标有“安全经济学”的条目

第36页第1页

“数据返回”的概念

诺姆·科尔特的这篇法律评论文章,题为“数据返回,"提出了一种有趣的思考隐私法的新方法。

文摘:消费者经常向科技公司提供个人数据,以换取服务。然而,效用(U)消费者获得的数据和他们提供的数据(D)之间的关系——“数据回报”(棒)--基本上未被勘探过。以比率表示,罗德= U/D。虽然立法者强烈主张保护消费者隐私,他们往往忽略罗德。是消费者享受服务的好处吗?比如社交网络和预测性搜索,与从中提取的数据的价值相称?消费者如何比较服务交易的竞争数据?目前,监管这些交易的法律框架,包括隐私法,主要目的是保护个人数据。他们将数据保护视为一个独立的问题,必威官方最新下载不同于消费者所得到的好处。本文建议不要孤立地看待隐私问题,但作为棒的一部分。正如公司可以量化投资回报率(ROI)以优化投资决策一样,消费者应该能够评估rod,以便更好地消费和投资个人数据。使服务交易的数据更加透明,将使消费者能够评估这些交易的优点,协商他们的条款,做出更明智的决定。从隐私模式转向Rod,既能激励数据驱动服务提供商向消费者提供更高的Rod,以及为新的市场进入者创造机会。

5月20日发布,2019年下午1:30·查看评论

零日剥削的价格正在上涨

公司愿意支付不断增长的数量对于难以破解的计算机和应用程序的零日攻击:

星期一,市场领先的漏洞开发经纪人Zerodium表示,它将支付高达200万美元,用于苹果iOS的零点击越狱。一键iOS越狱150万美元,以及100万美元用于接管安全消息应用程序WhatsApp和iMessage的漏洞攻击。以前,Zerodium出价150万美元,100万美元,和50万美元,分别用于相同类型的攻击。更高的价格不仅表明对这些开采的需求继续增长,但同时,要可靠地妥协这些目标也变得越来越困难。

请注意,这些价格是用于攻击性的利用。Zerodium和其他公司向那些为政府制造监视工具和网络武器的公司出售漏洞。许多公司都为那些想利用漏洞达到防御目的的人提供了漏洞赏金计划,比如,固定——但他们支付的数量级要少一些。这是个问题。

回到2014,丹吉尔美国应该垄断软件漏洞市场:

“毫无疑问,美国政府可以公开垄断世界脆弱市场,”Geer说,“就是,我们把它们全部买下,然后全部公开。只需宣布“给我们一个竞争性的报价,我们会给你(10倍以上)的。'当然,有些人会说“我恨美国人;我只卖给乌克兰人,但由于脆弱性发现越来越自动化辅助,不卖给美国人的卖家知道他的秃鹫会在适当的时候被人发现卖给那些会告诉每个人的美国人,因此,他不可抗拒地需要在产品过期之前把它卖掉。”

我不知道10倍,但理论上他是对的。没有其他方法可以解决这个问题。

发表于1月17日,2019年上午6:33·查看评论

手机系统的安全漏洞

散文手机标准中固有的缺陷以及解决这些问题的市场障碍。

到目前为止,在阻止手机站点模拟器和SS7攻击方面,业界和决策者在很大程度上都是拖拖拉拉。参议员罗恩·威登,为数不多的议员之一就这个问题发表了意见,八月寄了一封信鼓励司法部“直截了当地与联邦法院讨论手机站点模拟器的破坏性”。从未发表过任何回应。

缺乏行动可能是因为这是一项艰巨的任务——有数百家公司和国际机构参与了蜂窝网络。另一个原因可能是情报和执法机构在利用这些漏洞方面有既得利益。但执法部门还有其他有效的工具,罪犯和间谍无法获得。例如,警察可以直接与电话公司合作,提供认股权证和第三篇窃听命令。最后,消除这些漏洞对执法和其他人一样有价值。

