密码图

11月15日2018

布鲁斯施耐尔188滚球网站
首席技术官,IBM弹性
188滚球网站schneier@schneier.com
https://www.188滚球网站schneier.com

免费每月通讯,提供摘要,188bet滚球投注分析,洞察力,和安全评188滚球网站论:计算机和其他。

对于后台问题,或订阅,访问Crypto-Gram的web页面.

同样的文章和新闻也出现在188滚球网站施耐尔谈安全博客,以及一个生动而聪明的评论部分。188滚球网站提供RSS源。


在本期中:

  1. DNA数据库如何侵犯每个人的隐私
  2. 老虎的隐私
  3. 政府对供应链安全的看法
  4. 西弗吉尼亚使用互联网投票
  5. 警方是否使用智能家居物联网设备来监视人们?
  6. 乔装
  7. 中国对边境网关协议的黑客攻击
  8. 安卓广告欺诈计划
  9. 检测假视频
  10. 互联网连接建筑起重机的安全漏洞
  11. 更多关于超级微型间谍的故事
  12. 手机安全和国家元首
  13. 50个州的ID系统
  14. Triton恶意软件攻击来自俄罗斯吗?
  15. 在eBay上购买二手投票机
  16. 如何惩罚网络罪犯
  17. 密码特洛伊狩猎
  18. 固态硬盘加密的安全性
  19. 消费者报告查看无线家庭安全摄像头
  20. iOS 12.1漏洞
  21. 大学数据的隐私与安全
  22. 五角大楼正在发布外国国家的恶意软件
  23. 在指纹中隐藏秘密信息
  24. 新的物联网安全法规
  25. 甲骨文与“责任披露”
  26. 更多幽灵/像攻击一样崩溃
  27. 即将到来的演讲

DNA数据库如何侵犯每个人的隐私

[2018年10月15日]如果你是欧洲裔美国人,有60%的几率你能被DNA数据库中的公共信息唯一地识别出来。这不是你公开的信息;这是你亲戚公开的信息。

研究纸张:

“使用长期家族搜索对基因组数据进行身份推断。”

文摘:消费者基因组数据库已达到数百万人的规模。最近,执法当局利用这些数据库中的一些,通过远亲鉴定嫌疑犯。利用128万人的基因组数据对消费者基因组学进行测试,我们研究了这项技术的威力。我们预计,在对欧洲后裔的搜索中,约有60%的人会找到第三代表亲或更接近的配偶,这可以让他们使用人口识别码进行识别。此外,这项技术可能在不久的将来牵连到几乎所有的美国欧洲人后裔。我们证明该技术还可以识别公共测序项目的研究参与者。基于这些结果,我们提出了一个潜在的缓解策略和政策对人类课题研究的影响。

好的新闻文章.


老虎的隐私

(2018.10.16)Ross Anderson有一些新工作:

随着手机信号塔在世界各地的丛林中拔地而起,热带稀树草原和山,偷猎也是如此。野生动物犯罪集团不仅可以更好地协调,而且可以挖掘不断增长的公共数据集,通常为地理标记图像.老虎的隐私问题,雪豹,大象和犀牛,甚至乌龟和鲨鱼。动物数据保护法,它们存在的地方,无视这些新的威胁,而且似乎没有人开始认真考虑信息安全。

视频在这里.


政府对供应链安全的看法

[20181.18]这是一个有趣的采访与一位前国家安全局雇员谈供应链安全问题。我考虑一下这个成为一个现在无法解决的问题。


西弗吉尼亚使用互联网投票

(2018.10.19)这是疯狂的(也是危险的)。西维吉尼亚州是允许人们通过智能手机应用投票。更疯狂,这个应用程序使用区块链——大概是因为他们不知道投票的安全问题实际上是.


警方是否使用智能家居物联网设备来监视人们?

[2018:1022]物联网设备是监视设备,制造商通常使用它们来收集客户的数据。监视仍然是互联网的商业模式,这些数据是为了客户的利益而使用的:由设备制造商或由制造商向其销售数据的第三方使用。当然,警察也可以使用这些数据;目的取决于国家。

这些都不是新的,其中大部分都在我的书中讨论过数据与歌利亚.对互联网公司来说,最常见的是发布“透明度报告”,至少提供警察如何使用这些数据的一般信息。物联网公司不会发布这些报告。

TechCrunch询问了很多公司,基本上发现没有人在说话.

