标记为“DHS”的条目

第38页第1页

彭博供应链黑客故事

回到十月,彭博社报道 那个中国已经设法在服务器设备上安装了后门,这些设备最终进入了苹果和亚马逊等公司的网络。几乎每个人都有否认IT(包括美国)国土安全部英国NCSC)。布隆伯格有袖手旁观它的故事——而且是依然屹立通过它。

我不认为这是真的。对,这是合理的。但首先,如果有人真的秘密地把恶意芯片放在主板上,我们已经看到一张所谓芯片的照片了。第二,更容易,更有效,以及不太明显的向网络设备添加后门的方法。

编辑添加(12/17):Supermicro Now否认它。

11月30日发布,2018年上午6:28·查看评论188滚球网站

Cellebrite为美国政府解锁iPhone

福布斯 报告以色列Cellebrite公司可能会解锁所有iPhone型号:

Cellebrite佩塔提瓦以色列的供应商已经成为美国政府在解锁移动设备方面的首选公司,本月是否告诉客户,其工程师目前有能力绕过运行iOS 11的设备的安全问题?包括iPhone X,一个模型福布斯早在2017年11月,国土安全部就已经成功地对其进行了数据搜捕,最有可能是使用Cellebrite技术。

[…]

似乎联邦调查局已经在最新的苹果手机上试用了Cellebrite技术,iPhone X.根据A保证出土的福布斯在密歇根,这标志着政府在刑事调查中首次对这台尖端智能手机进行检查。搜查令详细调查了Abdulmajid Saidi,一个贩运武器的嫌疑犯,当他准备离开美国前往贝鲁特时,他的iPhoneX被拿走了,黎巴嫩11月20日。该装置被送往国土安全部国土安全调查大急流实验室的Cellebrite专家处,并于12月5日提取数据。

这个故事是基于一些优秀的报道,但仍有许多问题没有得到解答。我们不知道从这些电话中到底提取了什么。是元数据还是数据?它是什么样的元数据或数据。

我听到的故事是,Cellebrite雇佣了前苹果工程师,并将他们转移到苹果无法根据DMCA或其同等法律起诉他们的国家。还有一个可信的传言说,Cellebrite的机制只会破坏限制密码尝试次数的机制。它不允许工程师将加密的数据从电话中移出并运行离线密码破解程序。如果这是真的,那么强密码仍然是安全的。

编辑添加(3/1):另一个文章,更多信息。看起来苹果和Cellebrite之间正在进行军备竞赛。至少,如果Cellebrite说的是事实,他们可能会说,也可能不会说。

2月27日发布,2018年上午5:58·查看评论188滚球网站

奥运会互联网安全威胁

很多

网络安全公司McAfee最近未覆盖网络行动,配音金龙行动,攻击与冬奥会有关的韩国组织。麦卡菲认为这次袭击来自一个说韩语的民族国家,尽管没有确凿的证据证明这是朝鲜的行动。受害者组织包括冰球队,滑雪供应商滑雪胜地,平昌的旅游组织,以及组织平昌奥运会的部门。

与此同时,与俄罗斯有关的网络攻击已经被盗和泄漏其他奥林匹克组织的文件。所谓花熊组,或APT28,于2017年底开始运营——…根据 趋势微威胁连接,两个私人网络安全公司——最终出版业 文件2018年,概述了国际奥委会官员和世界反兴奋剂机构(WADA)官员之间的政治紧张关系,这些官员负责监督奥运会运动员。它还发布了一些文件,规定了授予特定运动员的反兴奋剂条例的例外情况(例如,一名运动员因为他的哮喘药物)。最近的一次奇幻熊泄密揭露了加拿大撑杆跳运动员可卡因阳性结果的细节。这个小组有有针对性的过去的世界反兴奋剂组织,尤其是在2016年里约热内卢奥运会期间。假设属性是正确的,此举似乎是俄罗斯对俄罗斯采取惩罚性措施的报复。

McAfee的高级分析师警告奥运会可能经历闭幕式前有更多的网络攻击。ThreatConnect的研究员断言的像花式熊这样的组织没有理由仅仅因为他们已经窃取并发布了文件就停止运作。甚至美国国土安全部已发出通知去韩国旅游的人提醒他们保护自己免受网络风险。

有人认为奥运会网络受到了足够的保护,可以抵御更多的行人分布式拒绝服务(DDOS)攻击等,但是谁知道呢?

