密码图

5月15日,二千零一十九

布鲁斯施耐尔
首席技术官,IBM弹性
schneier@schneier.com
网址://www.vbispy.com

免费每月通讯提供摘要,必威体育官方分析,洞察力,以及关于安全性的评论:计算机等。

的问题,或者订阅,参观加密程序网页.

同样的文章和新闻也出现在betway88必威官网备用博客,以及一个生动而智能的评论部分。提供RSS源。


在这个问题上:

  1. 中国监视海底网线
  2. WPA3 Wi-Fi安全协议中存在漏洞
  3. 关于Triton恶意软件的更多信息
  4. “网络安全部门”
  5. 新的DNS劫持攻击
  6. 伊朗网络间谍工具在网上泄露
  7. 波音737 Max软件问题的优秀分析
  8. G7支持加密后门
  9. 法国政府t章聊天应用程序漏洞
  10. 用拼图彩色打印件愚弄自动监控摄像头
  11. 走向信息操作的杀生链
  12. 我在台湾的采访
  13. 通过猜测薄弱的私钥窃取以太坊
  14. 保卫民主国家免受信息攻击
  15. 在安全令牌
  16. 为什么不强制执行gdpr?
  17. 公共利益的网络安全
  18. 保护自己免受身份盗窃
  19. 第一次对网络攻击进行物理报复
  20. 锁定计算机
  21. 恶意的MS Office宏创建器
  22. 泄露的国家安全局黑客工具
  23. 亚马逊正在输掉这场打击欺诈卖家的战争
  24. 另一名国家安全局泄密者被确认并受到指控
  25. 分析了一对俄罗斯加密算法
  26. 反向工程一个中国的监控应用程序
  27. 密码分析的SIMON-32/64
  28. 即将到来的演讲

中国监视海底网线

[2019.04.15]供应链安全是一个难以克服的难题。最近的焦点是中国的5G设备,但问题要广泛得多。这篇评论文章看看海底通信电缆:

但是现在中国的华为技术集团,致力于在全球提供5G电话网络的领先公司,已经出海了。在其之下华为海洋网络组件,它几乎正在建设或改进100海底电缆全世界。去年,它完成了一条从巴西到喀麦隆长达近4000英里的电缆。(有线电视部分归中国联通所有,一家国有电信运营商)竞争对手声称,中国公司能够降低投标价格,因为他们从北京获得补贴。

正如专家们有理由担心间谍活动“后门”的出现一样在华为的5G技术中,西方情报专业人士反对该公司参与海底版本,这为我们提供了一个更大的回报,因为如此多的数据依赖于如此少的电缆。

这不会让任何人感到惊讶。多年来,美国和“五只眼”垄断了全球互联网的间谍活动。其他国家也想加入。

正如我再三说,我们需要决定是否要建立我们未来的互联网系统,以实现安全或监控。要么每个人都去监视,否则就没人能做间谍。我相信我们必须选择安全而不是监视,实施国防主导战略。


WPA3 Wi-Fi安全协议中存在漏洞

[2019.04.15]研究人员发现几个漏洞在WPA3 Wi-Fi安全协议中:

我们发现的设计缺陷可以分为两类。第一类包括对支持WPA3的设备的降级攻击,第二类是wpa3的蜻蜓握手的弱点,在Wi-Fi标准中,它更广为人知的是同时验证对等握手(SAE)。发现的缺陷可以被滥用以恢复Wi-Fi网络的密码,发起资源消耗攻击,迫使设备使用较弱的安全组。所有攻击都针对家庭网络(即WPA3-Personal),其中所有用户共享一个密码。

新闻文章.研究报告:“龙血:WPA3的SAE握手的安全性分析“:

文摘:WPA3认证旨在保护Wi-Fi网络,与之前的WPA2相比,它有几个优势,例如防止离线字典攻击和转发保密。不幸的是,研究表明,WPA3受多种设计缺陷的影响,并从理论和实践两方面对这些缺陷进行了分析。最显著,我们证明了wpa3同时验证等价(sae)握手,俗称蜻蜓,受密码分区攻击的影响。这些攻击类似于字典攻击,允许对手通过滥用时间或基于缓存的侧通道泄漏来恢复密码。我们的侧通道攻击的目标是协议的密码编码方法。例如,我们基于缓存的攻击利用了sae的哈希到曲线算法。由此产生的攻击效率高、成本低:在Amazon EC2实例中,强制所有8个字符的小写密码所需的费用低于125美元。鉴于正在进行哈希到曲线的标准化工作,密码认证密钥交换(PAKES)和蜻蜓作为一个TLS握手,我们的发现也更具普遍意义。最后,我们讨论如何以向后兼容的方式减轻攻击,并解释如何对协议进行微小的修改就可以阻止我们的大部分攻击


关于Triton恶意软件的更多信息

(2019.04.16)火眼正在释放许多的更多信息关于攻击关键基础设施的Triton恶意软件。它在更多的地方被发现。

这个也是一篇关于海卫一的好文章,但更老一些。我们不知道是谁写的。最初的猜测是伊朗;最近的猜测是俄罗斯。两者都是推测。

FireEye报告.波音波音帖子.


“网络安全部门”

[2019.04.17]总统候选人约翰德莱尼宣布了一项计划网络安全部.

长期以来,我一直支持成立一个新的联邦机构来处理互联网——尤其是物联网——安全问题。细节是魔鬼,当然,很容易弄错。在点击这里杀死所有人,我概述了一个战略建议;我叫它“国家网络办公室”在国家情报局局长的办公室里做榜样。但是不管你怎么看待这个想法,我很高兴至少有人在谈论它。

Slashdot线.新闻故事.


