标记为“开裂”的条目

第1页共5页

达芙妮·卡鲁纳·加利西亚的谋杀与瓦特萨普的安全

达芙妮·卡鲁纳·加利齐亚是一名马耳他记者,他的反腐败调查暴露了强大的人民。她是谋杀十月份被汽车炸弹炸死。

加利西亚使用了whatsapp安全沟通她的消息来源。既然她死了,马耳他警方想侵入她的手机或应用程序,找出那些消息来源。

一名记者报告以下内容:

达芙妮被毁的部分智能手机被抬离现场。

调查人员说,加利西亚在那次旅行中没有随身携带笔记本电脑。如果她这样做了,法医专家会在地上找到证据。

她的手机也在接受检查,从她的WhatsApp档案可以看出,这是谋杀案发生后登记的活动。但据了解,数据是安全的。

接近新闻编辑室的消息人士说,作为调查的一部分,她的SIM卡已被克隆。在类似情况下,这是在移动服务提供商的帮助下完成的。当被问到她的WhatsApp信息或存储在手机中的任何其他信息是否会被检索时,消息人士说,由于消息传递应用程序是加密的,无法看到消息。因此,不太可能检索到任何数据。

我不如那个记者乐观。FBI是提供“具体援助””他说,“我想我应该去看看。”这篇文章没有解释,但如果他们帮我破解手机,我不会感到惊讶。

看看WhatsApp的安全性是否能维持下去,这将是一件有趣的事情。我的猜测是,这取决于有多少手机是从被炸毁的汽车中找到的。

编辑增加(11/7):法院任命的案件IT专家英国的犯罪记录盗窃和伪造。

11月6日发布,2017年上午6:12查看评论

无核化DRM在释放后一天内破裂

无核化可能是最好的数字版权管理系统,用来保护电脑游戏。它经常破裂一天之内.

如果Denuvo再也不能提供一整天的裂缝保护,尽管如此,对出版商来说,这种保护的价值要低得多。但这并不意味着无核化将永远毫无用处。该公司已更新了其DRM保护方法,其中包括许多“变体”。自2014年推出以来,而开裂社区的喋喋不休则意味着一个经过改进的“版本5”将在任何时候启动。这可能会给发行商一点喘息的空间,让他们的游戏可以不受限制地存在,并迫使破解者重新回到绘图板上进行下一轮永无止境的DRM之战。

博宁博宁邮递.斜线点线.

相关:副总裁好的历史数字版权管理。

10月20日发布,2017年上午9:17查看评论

机器人安全破解

机器人能比人类更快地打开保险箱——而且不同的以下内容:

所以塞德尔开始寻找捷径。首先他发现,像许多保险箱一样,他的哨兵对错误有些容忍。如果组合包括12,例如,11或13个会有用,也一样。这个简单的便利措施意味着他的机器人可以尝试每三个数字而不是每一个数字,立即将总测试时间缩短到4天以上。Seidle还意识到,在尝试每种组合之前,bot实际上不需要将拨号盘返回到其原始位置。以某种谨慎的顺序尝试,它可以使三个转子中的两个保持在原位,在尝试最后一个数字时,大大缩短了尝试新组合的时间,每次尝试最多4秒。这就把最长的野蛮时间缩短到了一天16小时,或者平均一天以下。

但塞德尔又发现了一个聪明的诀窍,这一次利用了保险柜的设计特点,旨在防止传统的安全开裂。因为保险箱有一根杆,当三个转子与组合数字对齐时,它会滑入槽中,一个人类安全钳可以在保险箱的把手上施加轻微的压力,转动它的表盘,倾听或感受那根杆子滑进那些狭缝的瞬间。为了阻止这种技术,塞德尔公司Sentrysafe的第三个转子上刻有12个槽口,如果有人在拉动手柄的同时转动刻度盘,槽口就会卡住活塞杆。

塞德尔拆掉了他和妻子多年来拥有的保险箱,测量了这十二个缺口。令他惊讶的是,他发现,装着正确组合的插槽的那一个比另外十一个窄百分之一英寸。这不是任何人都能感受到或听到的区别,但是他的机器人可以用几秒钟的自动测量很容易地检测到它。这一发现击败了整个转子的组合价值,将可能的解除以系数33,并将总的开裂时间减少到机器人当前的1小时13分钟最大值。

