第2页

设计人权

好文章:在两用技术产业中通过设计促进人权“乔纳森·彭尼,莎拉·麦库恩,Lex Gill和罗纳德J。Deibert:

但企业可以做的远不止这些基本措施。他们可以采用“设计人权”原则,承诺设计工具,技术,以及尊重人权的服务,而不是允许滥用或剥削作为其商业模式的一部分。今天,“设计隐私”概念已经流行起来,部分原因是欧盟通用数据保护条例(GDPR)。这需要它。总体原则是,公司必须以默认的假设设计产品和服务,即他们保护隐私,数据,以及数据主体的信息。类似的人权设计范式,例如,将阻止过滤公司设计具有大规模功能的技术,不分青红皂白,或者固有的不成比例的审查能力——比如允许ISP阻止整个国家顶级域名(TLD)的NetsDreeper功能。DPI设备和系统可以配置为防止操作员在网络流量中注入间谍软件或将用户重定向到恶意代码,而不是方便使用。此外,纳入通信和存储平台设计的算法可以考虑除业务目标外的人权因素。公司也可以加入多利益相关者的努力,如全球网络倡议(GNI)。科技公司(包括谷歌,微软,而雅虎则朝着透明化等原则迈出了第一步,隐私,以及言论自由,以及自我报告要求和独立的合规性评估。

12月26日发布,2018年上午6:27查看评论188滚球网站

闪光炸弹对付包裹窃贼

从无人看管的门廊偷走包裹是一种迅速上升的犯罪,随着我们中更多的人通过邮件订购更多的东西。一个人藏了一个闪光弹还有一个录像机,当小偷打开盒子时公布结果。至少,这就是可能发生的事情。至少有些视频是伪造的,这使整个事情陷入了疑问。

没关系,尽管如此。圣诞老人是假的,也是。快乐不管你在庆祝什么.

12月25日发布,2018年上午6:13查看评论188滚球网站

MD5和SHA-1仍在2018年使用

上周,数字证据科学工作组发表了一份草案文件——”SWGDE对MD5和SHA1哈希算法在数字和多媒体取证中的应用的立场“——如果它接受在数字取证应用中使用MD5和SHA-1:

虽然SWGDE促进供应商和从业者采用sha2和sha3,MD5和SHA1算法仍然适用于数字取证中的完整性验证和文件识别应用。由于MD5和SHA1算法的已知局限性,只有sha2和sha3适用于数字签名和其他安全应用程序。

这在技术上是正确的:针对MD5和SHA-1的密码分析的当前状态允许发生冲突,但不适用于预成像。仍然,不管出于什么目的接受这些算法都是很糟糕的形式。我相信这个团队正在处理遗留应用程序,但我希望它能真正推动那些应用程序供应商更新他们的散列函数。

12月24日发布,2018年上午6:25查看评论188滚球网站

针对盖特威克机场的无人机拒绝服务攻击

有人是驾驶无人机为了中断服务:

克里斯·伍德罗夫,盖特威克的首席运营官,星期四下午说,又有一架无人驾驶飞机出现,这意味着不可能确定机场何时重新开放。

他对英国广播公司新闻说:“今天有11万名乘客要飞,其中绝大多数将出现取消和中断。我们在最后一个小时内又看到了一架无人驾驶飞机,所以在这个阶段,我们还没有开放,我不能告诉你我们什么时候开放。

“当时在机场,被警察看到并证实。所以,在看到靠近跑道的无人机后,重新打开它是不安全的。”

编辑添加(1/2):可能有决无人机.

这类事情的经济学对我们不利。无人机很便宜。关闭一个机场一天是非常昂贵的。

我不认为我们会用干扰机来解决这个问题,或者GPS支持的无人机不会飞越限制区域。我见过一些技术可以使飞行中的无人机安全失效,但我对近期的情况并不乐观。最好的辩护可能是对任何这样做的人的惩罚性惩罚——足以使其他人泄气。

有很多类似的安全情况,其中攻击成本远低于1)攻击造成的损害,(二)辩护费用。我早就相信这类事情代表了存在性威胁对我们的社会。

编辑添加(12/23):机场已经部署了一些反无人机技术重新开放。

12月21日发布,2018年上午6:24查看评论188滚球网站

亚马逊市场上的欺诈策略

迷人的文章关于亚马逊市场上的卖家互相破坏和欺骗客户的许多方法。开场白:通过为一个卖家的产品购买虚假的五星级评论来陷害他做虚假广告。

诽谤:拥有亚马逊分销商账户的卖家(有时是合法的,有时通过黑市)可以对竞争对手的上市进行各种形式的改变,从改变图像到改变文本,再到将产品重新分类为不相关的类别,就像“性玩具”。

假火:卖家会购买竞争对手的产品,点燃它,把照片贴到评论上,声称爆炸了。亚马逊很快就暂停了安全索赔的卖家。

[…]

在接下来的几天里,哈里斯意识到有人瞄准他已经快一年了,准备一个复杂的陷阱。虽然他给手表做了商标并注册了自己的品牌,死胡同生存,与亚马逊,哈里斯没有把亚马逊卖家的名字注册成商标,锐利的生存。所以入侵者就是这么做的,向专利局提交一张哈里斯在亚马逊上市的照片,作为他拥有这些商品的证据,包括哈里斯自己的一只手,用他的求生表的扣点着了火。劫机者随后将该商标带到亚马逊并注册,给他权力,让他把哈里斯从自己的名单上踢下来,霸占他的名字。

[…]

还有更微妙的破坏方法。卖家有时会为他们的竞争对手购买与之无关的产品的谷歌广告——比如,一个链接到洗发水清单的狗粮广告——这样亚马逊的算法就可以看到点击率转化为销售量下降,并自动降低产品的档次。

有趣的是,亚马逊基本上是自己的政府——有自己的规则,供应商别无选择只能遵循。而且,当然,越来越没有选择,只能在亚马逊上出售你的产品。

12月20日发布,2018年上午6:21查看评论188滚球网站

国会关于2017年Equifax数据泄露的报告

美国众议院监督和政府改革委员会刚刚发布了一份综合报告2017年Equifax Hack。这是一篇伟大的作品,有详细的时间表,根本原因分析,以及经验教训。兰斯·斯皮茨纳也是188滚球网站评论对此。

这是我的证词在去年11月众议院数字商务和消费者保护小组委员会之前。

12月19日发布,2018年上午6:00查看评论188滚球网站

新的沙龙变种

Shamoon恶意软件的一个新变种在阿联酋“重型工程公司”意大利石油天然气承包商意大利塞班.

Shamoon是针对沙特阿拉伯石油公司的伊朗恶意软件,沙特阿拉伯石油公司2012年和2016年。我们不知道这个新的变种是否也是伊朗的起源,或者如果是其他人完全使用旧的伊朗代码库。

12月17日发布,2018年上午6:30查看评论188滚球网站

对双因素认证的实时攻击

攻击者是瞄准双因素认证系统:

代表伊朗政府工作的攻击者收集了有关目标的详细信息,并利用这些信息编写专门针对目标操作安全级别的矛式网络钓鱼电子邮件,安全公司certfa实验室的研究人员说博客帖子.电子邮件包含一个隐藏的图像,当目标查看消息时,该图像会实时提醒攻击者。当目标公司在一个伪造的Gmail或雅虎安全页面中输入密码时,攻击者几乎同时将凭证输入真实的登录页面。如果目标公司的账户受到2FA的保护,攻击者将目标重定向到请求一次性密码的新页面。

这不是新的。我在年写过关于这次袭击的文章2005年2009年.

12月14日发布,2018年上午10:02查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.