45Z 一家德国拍卖行正在出售SG-41。它看起来很漂亮。起价为75000欧元。我猜它的售价大约是10万欧元…… 布鲁斯·施奈尔 <p>德国拍卖行出售它看起来很漂亮。起价为75000欧元。我猜它的售价大约是10万欧元。<br/></p> Thangrycat:严重的Cisco漏洞 标签:www.vbispy.com,2019:/blog//2.12074 2019年5月23日16:52:31Z 2019年5月23日16:52:31Z 总结:Thangrycat是由Cisco信任锚模块中的一系列硬件设计缺陷引起的。2013年首次商业化引进,Cisco Trust Anchor Module(TAM)是一种专用的硬件安全模块,广泛用于Cisco产品。包括企业路由器,交换机和防火墙。TAM是支持所有其他Cisco安全和值得信赖的信任的根源… 布鲁斯·施奈尔 <p><a href=“https://thrangrycat.com/”>summary<a>:<p><blockquote><p>thangrycat is caused by a series of hardware design defects within cisco's trust anchor module.2013年首次商业化引进,Cisco Trust Anchor Module(TAM)是一种专用的硬件安全模块,广泛用于Cisco产品。包括企业路由器,交换机和防火墙。TAM是支持这些设备中所有其他Cisco安全和值得信赖的计算机制的信任的根源。thangrycat允许攻击者通过fpga位流修改对信任锚模块进行持久修改,因此,破坏了安全引导过程,并在其根源上使Cisco的信任链失效。虽然缺陷是基于硬件的,可以远程利用thangrycat,而无需物理访问。由于缺陷存在于硬件设计中,任何软件安全修补程序都不太可能完全解决基本安全漏洞。<p><blockquote><p>from a<a href=“https://www.nytimes.com/2019/05/21/opinion/internet security.html”>news article<a>:<p><blockquote><p>thrangrycat is world for two reasons.第一,如果黑客利用这个弱点,他们可以对你的路由器做任何他们想做的事情。第二,攻击可以远程发生——这是一个软件漏洞。但修复只能在硬件级别应用。像,物理路由器。亲自。耶西。那是说,只有当您对设备具有管理访问权限时,Thrangerycat才能工作。你需要两步攻击才能让Thrangrycat工作。攻击1使您可以远程管理访问,攻击2是鞭打猫。攻击2没有攻击不可能发生1。Cisco可以通过发送软件更新来保护您免受攻击。如果你的身份证明人们已经很好地保护了您的系统,并且一直在应用更新和补丁,您不是国家行为体的常规目标,你相对安全,不受攻击1,因此,很安全,不会被打翻。<p>不幸的是,攻击1是一个花园类型的漏洞。许多系统甚至没有正确配置管理访问。Thrangrycat有机会被利用。<p><blockquote><p>and from<a href=“https://boing boing.net/2019/05/22/introspection engines.html”>boing boing</a>:<p><blockquote><p>thangrycat depends on attackers being able to run processes a s the system's administrator,还有红气球,披露漏洞的安全公司,还发现了一个允许攻击者以管理员身份运行代码的缺陷。<p>人们很容易忽略对可信计算模块的攻击,认为这是一种胡闹式的繁荣:毕竟,一旦攻击者在您的系统上有根目录,所有赌注都取消了。但是,可信计算的承诺是计算机能够检测并撤销这种妥协,通过使用单独的,用于调查和报告主系统状态的独立计算机(Huang and Snowden Call this<a href=“https://boingboing.net/2017/09/08/impaired judgment phones.html”>an introspection engine</a>)。一旦这个系统被破坏,它可以被强制提供关于系统状态的错误报告:例如,它可能会报告其操作系统已成功更新以修补漏洞,而实际上更新刚刚被丢弃。<p>as charlie warzel and sarah jeong<a href=“https://www.nytimes.com/2019/05/21/opinion/internet security.html”>Discus in the New York Times.<a>,这是一种可以远程执行的攻击,但只有在受影响的系统存在的情况下(并且只有在经过非常仔细的检查之后,而且,除了更换系统或至少更换受损的组件之外,可能仍然没有办法对此采取任何措施。