Crypto-Gram

6月15日,2019

由Bruce Schneier
首席技术官,IBM有弹性
schneier@schneier.com
网址://www.vbispy.com

提供总结的免费每月通讯,必威体育官方分析,的见解,以及关于安全性的评论:计算机等。

对于后台问题,或者订阅,参观Crypto-Gram的web页面.

这些相同的文章和新闻项目出现在betway88必威官网备用博客,以及一个生动和聪明的评论部分。RSS提要是可用的。


在这个问题上:

  1. 国际间谍博物馆重新开放
  2. WhatsApp脆弱性固定
  3. 英特尔芯片的另一个缺陷
  4. 对计算机自动更新系统的更多攻击
  5. 为什么密码学者被拒绝进入美国?
  6. “数据返回”的概念
  7. 技术和政治如何改变间谍活动
  8. 指纹iPhone
  9. 访问国家安全局
  10. 感谢格里凯特:思科的一个严重漏洞
  11. 德国SG-41加密机将被拍卖
  12. 德国谈论禁止端到端加密
  13. NSA夏威夷
  14. 第一美国金融公司数据记录泄漏
  15. Alex Stamos谈内容审核和安全性
  16. 欺骗性的学术论文必威体育官方
  17. 网络攻击的人力成本
  18. 保护网络安全告密者的重要性
  19. 网络犯罪的代价
  20. 争取国会竞选的经验教训
  21. 中国军方希望开发定制的操作系统
  22. 安全与人类行为(SHB)2019
  23. iOS记录警察的快捷方式
  24. 雇佣骗局
  25. 信息安全经济学研讨会
  26. 石剪刀机器人
  27. 潜器行业报告
  28. 计算机视频监控
  29. 计算机和视频监控
  30. 即将到来的演讲活动

国际间谍博物馆重新开放

(2019.05.15)这个国际间谍博物馆重新打开在华盛顿,直流。


WhatsApp脆弱性固定

(2019.05.15)WhatsApp固定一个毁灭性的脆弱性这使得有人可以通过发起一个whatsApp语音呼叫来远程窃听电话。收件人甚至不需要接听电话。

以色列网络武器制造商NSO集团据信是这次开采的幕后黑手但当然没有确凿的证据。

如果你使用whatsApp,立即更新您的应用程序。


英特尔芯片的另一个缺陷

[2019年5月16日]记住幽灵和毁灭攻击从去年开始?它们是针对复杂CPU的一类新攻击,在优化技术中寻找潜意识通道,让黑客窃取信息。自从他们发现后,研究人员发现其他类似的漏洞.

更多的人只是发现.

我认为我们还没有结束。一年半前,我写道:“但更多的人即将到来,而且会更糟。2018年将是微处理器易受攻击的一年,这将是一段疯狂的旅程。”我想还会有更多的。

编辑添加(6/13):A数学分析我们要解决的问题从不完全修复这类问题。


对计算机自动更新系统的更多攻击

[2019年5月16日]上个月,卡巴斯基发现华硕的实时更新系统是感染恶意软件,一个叫做Shadowhammer的行动。现在我们知道还有六家公司有针对性的在同一个操作中。

正如我们之前提到的,华硕不是唯一一家被攻击者使用的公司。这种情况下,研究我们的专家发现了其他使用类似算法的样本。就像华硕的情况一样,这些样本使用了来自其他三个亚洲供应商的数字签名二进制文件:

  • 电子极限,僵尸生存游戏的作者称感染:幸存者的故事,
  • 创新极端分子,一家提供网络和IT基础设施服务但也用于游戏开发的公司,
  • 泽佩托,开发电子游戏的韩国公司点空白.

据我们的研究人员称,攻击者要么可以访问受害者项目的源代码,要么在项目编译时注入恶意软件,这意味着他们在这些公司的网络中。这让我们想起了一年前我们报告的一次袭击:CCleaner事件.

也,我们的专家确定了另外三名受害者:另一家视频游戏公司,一家联合控股公司和一家制药公司,都在韩国。目前我们不能透露更多关于这些受害者的细节,因为我们正在向他们通报这次袭击。

我在供应链安全.