在设计我们的安全系统时,我们必须开始考虑机器人对手。

发表于7月31日,2017年下午12:19查看评论

更多关于Chris Roberts和航空电子安全的信息

上个月,我写博客安全研究员克里斯·罗伯茨在联合航空公司的一次飞行中在推特上提到航空电子设备安全问题后被联邦调查局拘留:

但对我来说,这个故事的迷人之处在于,一台计算机正在监视Twitter的订阅源,并理解那些模糊的参考资料,通知了一个知道是谁写的人,研究他乘坐的航班,在几个小时内派了一个FBI小组到锡拉丘兹机场。正在进行严重的监视。

我们从联邦调查局了解到更多的幕后消息认股权证申请.他曾多次接受联邦调查局的采访,并且在飞行中至少控制了一些飞机的控制。

在与联邦调查局的两次访谈中,今年2月和3月的代理商,罗伯茨说,他入侵了波音和空客飞机的空中娱乐系统,在飞行中,2011年至2014年期间约15至20次。在一个例子中,罗伯茨告诉联邦探员,他侵入了一架飞机的推力管理计算机,瞬间控制了一台发动机。根据附在搜查令申请书上的宣誓书。

他说,他成功地命令了他访问的系统发出“CLB”或爬升命令。他说,他因此导致其中一个飞机发动机爬升,导致飞机在其中一次飞行中发生横向或侧向移动。宣誓书上说,F.B.I.签字迈克·赫尔利探员。

罗伯茨还告诉特工,他侵入了飞机网络,能够“从驾驶舱系统监控交通”。

根据搜查令申请,罗伯茨说,他通过笔记本电脑和以太网电缆访问机上娱乐系统,侵入了系统。

有线有更多.

这使得联邦调查局的行为更加合理。他们没有在Twitter上搜索随机关键词;他们在监视他的帐户。

我们不知道联邦调查局的说法是否属实,尽管如此。但是,如果罗伯茨坐在乘客席上时,正在入侵飞机……哇,这是一件愚蠢的事吗?

来自基督教科学监视器以下内容:

但是罗伯茨的陈述和联邦调查局的行动提出的问题和答案一样多。对于罗伯茨,问题是为什么联邦调查局突然把注意力集中在多年来一直是公众记录的一部分的研究上。

“这是一个已知的问题已有四五年了,我们中的一些人站起来捶着胸口说,“必须修复此问题,”“罗伯茨指出。“有可信的威胁吗?发生什么事了吗?如果是这样,他们不会告诉我们的,他说。

罗伯茨并不是唯一一个对四月份他被拘留的一系列事件以及他与联邦探员谈话的曝光感到困惑的人。

“我想看看(面试的)成绩单。”一位前联邦计算机犯罪检察官说,匿名发言。“如果他照他说的做,他为什么不在监狱里?如果他不这么做,为什么FBI说是他干的?”

这个真正的问题航空电子设备和娱乐系统在同一网络上。这样做更愚蠢。上个月,我写了关于黑客攻击飞机的风险,说我并不担心。现在我更担心了。

发表于5月19日,2015年上午8:00查看评论

很容易打开主组合锁

令人印象深刻。

Kamkar告诉ARS他的主锁攻击始于一个众所周知的漏洞主锁组合将在100次或更少的尝试中破裂.然后,他用身体打开了一把组合锁,注意到他观察到的阻力是由两个锁部件接触造成的,接触方式揭示了组合的重要线索。(他把主锁设计比作密码设备中的边信道然后,卡姆卡进行了第三次观察,这对他使用主锁很有帮助:组合的第一位和第三位数字,当除以四时,始终返回相同的余数。通过结合所有三个弱点的洞察力,他设计出了视频中的攻击。

