Crypto-Gram

12月15日2018

由Bruce Sc188滚球网站hneier
首席技术官,IBM有弹性
188滚球网站schneier@schneier.com
网址:https://w188滚球网站ww.schneier.com

免费每月通讯,提供摘要,188bet滚球投注分析,的见解,以及关于188滚球网站安全性的评论:计算机等。

对于后台问题,或者订阅,参观Crypto-Gram的web页面.

同样的文章和新闻也出现在188滚球网站Schneier安全博客,以及一个生动而睿智的评论区。188滚球网站RSS提要可用。


在这个问题上:

  1. 在美国,芯片卡无法减少信用卡欺诈
  2. 隐藏在街灯下的摄像头
  3. 邮寄技术支持炸弹
  4. 以色列的监控装置
  5. 最坏的想法会滋生恐惧和非理性。
  6. 网络9/11发生了什么?
  7. PCLOB需要一名董事
  8. 针对民主的信息攻击
  9. 利用机器学习制造假指纹
  10. 监视如何抑制言论自由
  11. 宣传和对政府信任的削弱
  12. 通过成为开源项目的管理员来分发恶意软件
  13. 联邦调查局拿下了一个巨大的广告诈骗团伙
  14. 彭博的供应链黑客故事
  15. 三转子恩尼格玛机今天拍卖
  16. 点击这里杀死所有人新闻
  17. 美国司法部破解密码学的秘密法律论据
  18. 糟糕的消费者安全建议
  19. 聊天机器人的安全风险
  20. 你的个人资料已经被偷了
  21. 银行通过连接到本地网络的恶意硬件攻击
  22. 国家安全局的后遗症Cryptolog
  23. 人工智能2018年年报
  24. 澳大利亚的新后门法
  25. 万豪黑客被报道为中国政府赞助
  26. 针对双因素身份验证的实时攻击

在美国,芯片卡无法减少信用卡欺诈

(2018.11.15)一项新研究发现自从在美国引入芯片卡以来,信用卡欺诈行为并没有减少。大部分被盗的卡信息来自被黑客入侵的销售点终端。

原因似乎有两方面。一,美国使用的是芯片加签名而不是芯片加密码,排除了芯片最关键的安全效益。第二,美国商人仍然接受磁条卡,这意味着窃贼可以从芯片卡上窃取凭证,并创建一个可以工作的克隆mag条卡。

Boing Boing帖子.


隐藏在街灯下的摄像头

【2018.11.16】美国缉毒局(DEA)和移民与海关执法局(ICE)都是隐藏街灯上的监控摄像头。

根据政府采购数据,DEA支付给休斯顿,德州公司称牛仔街灯隐藏有限责任公司自2018年6月以来约为22000美元,用于“录像和复制设备”。ICE在同一时期向牛仔街灯隐藏支付了约28000美元。

不清楚DEA和ICE路灯摄像头安装在哪里,或者下一次部署将在哪里进行。ICE在达拉斯的办公室,休斯顿,圣安东尼奥也为最近从牛仔街灯隐蔽处的收购提供了资金;DEA最近的收购是由该机构的调查技术办公室资助的,位于洛顿,维吉尼亚州。

5万美元买不到很多街灯监控摄像头,所以,要么这是一个试点项目,要么其他地方还有很多我们不知道的采购项目。


邮寄技术支持炸弹

【2018.11.16】我理解他的沮丧,但极端:

当警察问CryptoPay是什么促使Salonen向公司发送管道炸弹——或者,更确切地说,两个管炸弹,这是调查人员在拆开爆炸包裹时发现的——该公司唯一能想到的是,它拒绝了他更改密码的请求。

2017年8月,SalonenCryptoPay的客户,通过电子邮件向客户服务团队索要新密码。他们拒绝了,考虑到这违反了公司的隐私政策。

公平点,因为在电子邮件中发送新密码从来不是一个好主意。密码重置链接更安全,虽然还不清楚Cryptopay是否向Salonen提供了这个选项。


以色列的监控装置

(2018.11.18)以色列国防军在加沙发动了一次拙劣的袭击。他们试图安装监视装置,他们最后把它留下了。(有照片以色列媒体声称,哈马斯夺取这一装备对以色列的电子监视能力造成重大损害。以色列人自己摧毁了突击队进入加沙的车辆。我猜他们这么做是因为他们不想落入巴勒斯坦人的手中。