新的DNS劫持攻击

[2019.04.18]DNS劫持不是什么新鲜事,但似乎是一场规模空前的袭击:

思科Talos安全部门的研究人员周三透露,一个被称为“海龟”的黑客组织通过DNS劫持进行了广泛的间谍活动,打击40个不同的组织。在这个过程中,他们甚至破坏了多个国家代码顶级域名,.co.uk或.ru这样的后缀结束了一个外国网址,从而使多个国家的每个域名的所有流量都处于危险之中。

黑客的受害者包括电信行业,互联网服务提供商,以及负责实施域名系统的域名注册机构。但大多数受害者和最终目标,思科相信,主要是政府组织的集合,包括外交部,情报机构,军事目标,以及与能量有关的群体,全部位于中东和北非。通过破坏互联网的目录系统,黑客可以悄悄地使用“中间人”攻击拦截所有互联网数据,从电子邮件到网络流量发送给这些受害者组织。

[…]

思科Talos表示,他们无法确定海龟黑客的国籍,并拒绝透露他们间谍活动的具体目标。但它的确提供了受害者所在国的名单:阿尔巴尼亚,亚美尼亚塞浦路斯,埃及伊拉克,乔丹,黎巴嫩利比亚,叙利亚,土耳其以及阿拉伯联合酋长国。思科(Cisco)的克雷格•威廉姆斯(Craig Williams)证实,亚美尼亚的.am顶级域名是“屈指可数”的域名之一。妥协,但不会说其他国家的顶级域名也遭到了类似的劫持。

另一则新闻文章.


伊朗网络间谍工具在网上泄露

[2019.04.19]一套伊朗网络间谍工具的源代码是泄露的在线.


波音737 Max软件问题的优秀分析

[2019.04.22]这是最好的分析我读过的波音737最大灾难的软件原因。

从技术上讲,这是安全而不是安全;没有袭击者。但是,这些领域是密切相关的,在这里有很多关于物联网安全的经验——以及一般复杂社会技术系统的安全。

编辑添加(4/30):A反驳各种各样的。

编辑添加(5/13):此博客帖子的评论质量特别高,我把它们推荐给对这个话题感兴趣的人。


G7支持加密后门

[2019.04.23 ]本月在巴黎举行的七国集团内务部长会议上,“成果文件“:

鼓励互联网公司为其产品和服务建立合法的接入解决方案,包括加密的数据,为了让执法部门和主管当局获取数字证据,当它被删除或托管在位于国外或加密的IT服务器上时,在不采用任何特定技术的情况下,同时确保规则法和适当的流程保护支持互联网公司的援助。一些七国集团国家强调不禁止的重要性,极限,或削弱加密;

政策制定者们有一种奇怪的看法,即黑客攻击加密系统的密钥管理系统与黑客攻击系统的加密算法有根本不同。区别只是技术上的;效果是一样的。两者都是削弱加密的方法。


法国政府t章聊天应用程序漏洞

[2019.04.24]研究者发现一个漏洞在法国政府的whatsapp替代应用程序:tchap。该漏洞允许任何人秘密加入任何对话。

当然,开发人员会修复这个漏洞。但有趣的是,这正是后门GCHQ是提出.

编辑添加(5/13):一些澄清.


用拼图彩色打印件愚弄自动监控摄像头

[2019.04.25]有点对抗性的机器学习。的形象这篇新闻文章是你需要知道的,但这是研究论文.


走向信息操作的杀生链

[2019.04.26]网络攻击不会神奇地发生;它们涉及一系列步骤。而不是无助,防守者可以在任何一个步骤中破坏进攻。这种框架导致了网络安全杀伤链“:一种考虑网络防御的方式,以干扰攻击者的进程。

同样,是时候将“信息操作终止链”概念化了。对民主国家的信息攻击,不管他们是企图使政治进程两极分化还是增加对社会制度的不信任,还包括一系列步骤。列举这些步骤将阐明防御的可能性。

我第一次听到这个概念是安东尼·索尔斯,前国家安全局(NSA)的一名员工,现在领导安进的网络安全战略。他采用了20世纪80年代俄罗斯“入侵行动”的步骤,旨在传播美国把艾滋病毒作为武器研究计划的一部分。2018年纽约时报评论视频系列在操作上描述了俄罗斯编造剧本中的一系列七个“戒律”,或步骤。自1980年以来,信息领域发生了变化,信息操作也发生了变化。我有更新,并添加到这些步骤是为了把它们带到今天:

  • 第一步:找到裂缝在社会结构中,人口统计学,经济和民族划分。
  • 第二步:种子变形通过创造另类的叙述。在20世纪80年代,这只是一个“大谎言”但今天,它更多的是关于许多相互矛盾的另类真理——一个一系列谎言”这扭曲了政治辩论。
  • 第三步:把这些叙述围绕在真理的核心上。事实的核心有助于错误的传播。
  • 步骤4:(此步骤是新步骤。)建立观众,要么直接控制一个平台(比如RT),要么与愿意接受这些叙述的人建立关系。
  • 第五步:隐藏你的手;让它看起来好像故事来自其他地方。
  • 第六步:培养“有用的白痴”相信并放大叙述的人。甚至鼓励他们采取立场更极端的否则他们不会这么做。
  • 第七步:拒绝参与,即使真相是显而易见的。
  • 第八步:打长球.争取对直接影响的长期影响。

这些攻击之所以如此有效,部分原因是,作为受害者,我们不知道他们是如何工作的。识别这些步骤使概念化和开发旨在干扰信息操作的对策成为可能。其结果是信息操作终止链:

