标有“国家安全政策”的条目

第48页第1页

新物联网安全法规

由于不断发展的技术进步,制造商们正以惊人的速度将消费品——从玩具到灯泡,再到主要电器——与互联网连接起来。这是物联网,这是一场安全噩梦。

物联网将产品与通信技术融合,使日常生活更加轻松。想想亚马逊的Alexa,它不仅可以回答问题,播放音乐,还可以控制家里的灯和恒温器。或是目前植入的起搏器,它既可以接收命令,也可以通过互联网向医生发送信息。

但就像几乎所有的创新一样,存在风险。对于从物联网中诞生的产品,这意味着个人信息被盗或设备被远程超车和控制的风险。对于以直接的物理方式影响世界的设备——汽车,起搏器,恒温器——风险包括生命和财产损失。

通过开发更高级的安全功能并将其构建到这些产品中,可以避免黑客攻击。问题是,没有货币激励企业投资于确保其产品安全所需的网络安全措施。消费者会购买没有适当安全功能的产品,不知道他们的信息容易受到攻击。而且现行的责任法使得公司很难对劣质的软件安全负责。

立法者必须制定保护消费者的法律。虽然美国政府在消费者保护方面基本上不存在,加利福尼亚州最近举步 在里面开始规范物联网,或者说在美国销售的“物联网”设备——这种影响很快就会在全世界范围内感受到。

加州的新锑327定律,将于2020年1月生效,要求所有“连接的设备”都具有“合理的安全功能”。好消息是,术语“连接的设备”被广泛定义为包括几乎所有连接到Internet的设备。不太好的消息是,“合理的安全”仍然被定义为这样的公司试图避免遵守可以辩称法律是不可执行的。

立法要求安全功能必须能够保护设备及其信息免受各种威胁,并适合设备的性质及其收集的信息。加利福尼亚州的司法部长将解释法律并确定具体细节,这肯定是科技公司大量游说的主题。

法律中只有一个不受司法部长解释的具体规定:不允许使用默认密码。这是件好事;它们是一种可怕的安全措施。但这只是物联网设备中常见的几十种可怕的“安全”措施之一。

这条法律不是灵丹妙药.但我们必须从某个地方开始,这是一个开始。

虽然立法只涉及加利福尼亚州,它的影响将进一步扩大。由于软件的编写和销售方式,我们所有人——在美国或其他地方——都可能从中受益。

汽车制造商在世界各地销售汽车,但它们是为当地市场定制的。你在美国买的车和同一型号的不同在墨西哥销售,因为当地的环境法规不同,制造商根据产品的销售地点来优化发动机。制造和销售汽车的经济性很容易使这种差异化得以实现。

但是软件是不同的。一旦加州强制推行物联网设备的最低安全标准,制造商将不得不重写他们的软件来遵守。在那一点上,有两个版本是没有意义的:一个适用于加利福尼亚,另一个适用于其他地方。保持单身要容易得多,更安全的版本,在任何地方销售。

欧洲通用数据保护条例(GDPR),执行了网站上弹出的恼人的警告和协议,这是另一个超越物理边界的法律例子。你可能已经注意到网站的增加,迫使你承认你已经阅读并同意网站的隐私政策。这是因为很难区分受gdpr保护的用户——欧盟的人,无论他们身在何处,欧盟公民——以及那些不在的人。把保护延伸到每个人身上更容易。

一旦这种排序成为可能,公司会,很可能,回到他们有利可图的监督资本主义的做法,对那些仍然是公平游戏的人。监视仍然是互联网的主要商业模式,公司希望尽可能多地监视我们和我们的活动,这样他们就可以卖给我们更多的东西,并将他们对我们行为的了解货币化。

只有当你能在世界范围内摆脱不安全感,它才是有利可图的。一旦你不能,你也可以出于需要而做出美德。所以每个人都会从加州的法规中受益,因为它们来自世界上任何一个大到足以影响的市场上颁布的类似的安全法规,就像所有人一样利益从涉及数据安全的gdpr合规性部分。

最重要的是,像这样的法律刺激了网络安全的创新。马上,我们市场失灵了。因为法院传统上不审判软件制造商对脆弱性负责,因为消费者没有专业知识来区分安全产品和不安全产品,制造商已优先考虑低价格,快速将设备投放市场,并提供额外的安全功能。

但一旦政府介入并实施更严格的安全法规,公司有动力尽快达到这些标准,便宜地,尽可能有效。这意味着更多的安全创新,因为现在有了新创意和新产品的市场。我们在安全和安保工程中一次又一次地看到这种模式,我们也将在物联网上看到它。

物联网设备更多危险的比我们的传统电脑更重要的是因为它们能感知我们周围的世界,以直接的身体方式影响那个世界。提高这些设备的网络安全至关重要,令人鼓舞的是,看到个别国家和欧盟都在美国联邦政府放弃责任的地方介入。但我们需要更多,很快。

本文以前出现过在CNN.

