标有“泄漏”的条目

第11页共11页

DNS漏洞

尽管安全社会尽了最大努力,丹·卡明斯基六个月前发现的一个关键互联网漏洞的细节已经泄露。黑客们争先恐后地开发利用代码,而且还没有修补漏洞的网络运营商也在争先恐后地追赶。整个混乱的局面很好地说明了这样的研究和揭露缺陷的问题。

这个细节脆弱性不重要,但基本上这是一种DNS缓存中毒。DNS系统是人们理解的域名的翻译,比如www.vbispy.com,到IP地址计算机理解:204.11.246.1。有一系列的漏洞,在这些漏洞中,您的计算机上的DNS系统被愚弄,认为www.badsite.com的IP地址实际上是www.goodsite.com的IP地址——您没有办法区分这两个地址——这使得www.badsite.com的犯罪分子可以通过tric你可以做各种事情,比如放弃你的银行账户信息。卡明斯基发现了这种缓存中毒攻击的一个特别讨厌的变体。

这是时间表的工作方式:卡明斯基大约六个月前发现了这个漏洞,并悄悄地与供应商合作修补它。(有一个相当直接的解决办法,虽然实现的细微差别很复杂。)当然,这意味着描述他们的脆弱性;为什么微软和思科这样的公司会相信他?7月8日,他持有新闻发布会宣布这个脆弱性--但并没有详细信息——而且还透露了一长串供应商提供了一个补丁。我们都有一个月的时间去修补,Kaminsky会在黑帽子下月初开会。

当然,细节泄漏.怎么用?不重要;它可能泄露了无数不同的途径。有太多人知道这件事,所以不能保守秘密。其他知道这个想法的人太聪明了不要猜测关于细节。我有点惊讶于这么长时间以来细节一直是秘密的;毫无疑问,它是在两天前公之于众之前泄漏到地下社区的。所以现在所有背弃这个问题的人都急于修补,而黑客社区则在竞相开发工作漏洞。

这里的道德是什么?很容易谴责卡明斯基:如果他对这个问题闭嘴,我们不会陷入这样的困境。但那是错误的。卡明斯基偶然发现了这个弱点。没有理由相信他是第一个找到它的人,相信他会是最后一个是荒谬的。不要射杀信使。问题在于DNS协议;这是不安全的。

真正的教训是补丁式跑步机不起作用,多年来都没有。在坏人利用这些漏洞之前,寻找安全漏洞并迅速修补漏洞的周期是昂贵的,效率低下,不完整。我们需要从一开始就在我们的系统中设计安全性。我们需要保证.我们需要安全工程师参与系统设计。这一过程并不能防止每个漏洞,但它比我们现在使用的平板跑步机更安全、更便宜。

安全工程师所带来的问题是心态.他从安全的角度考虑系统。不是他在坏人之前发现了所有可能的攻击;更重要的是,他预测了潜在的攻击类型,即使他不知道他们的细节,他也会为他们辩护。我一直在良好的密码设计中看到这一点。这是基于直觉的过度工程,但是如果安全工程师有很好的直觉,它通常是有效的。

卡明斯基的弱点就是一个完美的例子。几年前,密码学家丹尼尔J。伯恩斯坦查看了DNS安全性并认为源端口随机化是一种明智的设计选择。这正是卡明斯基发现后正在开展的工作。伯恩斯坦没有发现卡明斯基的攻击;相反,他看到了一类普通的攻击,并意识到这种增强可以抵御攻击。因此,他在2000年写的DNS程序,道琼斯,请不需要修补;它已经对卡明斯基的攻击免疫了。

好的设计就是这样的。它不仅可以抵御已知的攻击;它还可以抵御未知的攻击。我们需要更多,不仅在互联网上,在投票机上,身份证,运输支付卡…到处都是。停止假设系统是安全的,除非证明是不安全的;开始假设除非设计安全,否则系统是不安全的。

这篇文章以前出现过在wired.com上。

编辑添加(8/7):似乎缺陷是更糟的是比我们想象的还要多。

编辑添加(8/13):其他人首先发现了漏洞.

