标有“执法”的条目

第40页第1页

G7支持加密后门

本月在巴黎举行的七国集团内政部长会议上,“成果文件“:

鼓励互联网公司为其产品和服务建立合法的接入解决方案,包括加密的数据,为了让执法部门和主管当局获取数字证据,当它被删除或托管在位于国外或加密的IT服务器上时,在不采用任何特定技术的情况下,同时确保规则法和适当的流程保护支持互联网公司的援助。一些七国集团国家强调不禁止的重要性,极限,或削弱加密;

政策制定者们有一种奇怪的看法,即黑客攻击加密系统的密钥管理系统与黑客攻击系统的加密算法有根本不同。区别只是技术上的;效果是一样的。两者都是削弱加密的方法。

4月23日发布,2019年上午9点14分查看评论

为了公众利益的网络安全

加密战争已经持续了四分之一个世纪。一方面是执法,希望能够破坏加密,获取恐怖分子和罪犯的设备和通信。另一方面,几乎所有的密码学家和计算机安全专家,反复解释说,如果不削弱这些设备和通信系统的每个用户的安全性,就没有办法提供这种能力。

这是一场充满激情的辩论,有时刻薄,但是有一些真正的技术可以解决这个问题:关键的托管技术,代码模糊技术,以及具有不同特性的后门。无处不在的监视资本主义——正如已经在监视所有人的互联网公司所做的那样——很重要。社会的基本安全需求也是如此。提供执法机会有利于安全,即使它不可避免地也总是给别人这种机会。然而,让这些系统免受所有攻击者的攻击也有安全好处,包括执法。这些好处是相互排斥的。哪个更重要,到了什么程度?

问题是,几乎没有决策者从技术上知情的角度讨论这一政策问题,很少有技术专家真正了解这场辩论的政策轮廓。结果是双方一直在互相交谈,政策建议——偶尔变成法律——是技术灾难。

这不是可持续的,无论是针对这个问题还是关于互联网安全的任何其他政策问题。我们需要了解技术的决策者,但我们也需要了解并参与政策的网络安全技术专家。我们需要公共利益的技术专家。

我们到此为止。福特基金会将公益科技人员定义为“注重社会公正的技术从业者”。共同的利益,和/或公共利益。”一群学者最近写道,公益技术专家是“研究技术专长的应用,以促进公共利益,创造公共利益,或者促进公共利益。”TimBerners-Lee称他们为“哲学工程师”。我认为公共利益技术专家是将他们的技术专长与公共利益焦点相结合的人:通过研究技术政策,通过从事一个有公共利益的技术项目,或者作为一个传统的技术人员为一个具有公共利益的组织工作。也许这不是最好的术语——我知道不是每个人都喜欢它——但它是一个很好的总括性术语,可以涵盖所有这些角色。

我们在政策讨论中需要公共利益技术专家。我们需要国会工作人员的帮助,在联邦机构中,在非政府组织(NGO)在学术界,公司内部,作为媒体的一部分。在我们的领域,我们不仅需要他们参与密码战争,但是网络安全和政策之间的任何地方都是相互联系的:脆弱性股票辩论,选举安全,加密货币政策,物联网安全保障,大数据,算法公平性,对抗性机器学习,关键基础设施,和国家安全。当你扩大互联网安全的定义时,许多其他领域属于网络安全和政策的交叉点。我们的专业知识和看待世界的方式对于理解许多技术问题至关重要,比如网络中立性和关键基础设施的监管。我不想在没有安全技术专家参与的情况下制定有关人工智能和机器人的公共政策。

公共利益技术并不新鲜。许多组织都在这方面工作,从像EFF和EPIC这样的老机构,到像现在这样的认证投票和访问的新机构。许多学术课和课程结合了技术和公共政策。我在哈佛大学肯尼迪学院的网络安全政策课就是一个例子。像Markup这样的媒体初创公司正在从事技术驱动的新闻业。甚至在营利性公司内部也有与公共利益技术相关的项目和倡议。