编辑添加:有已经有一次攻击.

2月12日发布,2018年上午6:36·查看评论188滚球网站

波音757远程黑客攻击

上个月,国土安全部宣布远程黑客攻击波音757:

“我们在9月9日得到了飞机。19,2016。两天后,我成功地完成了一个遥控器,不合作,“渗透,”罗伯特·希基说,DHS科技(S&T)董事会网络安全部的航空项目经理。

“[这]意味着我没有人碰过飞机,我没有内部威胁。我放弃使用可以通过安全系统的典型材料,我们能够在飞机系统上建立一个存在点。”希基说,黑客的细节和他的团队正在做的工作是机密的,但是他们说他们通过无线电通讯进入了飞机的系统,加上这一点,根据大多数飞机的射频配置,在飞机上,“你可以很快找到我们要去的地方”。

12月12日发布,2017年上午6:08·查看评论188滚球网站

美国国家安全局文件概述了俄罗斯试图黑客选民名单的企图

本周,新的公众证据表明俄罗斯干涉了2016年的选举。星期一,这个拦截 出版绝密国家安全局文件描述俄罗斯对美国选举系统的黑客攻击企图。虽然这些攻击看起来更具探索性而不是操作性,而且没有证据表明它们有任何实际效果,但它们进一步说明了我们选举面临的真正威胁和脆弱性,他们指出了解决方案。

文件描述了GRU俄罗斯军事情报局,攻击了一家叫做虚拟现实系统的公司,根据它网站,提供软件来管理八个州的选民名单。2016年8月袭击成功,攻击者利用他们从公司网络中窃取的信息,在10月27日对122名地方选举官员发动有针对性的攻击,选举前12天。

国家安全局的分析到此结束。我们不知道这122次目标攻击是否成功,或者他们的影响是什么。我们不知道除了虚拟现实系统以外的其他选举软件公司是否是目标,或者GRU的总体计划是什么——如果有的话。当然,有一些方法可以通过干扰选民登记过程或选民名单来干扰投票。但是在选举日没有迹象表明人们发现自己的名字被从系统中删除了,或者他们的地址改变了,或者其他任何可能产生影响的东西——在这个国家的任何地方,更不用说在部署虚拟现实系统的八个州了。(有选举日问题在达勒姆投票的时候,NC——虚拟现实系统支持的状态之一——但它们看起来像常规错误,而不是恶意行为。)

在选举前12天(许多司法管辖区已经开始提前投票),开始这样的行动似乎为时已晚。这就是为什么这些攻击对我来说是探索性的,而不是作战攻击的一部分。俄国人看到了他们能走多远,把这些通道放在口袋里,以备将来使用。

大概,这份文件是为司法部准备的,包括联邦调查局,这将是继续调查这些黑客的合适机构。我们不知道接下来会发生什么,如果有的话。虚拟现实系统没有评论,188滚球网站当地选举官员的名字也没有出现在国家安全局的文件中。

所以,虽然这份文件不怎么像是一把吸烟枪,这是俄罗斯去年广泛干预的更多证据。

文件是,据称,发送到拦截匿名的NSA承包商,现实Leigh Winner,周六被逮捕,罪名是处理机密信息不当。政府认定她的速度对于任何想泄露美国官方机密的人都是一种警告。

这个拦截在报告期间将文档扫描发送到另一个源。扫描显示原始文件有折痕,这意味着有人打印了文件,然后把它带到了某个安全的地方。第二个来源,根据联邦调查局对获胜者的证词,把它传给国家安全局。从那里,国家安全局的调查人员能够查看他们的记录,并确定只有六个人打印了这份文件。(政府也可以通过识别打印机的秘密点.)Winner是六位通过电子邮件与拦截.不清楚电子邮件证据是来自Winner的NSA账户还是她的个人账户,但不管是哪种情况,这是一种极其粗制滥造的手艺。