发表于7月29日,2008年上午6:01查看评论

Gitmo手册泄露

A 2003年”营地三角洲标准操作程序他说:“这是一个很好的选择。”手册被泄露到网上了。这是美国公民自由联盟(ACLU)未能成功起诉政府获取的同一份手册。其他可以辩论一些程序的合法性;我对有关安全的评论感兴趣。

看,例如,第27.3页的引用:

(b)抵达后,将通过在组合锁内输入编号(1998)进入闸门。

(c)用编号为(7012-83)的断路器箱进入接线盒,打开BOC。断路器箱上的锁的编号是(224)。

11月20日发布,2007年上午6:49查看评论

新的TSA报告

2006年美国运输安全管理局关于机场安全的机密报告泄漏今日美国.(其他论文正在报道这个故事,但他们的文章似乎都是源于原文今日美国文章。)

好消息是:

今年,美国运输安全管理局第一次开始每天在每个机场的每个检查站进行秘密测试。这一开始部分是针对机密的TSA报告,显示旧金山国际机场的监视器每天进行几次测试,发现大约80%的假炸弹。

不断的测试使筛选者“更加可疑,也更有能力识别(炸弹)组件”。报告说。报告没有解释高失败率,但说奥黑尔的检查站太拥挤,太宽,监察员无法监控屏幕。

在三藩,“每个人都意识到他们受到了审查,不断被观察和测试,杰拉尔德·贝瑞说,协约航空安全总裁,聘请和管理旧金山扫描员。旧金山是八个机场之一,大部分都很小,筛选人员为私人公司而不是TSA工作。持续测试的想法来自于Ed Gomez,旧金山安全管理局局长贝瑞说。测试通常包括一个卧底将一个装有假炸弹的袋子放在X光机皮带上,他说。

重复测试很好,有很多原因。

坏消息是:

豪说,难度的增加解释了为什么洛杉矶和芝加哥奥黑尔机场的安检人员找不到TSA特工去年试图通过检查站的60%以上的假炸药。

洛杉矶和奥黑尔的失败率分别为75%和60%,高于几年前的一些筛选测试,相当于之前的其他测试。

当然,测试更难。但这些都是悲惨的数字。

还有无法解释的消息:

在圣地亚哥国际机场,测试由当地TSA管理人员要求携带假炸弹的乘客进行,放映员克里斯·苏利亚说,筛选工会的官员。

有人请告诉我这不是真的发生的。“你好,先生。乘客。我是TSA经理。你知道我没有骗你,因为我有一个看起来正式的复合徽章。我们需要你帮助我们测试机场安全。这是一个“假”炸弹,我们希望你在行李里带上安全带。另一个TSA经理将,嗯,在目的地见。着陆时把假炸弹给他。而且,顺便说一句,你母亲的婚前姓是什么?”

这到底是个什么好主意?把真正的TSA经理打扮成度假者有多难?

编辑添加(10/24):这里是故事有人被要求携带物品通过杜勒斯机场安检。

编辑添加(10/26):TSA声称不会发生这种情况:

美国运输安全管理局官员不要求随机乘客携带假炸弹通过圣地亚哥国际机场的检查站进行测试,或者其他机场。

[…]

TSA旅客提醒:如果有人声称是TSA员工,要求您通过检查站取东西,请立即联系检查站穿制服的TSA员工或执法人员。

有没有其他人发生过这种事?

10月19日发布,2007年下午2:37查看评论

国家安全局的公关活动以记者为目标

你的税款在工作中以下内容:

对媒体泄露其最敏感的电子监控工作感到沮丧,秘密的国家安全局召开了一系列史无前例的非正式“研讨会”近几年来,向记者讲授此类泄密造成的损害,并劝阻那些可能干扰该机构监视美国敌人任务的报道。

半天的课堂上,国家安全局的高级官员强调了已发表报道中令人反感的段落,并提供了“无害的重写”。官员们说保持了“整体推力”但忽略了可能泄露机构技术的细节,根据《纽约太阳报》获得的课程大纲。

10月4日发布,2007年下午3:11查看评论

泄露的MediaDefender电子邮件

这个故事准备成为一笔更大的交易:

点对点(P2P)中毒公司媒体防御者本周末发生了令人尴尬的泄密事件,当近700MB的内部公司电子邮件通过BitTorrent在互联网上分发时。电子邮件揭示了MediaDefender精心制定的P2P中断策略的许多方面,阐明先前未披露的米维丑闻细节,并详细说明MediaDefender与纽约总检察长办公室在秘密执法项目上的合作。我们已经审查了几天的数据,并将有关于这个主题的多个报告。

更多信息在这里.