有人能明智地推测照片所显示的内容吗?如果互联网上还有其他照片,请他们。


最坏的想法会滋生恐惧和非理性。

(2018.11.18)这是一个疯子 故事来自英国。基本上,有人看到一个男人和一个小女孩离开购物中心。而不是想"这一定是一对父女,他认为:“这显然是一起儿童绑架案,我必须立即通知当局。”警方说,不是在想“为什么这会是绑架,而不是正常的父母活动,”而是在想“哦,天哪,我们必须立即惊慌失措。”他们确实如此,爬架直升机,搜索离开购物中心的车辆,挨家挨户寻找线索。7个小时后,警察最终意识到她睡在床上是安全的。

勒诺·斯科纳兹进一步写道以下内容:

当我们看到一些实际上是好的东西,就跳到最坏的可能结论时,我们能同意有些事情是错误的吗?Furedi在一封邮件中补充说,“一些父亲告诉我,在公开亲吻孩子之前,他们会思考和环顾四周。社会已经准备好将最无辜的手势解释为虐待儿童的前奏。”

我们的工作就是按下重置按钮。

如果你看到一个成年人和一个孩子在光天化日之下,认为他们是看护者和孩子并不是不负责任的。记得的统计来自大卫·芬克尔霍,新罕布什尔大学儿童犯罪研究中心主任。他没有听说过任何一个孩子在公共场合被父母绑架并被卖到性交易市场的案例。

我们很想知道"“当我们真正看到的是一种远没有那么令人兴奋的东西——日常生活时。”让我们关注现实吧。

这就是“看到什么,说点什么“心态。作为我写的早在2007年:

如果你让业余爱好者充当一线安全人员,当你得到业余保安时,你不应该感到惊讶。

警察需要了解基率缪误更好。


网络9/11发生了什么?

(2018.11.19)一个最近的文章大西洋问我们为什么在过去15年左右的时间里没有看到“网络9/11”。(我,同样的,请记住“网络珍珠港”、“网络卡特里娜”等日益疯狂和可怕的警告,而“网络卡特里娜”是什么时候的事情,或者“网络9/11”。使 乐趣作者的回答是:

三个主要障碍可能阻止了这一点。一方面,网络攻击可能缺乏恐怖分子所寻求的那种戏剧性和直接的身体杀戮。识别网络攻击的具体肇事者也可能很困难,这意味着恐怖分子可能很难从明确的归属中获得宣传上的好处。最后,最简单,有可能他们就是做不到。

188滚球网站评论在这篇文章,罗伯·格雷厄姆补充道:

我认为有很多所谓的“专家”发出的警告,他们没有资格发出这样的警告,媒体犯了错误,他们错误地给予这些警告可信度,而不是挑战它们。

我认为网络恐怖主义没有发生的主要原因是激发暴力分子的动机和激发技术人员的动机是不同的,把那些想从事网络恐怖活动的组织和那些有能力的组织分开。

这些都是很好的理由,但我认为两位作者都忽略了最重要的一点:恐怖分子并不多。让我们更笼统地问这个问题:为什么自2001年以来没有发生另一起9/11事件?我还记得一些可怕的预言,说大规模恐怖主义是新常态,我们会经常看到9/11规模的攻击。但从那时起,没有什么。我们可以相信美国和其他国家出色的反恐工作,但更合理的解释是,恐怖分子很少,有组织的恐怖分子更少。我们对恐怖主义的恐惧是更大的比实际风险大。

这并不是说网络恐怖主义永远不会发生。当然会的,迟早的事。但我不认为它会很快成为首选的恐怖主义手段。格雷厄姆:

最后,如果你的目标是造成大停电,你最好的办法是炸毁电线和配电中心,而不是破解它们。


PCLOB需要一名董事

(2018.11.20)美国隐私和公民自由监督委员会对于一个导演。除此之外,这个委员会对国家安全局有一些监督作用。更确切地说,它可以检查任何行政分支机构在反恐方面的行动。因此,它可以检查TSA观察名单的程序,国家安全局反恐监视,还有FBI的反恐行动。

PCLOB成立于2004年(当时做得不多)。从2007-2012年消失,并于2012年重组。它发布了一个主要报告关于2014年美国国家安全局的监控。从那时起,它就缩小了,只有一个成员的。上个月,参议院确认三个新成员,包括埃德·法尔顿。

所以,如果外面有人感兴趣,这可能是一项重要的工作。


针对民主的信息攻击

(2018.11.21)民主是一个信息系统。

这就是我们新论文的出发点常识攻击民主”。在这篇文章中,我们从信息安全的角度看待民主,试图了解当前互联网虚假信息攻击的浪潮。具体地说,我们想要解释为什么在俄罗斯起到稳定作用的虚假信息运动正在破坏美国的稳定。

答案围绕着专制和民主作为信息系统的不同运作方式。我们首先区分社会在其政治制度中使用的两种类型的知识。第一个是共同的政治知识,这是社会中人们广泛认同的信息主体。人们对统治者是谁以及他们对合法性的要求达成了一致。人们对政府的运作有广泛的共识,即使他们不喜欢。在一个民主国家,人们对选举是如何运作的看法是一致的:选区是如何建立和定义的,如何选择候选人,他们的选票很重要——即使只是粗略和不完美的。

我们将其与我们所称的一种截然不同的知识形式进行对比。有争议的政治知识,那就是,广泛地说,社会上人们不同意的事情。例子很容易想到:政府应该在经济中发挥多大的作用,税收规则应该是什么,什么样的规章制度有益,什么样的规章制度有害,等等。

这似乎是基础,但当我们对比专制国家和民主国家的这两种知识形式时,就会变得有趣起来。这两种形式的政府对共同的和有争议的政治知识有着不相容的需求。

例如,民主国家利用人民内部的分歧来解决问题。不同的政治团体对如何治理有不同的想法,这些团体通过说服选民来争取政治影响力。对于谁将负责和能够制定政策目标也存在长期的不确定性。理想的,这是一种机制,通过这种机制,一个政体可以利用其成员的不同观点,更好地解决复杂的政策问题。当没有人知道下次选举后谁将掌权时,不同的政党和候选人将争着说服选民相信不同政策提案的好处。

但是为了让它起作用,政府的职能和政治领导人的选择都需要有共同的知识。还需要对谁是政治行动者有共同的认识,他们和他们的政党所代表的,以及他们之间的冲突。此外,这些知识分散在各种各样的行动者身上——这是一个基本要素,因为普通公民在政治决策中扮演着重要的角色。

与独裁相比。在那里,关于谁长期负责以及他们的政策目标是什么的共同政治知识是稳定的基本条件。独裁不需要对选举的有效性和公平性有共同的政治知识,努力保持对其他形式政治常识的垄断。他们积极压制对其社会内潜在群体的共同政治知识,他们的受欢迎程度,以及他们如何形成联盟。另一方面,他们受益于关于非政府组织和社会行为者的有争议的政治知识。如果没有人真正知道其他政党可能会形成,它们可能代表什么,他们可能会得到什么支持,这本身就是这些政党形成的重大障碍。

这种差异对安全有重要影响。独裁政权容易受到信息攻击,这些攻击挑战了他们对共同政治知识的垄断。他们很容易受到外界信息的影响,这些信息表明政府在操纵共同的政治知识以谋取自身利益。他们很容易受到攻击,这些攻击会转化为有争议的政治知识——关于统治政权潜在对手的不确定性,他们的受欢迎程度和他们形成联盟的能力——形成共同的政治知识。像这样的,他们容易受到工具的攻击,这些工具使人们能够更容易地沟通和组织,以及为公民提供外部信息和视角的工具。