  • 第一步:找到裂缝。在一个民主的社会里总会有公开的分歧,但是,一种防御是支持那些使社会成为可能的机构。其他地方我有书面的关于“公共政治知识”民主国家必须发挥作用。我们需要加强共同的知识,因此更难发现不可避免的裂缝。我们需要让国内行动者在自己的言辞和政治策略中使用同样的虚假信息技术变得不可接受,或者至少代价高昂,当政客们诚实地跨党派工作时,要强调并鼓励合作。我们需要对那些让我们对我们的同胞感到愤怒的信息变得本能地怀疑。我们不能完全修复裂缝,当他们从使民主制度强大的多样性中脱颖而出时;但我们可以让它们更难被利用。
  • 第二步:种子变形。我们需要教更好的数字的读写能力.仅此一项无法解决问题,关于假新闻的分享社会的信号,而那些分享它的人更关心它如何展示他们的核心信仰,而不是它是否真实。仍然,这是解决方案的一部分。
  • 第三步:用真实的内核来包装故事。辩护包括揭露真相和扭曲,但实施起来也很复杂。心理学家有证明了揭穿一条假新闻的一个不经意的效果就是放大揭穿新闻的信息。因此,用与宣传相反的准确叙述来取代假新闻是至关重要的。真理的核心是更大的真实叙述的一部分。我们需要确保真实的故事被合法化和推广。
  • 第4步:建立访问群体。这正是社交媒体公司发挥作用的地方。通过让志趣相投的人们找到彼此并彼此交谈,这些公司让宣传人员能够找到能够接受他们信息的受众。在这里,防御的核心是降低虚假信息的效力。社交媒体公司需要检测删除属于宣传人员、机器人和由这些宣传人员运营的团队的帐户。
  • 第五步:隐藏你的手。答案是归因,归因,归因。我们能够更快地公开属性信息操作,我们越能有效地防御他们。这需要社会媒体平台和情报界共同努力,不仅要检测信息操作并公开它们,而且要能够属性攻击。社交媒体公司需要更加透明地了解他们的算法如何工作,并使源出版物对在线文章更加明显。即使是像诚实的广告行为,要求网络政治广告的透明度,会有帮助的。如果公司缺乏商业激励来做到这一点,监管将是唯一的答案。
  • 第六步:培养有用的白痴。我们可以减轻传播有害信息的人的影响,即使他们没有意识到,他们也在放大故意的宣传。这并不意味着政府需要规范言论;公司平台已经使用了各种系统来放大和缩小特定的扬声器和信息。此外,重复和放大宣传信息的无知者的解药是那些用真理来回应的其他有影响力的人——用一份报告,我们必须“让真相更响亮”。当然,总会有一些真正的信仰者,再多的事实核查或反驳都无法说服他们;这不是为他们准备的。专注于说服那些有说服力的人。
  • 第七步:否认一切。当攻击属性依赖于秘密证据时,攻击者很容易否认参与。公开归因于信息攻击必须有令人信服的证据。当归属涉及机密情报信息时,这将是困难的,但别无选择。在没有证据的情况下相信政府作为国家安全局的罗布·乔伊斯推荐在2016次谈话中,是不够的。政府将不得不披露。
  • 第八步:玩长线游戏。反击可以破坏攻击者维护信息操作的能力,作为U.S.网络司令部在2018年中期选举期间。美国国家安全局的新政策是持续参与”(参见文章和采访,美国网络司令部指挥官保罗曾经为在这里)是实现这一目标的战略。防守队员可以打持久战,也是。我们需要更好地鼓励人们长期思考:超越下一个选举周期或季度盈利报告。

渗透所有这些是威慑的重要性。对,我们需要调整我们的理论威慑面对信息时代的现实和攻击者的民主化。如果我们能够降低信息作战的有效性,如果我们可以公开指出——如果我们可以通过外交或其他方式作出反应——我们就可以阻止这些来自国家的攻击。但俄罗斯对2016年总统选举的干预不仅显示出这种行动是可能的,而且令人惊讶的是,这些行动的运行成本低得惊人。随着这些策略的民主化,更多的人会尝试。阻止他们需要一个不同的理论。

这些防御行动本身都不够。这样,信息作战杀伤链与更传统的网络安全杀伤链存在显著差异。后者防御攻击者针对单个目标(网络或组织)连续采取的一系列步骤,破坏其中任何一个步骤都会破坏整个攻击。信息操作的杀伤链更加模糊。步骤重叠。他们可能会失去秩序。它是一个可以跨越多个社交媒体网站和新闻频道的大杂烩。它要求,就像亨利·法雷尔和我一样假定的,思考民主本身就是一个信息系统.中断信息操作需要的不仅仅是一次中断一个步骤。平行线不完美,但这是一种考虑可能防御范围的分类法。

这个信息操作的杀戮链是一个正在进行的工作。如果有人对破坏信息作战杀伤链的不同步骤有任何其他想法,请在下面评论。我将在以后的文章中更新这一点。

本文以前出现过在法兰西网站上。


我在台湾的采访

[2019.04.26]商业周刊在台湾面试我的.(这里有一个翻译这是一次令人惊讶的亲密采访。我希望中文比翻译好。


通过猜测薄弱的私钥窃取以太坊

(2019.04.29)有人通过猜测用户的私钥偷走了价值数百万美元的以太空间。通常这是不可能的,但是很多钥匙看起来很虚弱.研究人员不确定这些弱键是如何产生和使用的。

他们的论文是在这里.


