标有“国家安全政策”的条目

第50页第1页

访问国家安全局

昨天,我去了国家安全局。那天是网络司令部的生日但那不是我来的原因。作为伯克利特网络安全项目的一部分,由休利特基金会资助的伯克曼克莱因中心。(伯克曼·休利特——明白了吗?我们有一个网页,但它已经过时了。)

这是一整天的会议,除了查塔姆家族的规定外,其他都是未分类的。消息。纳卡森欢迎我们,一开始就提问。多位高级官员就各种议题与我们进行了交谈,但主要集中在三个方面:

  • 俄罗斯影响行动,国家安全局和美国网络司令部在2018年选举中的所作所为,以及他们未来的所作所为;

  • 中国以及不受信任的计算机硬件对关键基础设施的威胁,5G网络和更广泛的网络;

  • 机器学习,如何确保ML系统符合所有法律,以及ML如何帮助完成其他遵从性任务。

一切都很有趣。前两个主题是我正在思考和写作的,很高兴听到他们的观点。我发现我在网络安全问题上比在隐私问题上与国家安全局更紧密地联系在一起,这使得会议比我们讨论《金融情报机构修正法案》第702条时要轻松得多,第215节美国自由法更新明年)或任何违反第四修正案的行为。我不认为我们通过了这些问题,但他们弥补了我工作的不足。

发表于5月22日,2019年下午2:11·查看评论

科技和政治如何改变间谍活动

有趣的文章关于传统的以国家为基础的间谍活动正在发生怎样的变化。基本上,互联网使得制作一个好的封面故事变得越来越可能;手机和其他电子监控技术使跟踪人员更加容易;机器学习将使这一切自动化。与此同时,西方国家有新的法律和规范,使它们比其他国家处于劣势。最后,这其中的大部分已经变成了企业。

发表于5月21日,2019年上午6:19·查看评论

为什么密码学家被拒绝进入美国?

今年3月,阿迪·沙米尔——这就是“S”在RSA中——否认一个美国签证参加RSA会议。他是以色列。

这个月,由于签证问题,英国公民罗斯·安德森不能参加华盛顿的颁奖典礼。)你可以听他的录音接收讲话我听说另外两位著名的密码学家也在同一艘船上。有密码学家黑名单吗?还有什么事吗?我们很多人都想知道。

发表于5月17日,2019年上午6:18·查看评论

网络攻击的第一次物理报复

以色列有承认最近对哈马斯的空袭是对网络攻击的实时反应。从推特

准许释放:我们挫败了哈马斯对以色列目标发动的网络攻击。在我们成功的网络防御行动之后,我们瞄准了哈马斯网络特工工作的大楼。

已删除hamascyberhq.exe。图.twitter.com/ahgkjioqs7

以色列国防军(@IDF)5月5日,二千零一十九

我希望这种事情发生得更多,而不是针对主要国家,而是由大国对抗小国。否则,网络攻击就太像一个民族国家的均衡器了。

另一文章

编辑添加(5/7):评论

5月6日发布,2019年下午4:09·查看评论

为了公众利益的网络安全

密码战争断断续续地进行了25年。一方面是执法,希望能够破坏加密,获取恐怖分子和罪犯的设备和通信。另一方面,几乎所有的密码学家和计算机安全专家,反复解释说,如果不削弱这些设备和通信系统的每个用户的安全性,就没有办法提供这种能力。

这是一场充满激情的辩论,有时刻薄,但有一些真正的技术可以解决这个问题:密钥托管技术,代码模糊技术,以及具有不同特性的后门。无处不在的监视资本主义——正如已经在监视所有人的互联网公司所做的那样——很重要。社会潜在的安全需求也是如此。让执法人员参与其中有安全上的好处,即使它不可避免地也总是给别人这种机会。然而,保护这些系统不受所有攻击者的攻击也有安全上的好处,包括执法。这些好处是相互排斥的。更重要的是,到了什么程度?