Boing Boing帖子.


乔装

(2018.10.23)前中央情报局伪装局长精彩的视频对她的工作。


中国对边境网关协议的黑客攻击

[2018:1024]这是克里斯·C.写的一篇很长的,也有点技术性的论文。demchak和yuval shavitt谈到了中国对互联网边界网关协议(bgp)的反复入侵:中国的格言——不留任何未开发的接入点:中国电信BGP劫持的隐藏故事."

bgp黑客是如何大的 智力 机构操作Internet路由以使某些流量更容易被拦截。国家安全局称之为网络的形成或“交通塑造”。这是斯诺登档案馆的一份文件,概述了该技术如何与也门合作。

编辑添加(10/27):Boing Boing帖子.


安卓广告欺诈计划

[2018:1025]BuzzFeed是报告在欺诈者购买合法Android应用程序的计划中,跟踪用户的行为,以便以避开机器人探测器的方式模拟它,然后利用机器人来延续一个广告欺诈计划。

在获得了与该计划相关的应用程序和网站列表后,谷歌调查发现,数十个应用程序使用了其移动广告网络。它的独立分析证实了僵尸网络的存在,它推动了该计划中网站和应用程序的流量。谷歌已经从Play Store中删除了30多个应用程序,并在其广告网络中终止了多个发布者帐户。谷歌表示,在BuzzFeed News联系它之前,它已经删除了该计划中的10个应用程序,并屏蔽了许多网站。它继续调查,和发表了一篇博文详细说明其发现。

该公司估计,这次行动从使用谷歌的广告网络在受影响的网站和应用上投放广告的广告商那里窃取了近1,000万美元。该公司表示,在这些应用程序和网站上投放的绝大多数广告都是通过其他主要广告网络投放的。

BuzzFeed和Google链接中都有很多细节。

互联网广告业充斥着欺诈,所有级别。这只是众多方案中的一个。


检测假视频

[2018年10月26日] 这个故事很好地说明了创建假视频的技术和检测假视频的技术之间的军备竞赛:

这些假货,如果你在电话屏幕上看几秒钟,你会很有说服力,还不完美。它们包含告诉,就像令人毛骨悚然的睁大眼睛,从他们的创造过程中的缺陷。在深入研究深湖的内脏时,Lyu意识到这个程序从图像中学到的并不是很多闭着眼睛的图像(毕竟,你不会在眨眼的地方自拍,你会吗?).“这变成了一种偏见,”他说。神经网络没有得到眨眼。程序也可能会错过其他“人类固有的生理信号”,Lyu说纸张的现象,比如正常呼吸,或者有脉搏。(Autonomic signs of constant existential distress are not listed.) While this research focused specifically on videos created with this particular software,这是一个普遍承认的事实,即使是一大组快照也可能无法充分捕捉人类的物理体验,因此,在这些图像上训练过的任何软件都可能会被发现缺乏。

柳传志的一闪而过的揭露了许多假货。但是在他的团队把论文草稿放到网上几周之后,他们收到了匿名电子邮件,链接到极为虚假的YouTube视频,这些视频的明星们更正常地睁开和闭上眼睛。虚假内容创建者已经进化。

我不知道谁会赢得这场军备竞赛,如果有赢家的话。但假视频的问题更为严重:他们会影响人们,即使他们后来被告知自己是假的,总会有人相信自己是真实的,尽管有任何相反的证据。


互联网连接建筑起重机的安全漏洞

[2018. 似乎坏:

F25软件被发现包含捕获重放漏洞——基本上攻击者能够窃听起重机和控制器之间的无线电传输,然后在空中发出他们自己的欺骗命令来控制起重机。

US-CERT解释说:“这些设备使用固定的代码,可以通过嗅探和重新传输来复制。”

“这可能导致未经授权的命令重播,欺骗任意消息,或将控制负载保持在永久“停止”状态。”