编辑添加(6/12):卡巴斯基扩展报告.


为什么密码学者被拒绝进入美国?

[2019年5月17日]三月份,阿迪·沙米尔——这就是“S”在RSA中--否认一个美国签证参加RSA会议。他是以色列人。

这个月,由于签证问题,英国公民罗斯·安德森无法参加在华盛顿举行的颁奖典礼。)你可以听他的录音接收讲话我听说另外两位著名的密码学家也在同一艘船上。有密码学家黑名单吗?还有别的事吗?我们很多人都想知道。


“数据返回”的概念

【2019.05.20】Noam Kolt的这篇法律评论文章,标题为“返回数据”,提出了一种有趣的新的隐私法思考方式。

摘要:消费者经常向技术公司提供个人数据,以换取服务。然而,效用(U)消费者获得的数据和他们提供的数据(D)之间的关系——“数据回报”(罗德)——大部分仍未开发。用比值表示,棒= U / D。虽然立法者强烈主张保护消费者隐私,他们往往忽视了罗德。是消费者享受服务的好处吗?比如社交网络和预测性搜索,与从中提取的数据的价值相称吗?消费者如何比较服务交易的竞争数据?目前,规范这些交易的法律框架,包括隐私法,主要目的是保护个人数据。他们将数据保护视为一个独立的问题,必威官方最新下载不同于消费者获得的利益。这篇文章建议,隐私问题不应该孤立地看待,但作为棒的一部分。正如公司可以量化投资回报率(ROI)以优化投资决策一样,消费者应该能够评估rod,以便更好地消费和投资个人数据。让“数据换服务”交易更加透明,将使消费者能够评估这些交易的价值,协商他们的条款,做出更明智的决定。从隐私模式转向Rod,既能激励数据驱动服务提供商向消费者提供更高的Rod,以及为新的市场进入者创造机会。


技术和政治如何改变间谍活动

[2019年5月21日]有趣的文章关于传统的以国家为基础的间谍活动正在发生怎样的变化。基本上,互联网使撰写好的封面故事变得越来越困难;手机和其他电子监控技术使跟踪人们变得更容易;机器学习将使这一切自动化。同时,西方国家有新的法律和规范,使它们比其他国家处于劣势。最后,这其中大部分都是企业化的。


指纹iPhone

[2019年5月22日]这个聪明的攻击允许某人在你访问网站时唯一地识别手机,根据加速度计的数据,陀螺仪,和磁强计传感器。

我们开发了一种新型的指纹识别攻击,校准指纹攻击。我们的攻击使用从加速度计收集的数据,智能手机中的陀螺仪和磁强计传感器可以构建全球独一无二的指纹。总的来说,我们的攻击具有以下优势:

  • 攻击可以通过您访问的任何网站或您在易受攻击的设备上使用的任何应用程序发起,无需您明确确认或同意。
  • 攻击需要不到一秒钟的时间来生成指纹。
  • 这种攻击可以为iOS设备生成全球唯一的指纹。
  • 校准指纹从未改变,即使在工厂重置之后。
  • 当你浏览网页并在手机上的应用程序之间移动时,这种攻击提供了一种有效的方法来跟踪你。

*在我们披露之后,苹果已经在iOS 12.2中修复了这个漏洞。

研究.


访问国家安全局

[2019年5月22日]昨天,我去了国家安全局。今天是网络司令部的生日,但这不是我去的原因。我是作为Berklett网络安全项目的一部分访问的,走出伯克曼克莱因中心,由休利特基金会资助。(伯克曼·休利特——明白了吗?我们有一个网页,但它已经过时了。)

这是一整天的会议,除了查塔姆家族的规定外,其他都是未分类的。消息。纳卡森欢迎我们,一开始就提问。多位高级官员就各种议题与我们进行了交谈,但主要集中在三个方面:

  • 俄罗斯影响行动,国家安全局和美国网络司令部在2018年选举中的所作所为,以及他们未来的所作所为;
  • 中国以及不受信任的计算机硬件对关键基础设施的威胁,无论是5G网络还是更广泛的网络;
  • 机器学习,如何确保ML系统符合所有法律,以及ML如何帮助完成其他遵从性任务。