问题是,几乎没有决策者从技术上知情的角度讨论这一政策问题,很少有技术专家真正理解这场辩论的政策轮廓。结果是双方一直在互相推诿,政策建议——偶尔变成法律——是技术灾难。

这是不可持续的,无论是这个问题,还是任何其他有关互联网安全的政策问题。我们需要了解技术的决策者,但我们也需要网络安全技术专家,他们了解并参与到网络安全政策中。我们需要公共利益技术专家。

我们在这一项上暂停一下。福特基金会将公益科技人员定义为“注重社会公正的技术从业者”。共同的利益,和/或公共利益。”最近,一组学者写道,公共利益技术人员是“研究技术专长的应用以促进公共利益的人,创造公共利益,或者促进公共利益。”Tim Berners-Lee称他们为“哲学工程师”。我认为公共利益技术人员是将他们的技术专长与公共利益重点结合起来的人:通过研究技术政策,通过从事一个有公共利益的技术项目,或者作为一个传统的技术专家为一个有公共利益的组织工作。也许这不是最好的术语——我知道不是每个人都喜欢它——但它是一个很好的总括性术语,可以涵盖所有这些角色。

我们需要公众利益的技术专家参与政策讨论。我们需要国会工作人员的帮助,在联邦机构中,在非政府组织(NGO)在学术界,在公司内部,作为媒体的一部分。在我们的领域,我们需要他们不仅参与加密战争,但是网络安全和政策之间的任何地方都是相互联系的:脆弱性股票辩论,选举的安全,加密货币政策,物联网安全大数据,算法的公平性,敌对的机器学习,关键基础设施,以及国家安全。当你扩大互联网安全的定义时,许多其他领域属于网络安全和政策的交叉点。我们的专业知识和看待世界的方式对于理解许多技术问题至关重要,例如网络中立性和关键基础设施的监管。我不想在没有安全技术专家参与的情况下制定有关人工智能和机器人的公共政策。

公共利益技术并不新鲜。许多组织都在这方面工作,从像EFF和EPIC这样的老公司到像现在这样的经过验证的投票和访问的新公司。许多学术课和课程结合了技术和公共政策。我在哈佛大学肯尼迪学院的网络安全政策课就是一个例子。像Markup这样的媒体初创公司正在从事技术驱动的新闻业。甚至在营利性公司内部也有与公共利益技术相关的项目和倡议。

这看起来很像,但事实并非如此。没有足够的人去做,知道需要这么做的人还不够多,而且没有足够的地方去做。我们需要建立一个为公众利益技术人员提供可行职业道路的世界。

有很多障碍。有一篇题为一个关键时刻其中包括这句话:“虽然我们列举了一些有远见的领导和为公众利益成功部署技术技能的例子,大家一致认为,供应不足的顽固循环,需求错位,低效的市场阻碍了进步。”

这句话说明了这三个地方需要干预。一:供电侧。只是没有足够的人才来满足最终的需求。尤其是在网络安全方面,这在整个领域都存在人才问题。公共利益技术人员是一个多元化、多学科的群体。他们的背景来自技术,政策,和法律。我们还需要在公共利益技术领域培育多样性;使用该技术的人群必须以形成该技术的群体来代表。我们需要各种各样的方式让人们参与到这个领域中:人们可以从侧面做的方式,在传统技术工作之间的几年里,或者作为一个全职的有回报的职业。我们需要公共利益技术成为每一个核心计算机科学课程的一部分,“诊所”在大学里,学生们可以体验到公共利益工作。我们需要科技公司给人们提供休假来完成这项工作,然后珍惜他们所学到的和所做的。

第二:需求方。这是我们现在最大的问题;没有足够多的组织明白他们需要技术专家来从事公共利益工作。我们需要为各种非政府组织的工作提供资金。我们需要整个政府的工作人员:行政人员,立法的,和司法分支。奥巴马总统的美国数字服务应该扩大和复制;美国也应该这样做。我们需要更多的新闻机构来完成这类工作。