例如,在阿拉伯之春开始之前,突尼斯政府对常识有广泛的控制。它要求每个人都公开支持这个政权,使公民很难知道还有多少人讨厌它,它还阻止了潜在的反政府联盟的组织。然而,它没有及时关注Facebook,这使得公民更容易谈论他们多么憎恨他们的统治者,而且,当一个最初的事件引发了抗议,迅速组织反对现政权的大规模示威。阿拉伯之春在许多国家步履蹒跚,但是,像俄罗斯这样的国家将互联网开放议程视为一柄刺向他们喉咙的刀子,这并不奇怪。

民主国家,相比之下,易受信息攻击,将共同的政治知识转化为有争议的政治知识。如果人们对选举结果持不同意见,或者人口普查过程是否准确,那么民主就受挫了。同样地,如果人们对社会中的其他观点失去了任何认识,谁是真实的,谁不是真实的,那么,民主赖以繁荣的辩论和论据将被贬低。这似乎是俄罗斯针对美国发起的信息运动的目标:削弱我们对维系我们国家的机构和体系的集体信任。这也是作家们喜欢的情况陈德良彼得Pomerantsev在今天的俄罗斯,没有人知道哪个党派或声音是真实的,他们是政府的傀儡,造成普遍的偏执和绝望。

这种差异解释了同样的政策措施如何能够增加一种制度的稳定性,而减少另一种制度的稳定性。我们已经看到,开放的信息流使民主国家受益,同时也威胁到专制国家。用我们的语言,他们将支持有争议的政治知识的政权转变为破坏公共政治知识的政权。而且最近,我们已经看到了同样的信息流的其他用途,通过将政权支持的共同政治知识转变为政权破坏有争议的政治知识,从而破坏民主。

换句话说,同样的假新闻技术,通过让每个人都不确定政治选择,造福独裁者,通过让人们质疑约束他们社会的共同政治制度,破坏民主。

这个框架不仅帮助我们理解不同的政治体系是多么脆弱,它们是如何被攻击的,以及如何加强民主国家的安全。第一,我们需要更好地捍卫民主国家需要发挥作用的共同政治知识。也就是说,我们需要增强公众对维护民主的体制和制度的信心。第二个,我们要加大外部政治集团与内部政治集团合作、组织造假攻击的难度,通过政治资金和支出透明度等措施。最后,我们需要把局内人对普通政治知识的攻击,视为与外国人同样具有威胁性的攻击。

里面还有很多报纸.

本文由亨利·法雷尔合著,和之前出现在lawfare.com上。


利用机器学习制造假指纹

(2018.11.23)研究人员 能力 创建假指纹导致20%的假阳性率。

问题在于,这些传感器只获取用户指纹的部分图像——在与扫描仪接触的点上。该报指出,由于部分印刷品不如完整印刷品那么独特,一个部分打印与另一个匹配的机会很高。

人工生成的指纹,研究人员将其命名为DeepMasterPrints,利用上述漏洞,准确模拟数据库中五分之一的指纹。该数据库最初被认为只有千分之一的错误率。

研究人员利用的另一个弱点是一些自然指纹特征的高流行率,如循环和螺纹型,与其他人相比。有了这样的理解,该团队生成了一些包含这些常见特性的打印。他们发现这些人造指纹比正常情况下更可能与其他指纹匹配。

如果这个结果是可靠的——我认为它将在未来几年得到改进——它将使目前这一代指纹阅读器作为安全生物识别技术过时。这也开启了生物识别认证系统和假生物识别技术之间的军备竞赛的新篇章,假生物识别技术可以愚弄他们。

更有趣的是,我想知道类似的技术是否可以用来对付其他生物特征识别技术。

研究.

