标记为“执法”的条目

第1页共39页

检测信用卡刷卡器

有趣的研究论文:“恐惧收割者:特征描述和快速检测卡片掠取器“:

文摘:支付卡欺诈每年造成数十亿美元的损失。对手越来越多地使用略读器获取卡片数据,附加到合法的支付设备上,包括销售点终端,气泵,自动取款机。检测这类设备可能很困难,尽管许多专家在这方面提供建议,目前还没有大规模的特征化的撇油器技术来支持这种防御。在本文中,我们在纽约警察局金融犯罪特别工作组16个月的时间内发现的撇油器的基础上进行了第一次这样的研究。在系统化这些装置之后,我们开发了撇渣收割机,一种探测器,利用许多撇渣器窃取卡片数据所需的物理特性和约束条件。我们的分析表明,撇渣收割机可以有效地检测纽约警察局提供的100%的设备。这样做,我们提供了第一个强大的便携式机制检测卡撇油器。

波音波音邮递.

10月5日发布,2018年上午6:44·查看评论188滚球网站

更多关于加密和后门的五眼声明

本月早些时候,我写了关于五眼国家关于加密和后门的声明。(简短的总结:他们喜欢他们。)关于这个声明的一个奇怪之处是它是从执法的角度清楚地写出来的,尽管我们通常认为五只眼睛是情报机构的联合体。

苏珊·兰多检查声明的细节,解释发生了什么,为什么这句话要比它看起来的要少得多。

10月1日发布,2018年上午6:22·查看评论188滚球网站

政府黑客的安全风险

我们中的一些人,包括我自己,已经提出合法的政府黑客作为后门的替代方案。来自互联网和社会中心的一份新报告安全风险允许政府黑客攻击。它们包括:

  • 对脆弱性披露的抑制
  • 培育监控工具市场
  • 攻击者选择了政府失去控制的黑客工具
  • 攻击者通过政府使用恶意软件了解漏洞
  • 政府鼓励推行不太安全的软件和标准
  • 政府恶意软件影响无辜用户。

这些风险是真实的,但我认为他们比要求每个人都闭门造车要少得多。从报告的结论来看:

政府黑客经常被称赞为解决“黑暗”问题的一种方法。要求秘密加密太危险了,但是有针对性的端点黑客攻击可以确保调查人员以更低的风险访问相同或类似的必要数据。漏洞永远不会影响到每个人,取决于他们对软件的依赖,网络配置,以及补丁管理。后门,然而,意味着每个人都很脆弱,安全故障会灾难性地失败。此外,后门通常是秘密的,虽然最终,漏洞通常会被公开和修补。

将风险降至最低的关键是确保执法部门(或任何人)报告通过正常程序发现的所有漏洞,并在报告和修补之间使用它们进行合法的黑客攻击。对,这是个大问题,但其他的选择更糟。

这个是典型的合法黑客文件。

9月13日发布,2018年上午9:08·查看评论188滚球网站

警察数字取证技术新报告

根据一个新的CSIS报告,请“黑暗”不是数字数据时代执法面临的最紧迫的问题:

在过去的一年里,我们对联邦政府进行了一系列采访,州,当地执法人员,律师,服务提供商,以及民间社会团体。我们还委托全国各地的执法人员进行调查,以更好地了解他们在案件中获取和使用数字证据所面临的各种困难。调查结果表明,从服务提供商处获取数据(其中大部分数据未加密)是执法部门目前在利用数字证据方面面临的最大问题。

这是一个迄今尚未得到足够重视或资源的问题。一系列联邦和州培训中心,犯罪实验室也出现了其他帮助填补空白的努力,但他们只能满足一小部分需求。没有中央实体负责监督这些努力,对需求进行评估,并提供所需的协助。有明确任务协助州和地方执法部门处理数字证据需求的关键联邦实体——国家国内通信援助中心(NDCAC)的预算为1140万美元,在几个不同的计划中传播,旨在传播有关服务提供商政策和产品的知识,开发和共享技术工具,培训新服务和技术的执法,其他倡议之一。