特朗普总统当选后,俄罗斯干涉去年竞选的问题已高度政治化。像一个来自国家情报局局长办公室受到了白宫党派支持者的批评。有趣的是,这份文件是由拦截,历史上持怀疑态度的关于俄罗斯干涉的主张。(他们的故事中引用了我的话,他们给我看了一份NSA文件的复印件,然后才公布。)泄密者甚至称赞维基解密创始人朱利安阿桑奇,一直到现在传统上批评指控对俄罗斯选举的干涉。

这说明了源文档的强大功能。对司法部的官员或总结报告很容易打折扣。一份详细的国家安全局文件更有说服力。马上,有一个联邦诉讼为了迫使ODNI发布整个1月份的报告,不仅仅是未分类的摘要。这些努力至关重要。

这一黑客行为肯定会出现在前联邦调查局局长詹姆斯B的参议院听证会上。科米定于周四出庭作证。去年,有好几个关于俄罗斯针对选民数据库的报道。去年八月,联邦调查局证实俄国人成功入侵伊利诺斯州和亚利桑那州的选民数据库。一个月后,一位未透露姓名的国土安全部官员俄国人瞄准了20个州的选民数据库。再一次,我们不知道这些黑客带来了什么,但希望科米能被问到。不幸的是,他所知道的任何细节几乎都是机密的,不会在公开证词中被揭露。

但最重要的是,我们需要更好地保障我们的选举制度的发展。我们的投票机存在重大漏洞,我们的选民名单和登记程序,投票结束后的投票表系统。一月,国土安全部指定的我们的投票系统是关键的国家基础设施,但到目前为止,这完全是为了炫耀。在美国,我们没有单一的综合选举。我们有50多个个人选举,每个都有自己的规则和监管机构。授权的联邦标准投票人核实纸质选票选举后审计我们的投票系统会有很大的保障。这些攻击表明我们需要确保选民名单的安全,也。

民主选举有两个目的。首先是选出获胜者。第二个是说服失败者。计票完毕后,每个人都需要相信选举是公平的,结果是准确的。攻击我们的选举制度,即使它们最终无效,破坏这种信任,扩大我们的民主。对,修理这个会很贵。对,它将需要联邦政府在历史上的国营系统中采取行动。但作为一个国家,我们别无选择。

本文以前出现过华盛顿邮报.

6月9日发布,2017年上午10:24·查看评论188滚球网站

TSA的选择性笔记本电脑禁令

上星期一,运输安全管理局宣布一项特殊的新安全措施将在96小时内生效。从八个穆斯林国家乘坐外国航空公司飞往美国的乘客将被禁止携带任何比智能手机更大的电子设备。他们必须接受检查,然后放进货舱。现在英国也在效仿。

很难理解这是一种安全措施,尤其是在许多人质疑政府命令的真实性的时候,但是其他的解释不是不满意就是可恶。

所以我们先来看看这个的安全方面。笔记本电脑本身并不危险,但它们便于携带箱子。这就是为什么,过去,运输安全管理局官员要求乘客打开他们的笔记本电脑:以确认他们实际上是笔记本电脑,而不是笔记本电脑箱,清空他们的电子设备,然后装满炸药。

迫使一名未来的轰炸机把更大的笔记本电脑放在飞机的货舱里,是对这种威胁的合理防御,因为它增加了情节的复杂性。鞋炸弹手理查德·里德和内衣炸弹手乌马尔·法鲁克·阿卜杜勒·穆塔拉布都在飞机上携带粗弹,计划在高空手动引爆。在托运行李中引爆炸弹是更重要的工作,这就是为什么我们看不到更多像泛美航空103次班机在洛克比上空的空中爆炸,苏格兰,1988。

限制乘客乘坐飞机的安全措施也不是史无前例的。机场安全部门定期对实际攻击和未来攻击的情报作出反应。2006年液体轰炸机被俘后,英国禁止携带除护照和钱包以外的所有行李。我记得在禁令实施的最初几周,我和一个从伦敦回来的朋友和他的女儿们交谈过。他们报告说,机场安全官员没收了他们试图隐藏的每一管唇膏。

