标记为“模拟”的条目

第1 / 5页

在社交媒体上攻击士兵

北约卓越战略通信中心(Strategic Communications Center of Excellence)的一个研究小组捕获了参与欧洲军事演习的士兵——我们不知道他们来自哪个国家——以展示这种攻击技术的威力。

在四个星期,研究人员在Facebook上建立了虚假的页面和封闭的群组,看起来像是与军事演习有关,以及模拟真实和假想的服务成员的概要文件。

为了招募士兵,他们使用有针对性的Facebook广告。这些页面随后推广了研究人员创建的封闭组。在组织内部,研究人员用他们的假账户向真正的服役人员询问有关他们的营和工作的问题。他们还用这些帐户来“朋友”服务会员。据报道,事实证明,Facebook的“推荐好友”功能有助于应对更多目标。

研究人员还追踪了服务会员的Instagram和Twitter账号,并搜索了其他在线信息,其中一些可能会被坏人利用。“我们找到了很多关于个人的数据,其中包括敏感信息,”Biteniece说。“就像一个有妻子的军人,也在约会软件上。”

在练习结束时,研究人员确定了150名士兵,找到了几个营的位置,部队动向、跟踪强迫服役人员从事“不良行为”包括违背命令离开岗位。

“每个人都有一个按钮。对有些人来说有经济问题,对某些人来说,这是一个非常吸引人的约会,对于某个人来说,这是一个家庭的事情。”撒尔说。“这是不同的,但每个人都有一个按钮。关键是,只要知道网上公开的信息就足够了。”

这就是战争的未来。这是中国从个人管理办公室窃取所有数据的原因之一。如果确实是一个国家的情报机构背后Equifax攻击,这就是他们这么做的原因。

回去读这个场景来自战略和国际研究中心。为什么一个打算发动战争的国家不这样做呢?

2月26日,2019年上午6:10查看评论

我与迅捷恢复有限公司无关。

好像是斯威夫特恢复有限公司的人。在模仿我——至少在Telegram上是这样。那个人在用我的照片,并且利用维基百科上我的生活细节来说服人们他们就是我。

他们不是。

如果有人有更多的信息——故事,聊天截图,等。请转发给我。

2月18日,2019年下午2:42查看评论

模拟iOS密码提示

这是一个有趣的安全漏洞:因为它是很容易模仿iOS密码提示,恶意的应用程序可以通过询问来窃取您的密码。

为什么会这样?

iOS会询问用户iTunes的密码,原因有很多,最常见的是最近安装的iOS操作系统更新,或者安装过程中卡住的iOS应用程序。

作为一个结果,用户只要在iOS提示下输入他们的苹果ID密码就可以了。然而,这些弹出窗口不仅显示在锁定屏幕上,主屏幕,但在随机应用程序中,如。当他们想要访问iCloud时,游戏中心或应用程序内购买。

这很容易被任何应用程序滥用,通过显示UIAlertController,这看起来就像系统对话框。

即使对技术了解很多的用户也很难发现这些警报是网络钓鱼攻击。

本文提出了一些解决方案,但我不确定它们是否会起作用。我们都被训练要相信我们的电脑和电脑上运行的应用程序。

发布于10月12日,2017年早上6点43分查看评论

把偏执者和被黑者分开

悲伤的故事一个计算机被一个格里弗拥有的人:

问题始于去年,当时他注意到奇怪的事情发生了:电脑里的文件不见了;他在Facebook上的照片被修改了;他女儿没有给他发短信,也没有给他发短信。

“没有人相信我。”加里说。“我的妻子和哥哥都认为我疯了。他们为我安排了一个精神病医生的预约。”

但他建立了一个证据体系,并召集了一家专业的网络安全公司。调查发现他的电子邮件地址被泄露,他的电话记录被窃听和篡改并创建了一个完整的虚拟internet接口。

“我所有的通信都是通过一个中间人未经授权的服务器进行的,”他解释说。

这是“精神病”引用我的话。我经常收到人们发来的电子邮件,他们详细地描述了自己的整个生活是如何被黑客入侵的。他们中的大多数只是偏执狂。但其中一些可能是合法的。我没有办法把它们分开。