一切都很有趣。前两个主题是我正在思考和写作的,很高兴听到他们的观点。我发现我在网络安全问题上比在隐私问题上与国家安全局更紧密地联系在一起,这使得会议比我们讨论《金融情报机构修正法案》第702条时要轻松得多,第215节美国自由法更新明年)或者任何违反宪法第四修正案的行为。我不认为我们通过了这些问题,但他们弥补了我工作的不足。


感谢格里凯特:思科的一个严重漏洞

(2019.05.23)总结

Thangrycat是由思科信任锚模块的一系列硬件设计缺陷引起的。2013年首次商业化引进,Cisco Trust Anchor Module(TAM)是一种专用的硬件安全模块,广泛用于Cisco产品。包括企业路由器,交换机和防火墙。TAm是信任的基础,它支持思科在这些设备中的所有其他安全和可信的计算机制。thangrycat允许攻击者通过fpga位流修改对信任锚模块进行持久修改,因此,破坏了安全引导过程,并在其根源上使Cisco的信任链失效。虽然缺陷是基于硬件的,感谢grycat可以远程使用,不需要任何物理访问。由于缺陷存在于硬件设计中,任何软件安全补丁都不太可能完全解决基本的安全漏洞。

从一个新闻文章

打黑猫可怕有两个原因。第一,如果黑客利用这个弱点,他们可以对你的路由器做任何他们想做的事情。第二个,攻击可以远程发生,这是一个软件漏洞。但是,修复只能应用于硬件级别。像,物理路由器。亲自参加。耶西。

也就是说,Thrangrycat只有在您对该设备具有管理访问权限时才能工作。你需要两步攻击才能让Thrangrycat工作。攻击#1让您远程管理访问,攻击2号是画眉猫。攻击2没有攻击不可能发生1。Cisco可以通过发送软件更新来保护您免受攻击。如果你的技术人们已经很好地保护了您的系统,并且一直在应用更新和补丁,您不是国家行为体的常规目标,你相对安全,不会受到一号攻击因此,很安全,不会被毒打。

不幸的是,攻击1是一个花园类型的漏洞。许多系统甚至没有正确配置管理访问。有机会利用鞭打黑猫。

以及来自波音波音

Thangrycat依赖于攻击者能够以系统管理员的身份运行进程,还有红气球,披露该漏洞的安全公司还发现了一个允许攻击者以管理员身份运行代码的缺陷。

人们很容易忽略对可信计算模块的攻击,认为这是一种胡闹式的繁荣:毕竟,一旦攻击者在您的系统上有了根,一切都不可能了。但可信计算的前景是,计算机将能够检测并撤销这种妥协,通过使用一个单独的,独立计算机调查和报告主系统的状态(黄和斯诺登称之为一个内省引擎)一旦这个系统被破坏,它可以被强制提供关于系统状态的错误报告:例如,它可能会报告说,它的操作系统已经成功更新,以便在更新被丢弃时修补漏洞。

扮演Charlie Warzel和Sarah Jeong在纽约时报上讨论,这是一种可以远程执行的攻击,但只有在受影响的系统存在的情况下(并且只有在经过非常仔细的检查之后,而且,除了替换系统或至少是受损的组件之外,可能仍然没有别的办法来解决这个问题)。


德国SG-41加密机将被拍卖

(2019.05.23)一家德国拍卖行销售SG-41。看起来美丽的.起价为75000欧元。我猜它的售价将在10万欧元左右。

编辑添加(6/13):它以9.8万欧元售出。


德国谈论禁止端到端加密

[2019年5月24日]明镜周刊报告德国内务部计划要求所有的互联网信息服务都能按需提供纯文本信息,基本上禁止强端到端加密。任何不遵守的人都将被阻止,虽然文章没有说怎么做。(科里·多克托罗先前解释过为什么这是不可能的。)