Slashdot线


监视如何抑制言论自由

(2018.11.26)在我的书里数据与歌利亚,我写关于隐私的价值。我谈到了政治自由和正义的重要性,以及商业上的公平和平等。我谈到它如何增加个人自由和个人自主,它的缺乏如何使我们所有人变得不那么安全。但这可能是关于为什么整个社会必须保护隐私的最重要论点:它允许社会进步。

我们知道监控会对自由产生寒蝉效应。当人们在监视下生活时,他们会改变自己的行为。他们不太可能畅所欲言,也不太可能单独行动。他们自我审查。他们变得墨守成规。这对于政府监控显然是正确的,但对企业监控来说也是如此。当别人看着我们的时候,我们只是不愿意做我们自己。

让我们举个例子:听说父母和孩子在穿越美国边境时被分开,你想了解更多。你访问一个国际移民权利组织的网站,政府可以通过大规模的互联网监控获得这一事实。你注册组的邮件列表,另一个政府可能有的事实。然后,团队会打电话或发电子邮件邀请您参加本地会议。相同。开车去开会时可以领取车牌;当你进出会议时,你的面部可以被扫描和识别。如果,而不是访问网站,你可以访问该小组的Facebook页面,Facebook知道你这样做了,并将其反馈到你的个人资料中,可供广告主和政治活动家使用。如果你喜欢他们的页面,与你的朋友分享链接,或者只是发表关于这个问题的文章。

也许你自己也是移民,记录。或者你的一些家人。或者你的朋友或同事也是。如果你知道你的兴趣和关注可以被政府和企业行为体收集和利用,你参与其中的可能性有多大?如果你感兴趣的问题是赞成或反对枪支管制,反警察暴力还是支持警察?有什么区别吗?

也许问题不重要,而且,你永远不会害怕被基于你的政治或社会利益来识别和跟踪。但即使你无所畏惧,你可能知道有些人会失去更多,更令人害怕的是,从他们的个人,性,或者政治信仰暴露。

这不仅仅是假设。在9/11恐怖袭击后的几个月和几年里,我们中的许多人会审查我们在社交媒体上谈论的内容或在互联网上搜索的内容。我们从2013年的一项笔试研究中得知,美国作家出于害怕政府的监视而自我审查自己的浏览习惯。这不仅仅是美国的活动;互联网自我审查在全球普遍存在,中国就是最好的例子。

最终,这种恐惧在两方面使社会停滞不前。第一,监督的存在意味着社会不能在不害怕报复的情况下尝试新事物,这意味着这些实验——如果被发现对社会没有影响甚至是必不可少的——不能慢慢变得司空见惯,道德,然后法律。如果监控将这一过程扼杀在萌芽状态,改变永远不会发生。所有的社会进步——从结束奴隶制到争取妇女权利——都始于这样的思想,毫不夸张地说,危险的断言。然而没有安全发展的能力,讨论,最终按照这些主张行事,我们的社会不可能像现在这样促进其民主价值观。

想想世界各地几十年来为同性恋权利而进行的斗争。在我们的一生中,我们在对抗恐同症和增加对同性恋者结婚权利的接受方面取得了巨大的进展。奇怪的关系慢慢地从被视为不道德和非法的,被认为有点道德和宽容,最终被接受为道德和法律。

最后,正是这些活动的公共性质最终杀死了这个顽固的野兽,但是私下行动的能力在早期实验中是必不可少的,社区建设,和组织。

大麻合法化正经历着同样的过程:它目前处于某种道德上,而且——取决于所涉及的州或国家——容忍和合法。但是,再一次,为了这件事的发生,几十年前有人试过大麻,意识到它并不是真的有害,无论是对自己还是对周围的人。然后它就变成了一种反主流文化,最后是社会和政治运动。如果普遍的监视意味着那些早期吸烟者会因为做非法的事情而被捕,在《盗梦空间》之前,这一运动就已经被压制了。当然,这个故事比这更复杂,但是,社会成员私下吸食大麻的能力对于大麻走上合法化的道路至关重要。

我们还不知道今天的哪些颠覆性思想和非法行为明天将成为政治原因和积极的社会变革,但他们在附近。它们需要隐私才能发芽。带走你的隐私,我们将很难打破继承下来的道德假设。