这看起来可能很多,但事实并非如此。没有足够的人去做,没有足够的人知道这需要做,而且没有足够的地方去做。我们需要建立一个为公众利益技术人员提供可行职业道路的世界。

有很多障碍。有一份题为“关键时刻”的报告,其中引用了这句话:“当我们举出一些有远见的领导和成功部署技术技能的例子时,为了公众利益,人们一致认为,供应不足是一个顽固的循环,misarticulated需求,效率低下的市场阻碍了进步。”

这句话说明了这三个地方需要干预。一:供电侧。只是没有足够的人才来满足最终的需求。这在网络安全领域尤为突出,这在整个领域都存在人才问题。公共利益技术人员是一个多元化、多学科的群体。他们的背景来自科技,政策,和法律。我们还需要促进公共利益技术的多样性;使用该技术的群体必须以形成该技术的群体来表示。我们需要各种各样的方式让人们参与到这个领域中:人们可以从侧面做的方式,在传统技术工作之间的几年里,或者作为一个全职的有回报的职业。我们需要公共利益技术成为每门核心计算机科学课程的一部分,“诊所”在大学里,学生们可以尝到公益工作的滋味。我们需要科技公司给人们提供休假来完成这项工作,然后重视他们所学和所做的。

第二:需求方。这是我们目前最大的问题;没有足够多的组织明白他们需要技术专家来从事公共利益工作。我们需要各种各样的非政府组织为就业提供资金。我们需要整个政府的工作人员:行政人员,立法、以及司法部门。奥巴马总统的美国数字服务应该扩大和复制;美国的代码也应该如此。我们需要更多的新闻机构来完成这类工作。

三:市场。我们需要就业公告牌,会议,以及技能交流——在那里,供应方的人们可以了解需求。

主要基金会开始在这个领域提供资金:特别是福特和麦克阿瑟基金会,但其他人也一样。

我们这个领域的这个问题与公共利益法领域有着有趣的相似之处。在20世纪60年代,没有公共利益法。这个领域是故意创造的,由福特基金会等组织资助。他们资助了大学的法律援助诊所,让学生们学习住房,歧视,或移民法。他们资助了ACLU和NAACP等组织的奖学金。他们创造了一个重视公共利益法的世界,大型律师事务所的所有合伙人都应该做一些公益工作。今天,当美国公民自由联盟(ACLU)为一名员工律师做广告时,支付三分之一到十分之一的正常工资,它有成百上千的申请者。今天,20%的哈佛法学院毕业生进入公共利益法,学校也有寻魂研讨会,因为这个比例很低。与此同时,计算机科学专业毕业生从事公益性工作的比例基本为零。

这比计算机安全更重要。现在科技以一种不同于几十年前的方式渗透到社会中,政府行动太慢,没有考虑到这一点。这意味着现在的技术人员与他们没有传统联系的所有领域都有联系:气候变化,食品安全、工作的未来,公共卫生,生物工程。

更普遍的是,技术人员需要了解他们工作的政策后果。硅谷普遍存在这样一个神话:技术在政治上是中立的。不是,我希望今天读这篇文章的大多数人都知道这一点。我们构建了这样一个世界:程序员觉得他们有一种与生俱来的权利,可以按照他们认为合适的方式编写代码。我们被允许这样做是因为,直到最近,没关系。现在,太多的问题是在一个不受管制的资本主义环境中决定的,在这种环境中,往往不考虑重大的社会成本。

这就是社会核心问题所在。20世纪的政治问题是:“什么应该由国家治理,市场应该控制什么?”这就决定了东西方的区别,以及国家内部政党之间的差异。21世纪上半叶的决定性政治问题是:“我们的生活有多少应该由技术来管理,在什么条件下?”上个世纪,经济学家推动公共政策。在这个世纪,这将是技术专家。

未来的到来比我们现有的政策工具要快得多。解决这一问题的唯一方法是在技术人员的帮助下开发一套新的策略工具。我们需要在公共利益工作的各个方面,从通知政策到创建工具,所有这些都在构建未来。全世界都需要我们的帮助。

这篇文章之前发表在IEEE安全与隐私.

