标记为“雅虎”的条目

第1页共1页

雅虎扫描了所有国家安全局的电子邮件

新闻在这里在这里.

其他公司快速否认他们做了同样的事,但我一般不相信那些措辞谨慎的声明,关于他们已经做过和没有做过的事情。我们知道国家安全局利用贿赂,胁迫,威胁,法律强制,为了得到他们想要的东西而直接偷窃。我们只是不知道他们在哪种情况下使用哪一种。

编辑添加(10/7):更多新闻.这个,请也一样。

编辑添加(10/17):A相关故事.

10月6日发布,2016年下午1:58查看评论

雅虎的黑客行为

上周,雅虎!宣布它在2014年被大量黑客攻击。超过50亿的用户名和密码受到影响,这是有史以来最大的数据泄露。

雅虎!声称是政府干的:

雅虎最近的调查股份有限公司。已证实,某些用户帐户信息的副本在2014年底从该公司的网络中被盗,被其认为是国家资助的演员。

黑客事件后我做了很多新闻采访,反复说“国家赞助的演员”通常的代码是“请不要因为我们的劣质安全而责备我们,因为它是一个非常复杂的攻击者,我们不能期望我们为自己辩护。”

好,原来是雅虎!有劣质的安全措施,是一群犯罪分子入侵了他们。第一个故事来自纽约时报,请并概述了雅虎的许多方法!忽略了安全问题。

但是,当需要投入有意义的资金来改善雅虎的安全基础设施时,太太迈尔一再与先生发生冲突。雄蕊,根据现在和以前的员工。她否认了雅虎安全团队的财务资源,推迟了主动的安全防御措施,包括雅虎生产系统的入侵检测机制。

第二个故事来自《华尔街日报》以下内容:

InfoArmor说黑客们,它称之为“E组”。至少三次销售整个雅虎数据库,包括向一个国家赞助的演员出售。但黑客们从事的是一个赚钱的企业,他们有着“重大的犯罪记录”。向其他垃圾邮件罪犯或不代表任何政府行事的关联营销人员出售数据,安德鲁·科马罗夫说,信息装甲公司首席情报官

这不是国家资助的黑客的资料,先生。科马罗夫说。“我们看不出有任何理由说它是国家赞助的。”他说。“他们的客户是国家资助的,但不是真正的黑客。”

9月30日发布,2016年上午6:16查看评论

雅虎对抗棱镜的完整故事

2008年,雅虎战斗国家安全局应避免成为棱镜计划的一部分。最终在法庭上败诉,有一次,如果它继续抵制的话,就会受到每天25万美元的罚款的威胁。我一直对政府的胁迫程度感到惊讶。

9月18日发布,2014年上午7:13查看评论

持续的公私监督伙伴关系

如果你最近一直在看新闻,你可能认为美国公司正在尽最大努力阻止国家安全局的监视。

谷歌只是宣布当你从电脑或手机访问Gmail时,它正在加密Gmail,以及数据中心之间。上周,马克·扎克伯格亲自打过电话奥巴马总统抱怨国家安全局利用Facebook黑客电脑,以及Facebook的首席安全官向记者解释从去年夏天开始攻击技术就没有起作用。雅虎,谷歌,微软,其他人现在也在定期出版。”透明度报告,“列出公司收到和遵守的政府数据请求的大致数量。

在政府方面,上周,国家安全局的总法律顾问拉杰什德似乎把这些公司赶下了公共汽车。说明尽管他们否认,但他们知道国家安全局在Prism计划和一些不知名的“上游”项目下收集的数据。通讯链接上的集合。

对,看起来像公共/私人监督伙伴关系磨损了——但是,不幸的是,它活得很好。大型互联网公司和政府机构的主要关注点仍然大体一致:保持我们所有人都处于持续的监控之下。当他们争吵时,它主要是角色扮演,旨在让我们对真正发生的事情保持沉默。