这个问题不会消失。随着计算机渗透到我们生活的方方面面,它会变得更加虚弱。我们没有任何办法除了雇佣“专业网络安全公司”,把偏执狂和受害者区分开来。

6月26日,2017年下午12:30查看评论

劫持社交媒体账号的新技术

现在访问记录它被用来对付Twitter用户,但它也适用于其他社交媒体账号:

双重女巫的袭击劫机者通过几种攻击载体之一控制受害者的账户。尚未启用基于应用程序的表单多因素身份验证因为他们的账户特别脆弱。例如,攻击者可以通过网络钓鱼。如果您没有多因素身份验证,你缺乏第二道防线。一旦得到控制,劫机者可以发送消息,也可以巧妙地更改您的帐户信息,包括你的用户名。您帐户的原始用户名现在可用,允许劫机者使用原始用户名注册帐户,同时提供不同的登录凭据。

三个新闻故事

6月19日,2017年6点44分查看评论

锻造的声音

琴鸟是一种能够准确再现某人声音的系统,给出了大量的样本输入。很好,听一下演示在这里而且只会随着时间的推移变得更好。

录音语音伪造的应用是显而易见的,但我认为更大的安全风险将是实时伪造。想象一下,电话上的攻击者能够模仿受害者认识的人,这对社会工程的影响。

我觉得我们还没准备好。我们一直用人们的声音来验证他们,以各种不同的方式。

编辑后添加(5/11):这个是2003年就开始研究的课题。

发布于5月4日,2017年上午10:31查看评论

多星趋势

如果中央情报局局长不能保证他的电子邮件安全,对于电子邮件或任何数字信息,我们其他人还有什么希望呢?

没有,这就是为什么我们托付给数字生活的公司需要被要求为我们提供安全保障,并在他们失败时承担责任。这不仅仅是个人或商业问题;这是公共安全问题。

这个故事的细节值得再讲一遍。有人,据说是个十几岁的孩子,入侵中情局局长约翰O布伦南的美国在线账户。他说,他伪装成Verizon的员工,向Verizon获取有关布伦南账户的个人信息,以及他的银行卡号码和美国在线的电子邮件地址。然后他打电话给美国在线,假装是布伦南。有了从威瑞森公司得到的信息,他说服美国在线客户服务中心重置他的密码。

中央情报局局长没有做错什么。他没有选择一个糟糕的密码。他没有留下一份副本。他甚至没有发错邮件。安全故障,根据这个叙述,完全与Verizon和AOL合作。但布伦南的电子邮件还是被泄露给了和贴在维基解密

这种攻击并不新鲜。2012年,《连线》杂志撰稿人马特·霍南的Gmail和Twitter账号是接管一名黑客首先说服亚马逊提供霍南的信用卡信息,然后利用这些信息侵入他的苹果ID账户,最后用这些信息进入了他的Gmail账户。

对我们大多数人来说,我们的主要电子邮件帐户是“主密钥”给我们的每一个账户。如果我们点击一个网站的“忘记密码了?”链接,该网站将帮助电子邮件我们一个特殊的网址,让我们重置我们的密码。霍南的黑客就是这样进入他的推特账号的据推测,布伦南的黑客可能对布伦南的任何账户做了同样的事情。

互联网电子邮件供应商正试图加强他们的认证系统。雅虎最近宣布它将废除密码,而是向用户的智能手机发送一次性身份验证代码。长期以来,谷歌一直有一个可选的两步认证。系统这包括通过电话或短信向用户发送一次性代码。

你可能认为手机认证可以阻止这些攻击。即使黑客说服你的电子邮件提供商更改你的密码,他没有你的电话,也无法获得一次性密码。但是有一个方法可以解决这个问题,了。独立开发者Grant Blakeman的Gmail账户被黑客入侵去年,即使他打开了那个特别安全的两步系统。黑客们说服他的手机公司把他的电话转给另一个号码,一个由黑客控制,所以他们能够得到必要的一次性代码。从谷歌,他们重新设置了他的Instagram密码。

布伦南是幸运的。他在他的美国在线账户上没有任何分类。他的电子邮件中没有披露任何个人丑闻。对,他长达47页绝密清关单很敏感,但不尴尬。霍南就没那么幸运了,丢失了他女儿不可替代的照片。