三:市场。我们需要工作板,会议,以及技能交流——让供应方的人了解需求的地方。

主要基金会开始在这个领域提供资金:特别是福特和麦克阿瑟基金会,还有其他的。

这一问题与公共利益法领域有着有趣的相似之处。在20世纪60年代,没有公共利益法这样的东西。这个领域是故意创造的,由福特基金会等组织资助。他们资助了大学的法律援助诊所,让学生们学习住房,歧视,或移民法。他们资助了ACLU和NAACP等组织的奖学金。他们创造了一个重视公共利益法的世界,主要律师事务所的所有合伙人都应该做一些公共利益工作。今天,当美国公民自由联盟(ACLU)为一名员工律师做广告时,支付三分之一到十分之一的正常工资,它有数百名申请者。今天,20%的哈佛法学院毕业生进入了公益法领域,学校也有寻魂研讨会,因为这个比例很低。与此同时,从事公共利益工作的计算机科学毕业生比例基本为零。

这比计算机安全更重要。技术现在以一种不只是几十年前的方式渗透社会,政府的行动太慢,没有考虑到这一点。这意味着现在的技术人员与他们没有传统联系的所有领域都有联系:气候变化,食品安全,未来的工作,公共卫生、生物工程。

更一般地说,技术人员需要了解他们工作的政策后果。硅谷普遍存在这样一个神话:技术在政治上是中立的。不是,我希望今天读这篇文章的大多数人都知道这一点。我们建立了一个程序员认为他们有一个固有的权利来按照他们认为合适的方式对世界进行编码的世界。我们被允许这样做是因为,直到最近,没关系。现在,太多的问题是在一个不受管制的资本主义环境中决定的,在这种环境中,往往不考虑重大的社会成本。

这就是社会的核心问题所在。20世纪决定性的政治问题是:“什么应该由国家管理,什么应该由市场来管理?”这就定义了东西方的不同,以及国家内部政党之间的差异。21世纪上半叶的决定性政治问题是:“我们的生活有多少应该由技术来管理,在什么条件下?”在上个世纪,经济学家推动公共政策。在本世纪,这将是技术专家。

未来的发展速度快于我们当前的一套政策工具所能应付的。解决这一问题的唯一方法是在技术人员的帮助下开发一套新的策略工具。全面做好社会公益工作,从通知政策到创建工具,所有这些都在构建未来。世界需要我们所有人的帮助。

本文发表于2019年1月/2月IEEE安全与隐私。我维护一个公共利益技术资源页面在这里

5月3日发布,2019年凌晨4:33·查看评论

为什么不强制执行gdpr?

政治人物有一个长文章假设主导GDPR调节器,爱尔兰,与硅谷科技公司的关系过于亲密,以至于无法有效监管它们的隐私行为。

尽管它发誓要加强其陈旧的监管机构,爱尔兰有着悠久的历史,为其应该监督的公司提供服务,以低税收的承诺吸引硅谷顶级公司来到翡翠岛,向高层官员开放,并帮助获得资金,建立闪闪发光的新总部。

现在,其他国家的数据隐私专家和监管机构都在质疑爱尔兰是否承诺对即将到来的隐私问题进行监管,比如Facebook重新推出面部识别软件,以及与其最近收购的子公司WhatsApp共享数据。以及谷歌在其新兴平台上共享信息。

编辑后添加(5/13):Daragh O Brien,一个经常批评民进党的人,在报道中被引用,认为他被错误引用了而这篇文章不是完全公平

发布于5月2日,2019年上午5:17·查看评论

保卫民主国家免受信息攻击

为了更好地理解影响攻击,我们提出了一种方法这将民主本身塑造成一个信息系统,并解释了民主是如何容易受到专制国家自然抵制的某些形式的信息攻击的。我们的模型结合了国际安全和计算机安全的思想,避免在解释攻击对整个民主的影响时受到两者的限制。

