标记为“网络安全”的条目

第9页第1页

访问国家安全局

昨天,我去了国家安全局。今天是网络司令部的生日,但这不是我去的原因。我是作为Berklett网络安全项目的一部分访问的,走出伯克曼克莱因中心,由休利特基金会资助。(伯克曼·休利特——明白了吗?我们有一个网页,但它已经过时了。)

这是一整天的会议,除了查塔姆家族的规定外,其他都是未分类的。消息。纳卡森欢迎我们,一开始就提问。各位高级官员就各种议题与我们进行了交谈,但主要集中在三个方面:

  • 俄罗斯影响行动,国家安全局和美国网络司令部在2018年选举中的所作所为,以及他们未来的所作所为;

  • 中国以及不受信任的计算机硬件对关键基础设施的威胁,5G网络和更广泛的网络;

  • 机器学习,如何确保ML系统符合所有法律,以及ML如何帮助完成其他合规性任务。

一切都很有趣。前两个主题是我思考和写作的主题,很高兴听到他们的观点。我发现我在网络安全问题上比在隐私问题上与国家安全局更紧密地联系在一起,这使得会议比我们讨论《金融情报机构修正法案》第702条时要轻松得多,第215节美国自由法更新明年)或任何违反第四修正案的行为。我不认为我们通过了这些问题,但他们弥补了我工作的不足。

发表于5月22日,2019年下午2:11·查看评论

为了公众利益的网络安全

加密战争已经持续了四分之一个世纪。一方面是执法,希望能够破坏加密,获取恐怖分子和罪犯的设备和通信。另一方面,几乎所有的密码学家和计算机安全专家,反复解释说,如果不削弱这些设备和通信系统的每个用户的安全性,就没有办法提供这种能力。

这是一场充满激情的辩论,有时刻薄,但是有一些真正的技术可以解决这个问题:关键的托管技术,代码模糊技术,以及具有不同特性的后门。无处不在的监视资本主义——就像那些已经在监视每个人的互联网公司的做法一样——很重要。社会的基本安全需求也是如此。提供执法机会有利于安全,即使它不可避免地也总是给别人这种机会。然而,让这些系统免受所有攻击者的攻击也有安全好处,包括执法。这些好处是相互排斥的。更重要的是,到了什么程度?

问题是,几乎没有决策者从技术上知情的角度讨论这一政策问题,很少有技术专家真正了解这场辩论的政策轮廓。结果是双方一直在互相交谈,政策建议——偶尔变成法律——是技术灾难。

这是不可持续的,无论是针对这个问题还是关于互联网安全的任何其他政策问题。我们需要了解技术的决策者,但我们也需要网络安全技术专家,他们了解并参与到网络安全政策中。我们需要公共利益技术专家。

我们到此为止。福特基金会将公益科技人员定义为“注重社会公正的技术从业者”。共同的利益,和/或公共利益。”最近,一组学者写道,公共利益技术人员是“研究技术专长的应用以促进公共利益的人,创造公共利益,或者促进公共利益。”TimBerners-Lee称他们为“哲学工程师”。我认为公共利益技术专家是将他们的技术专长与公共利益焦点相结合的人:通过研究技术政策,通过从事一个有公共利益的技术项目,或者作为一个传统的技术专家为一个有公共利益的组织工作。也许这不是最好的术语——我知道不是每个人都喜欢它——但它是一个很好的总括性术语,可以涵盖所有这些角色。

我们需要公众利益的技术专家参与政策讨论。我们需要国会工作人员的帮助,在联邦机构中,在非政府组织(NGO)在学术界,公司内部,作为媒体的一部分。在我们的领域,我们需要他们不仅参与加密战争,但是网络安全和政策之间的任何地方都是相互联系的:脆弱性股票辩论,选举安全,加密货币政策,物联网安全保障,大数据,算法公平性,对抗性机器学习,关键基础设施,以及国家安全。当你扩大互联网安全的定义时,许多其他领域属于网络安全和政策的交叉点。我们的专业知识和看待世界的方式对于理解许多技术问题至关重要,例如网络中立性和关键基础设施的监管。我不想在没有安全技术专家参与的情况下制定有关人工智能和机器人的公共政策。