保卫民主国家免受信息攻击

[2019.04.30]为了更好地理解影响力攻击,我们提出了一种方法这将民主本身模拟为一个信息系统,并解释了民主如何容易受到某些形式的信息攻击,而这些攻击是独裁者自然抵制的。我们的模型结合了国际安全和计算机安全的理念,避免在解释攻击对整个民主的影响时受到两者的限制。

我们的初始帐户必然是有限的。建立一个真正全面的民主信息系统将是一项艰巨的工作,包括政治科学家和理论家的集体努力,计算机科学家,复杂性学者,和其他人。

在这篇短文中,我们承担了一项更为温和的任务:提供政策建议,提高民主对这些攻击的恢复力。明确地,我们可以展示政策制定者不仅需要思考如何加强系统抵御攻击,但也需要考虑这些努力如何与公众对这些体系的信念或共同政治知识相交叉,因为公众信仰本身可能是攻击的重要媒介。

在民主国家,许多重要的政治决策都是由普通公民做出的(通常,在选举民主国家,通过选举政治代表)。这意味着公民需要对他们的政治制度有一些共同的理解,社会需要一些方法来产生关于他们的公民是谁以及他们想要什么的共享信息。我们称之为共同的政治知识,它很大程度上是通过社会聚集机制(以及实施这些机制的机构)产生的,比如投票,人口普查,等。这些机制不完善,但对民主的正常运作是必不可少的。在独裁政权中,他们往往是妥协或不存在的,因为他们可能对统治者构成威胁。

在现代民主国家,最重要的机制是投票,它综合了公民对竞争党派和政治家的选择,以决定谁在有限的时间内控制行政权力。另一个重要机制是人口普查过程,在美国和其他民主国家发挥着重要作用,在提供有关人口的广泛信息时,在形成选举制度时(通过分配众议院席位),以及政策制定(通过政府开支和资源的分配)。较不重要的是公众评论过程,通过它,个人和利益集团可以对重大的公共政策和监管决定发表评论。

所有这些系统都容易受到攻击。选举容易受到各种非法操纵,包括选举舞弊。然而,在美国,许多操纵行为都是合法的,包括许多形式的选区划分不公,花哨的投票时间,分配投票站和资源,以便对特定人群有利或不利,规定了繁琐的登记和身份要求,等等。

通过提供虚假信息或更可信的是,通过倾斜政策或资源,使一些人口被低估。在过去几十年里,围绕人口普查的许多政治斗争一直围绕着人口普查是否应该采取统计措施,以消除对那些统计上不太可能归还人口普查表格的人口的抽样偏倚,比如少数民族和非法移民。目前的努力包括一个关于移民身份的问题,可能会使无证件或最近移民返回填写好的表格的可能性降低。

最后,公众评论系统也容易受到旨在歪曲支持或反对具体建议的攻击,包括人工草根组织的形成和大规模邮件中的冒用或盗用身份,传真,电子邮件或在线评论系统。

所有这些攻击都是比较容易理解的,即使政策选择可以通过更好地了解它们与共享政治知识的关系而得到改善。例如,有些选民身份证要求是通过呼吁对选民舞弊的安全关切而合理化的。尽管政治学家表示,这些担忧在很大程度上是没有根据的,我们目前缺乏评估权衡的框架,如果有的话。计算机安全概念,如保密性,完整性,可用性可以与政治科学和政治理论的发现相结合,以提供这样一个框架。

即便如此,政策制定者对社会聚集机构与公众信仰之间的关系了解得不多。即使社会聚集机制和机构对直接攻击具有强大的抵抗力,他们可能容易受到更间接的攻击,目的是破坏公众对他们的信仰。

民主社会容易受到(至少)两种知识攻击,而独裁社会则不然。首先是洪水袭击,使公民对其他公民的信仰产生混乱,使得他们组织起来更加困难。其次是信心攻击。这些企图破坏公众对社会聚集机构的信心,使其结果不再被广泛接受为公民的合法代表。

最明显的是,当公民不相信投票是公平的时候,民主就会运转不良。这使得民主国家容易受到旨在破坏公众对选举机构信心的攻击。例如,俄罗斯针对2016年总统大选的一些黑客行为旨在破坏民众对选举结果的信心。俄罗斯对乌克兰的黑客攻击,以公布选举结果的制度为目标,旨在让选民对选举结果产生困惑。同样地,“Guccifer 2.0”黑客身份,这要归功于俄罗斯的军事情报试图暗示在总统选举前几天,美国的选举制度已经受到民主党人的影响。如果,正如所料,唐纳德·特朗普输掉了选举,这些声明可能与黑客行为的实际证据相结合,从而使选举看起来受到了根本性的损害。

针对公平观念的类似攻击,可能也会被用于2020年美国人口普查。如果包括公民问题的努力失败,一些因人口变化而处于不利地位的政治行动者,如外国出生人口的增加以及从农村向城市和郊区的人口转移,将努力使人口普查结果失去合法性。再一次,人口普查的真正问题是,这不仅包括公民问题的争论,还包括严重的资金不足,可能有助于加强这些努力。

允许感兴趣的行动者和普通公众对拟议政策发表评论的机制同样脆弱。例如,联邦通信委员会(FCC)在2017年宣布,它提议废除其网络中立性裁决。支持联邦通信委员会(FCC)倒退的利益集团正确地预期到了一个由网络中立支持者组成的政治活跃联盟的广泛反对。其结果是通过公开评论进行战争。提交了2200多万条评论,其中大部分似乎是自动生成的或形成字母。数以百万计的评论显然是假的,并在支持联邦通讯委员会废除法案的评论中附上了毫无疑问的人名和电子邮件地址。绝大多数既不是信件形式也不是自动生成的评论都反对FCC的提案。评论过程中的愤怒被来自联邦通信委员会内部(后来被怀疑)的声称放大了,即评论过程也受到了网络攻击。

我们还不知道假评论泛滥背后的演员的身份和动机,尽管纽约州总检察长办公室已经发出传票,要求各种游说和倡导组织提供记录。然而,通过证明评论过程很容易被操纵,这次攻击使得反对联邦通信委员会(FCC)拟议裁决的人表面上真实的评论不太可能被视为公众所相信的有用证据。对所谓的网络攻击的愤怒,联邦通讯委员会不愿意调查这次袭击这进一步削弱了人们对在线评论系统的信心,该系统旨在让FCC对美国公众更加开放。

我们对民主如何作为信息系统发挥作用知之甚少。提高认识本身就是一个重大的政策挑战,这需要大量的资源,更重要的是,共同的理解和共同的努力,跨越各种各样的知识领域,目前并没有真正参与彼此。