美国情报界仍在玩文字游戏和我们一起。国家安全局根据四个不同的法律机构收集我们的数据:1978年的《外国情报监督法》(FISA)。1981年第12333号行政命令,2004年和2008年修订,2001年《爱国者法》第215节,以及2008年FISA修正法案(FAA)第702节。当情报部门的人使用“不在这个程序下”的警告时要小心。或“不受此授权”;几乎可以肯定的是,无论他们否认什么,都是在其他计划或权威下完成的。所以当de说公司知道第702条下的NSA藏品时,这并不意味着他们知道其他的收藏项目。

大型互联网公司知道Prism——虽然不是用这个代号——因为这就是程序的工作原理;国家安全局向他们提供FISA命令。这些公司不知道对他们的用户在更加宽容环氧乙烷12333。谷歌和雅虎不知道肌肉,请国家安全局窃听数据中心之间中继连接的秘密程序。Facebook不知道量子手,请国家安全局攻击Facebook用户的秘密计划。而且没有目标公司知道国家安全局收割他们的用户地址簿和好友列表。

这些公司当然对围绕国家安全局行动的宣传正在损害用户对其服务的信任感到愤怒,他们是失败的因为它。思科,请国际商用机器公司,请云服务提供商,请其他人已经宣布他们损失了数十亿,主要在国外销售。

这些公司正在尽力说服用户他们的数据是安全的。但他们依赖的是他们的用户,他们不理解真正的安全是什么样子的。IBM的致客户的信上周是个很好的例子。这封信列举了五个“简单的事实”希望能安抚客户,但是这些项目是如此的合格,他们做了警告完全相反任何了解国家安全局全面监控的人。和IBM的花费12亿美元在美国以外的数据中心。只会让那些没有意识到国家安全信要求公司移交数据的客户放心,不管它在世界上存储在哪里。

谷歌最近的行动,和类似的行动在许多互联网公司中,肯定会提高用户对政府秘密收集计划(包括国家安全局和其他政府)的安全性,但他们的保证故意忽略了其服务中通过设计而存在的巨大安全漏洞。谷歌,再进一步说,美国政府,仍然可以访问您在谷歌服务器上的通信。

谷歌可以改变这一点。它可以加密您的电子邮件,这样只有您可以解密和阅读它。它可以提供安全的语音和视频,这样对话之外的任何人都不会窃听。

没有。微软也没有,脸谱网,雅虎,苹果,或者其他的。

为什么不呢?他们不一定是因为他们想保持窃听你谈话的能力。监视仍然是互联网的商业模式,请每一家公司都希望访问您的通信和元数据.你的私人想法和谈话是他们卖给客户的产品。我们也知道他们阅读您的电子邮件为了他们自己的内部调查。

但即使这不是真的,即使——例如——谷歌愿意放弃数据挖掘你的电子邮件和视频对话,以换取它比微软的市场优势,它仍然不能为你提供真正的安全保障。不能。

最大的互联网公司不提供真正的安全保障,因为美国政府不允许这样做。

这不是妄想症。我们知道美国政府命令安全的电子邮件提供商Lavabit将其主密钥移交给每个用户。我们知道美国政府说服微软——要么通过贿赂,胁迫,威胁,或法律强制进行更改Skype的运作方式,使窃听更容易。

我们不知道美国有什么样的压力。政府已经启用了谷歌和其他公司。我们不知道这些公司与国家安全局达成了什么秘密协议。我们知道国家安全局的牛栏程序在许多常见的协议中,颠覆互联网密码技术是成功的。国家安全局要求谷歌的钥匙吗?就像洗脸盆一样?是吗?办公室小组闯入谷歌的服务器并窃取密钥?

