188滚球网站评论

浮士德1月3日2019上午10:06

女士。Gaperon是另一个不知道如何编码的“专家”?

她声称,持续不断的高级威胁是民族国家行为体。

我一直认为它们是一种基于rootkit的隐秘恶意软件,其设计目的是破坏目标,并通过难以找到和抵抗清理工作而长期存在。

她说他们是人,我说它们是技术。棒球不是棒球运动员。

QnJ1Y2U1月3日2019上午11:46

@Bruce
伊娃加尔佩林,请不是Gaperon。

@Faustus
奥雷利有一本书列出了这一领域的专家:
https://www.oreilly.com/library/view/hacking-the-hacker/9781119396215/

这本书中有这样一个人物:布鲁斯·施奈尔。188滚球网站在那本书中也作了介绍:伊娃·高尔佩林。

是的,她是个专家。

我建议你引用你的性别歧视恐吓语录,在其他地方讨论定义。你应该从维基百科开始,因为他们不分享你的花关于什么是APT。

Humdee1月3日2019年一下午

我之前在这个博客上提到并链接到了@evacide。我喜欢她。在我看来,她是为数不多的在理论和实践之间取得交叉点的网络安全专家之一。太多的网络安全在追逐酷而有趣但不太可能的威胁时陷入困境,讨论抽象的政策,或者深入到这个星球上只有几千人能理解的复杂数学中去。Eva明白网络安全是“我们目前能做的最好的事情”,大多数人的威胁模型中都没有NSA。

克莱夫·罗宾逊1月3日2019年2:59点

@浮士德,

她声称,持续不断的高级威胁是民族国家行为体。

与许多其他定义一样,事物会随着时间和视角的变化而变化。你只要看看“黑客”就可以看到。

当前的“新闻学观点”对“技术专家”来说是错误的,而对SigInt机构或它们的“与武器长度相当的承包商”来说则是正确的,后者给出了“可原谅的否认”。

尽管这种非常有限的观点在历史上和实践上都是错误的,但这正是MSM和一些“技术记者”认为它的意思。

关于,

我一直认为它们是一种基于rootkit的隐秘恶意软件,其设计目的是破坏目标,并通过难以找到和抵抗清理工作而长期存在。

这是一种技术观点,是不同事物的混合体。

APT是任何“长期使用的在运行中隐蔽的恶意软件”。它不需要很难找到或很难删除。区别的关键在于“长期使用”,当时这个词被创造出来是为了对付中国的恶意软件,这种软件被用来收集信息长达数月甚至数年,但并不是为了直接的金钱利益,而这种利益通常是隐蔽的。这将其与犯罪攻击区分开来,犯罪攻击中数据的货币价值往往与时间呈反比关系,这是一种“粉碎和抢夺”式的战术,这种战术在任何方面都不隐蔽。

他们倾向于恶意软件不需要是一个rootkit,事实上,世界在某种程度上已经远离了他们,变得更加隐秘。如今,OS rootkit相对容易找到,而签名代码加载器意味着,对于大多数攻击者来说,还有其他更容易找到的方法。例如,任何可以在代码加载后访问内存的硬件都可以在相对安全的情况下完成它。几十年前,有一些机制可以在OS引导加载程序之前加载驱动程序代码,使其能够在不需要签名的情况下持久化,然后可以拉入恶意软件,这些恶意软件可以在没有OS加载机制看到的情况下加载。如果你想要一个转折点,那是在BadBIOS之后不久,它使得从计算机闪存加载简单的持久设备驱动程序的想法广为人知,联想后来被发现在其消费类笔记本电脑上使用该软件进行持续性恶意软件攻击。

APT恶意软件的持久性同样不是一种要求,它是由对APT有效负载的部署方式的误解造成的。一般来说,攻击者首先会抓住某个脚趾,然后像老鼠一样打开其他的开口。一旦老鼠就位,他们就用它把脚趾固定器变成一种更坚固的东西,如果脚趾固定器被修补或老鼠被发现的话,以后再把它们放进去。老练的攻击者会潜入一个非常低的级别,这样更换硬盘驱动器或其他I/O卡不会影响它。我们从“特德尔·迪伊和特德尔·杜姆”(Tweedle dee and Tweedle dum)的行为中了解到这一点。5年前,他们从英国切尔滕纳姆国家公园(GCHQ Cheltenham)出发,前往伦敦购物,然后前往《卫报》(Guardian)的报社,查看爱德华·斯诺登(Ed Snowden)的文件宝藏。看看在笔记本电脑的主板上做了什么,你可以从卫报发布的照片中学到很多。只有确保重新访问后,才能下载实际的APT恶意软件。因为重新访问已经被评估,所以实际上所有的APT恶意软件都可以在不具备难以删除或难以找到的要求的情况下进行。事实上,足够老练的攻击者会使用其他人的APT恶意软件,这些恶意软件已经被发现并归因于其他实体(我们从某天出现的美国IC“假标志”代码中了解到这一点;-)