事实上,没有任何政府机构拥有这种权力,为解决问题提供资金和任务。AT&T等大公司威瑞森,谷歌和苹果没有公开他们的努力,如果存在的话。

1月10日,2019年凌晨5点52分·查看评论

机器学习检测软件漏洞

没有人怀疑人工智能和机器学习会改变网络安全。我们只是不要知道怎样什么时候?.尽管文献通常关注攻击者和防御者对人工智能的不同使用,以及由此导致的两人之间的军备竞赛,但我想谈谈软件漏洞。

所有软件都包含错误。原因基本上是经济的:市场不想为高质量的软件买单。除了一些例外,比如航天飞机,市场优先考虑快速和廉价,而不是好的。结果是,任何大型的现代软件包都包含成百上千个错误。

某些百分比的bug也是漏洞,其中一部分是可利用的漏洞,这意味着知道它们的攻击者可以以某种方式攻击底层系统。其中的一部分被发现和使用。这就是为什么你的电脑和智能手机软件不断被修补的原因;软件供应商正在修复漏洞,这些漏洞也是已经发现并正在使用的漏洞。

如果软件供应商在设计和开发过程中发现并修复所有的bug,那么一切都会变得更好,但是,正如我所说的,市场不会奖励这种延迟和费用。人工智能,尤其是机器学习,有可能永远改变这种平衡。

查找软件漏洞的问题似乎非常适合ML系统。一行一行地通过代码只是计算机擅长的一种繁琐的问题,如果我们能教他们脆弱是什么样子。这是一个挑战,当然,但是有已经健康的数量属于学术的文学关于这个话题——研究持续的.随着时间的推移,我们完全有理由期望ML系统在这方面有所改善,有理由相信他们最终会变得非常擅长。

发现漏洞对攻击者和防御者都有好处,但这不公平。当攻击者的ML系统发现软件中存在漏洞时,攻击者可以使用它来破坏系统。当防御者的ML系统发现相同的漏洞时,他或她可以尝试修补系统或程序网络防御,以监视和阻止试图利用它的代码。

但是,当同一个系统在软件开发人员手中时,他们在软件发布之前使用该系统发现漏洞,开发人员修复了它,这样它就永远不会在第一时间被使用。ML系统可能是他或她的软件设计工具的一部分,当代码还在开发中时,它会自动发现并修复漏洞。

在未来十年左右快速前进。我们可能会对彼此说,“记住那些年软件漏洞是一回事,在每个编译器内置ML漏洞查找器并在软件发布之前修复它们之前?真的,那是疯狂的岁月。”这不仅是未来的可能,但我敢打赌。

从这里到那里会很危险,不过。这些漏洞查找器将首先释放在现有软件上,在现实世界的攻击中,给攻击者数百个甚至数千个漏洞。当然,防御者可以使用相同的系统,但今天的很多物联网系统没有工程团队来编写补丁,也没有下载和安装补丁的能力。其结果将是攻击者可以发现和使用数百个漏洞。

但是如果我们看得足够远,我们可以看到未来软件漏洞是过去的事。那我们就什么都不用担心了新的和更高级的那些人工智能系统提出的攻击技术。

本文以前出现过在securityintelligence.com上。

发表于1月8日,2019年6点13分·查看评论

衡量安全决策的合理性

有趣的研究:“跳舞的猪还是外部性?衡量
安全决策
”:

文摘:准确地模拟人在安全方面的决策对于思考何时,为什么,以及如何建议用户采用某些安全行为。在这项工作中,我们在一个模拟银行账户的现实的在线实验系统中进行了行为经济学实验,以模拟最终用户安全决策的合理性。我们要求参加者做出经济上有影响的安全选择,面对账户泄露的透明风险和可选安全行为(双因素身份验证)带来的好处。我们通过测量执行安全行为所花费的时间和估计参与者的工资来度量采用安全行为的成本和效用。我们发现超过50%的参与者都是理性的(例如,效用最优)的决定,我们发现,面对更高的风险,参与者更有可能理性行事。此外,我们发现,用户的决策可以作为过去行为(锚定效应)的函数进行建模,成本知识,在较小程度上,用户对风险和环境的认识(R=0.61)。我们还发现了禀赋效应的证据,从经济和心理决策科学文献的其他领域来看,在我们的数字安全设置中。最后,使用我们的数据,我们从理论上证明“一刀切”强调安全可能导致市场损失,但风险较高或成本较低的一小部分用户的采用可能会带来市场收益