现在,电话是泄漏.以下是一个笑话——媒体辩护律师本·格罗斯基(Ben Grodsky)在纽约州总检察长办公室讲话:

本·格罗斯基:“是的,看起来……我是说,从我们昨天的电话来看,嗯…我们都得出了一个结论,可能是ehm…因为攻击者,我猜你叫什么,瑞典知识产权,袭击者嗯…知道登录名、IP地址和端口…但他们没能进去,因为我们更改了密码,你知道的,按照我们正常的安全协议…当我们在第一次登录时进行这样的安全事务时,我们会更改密码,很明显,不明显,但是,看来,最有可能的情况是,在某种程度上,电子邮件是ehm…截获。

你知道的,只是因为…可能是通过公共互联网,没有任何加密密钥用于ehm…保护该电子邮件中的数据。”

本·格罗斯基:“……如果你们愿意通过电话和我们沟通,任何真正敏感的东西,我们都可以用这种方式交流……”

本·格罗斯基:“好吧[困惑,做笔记]。所以,您要禁用密码验证并启用公钥吗?”

本·格罗斯基:“……那部分……没有任何妥协。我是说,我们在圣莫尼卡的办公室和数据中心之间的通信没有受到任何形式的破坏,所有与纽约的通信,到你的办公室,安全。唯一被泄露的是……关于这些事情的电子邮件通信。”

本·格罗斯基:“……我们可以肯定的是,MediaDefender的邮件服务器没有被黑客攻击或受到威胁……”

[回答问题“你们运行的是哪种ID?”]
本·格罗斯基:“嗯……我不知道。我来调查一下。”

编辑添加(9/20):Media Defender的源代码现在有空在P2P网络上。事实上,我为他们感到抱歉。

9月18日发布,2007年下午12:03查看评论

《哈利波特》的新书在比特托伦特上泄露了。

它是在线:BitTorrent上提供每一页的数码照片。

我一直在处理这件事,主要来自记者问我出版商能做些什么。说真的?我认为这本书不可能保密。这本书有数以百万计的副本,全部寄往世界的四个角落。为了保证安全,太多的人必须被信任。只需要一个不可信的人——一个卡车司机,一个书店老板,一个仓库工人——泄露了这本书。

但反过来说,我认为出版商不应该在意。任何一个狂热的粉丝都会在真正的拷贝出来前几天阅读这些页面的数码照片,他们也会购买真正的拷贝。以及任何阅读数码照片的人相反那本真正的书应该是从一个朋友那里借的。我猜出版商会损失零销售额,而且预告版只会增加媒体的狂热。

我有点惊讶这本书没有早点泄露出去。

而且,当然,我们不可避免地会得到这本书出版后的ASCII拷贝,对于所有想在PDA上阅读的人。

编辑添加(7/18):我是采访对于“将来时态”关于这个故事。

编辑添加(7/20):这篇文章概述了出版商对手稿采取的一些安全措施。

编辑添加(7/25):相机具有唯一序列号嵌入在每个数码照片中,可以用来跟踪作者。只是我们离开的另一个例子电子足迹无论我们走到哪里。

编辑添加(8/15):在这里更全面地分析泄密者是谁:

  • 摄影师是白种人。

  • 摄影师可能没有结婚(左手没有结婚戒指)。

  • 摄影师很可能是男性。在前几张照片中,无名指似乎比食指长。这被称为2d:4d比率,较低的比率是高水平睾酮的症状。暗示一个男人.然而,没有明显的手指伸出来,所以这不是决定性的。

  • 尽管相机通常是为右手使用而设计的,摄影师用左手把书钉牢。这表明摄影师是右手。(我见过左撇子想做这种事,他们通常用左手以一种奇怪的方式拿着相机。)然而,这也不是决定性的。

