附有“学术论文”标签的参赛作品必威体育官方

页码1 / 63

指纹iPhone

聪明的攻击允许某人在您访问网站时唯一标识电话,根据加速度计的数据,陀螺仪,以及磁强计传感器。

我们开发了一种新型的指纹攻击,校准指纹攻击。我们的攻击使用从加速度计收集的数据,智能手机中的陀螺仪和磁强计传感器可以构建全球独一无二的指纹。总体而言,我们的攻击具有以下优势:

  • 攻击可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起,无需您明确确认或同意。
  • 攻击需要不到一秒钟的时间来生成指纹。
  • 这种攻击可以为iOS设备生成全球唯一的指纹。
  • 校准指纹永远不会改变,即使在工厂重置之后。
  • 这种攻击提供了一种有效的手段,可以在你浏览网页和移动手机应用程序时跟踪你。

*在我们披露之后,苹果已经在iOS 12.2中修复了这个漏洞。

研究

发表于5月22日,2019年上午6:24·查看评论

“数据返回”的概念

诺姆·科尔特的这篇法律评论文章,题为“返回的数据,"提出了一种有趣的思考隐私法的新方法。

文摘:消费者经常向科技公司提供个人数据,以换取服务。然而,效用(U)消费者获得的数据和他们提供的数据(D)之间的关系——“数据回报”(棒)--基本上未被勘探过。以比率表示,棒= U / D。虽然立法者强烈主张保护消费者隐私,他们往往忽略罗德。是消费者享受服务的好处吗?比如社交网络和预测性搜索,与从中提取的数据的价值相称?消费者如何比较相互竞争的数据换服务交易?目前,监管这些交易的法律框架,包括隐私法,主要目的是保障个人资料。他们将数据保护视为一个独立的问题,必威官方最新下载不同于消费者所得到的好处。这篇文章建议,隐私问题不应该孤立地看待,而是作为ROD的一部分。正如公司可以量化投资回报率(ROI)以优化投资决策一样,消费者应该能够评估rod,以便更好地消费和投资个人数据。使服务交易的数据更加透明,将使消费者能够评估这些交易的优点,协商他们的条款,做出更明智的决定。从隐私模式转向Rod,既能激励数据驱动服务提供商向消费者提供更高的Rod,以及为新的市场进入者创造机会。

5月20日发布,2019年下午1:30·查看评论

Simon-32/64密码分析

奇怪的纸发布了在密码学eprint存档上(工作链接通过回程机器)。声称对国家安全局的袭击设计了密码西蒙。你可以读一些评论在这里。基本上,作者声称这次攻击具有毁灭性,他们只会发表一份零知识的攻击证据。他们没有。他们也没有发表任何其他有趣的东西,据我所知。

该论文已从ePrint档案中删除,这似乎是对某人的正确决定。

5月14日发布,2019年上午6:11·查看评论

一对俄罗斯加密算法的密码分析

俄罗斯设计的两种密码算法——Kuznyechik块密码和Streebog哈希函数——具有相同的功能瑕疵的天地盒几乎可以肯定的是有意的后门。这不是你偶然犯的那种错误,不是在2014年。

5月10日发布,2019年6点30分·查看评论

捍卫民主以抵御信息攻击

为了更好地理解影响攻击,我们提出了一种方法这将民主本身模拟为一个信息系统,并解释了民主如何容易受到某些形式的信息攻击,而这些攻击是独裁者自然抵制的。我们的模型结合了国际安全和计算机安全的思想,避免在解释攻击对整个民主的影响时受到两者的限制。

我们的初始账户是有限的。把民主作为一个信息系统来构建一个真正全面的理解,将是一项艰巨的任务,包括政治科学家和理论家的集体努力,计算机科学家,复杂性学者,以及其他。

在这篇短文中,我们承担着一项更为温和的任务:提供政策建议,提高民主抵御这些攻击的能力。明确地,我们可以告诉政策制定者,不仅需要考虑如何加强防范攻击的系统,但也需要考虑这些努力如何与公众对这些体系的信念(或共同的政治知识)相交叉,因为公众信仰本身可能是攻击的重要载体。