然而,即使这张民主信息方面的基本草图也能为决策者提供一些关键的经验教训。最重要的是,支持公众对关键机构(如投票机构)的共同信念可能同样重要,公开评论,以及针对攻击的人口普查,以加强机制和相关机构本身。

明确地,许多减轻对民主制度的攻击的努力都是从传播公众对其脆弱性的认识和警报开始的。这样做的好处是可以提高人们对现实问题的认识,但它可能——尤其是如果为了达到效果而被夸大的话——损害公众对它所要保护的社会聚集机构的信心。这可能意味着,例如,公众对俄罗斯黑客行为的认识是建立在有缺陷的分析技术基础上的,这种做法本身可能会夸大攻击的后果,从而损害民主。

更一般地说,这对确保社会聚集机构不受攻击的政策努力提出了重要挑战。如何才能在不损害公众信心的情况下,最好地保护这些系统本身?至少,成功的政策措施不会简单地识别现有系统中的问题,但提供可行的,公开可见,以及易于理解的缓解它们的解决方案。

我们在这篇短文中集中讨论了信任攻击的问题,因为它们比洪水袭击更难以理解,也更深刻。鉴于历史经验,民主或许能够经受住一些关于公民信仰的虚假信息的冲击,而不是针对其核心机构的攻击。决策者需要更好地了解政治制度和社会信仰之间的关系:具体来说,允许民主国家了解自己的社会聚集机构的重要性。

有一些低垂的水果。经常,加强这些机构对其信心的攻击,将与更广泛地加强它们对攻击的抵抗力相辅相成。因此,例如,要求永久纸质选票和随机审计的投票改革不仅能更好地确保投票不受操纵,但也会对公众信仰产生适度有益的影响。

对于公共评论系统,可能有大致相似的解决方案。在这里,信息权衡不如投票那么深刻,由于没有必要在匿名要求(这样就没有人能知道谁在事后投票给了谁)和其他要求(确保没有人投两次或更多的票,不改变投票等等)。相反,要达到的平衡是一般的易接近性和安全性,使它更容易,例如,利用辅助源来验证标识。

美国人口普查和其他指导资源分配的统计系统的稳健性和公众信心都可以通过使它们更好地与政治控制隔离来提高。例如,类似的制度也可以用来任命人口普查局局长为美国总审计长,任命需要两党同意,给公务员带来了任职压力。

我们的论点也说明,一些善意的努力,以打击社会影响行动,可能会有悖常理的结果,一般的社会信仰。对安全的感知至少和安全的现实一样重要,任何针对信息攻击的防御都需要同时解决这两个问题。

然而,如果我们想要正确地理解权衡,而不是提出明确的有利政策,避免直接的错误。打造这样的工具将需要计算机安全专家开始系统地思考公众信仰,将其作为他们寻求捍卫的系统的一个组成部分。这将意味着,更多以军事为导向的网络安全专家需要深入思考民主的功能,以及内部和外部参与者扰乱民主的能力,而不是达到国家级威慑工具的标准工具包。最后,民主运作方面的专家必须学会如何用具体的信息术语来思考民主及其取舍。

这篇文章是亨利·法雷尔写的,并且有以前出现过在化解Disinfo。


在安全令牌

[2019.05.01]谷歌的马克·里舍颂扬的美德安全密钥:

我要对后面的人说一遍:用安全钥匙,而不是需要验证站点的*用户*,*站点*必须向密钥证明自己。如今良好的安全是人为因素造成的;我们必须尽可能减轻用户的责任。

此外,这个“证据”从网站到密钥只允许在非常近的物理距离(如USB,NFC或蓝牙)。除非钓鱼者和受害者在同一个房间,他们无法获得第二个因素。

这就是为什么我一直用“变革”这样的词,革命的,和“点燃”(不再如此):sks基本上将你的威胁模型从“世界上任何知道你密码的人”中缩小。致“房间里和你在一起的人”。太大了!

科里·多克托罗做了一个临界点,系统仅与其备份系统一样好:

我同意,但有一个重要的警告。安全密钥通常具有回退机制——这是在丢失或销毁旧密钥时将新密钥附加到帐户的某种方法。这些机制也可能依赖于安全密钥,但很有可能他们不这样做(而且在底线的某个地方,可能有一个使用短信的后备机制,或者谷歌验证器,或者电子邮件确认循环,或者密码,或者是一个能被社会工程师甜言蜜语的管理者)。

因此,尽管传统的2FA实际上是“你知道的东西和你知道的其他东西,尽管只是最近一次,安全密钥是“你所知道和拥有的东西,别人可以拥有的,如果他们知道你知道的东西。”

仅仅因为基于手机的双因素认证系统存在漏洞,并不意味着它们是无用的。它们仍然比传统的只使用密码的身份验证系统好得多。


为什么不强制执行gdpr?

[2019.05.02]政治人物有一个长文章假设主导GDPR调节器,爱尔兰,与硅谷科技公司的关系过于亲密,以至于无法有效监管它们的隐私行为。

尽管它发誓要加强其陈旧的监管机构,爱尔兰有着悠久的历史,为其应该监督的公司提供服务,以低税率的承诺吸引硅谷顶级公司来到翡翠岛,与高层官员的公开接触,并帮助获得资金,建立闪闪发光的新总部。

现在,其他国家的数据隐私专家和监管机构都在质疑爱尔兰是否承诺对即将到来的隐私问题进行监管,比如Facebook重新推出面部识别软件,以及与其最近收购的子公司WhatsApp共享数据。以及谷歌在其新兴平台上共享信息。

编辑添加(5/13):daragh o brien,一个经常批评民进党的人,在报道中被引用,相信他被误报了,而这篇文章不是完全公平.