我们的初始账户是有限的。把民主作为一个信息系统来构建一个真正全面的理解,将是一项艰巨的任务,包括政治科学家和理论家的集体努力,计算机科学家,复杂性学者,以及其他。

在这篇短文中,我们承担了一项更为温和的任务:提供政策建议,提高民主对这些攻击的恢复力。具体地说,我们可以展示政策制定者不仅需要思考如何加强系统抵御攻击,但也需要考虑这些努力如何与公众对这些体系的信念(或共同的政治知识)相交叉,因为公众信仰本身可能是攻击的重要媒介。

在民主国家,许多重要的政治决策都是由普通公民(通常,在选举的民主国家,通过选举政治代表)。这意味着公民需要对他们的政治制度有一些共同的理解,社会需要一些方法来产生关于公民是谁和他们想要什么的共享信息。我们称之为共同的政治知识,它主要是通过社会聚集机制(以及实施这些机制的机构)产生的,比如投票,人口普查,诸如此类。这些机制并不完善,但对民主的正常运作是必不可少的。在专制政权中,它们往往是妥协的,或者根本不存在,因为他们可能对统治者构成威胁。

在现代民主国家,最重要的机制是投票,它综合了公民对竞争党派和政治家的选择,以决定谁在有限的时间内控制行政权力。另一个重要机制是人口普查过程,在美国和其他民主国家发挥着重要作用,在提供有关人口的广泛信息时,在制定选举制度(通过在众议院分配席位)时,以及政策制定(通过政府开支和资源的分配)。较不重要的是公众评论过程,个人和利益集团可以通过这些评论对重要的公共政策和监管决策作出评论。

所有这些系统都容易受到攻击。选举容易受到各种非法操纵,包括操纵投票。然而,在美国,许多操纵行为都是合法的,包括许多形式的断奶,花哨的投票时间,分配投票站和资源,以便对特定人群有利或不利,规定了繁琐的登记和身份要求,等等。

通过提供虚假信息或更可信的是,通过政策或资源的倾斜,使一些人口数量不足。过去几十年来,人口普查的许多政治斗争都是围绕人口普查是否应采取统计措施,以应对统计上不太可能返回人口普查表格的人口的抽样不足偏见展开的,比如少数族裔和非法移民。目前的努力包括一个关于移民身份的问题,可能会使无证件或最近移民返回填写好的表格的可能性降低。

最后,公众评论系统也容易受到旨在歪曲支持或反对具体提案的攻击,包括人工草根组织的形成和大规模邮件中的冒用或盗用身份,传真,电子邮件或在线评论系统。

所有这些攻击都比较清楚,即使政策选择可以通过更好地了解它们与共享政治知识的关系而得到改善。例如,一些投票ID要求是合理的,通过呼吁安全关注选民欺诈。尽管政治科学家认为这些担忧基本上是没有根据的,我们目前缺乏一个评估权衡利弊的框架,如果有的话。计算机安全概念,如保密性,完整性,可用性可以与政治学和政治学理论的发现相结合,提供这样一个框架。

即便如此,政策制定者对社会综合机构与公共信仰之间的关系了解得远远不够。即使社会聚集机制和机构能够抵御直接攻击,他们可能容易受到旨在动摇公众对他们的信念的更间接的攻击。

民主社会容易受到(至少)两种知识攻击,而独裁社会则不然。首先是洪水般的袭击,让公民对其他公民的信仰产生困惑,使他们更难组织起来。其次是信心攻击。这些企图破坏公众对社会聚集机构的信心,因此他们的结果不再被广泛接受为公民的合法代表。

最明显的是,如果公民不相信投票是公平的,民主国家的运作就会很糟糕。这使得民主国家容易受到旨在动摇公众对投票机构信心的攻击。例如,俄罗斯针对2016年总统选举的一些黑客攻击活动旨在削弱民众对选举结果的信心。俄罗斯黑客攻击乌克兰,以公布选举结果的制度为目标,旨在让选民对选举结果产生困惑。同样地,“Guccifer 2.0”黑客身份,这归功于俄罗斯的军事情报,试图暗示在总统选举前几天,美国的选举制度已经受到民主党人的影响。如果,果不其然,唐纳德·特朗普输掉了选举,这些声明可能与黑客行为的实际证据相结合,从而使选举看起来受到了根本性的损害。