在民主国家,许多重要的政治决策都是由普通公民(通常,在选举的民主国家,投票选举政治代表)。这意味着公民需要对他们的政治制度有一些共同的理解,社会需要一些方法来产生关于他们的公民是谁以及他们想要什么的共享信息。我们称之为公共政治知识,它主要是通过社会聚集机制(以及实施这些机制的机构)产生的,如投票,人口普查,诸如此类。这些机制不完善,但对民主的正常运作至关重要。在独裁政权中,他们往往是妥协或不存在的,因为他们对统治者有潜在的威胁。

在现代民主国家,最重要的机制是投票,它综合了公民对竞争党派和政治家的选择,以决定谁在有限的时间内控制行政权力。另一个重要的机制是人口普查过程,在美国和其他民主国家发挥着重要作用,在提供有关人口的广泛信息时,在制定选举制度(通过在众议院分配席位)时,以及政策制定(通过政府开支和资源的分配)。较不重要的是公众评论过程,个人和利益集团可以通过这些评论对重要的公共政策和监管决策作出评论。

所有这些系统都容易受到攻击。选举很容易受到各种非法操纵,包括选举舞弊。然而,在美国,许多操纵行为都是合法的,包括许多形式的断奶,花哨的投票时间,分配投票亭和资源,使特定的人口得益或得益,规定了繁琐的登记和身份要求,等等。

人口普查可能因提供虚假资料而受到操控,或更有可能的是,通过政策或资源的倾斜,使一些人口数量不足。在过去几十年里,围绕人口普查的许多政治斗争一直围绕着人口普查是否应该采取统计措施,以消除对那些统计上不太可能归还人口普查表格的人口的抽样偏倚,比如少数民族和非法移民。目前包括移民身份问题的努力可能会降低无证移民或新近移民将填妥的表格退还的可能性。

最后,公众评论系统也容易受到旨在歪曲支持或反对具体提案的攻击,包括人工草根组织astroturf的成立,以及在大量邮件中滥用伪造或盗用的身分,传真,电子邮件或在线评论系统。

所有这些攻击都比较清楚,即使政策选择可以通过更好地了解它们与共享政治知识的关系而得到改善。例如,一些投票ID要求是合理的,通过呼吁安全关注选民欺诈。尽管政治科学家认为这些担忧基本上是没有根据的,我们目前缺乏评估权衡的框架,如果有的话。计算机安全概念,如保密性,的完整性,可用性可以与政治学和政治学理论的发现相结合,提供这样一个框架。

即便如此,政策制定者对社会聚集机构与公众信仰之间的关系了解得不多。即使社会聚集机制和机构对直接攻击具有强大的抵抗力,他们可能容易受到更间接的攻击,目的是破坏公众对他们的信仰。

民主社会容易受到(至少)两种知识攻击,而独裁社会则不然。首先是洪水袭击,使公民对其他公民的信仰产生混乱,使得他们组织起来更加困难。其次是信心攻击。这些企图破坏公众对社会聚集机构的信心,因此他们的结果不再被广泛接受为公民的合法代表。

最明显的是,当公民不相信投票是公平的时候,民主就会运转不良。这使得民主国家容易受到旨在破坏公众对选举机构信心的攻击。例如,俄罗斯针对2016年总统选举的一些黑客攻击活动旨在削弱民众对选举结果的信心。俄罗斯黑客攻击乌克兰,以公布选举结果的制度为目标,目的是让选民对选举结果产生困惑。同样的,“Guccifer 2.0”黑客身份,这归功于俄罗斯的军事情报,试图表明,就在总统选举前夕的几天里,美国的选举制度受到了民主党人的损害。如果,正如所料,唐纳德·特朗普输掉了选举,这些声明可能与黑客行为的实际证据相结合,从而使选举看起来受到了根本性的损害。

对于2020年美国人口普查,可能会采取类似的针对公平观念的攻击。如果包括公民身份问题的努力失败,一些因人口变化而处于不利地位的政治角色将努力使人口普查结果不合法,这些变化包括外国出生居民的增加以及人口从农村向城市和郊区转移。再一次,人口普查的真正问题,这不仅包括公民问题的争论,还包括严重的资金不足,可能有助于加强这些努力。