公共利益的网络安全

[2019.05.03]加密战争已经持续了四分之一个世纪。一方面是执法,希望能够破坏加密,获取恐怖分子和罪犯的设备和通信。另一方面,几乎所有的密码学家和计算机安全专家,反复解释说,如果不削弱这些设备和通信系统的每个用户的安全性,就没有办法提供这种能力。

这是一场充满激情的辩论,激烈的时候,但有一些真正的技术可以解决这个问题:密钥托管技术,代码模糊技术,以及具有不同特性的后门。无处不在的监视资本主义——就像那些已经在监视每个人的互联网公司的做法一样——很重要。社会潜在的安全需求也是如此。提供执法机会有利于安全,尽管这将不可避免地,也总是会让其他人获得这种途径。然而,保护这些系统不受所有攻击者的攻击也有安全上的好处,包括执法。这些好处是相互排斥的。更重要的是,到了什么程度?

问题是几乎没有政策制定者从技术角度来讨论这个政策问题,很少有技术专家真正了解这场辩论的政策轮廓。结果是双方一直在互相交谈,政策提案——偶尔会成为法律——是技术灾难。

这不是可持续的,无论是针对这个问题还是关于互联网安全的任何其他政策问题。我们需要了解技术的决策者,但我们也需要了解并参与政策的网络安全技术专家。我们需要公共利益技术专家。

我们到此为止。福特基金会将公益科技人员定义为“注重社会公正的技术从业者”。共同的利益,和/或公共利益。”最近,一组学者写道,公共利益技术人员是“研究技术专长的应用以促进公共利益的人,创造公共利益,或者促进公共利益。”TimBerners-Lee称他们为“哲学工程师”。我认为公共利益技术人员是将他们的技术专长与公共利益重点结合起来的人:通过研究技术政策,通过从事一个有公共利益的技术项目,或者作为一个传统的技术专家为一个有公共利益的组织工作。也许这不是最好的术语——我知道不是每个人都喜欢它——但它是一个涵盖所有这些角色的合适的综合术语。

我们在政策讨论中需要公共利益技术专家。我们需要他们在国会工作在联邦机构中,在非政府组织(NGO)在学术界,公司内部,作为媒体的一部分。在我们的领域,我们不仅需要他们参与密码战争,但是网络安全和政策之间的任何地方都是相互联系的:脆弱性股票辩论,选举的安全,加密货币政策,物联网安全大数据,算法的公平性,对抗性机器学习,关键基础设施,和国家安全。当你扩大互联网安全的定义时,许多其他领域属于网络安全和政策的交叉点。我们独特的专业知识和看待世界的方式对于理解许多技术问题至关重要,比如网络中立性和关键基础设施的监管。我不想在没有安全技术专家参与的情况下制定有关人工智能和机器人的公共政策。

公共利益技术并不新鲜。许多组织都在这方面工作,从像EFF和EPIC这样的老公司到像现在这样的经过验证的投票和访问的新公司。许多学术课和课程结合了技术和公共政策。我在哈佛大学肯尼迪学院的网络安全政策课就是一个例子。像The Markup这样的媒体初创公司正在从事技术驱动的新闻工作。甚至在营利性公司内部也有与公共利益技术相关的项目和倡议。

这看起来很像,但事实并非如此。没有足够的人去做,没有足够的人知道这需要做,而且没有足够的地方去做。我们需要建立一个为公众利益技术人员提供可行职业道路的世界。

有很多障碍。有一份题为关键时刻其中包括这句话:“虽然我们列举了富有远见的领导能力和为公众利益成功运用技术技能的个别例子,大家一致认为,供应不足的顽固循环,misarticulated需求,效率低下的市场阻碍了进步。”

这句话说明了这三个地方需要干预。一:供电侧。只是没有足够的人才来满足最终的需求。这在网络安全领域尤为突出,这在整个领域都存在人才问题。公共利益技术人员是一个多元化、多学科的群体。他们的背景来自科技,政策,和法律。我们还需要促进公共利益技术的多样性;使用该技术的人群必须以形成该技术的群体来代表。我们需要各种各样的方式让人们参与到这个领域中:人们可以从侧面做的方式,在传统技术工作之间的几年里,或者作为一个全职的有回报的职业。我们需要公共利益技术成为每门核心计算机科学课程的一部分,“诊所”在大学里,学生们可以体验到公共利益工作。我们需要科技公司给人们休假来做这项工作,然后重视他们所学和所做的。

第二:需求方。这是我们目前最大的问题;没有足够多的组织明白他们需要技术专家来从事公共利益工作。我们需要为各种非政府组织的工作提供资金。我们需要整个政府的工作人员:行政人员,立法的,以及司法部门。奥巴马总统的美国数字服务应该扩大和复制;美国也应该这样做。我们需要更多的新闻机构来完成这类工作。

三:市场。我们需要工作板,会议,以及技能交流——在那里,供应方的人们可以了解需求。

主要基金会开始在这个领域提供资金:特别是福特和麦克阿瑟基金会,但其他人也一样。

我们这个领域的这个问题与公共利益法领域有着有趣的相似之处。在20世纪60年代,没有公共利益法。这个领域是故意创造的,由福特基金会等组织资助。他们资助了大学的法律援助诊所,让学生们学习住房,歧视,或移民法。他们资助了ACLU和NAACP等组织的奖学金。他们创造了一个重视公共利益法的世界,大型律师事务所的所有合伙人都应该做一些公益工作。今天,当美国公民自由联盟(ACLU)为一名员工律师做广告时,支付三分之一到十分之一的正常工资,它有数百名申请者。今天,20%的哈佛法学院毕业生进入公共利益法,学校也有寻魂研讨会,因为这个比例很低。与此同时,计算机科学专业毕业生从事公益性工作的比例基本为零。