同样地,在里德之后,美国开始检查鞋子,2006年在Abdulmutallab和受限液体之后安装了全身扫描仪。但所有这些措施都是全球性的,随着威胁的减弱,严重程度也大大降低。

目前的限制意味着一些基于笔记本电脑的阴谋的具体情报和解决它的临时禁令。然而,如果是这样的话,为什么只有某些非美国航空公司?为什么只有某些机场?恐怖分子足够聪明,可以把一个笔记本电脑炸弹放在从中东到欧洲的托运行李里,然后再把它从欧洲带到美国。

为什么不要求乘客在通过安检时打开笔记本电脑?这将是比强迫他们托运行李更有效的安全措施。最后,为什么禁令宣布和生效之间会有延迟?

更令人困惑的是,这个纽约时报 报道官员们称该指令是为了解决外国机场安全方面的差距,并表示,这不是基于对即将发生的袭击的任何具体或可信威胁。一般性声明,“是的,情报是每一个与安全有关的决定的一个方面,“但不能提供特定的安全威胁。还有一份来自英国的报告状态禁令“是在收到特定情报报告之后实施的。”

当然,这些细节都是机密的,这让我们所有的安全专家都抓耳挠腮。表面上看,这项禁令毫无意义。

一个分析将这一举措描绘成一种保护主义措施,旨在通过打击那些受到严重补贴的中东航空公司,使其遭受最为严重的伤害:那些在飞机上需要随身携带笔记本电脑才能完成工作的高薪商务舱旅客。这种推理比任何与安全有关的解释都更有意义,但是没有解释为什么英国也把禁令扩展到了英国的航空公司。或者,当中东国家回过头来以报复的方式禁止美国运营商使用笔记本电脑时,为什么这项措施不会适得其反。一位航空官员告诉CNN一位情报官员告诉他这不是政治运动."

最后,基于秘密信息的国家安全措施要求我们信任政府。那个信任是在历史最低水平马上,所以美国和其他国家的人正确的怀疑不满意的解释。新的笔记本电脑禁令凸显了这种不信任。

本文以前出现过在CNN.

编辑添加:以下是 杂文看看可能的政治动机,沉降物,这项禁令。和效果正确地指出让笔记本电脑脱离你的手和视线本身就是一个安全风险——对乘客来说。

编辑添加(4/12):本文这表明禁令是因为在iPad中隐藏炸药的阴谋。

发表于3月27日,2017年上午6:28·查看评论188滚球网站

国家安全局正在囤积漏洞

国家安全局对我们撒谎。我们知道这是因为从NSA服务器上窃取的数据被丢弃在互联网上。该机构正在囤积有关您使用的产品的安全漏洞的信息,因为它想用它来攻击别人的电脑。这些漏洞没有被报告,而且还没修好,使您的计算机和网络不安全。

8月13日,自称影子经纪人的团体释放互联网上300兆字节的NSA网络武器代码。据专家们所知,国家安全局的网络本身没有受到黑客攻击;可能发生的是一个NSA网络武器的“登台服务器”—也就是说,一个国家安全局用来掩盖其监视活动的服务器在2013年被黑客入侵。

在斯诺登文件发布的前几周,美国国家安全局无意中进行了自我修复。链接背后的人使用了临时黑客术语,做了件奇怪的事,令人难以置信的提议,包括对剩余数据进行比特币拍卖:“!!!!注意网络战争的政府赞助商和从中获益的人!!!!!你花多少钱买敌人的网络武器?”

仍然,大多数人相信黑客攻击是俄罗斯政府的工作,数据发布了某种政治信息。也许这是一个警告,如果美国政府揭露俄罗斯人是民主国家委员会的幕后黑手,或者其他引人注目的数据泄露,俄罗斯人将依次揭露国家安全局的剥削行为。

但我想谈的是数据。数据转储中复杂的网络武器包括漏洞和“利用代码”,可以针对常见的互联网安全系统进行部署。目标产品包括思科飞塔,TopSEC,警卫以及刺柏——全世界私人和政府组织都使用的系统。其中一些漏洞自2013年以来已被独立发现和修复,有些人直到现在还不知道。