这篇文章是用德语写的,我希望能从能说这种语言的人那里得到更多的信息。

编辑添加(6/2):斜线点线程.这似乎只不过是政治上的哗众取宠:看这篇文章来自卡内基国际和平基金会。


NSA夏威夷

[2019年5月24日]最近,我听爱德华·斯诺登说他在夏威夷的国家安全局工作时“在菠萝地里”。哥伦比亚广播公司最近的新闻跑一段在瓦胡岛的国家安全局监听站。

实际信息不多。“我们在办公楼,在菠萝田里,在瓦胡岛....”它的一部分在地下——我们看到一条隧道。我们没有看到任何菠萝,尽管如此。


第一美国金融公司数据记录泄漏

[2019年5月28日]安全问题是报告房地产产权保险公司First American Financial Corp.的大量数据泄露。

“产权保险机构从买卖双方收集各种文件,包括社保号,驾驶执照,财务报表,如果你是一个小公司,甚至内部的公司文件。你给他们各种各样的私人信息,你希望他们保持秘密。”

Shoval分享了First American最近一次交易给他的一个文件链接,它引用了一个9位数长的记录编号,日期为2019年4月。在同一日期和时间之前或之后,通过两个方向的编号修改其链接中的文档编号,生成其他人的记录,表明文件编号可能是按顺序发布的。

网站上最早的文件编号——000000075——引用了2003年的房地产交易。从那里,随着记录号的每次向前增加,文档上的日期越来越接近实时。

这不是一个不常见的漏洞:没有安全性的文档,只是“受保护”通过一个唯一的序列号,结果很容易猜测。

克雷布斯没有证据表明有人收集了所有这些数据,但这不是重点。该公司在一份声明中说:“起初,美国,安全性,隐私和保密是最优先考虑的问题,我们致力于保护客户的信息。”这显然不是真的;对于公司来说,安全和隐私可能是非常低的优先级。这是基本的东西,像第一美国公司这样的公司。应该为他们糟糕的安全措施负责。


Alex Stamos谈内容审核和安全性

bet way官网 非常有趣的说话前Facebook首席信息官亚历克斯•斯塔莫斯(Alex Stamos)就社交媒体平台内容适度所固有的问题发表了看法。值得一看。


欺骗性的学术论文必威体育官方

[2019年5月30日]“假新闻”一词失去了很多意义,但它描述了一个真实而危险的互联网趋势。因为很多人很难区分真实的新闻网站和欺诈的新闻网站,他们会被假装真实的虚构新闻故事所欺骗。结果是,在其他方面讲道理的人相信谎言。

助长假新闻的趋势更为普遍,尽管如此,我们需要开始思考它如何影响我们生活的不同领域。特别地,我担心它将如何影响学术界。除了假新闻,我担心假调查。

最近在密码学领域似乎出现了这样一个例子。西蒙是由国家安全局(NSA)设计并于2013年公开的分组密码。它是为硬件实现而优化的一般设计,具有多种块大小和键长。从那时起,学术密码分析家一直试图破解密码,有一些漂亮的结果,尽管国家安全局规定的参数仍然对攻击免疫。上周,一个出现在国际密码研究协会(IACR)的EPRINT档案上,旨在证明西蒙的突破更加有效,一个会影响实际实现的。这篇论文很奇怪,作者完全不知道,攻击的细节也完全不知道,编辑们几天后就把它撤了下来。最后没有伤害。

近年来,推动了研究成果传播的进程。而不是费力的学术出版过程,研究人员转向了更快的在线出版流程,预打印服务器,发布研究结果。IACR ePrint归档就是其中一种选择。这有各种好处,但其中一个受害者是同行评审的过程。尽管这个过程有缺陷,它确实有助于确保结果的准确性。(当然,坏纸仍然可以通过这个过程。我们仍在处理有缺陷的后果,现在收回,《柳叶刀》的论文将疫苗与自闭症联系起来。)

就像新闻业一样,学术出版受到滥用。我们只能推测在西蒙论文中被列为作者的三个人的动机,但是你可以很容易地想象更好的执行和更邪恶的场景。在竞争激烈的研究领域,一个小组可能会发布一个虚假的结果,让其他研究人员偏离轨道。它可能是一家试图获得对潜在竞争对手的优势的公司,甚至是一个试图获得比另一个国家优势的国家。