从A新闻文章以下内容:

除了哀叹科技公司缺乏指导和帮助外,四分之一的受访者表示,他们的首要问题是说服公司交出嫌疑人的数据,执法官员还报告说,他们几乎没有接受过任何数字证据培训。当地警方说,他们在过去的12个月里只接受了10小时的培训;州警察收到13份,联邦官员收到16份。许多受访者表示,他们只接受过年度培训。只有16%的人说他们的组织每年至少安排两次培训。

这是苏珊·兰道的观点反复制作,请还有我做的新书.联邦调查局需要专业技术,不是后门。

这里是报告.

发表于7月27日,2018年下午12:10·查看评论188滚球网站

访问手机位置信息

这个纽约时报报告关于一家名为Securus Technologies的公司,该公司允许警方在没有授权的情况下跟踪手机位置:

这项服务可以在几秒钟内找到全国几乎所有手机的下落。它通过一个市场营销人员和其他公司通常使用的系统从主要的手机运营商那里获取位置数据来实现这一点,包括AT&T,冲刺,T-Mobile和Verizon,文件显示。

另一个文章.

波音波音邮递.

编辑添加(6/12):Securus .

发表于5月16日,2018年上午6:16·查看评论188滚球网站

Ray Ozzie的加密后门

上个月,有线发表了长文章关于RayOzzie和他在加密设备中增加后门的新计划。这是一篇奇怪的文章。它把奥齐的建议描绘成“达到不可能的”和“同时满足执法和隐私纯粹主义者”,当(1)它仅仅是一个建议时,而且(2)这基本上是我们几十年来听到的同一个密钥托管方案。

基本上,每个设备都有一个唯一的公钥/私钥对和一个安全处理器。公钥进入处理器和设备,用于加密用户密钥加密数据的任何内容。私钥存储在安全数据库中,可根据要求提供给执法部门。唯一的另一个诀窍是让执法人员使用这把钥匙,他们必须使设备处于某种不可逆的恢复模式,这意味着它再也不能使用了。基本上就是这样。

我不知道为什么会有人说这是什么新鲜事。几个 密码者 已经 解释为什么这个密钥托管方案并不比其他任何密钥托管方案更好。简短的回答是(1)我们无法保护后门钥匙数据库,(2)我们不知道如何构建方案所需的安全协处理器,(3)没有解决整个系统的政策问题。这是非密码学家在处理这个问题时所犯的典型错误:他们认为最困难的部分是密码术来创建后门。这其实很简单。最困难的是确保它只被好人使用,Ozzie的提议中没有提到这一点。

我担心这种东西从长远来看是有害的。应该有一些规则,任何后门或密钥托管方案都是完全指定的方案,不仅仅是一些密码学和有关它将如何在实践中使用的挥手概念。在分析和辩论之前,它必须满足某种基本的安全分析。否则,我们会样本伪建议像这个一样,尽管这场辩论的另一方越来越相信安全地设计这些东西是可能的。

人们已经在使用国家学院报告作为工程师们正在开发可行和安全的后门的证据。写在法律上,艾伦Z.罗森施泰因声称报告——以及相关的纽约时报 故事——“破坏关于安全第三方访问系统是如此不可信以至于不值得开发它们的论点。”苏珊·兰道有效地说。纠正这种误解,请但损害已经造成了。

问题是:设计和建造后门并不难。困难的是围绕着它们构建系统——技术和程序。这里是罗伯·格雷厄姆以下内容:

他只解决了我们已经知道如何解决的部分。他故意忽略了我们不知道如何解决的问题。我们知道如何做后门,我们只是不知道如何保护他们。

我们一群密码学家已经解释过了为什么我们认为这类事情在可预见的未来不会奏效?我们写道:

异常访问将迫使互联网系统开发人员改变“前向保密”的设计做法,以尽量减少系统被破坏时对用户隐私的影响。当今互联网环境的复杂性,拥有数百万个应用程序和全球联网服务,意味着新的执法要求可能会带来意想不到的结果,很难发现安全缺陷。除了这些和其他技术漏洞,全球部署的例外访问系统的前景引发了这样一个环境如何治理以及如何确保这样的系统尊重人权和法治的难题。

最后,马修·格林以下内容:

我们中很少有人愿意在大规模的密钥托管系统上下赌注的原因是我们已经考虑过了,但我们认为它不会起作用。.我们看过威胁模型,使用模式,以及当今存在的硬件和软件的质量。我们的意见是没有钥匙盗窃检测系统,没有可再生能源系统,HSM极易受到攻击(而且这些公司大部分都配备了前情报人员)。内部人员也可以被分为下属。我们不会把几十亿人的数据放在一个我们高概率相信系统会失效。

编辑添加(5/14):一个 分析建议。

5月7日发布,2018年上午9:32·查看评论188滚球网站

Greykey iPhone解锁器

一些细节关于美国Greyshift公司的iPhone解锁器,附有照片。

目前对Grayshift或其销售模式知之甚少。我们不知道销售是否仅限于美国执法,或者如果它也在世界其他地方销售。不管怎样,很可能这些装置最终会落入一个压迫政权的代理人手中,无论是直接从灰阶还是间接通过黑市。

这也是完全可能的,根据IP盒的历史记录,灰色移动设备最终将提供给任何想要它们的人,并且可以找到购买它们的方法,也许是通过被一个有进取心的黑客逆向工程和复制,然后在易趣上卖了几百美元。

福布斯 最初写的关于这一点,而我博客的那篇文章。

发表于3月23日,2018年上午6:28·查看评论188滚球网站

第702节重新授权后

十多年来,公民自由主义者一直在与政府通过互联网对无辜美国人进行的大规模监视作斗争。我们刚刚输掉了一场重要的战斗。1月18日,特朗普总统 签署第702条的更新,国内的大规模监视实际上成为美国法律的永久性部分。

第702条最初于2008年通过,作为1978年《外国情报监视法》的修正案。正如那条法律的标题所说,它被认为是美国国家安全局监视美国境外非美国人的一种方式。这应该是一种效率和节约成本的措施:国家安全局已经被允许使用位于国外的通信电缆,它已经被允许利用从一个国家到另一个通过美国的国家的通信电缆。第702节允许其从美国境内分接这些电缆,更容易的地方。它还允许国家安全局根据一个名为prism的计划直接从互联网公司请求监控数据。

问题是,这一权力机构还使国家安全局能够以这样一种方式收集外国通信和数据内在的和故意的也扫了美国人的通讯,没有搜查令。其他执法机构可以要求国家安全局搜查这些通讯,把他们的内容交给联邦调查局和其他机构,然后谎报他们的出身在法庭上。

1978,水门事件曝光尼克松政府滥用职权后,我们在情报部门和执法部门之间竖起了一道墙,以防止在比第四修正案限制更少的任何权力机构下,精确地共享这种监视数据。削弱那堵墙是非常危险的,国家安全局一开始就不应该被授予这种权力。

可以说,从来没有。国家安全局多年来一直在非法进行这种监视,是第一个公开的2006。第702条被秘密用作对非法藏品进行记录的方法,但后来修正案的文本中没有赋予国家安全局这种权力。直到爱德华·斯诺登(Edward Snowden),我们才知道国家安全局将这项法律作为监控的法定依据。向我们展示2013。

自该法案提出以来,民权自由主义者一直在国会和法庭上与该法案作斗争,而且国家安全局的国内监视活动也更长。最近的投票告诉我,我们输了这场战斗。

第702条在乔治·W.的领导下通过。布什20082012年在巴拉克奥巴马的领导下重新授权,现在又被特朗普重新授权了。在这三种情况下,国会的支持是两党一致的。它已经通过电子边境基金会经受了多起诉讼。ACLU,以及其他。斯诺登透露,它的使用范围比国会或公众认为的要广泛得多,但斯诺登并未透露这一点,无数公共报告违法行为。它甚至还活着特朗普信仰他被情报部门私下监视,以及国会担心特朗普会在未来几年滥用权力。虽然延长期只有六年,我无法想象它会在此时被废除。