11月13日发布,2018年上午7:04查看评论188滚球网站

五角大楼正在发布外国国家的恶意软件

这是一个新事物

五角大楼突然开始将来自APTS和其他国家来源的恶意软件样本上传到Virustotal网站,它本质上是一个恶意软件动物园,由安全专家和防病毒/恶意软件检测引擎使用,以更好地了解威胁形势。

这似乎是美国主动骚扰外国政府行动者的新战略的一个例子。通过公开他们的恶意软件,美国正迫使他们不断地发现和利用新的弱点。

编辑添加(11/13):这个是另一篇好文章。和在这里 关于恶意软件的一些背景。

11月9日发布,2018年下午1:52查看评论188滚球网站

手机安全和国家元首

本周早些时候,这个纽约时报 报道俄国人和中国人窃听唐纳德·特朗普总统的私人手机,并利用收集到的信息来更好地影响他的行为。这不应该让任何人感到惊讶。安全专家已经一直 说话 关于特朗普当选总统后手机使用中潜在的安全漏洞。奥巴马总统竖立在但默许了安全规则禁止他在总统任期内使用“普通”手机。

这个故事显然提出了三个更广泛的问题。还有谁在听特朗普的手机通话?其他世界领导人和政府高级官员的手机呢?而且——最私人的——怎么办?我的手机通话?

几乎任何通信系统都有两个基本的窃听位置:在端点和传输期间。这意味着,手机攻击者可以破坏其中一个手机或窃听手机网络。这两种方法都有其优点和缺点。美国国家安全局似乎更喜欢对地球主要通讯线路进行大量窃听,然后挑选出感兴趣的人。2016,维基解密公布了一系列机密文件,列出了“目标选择者”:国家安全局搜索并记录的电话号码。其中包括德国——其中包括默克尔总理--法国日本 其他 国家.

其他国家与国家安全局没有同样的全球影响力,必须使用其他方法拦截手机呼叫。我们不知道哪些国家在做什么,但我们对这些弱点了解很多。电话网络本身的不安全性很容易被利用60分钟窃听美国国会议员的电话以相机为生2016。回到2005,未知的攻击者通过黑客攻击该国的电话网络和开启已安装的窃听功能。国家安全局甚至植入窃听功能用于叙利亚电话公司的网络设备。

或者,攻击者可以截获手机和发射塔之间的无线电信号。加密范围从非常弱可能强,取决于系统使用的口味。别以为袭击者必须把窃听天线放在白宫草坪上;俄罗斯大使馆离得很近。

窃听手机的另一种方法是侵入手机本身。这是不太成熟的情报能力国家所青睐的技术。2017,公共利益取证小组公民实验室发现了针对墨西哥人的广泛窃听活动律师记者,和反对党政治家——大概由政府管理。就在上个月,同一个组织发现以色列网络武器制造商NSO集团的产品具有窃听能力。操作在阿尔及利亚,孟加拉国,希腊印度哈萨克斯坦拉脱维亚南非——总共有45个国家。

这些攻击通常包括将恶意软件下载到智能手机上,然后记录通话,文本消息,以及其他用户活动,并转发给中央控制器。在这里,它关系到哪个手机是目标。iPhone更难破解,这反映在公司为新的开发能力支付的价格上。2016,漏洞代理Zerodium提供150万美元用于未知的iOS漏洞,而20万美元用于类似的Android漏洞。今年早些时候,迪拜新成立的公司宣布更高的价格.这些漏洞被转卖给政府和网络武器制造商。

价格差异的部分原因是两个操作系统的设计和使用方式不同。苹果对iPhone软件的控制比谷歌在Android手机上的控制要大得多。也,安卓手机一般都是设计出来的,建造,由第三方出售,也就是说他们是可能性要小得多及时获取安全更新。这正在改变。谷歌现在有了自己的手机——Pixel——它可以快速、定期地更新安全信息,谷歌现在正试图压力Android手机制造商将更定期地更新手机。(据报道特朗普总统使用iPhone。)

另一种入侵手机的方法是在设计过程中安装后门。这是一种真正的恐惧;今年早些时候,美国情报官员警告中兴通讯和华为制造的手机可能会受到政府的影响,五角大楼命令在军事基地的商店停止销售。这就是为什么中国推荐如果特朗普想要安全,他应该用华为的电话,那是一种有趣的调情。

考虑到大量的不安全因素和各种窃听技术,可以肯定的是,许多国家都在监听外国官员和本国公民的电话。其中许多技术都在犯罪集团的能力范围内,恐怖组织,还有黑客。如果我猜的话,我想说,像中国和俄罗斯这样的主要国际大国正在使用更被动的拦截技术来监视特朗普,小国家害怕被抓到,不敢在他的手机上植入恶意软件。

可以肯定地说,特朗普总统并不是唯一的目标;国会议员也一样,法官,以及其他高级官员——尤其是因为没有人试图让他们中的任何人停止使用手机(尽管手机无论是众议院还是参议院都不允许