我们只是不知道。

我们所拥有的最好的是知己知彼的虚假保证。在本月早些时候的SXSW,首席执行官埃里克·施密特试图让观众放心他说,他“非常肯定谷歌内部的信息现在是安全的,不会受到任何政府的窥探。”更准确的说法可能是,“你的数据对政府来说是安全的,除了我们不知道的方式和我们不能告诉你的方式。而且,当然,我们仍然可以完全接触到这一切,而且可以随意卖给任何我们想要的人。”这是一个糟糕的营销策略,但是,只要国家安全局被允许使用基于秘密法秘密解释的秘密法庭命令,不会有什么不同。

谷歌,脸谱网,微软,其他的是已经记录在案了支持这些立法改革。如果他们公开承认用户的不安全感,加大对政府改革的压力,那就更好了,而不是试图欺骗他们的用户和客户。

这篇文章以前出现过在theatlantic.com上。

发表于3月31日,2014年上午9:18查看评论

公共/私人监督伙伴关系的磨损

这个公共/私人监督伙伴关系国家安全局和企业数据收集机构之间的关系开始紧张起来。原因是阳光。斯诺登文件引起的公众关注使公司在允许国家安全局访问其用户和客户数据之前三思而后行。

在斯诺登之前,与国家安全局合作没有任何负面影响。如果国家安全局要求你提供所有网络流量的副本,或者把后门放进你的安全软件里,你可以假设你的合作永远是秘密的。公平地说,不是每个公司都愿意合作。有些人在法庭上打架。但似乎很多人,尤其是电信公司和主干网提供商,很高兴能让国家安全局自由地接触到一切。斯诺登邮报,这正在改变。现在很多公司的合作已经公开了,他们正面临着来自客户和用户的公关反冲,他们对自己的数据流入国家安全局感到不安。这让这些公司的业务损失惨重。

多少还不清楚。七月,就在那之后棱镜启示录,请云安全联盟报告说,美国云公司可能会输350亿美元在接下来的三年里,主要是由于国外销售的损失。当然,这个数字增加了愤怒国家安全局的间谍活动继续在欧洲和其他地方进行。没有类似的软件销售报告,尽管我参加过一些美国大型软件公司抱怨海外销售损失的私人会议。在硬件方面,IBM是失去生意在中国。美国电信公司也在受苦:美国电话电报公司失去生意全世界。

这是新的现实。这个保密规则是不同的,请公司必须假设他们对国家安全局数据要求的回应将公开。这意味着现在合作成本很高,对战斗也有相应的好处。

在过去的几个月里,更多的公司已经意识到国家安全局基本上是把他们当作敌人对待,请响应作为这样的.十月中旬,国家安全局收集来自不同服务提供商的Internet用户的电子邮件地址簿和好友列表。雅虎,默认情况下不会加密这些用户连接,允许国家安全局收集比谷歌更多的数据,是的。同一天,雅虎宣布默认情况下,它将为所有用户实现SSL加密。两周后,当国家安全局收集通过窃听谷歌数据中心之间的中继连接来获取谷歌用户的数据,谷歌宣布将加密这些连接。

我们最近得知雅虎战斗移交数据的政府命令。洗脸盆战斗它的顺序也是一样。苹果现在调整政府。因此,我们对这些公司的评价更高。

现在拉瓦比特,它关闭了向下它的电子邮件服务而不是遵从国家安全局的主钥匙要求,因为主钥匙会危害到所有客户,已与Silent Circle合作发展一种安全的电子邮件标准,能够抵抗这种策略。

斯诺登的文件清楚地表明,国家安全局在多大程度上依赖企业窃听互联网。国家安全局没有从头开始建立一个庞大的互联网窃听系统。它注意到企业界已经在窃听每一个互联网用户——监视是互联网的商业模式,毕竟——而且只是为自己拿了份拷贝。

现在,这个秘密的生态系统正在崩溃。最高法院法官路易斯·布兰代斯写的关于透明度,说“阳光是最好的消毒剂。”在这种情况下,它似乎起作用了。

这些发展只会有助于安全。记住,尽管爱德华·斯诺登为我们提供了了解国家安全局活动的窗口,这些战术可能也被世界上其他情报机构使用。今天的秘密国家安全局项目将成为明天的博士论文,第二天的犯罪黑客工具。不可能建立一个能让好人窃听的互联网,坏人不能。我们可以在易受所有攻击者攻击的互联网之间进行选择,或者一个安全的互联网,不受任何攻击者的攻击。安全可靠的互联网符合每个人的最大利益,包括美国。