那我们该怎么办?如果我们不能与这个特别的法定权力作斗争,新的监视前线在哪里?有,事实证明,更普遍的针对监视的合理修改,而不是任何特定的法定权力。我们需要更全面地看一下美国的监视法。

第一,我们需要加强最小化程序以限制偶然收集。自从互联网发展起来,全世界的通信都在一个全球网络中传播。不可能只收集外国通信,因为它们总是和国内通讯混在一起。这被称为“偶然”收集,但这是一个误导性的名字。它是故意收集的,定期搜查。情报界需要更为严格的限制,在没有法院命令的情况下,美国的通讯渠道是可以进入的,如果不小心收集了数据,则需要删除这些数据的规则。更重要的是,“收集”是指国家安全局获取通信副本的地点,以后也不会在他们搜索数据库的时候。

第二个,我们需要限制其他执法机构如何使用附带收集的信息。今天,这些机构可以查询一个有关美国人的附带藏品数据库。国家安全局可以合法地将信息传递给其他机构。这必须停止。国家安全局在其外国监督机构下收集的数据不应用作国内监督的工具。

最近的重新授权对这一点做了轻微的修改,在查询702个数据进行刑事调查时,强迫联邦调查局获得法院命令。还有例外和漏洞,不过。

第三个,我们需要结束所谓的“平行结构”。今天,当执法机构利用在国家安全局数据库中找到的证据逮捕某人时,它不必在法庭上披露这一事实。一旦它知道了证据,它就可以用其他方式重建证据,然后假装它是那样知道的。这种向法官撒谎的权利和对自由的侵犯,它必须结束。

改革国家安全局的压力可能首先来自欧洲。已经,欧盟法院已经指出,无需保证的国家安全局监视是将欧洲数据从美国手中排除的一个原因。马上,欧盟和美国之间有一个脆弱的协议,叫做隐私屏蔽“————这要求美国人对国际数据流保持一定的安全保障。国家安全局的监视与此相反,欧盟法院开始这样裁决只是时间问题。这将对欧洲政府和企业的监督产生重大影响,延伸,整个世界。

进一步的压力将来自物联网带来的日益加强的监视。当你的家,汽车,身体充满了传感器,政府和企业的隐私将变得越来越重要。迟早,社会将达到一个转折点,这一切都太多了。当这种情况发生时,我们将看到对各种监视活动的严重抵制。那时,我们将出台新的法律,修订这一领域的所有政府机构:为新世界扫清障碍,有新的规范和新的恐惧。

联邦法院有可能对第702条作出裁决。尽管有许多诉讼质疑国家安全局所做工作的合法性和702计划的合宪性,没有法庭对这些问题作出裁决。布什和奥巴马政府成功地辩称被告没有起诉的法律依据。也就是说,他们没有权利起诉,因为他们不知道自己是目标。如果任何诉讼都能通过,事情可能会发生戏剧性的变化。

与此同时,这在很大程度上是技术部门的责任。这个问题的存在主要是因为互联网公司收集和保留了如此多的个人数据,并允许它以最低的安全性通过网络发送。既然政府已经放弃了保护我们隐私和安全的责任,这些公司需要加快步伐:最大限度地减少数据收集。保存数据的时间不要超过绝对必要的时间。加密必须保存的内容。精心设计的互联网服务将保护用户,不考虑政府监管机构。

对于我们其他人来说,不要放弃希望很重要。我们所做的一切都是为了让公众关注这个问题——而不仅仅是在2024年当局再次提出重新授权的时候——这加速了我们在数字时代重申隐私权的日子。

本文以前出现过华盛顿邮报.

1月31日发布,2018年上午6:06·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.