回到一个更慢、更准确的系统并不是答案;世界正以太快的速度前进。我们需要认识到,虚构的研究成果现在可以很容易地注入我们的学术出版系统,并相应地调整我们的怀疑论计量器。

这篇文章之前出现在lawfare.com上。


网络攻击的人力成本

(2019.05.31)红十字国际委员会刚刚发表了一份报告:网络运营的潜在人力成本."这是“红十字国际委员会专家会议”的结果从去年开始,但在本周出版。

这是一个短博客帖子如果你不想读整本书的话。和评论作者之一。


保护网络安全告密者的重要性

(2019.06.03)有趣的散文认为我们需要更好的立法来保护网络安全告密者。

国会应该采取行动保护网络安全告密者,因为信息安全从未如此重要,或者说具有挑战性。在一连串令人震惊的数据泄露事件和公司错误处理客户数据之后,两党已达成共识,支持立法赋予消费者更多对个人信息的控制权,要求公司披露他们如何收集和使用消费者数据,并对数据泄露和滥用消费者数据进行处罚。联邦贸易委员会(FTC)被认为是执行这项新法规的最佳机构。但要使任何此类立法有效,它必须保护那些勇敢的告密者,他们冒着职业生涯的危险,揭露数据泄露和未经授权使用消费者的私人数据。

举报者加强监管制度,网络安全监管也不例外。来自行政和立法部门的共和党和民主党领导人称赞告密者的优点。引人注目的案例比比皆是。最近,克里斯托弗·威利揭露了剑桥分析公司滥用Facebook用户数据来操纵选民,包括它明显窃取了5000万Facebook用户的数据,这是心理分析活动的一部分。虽然还需要进一步的研究,现有的经验数据加强了一种共识,即告密者有助于防止,检测,以及纠正不当行为。因此,有理由得出这样的结论:保护和激励告密者可以帮助政府解决我国信息系统面临的许多复杂挑战。


网络犯罪的代价

[2019年6月4日]非常有趣的计算全球网络犯罪的成本:

摘要:2012年,我们首次对网络犯罪成本进行了系统研究。在本文中,我们报告了七年来的变化。这一时期经历了主要的平台演变,手机取代了个人电脑和笔记本电脑作为消费终端的选择,随着Android取代Windows,随着许多服务转向云计算。社交网络的使用已经变得非常广泛。执行概要指出,大约一半的财产犯罪,按体积和价值,现在在线。我们在2012年假设情况可能是这样的;它现在是由多个受害研究建立的。许多网络犯罪模式似乎相当稳定,但也有一些有趣的变化。支付欺诈,例如,价值增加了一倍多,但与支付价值的比例略有下降;支付系统变得越来越大,而且效率略高。有几起新的网络犯罪值得注意,包括商业邮件泄露和涉及加密货币的犯罪。移动到云端意味着系统配置错误现在可能与网络钓鱼一样多地导致漏洞。一些公司由于国家行为体发布的拒绝服务蠕虫而遭受了巨大损失,如NotPetya;我们必须考虑他们是否被算作网络犯罪。支持网络犯罪的基础设施,如僵尸网络,继续进化,此外,一些特定的犯罪,比如高价手机诈骗,也演变出了一些有趣的变种。总体情况与2012年相同:从技术上讲,传统犯罪现在是“计算机犯罪”,比如税务和福利欺诈,普通公民每年要花费几百欧元/美元;付款欺诈及类似罪行,电脑完全改变了操作方式,以十为单位的成本;而新的电脑犯罪花费了几十美分。防范后两种犯罪的平台花费了公民数十美元。我们的结论与2012年大致相同:减少对网络犯罪的预期(在抗病毒药物方面,防火墙、等等),还有更多关于响应的内容。我们尤其不擅长起诉那些运营着其他不法分子利用的基础设施的罪犯。鉴于决策者越来越认识到过去十年犯罪率没有下降,仅仅是上网,我们可能合理地希望得到更好的资金和协调的执法行动。