这是CERT咨询。


更多关于超级微型间谍的故事

[2018.博客的 两次关于布隆伯格故事中国窃听了运往美国的超微型网络设备。我们仍然不知道这个故事是不是真的,虽然我越来越怀疑,因为缺乏确凿的证据出现。

我们什么都不知道,但是是对我读过的故事最全面的反驳。


手机安全和国家元首

(2018.10.30)本周早些时候,的纽约时报 报道俄罗斯和中国正在窃听美国总统唐纳德·特朗普(Donald Trump)的私人手机,并利用收集到的信息更好地影响他的行为。这不应该让任何人感到惊讶。安全专家一直 说话 关于特朗普当选总统后手机使用中潜在的安全漏洞。奥巴马总统竖立在——但是默认了——安全规则禁止他在总统任期内使用“普通”手机。

这个故事显然提出了三个更广泛的问题。还有谁在听特朗普的手机通话?其他国家领导人和高级政府官员的手机呢?而且——最私人的——怎么办?我的手机通话?

几乎任何通信系统都有两个基本的窃听点:终端和传输期间。这意味着,手机攻击者可以破坏其中一个手机或窃听手机网络。这两种方法都有其优点和缺点。美国国家安全局似乎更喜欢对地球上的主要通信链路进行大规模监听,然后挑选出感兴趣的个人。在2016年,维基解密公布了一系列机密文件,列出了“目标选择者”:国家安全局搜索并记录的电话号码。其中包括德国——其中包括默克尔总理--法国日本 其他 国家.

其他国家与国家安全局没有同样的全球影响力,必须使用其他方法拦截手机呼叫。我们不知道具体是哪个国家在做什么,但我们对这些弱点了解很多。电话网络本身的不安全性很容易被利用60分钟窃听美国国会议员的电话以相机为生在2016年。回到2005,未知的攻击者通过黑客攻击该国的电话网络和开启已安装的窃听功能。甚至美国国家安全局植入窃听功能用于叙利亚电话公司的网络设备。

另外,攻击者可以截获手机和发射塔之间的无线电信号。加密范围从非常弱可能是强大的,这取决于系统使用的味道。别以为袭击者必须把窃听天线放在白宫草坪上;俄罗斯大使馆离得很近。

窃听手机的另一种方法是侵入手机本身。这是不太成熟的情报能力国家所青睐的技术。在2017年,公共利益取证小组公民实验室发现了针对墨西哥人的广泛窃听活动律师记者,和反对党政治家——大概由政府管理。就在上个月,同一个组织发现以色列网络武器制造商NSO集团的产品具有窃听能力。操作在阿尔及利亚,孟加拉国,希腊印度,哈萨克斯坦,拉脱维亚,南非——总共有45个国家。

这些攻击通常包括下载恶意软件到智能手机上,然后记录通话,文本消息,以及其他用户活动,并转发给中央控制器。在这里,重要的是目标是哪部手机。iPhone更难破解,这反映在公司为新的开发能力支付的价格上。在2016年,漏洞代理Zerodium提供150万美元用于未知的iOS漏洞,20万美元用于类似的Android漏洞。今年早些时候,迪拜新成立的公司宣布更高的价格.这些漏洞被转售给政府和网络武器制造商。

价格差异的部分原因是两个操作系统的设计和使用方式不同。苹果对iPhone软件的控制比谷歌在Android手机上的控制要大得多。也,Android手机一般都是设计好的,建造,由第三方出售,也就是说它们是可能性要小得多及时获取安全更新。这正在改变。谷歌现在有了自己的手机——Pixel——它可以快速、定期地更新安全信息,谷歌现在正试图压力Android手机制造商将更定期地更新手机。(据报道特朗普总统使用iPhone。)

另一种入侵手机的方法是在设计过程中安装后门。这是一种真正的恐惧;今年早些时候,美国情报官员警告中兴通讯和华为制造的手机可能会受到政府的影响,和五角大楼命令在军事基地的商店停止销售。这就是为什么中国建议如果特朗普想要安全,他应该使用华为手机,是一个有趣的钓鱼。