让感兴趣的行动者和普通公众对提议的政策发表评论的机制也同样脆弱。例如,联邦通信委员会(FCC)在2017年宣布,它提议废除其网络中立性裁决。支持联邦通信委员会(FCC)倒退的利益集团正确地预期到了一个由网络中立支持者组成的政治活跃联盟的广泛反对。其结果是通过公开评论进行战争。超过2200万条评论被提交,其中大多数似乎要么是自动生成的,要么是形成字母的。数以百万计的评论显然是假的,并在支持联邦通讯委员会废除法案的评论中附上了毫无疑问的人名和电子邮件地址。绝大多数的意见,不是通过信函或自动生成反对联邦通讯委员会的建议裁决。评论过程中的愤怒被来自联邦通信委员会内部(后来被怀疑)的声称放大了,即评论过程也受到了网络攻击。

我们还不知道这些虚假评论背后的行动者的身份和动机,尽管纽约州总检察长办公室已经发布了各种游说和宣传组织的记录传票。然而,通过证明评论过程很容易被操纵,这次攻击使得反对联邦通信委员会(FCC)拟议裁决的人表面上真实的评论不太可能被视为公众所相信的有用证据。对所谓网络攻击的愤怒,联邦通讯委员会不愿意调查这次袭击,这进一步削弱了人们对在线评论系统的信心,该系统旨在让FCC对美国公众更加开放。

我们对民主国家如何发挥信息系统的作用知之甚少。提高认识本身就是一个重大的政策挑战,这需要大量的资源,更重要的是,各种知识领域的共同理解和共同努力,目前彼此之间还没有真正的接触。

然而,即使是对民主信息方面的基本描述,也可以为决策者提供一些关键的经验教训。最重要的是,加强公众对投票等关键机构的共同信念可能同样重要,公开评论,人口普查反对攻击,以加强机制和相关机构本身。

明确地,许多减轻对民主制度的攻击的努力都是从传播公众对其脆弱性的认识和警报开始的。这有利于提高对实际问题的认识,但它可能——特别是如果夸大效果——会损害公众对它所要保护的社会聚集机构的信心。这可能意味着,例如,公众对俄罗斯黑客行为的关注是建立在有缺陷的分析技术基础上的,这种意识本身可能会夸大攻击的后果,从而损害民主。

更一般地说,这对保护社会聚集机构免受攻击的政策努力构成了重要挑战。在不损害公众对系统的信心的情况下,如何才能最好地保护系统本身?至少,成功的政策措施不会简单地识别现有系统中的问题,但提供切实可行的,公开可见的,以及易于理解的缓解措施。

我们在这篇短文中重点讨论了信心攻击的问题,因为它们都比洪水袭击更难理解,更深刻。鉴于历史经验,民主可能比它在针对其核心聚集机构的攻击中更能经受住一些关于公民信仰的虚假信息。决策者需要更好地了解政治制度和社会信仰之间的关系:具体来说,让民主国家了解自己的社会聚合机制的重要性。

有一些低垂的水果。通常,加强这些机构对其信心的攻击,将与更广泛地加强它们对攻击的抵抗力相辅相成。因此,例如,需要永久性纸面投票和随机审计的投票改革不仅能更好地确保投票不受操纵,但对公众信仰也有一定的好处。

对于公共评论系统,可能有大致相似的解决方案。在这里,信息上的权衡没有投票那么深刻,由于无需平衡匿名要求(以便没有人知道谁投票支持谁的离职)与其他要求(确保没有人投票两次或更多,没有改变选票等等)。相反,要达到的平衡是访问的普遍便利和安全,更容易,例如,利用辅助源来验证身份。

美国人口普查和其他指导资源分配的统计系统的稳健性和公众信心都可以通过使它们更好地与政治控制隔离来提高。例如,一个类似的系统可以用来任命人口普查主任到美国总审计长,任命需要两党同意,而且很难在任命后对官员施加压力。

我们的论点也说明,一些善意的努力,以打击社会影响行动,可能会有悖常理的结果,一般的社会信仰。安全感至少与安全的现实同等重要,任何针对信息攻击的防御都需要同时解决这两个问题。

然而,如果我们要正确理解权衡,我们需要更完善的知识工具,而不是提出明显有益的政策,避免直接的错误。伪造这些工具将需要计算机安全专家开始系统地思考公共信仰,将其作为他们寻求捍卫的系统的一个组成部分。这将意味着更多以军事为导向的网络安全专家需要深入思考民主的运作以及内部和外部行动者破坏民主的能力,而不是使用他们国家层面的标准威慑工具。最后,民主运作方面的专家必须学会如何用具体的信息术语来思考民主及其取舍。