对于2020年美国人口普查,可能会采取类似的针对公平观念的攻击。如果包括公民身份问题的努力失败,一些因人口变化而处于不利地位的政治行动者,如外国出生人口的增加以及从农村向城市和郊区的人口转移,将努力使人口普查结果失去合法性。再一次,人口普查的真正问题,这不仅包括公民问题的争论,还包括严重的资金不足,可能有助于加强这些努力。

允许感兴趣的行动者和普通公众对拟议政策发表评论的机制同样脆弱。例如,美国联邦通信委员会(FCC)在2017年宣布,计划废除其网络中立裁决。支持FCC撤销禁令的利益集团正确地预见到了网络中立支持者组成的政治活跃联盟的广泛反对。其结果是通过公开评论进行战争。超过2200万条评论被提交,其中大部分似乎是自动生成的或形成字母。数百万的评论显然是假的,并在支持联邦通信委员会废除该法案的评论中附上毫无戒心的人的姓名和电子邮件地址。绝大多数的意见,不是通过信函或自动生成反对联邦通讯委员会的建议裁决。关于评论过程的愤怒被来自FCC内部的声明(后来被怀疑)放大了,即评论过程也受到了网络攻击。

我们还不知道假评论泛滥背后的演员的身份和动机,尽管纽约州总检察长办公室已经发布了各种游说和宣传组织的记录传票。然而,通过证明评论过程很容易被操纵,这次攻击使得那些反对FCC提议的裁决的人明显真实的评论不太可能被当作公众相信的有用证据。对所谓的网络攻击的愤怒,联邦通讯委员会不愿意调查这次袭击,这进一步削弱了人们对一个旨在使联邦通信委员会对美国公众更加开放的在线评论系统的信心。

我们对民主如何作为信息系统发挥作用知之甚少。提高认识本身就是一个重大的政策挑战,这将需要大量资源,更重要的是,共同的理解和共同的努力,跨越各种各样的知识领域,目前并没有真正参与彼此。

然而,即使这张民主信息方面的基本草图也能为决策者提供一些关键的教训。最重要的是,支持公众对关键机构(如投票机构)的共同信念可能同样重要,公开评论,以及针对攻击的人口普查,以加强机制和相关机构本身。

具体地说,许多减轻对民主制度的攻击的努力,都是从提高公众对民主制度脆弱性的认识和警惕开始的。这有利于提高对实际问题的认识,但它可能——特别是如果夸大效果——会损害公众对它所要保护的社会聚集机构的信心。这可能意味着,例如,公众对俄罗斯黑客行为的认识是建立在有缺陷的分析技术基础上的,这种做法本身可能会夸大攻击的后果,从而损害民主。

更一般地说,这对保护社会聚集机构免受攻击的政策努力构成了重要挑战。在不损害公众对系统的信心的情况下,如何才能最好地保护系统本身?至少,成功的政策措施不会简单地识别现有系统中的问题,但提供可行的,公开可见的,以及易于理解的缓解措施。

我们在这篇短文中集中讨论了信任攻击的问题,因为它们都比洪水袭击更难理解,更深刻。鉴于历史经验,民主可能比它在针对其核心聚集机构的攻击中更能经受住一些关于公民信仰的虚假信息。决策者需要更好地了解政治制度和社会信仰之间的关系:具体来说,允许民主国家了解自己的社会聚集机构的重要性。

有一些唾手可得的成果。通常,加强这些机构对攻击他们的信心将与加强他们对攻击更普遍。因此,例如,要求永久纸质选票和随机审计的投票改革不仅能更好地确保投票不受操纵,但也会对公众信仰产生适度有益的影响。