鉴于大量的不安全感和窃听技术,可以肯定的是,许多国家都在监听外国官员和本国公民的电话。其中许多技术都在犯罪集团的能力范围内,恐怖组织,还有黑客。如果我猜的话,我想说,像中国和俄罗斯这样的主要国际大国正在使用更被动的拦截技术来监视特朗普,较小的国家害怕被抓到,不敢在他的手机上植入恶意软件。

可以肯定地说,特朗普总统并不是唯一的目标;国会议员也一样,法官,以及其他高级官员——尤其是因为没有人试图让他们中的任何人停止使用手机(尽管手机无论是众议院还是参议院都不允许)。

至于我们其他人,这取决于我们有多有趣。很容易想象一个犯罪集团窃听CEO的电话以获得在股市的优势,或者一个国家为了在贸易谈判中占优势而做同样的事情。我们看到政府使用这些工具对付持不同政见者,记者们,以及其他政治敌人。的中国人俄语政府已经瞄准美国电网;对他们来说,把目标对准那些负责电网的人的手机是有意义的。

不幸的是,为了提高手机的安全性,你没什么办法。与计算机网络不同,你可以购买防病毒软件,网络防火墙,诸如此类,你的手机很大程度上是由他人控制的。你的手机是由生产你手机的公司决定的,提供手机服务的公司,当这些都不是问题的时候,通信协议就发展起来了。如果其中一家公司不想为安全问题费心,你很脆弱。

这就是为什么目前关于手机隐私的争论,联邦调查局在一边想要窃听通讯和解锁设备的能力,另一方面,用户想要安全的设备,如此重要的原因。是的,联邦调查局能够利用这些信息来帮助解决犯罪,这是有安全效益的,但也有更大的好处因为电话和网络是如此的安全,包括联邦调查局在内的所有潜在窃听者都无法访问它们。我们可以执法其他取证工具,但我们必须保留外国政府,犯罪集团,恐怖分子,所有人都在电话里。总统可能因为喜欢他不安全的电话而发火,但我们每个人都在使用同样不安全的手机。对于我们中的许多人来说,让这些电话更私密是国家安全的问题。

本文以前出现过大西洋.

编辑补充:Steven Bellovin和Susan Landau有一个好文章在同一个主题上,一样有线.斜板帖子.


50个州的ID系统

[2018年10月31日]吉姆·哈珀在卡托报道好调查美国的身份证系统。


Triton恶意软件攻击来自俄罗斯吗?

[2018年10月31日]传统的说法是伊朗以沙特阿拉伯为目标特里顿在2017年。一项新的研究从火眼上看,它可能是俄罗斯。

我不知道。火眼喜欢把所有的事情都归因于俄罗斯,但是这里的证据看起来很好。


在eBay上购买二手投票机

[20181.01]这是不足为奇:

今年,我又买了两台机器,看看安全性是否有所改善。让我失望,我发现新型号的机器——那些2016选举——运行Windows CE和USB端口,以及其他组件,这使得它们比旧的更容易被利用。我们的投票机,被称为“下一代”,至今仍在使用,比以前更糟——分散了,杂乱无章,易受操纵。

科里·多克托罗188滚球网站是正确的:

投票机在各个方面都很糟糕:制造投票机的公司像疯子一样撒谎对自己的安全,坚持不安全的设计,生产不安全的机器破解投票机更容易而不是用它来投票。

我将此归咎于行业的保密性和大多数投票官员的无知。这并不是变得更好.


如何惩罚网络罪犯

【2018.11.02】第三种方式的有趣政策文件:“抓住一个黑客:朝着一个全面的战略识别,追求,并惩罚恶意的网络行动者“:

在这篇文章中,我们认为,美国目前缺乏一个全面的总体战略方法来确定,停止并惩罚网络攻击者。我们表明:

  • 网络犯罪浪潮正在兴起:在美国,一股不断上升且常常看不见的犯罪浪潮正在迅速蔓延。每年大约有30万起恶意网络事件报告,包括高达194000个,可以可信地称为个人或系统范围的违规或企图违规。这可能是一个巨大的卧底,因为许多受害者没有报告入室抢劫开始。攻击每年给美国经济造成的损失从570亿美元到1090亿美元不等,而且这些成本正在增加。
  • 有一个惊人的网络执法差距:我们对公开数据的分析表明,与现实世界中的犯罪分子相比,网络犯罪分子的行为几乎不受惩罚。我们估计,网络执法工作非常分散,只有不到1%的恶意网络事件看到针对攻击者采取的执法行动。
  • 美国没有针对人类攻击者的全面网络实施战略:尽管最近发布了a国家网络战略,美国仍然缺乏一个全面的战略方法来确定,追求,惩罚恶意的网络攻击者以及他们背后的组织和国家。我们认为,美国距离这一人类袭击战略的距离,与美国在9/11事件前几周和几个月采取的打击恐怖主义的战略方法相差甚远。

为了缩小网络执法差距,我们主张制定一项全面的执行战略,在美国网络安全政策中实现基本的再平衡:从高度重视建立更好的网络防御系统以抵御入侵,到在追捕人类攻击者方面做出更有力的努力。我们呼吁美国采取十项政策行动,以形成一个全面的执行战略轮廓,以便更好地识别,追捕并将恶意网络行动者绳之以法,包括加强执法,加强外交努力,并为此制定一个可衡量的战略计划。


密码特洛伊狩猎

(2018.11.05)Troy Hunt有好文章关于为什么密码会留在这里,尽管存在安全问题:

这就是为什么密码在可预见的将来不会出现在任何地方,也就是为什么[在这里插入东西]不会杀死它们。如果只关注密码有多糟糕,或者有多少账户被破解,或者当人们无法访问他们的账户时,所需的费用,那么这一切都不会改变。[在这里插入内容]的技术能力也不会改变讨论,因为它根本无法与密码竞争,一个度量标准组织如此关注:可用性。当然,会出现边缘情况,当然还有一些情况是,由于受保护资产的性质或受众的人口统计,更大的摩擦是合理的,但你不会看到你的日常电子商务,社会媒体,甚至银行网站都在大规模变化。

他正确地指出,生物识别认证系统——比如苹果的人脸识别和指纹认证——增加了密码,而不是取代它们。我想加上一个好的双因子系统,像哆一样,同时增加密码而不是替换它们。

黑客新闻线.


固态硬盘加密的安全性

[2018.11.06]日有趣的研究:“自加密欺骗:固态硬盘(SSD)加密的弱点“:

文摘:通过对几种固态硬盘的固件进行反向工程,分析了固态硬盘的硬件全磁盘加密。理论上,硬件加密提供的安全保证类似于或优于软件实现。在现实中,我们发现许多硬件实现都有关键的安全弱点,对于许多模型,允许在不知道任何秘密的情况下完全恢复数据。BitLocker微软Windows内置的加密软件将完全依靠硬件全磁盘加密,如果SSD广告支持它。因此,对于这些驱动器,BitLocker保护的数据也受到了损害。这就挑战了硬件加密优于软件加密的观点。我们得出的结论是,不应该仅仅依赖于SSD提供的硬件加密。

编辑添加:NSA已知攻击 固件固态硬盘。

编辑添加(11/13):证书咨询.和老研究.


消费者报告查看无线家庭安全摄像头

[20181.07] 消费者报告正在开始评估物联网设备的安全性。作为其中的一部分,它是回顾无线家庭安全摄像头。

它发现D-Link摄像头存在严重的安全漏洞:

相反,D-Link不将DCS-2630L上的视频存储在云中。相反,相机有自己的,在web服务器,它可以以不同的方式向用户传送视频。

用户可以使用应用程序查看视频,MydLink Lite。视频是加密的,它通过D-Link的公司服务器从相机传输,最终用户的手机。用户还可以通过公司网页访问相同的加密视频源,MydLink网站.这些都是访问视频的安全方法。

但是,D-Link摄像头还允许您绕过D-Link公司服务器,直接通过笔记本电脑或其他设备上的Web浏览器访问视频。如果你这样做,摄像头上的Web服务器不加密视频。

如果设置这种远程访问,摄像头和未加密的视频向网络开放。任何发现或猜测相机IP地址的人都可以发现它们——如果您没有设置强密码,黑客可能会发现很容易获得访问权限。

真正的消息是消费者报告能够对设备制造商施加压力:

在响应消费者报告查询时,D-Link表示将加强安保更新这个秋天.消费者报告将在这些更新可用时对其进行评估。

这就是我们需要对物联网设备制造商施加的持续压力。

Boing Boing链接.