但真正老练的APT操作员甚至会偷偷摸摸,这是人们真正需要了解的。多年来,最常用的一般安全原则一直是“仿冒者防御”原则。这是防火墙和AV软件检查入站数据。

APT攻击有两种基本方法,在可以被目标观测到的周长内,以及通常无法观测到的目标上游的第一点。由于各种原因,五只眼睛被“假定”做后一只眼睛,其他眼睛做前一只眼睛。更有可能的是两者兼而有之。

当你在一个目标内部时,perimiter攻击通常会因为各种原因而变得更容易。也就是说,组织往往不会像他们应该的那样严格地锁定用户设备,因为这往往会妨碍生产力,而且补丁等往往会花时间在一些用户设备上,如果有的话…

因此,一个成熟的攻击者将只在一台或两台机器上进行深入持久性攻击,而不会将APT恶意软件有效负载放在这些机器上。然后,他们会将APT恶意软件少量地放到感兴趣的机器上。通过这种方式,他们不仅可以减少APT恶意软件被检测到的可能性,还可以对它是如何进入这些机器的进行虚假跟踪。这也减少了他们的深度重新访问恶意软件将被检测的机会。

由于“承包商”的存在,APT的定义在不久的将来将再次发生变化。情报机构既不是无所不在的,也不是无所不能的。正如许多人所知,国际组织的正常运作是“办案人员”处理目标国家组织中的“间谍”。不太为人所知的是,“黑包工作”通常是由承包商完成的,他们拥有IntOrg所缺乏的专业技能,这就像绕过复杂的报警系统,进入安全区域和容器(保险库和保险柜等)。这样做的好处是,承包商可能既不知道也不关心谁实际雇用了他们,同样的,也不想知道他们为什么要做他们正在做的事情。这给了双方可否认性。

在现代世界,“每个人都怀疑某件事”是主流政治,IC和LEO视图。对于那些有适当技能的人来说,生活更容易的是世界上大部分地区都使用移动通信,尤其是第二和第三世界国家,在那里它可能是普通人唯一的交流选择。

然而,这些国家一般没有具备从事政治工作所需技能的人,IC或LEO机构,在某种程度上,由于警卫工党的“威权主义追随者”问题,部分原因是他们不会以任何方式信任这些人。

俄罗斯,众所周知,中国甚至美国最初利用“罪犯”从事这类工作的原因有很多。然而,拥有足够过剩资源和教育系统的较大国家现在正在把东西引进国内,尽管人们知道在大多数情况下技能水平较低。

第二和第三世界国家一般没有这种选择。但是这些国家通常可以通过工具找到几百万美元,但不是操作它们的技能。

这意味着有一个买方市场,这意味着供应商将建立一个市场,接受以某种形式获得技能的金钱回报。

这意味着我们将看到更多的“承包商”出现来填补市场。

但这样一个市场的一个特点是,它将从“政府”间谍网中成长起来,进入企业谍报圈,再到你给的高端“胶鞋”运营商一点时间。

因此,APT的用法定义将在记者的头脑中再次发生变化,因此,“专业”之外的其他人也将如此。

浮士德1月3日2019年下午4:05

@ QnJ1Y2U

我的理解来自于阅读Hoglunds的“rootkit”。这是一本较老的书,用法似乎已经改变了。换句话说,加尔佩林是对的,我错了。我的歉意。

在发帖之前,我问自己,如果演讲者是男性,我是否会发帖。我答应了。就在昨天,我还在上周五的《乌贼邮报》(squid post)上质疑乔治•戴森(George Dyson)的资历。