和福特基金会一起,我是举办这是本周四RSA大会上关于公共利益技术专家的一个为期一天的迷你课程。我们已经一些新闻报道.

编辑添加(3/7):更多新闻文章.

发表于3月5日,2019年上午6:31查看评论

“内部威胁”检测软件

注意这一点来自文章关于逮捕Christopher Hasson:

就在哈森上周五在他的工作场所被捕之后,检察官声称他在策划的令人毛骨悚然的计划才变得明显,由一个内部海岸警卫队程序检测到,该程序监视任何“内部威胁”。

该程序发现了与哈桑有关的可疑电脑活动,促使该机构的调查部门去年秋天开始调查,Lt说。Cmdr。Scott McBride服务发言人。

任何这种检测系统都必须平衡假阳性和假阴性。这会不会像访问右翼极端分子网站或观看他们的视频一样简单?它必须比研究压力锅.我很高兴哈森在杀人之前被捕,而不是在杀人之后,但我担心这些系统基本上是在创造思想犯罪.

发布于2月27日,2019年上午6:22查看评论

反向位置搜索授权

警察越来越多拿到搜查证有关某一时间某一地点所有手机的信息:

至少在过去两年里,全国各地的警察部门一直在敲开谷歌的大门,并授权其窃取谷歌大量的手机位置数据。被称为“反向定位搜索授权书”,这些法律授权允许执法部门在广阔的区域内清理每个手机的坐标和移动。然后警察可以检查一下有没有任何电话靠近犯罪现场。这样做,然而,警察不仅能抓到嫌疑犯,但同时也收集了可能数百(或数千)名无辜者的位置数据。只有一些关于反向位置搜索的轶事报道,所以不清楚这种做法有多广泛,但隐私权倡导者担心,谷歌的数据最终将允许越来越多的部门进行不加区分的搜索。

当然,不仅仅是谷歌可以提供这些信息。

我也会想起加拿大人监视程序由斯诺登披露。

我花了很多时间谈论这类事情数据与歌利亚.一旦你让所有人一直处于监视之下,很多事情都是可能的。

编辑添加(3/13):这里门户网站执法部门用于提出请求。

2月21日发布,2019年上午6:33查看评论

评估GCHQ例外访问建议

所谓的加密战争正在进行25年现在。基本上,联邦调查局——以及他们在英国的一些同行机构,澳大利亚,以及其他地方--认为民用加密的广泛使用阻碍了他们解决犯罪的能力,他们需要科技公司使他们的系统易受政府窃听的影响。有时他们抱怨的是通信系统,比如语音或信息应用程序。有时是关于终端用户设备的。另一方面,几乎所有从事计算机安全和密码学工作的技术人员,谁认为添加窃听功能从根本上降低了这些系统的安全性。

最近这场辩论的一个条目是建议伊恩·利维和克里斯平·罗宾逊,都来自英国的GCHQ(英国信号情报机构——基本上,它的国家安全局)。这实际上是对后门话语的积极贡献;大多数时候,政府官员普遍要求科技公司想出办法为了满足他们的要求,但没有提供任何细节。利维和罗宾逊写道:

在加密服务的世界里,一个潜在的解决方案可能是回到几十年前。对于服务提供商来说,悄悄地将执法参与者添加到群聊或呼叫中相对容易。服务提供者通常控制身份系统,因此真正决定谁是谁以及涉及到哪些设备——他们通常涉及到向各方介绍聊天或呼叫。最终所有的东西仍然是端到端加密的,但这种特殊的交流还有一个额外的“终点”。这种解决方案似乎并不比我们民主选举的代表和司法部门今天在传统的语音拦截解决方案中授权的虚拟鳄鱼剪辑更具侵入性,而且肯定不会赋予政府任何他们不应该拥有的权力。