监控损害我们民主价值观的第二种方式是,它鼓励社会让更多的事情变得非法。想一想你所做的事情——我们每个人所做的不同的事情——社会的某些部分认为是不道德的。不仅仅是娱乐性毒品和同性性行为,但赌博,跳舞,公开表达爱意。我们所有人都做一些被某些团体认为不道德的事情,但不是非法的,因为它们不会伤害任何人。但重要的是,这些事情可以在那些原本会团结起来反对此类做法的人不赞成的目光之外完成。

如果没有隐私,会有改变的压力。有些人会认识到他们的道德不一定是每个人的道德——这没关系。但其他人将开始要求立法改革,或者使用更少的法律手段和更暴力的手段,强迫他人符合他们的道德观念。

很容易想象更保守的(在小c的意义上,在我们中间,有足够的权力让他们被迫见证的事情成为非法。这样的话,隐私权有助于保护少数人的权利免受多数人的暴政。

这就是我们在20世纪20年代获得禁令的原因,如果我们在20世纪20年代拥有今天的监视能力,它本可以得到更有效的执行。制作自己的烈酒的配方就更难分发了。言语是不可能保密的。非法酒精的犯罪交易也将得到更有效的抑制。关于禁令的危害的讨论就会少一些,少说“如果我们没有呢?”政治组织可能很困难。在那个世界,法律可能一直沿用到今天。

中国是一个警示性的故事。长期以来,在无处不在的公民监控方面,该国一直是世界领导者。目的不是预防犯罪,而是社会控制。他们将进一步加强他们的体制,给予每个公民“社会信用”评级。细节还不清楚,但总的概念是,人们将根据他们的活动进行评级,在线和离线。他们的政治评论,188滚球网站他们的朋友和同事,其他的都要进行评估和评分。那些顺从的人,听话,非政治的将得到高分。没有这些分数的人将被剥夺某些学校和国外旅行的特权。如果该计划的影响是早期报告所指出的一半,随之而来的压力将是巨大的。这种社会监督制度正是为维持现状而设计的一种监督。

社会准则要改变,人们需要背离这些遗传的规范。人们需要空间来尝试不同的生活方式,而不是冒着被捕或被社会排斥的风险。人们需要能够在不知情的情况下阅读对这些规范的批评,讨论他们而不记录他们的意见,写下他们的经历,不要把他们的名字附在他们的话语上。人们需要能够做一些别人觉得讨厌的事情,甚至是不道德的。少数人需要保护,免受多数人的暴政。

隐私使这一切成为可能。隐私可以鼓励社会进步,让少数人自由地进行实验,而不受许多人的关注。即使你自己没有被无处不在的监视吓到,你所生活的社会是,个人成本也很明确。

本文最早出现麦克斯威尼问题54:“信任的终结。”它是转载在WiReff.com上。


宣传和对政府信任的削弱

【2018.11.27】11月4日2016年,黑客“Guccifer2.0”,俄罗斯军事情报部门的前线,索赔在一篇博文中,民主党人可能会利用漏洞来攻击总统选举。11月9日,2018年,唐纳德·特朗普总统开始在推特上谈论佛罗里达州和亚利桑那州的参议员选举。没有任何证据,他说民主党人正在努力窃取选举通过“欺诈”。

网络安全专家 会说像Guccifer 2.0这样的帖子意在破坏公众对投票的信心:对美国民主制度的网络攻击。然而,唐纳德•特朗普(Donald Trump)的行为对民主造成的损害要大得多。到目前为止,他关于这个话题的推文已经被转发了27万多次,削弱信心的效果远远超过任何一场外国势力的攻势。

我们需要新的想法来解释互联网上的公开声明是如何削弱美国民主的。今天的网络安全不仅仅是关于计算机系统。它还涉及攻击者利用计算机系统操纵和破坏公众对民主的期望的方式。我们不仅需要重新考虑对民主的攻击;我们还需要重新考虑攻击者。

这是我们为什么要写新的研究论文它利用计算机安全的思想来理解民主和信息之间的关系。这些想法帮助我们理解破坏民主制度或辩论信心的攻击。

我们的研究表明,来自美国政治内部的攻击可能比来自其他国家的攻击更具危害性。它们更复杂,使用更难防御的工具,并导致严酷的政治权衡。当俄罗斯的“钓鱼”机构攻击美国的民主制度时,美国可以威胁提出指控或实施制裁。但当攻击者是美国总统时,它能使用什么惩罚措施呢?