  • 摄影师的手看起来很年轻——可能是十几岁或是年轻的成年人。

很多,更多信息。

发表于7月17日,2007年下午4:38查看评论

更多惠普董事会间谍丑闻

两周前我写的关于惠普董事会的间谍丑闻。有更多以下内容:

对惠普新闻泄漏的秘密调查比之前报道的更为详尽,几乎从一开始就涉及非法收集私人电话记录和直接监督董事会成员和记者,据了解公司经营情况的人士透露。

鉴于此,我预测会对这起事件进行真正的调查:

据了解该公司对该行动的人说,侦探们试图在至少一台记者电脑上安装软件,以便追踪信息。还跟踪董事和可能的记者,试图找出董事会的泄密者。

我很惊讶没有更多的抗议。预提取,种植特洛伊木马……这是一种会被“黑客”攻击的东西。立即被捕。但如果惠普董事会主席做到了,突然间变成了灰色区域。

编辑添加(9/20):更多信息。

9月18日发布,2006年下午2:48查看评论

监视HP板

有趣的故事。

基本上,惠普董事长,对泄密感到恼火,雇佣调查人员追踪惠普董事会其他成员的电话记录(包括家庭和手机)。一名董事会成员因此辞职。泄密者拒绝辞职,尽管他已经被开除了。

注意,文章说调查人员使用了“假托”。这是违法的。

整个事件——除了它对一家1000亿美元的公司董事会的影响之外,邓恩继续担任主席的能力,以及声称侵犯隐私和欺诈性虚假陈述的民事诉讼的可能性,使人们对数字时代的企业监控提出了疑问。视听监视能力不断提高,两者都有收集和分析数据的能力。网络有助于高效、轻松地分发数据。但是当这些进步超过公司的能力时会发生什么(以及,就这点而言,政府)就道德限度达成共识?公司将在多大程度上获得他们寻求竞争性收益或更好管理的信息?

惠普的案件还特别突出了安全顾问用来获取个人信息的可疑策略。惠普在其外部律师发给帕金斯的一封内部电子邮件中承认,通过一种有争议的做法“假托”,惠普获得了将泄密主管与CNET联系起来所需的书面记录;《新闻周刊》获得了那封电子邮件的副本。这种做法,据联邦贸易委员会称,涉及使用“虚假借口”获取另一个人的个人非公开信息:电话记录,银行和信用卡账号,社会保险号等。

编辑添加(9/8):好的评论。

编辑添加(9/12):惠普董事长帕特丽夏·邓恩解雇.

9月7日发布,2006年下午1:47查看评论

乞讨安全

技术人员以下内容:

去年夏天,令人惊讶的消息是日本核机密泄露,请在一个承包商被允许将他个人感染病毒的计算机连接到核电站的网络之后。承包商的笔记本电脑上也有一个文件共享应用程序,突然间,很多孩子都能知道核秘密,他们只是想下载最新的热门单曲。政府只花了大约九个月的时间就提出了如何防止未来这种性质的泄漏的建议:乞求所有日本公民不要使用文件共享系统--所以下次发生这种情况时,网络上不会有任何人下载这样的文件。

即使他们的乞讨有效,它解决了错误的问题。悲伤。

编辑添加(3/22):另一篇文章.

发表于3月20日,2006年下午2:01查看评论

276名英国间谍

网站cryptome有一个列表276 mi6剂中:

这结合了三份军情六处军官名单1999年5月13日(116个姓名)2005年8月21日(74个姓名)和2005年8月27日(121个姓名)。

虽然311个名字都没有出现在这三个名单上……但有35个名字出现在两个名单上,留下276个唯一的名字。

根据硅网以下内容:

这不是第一次在互联网上发布此类信息,外交部的政策是既不确认也不否认此类名单的准确性。但一位发言人抨击了该书的出版,称其有可能危及生命。

另一方面以下内容:

该网站由约翰·杨运营,谁“欢迎”即将公布的秘密文件最近表示,“需要尽可能多地指名情报官员和特工”。

他说:“给他们起名字会让他们的生活陷入危险,这是造假。不确定他们的身份会使更多的人远离他们邪恶的秘密行动和阴谋。”

讨论。

8月31日发布,2005年下午2:28查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。