在表面上,这不是一个大问题。它不会影响保护通信的加密。它只影响确保与之交谈的人的身份验证。但后门的危险性不亚于任何其他被提议的后门:它利用安全漏洞而不是修复它,它使系统的所有用户都可以被其他人利用相同的漏洞。

在一篇博客中,密码学家马修·格林总结了这个GCHQ提案的技术问题。基本上,使这种后门工作不仅需要改变监控通信的云计算机,但这也意味着改变每个人的电话和电脑上的客户程序。这一变化使得所有这些系统的安全性降低。利维和罗宾逊非常清楚,他们的后门只针对特定的个人和他们的沟通,但它仍然是一个一般后门那个能够被用来对付任何人。

最基本的问题是,后门是一种技术能力——一个漏洞——任何了解它并能够访问它的人都可以使用它。围绕这个漏洞的是一个程序系统,它试图限制对该功能的访问。计算机,尤其是互联网连接的计算机,本质上是可入侵的,限制任何程序的有效性。最好的防御就是完全不受伤害。

老的物理窃听系统利维和罗宾逊暗示也利用了一个安全漏洞。因为电话通话在通过电话系统的物理线路时是未加密的,警方能够在电话公司的设施或街道上的接线盒中找到一个开关,手动将鳄鱼夹连接到特定的一对上,然后监听电话的传输和接收情况。这是一个任何人都可以利用的弱点——不仅仅是警察——但由于电话公司是一个整体垄断的事实而有所缓解,而且电线的物理接触不是很困难(在电话公司大楼内),就是很明显(在街上的接线盒处)。

现代电脑电话交换机的功能相当于物理窃听,这是1994年美国政府提出的一项要求该法被称为calea——在其他国家也有类似的法律。根据法律规定,电话公司必须设计出政府可以窃听的电话交换机,用计算机镜像旧的物理系统。这不是一回事,虽然。它没有那些使它更安全的物理限制。它可以远程管理。它是由计算机实现的,这使得它很容易受到其他电脑同样的黑客攻击。

这不是一个理论问题;这些系统已被颠覆。最多的突发公共事件2004年在希腊。沃达丰希腊有电话交换机,其窃听功能由卡莱亚授权。它在希腊电话系统中默认关闭,但是国家安全局设法秘密地打开它并利用它窃听希腊总理和其他100多位高级政要。

电话交换机与其他现代加密语音或聊天系统没有什么区别;任何远程管理的后门系统都同样容易受到攻击。想象一下一个聊天程序添加了这个GCHQ后门。它必须添加一个特性,从系统中的某个地方为聊天添加更多的参与方,而不是由端点的人员添加。它必须禁止任何向用户发出通知的消息,提醒其他人加入聊天。因为有些聊天程序,比如iMessage和Signal,自动发送这样的消息,这将迫使这些系统对用户撒谎。其他系统将永远不会实现“告诉我谁在这个聊天会话中”功能-相当于相同的东西。

一旦到位,每一届政府都会为了自己的目的而试图黑掉它——就像美国国家安全局(NSA)黑掉沃达丰希腊分公司(Vodafone Greece)一样。再一次,这不是什么新鲜事。2010,中国成功破解了谷歌的后门机制就位满足执法要求。在2015年,有人——我们不知道是谁--偷走了国家安全局的后门在用于创建加密密钥的随机数生成器中,更改参数以便他们也可以窃听通信。当然还有其他的故事没有公开。

仅仅添加这个特性就会削弱公众的信任。如果你是一个极权国家的持不同政见者,试图安全地沟通,您想要使用已知具有这种后门的语音或消息传递系统吗?你赌谁?特别是当输掉赌注的代价可能是坐牢,甚至更糟:经营这个系统的公司,或者你们国家的政府情报机构?如果你是政府高级官员,或者一家大型跨国公司的负责人,或者安全经理或电厂的关键技术人员,您想使用这个系统吗?