理查德克莱顿昨天在魏斯做了一个演讲。他的最后一张幻灯片包含了一个概要。

  • 支付欺诈上升,但是信用卡的销售额上升了更多——所以我们赢了。
  • 加密货币正在催生新的骗局,但在更传统的投资欺诈中,巨额资金仍在流失。
  • 电信诈骗减少,基本上是因为Skype是免费的。
  • 反病毒欺诈几乎消失了,但技术支持诈骗正在迅速增长。
  • 大钱还在骗税,福利欺诈,增值税欺诈,等等。
  • 我们花在网络防御上的钱比花在实际损失上的钱还多。
  • 罪犯大都逍遥法外。他们不相信自己会被抓,基本上是正确的。

底线:自2012年以来,技术发生了很大变化,但经济方面的考虑仍未改变。


争取国会竞选的经验教训

[2019年6月5日]非常有趣的来自Maciej Ceg_owski的第一手经验。


中国军方希望开发定制的操作系统

[2019年6月6日]以安全问题为例,中国军方想用自己的窗户来代替窗户。自定义操作系统

多亏了斯诺登影子经纪人,7号地窖漏水,北京官员很清楚美国拥有大量的黑客工具,适用于从智能电视到Linux服务器的任何产品,从路由器到普通的桌面操作系统,比如Windows和Mac。

由于这些泄密事件表明美国几乎可以入侵任何东西,中国政府的计划是采用“隐蔽性安全”接近并运行一个定制的操作系统,这将使外国威胁行动者(主要是美国)更难监视中国的军事行动。

目前还不清楚这个新操作系统将如何定制。它可能是Linux的变体,像北韩红星OS.或者它可能是全新的。通常,我非常怀疑一个国家是否能够编写和部署自己的定制操作系统,但中国是为数不多的几个有能力做到这一点的大国之一。所以我只是有点怀疑。

编辑添加(6/12):俄罗斯也希望开发它自己的Linux风格。


安全与人类行为(SHB)2019

[2019年6月6日]今天是十二日的第二天安全与人类行为研讨会,我在哈佛大学主持。

SHB很小,每年,邀请人们参加研讨会,研究安全的人性方面的各个方面,每年由亚历山德罗·阿奎斯蒂组织,罗斯·安德森,和我自己。房间里大约有50个人包括心理学家,经济学家,计算机安全研究人员,社会学家、政治科学家,犯罪学家,神经科学家,设计师,律师,哲学家,人类学家,商学院教授,还有一些其他的。这不仅仅是一个跨学科的活动;这里的大多数人都是跨学科的。

目标是最大限度地讨论和互动。我们把每个人都放在面板上,把谈话时间限制在7-10分钟。剩下的时间留给大家讨论。两天内每天四个半小时的面板相当于八个面板;每组6个人意味着48个人有机会发言。我们还有午餐,晚餐,还有招待会——所有的设计都是为了让不同学科的人互相交流。

我总是发现这是我职业生涯中最能激发智力的两天。它在很多方面影响着我的思想,有时令人惊讶,方法。

今年的计划是在这里.本页列出参与者,并包含指向他们某些工作的链接。就像他每年做的一样,罗斯·安德森是在博客上直播会谈——远程因为他是拒绝签证今年早些时候。

这是我的帖子第一,第二,第三,第四,第五,第六,第七,第八,第九,第十,和第十一SHB研讨会。按照这些链接找到摘要,论文,偶尔也会录制各种讲习班的录音。罗斯也维护了一个很好的网页心理学与安全资源.


iOS记录警察的快捷方式

[2019年6月7日]嘿,Siri;我要靠边停车了”可以是快捷方式:

安装快捷方式后已配置,你只要说,例如,“嘿,Siri,我要停车了。”然后程序暂停您可能正在播放的音乐,调低iPhone的亮度,打开“请勿打扰”模式。

它还会向预先设定的联系人发送一条短信,告诉他们你被拦下了,它开始使用iPhone的前置摄像头进行录制。一旦你停止录音,它可以通过文本或电子邮件将视频发送给不同的预定联系人,并将其保存到Dropbox。


雇佣骗局

[2019年6月10日]有趣的故事一个老式的远程存款诈骗骗局,卷入了一场假的雇佣骗局。

斜线点线程.