我早先坐下来和别人谈论量子治疗之类的事情,我为那些被大众化误导的人感到难过,尽管我没有对这个人说任何东西,因为量子思想已经变得对她有了超越其字面正确性的力量。

如果我不像质疑一个男人那样质疑一个女人,那不是不尊重她维护自己的能力吗?我认识伟大的女性技术专家,包括我的姐姐,我认为他们有能力应付混乱。我想他们不愿意生活在小圈子里。

我为什么要去别的地方?我们一直在讨论定义。我再重复一遍:在这种情况下,您和MS。加尔佩林是对的,我错了。我学到了一些东西。这在我看来是成功的。

@ Humdee和Clive

谢谢你的帮助

浮士德1月3日2019年下午4:28

@ Humdee

“大多数人的威胁模型中没有国家安全局”

这是要记住的一件重要的事情。阅读这个博客会让人绝望,我称之为“安全虚无主义”因为我们基本上不可能防御各种可能的攻击。拯救的恩典是,像我这样的凡人可能不会受到这些攻击中的大部分,因为这些战利品不能证明这种努力是正当的。最强大的攻击是为真正重要的目标保留的。

天气1月3日2019年37点

浮士德
形而上学的基础上,你回答她不能编程…
这不是性别歧视,别再打受害者牌了。
你们俩可能都是一样的,OODA循环向前一步而不是三步

浮士德1月3日2019年下午4点58准时醒来

@天气

什么意思?

我质疑女士。加尔佩林根据她对一个术语的定义,结果我落后于时代了。错了。(为什么没有人承认他们错了?)这与形而上学有什么关系?

在什么意义上我和我的对话者是一样的?现在你是形而上学的了!

如果你想用时髦词汇“Ooda”,请在它周围加上一些语境,以便我能理解你。

浮士德1月3日2019年12点

@ QnJ1Y2U

你知道的,我不认为你是在玩每@天气的受害者牌。想想看,我对加尔佩林和戴森都是个好斗的家伙。我应该得到这个机会。谢谢你!我相信我以后会更加小心的。

亚历克斯·B1月3日2019年下午5:39

@Weather

听起来你是在替加尔佩林打受害者牌…

这是一种无缘无故制造分裂的可悲企图。

天气1月3日2019年12点

亚历克斯·B
不,我没有,就像我假设的一样,

Feustus
你关于Ai的回复,我以为你在做更多的研究。

浮士德1月3日2019年下午6:21

@天气

现在我明白了!有趣的观察!你的解释滴水不漏。

我想我和QnJ1Y2U都不是AIs,但是我对自己更有信心。我不认识他们。我不认识这个句柄QnJ1Y2U。

但读下去……

@瓦伊尔

你隐藏吗?我们还有另一种社会政策选择,这使得5:

捕食者和猎物的替代品
——强迫
——杀死
——监禁

非捕食者/猎物替代品
——原谅
-道歉/撤退-我们的新入口。我认为道歉等于退却,不?


托马斯。1月4日2019年结束前我

如果平台本身的设计很适合的话,这是无济于事的。

没有办法出去。

AJWM公司1月4日2019年下午12:58

@Faustos她说他们是人,我说它们是技术。

技术本身不会创造或部署。我们不是离人工智能还很远。

约翰尼1月4日2019年下午2:08

@克莱夫·罗宾逊

感谢你的这篇非常有见地的文章。只是一个小问题:

当你说“这意味着有一个买家市场,这意味着,供应商将建立一个市场,接受以某种形式获得技能的金钱回报。

我想你的意思是有一个"卖方市场"因为买家很多,随时准备购买,但卖家很少,很难吸引。"买方市场"指的是买方很少,但卖方很多的市场,而且物美价廉。

史蒂夫1月4日2019年29点

@bruce-eva的名字拼错了。还有人指出,但我想增加这可能引起你注意的几率。伊娃·加尔佩林

高尼姆1月4日2019年37点

@浮士德,

你是吗 潜伏是吗?我们还有另一种社会政策选择,这使得5:

总是这样。但我需要从积极参与中解脱出来,同样的,偶尔。我们稍后再继续讨论。

bttb1月6日,今天11点49分2019

@Humdee
谢谢你提到@evacide
一些混杂。最近的链接来自https://www.twitter.com/evacide包括:

《约会经纪人:网络爱情的尸检》
https://ourdataourselves.tacticaltech.org/posts/20-dating-brokers/

通过@marasawr2018年俄罗斯最好的新闻
https://meduza.io/en/feature/2019/01/03/the-very-best-russia-journalism-in-2018(meduza.io)