当然不是。

两年前,有一个谣言一个什么样的后门。这个细节复杂的,称之为后门或漏洞主要地不准确的--但由此产生的混乱导致一些人放弃了加密的消息服务。

信任是脆弱的,和透明性信任是必不可少的。尽管Levy和Robinson指出,“任何例外的访问解决方案都不应该从根本上改变服务提供商与其用户之间的信任关系。”这项提议正是如此。通信公司再也不能诚实地说出他们的系统在做什么,如果他们尝试了,我们就没有理由相信他们。

最后,所有这些特殊的访问机制,无论是利用应该关闭的现有漏洞还是迫使供应商打开新漏洞,降低底层系统的安全性。他们减少了我们对安全技术的依赖,我们知道如何做得很好——密码学——计算机安全技术,我们不太擅长。更糟的是,它们用组织程序取代技术安全措施。无论是一个可以解密iPhone的主密钥数据库,还是一个可以协调与谁安全聊天的通信交换机,它容易受到攻击。它会受到攻击。

上述讨论是我们需要进行更广泛讨论的一个具体例子,这是关于攻防平衡的。我们应该优先考虑哪一个?我们设计的系统是否应该对攻击开放,在哪种情况下,它们可以被执法人员利用——以及其他人?或者我们应该设计尽可能安全的系统,这意味着他们可以更好地免受黑客的攻击,罪犯,外国政府以及(不可避免的)执法部门?

这一讨论比联邦调查局解决犯罪的能力或国家安全局的间谍能力更重要。我们知道,外国情报机构的目标是我们民选官员的通讯,我们的电力基础设施,以及我们的投票系统。我们真的想让外国以同样的方式进入我们合法的后门吗?

我一直认为我们需要国防主导战略:我们应该优先考虑我们对安全的需要,而不是监视的需要。在……的新世界尤其如此身体上的计算机能力.对,这将意味着执法部门将难以窃听通信和解锁计算设备。但是执法部门其他的法医技术在高度网络化的世界中收集监视数据。我们会过得更好的提高执法技术水平调查现代的数字世界而不是削弱每个人的安全。秘密地将幽灵用户添加到对话中的能力是一个漏洞,这是一个通过关闭而不是利用来更好地服务我们的方法。

本文最初出现在法兰西网站上。

编辑添加(1/30):更多评论.

发表于1月18日,2019年5点54分查看评论

手机系统中的安全漏洞

文章手机标准中固有的缺陷以及解决这些问题的市场障碍。

到目前为止,业内人士和政策制定者在阻止手机站点模拟器和SS7攻击时,基本上都拖拖拉拉。参议员罗恩,为数不多的几位对此问题直言不讳的议员之一,八月份寄了一封信鼓励司法部“直截了当地与联邦法院讨论手机站点模拟器的破坏性”。从未发表过任何回应。

缺乏行动可能是因为这是一项重大任务——有数百家公司和国际机构参与了蜂窝网络。另一个原因可能是情报和执法机构在利用这些漏洞方面有既得利益。但执法部门还有其他有效的工具,罪犯和间谍无法使用。例如,警察可以直接与电话公司合作,提供认股权证和第三篇窃听命令。最后,消除这些漏洞对执法和其他人一样有价值。

事实上,没有政府机构有权力,为解决问题提供资金和任务。AT&T等大公司Verizon,谷歌和苹果没有公开他们的努力,如果存在的话。

1月10日发布,2019年上午5:52查看评论

检测信用卡刷卡器

有趣的研究论文:“恐惧收割者:特征描述和快速检测卡片掠取器“:

文摘:支付卡欺诈每年造成数十亿美元的损失。对手越来越多地使用略读器获取卡片数据,附加到合法的支付设备上,包括销售点终端,气泵,自动取款机。检测这类设备可能很困难,尽管许多专家对此提出了建议,目前还没有大规模的特征化的撇油器技术来支持这种防御。在这篇文章中,我们在纽约警察局金融犯罪特别工作组16个月内发现的撇油器的基础上进行了第一次这样的研究。将这些设备系统化之后,我们开发了撇油收割器,一种探测器,利用许多撇渣器窃取卡片数据所需的物理特性和约束条件。我们的分析表明,撇渣收割机可以有效地检测纽约警察局提供的100%的设备。这样做,我们提供了第一个强大的便携式机制检测卡撇油器。

波音波音帖子.