编辑补充(11/13):美国联邦贸易委员会就是这样起诉因为他们的路由器很不安全。诉讼 提出2017年1月。


iOS 12.1漏洞

[20181.08]这只是想指出计算机安全是真的很难:

几乎在苹果周二发布iOS 12.1之后,一位西班牙安全研究人员发现了一个漏洞,该漏洞利用组FaceTime调用,允许任何人访问iPhone用户的联系信息,而无需密码。

[…]

一个坏的行为人将需要他们所瞄准的手机的物理访问,并且有一些选项来查看受害者的联系信息。他们要么用另一部iPhone打电话,要么自己打电话。一旦电话接通,他们将需要:

  • 选择FaceTime图标
  • 选择“添加”
  • 选择加号图标
  • 滚动浏览联系人并使用3D触摸名称查看存储的所有联系人信息。

在不输入密码的情况下拨打电话,你可以告诉Siri电话号码,或者,如果他们不知道号码,他们可以说“打我的电话”。我们用车主的声音和陌生人的声音测试了这一点,在这两种情况下,Siri发起了呼叫。


大学数据的隐私与安全

[2018.11.09]有趣的论文:“公开数据,灰色数据,和管理:隐私前沿的大学,“克里斯汀·博格曼:

文摘:随着大学认识到它们收集和保存的数据的内在价值,他们在以平衡问责制的方式管理这些数据方面遇到了不可预见的挑战,透明度,保护隐私,学术自由,以及知识产权。学术数据收集的两个并行发展正在汇聚:(1)开放访问需求,研究人员必须提供查阅其数据的途径,作为获得资助或在期刊上发表研究成果的条件;(2)个人在日常研究活动中大量积累的“灰色数据”,教学中,学习,服务,和管理。研究和灰色数据之间的界限越来越模糊,使评估与任何数据收集相关的风险和责任变得更加困难。许多数据集,无论是研究还是灰色,违反隐私规定,如HIPAA,费尔帕,和PII。大学正在利用这些数据进行研究,学习分析,教员评估,战略决策,以及其他敏感问题。商业实体正包围着大学,要求获得数据或建立伙伴关系来开采数据。研究性大学所面临的隐私前沿跨越了开放访问实践,数据的使用和误用,公共记录请求,网络风险,以及保护隐私的数据。本文通过借鉴加州大学在隐私和信息安全方面的开创性工作,探讨了数据管理中固有的竞争价值,并提出了实践建议。数据治理,和网络的风险。


五角大楼正在发布外国国家的恶意软件

[2018.11.09]这是一个新事物:

五角大楼突然开始将来自APTS和其他国家来源的恶意软件样本上传到Virustotal网站,它本质上是一个恶意软件动物园,由安全专家和防病毒/恶意软件检测引擎使用,以更好地了解威胁形势。

这似乎是美国主动骚扰外国政府行动者的新战略的一个例子。通过公开他们的恶意软件,美国正迫使他们不断地发现和利用新的弱点。

编辑后增加(11/13):是另一篇好文章。和在这里 关于恶意软件的一些背景。


在指纹中隐藏秘密信息

(2018.11.12)这是一个有趣的 隐写术 应用程序:在指纹图像中隐藏消息。

看不出它有什么实际用途,但没关系。


新的物联网安全法规

[20181.13]由于不断发展的技术进步,制造商们正以惊人的速度将消费品——从玩具到灯泡,再到主要电器——连接到互联网。这是物联网,这是一场安全噩梦。

物联网将产品与通信技术融合,使日常生活更加轻松。想想亚马逊的Alexa,它不仅可以回答问题,播放音乐,还可以控制家里的灯和恒温器。或是目前植入的起搏器,它既可以接收命令,也可以通过互联网向医生发送信息。

但就像几乎所有的创新一样,存在风险。对于从物联网中诞生的产品,这意味着个人信息被盗或设备被远程超车和控制的风险。对于以直接的物理方式影响世界的设备——汽车,起搏器,恒温器——风险包括生命和财产的损失。