所有这些都是国家安全局的例子——尽管它和美国政府的其他代表说——优先考虑它对我们的安全进行监视的能力。这是一个例子。安全研究员穆斯塔法·阿尔·巴萨姆建立一种代号为benighensure的攻击工具,它能欺骗某些Cisco防火墙,使其内存暴露出来,包括他们的身份验证密码。然后可以使用这些密码解密虚拟专用网络,或VPN,交通,完全绕过防火墙的安全。思科尚未售出这些防火墙自2009年以来,但现在还在使用。

像这样的弱点,应该有,几年前就修好了。他们本来是,如果美国国家安全局在发现安全漏洞时,能够用它的话来警告美国公司和组织。

在过去的几年里,美国政府的不同部门一再向我们保证,国家安全局不会囤积“零日”—安全专家对软件供应商未知漏洞使用的术语。在我们之后有学问的根据斯诺登文件,国家安全局从网络武器制造商处购买零日漏洞,奥巴马政府宣布,2014年初,国家安全局必须披露瑕疵在普通软件中,这样它们就可以被修补(除非有“明确的国家安全或执法”用途)。

那年晚些时候,国家安全委员会网络安全协调员兼总统网络安全问题特别顾问迈克尔·丹尼尔坚持美国不储备零天(除了同样的狭义豁免)。白宫2014年的官方声明同样的事情。

影子经纪人的数据显示这不是真的。国家安全局囤积漏洞。

囤积零日漏洞是个坏主意。这意味着我们都不那么安全。当爱德华·斯诺登揭露了国家安全局的许多监视计划时,关于该机构如何处理其发现的常见软件产品中的漏洞进行了大量讨论。在美国政府内部,找出如何处理单个漏洞的系统称为脆弱性股票过程(VEP)。这是一个跨机构的过程,而且它的复杂的.

进攻和防守之间存在着根本的紧张关系。NSA可以将漏洞保密,并使用它攻击其他网络。在这种情况下,我们都面临着其他人发现和使用相同漏洞的风险。或者,NSA可以向产品供应商披露该漏洞,并看到它得到修复。在这种情况下,我们都很安全,不让任何人利用漏洞,但是国家安全局不能用它攻击其他系统。

可能有一些过于迂腐的文字游戏正在进行。去年,美国国家安全局它发现91%的漏洞。撇开剩下的9%是否代表1这个问题,10,或1000个漏洞,更大的问题是,在国家安全局眼中,什么是“脆弱性”。

并非所有的漏洞都能转化为漏洞代码。国家安全局披露了其无法使用的漏洞,因此没有丧失任何攻击能力,这样做可以增加它的数量;这是很好的公关。我们关心的漏洞是影子经纪人数据转储中的漏洞。我们关心他们,因为他们的存在让我们都很脆弱。

因为每个人都使用相同的软件,硬件,和网络协议,无论“他们”是谁,我们都无法在攻击他们的系统时同时保护我们的系统。要么每个人都更安全,或者每个人都更脆弱。

几乎一致,安全专家相信我们应该揭露并修复漏洞。国家安全局继续说那些似乎反映了这一观点的话,也是。最近,国家安全局告诉所有人,它不依赖零天——非常重要,不管怎样。

今年早些时候在一次安全会议上,Rob Joyce国家安全局定制访问操作(TAO)组织(基本上是国家的主要黑客)的负责人罕见的公开演讲,他在里面说凭证被盗是一种比零日更有成效的攻击方法:“很多人认为国家在零日运行其行动,但这并不常见。对于大型企业网络,坚持和专注会让你在没有零日的情况下融入其中;有这么多的向量更容易,风险较小,而且生产效率更高。”

他所指的区别是利用软件中的技术漏洞和等待一个人说,用密码乱来。

在任何关于脆弱性股票过程的讨论中,你经常听到的一个短语是nobus,代表“除了我们没有人。”基本上,当国家安全局发现一个漏洞时,它试图找出它在发现它的能力上是否独一无二,或者其他人是否能找到它,也是。如果它相信没有人会发现问题,它可能拒绝公开。这是一种既傲慢又乐观的评价,许多安全专家怀疑美国有一些独特的能力进行脆弱性研究。