信息安全经济学研讨会

(2019.06.11)上周,我主持了第十八届信息安全经济学研讨会在哈佛。罗斯·安德森现场直播了会谈.


石剪刀机器人

(2019.06.12)我怎么会有三年不知道这件事呢?

东京大学的研究人员开发了一个机器人在石头剪刀上总是胜出。它看着人类玩家的手,找出人类将要部署的手指位置,反应迅速,总能获胜。

编辑添加(6/13):似乎更旧--2013年起.


潜器行业报告

[2019年6月13日]公民实验室刚刚发布了优秀的报告关于潜器行业。

波音波音邮递.


计算机视频监控

[2019年6月14日]美国公民自由联盟的杰伊·斯坦利刚刚发表了一篇精彩的报告:机器人监视的曙光”(博客文章在这里)基本上,它展示了由日益复杂的视频分析软件监视的无处不在的摄像机的未来,并讨论了其对社会的潜在危害。

我不会摘录一段,因为你真的需要读整本书。


计算机和视频监控

[2019年6月14日]过去监控摄像头是被动的。也许他们只是录下了,没有人看视频,除非他们需要。也许一个无聊的警卫看了十几个不同的屏幕,扫描一些有趣的东西。无论哪种情况,由于存储费用昂贵,视频只能存储几天。

越来越多的这些都不是真的.在机器学习等人工智能技术的推动下,视频分析的最新发展使计算机能够以人类般的辨别力观看和理解监控视频。识别技术使自动找出视频中的人更容易。最后,相机本身也变得更便宜了,无处不在,和更好的;安装在无人机上的摄像头可以有效地监视整个城市。计算机可以观看所有的视频,而不需要人为的干扰,疲劳,培训,或者需要支付。其结果就是几年前不可能实现的监视级别。

周四公布的美国公民自由联盟报告称机器人监视的曙光”人工智能辅助视频监控“不仅能记录我们,但也会根据他们对我们行为的理解来判断我们,的情绪,肤色,衣服,声音,还有更多。这些自动化的“视频分析”技术可能从根本上改变监控的性质。”

让我们一次一个技术。第一:视频分析。计算机越来越善于识别视频中的内容。检测何时有人或车辆进入禁区很容易。现代系统可以在有人报警时发出警报走错方向了--穿过只有出口的走廊,为例。他们可以数人或数车。他们可以检测行李何时无人看管,或者在以前无人看管的行李被取下时。它们能探测到什么时候有人在闲逛在一个地区,是躺下来,或者是正在运行.越来越多的它们可以探测到人们的特定行为。亚马逊的cashier-less商店依靠视频分析弄清楚什么时候有人从架子上拿起一件东西不放回去。

不仅仅是确定行动,视频分析允许计算机理解视频中发生了什么:它们可以根据用户的喜好标记用户服装或者行为,识别人们的情绪通过肢体语言和行为,找到行为“不寻常”的人基于他们周围的其他人。同样的亚马逊店内摄像头可以分析客户情绪.其他系统可以描述视频场景中发生的情况。

电脑也可以识别人。人工智能在识别这些视频中的人方面做得越来越好。面部识别技术一直在进步,我们给Facebook和其他社交媒体网站上传了大量贴有标签的照片,政府在发放身份证过程中收集的照片驾驶执照.技术已经存在自动识别摄像机“看到”的每个人在真正的时间。即使没有视频识别,我们可以不断地通过独特的信息来识别由智能手机播放我们无处不在,或者通过我们的笔记本电脑或蓝牙连接的设备。警察已经跟踪电话多年来,这种做法现在可以与视频分析相结合。

一旦监控系统识别出人,它们的数据可以与其他数据组合,收集或购买:从手机记录,GPS监测历史,采购数据,等等。像Facebook这样的社交媒体公司花了数年时间通过我们发布的内容来了解我们的个性和信仰,评论,“喜欢”。这是“数据推断”,当与视频结合时,它为人们的行为和动机提供了一个强有力的窗口。

相机的分辨率也在提高。10亿像素的相机非常好捕捉单个人脸并识别许可证位置在几英里外拍摄的照片中。“广域监视”摄像机可以安装在飞机和无人机,并能连续运行。在地上,摄像头可以隐藏在街灯下以及其他常规物体。在太空中,卫星摄像机也有戏剧性地改进的.