通过开发更高级的安全功能并将其构建到这些产品中,可以避免黑客攻击。问题在于,对于企业而言,没有资金激励它们投资于确保产品安全所需的网络安全措施。消费者会购买没有适当安全功能的产品,不知道他们的信息容易受到攻击。现行的法律使得公司很难为劣质的软件安全负责。

立法者必须制定保护消费者的法律。虽然美国政府在消费者保护方面基本上不存在,加利福尼亚州最近举步 开始规范物联网,或“物联网”设备在该州销售——这种影响很快就会在全世界范围内感受到。

加州的新锑327定律,将于2020年1月生效,requires all "connected devices" to have a "reasonable security feature." The good news is that the term "connected devices" is broadly defined to include just about everything connected to the Internet.不太好的消息是,“合理的安全”仍然被定义为这样的公司试图避免遵守可以辩称法律是不可执行的。

立法要求安全功能必须能够保护设备及其信息免受各种威胁,并适合设备的性质及其收集的信息。加州司法部长将解释这项法律,并确定具体细节。这肯定是科技公司大量游说的主题。

法律中只有一个不受司法部长解释的具体规定:不允许使用默认密码。这是件好事;这是一种可怕的安全措施。但这只是物联网设备中常见的几十种糟糕的“安全”措施之一。

这条法律不是灵丹妙药.但我们必须从某个地方开始,这是一个开始。

虽然该法案只涵盖了加州,它的影响将进一步扩大。我们所有人——在美国或其他地方——都可能受益于软件的编写和销售方式。

汽车制造商在世界各地销售汽车,但它们是为当地市场定制的。你在美国买的车和同一款车不一样在墨西哥销售,因为当地的环境法不一样,制造商根据产品的销售地点来优化引擎。制造和销售汽车的经济性很容易使这种差异化得以实现。

但是软件是不同的。一旦加州强制推行物联网设备的最低安全标准,制造商将不得不重写他们的软件来遵守。在这一点上,有两个版本是没有意义的:一个适用于加利福尼亚,另一个适用于其他地方。单身生活更容易维持,更安全的版本和销售它无处不在。

欧洲通用数据保护条例(全球存托凭证),执行了网站上弹出的恼人的警告和协议,这是另一个超越物理边界的法律例子。你可能已经注意到网站的增加,迫使你承认你已经阅读并同意网站的隐私政策。这是因为很难区分受GDPR保护的用户——在欧盟的人,无论他们身在何处,也不管他们身在何处。将这种保护扩大到每个人身上更容易。

一旦这种排序成为可能,公司会,很可能,回到对那些仍是公平猎物的人进行有利可图的资本主义监督的做法上来。监视仍然是互联网的主要商业模式,公司想要尽可能多地监视我们和我们的活动,这样他们就可以卖给我们更多的东西,并将他们所知道的我们的行为货币化。

不安全感只有在全球范围内不受影响时才会带来好处。一旦你不能,你倒不如出于需要而养成一种美德。所以每个人都会从加州法规中受益,就像世界上任何一个大到足以产生影响的市场所颁布的类似安全法规一样,就像所有人一样利益从涉及数据安全的gdpr合规性部分。

最重要的是,像这样的法律刺激了网络安全的创新。马上,我们市场失灵了。因为法院传统上不审判软件制造商负责漏洞,因为消费者没有专业知识来区分安全产品和不安全产品,制造商优先考虑低价,迅速将设备推向市场,并在安全性上增加额外的功能。

但一旦政府介入并实施更严格的安全法规,公司有动力尽快达到这些标准,便宜地,尽可能有效。这意味着更多的安全创新,因为现在有了新创意和新产品的市场。我们在安全和安保工程中一次又一次地看到这种模式,我们也将在物联网上看到它。

物联网设备更多危险的比我们传统的电脑,因为它们能感知我们周围的世界,以直接的身体方式影响那个世界。提高这些设备的网络安全至关重要,令人鼓舞的是,看到个别国家和欧盟都在美国联邦政府放弃责任的地方介入。但我们需要更多,很快。

本文以前出现过在CNN.com上。


甲骨文与“责任披露”