<p><blockquote> 访问国家安全局 标签:www.vbispy.com,2019:/blog//2.12073 2019年5月22日19:11:32Z 2019年5月22日19:11:32Z 昨天,我去了国家安全局。今天是网络司令部的生日,但这不是我去的原因。我是作为Berklett网络安全项目的一部分访问的,走出伯克曼克莱因中心,由休利特基金会资助。(伯克曼·休利特——明白了吗?我们有一个网页,但它已经过时了。)整整一天… 布鲁斯·施奈尔 昨天,我去了国家安全局。今天是网络司令部的生日,但这不是我去的原因。我是作为Berklett网络安全项目的一部分访问的,走出伯克曼克莱因中心,由休利特基金会资助。(伯克曼·休利特——明白了吗?我们有一个网页<a href=“https://cyber.harvard.edu/research/cybersecurity”>但它已经过时了。)It was a full day of meetings,除了查塔姆家族的规定外,其他都是未分类的。消息。纳卡森欢迎我们,一开始就提问。各位高级官员就各种议题与我们进行了交谈,但主要集中在三个领域:<p><ul><li>Russian Influence Operations,国家安全局和美国网络司令部在2018年选举中的所作所为,以及他们未来的所作所为;<p><li>中国以及不受信任的计算机硬件对关键基础设施的威胁,5G网络和更广泛地说;<p><p><li>machine learning,如何确保ML系统符合所有法律,以及ML如何帮助完成其他合规性任务。.<ul><p>It was all interest.前两个主题是我思考和写作的主题,很高兴听到他们的观点。我发现我在网络安全问题上比在隐私问题上与国家安全局更紧密地联系在一起,这使得会议比我们讨论《金融情报机构修正法案》第702条时要轻松得多,第215节《美国自由法》(up for<a href=“https://www.washingtonexaminer.com/policy/patriot act renewal gives privacy advisors an opening“>renewal</a>next year)、或任何违反第四修正案的行为。我不认为我们通过了这些问题,但它们弥补了我正在做的工作。<p> 指纹iPhone 标签:www.vbispy.com,2019:/blog//2.12069 2019年5月22日11:24:21Z 2019年5月22日11:24:21Z 这种巧妙的攻击可以让用户在访问网站时唯一地识别手机,根据加速度计的数据,陀螺仪,以及磁强计传感器。我们开发了一种新型的指纹攻击,校准指纹攻击。我们的攻击使用加速度计收集的数据,智能手机中的陀螺仪和磁强计传感器可以构建全球独一无二的指纹。总的来说,… 布鲁斯·施奈尔 <p>当您访问网站时,此<a href=“https://sensorid.cl.cam.ac.uk/”>Smart Attack<a>允许某人唯一地识别电话,根据加速度计的数据,陀螺仪,和磁强计传感器。<p><blockquote><p>我们开发了一种新型的指纹攻击,校准指纹攻击。我们的攻击使用加速度计收集的数据,智能手机中的陀螺仪和磁强计传感器可以构建全球独一无二的指纹。总体而言,我们的攻击具有以下优点:<ul><li>可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起攻击,而无需您的任何明确确认或同意。<li>攻击需要不到一秒钟的时间来生成指纹。<li>这种攻击可以为iOS设备生成全球唯一的指纹。<li>校准指纹永远不会改变,即使在工厂重置之后。<li>攻击提供了一种有效的方法来跟踪您浏览网页和在您手机上的应用程序之间移动的过程。Apple已经在iOS 12.2中修复了此漏洞。<p><blockquote><p>research<a href=“https://www.ieee-security.org/tc/sp2019/papers/405.pdf”>paper</a>。</p> 科技和政治如何改变间谍活动 标签:www.vbispy.com,2019:/blog//2.12068 2019年5月21日11:19:41Z 2019年5月21日11:19:41Z 关于传统的国家间谍活动如何变化的有趣文章。基本上,互联网使得制作一个好的封面故事变得越来越可能;手机和其他电子监控技术使跟踪人员更加容易;机器学习将使这一切自动化。与此同时,西方国家有新的法律和规范,使它们比其他国家处于劣势。还有… 布鲁斯·施奈尔 <p>有趣的是,关于传统的国家间谍活动如何改变的文章。基本上,互联网使得制作一个好的封面故事变得越来越可能;手机和其他电子监控技术使跟踪人员更加容易;机器学习将使这一切自动化。与此同时,西方国家有新的法律和规范,使它们比其他国家处于劣势。最后,这其中大部分都是企业化的。<p>