对于公众评论系统,可能有大致相似的解决方案。在这里,信息权衡不如投票那么深刻,由于没有必要在匿名要求(这样就没有人能知道谁在事后投票给了谁)和其他要求(确保没有人投两次或更多的票,不改变投票等等)。相反,要达到的平衡是一般的易接近性和安全性,使它更容易,例如,利用辅助源来验证身份。

美国人口普查和其他指导资源分配的统计系统的稳健性和公众信心都可以通过使它们更好地与政治控制隔离来提高。例如,类似的制度也可以用来任命人口普查局局长为美国总审计长,要求两党一致同意任命,给公务员带来了任职压力。

我们的论点还说明,一些旨在打击社会影响行动的善意努力可能对一般社会信仰产生反常的后果。安全感至少与安全的现实同等重要,任何针对信息攻击的防御都需要同时解决这两个问题。

然而,如果我们想要正确地理解权衡,而不是提出明确的有利政策,避免直接的错误。伪造这些工具将需要计算机安全专家开始系统地思考公共信仰,将其作为他们寻求捍卫的系统的一个组成部分。这将意味着更多以军事为导向的网络安全专家需要深入思考民主的运作以及内部和外部行动者破坏民主的能力,而不是达到国家级威慑工具的标准工具包。最后,民主工作的专家们必须学会如何从具体的信息角度来思考民主及其权衡。

这篇文章是亨利·法雷尔写的,并且有之前出现关于消除信息失真。

4月30日,2019年6点59分·查看评论

“网络安全部”

总统候选人约翰·德莱尼宣布了一项计划网络安全部门

我早就赞成成立一个新的联邦机构来处理互联网,尤其是物联网的安全问题。细节是魔鬼,当然,这很容易出错。在点击这里杀死所有人,我概述了一个稻草人的建议;我称之为“国家网络办公室”并以国家情报总监办公室为榜样。但是不管你怎么看待这个想法,我很高兴至少有人在谈论这件事。

Slashdot线。新闻故事

编辑添加:是,这个职位与总统政治极为接近。对这方面的资格有任何意见,或任何其他,总统候选人将被删除。

4月17日发布,2019年上午7:57·查看评论

中国监视海底互联网电缆

供应链安全是一个极其棘手的问题。最近的重点是中国5G设备,但问题要广泛得多。这篇评论文章看看海底通信电缆:

但现在,中国企业集团华为技术有限公司,致力于在全球提供5G电话网络的领先公司,出海去了。在其之下华为海洋网络组件,它几乎正在建设或改进100海底电缆全世界。去年,它完成了一条从巴西到喀麦隆长达4000英里的电缆。(有线电视部分归中国联通所有,a state-controlled telecom operator.) Rivals claim that Chinese firms are able to lowball the bidding because they receive subsidies from Beijing.

正如专家们有理由担心包含间谍活动的“后门”一样在华为的5G技术中,西方情报专业人士反对该公司参与海底版本,这为我们提供了一个更大的回报,因为如此多的数据依赖于如此少的电缆。

这不应该让任何人惊讶。多年来,美国和“五只眼”垄断了全球互联网的间谍活动。其他国家想加入。

正如我所拥有的再三说,我们需要决定是否要建立我们未来的互联网系统,以实现安全或监控。要么每个人都去监视,否则就没人能做间谍。我相信我们必须选择安全而不是监视,实施国防主导战略。

4月15日发布,2019年上午6:30·查看评论

前Mozilla CTO在美国边境骚扰

这是一个很可怕的安德烈亚斯·盖尔的故事,前Mozilla CTO和美国公民,在美国边境被拘留并受到威胁。CBP特工要求他打开手机和电脑。

当你进入美国时,要知道你的权利。EFF出版了方便的指导。如果你想加密你的电脑,这样你就不能按需解锁它,这是我的向导。记住不要对海关官员撒谎;这本身就是犯罪。

4月4日发布,2019年下午2:10·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性