【2018.11.14】十多年来,我一直在写“负责任的披露”;这里是一篇论文从2007年开始。基本上,这是研究人员和软件供应商之间达成的默契。研究人员同意在软件公司修复这些漏洞之前暂停他们的工作,软件供应商也同意不要骚扰研究人员并快速修复漏洞。

当协议破裂时,事情很快就会变坏。这个故事是关于一个研究人员发布了一个甲骨文零日,因为甲骨文有骚扰研究人员和忽视漏洞的历史。

软件供应商可能不喜欢负责任的披露,但这是我们最好的解决方案。未经供应商同意发布漏洞是非法的,这意味着它们不会很快得到修复——而且每个人的安全性都会降低。这也意味着更少的安全研究。

对于以直接物理方式影响世界的软件,这将变得更加关键,比如汽车和飞机。负责任的披露让我们更安全,但是,只有软件供应商认真对待这些漏洞并快速修复它们时,它才起作用。如果没有任何强制规定,披露的威胁是我们可以对软件供应商施加的唯一激励。


更多幽灵/像攻击一样崩溃

【2018.11.14】回到一月份,我们 学会了关于一类针对微处理器的漏洞,利用各种性能和效率快捷方式进行攻击。我写的前两次攻击只是开始:

微处理器设计人员20年来一直在构建不安全的硬件,这并不奇怪。令人惊讶的是,它花了20年才被发现。为了让电脑更快,他们没有考虑安全问题。他们没有找到这些漏洞的专业知识。而那些做了这些的人正忙于寻找正常的软件漏洞来检查微处理器。安全研究人员开始更仔细地研究这些系统,因此,希望听到更多关于这些方面的漏洞。

幽灵和崩溃是相当灾难性的弱点,但它们只影响数据的保密性。现在,他们——以及对IntelMe漏洞的研究——已经向研究人员展示了该往哪里看,更多的是即将到来的——他们将会发现比幽灵或者崩溃更糟糕的事情。存在允许攻击者跨进程操作或删除数据的漏洞,控制我们的汽车或植入医疗设备的电脑可能致命。这些问题同样不可能解决,唯一的策略就是扔掉我们的设备,买新的。

我们看到几个 变体一年来。现在研究人员发现七更多.

研究人员表示,他们在执行“可靠的、可扩展的瞬时执行攻击系统化”时,发现了7种新的CPU攻击。例如投机执行过程,CPU的内部缓存,以及其他内部执行阶段。

研究小组表示,他们已经成功地用概念验证代码演示了所有7种攻击。确认其他六起熔毁袭击的实验没有成功,根据研究人员公布的图表。

微处理器设计者花了一年的时间重新考虑他们架构的安全性。我的猜测是他们有更多的反思要做。


即将到来的演讲

【2018.11.14】这是我预定演讲的地点和时间的当前列表:

列表保存在本页.


自1998以来,CRYPTO-GRAM是一个免费的每月通讯,提供摘要,188bet滚球投注分析,洞察力,以及对安188滚球网站全技术的评论。订阅,或者读回问题,看见Crypto-Gram的web页面.

你也可以在我的博客上阅读这些文章,188滚球网站施耐尔谈安全.

请随时转发加密程序,全部或部分,致同事和朋友,他们会发现它的价值。亦获准许重印密码图,只要全部再版。

Bruce 188滚球网站Schneier是国际知名的安全技术专家,被称为安全专家经济学家.他是14本书的作者,其中包括金宝搏博彩公司纽约时报畅销书数据和巨人:收集数据和控制世界的隐藏战斗——还有几百篇文章,论文,和学术论文。他的时事188bet滚球投注通讯和博客被超过25万人阅读。188滚球网站施奈尔是哈佛大学伯克曼·克莱因互联网与社会中心的研究员;哈佛大学肯尼迪学院公共政策讲师;电子前沿基金会的董事会成员,立即访问,Tor项目;以及EPIC和VerifiedVoting.org的顾问委员会成员。他还是IBM Security和IBM resilience的首席技术官的特别顾问。

Cryptogram是一份个人通讯。188bet滚球投注表达的意见不一定是IBM的意见,IBM安全,或者IBM的弹性。

版权所有©2018 Bruce Schneier。188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.