这篇文章是亨利·法雷尔写的,并且有以前出现过关于消除信息失真。

4月30日发布,2019年上午6:59·查看评论

通过猜测弱私钥窃取以太空间

有人通过猜测用户的私人密钥窃取了价值数百万美元的以太坊。通常这是不可能的,但是有很多键好像很虚弱。研究人员不确定这些弱键是如何产生和使用的。

他们的论文是在这里

4月29日,2019年上午6:39·查看评论

WPA3 Wi-Fi安全协议中的漏洞

研究人员发现一些漏洞在WPA3 Wi-Fi安全协议中:

我们发现的设计缺陷可以分为两类。第一类包括对支持WPA3的设备的降级攻击,第二类是WPA3蜻蜓式握手的弱点,在Wi-Fi标准中,这被称为对等(SAE)握手的同时认证。发现的漏洞可以被滥用来恢复Wi-Fi网络的密码,发起资源消耗攻击,迫使设备使用较弱的安全组。所有攻击都针对家庭网络(即WPA3-Personal),所有用户共享一个密码。

新闻文章。研究论文:“龙血:WPA3的SAE握手的安全性分析”:

文摘:WPA3认证旨在保护Wi-Fi网络,与之前的WPA2相比,它有几个优势,例如防止离线字典攻击和转发保密。不幸的是,研究表明,WPA3受多种设计缺陷的影响,并从理论和实践两方面对这些缺陷进行了分析。最突出的是,我们证明了WPA3的同时认证(SAE)握手,俗称蜻蜓,受密码分区攻击的影响。这些攻击类似于字典攻击,允许对手通过滥用时间或基于缓存的侧通道泄漏来恢复密码。我们的侧通道攻击的目标是协议的密码编码方法。例如,我们基于cache的攻击利用了SAE的散列到曲线算法。由此产生的攻击效率高、成本低:在Amazon EC2实例中,强制所有8个字符的小写密码所需的费用低于125美元。鉴于正在进行哈希到曲线的标准化工作,密码认证密钥交换(PAKES)蜻蜓作为TLS的握手,我们的发现也具有更广泛的意义。最后,我们讨论如何以向后兼容的方式减轻攻击,并解释协议的微小变化如何阻止我们的大部分攻击

4月15日,2019年下午2点·查看评论

恶意篡改医学图像

我敢肯定,在许多类似的示威活动中,这只是第一次。研究人员能够添加或移除CT扫描的癌症迹象。这些结果很容易愚弄放射科医生。

我认为医疗器械行业根本没有考虑数据完整性和认证问题。在一个各种传感器数据都无法检测到的世界里,他们必须开始行动。

研究。斜板线

4月12日发布,2019年上午11:13·查看评论

对抗特斯拉自动驾驶仪的机器学习

研究人员已经做到了傻瓜特斯拉的自动驾驶仪有多种方式,包括说服它驶入迎面而来的车流。它需要把贴纸贴在路上。

文摘:Keen Security Lab对特斯拉汽车的安全研究工作进行了维护,并连续分享了我们2017年和2018年在美国Black Hat的研究成果。基于APE的根特权(特斯拉自动驾驶ECU,软件版本18.6.1),我们在这个模块上做了一些更有趣的研究工作。我们分析了APE的CAN消息传递功能,并成功地实现了转向系统的无触点遥控。我们使用一种改进的优化算法来生成对抗性的特征示例(自动雨刷和车道识别),这些特征完全基于摄像机数据进行决策。并在物理世界中成功地实现了对抗性范例攻击。此外,我们还发现,当车辆处于自动转向模式时,车道识别存在潜在的高风险设计弱点。全文共分为四个部分:第一部分是自动驾驶仪的简介。然后,我们将介绍如何发送控制命令从猿控制转向系统时,汽车驾驶。在最后两部分,我们将介绍自动雨刷器和车道识别功能的实现细节,以及我们在物理世界中对抗性的攻击方法。在我们的研究中,我们相信我们做出了三个创造性的贡献:

  1. 我们证明了我们可以远程获得APE的根特权并控制转向系统。
  2. 我们用物理世界中的对偶例子证明了我们可以干扰自拖器的功能。
  3. 我们证明,我们可以误导特斯拉汽车进入反向车道,在道路上稍作改动。

你可以看到贴纸这张照片。他们不引人注目的。

这是机器学习的大问题,我认为解决它比许多人相信的要困难得多。

4月4日发布,2019年上午6:18·查看评论

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。

Schneier on Security是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性