10月5日发布,2018年6点44分查看评论

更多关于加密和后门的五眼声明

本月早些时候,我写关于五眼国关于加密和后门的声明。(简短的总结:他们喜欢他们。)关于这个声明的一个奇怪之处是它是从执法的角度清楚地写出来的,虽然我们通常认为五眼是一个情报机构的联合体。

苏珊·兰多检查声明的细节,解释发生了什么,以及为什么这个声明比它看起来要少得多。

10月1日发布,2018年6月22日上午查看评论

政府黑客的安全风险

我们中的一些人,包括我自己,已经提出合法的政府黑客作为后门的替代方案。来自互联网与社会中心的一份新报告对此进行了研究的安全风险允许政府黑客入侵。它们包括:

  • 对脆弱性披露的抑制
  • 培育监控工具市场
  • 攻击者利用政府已经失去控制的黑客工具
  • 攻击者通过政府使用恶意软件了解漏洞
  • 政府鼓励推行不太安全的软件和标准
  • 政府恶意软件影响无辜用户。

这些风险是真实的,但我认为,它们远没有给每个人都规定后门。根据报告的结论:

政府黑客经常被称赞为解决“黑暗”问题的一种方法。问题。强制使用加密后门太危险了,但是有针对性的端点黑客攻击可以确保调查人员以更低的风险访问相同或类似的必要数据。漏洞永远不会影响到每个人,取决于他们对软件的依赖,网络配置,以及补丁管理。后门,然而,意味着每个人都很脆弱,安全故障会灾难性地失败。此外,后门通常是秘密的,虽然最终,漏洞通常会被公开和修补。

最小化风险的关键是确保执法部门(或任何人)报告通过正常程序发现的所有漏洞,并在报告和修补之间使用它们进行合法的黑客攻击。对,这是个大问题,但其他的选择更糟。

这个是典型的合法黑客文件。

9月13日发布,2018年上午9点08分查看评论

警察数字取证技术新报告

根据一项新的战略与国际研究中心的报告,“黑暗”不是数字数据时代执法面临的最紧迫的问题:

在过去的一年里,我们对联邦政府进行了一系列的采访,状态,当地执法人员,律师,服务提供商,以及民间社会团体。我们还委托全国各地的执法人员进行调查,以更好地了解他们在案件中获取和使用数字证据所面临的各种困难。调查结果表明,从服务提供商处获取数据(其中大部分是未加密的)是执法部门目前在利用数字证据方面面临的最大问题。

这是一个迄今尚未得到足够重视或资源的问题。一系列联邦和州培训中心,犯罪实验室也出现了其他帮助填补空白的努力,但他们只能满足一小部分需求。没有一个中央实体负责监督这些努力,对需求进行评估,并提供所需的协助。有明确任务协助州和地方执法部门处理数字证据需求的关键联邦实体——国家国内通信援助中心(NDCAC)的预算为1140万美元,在几个不同的项目中传播,这些项目旨在传播有关服务提供商的政策和产品的知识,开发和共享技术工具,培训新服务和新技术的执法人员,其他举措。

从一个新闻文章

除了抱怨科技公司缺乏指导和帮助——四分之一的受访者表示,他们的首要问题是说服公司交出嫌疑人的数据——执法官员还表示,他们几乎没有接受过任何数字证据培训。当地警方表示,在过去12个月里,他们只接受了10个小时的培训;州警察收到13份,联邦官员收到16份。许多受访者表示,他们只接受过年度培训。只有16%的人说他们的组织每年至少安排两次培训。

这是苏珊·兰道的观点反复制作,还有我做的新书.FBI需要专业技术,不是后门。

这里是报告.

发表于7月27日,2018年下午12:10查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM弹性.