这比计算机安全更重要。现在科技以一种不同于几十年前的方式渗透到社会中,政府行动太慢,没有考虑到这一点。这意味着现在的技术人员与他们没有传统联系的所有领域都有联系:气候变化,食品安全、未来的工作,公共卫生、生物工程。

更一般地说,技术人员需要了解他们工作的政策后果。硅谷普遍存在这样一个神话:技术在政治上是中立的。不是,我希望今天读这篇文章的大多数人都知道这一点。我们构建了这样一个世界:程序员觉得他们有一种与生俱来的权利,可以按照他们认为合适的方式编写代码。我们被允许这样做是因为,直到最近,它并不重要。现在,太多的问题是在一个不受管制的资本主义环境中决定的,在这种环境中,往往不考虑重大的社会成本。

这就是社会核心问题所在。20世纪的政治问题是:“什么应该由国家治理,市场应该控制什么?”这就决定了东西方的区别,以及国家内部政党之间的差异。21世纪上半叶决定性的政治问题是:“我们的生活中有多少应该由技术控制,在什么条件下?”在上个世纪,经济学家推动公共政策。在本世纪,这将是技术专家。

未来的发展速度快于我们当前的一套政策工具所能应付的。解决这一问题的唯一方法是在技术人员的帮助下开发一套新的策略工具。全面做好社会公益工作,从提供政策信息到创建工具,所有这些都在构建未来。全世界都需要我们的帮助。

这篇文章之前发表在2019年1月/ 2月的《科学》杂志上IEEE安全与隐私.我维护一个公共利益技术资源页面在这里.


保护自己免受身份盗窃

(2019.05.06)我没有什么好消息告诉你。事实上,我们无能为力保护我们的数据不被网络罪犯和其他人窃取。

十年前,我本可以给你各种关于加密的建议,不通过电子邮件发送信息,保护您的网络连接,还有很多其他的事情——但大部分都不再重要了。今天,你的敏感数据被他人控制你个人也不能做任何事情来影响它的安全。

我可以给你一些建议,比如不要住酒店(万豪酒店违约事件),没有得到政府许可(人事管理办公室黑客)。不要在线存储照片(Apple Break等)。不要使用电子邮件(很多,许多不同的违规行为)除了与任何人保持匿名的现金关系之外,Ever(Equifax违规)。但这对于任何想在21世纪过正常生活的人来说都是荒谬的建议。

事实是你的敏感数据可能已经被偷了,很多次了。网络罪犯有你的信用卡信息。他们有你的社会保险号码和你母亲的婚前姓。他们有你的地址和电话号码。他们获取这些数据的方式,是对你委托的数百家公司中的任何一家进行黑客攻击,而你对这些公司的安全做法一无所知,当他们丢失你的数据时也没有追索权。

鉴于此,您最好的选择是将您的努力转向确保您的数据不会被用来反对您。尽可能对所有重要帐户启用双因素身份验证。不要为任何重要的事情重复使用密码——并且让密码管理器记住所有的密码。

尽最大努力禁用“秘密问题”以及公司在您忘记密码时使用的其他备份身份验证机制——这些机制总是不安全的。注意你的信用报告和银行账户中的可疑活动。与各大信贷局建立信贷冻结机制。小心你从那些声称是你生意往来公司的人那里收到的电子邮件和电话。

当然,你不太可能做很多这样的事情。几乎没有人这样做。那是因为它既烦人又不方便。这就是现实,不过。与您做生意的公司没有真正的动机来保护您的数据。你保护自己的最好方法就是改变这种动机,这意味着鼓动政府监督这个空间。这包括禁止条例,更灵活的安全标准,债务,认证,许可,和有意义的标记。一旦发生这种情况,市场将介入并为公司提供他们可以用来保护您的数据的技术。

这篇文章以前发表在罗切斯特评论,作为校友论坛的一部分,有人问:“你如何最好地保护自己免受身份盗窃?”


第一次对网络攻击进行物理报复

(2019.05.06)以色列有承认的最近对哈马斯的空袭是对网络攻击的实时反应。从推特

获准释放:我们挫败了哈马斯对以色列目标的网络攻击。继我们成功的网络防御行动之后,我们的目标是哈马斯网络特工工作的大楼。

已删除hamascyberhq.exe。图.twitter.com/ahgkjioqs7

--以色列国防军(@IDF)5月5日,二千零一十九

我希望这种事情发生得更多,而不是针对主要国家,但大国家反对小国家。否则,网络攻击就太像一个民族国家的均衡器了。

另一文章.

编辑添加(5/7):评论.


锁定计算机

(2019.05.07)这个短视频解释了为什么在20世纪80年代末和90年代初计算机经常带有物理锁。

视频中唯一没有提到的就是RAM盗窃。当公羊很贵的时候,偷东西是个问题。


恶意的MS Office宏创建器

[2019.05.08]邪恶的骗局是一个创建恶意Microsoft Office宏的工具:

AT亚洲黑帽我们释放了邪恶的clippy,帮助红队和安全测试人员创建恶意MS Office文档的工具。在别人,邪恶的clippy可以隐藏vba宏,停止VBA代码(通过P代码)并混淆常用的宏分析工具。它在Linux上运行,OSX和Windows。

VBA跺脚是最强大的功能,因为它绕过了杀毒程序:

VBA践踏没有正式文档记录的特性:每个模块流中没有文档记录的PerformanceCache部分包含用于VBA引擎的编译伪代码(p-code)。如果项目流中指定的MS Office版本与宿主程序(Word或Excel)的MS Office版本匹配,则忽略模块流中的VBA源代码,而执行P代码。

总之:如果我们知道目标系统的MS Office版本(例如Office 2016,32位)我们可以用假代码替换恶意的VBA源代码,而恶意代码仍将通过p-code执行。与此同时,任何分析VBA源代码的工具(如杀毒软件)都完全被愚弄了。


泄露的国家安全局黑客工具

[2019.05.08]2016,一个自称为阴影经纪人发布了2013年国家安全局黑客工具和相关文件。大多数人认为这是俄罗斯政府的前线。因为,然后,政府和罪犯都利用了这些弱点和工具,并严重质疑国家安全局保护自己网络武器的能力。

现在我们有学问的中国人在影子经纪人释放这些工具前14个月就使用了这些工具。

这是否意味着中国和俄罗斯都偷了同样的国家安全局工具?是俄国人从中国人那里偷来的吗?是谁从我们这里偷走的?它是以另一种方式工作的吗?我想没有人知道。但这无疑表明,美国国家安全局(NSA)或美国网络司令部(US Cyber Command)这样做是多么危险囤积零日漏洞.