数据存储变得非常便宜,云存储让这一切变得如此简单。视频数据可以轻松保存多年,允许计算机进行所有这些时间倒流的监视。

在民主国家,这种监视被宣传为预防犯罪或反恐。在中国这样的国家,它被公然地用来抑制政治活动以及社会控制。在所有情况下,执法机构和他们控制的公共场所的公司在没有大量公开辩论的情况下实施了这项计划。

这很糟糕,因为无处不在的监视将彻底改变我们与社会的关系。我们从未生活过这样的世界,即使是我们这些曾经经历过极权主义政权的人。在许多不同的领域都会感受到这种影响。当监控系统出错时,误报会导致骚扰甚至更糟。歧视将成为自动化的。那些不符合规范的人将被边缘化。最重要的是,无法匿名生活将有一个巨大的冷却效果关于语言和行为,这反过来会阻碍社会的实验和改变能力。一个美国公民自由联盟最近的报告更深入地讨论这些危害。虽然有些监视可能值得权衡,作为一个社会,我们需要谨慎而明智地做出决定。

一些司法管辖区开始注意到这一点。上个月,旧金山成为第一个城市ban人脸识别技术警察和其他政府机构。萨默维尔也在考虑类似的禁令,妈妈,还有奥克兰,CA这些是例外情况,只限于该国较自由的地区。

我们常常认为技术变革是不可避免的,我们无法阻止它,甚至无法控制它。这根本不是真的。我们之所以相信这一点,是因为我们不经常看到它,理解它,或者对部署的方式和时间有发言权。问题是相机技术,决议,机器学习,而人工智能则是复杂而专业的。

像旧金山刚刚通过的法律不会阻止这些技术的发展,但他们并没有这样的打算。它们是作为停顿,所以我们的政策制定可以赶上技术。一般来说,美国政府倾向于忽视正在开发和部署的技术,以免扼杀创新。但是随着技术变化的速度的加快,对我们生活的意外影响也是如此。正如我们对监控资本主义对民主造成的威胁感到惊讶一样,启用人工智能的视频监控也会产生类似的惊人效果。也许我们在这些技术的草率部署上的停顿会让我们有时间讨论我们想要生活在什么样的社会中,然后制定规则来建立这样的社会。

这篇文章之前出现在副主板。


即将到来的演讲活动

[2019年6月14日]这是我预定演讲的地点和时间的当前列表:

列表保存在这个页面.


从1998年开始,Crypto-Gram是免费的每月通讯,提供摘要,必威体育官方分析,的见解,以及对安全技术的评论。订阅,或者读回问题,看见Crypto-Gram的web页面.

你也可以在我的博客上阅读这些文章,betway88必威官网备用.

请随时转发加密程序,全部或部分,给同事和朋友,他们会发现它很有价值。也允许重新打印加密程序,只要全部再版。

Bruce Schneier是国际知名的安全技术专家,他叫了一个安全专家经济学家.他写了十多本书,包括他的最新作品,点击这里杀死所有人--以及数百篇文章,论文,以及学术论文。必威体育官方他的通讯和博客有超过25万人阅读。必威体育官方施耐尔是哈佛大学伯克曼克莱恩互联网与社会中心的研究员;哈佛大学肯尼迪学院公共政策讲师;电子前沿基金会董事会成员,立即访问,以及Tor项目;以及epic and verifiedvoting.org的顾问委员会成员。他还是IBM安全部门的特别顾问。

《密码图》是一份个人通讯。必威体育官方所表达的意见不一定是IBM或IBM Security的意见。

版权所有©2019 Bruce Schneier。

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM的安全.