这篇文章以前出现过在theatlantic.com上。

11月14日发布,2013年上午6:21查看评论

美国国家安全局窃听谷歌和雅虎网络

这个华盛顿邮报报道美国国家安全局正在窃听谷歌和雅虎的私人网络——这个程序的代号相当强大。我以后会写更多关于这个的东西,但我有一些初步意见:

  • 这是一个衡量国家安全局偏离轨道有多远的指标,它正在采取冷战时期的窃听策略——秘密窃听外国网络——并将其应用于美国公司。它瞄准了美国以外这些公司网络的一部分,从而避开了美国法律。这是美国国家安全局用来证明的同一种法律论据。收集全球通讯簿和好友列表。

  • 虽然华盛顿邮报文章专门讨论了谷歌和雅虎,您必须假设所有其他主要云服务(以及许多次要云服务)都以同样的方式受到损害。这意味着微软,苹果,脸谱网,推特,我的空间,巴杜,升降箱,一天又一天。

  • 这是非常值得重新阅读的所有政府否认的批量收集和直接访问后棱镜暴露了。看来要从国家安全局得到真相是不可能的。它措辞谨慎的否认似乎总是掩盖事实真相。

  • 鉴于此,Prism实际上只是一种保险:一种让国家安全局为它已经拥有的信息获得法律保障的方法。我的猜测是,国家安全局秘密收集了绝大多数数据,使用这些程序。然后,当必须与联邦调查局或其他组织分享信息时,它通过类似Prism的更公开的程序再次得到它。

  • 这真的说明了监视状态有多强大,制定法律来约束国家安全局是多么困难。到目前为止,所有正在讨论的法案都只解决了部分问题:具体的方案或具体的法律理由。但国家安全局的监测基础设施比这要强大得多。我们的数据有很多种方式,以及各种规避法律的技巧。注意此报价单从昨天的故事:

    约翰·辛德勒,曾任美国国家安全局首席分析师和海军战争学院(NavalWarCollege)教师的常任辩护律师,他说,很明显,该机构为何愿意尽可能避免限制。

    “听着,国家安全局有一排律师,他们的全部工作就是通过利用每一个漏洞,找出如何遵守法律,最大限度地收集藏品。”他说。“公平地说,根据12333号行政命令,这些规则的限制比根据FISA的限制要小。”《外国情报监视法》。

    不足为奇,真正地。但它说明了有意义的改革将是多么困难。我写的这个9月:

    是时候开始清理这些乱七八糟的东西了。我们需要一名特别检察官,一个与军队无关,公司参与了这些项目,或者现在的政治领导,无论是民主党还是共和党。这位检察官需要自由地审查国家安全局的文件,并发现该机构正在做的全部工作,以及足够的有能力理解它的技术人员。他需要权力传唤政府官员,并听取他们宣誓作证。他需要在适当的时候提出刑事起诉的能力。而且,当然,他需要必要的安全许可才能看到一切。

    我们还需要像南非真相与和解委员会这样的机构,在那里,政府和企业员工都可以站出来讲述国家安全局窃听的故事,而不用担心报复。

    没有这个,制定改革立法是不可能的。

  • 最后,我们需要在互联网上进行更多的加密。我们让监视变得太便宜了,不仅对国家安全局,而且对所有民族国家的敌人。我们需要再做一次。

编辑增加(11/1):我们不知道国家安全局是否秘密这么做,或者如果它得到另一家美国公司的帮助。三级通信提供到谷歌的数据链接,和它的陈述没有足够的信息可供怀疑:

在一份声明中,三级官员说:“我们遵守每个国家的法律。一般来说,寻求执法或安全调查援助的政府禁止披露所提供的援助。”

当我国家安全局破坏了互联网上的信任结构,这就是我的意思。谷歌不能再相信它的带宽提供商不会背叛公司。

编辑添加(11/2):国家安全局拒绝相当蹩脚.感觉好像已经不再尝试了。

我们还知道,三级通信已经与国家安全局合作,代号为很少以下内容:

首次确定电信公司与GCHQ“特殊来源”合作的文件团队。它为每个公司提供了绝密的代号,使用BT(“补救”),Verizon Business(“涤纶”),和沃达丰电缆(“Gerontic”)。其他公司包括环球交叉(“Pinnage”),三级(“小”),Viatel(“玻璃”)和Interoute(“电车”)。

再一次,这些代码名应该全部大写。

编辑添加(11/5):更多细节在节目中。

10月31日发布,2013年上午10:29查看评论

NSA收获联系人列表

一份新的斯诺登文件显示国家安全局正在获取联系人列表--电子邮件通讯簿,我的好友列表,等。--从谷歌,雅虎,微软,脸谱网,以及其他。

不像棱镜,请这个未命名的程序从Internet收集数据。这类似于国家安全局确定ToR用户.他们可以直接访问互联网主干网,或者通过秘密协议具有像AT&T这样的公司或者偷偷地,通过做一些事情,比如敲击海底电缆.一旦他们有了数据,他们有强大的包检查人员——代码名称包括混乱,湍流,还有混乱——运行着一堆不同的识别和复制系统。其中一个,代码名未知,搜索并复制这些联系人列表。谷歌,雅虎,微软,等。,不知道这是怎么回事,他们也不同意以这种方式获取数据。

这些联系名单为国家安全局提供了与威瑞森(及其他)电话记录“元数据”收集程序提供:关于谁是我们的朋友的信息,情人,知己们,联系。这是非常私密的信息,所有未经任何授权或正当程序收取的款项。元数据等于监视(二)永远记住这一点。

这个数量很有趣以下内容:

去年的一天,美国国家安全局的特别来源运营部门从雅虎收集了444743份电子邮件地址簿,来自hotmail的105068,82857来自Facebook,来自Gmail的33697和来自其他未指定提供商的22881….

注意,Gmail,默认情况下使用SSL,为国家安全局提供的数据比雅虎少得多,但事实并非如此,尽管Gmail的用户比雅虎多。(事实上,Gmail的数量是如此之小,真是令人惊讶。)这意味着,尽管牛栏,请加密工作。普遍使用SSL可以阻止NSA窃听。这是我们从国家安全局试图断路器:加密工作。

为了回应这个故事,雅虎已经最后果断的使可能默认为ssl:2014年1月。

还有一点有趣:国家安全局有垃圾邮件问题。

垃圾邮件已经被证明是国家安全局的一个重大问题——用没有外国情报价值的信息堵塞数据库。大多数电子邮件,一份国家安全局的文件说,“是来自‘假地址’的垃圾邮件,从未‘传递’到目标。”

这个华盛顿邮报出版国家安全局文件以支持本文。

编辑添加:纽约时报制造观察结果:

窃听组织的发言人向邮报保证,我们不应该为此而烦扰我们的头脑。他们“在我们的工具中内置了检查和平衡”一位情报官员说。

从斯诺登泄密开始,政府对这个术语采用了一个有趣的定义。过去是“制衡”指政府检查和平衡其他部门的一个部门,如最高法院决定法律是否符合宪法。

现在是国家安全局,中情局白宫用这个词指的是一个秘密组织,它审查自己所采取的行动,并秘密决定这些行动是否合法和符合宪法。

10月15日发布,2013年下午1:37查看评论

美国公司的NSA数据请求详情

脸谱网在这里),请苹果在这里),请和雅虎在这里)已经公布了美国政府要求提供数据的所有细节。他们都说他们已经为大约10000人提交了用户数据,尽管时间框架不同。确切的数字并不重要;重要的是许多的低于Prism文档所暗示的数百万。

现在的大问题是:我们相信他们吗?如果我们不这样做,在我们相信他们之前需要什么?