5月5日发布,2015年上午6:59查看评论

选择安全密码

就像密码一般不安全,他们不会很快离开的。每年你都有越来越多的密码需要处理,每年,它们变得越来越容易破碎。你需要一个策略。

解释如何选择一个好密码的最好方法是解释它们是如何被破坏的。一般攻击模型就是所谓的离线密码猜测攻击。在这种情况下,攻击者从人们想要验证的地方获取加密密码文件。他的目标是将加密文件转换成他可以用来进行身份验证的未加密密码。他通过猜测密码来做到这一点,然后看看它们是否正确。他可以尽可能快地尝试猜测,就像他的计算机处理它们一样——他可以将攻击并行化——如果他猜对了,就可以立即得到确认。对,有办法阻止这次袭击,这就是为什么我们在ATM卡上仍然可以有四位数的密码,但这是破解密码的正确模式。

有商业程序可以破解密码,主要卖给警察局。还有黑客工具做同样的事。他们是真正地很好。

密码破解的效率视情况而定两个基本上独立的东西:动力和效率。

权力就是简单的计算能力。随着计算机速度的提高,他们能够每秒测试更多的密码;一个节目广告800万每秒。这些饼干可能会持续几天,同时在许多机器上。对于一个引人注目的警察案件,他们可能会跑几个月。

效率就是能够巧妙地猜测密码。从“aaaaaaa”到“aaaaaaa”的每八个字母组合都是没有意义的。至“Zzzzzzz”整齐。可能有2000亿个密码,他们中的大多数都不太可能。密码破解者尽最大努力常见的密码第一。

典型的密码由一个根加上一个附件组成。词根不一定是字典里的词,但它通常是可以发音的。附加词可以是后缀(90%的时间)或前缀(10%的时间)。我看到的一个破解程序是从一本大约1000个常用密码的字典开始的,像“Letmein”,“温度,”“123456,”等等。然后,它用100个常见后缀“1”对它们进行了测试。“4U,”“69,”“ABC,”“!,“等等。它恢复了大约四分之一的密码,只有这10万个密码组合。

饼干使用不同的字典:英语单词,姓名,外来词,词根的语音模式等;两位数,日期,单符号等附加符号。他们使用各种大写和常见替换来运行字典:“$”对于“S”,“@”对于“A”,“1”对于“L”等等。这种猜测策略很快就破解了大约三分之二的密码。

现代密码破解器组合不同的单词从他们的字典中:

所有三次开裂会议最引人注目的是被发现的平原类型。其中包括“K1araj0hns0n”等密码。“SH1A-LABE0UF,”“四月!L221973,,“QBESANCON321,”“DG091101%,”“@您的手机M69,”“伊洛维托弗诺,”“温德米尔2313,”“TMDMMJ17,”以及“Bandge2014”。也包括在列表中:“所有灯光”(是,许多站点都允许使用空间)。我讨厌黑客,“我爱你,”“我爱我的人31,”“我真的很高兴,菲律宾4:13,菲律宾4:6-7,以及“qeadzcwrsfxv1331”。“Gonefishing125”是不是另一个密码steube看到了出现在他的电脑屏幕上。几秒钟后它就破裂了,他指出,“你永远也找不到它使用暴力。”

这就是为什么经常引用XKCD公司方案用于生成密码--将诸如“correctHorseBatteryStape”等单个单词串在一起--不再是好的建议。密码破解器使用了这个技巧。

攻击者将把他有权访问的关于密码创建者的任何个人信息输入密码破解程序。一个好的密码破解器将测试通讯簿中的姓名和地址,有意义的日期,以及它所拥有的任何其他个人信息。邮政编码是常见的附属物。如果可以的话,猜测者将索引目标硬盘并创建一个包含每个可打印字符串的字典,包括删除的文件。如果您曾经用密码保存过电子邮件,或者把它放在一个模糊的文件里,或者如果你的程序曾经把它存储在内存中,这个过程将抓住它。它将加快恢复密码的过程。

去年,热门科技博客网站给了三个专家16000条加密密码文件,并要求他们尽可能多地打破。获胜者得到了90%的选票,失败者62%——几个小时后。这和我们看到的一样2012年,请2007年,请更早。如果有新消息,这类事情比人们想象的要容易得多。