亚马逊正在输掉这场打击欺诈卖家的战争

[2019.05.09]优秀的文章关于亚马逊的欺诈卖家策略。

对于美国亚马逊卖家来说,最著名的黑帽公司提供了操纵亚马逊排名系统来促销产品的方法,保护客户免受纪律处分,粉碎竞争对手。有时,这些黑帽公司贿赂亚马逊公司的员工,从公司的wiki页面和商业报告中泄露信息,然后再以高价转售给市场卖家。一家黑帽公司每月收费高达10000美元,以帮助亚马逊卖家在产品搜索结果中名列前茅。其他推销卖家产品的策略包括从产品页面上删除负面评论,利用亚马逊网站上的技术漏洞提升产品的整体销售排名。

[…]

AmzPandora的服务范围从小任务到更有野心的策略,利用亚马逊的算法对产品进行排名。当它在网上的时候,该公司提出以500美元的价格与亚马逊的内部联系人联系,以获取有关卖家账户被冻结的原因的信息,以及如何上诉的建议。为300美元,该公司承诺在3至7天内删除对上市公司的负面评论,具体数量不详。这将有助于提高产品的整体星级。1.50美元,该公司提供了一项服务,通过编写一个超级URL来欺骗算法,使其相信某个产品已经被添加到购物者的购物车或愿望清单中。1200美元,亚马逊卖家可以购买“经常一起购买”在另一个市场的产品页面上出现两周,AmzPandora承诺这将带来10%的销售增长。

这个这是去年的一篇好文章。(我的博客帖子

亚马逊有一个真正的问题,主要是因为对系统的信任对亚马逊的成功至关重要。尽管他们需要打击欺诈性卖家,他们真的不想写这样的文章。

Slashdot线.波音波音帖子.


另一名国家安全局泄密者被确认并受到指控

[2019.05.09]2015,这个拦截开始出版”无人机文件,"根据一个不知名的告密者泄露的机密文件。今天,在国家安全局工作的人,然后在国家地理空间情报局,是被指控犯罪.目前尚不清楚他最初的身份。可能是这样的:“在中情局,检察官说,先生。黑尔用他的绝密电脑打印了36份文件。”

这篇文章谈到了他被确认和搜查后收集的证据:

根据起诉书,2014年8月,先生。黑尔的手机通讯录里有记者的信息,他有两个u盘。一个拇指驱动器包含一个标记为“机密”的页面从一份机密文件中,黑尔出版于2014年2月。检察官说。黑尔曾试图从U盘中删除文档。

另一个拇指驱动器包含Tor软件和tail操作系统,记者在网上的新闻机构推荐了哪些在其网站上发表的文章关于如何匿名泄露文件。


分析了一对俄罗斯加密算法

[2019.05.10]一对俄罗斯设计的密码算法——kuznyechik块密码和streebog散列函数——具有相同的特性。瑕疵的S盒这几乎肯定是一个有意的后门.这不是你偶然犯的那种错误,不在2014。


反向工程一个中国的监控应用程序

[2019.05.13]人权观察反向工程中国警方用来对新疆突厥穆斯林进行大规模监视的应用程序。细节很吸引人,令人寒心。

波音波音帖子.


密码分析的SIMON-32/64

[2019.05.14]奇怪的纸张贴在密码学eprint存档上(工作链接通过回程机器)。声称对国家安全局的袭击设计了密码西蒙。你可以读一些关于它的评论在这里.基本上,作者声称这次攻击具有毁灭性,他们只会发表一份零知识的攻击证据。但他们没有。他们也没有发表任何其他感兴趣的东西,据我所知。

该文件已从EPRINT档案中删除,这似乎是对某人的正确决定。


即将到来的演讲

[2019.05.14]这是我预定演讲的地点和时间的当前列表:

该列表保持不变这个页面.


自1998以来,Crypto-Gram是免费的每月通讯,提供摘要,必威体育官方分析,洞察力,以及对安全技术的评论。订阅,或者读回问题,看到加密程序网页.

你也可以在我的博客上阅读这些文章,betway88必威官网备用.

请随意转发密码图,全部或部分,同事和朋友会发现它的价值。还允许重印密码图,只要全部再版。

Bruce Schneier是国际知名的安全技术专家,被称为安全专家经济学家.他是十几本书的作者——包括他的最新著作,点击这里杀死所有人——以及数百篇文章,论文,以及学术论文。必威体育官方他的通讯和博客有超过25万人阅读。必威体育官方施耐尔是哈佛大学伯克曼克莱恩互联网与社会中心的研究员;哈佛大学肯尼迪学院公共政策讲师;电子前沿基金会的董事会成员,AccessNow以及Tor项目;以及epic and verifiedvoting.org的顾问委员会成员。他还是IBM安全部门的特别顾问。

Cryptogram是一份个人通讯。必威体育官方所表达的意见不一定是IBM或IBM Security的意见。

版权所有©2019 Bruce Schneier。

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。

Schneier on Security是一个个人网站。betway88必威官网备用表达的意见不一定是IBM弹性.