6月18日发布,2013年下午4:00查看评论

科摩多集团发行伪造的SSL证书

这个不好:

黑客,他的3月15日攻击被追踪到伊朗的一个IP地址,在受人尊敬的证书颁发机构Comodo Group泄露了一个合作伙伴帐户,他曾经为六个域请求八个SSL证书:mail.google.com,www.google.com.登录yahoo.com,登录.skype.com,addons.mozilla.org和login.live.com。

这些证书将允许攻击者伪造被浏览器接受为合法网站的伪造页面。作为攻击的一部分,这些证书将是最有用的,因为该攻击将用于Skype的流量重定向,谷歌和雅虎将一台机器置于攻击者的控制之下。这种攻击的范围从咖啡店的小规模Wi-Fi欺骗一直到全球互联网线路劫持.

至少,然后攻击者就可以从任何人那里窃取登录凭证,这些人在伪造的页面中输入了用户名和密码,或者表演“中间人”攻击窃听用户会话。

更多新闻文章.科摩多公告.

谷歌的假证书,雅虎,还有Skype?真的。

这不是科摩多第一次搞砸证书。对于我们的用户来说,最安全的做法是从浏览器中删除comodo根证书,这样他们的证书就不起作用了。但我们没有能力做到这一点。浏览器公司——微软,Mozilla,歌剧,等。--可以做到的,但我想他们不会。经济激励措施效果不佳。科摩多很可能会起诉任何采取这种行动的浏览器公司,科摩多的客户也会。因此,对于浏览器公司来说,忽略问题并将问题传递给美国用户更明智。

发表于3月31日,2011年上午7:00查看评论

关于德国恐怖分子阴谋的更多信息

这篇文章是对实际调查的详细记录。虽然在调查过程中,被截获的电子邮件似乎在多个方面发挥了作用,这篇文章没有解释这些截获是由一些大规模窃听程序造成的,还是专门为本案获得的。

美国情报机构,国家安全局和中央情报局,提供了最重要的信息:德国伊斯兰主义者和他们在巴基斯坦的接触者之间的信息副本。德国的三个人显然是保持联系的人。第一个是一个化名为“muaz”的人。调查人员怀疑谁是伊斯兰阿提拉。22.第二个是一个叫“扎弗”的人。从纽基镇出发,他们相信的人是扎弗,丹尼尔的老朋友,上周被捕的三个人中的一个。据他父亲说,Hizir S.,扎弗目前正在伊斯坦布尔参加一个语言课程。在国家安全局截获的电子邮件中,第三个不断出现的名字是“阿卜杜勒·马利克”。A.K.A.公司弗里茨·盖洛维奇,检察官认为他是德国牢房的头目,汉宁的一位副部长称之为“冷血动物,充满仇恨”。

[…]

2006年春在巴基斯坦营地时,Adem Y.公司盖洛维茨可能讨论了秘密从巴基斯坦向德国传递信息的方法。他们使用雅虎邮箱,但不是直接发送信息,他们将这些信息存储在一个草稿文件夹中,通过这个文件夹,他们的伊斯兰同胞可以访问这些信息。但事实证明,他们所采用的方法早就被称为“基地”组织的策略。中央情报局,NSA和BKA在监控集团的通信方面没有遇到任何问题。两个化名为“sule”的男人或“suley”和“JAF”保持与IJU侧的接触。

这也很有趣,考虑到本博客和其他地方关于阻止人们观看和拍摄潜在的恐怖目标的许多讨论:

12月初。31岁,2006年,一辆载着几个乘客的汽车静静地驶过兰博伊的哈蒂尔兵营,德国西部城市哈瑙的一部分。哈努是美国一个主要军事基地的所在地,数千名美国士兵生活的地方,通常都期待着在离家出走的家里庆祝除夕。布莱德雷战车的观察小组后来注意到,这辆车在营房前来回行驶了好几次。当德国特工最终停车时,他们发现乘客是Fritz Gelowicz,阿提拉S.来自南部城市乌尔姆,艾汉T.来自法兰克福附近的兰根和达纳B.,来自法兰克福的伊朗裔德国人,当被问到他和其他人在那里做什么时,声称他们只是想看看“美国人如何庆祝除夕”。

9月21日发布,2007年凌晨4:00查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。