几乎任何能记住的东西都会被破解。

还有一个方案是可行的。回到2008年,我描述“施耐尔计划”:

所以如果你想让你的密码很难猜出来,您应该选择这个过程会错过的内容。我的建议是把一个句子转换成密码。比如“这只小猪去市场了”可能会变成“TLPWENT2M”。那个九个字符的密码不会在任何人的字典里。当然,别用这个,因为我写过。选择你自己的句子——一些私人的。

这是一些例子以下内容:

  • WIW7,MSTMSRITT…我七岁的时候,我妹妹把我的填充兔子扔进了厕所。

  • wow…doestcst=哇,那沙发闻起来很难闻吗?

  • LTIME@Go Inag~联邦航空局!很久以前在一个不远的星系里。

  • utvm,tpw55:utvm,tpwstillSecure=直到此时,这些密码仍然是安全的。

你明白了。结合一个个人难忘的句子和一些个人难忘的技巧,将该句子修改为密码,以创建一个冗长的密码。当然,网站必须接受所有这些非字母数字字符和任意长的密码。否则,这要困难得多。

更好的是使用随机不可删除的字母数字密码(带符号,如果现场允许,密码管理器密码安全创建和存储它们。密码安全包括随机密码生成功能。告诉它你想要多少个字符——12个是我的默认值——它会给你密码,比如y.)v_.7)7bl,b3h4%kgv)和QG6,FN4NFAM_uu.程序支持剪切和粘贴,所以实际上你不会经常输入这些字符。我推荐Windows的密码安全,因为我写了第一个版本,了解当前负责代码的人员,相信它的安全。其他操作系统有密码安全端口,但我和那些没有关系。还有其他的密码管理器,如果你想四处购物。

密码不仅仅是选择一个好的密码:

  1. 不要重复使用你关心的密码。即使你选择了一个安全密码,它所在的网站可能会因为自身的能力不足而泄露信息。您不希望某个获得某个应用程序或站点密码的人能够将其用于另一个应用程序或站点。
  2. 不要费心定期更新密码。需要90天(或其他)密码升级的网站弊大于利。除非你认为你的密码可能被泄露,不要改变它。
  3. 当心“秘密问题”。您不希望备份系统在您忘记密码时比密码更容易被破坏。真正地,使用密码管理器是明智的。或者把你的密码写在一张纸上把那张纸固定好.
  4. 还有一条建议:如果一个站点提供双因素认证,认真考虑使用它。几乎可以肯定这是一项安全改进。

这篇文章以前出现过在Boingboing上。

发表于3月3日,2014年上午7:48查看评论

科学家禁止透露汽车安全黑客的细节

这个英国禁止研究人员从揭示汽车锁安全漏洞的细节。2008年,菲利普斯对那些打碎了米法尔芯片.那一次,他们输了。这次,大众汽车起诉并胜诉。

这对安全研究人员来说是个坏消息。(记得2001年,当安全研究员EdFelten起诉RIAA在美国能发表他的研究成果吗?)除非允许我们发布结果,否则我们不会提高安全性。我们不能开始压制科学成果,只是因为一家大公司不喜欢它对他们的声誉造成的影响。

编辑添加(8/14):以下是统治.

8月1日发布,2013年上午6:37查看评论

关于破解密码有多容易的一篇非常好的文章

热门科技博客网站给了三个专家16000条加密密码文件,并要求他们打破他们。获胜者得到了90%的选票,失败者62%——几个小时后。

“平原”的名单,因为许多破解者指的是解译后的哈希,包含通常使用的密码列表,这些密码在涉及消费者网站的几乎所有违规行为中都可以找到。“123456,”“1234567,”和“密码”有,就像“Letmein”一样,“目标21,”还有“披萨披萨”。这个ILK的密码非常弱。尽管进行了额外的调整,“P@$$字,”“123456789J,”“让我1!,“和“Letmein3”同样可怕……

这个词列出了这篇文章中所有的三个破坏者所使用的——在戈斯尼和斯泰布的例子中,这三个破坏者使用的力量接近10亿——没有一个包含“科尼岛9/,”“momof3g8kids,”或是仅仅花了几个小时就发现的一万多个平原。他们是怎么做到的?简短的回答归结为两个变量:网站使用MD5的不幸和不负责任,以及账户持有人使用非随机密码。