公共利益技术并不新鲜。许多组织都在这方面工作,从像EFF和EPIC这样的老公司到像现在这样的经过验证的投票和访问的新公司。许多学术课和课程结合了技术和公共政策。我在哈佛大学肯尼迪学院的网络安全政策课就是一个例子。像Markup这样的媒体初创公司正在从事技术驱动的新闻业。甚至在营利性公司内部也有与公共利益技术相关的项目和倡议。

这看起来很像,但事实并非如此。没有足够的人去做,没有足够的人知道这需要做,而且没有足够的地方去做。我们需要建立一个为公众利益技术人员提供可行职业道路的世界。

有很多障碍。有一份题为关键时刻其中包括这句话:“虽然我们列举了一些有远见的领导和为公众利益成功部署技术技能的例子,大家一致认为,供应不足的顽固循环,需求错位,效率低下的市场阻碍了进步。”

这句话说明了这三个地方需要干预。一:供电侧。只是没有足够的人才来满足最终的需求。尤其是在网络安全方面,这在整个领域都存在人才问题。公共利益技术人员是一个多元化、多学科的群体。他们的背景来自技术,政策,和法律。我们还需要促进公共利益技术的多样性;使用该技术的人群必须以形成该技术的群体来代表。我们需要各种各样的方式让人们参与到这个领域中:人们可以从侧面做的方式,在传统技术工作之间的几年里,或者作为一个全职的有回报的职业。我们需要公共利益技术成为每门核心计算机科学课程的一部分,“诊所”在大学里,学生们可以体验到公共利益工作。我们需要科技公司给人们提供休假来完成这项工作,然后重视他们所学和所做的。

第二:需求方。这是我们目前最大的问题;没有足够多的组织明白他们需要技术专家来从事公共利益工作。我们需要为各种非政府组织的工作提供资金。我们需要整个政府的工作人员:行政人员,立法的,以及司法部门。奥巴马总统的美国数字服务应该扩大和复制;美国的代码也应该如此。我们需要更多的新闻机构来完成这类工作。

三:市场。我们需要工作板,会议,以及技能交流——在那里,供应方的人们可以了解需求。

主要基金会开始在这个领域提供资金:特别是福特和麦克阿瑟基金会,但其他人也一样。

这一问题与公共利益法领域有着有趣的相似之处。在20世纪60年代,没有公共利益法。这个领域是故意创造的,由福特基金会等组织资助。他们资助了大学的法律援助诊所,让学生们学习住房,歧视,或移民法。他们资助了ACLU和NAACP等组织的奖学金。他们创造了一个重视公共利益法的世界,主要律师事务所的所有合伙人都应该做一些公共利益工作。今天,当美国公民自由联盟(ACLU)为一名员工律师做广告时,支付三分之一到十分之一的正常工资,它有成百上千的申请者。今天,20%的哈佛法学院毕业生进入公共利益法,学校也有寻魂研讨会,因为这个比例很低。与此同时,计算机科学专业毕业生从事公益性工作的比例基本为零。

这比计算机安全更重要。技术现在以一种不只是几十年前的方式渗透社会,政府的行动太慢,没有考虑到这一点。这意味着现在的技术人员与他们没有传统联系的所有领域都有联系:气候变化,食品安全,工作的未来,公共卫生,生物工程。

更一般地说,技术人员需要了解他们工作的政策后果。硅谷普遍存在这样一个神话:技术在政治上是中立的。不是,我希望今天读这篇文章的大多数人都知道这一点。我们建立了一个程序员认为他们有一个固有的权利来按照他们认为合适的方式对世界进行编码的世界。我们被允许这样做是因为,直到最近,没关系。现在,太多的问题是在一个不受管制的资本主义环境中决定的,在这种环境中,往往不考虑重大的社会成本。

这就是社会核心问题所在。20世纪的政治问题是:“什么应该由国家治理,市场应该控制什么?”这就决定了东西方的区别,以及国家内部政党之间的差异。21世纪上半叶的决定性政治问题是:“我们的生活有多少应该由技术来管理,在什么条件下?”上个世纪,经济学家推动公共政策。在本世纪,这将是技术专家。

未来的发展速度快于我们当前的一套政策工具所能应付的。解决这一问题的唯一方法是在技术人员的帮助下开发一套新的策略工具。我们需要在公共利益工作的各个方面,从通知政策到创建工具,所有这些都在构建未来。全世界都需要我们的帮助。

本文发表于2019年1月/2月IEEE安全与隐私.我维护一个公共利益技术资源页面在这里.