至于我们其他人,这取决于我们有多有趣。很容易想象一个犯罪集团窃听CEO的电话以在股票市场上获得优势,或者一个国家为了在贸易谈判中占优势而做同样的事情。我们看到政府使用这些工具对付持不同政见者,记者们,以及其他政治敌人。这个中国人俄语政府已经瞄准美国电网;这对他们来说是有意义的,目标是那些负责该电网的人的电话。

不幸的是,为了提高手机的安全性,你没什么办法。与计算机网络不同,你可以购买防病毒软件,网络防火墙,像这样,你的手机很大程度上是由他人控制的。你的手机是由生产你手机的公司决定的,提供手机服务的公司,当这些都不是问题的时候,通信协议就发展起来了。如果其中一家公司不想为安全问题操心,你很脆弱。

这就是为什么目前关于手机隐私的争论,联邦调查局在一边想要窃听通讯和解锁设备的能力,另一方面,用户想要安全的设备,非常重要。对,联邦调查局能够利用这些信息来帮助解决犯罪,这是有安全效益的,但是有更大的好处因为电话和网络是如此的安全,包括联邦调查局在内的所有潜在窃听者都无法访问它们。我们可以执法其他取证工具,但我们必须保留外国政府,犯罪集团,恐怖分子,所有人都在电话里。总统可能因为喜欢他不安全的电话而发火,但我们每个人都在使用不安全的电话。对于我们中的许多人来说,让这些电话更私密是国家安全的问题。

本文以前出现过大西洋.

编辑添加:史蒂文·贝洛文和苏珊·兰道好文章在同一个主题上,一样有线.斜板邮递.

10月30日发布,2018年上午6:38查看评论188滚球网站

美国武器系统的安全漏洞

美国政府会计办公室刚刚出版一份新报告:武器系统网络安全:国防部刚刚开始应对脆弱性的规模“(摘要)在这里)结果对我的任何一个老读者都不会感到惊讶:他们很脆弱。

总结如下:

自动化和连接性是国防部现代军事能力的基本推动力。然而,它们使武器系统更容易受到网络攻击。尽管高和其他人几十年来一直在警告网络风险,直到最近,国防部没有优先考虑武器系统的网络安全。最后,国防部仍在决定如何最好地解决武器系统网络安全问题。

在操作测试中,国防部经常在正在开发的系统中发现关键任务的网络漏洞,然而,项目官员高认为他们的系统是安全的,并认为一些测试结果是不现实的。使用相对简单的工具和技术,测试人员能够控制系统,并且大部分操作未被检测到,部分原因是一些基本问题,如密码管理不善和未加密的通信。此外,由于测试限制,国防部意识到的漏洞可能占整个漏洞的一小部分。例如,并不是所有的程序都经过测试,测试也不能反映出所有的威胁。

很容易,更便宜,忽略这个问题,或者假装这不是什么大问题。但从长远来看,这可能是个错误。

10月10日发布,2018年上午6:21查看评论188滚球网站

美国国家网络战略

上个月,白宫公布了美国国家网络战略.对于这些文件,我一般没有什么好说的。他们充满了广泛的概括性。谁可以与之争论:

通过保护网络来保卫祖国,系统,功能,数据;

通过培养安全感来促进美国的繁荣,繁荣数字经济,促进强有力的国内创新;

通过加强美国与盟国和伙伴合作的能力来维护和平与安全,以威慑和,如有必要,对使用网络工具进行恶意处罚的;和

扩大美国在海外的影响力,扩大开放的关键原则,可互操作的,可靠的,以及安全的互联网。

细节是魔鬼,当然。这项战略没有包括任何细节。

在一个纽约时报OP,约瑟芬沃尔夫争辩新的战略,以及更详细的国防部网络战略以及分类的 国家安全总统备忘录13,代表着美国网络安全态势从防御转向进攻的危险转变:

…国家网络战略代表了美国政府与在线对手的互动方式的突然和鲁莽的转变。与其继续专注于加强防御技术并将安全漏洞的影响降至最低,特朗普政府计划加强进攻性的网络操作。新目标:通过先发制人的网络攻击来威慑敌人,并使其他国家害怕我们的报复力量。

[…]

特朗普政府转变为进攻性手段是为了升级网络冲突,这种升级可能是危险的。它不仅会将资源和注意力从更紧迫的国防和风险管理问题上转移开,但这也将鼓励政府在确定目标是谁和他们在做什么之前,不顾一切地指挥网络攻击目标。

[…]

没有证据表明先发制人的网络攻击会有效地威慑我们在网络空间的对手。事实上,每当一个国家发起了一场无端的网络攻击,它总是导致更多的冲突,鼓励报复性的破坏,而不是威慑他们。几乎俄罗斯或朝鲜对美国实施的每一次重大的网络入侵都产生了重大而不愉快的后果。

沃尔夫是对的;这是鲁莽的。在点击这里杀死所有人,我主张“防御主导”战略:尽管进攻对防御至关重要,当两人发生冲突时,它应该有一个退位防守。比这更复杂,当然,我用了整整一章来阐述它的含义。但是随着计算机和互联网对我们的生活和社会变得越来越重要,保护他们的安全比利用他们攻击其他人更重要。

10月9日发布,2018年上午6:01查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.