这篇文章接着解释字典攻击是如何工作的,他们表现如何,以及他们找到的密码种类。

Steube能破解“Momof3G8kids”因为他有“第三代妈妈”在他的一亿一千一百万口述和“8kids”小口述。

“组合攻击成功了!很酷,”他说。然后提到经常引用XKCD漫画,请他补充道:“这是对电池或电池的一个回答。”

所有三次开裂会议最引人注目的是被发现的平原类型。其中包括“K1araj0hns0n”等密码。“SH1A-LABE0UF,”“四月!L221973,,“QBESANCON321,”“DG091101%,”“@您的手机M69,”“伊洛维托弗诺,”“温德米尔2313,”“TMDMMJ17,”以及“Bandge2014”。也包括在列表中:“所有灯光”(是,许多站点都允许使用空间)。我讨厌黑客,“我爱你,”“我爱我的人31,”“我真的很高兴,菲律宾4:13,菲律宾4:6-7,以及“qeadzcwrsfxv1331”。“Gonefishing125”是不是另一个密码steube看到了出现在他的电脑屏幕上。几秒钟后它就破裂了,他指出,“你永远也找不到它使用暴力。”

读得好,但理论上没有什么新的。热门科技博客网站写过这个去年,乔·波诺写了一封信杰出的评论.

密码破解可以在两个几乎独立的轴上进行评估:权力(能够使用优化软件快速、廉价地检查大量猜测,全球定位系统,液化石油气,等等)和效率(生成大量候选密码列表的能力,使用复杂的模型根据真实世界的可能性精确排序)。

写过这个2007年也是这样。2013年的新闻,就这样,这类事情比人们想象的要容易得多。几乎任何能记住的东西都会被破解。

如果你需要记住密码,我仍然站在施耐尔方案2008年起:

所以如果你想让你的密码很难猜出来,您应该选择这个过程会错过的内容。我的建议是把一个句子转换成密码。比如“这只小猪去市场了”可能会变成“TLPWENT2M”。那个九个字符的密码不会在任何人的字典里。当然,别用这个,因为我写过。选择你自己的句子——一些私人的。

直到这一刻,这些密码仍然是安全的:

  • WIW7,MSTMSRITT…我七岁的时候,我妹妹把我的填充兔子扔进了厕所。
  • 哇…doestcst::amazon.cccoommm=wow,那沙发闻起来很难闻吗?
  • LTIME@Go Inag~联邦航空局!很久以前在一个不远的星系里。
  • utvm,tpw55:utvm,tpwstillSecure=直到此时,这些密码仍然是安全的。

你明白了。结合一个令人难忘的句子,一些个人难忘的技巧,把句子修改成密码,并创建一个长密码。

更好的是,尽管如此,使用随机不可删除的字母数字密码(带符号,如果现场允许,密码管理器密码安全储存它们。(如果有人想把它移植到Mac上,苹果手机,iPad,或者安卓系统,请联系我。)这篇文章很好地解释了同样的事情。大卫·波格喜欢达什兰,但是不知道如果安全的话。

在相关新闻中,密码安全是7月份在SourceForge上进行的“本月最佳项目”的候选。拜托投票为了它。

编辑添加(6/7):正如评论人所指出的,如果网站人为地限制了你的密码,这些都不是有用的建议。

编辑添加(6/14):各种端口密码安全。我对他们一无所知,我也不能保证他们的安全。

分析XKCD方案。

6月7日发布,2013年上午6:41查看评论

基地组织密写术

报告还很早,但似乎发现了一堆恐怖分子策划文件嵌入的在色情电影的数字文件中。

几周后,在努力破解密码和软件使文件几乎不可见之后,德国调查人员发现,在实况视频中,隐藏着一个情报宝藏——100多份基地组织文件,其中包括一些恐怖组织最大胆的阴谋的内部线索和未来行动的路线图。

5月2日发布,2012年下午12:41查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。