影子经纪人数据转储中的漏洞绝对不是nobus级别。它们是任何人——另一个政府——的工厂漏洞,网络犯罪分子业余黑客——可能会发现,事实证明他们中的许多人2013年发现,当数据被盗时,今年夏天,当它被出版的时候。它们是全世界人们和公司使用的通用系统中的漏洞。

那么,在2013年被盗的国家安全局密码的秘密藏匿中,所有这些漏洞都在做什么呢?假设俄国人是偷东西的人,他们利用这些漏洞入侵了多少家美国公司?这就是脆弱性股票程序旨在防止的,它显然失败了。

如果有任何漏洞——根据白宫和国家安全局制定的标准——应该被披露和修复,就是这些。尽管乔伊斯坚持认为它们并不重要,但国家安全局认识和利用它们的三年多时间里,它们并没有出现,这表明脆弱的股票交易过程遭到了严重破坏。

我们需要解决这个问题。这正是国会调查的目的。整个过程需要更多的透明度,监督,以及责任。它需要优先考虑安全而不是监视的指导原则。一个好的起点是Ari Schwartz和Rob Knake在报告:这包括一个明确定义和更公开的过程,国会和其他独立机构的更多监督,以及对修复漏洞而不是利用漏洞的强烈偏见。

只要我在做梦,我们真的需要把我们国家的情报收集任务和我们的计算机安全任务分开:我们应该解散国家安全局.该机构的任务应限于国家间谍活动。个人调查应该是联邦调查局的一部分,网络战能力应在美国网络司令部内,关键的基础设施防御应该是国土安全部的任务的一部分。

我怀疑今年我们会看到国会的调查,但我们最终还是要解决这个问题。在我2014年的书中数据与歌利亚,我写道:“不管网络罪犯做什么,不管其他国家做什么,我们美国需要在安全方面犯错误,修复我们发现的几乎所有漏洞……“我们国家的网络安全太重要了,不能让国家安全局牺牲它,以获得比外国对手稍纵即逝的优势。”

本文以前出现过在Vox网站上。

编辑添加(8/27):在野外发现了漏洞24小时内,说明他们披露和修补的重要性。

詹姆斯·班福德认为这是内幕人士.我不同意,但他是对的,道目录不是一个斯诺登文件。

人们正在关注代码的质量。它是不是那样 好的.

8月26日发布,2016年上午5:56·查看评论188滚球网站

跟踪Kickass Torrents的所有者

这里是故事是如何做到的。第一,一则关于Torrent列表的虚假广告将该网站链接到拉脱维亚的一个银行账户,电子邮件地址,以及Facebook页面。

使用基本的网站跟踪服务,Der Yeghiayan能够(通过反向DNS搜索)发现七个明显的KAT网站域的主机:kickasstorrents.com网站,KAT.C.基卡萨pH值KASTATICO,凯特电视台和Kickass.cr.这发现了两个芝加哥IP地址,它被用作KAT名称服务器已经四年多了。然后,特工们就可以合法地获得服务器访问日志的副本(解释了为什么芝加哥的联邦当局最终指控沃林犯有所指控的罪行)。

使用类似的工具,国土安全调查人员还对一个将人们重定向到主要KAT站点的域执行了一个称为whois查找的操作。whois搜索可以提供名称,地址,网站注册者的电子邮件和电话号码。在情况下KickassTorrents.biz公司,那是哈尔科夫的阿耳特姆沃林,乌克兰。

德叶吉扬能够将在whois查找中找到的电子邮件地址链接到一个苹果电子邮件地址,这个地址据称是沃林用来操作kat的。正是这个苹果公司的账户将沃林所谓的所有参与事件联系在一起。

2015年7月31日,苹果提供的记录显示,Me.com账户被用来在iTunes上购买东西。日志显示同一天使用相同的IP地址访问KAT Facebook页面。2012年凯特接受比特币捐赠后,72767美元被转移到一个以沃林名义开立的Coinbase账户。那个比特币钱包是用同一个me.com邮箱注册的。

另一文章.

发表于7月26日,2016年上午6:42·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.