8月7日发布,2018年上午6:40·查看评论

关于量子密钥分发的GCHQ

英国的GCHQ直言不讳评估量子密钥分配:

QKD协议只解决了为加密数据约定密钥的问题。无处不在的按需现代服务(如验证身份和数据完整性,建立网络会话,提供访问控制,自动软件更新)更多地依赖于身份验证和完整性机制,如数字签名,而不是加密。

QKD技术不能取代当代公钥签名提供的灵活认证机制。QKD似乎也不适合未来的一些重大挑战,如确保物联网(IOT)安全,大数据,社会化媒体,或云应用程序。

我同意他们的观点。这是个聪明的主意,但实际上根本没用。在这个量子计算机已经打破了传统的公钥算法的世界里,我甚至认为这只是一个小众解决方案。

把整件事都读一遍。它很短。

发布于8月1日,2018年下午2:07·查看评论

论金融欺诈

有一些好课在这篇关于金融欺诈的文章中:

我们就是这样错的。我们正在寻找偶然违反技术法规的情况,不是系统犯罪。问题是,这是正常的。欺诈的本质是它在你的视野之外工作,颠覆正常的制衡,使世界在画面不变的情况下发生变化。金融市场上的人们一直在为树木寻找木材,只要有市场。

[…]

信任——尤其是完全陌生的人之间,除了相对匿名的市场交易之外,没有任何互动——是现代工业经济的基础。现代经济发展的故事在很大程度上是管理这种信任的技术和机构的发明和改进的故事。

随着工业社会的发展,成为受害者会变得更容易。在国家的财富中,亚当斯密描述了繁荣是如何从劳动分工中产生的——18个不同的工序被用于制造一枚别针,例如。当这一切发生的时候,现代世界也看到了信任的日益分化。一个社会越能从劳动分工中获益,在你意识到自己是一个骗子之前,你越能进入一个骗局。

[…]

Libor给我们上了一堂关于商业欺诈的有价值的课,与其他犯罪不同,它不仅存在检测问题,还存在拒绝问题。在其他犯罪行为中,被害人不仅同意犯罪行为,而是主动把钱或贵重物品转移给罪犯。和层次结构,构成现代经济的社会地位差异和社会网络,也为防范欺诈行为的发生制造了强大的心理障碍。白领犯罪在一定程度上是由犯罪者的类型来定义的:一个在社会上有很高地位的人,总是被给予怀疑好处的那种人。

[…]

欺诈者不会玩弄道德弱点,贪婪或恐惧;它们利用了制衡体系中的弱点——审计过程,旨在补充整个信任环境。当看到著名和大规模的欺诈时,会反复出现这样一点:在许多情况下,如果有人仔细确认了所有的事实,一切都可能在很早的阶段就停止了。但没有人能证实所有的事实。他们太血腥了。即使金融危机已经平息,逮捕行动已经展开,这是个大问题。

发表于7月25日,2018年上午6:29·查看评论

商务部僵尸网络威胁报告

上个月,美国商务部发布了报告关于僵尸网络的威胁以及如何应对。我注意到它明确地说物联网使威胁更加严重,这些解决方案在很大程度上是经济的。

各部门认为,在努力大幅减少自动化威胁方面的机遇和挑战,分布式攻击可以概括为六个主要主题。

  1. 自动化,分布式攻击是一个全球性的问题。最近值得注意的僵尸网络中的大多数受损设备都位于美国以外的地理位置。为了增强互联网和通信生态系统抵御这些威胁的能力,其中许多起源于美国以外,我们必须继续与国际伙伴密切合作。

  2. 有效的工具存在,但应用并不广泛。虽然还有改进的空间,的工具,过程,广泛提供了显著增强互联网和通信生态系统恢复能力所需的做法,并经常应用于特定的市场部门。然而,由于种种原因,它们不是许多其他部门产品开发和部署的常见做法的一部分,包括(但不限于)缺乏意识,成本避免,技术专长不足,缺乏市场激励