他们俩都不应该经历这个。我们都不应该为此担心。

问题在于这样一个系统,而那些不在乎的公司,因为他们不会蒙受损失。这是典型的市场失灵,政府干预是我们解决问题的方法。

只有当不安全的成本超过正确行事的成本时,公司才会对我们的安全进行适当的投资。公司需要对他们储存的关于我们的个人信息负责。他们需要更好地保护它,如果他们不恰当地释放这些信息,他们需要受到惩罚。这意味着监管安全标准。

政府不应该强制要求公司如何保护我们的数据;这将把责任推给政府,扼杀创新。相反,政府应该为结果制定最低标准,让市场找出最有效的方法。它应该允许信息被泄露的个人起诉要求赔偿损失。这是一个在公共安全的所有其他方面都行之有效的模式,它也需要在这里应用。

我们要在这方面发挥作用,了。安全措施如此容易被绕过的原因之一是,当消费者要求它们易于使用时,如果我们丢失或忘记密码,我们可以很容易地绕过它。我们需要认识到,良好的安全将不那么方便。再一次,强制执行这一规定将使其更加普遍,最终更容易被接受。

信息安全很复杂,而且很难纠正。我是这个领域的专家,这对我来说很难。中情局局长很难接受。这对你来说很难。网站的安全设置是复杂而令人困惑的。安全产品也不例外。只要用户有责任改正,如果出了问题,唯一的损失就是用户,我们永远也解不出来。

不一定要这样。我们应该要求与我们做生意的公司以及我们在网上使用他们的服务的公司提供更好、更有用的安全保障。但因为我们对这些公司的安全没有真正的了解,我们应该要求政府从公共安全的角度开始监管这些公司的安全。

这篇文章之前出现在cnn.com上。

10月28日发布,2015年6月24日上午查看评论

Twitter关注者:请使用正确的提要

我博客的官方推特账号是@schneierblog。帐户@Bruce_Schneier也反映了我的博客,但它不是我的。这和我无关我不知道谁拥有它。

通常我不会介意,但非官方博客却断断续续地失败了。同时,@Bruce_Schneier跟踪那些认为我在跟踪他们的人。我不是;我从不登录Twitter,也不关注那里的任何人。

所以如果你想在Twitter上读我的博客,请务必关注@schneierblog。如果你是运营@Bruce_Schneier账户的人——如果还有人在运营这个账户——请按我的邮箱地址给我发邮件联系页面

如果推特欺诈部门的人读到这篇文章,请联系我。我知道我可以删除@Bruce eu Schneier帐户,但我不想失去27300名粉丝。我想要的是将他们与我真实账户上的67700名追随者合并。这是无法解释的形式报告Twitter模拟。(也许我应该删除这个账户。不是我干的18个月前当时只有16000名粉丝关注这个账号,看看发生了什么。明年只会更糟。

编辑添加(7/2):完成。@布鲁斯·施耐尔走了。

发布于6月30日,2015年下午1:16查看评论

DEA以女性的名义建立了虚假的Facebook页面

这个是一个令人毛骨悚然的故事。一名妇女的手机被禁毒署扣押,并允许他们查看她的手机。在她不知情或不同意的情况下他们从手机上窃取照片(文章称这些照片“猥亵”),并利用这些照片在Facebook上以她的名义建立了一个虚假页面。

那个女人为此向政府起诉。更令人毛骨悚然的是政府在法庭上的辩护:“被告承认原告没有明确允许使用她手机上的秘密Facebook页面上的照片,但声明原告通过允许访问存储在她手机中的信息,并同意使用这些信息协助正在进行的刑事调查,含蓄地表示同意。”

这篇文章被编辑成:“更新:Facebook已经删除了该页面,司法部表示正在调查这起事件。”所以也许这只是一个过度热心的代理人,而不是官方的DEA政策。

但是作为马西·惠勒,这是一个加密手机的好理由。

发布于10月15日,2014年上午7:06查看评论

假虹膜傻瓜扫描仪

我们已经知道你可以戴假虹膜来欺骗扫描仪认为你不是你,但是这是第一个可以用来冒充的假虹膜:欺骗扫描仪认为你是别人。

编辑添加(8/13):幻灯片。

这个

道格曼说,这包括使用迭代过程,相对快速地从虹膜模板重建可行的虹膜图像,是经典的“爬山”攻击是所有生物识别技术的一个已知弱点。”

发布于7月31日,2012年上午11:11查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM有弹性