5月3日发布,2019年凌晨4:33·查看评论

为什么不强制执行gdpr?

政治人物有一个长文章假设主导GDPR调节器,爱尔兰,与硅谷科技公司的关系过于融洽,无法有效地规范他们的隐私行为。

尽管它发誓要加强其陈旧的监管机构,爱尔兰有着悠久的历史,为其应该监督的公司提供服务,以低税率的承诺吸引硅谷顶级公司来到翡翠岛,向高层官员开放,并帮助获得资金,建立闪闪发光的新总部。

现在,其他国家的数据隐私专家和监管机构都在质疑爱尔兰是否承诺对即将到来的隐私问题进行监管,比如Facebook重新推出面部识别软件,以及与其最近收购的子公司WhatsApp共享数据。以及谷歌在其新兴平台上共享信息。

编辑添加(5/13):daragh o brien,一个经常批评民进党的人,在报道中被引用,相信他被误报了,而这篇文章不是完全公平.

5月2日发布,2019年上午5:17·查看评论

“网络安全部”

总统候选人约翰德莱尼宣布了一项计划网络安全部.

我早就赞成成立一个新的联邦机构来处理互联网,尤其是物联网的安全问题。细节是魔鬼,当然,很容易弄错。在点击这里杀死所有人,我概述了一个战略建议;我叫它“国家网络办公室”在国家情报局局长的办公室里做榜样。但是不管你怎么看待这个想法,我很高兴至少有人在谈论它。

斜板线.新闻故事.

编辑添加:是,这个职位与总统政治极为接近。对这方面的资格有任何意见,或任何其他,总统候选人将被删除。

4月17日发布,2019年上午7:57·查看评论

关于Triton恶意软件的更多信息

火眼正在释放许多的更多信息关于攻击关键基础设施的Triton恶意软件。它在更多的地方被发现。

这个也是一篇关于海卫一的好文章,但更老一些。我们不知道是谁写的。最初的猜测是伊朗;最近的猜测是俄罗斯。两者都是推测。

火眼报告.波音波音邮递.

4月16日发布,2019年上午6:10·查看评论

网络安全基本正常的论点

安德鲁·奥德利兹科的新文章值得一读——”网络安全不是很重要“:

文摘:安全漏洞不断增多。对于这些违规行为表面上的原因,人们的歇斯底里情绪更加高涨,也就是我们的信息基础设施的缺陷状态。然而,整个世界都做得非常好,而且还没有遭受过任何经常受到威胁的巨大数字灾难。社会持续的总体进步表明,网络安全并不十分重要。适应网络空间中保护传统物理世界的技术已成为缓解出现问题的主要手段。这种“口香糖和打包线”的方法很可能继续是处理出现的问题的基本方法,并提供足够的安全水平。

我想起了这些散文。而且,正如我在关于这两篇文章的博客文章中:

这是真的,我担心的是改变在一个有物理能力的计算机的世界里。自动化,自治,物理机构将使计算机安全成为生死攸关的问题,不仅仅是数据问题。

发表于3月20日,2019年上午6:03·查看评论

网络安全保险不支付Notpetya损失

这个会使事情复杂化:

使事情复杂化,网络保险可能不能覆盖所有人的损失。苏黎世美国保险公司拒绝支付Mondelez 1亿美元的索赔,自从美国以及其他政府标记诺佩提亚袭击是俄罗斯军方的行动,他们声称被排除在外在“和平或战争时期的敌对或好战行动”下免除。

我知道1亿美元是真钱,但保险业需要弄清楚如何为商业网络提供适当的保险,以防出现这种情况。

发表于3月8日,2019年上午5:57·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.