  3. 产品应该在生命周期的所有阶段都得到保护。部署时易受攻击的设备,缺乏在发现漏洞后修补漏洞的设施,或在供应商支持结束后继续服务,使装配自动化,分布式威胁太容易了。

  4. 需要意识和教育。家庭用户和一些企业客户通常不知道他们的设备在僵尸网络攻击中扮演的角色,并且可能不完全理解可用技术控制的优点。产品开发人员,制造商,基础设施运营商往往缺乏部署工具所需的知识和技能,过程,以及使生态系统更有弹性的实践。

  5. 市场激励措施应更有效地协调一致。市场激励措施目前似乎与“大幅减少由自动化和分布式攻击造成的威胁”的目标不一致。产品开发人员,制造商,供应商积极减少成本和上市时间,而不是建立安全或提供有效的安全更新。在开发产品时,必须重新调整市场激励措施,以促进安全性和便利性之间的更好平衡。

  6. 自动化,分布式攻击是整个生态系统的挑战。没有任何一个利益相关者社区能够单独解决这个问题。

[…]

各部门确定了五个相互补充和相互支持的目标,如果实现的话,将大大降低自动化的威胁,分布式攻击,提高生态系统的弹性和冗余度。为关键利益相关者提供的建议行动列表将加强每个目标。目标是:

  • 目标1:确定一条通向适应性的清晰路径,可持续的,以及安全的技术市场。
  • 目标2:促进基础设施创新,以动态适应不断变化的威胁。
  • 目标3:促进网络边缘的创新以防止,检测,和减轻自动化,分布式的攻击。
  • 目标4:促进和支持安全之间的联盟,基础设施,以及国内外的运营技术社区
  • 目标5:提高整个生态系统的认识和教育。

发表于7月11日,2018年上午6:08·查看评论

调节比特币

罗斯·安德森有一篇关于加密货币兑换的新论文。从他的博客

比特币解释加密货币世界的问题。比特币交易所正在发展成为影子银行系统,它不会给客户实际的比特币,而是显示“余额”允许他们与他人交易。但是如果艾丽丝给鲍勃寄比特币,他们都是同一个交易所的客户它只是调整他们的平衡,而不是在区块链上做任何事情。这是一个电子货币服务,根据欧洲法律,但是法律执行了吗?这无关紧要。我们一直在研究细节。

这个.

发布于6月5日,2018年上午6:32·查看评论

估计网络不安全的代价

很难估计一个不安全的互联网的成本。学习在地图上到处都是。兰德的有条理的研究是我所见过的最好的工作,它试图给这个问题打上一个数字。结果是,好吧,整个地图:

评估网络风险的全球成本:方法和实例”:

摘要:网络事件的估计直接和系统成本在不同研究之间存在显著差异,由于不同国家和行业部门的网络风险存在较大差异,这进一步复杂化。本报告采用一种透明和可适应的方法来估计网络风险当前和未来的全球成本,承认网络事件的频率和成本存在相当大的不确定性。明确地,该方法(1)按国家和行业部门确定了风险价值;(2)通过考虑每个行业部门的多重财务风险以及每个可能存在网络事故风险的风险敞口的比例,计算直接成本;(3)利用经济合作组织和发展投入计算行业部门之间的网络风险系统成本,输出,以及60多个国家各行业的增值数据。该报告有一个配套的基于Excel的建模和仿真平台,允许用户更改假设并调查各种各样的研究问题。作者使用文献综述和数据创建多个参数样本集。然后,他们进行了一组案例研究,以展示模型的功能,并将结果与现有文献中的结果进行比较。结果值对输入参数非常敏感;例如,全球网络犯罪成本的直接国内生产总值(GDP)成本为2750亿美元至6.6万亿美元,总国内生产总值(直接加系统)成本为7990亿美元至22.5万亿美元(占GDP的1.1%至32.4%)。

这里是兰德的风险计算器,如果你想自己玩参数。

注:我是这个项目的顾问。

分别地,赛门铁克出版一份新的网络犯罪报告和他们自己的统计数字。

发表于1月29日,2018年上午6:18·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.