意见
我们的手机不安全
安全漏洞威胁着我们的隐私和银行账户。那么我们为什么不修复它们呢?
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html

关于Ghost用户和消息后门
https://blog.cryptographyengineering.com/2018/12/17/on-ghost-users-and-messaging-backdoors/

吉姆·利帕德1月7日,2019年十一17点

就我个人而言,直到Mandiant(可能是在2013年APT-1报告之前)普及了“APT”这个词,我才意识到它的存在。

Richard Bejtlich(前Mandiant CSO/FireEye首席安全策略师)在2010年的这篇博文中强调,APT指的是对手,不是对手使用的恶意软件:

https://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html

我似乎还记得用APT来指代恶意软件,至少在营销演示中,此用法的日期后,但我不知道霍格伦德在他(2004)的书中写了什么。他在HBGary的演讲中(https://slideplayer.com/slide/13073541/)说APT是威胁行动者,但也使用了“apt攻击者”和“apt恶意软件”来提高清晰度。

感谢浮士德的纠正。

瑞秋厄尔1月7日,2019年下午1:23

浮士德

你的人工智能项目听起来不像一个“凡人”,只要你不“有趣”。你的IP显然是有价值的,值得保护
据透露,国家安全局非常有兴趣利用其利用经济优势的技能来推进外交政策,只,有时


彩票1月7日,2019年13点

回复:APTS

“高级持久威胁”的使用已经发展,就给定APT的策略而言,技术和程序(TTP)用于假标志操作中的覆盖。

推荐- - - - - -

不管怎么说,更多来自过去的抨击:

Krypt3ia
网络冷战
2010/02/05

在此之前,我曾写道,我觉得APT并不新鲜。事实上,我仍然坚持这一说法。现在这份报告出来了,一些事实逐渐透露出了30多家被“咳嗽”中国盯上的公司,APT和BOOGA BOOGA BOOGA出现在安全剧院的每个人的嘴边和脑海里。


就是这样的剧院!

https://krypt3ia.wordpress.com/2010/02/05/the-cyber-cold-war/

推荐- - - - - -

高级持续性威胁(APT)

我花了几年时间,但是我想到了这个流行词。它突出了特定类型的Internet攻击者的一个重要特征。

https://www.188滚球网站schneier.com/blog/archives/2011/11/advanced\u peris.html

克莱夫·罗宾逊1月7日,2019年8:43点

@ gordo

我在2011年11月看过你的博客。

当时,“行动者-v-方法”作为APT的含义显然存在混淆。

因此,在我看来,我认为我会使用“APT攻击者(s)”和APT方法(s)……事实上,我认为用连字符来表示耦合可能更好。

但我当时关于“高级”和“188滚球网站持久”的模糊性的评论,今天仍然是真的。

提醒你,Brandrich Conner,关于“营销术语”/“借口”的说法是正确的,七年过去了,“中国适合”战争鹰派的说法仍然是正确的。

我想有些事情是不会改变的,但“APT”肯定会这样,因为它会像一条被抓的海怪鱼一样来回猛冲,最终把自己打成结,以逃离它制造和留下的混乱。

浮士德1月8日,2019年7:04 AM

@瑞秋厄尔

谢谢你含蓄的赞美!

你在某种程度上是正确的,但我相信,在国家安全局的“监视”名单上,罪犯、恐怖分子和武装敌人比我高。我的服务器是定制的,从头开始构建。美国国家安全局很难渗透到我的供应链中,我的供应链是由各个商店的“cut out”购买的单个组件组成的。我坐在vpn和不可路由地址的大树下。

现在,如果没有我的指导,我的代码很难很好地使用。但我已经开始组建一个团队。培训他们。他们可能会偷走我的IP,但我并不那么担心。如果能赚些钱就好了,但我更感兴趣的是,能把工作机会带到一个有聪明人但机会很少的地方。我也很高兴看到我的技术被采用,看看它能做什么。它已经用它的奇异逻辑启发了我。

真的,事物往往因试图减少而增加
并因寻求增加而减少"
别人在教学中使用的格言,我也将在我的教学中使用。
求你指给我看那善终而行强暴的人。
我要把他当作我的老师。

-来自陶德清42号公路阿瑟·韦利

留下你的评论188滚球网站

允许的HTML:

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是……的意见IBM有弹性