考虑网络安全的人建立在冷战期间国家间对抗的思想基础上。托马斯·谢林等知识分子发展了威慑理论,这就解释了美国和苏联如何在没有真正开战的情况下,通过机动来限制彼此的选择。威慑理论,以及攻击和防御相对容易的相关概念,似乎可以解释美国和竞争对手面临的权衡,因为他们开始使用网络技术来探测和破坏彼此的信息网络。

然而,这些想法没有认识到冷战和今天之间的一个关键区别。几乎所有的国家——无论是民主国家还是专制国家——都在互联网上纠缠不清。这既造成了新的紧张局势,也带来了新的机遇。美国认为互联网将有助于传播美国的自由价值观,这是一件好事,没有争议。像俄罗斯和中国这样的非自由主义国家担心互联网自由会直接威胁到他们自己的统治体系。该政权的反对者可能会利用社交媒体和在线交流进行协调,并呼吁广大市民,也许会推翻他们的政府,正如阿拉伯之春期间突尼斯所发生的那样。

这导致不自由的国家发展新的国内防御措施,以防止信息公开流动。等学者莫莉·罗伯茨已经显示,像中国和俄罗斯这样的国家发现,他们可以用网络上的胡言乱语和干扰来“淹没”互联网讨论,使对手不可能互相交谈,甚至区分真伪。这些洪水技术稳定了独裁政权,因为他们使政权的反对者士气低落,混乱不堪。自由主义者经常争论说,解决糟糕言论的最好办法就是更多的言论。弗拉基米尔•普京(Vladimir Putin)发现,应对更多言论的最好办法是发表糟糕言论。

俄罗斯将阿拉伯之春和鼓励其邻国民主的努力视为直接威胁,开始尝试反攻技术。当俄罗斯友好的乌克兰政府因民众抗议而垮台时,俄罗斯试图破坏新的稳定,通过窃取选举结果公布系统的民主选举。这个明确的意图目的是通过公布虚假的投票数字来败坏选举结果的声誉,从而使公众的讨论陷入混乱。

这次对公众对选举结果的信心的攻击在最后时刻遭到挫败。即便如此,它为一种新的攻击提供了模型。黑客不需要秘密地改变人们的投票来影响选举。他们所要做的就是破坏公众对选票公平计算的信心。当研究人员认为,简而言之,攻击者可能不在乎谁赢了;失败的一方认为选举是从他们那里窃取的,可能是平等的,如果不是更多,有价值的。”

这两种攻击——旨在破坏公共话语稳定的“洪水式”攻击,而旨在削弱公众对选举信心的“信心”攻击,在2016年成为针对美国的武器。俄罗斯社交媒体巨魔,被“互联网研究机构”聘用后,网上政治讨论充斥着谣言和反谣言,以制造混乱和政治分裂。彼得Pomerantsev描述了如何在俄罗斯,“总有一天(普京的媒体奇才)苏尔科夫会资助公民论坛和人权非政府组织,接下来,他将悄悄地支持那些指责非政府组织是西方工具的民族主义运动。俄罗斯巨魔试图让黑人生命重要抗议者和反黑人生命重要抗议者在同一时间和地点游行,制造冲突和混乱的表象。Guccifer 2.0的博客文章无疑意在破坏人们对投票的信心,为希拉里•克林顿(Hillary Clinton)赢得大选后更广泛的破坏稳定的竞选活动做准备。普京和其他人都没有预料到特朗普会赢,带来更大范围的混乱。

我们不知道这些攻击有多成功。一个新书约翰,迈克尔•特斯勒(Michael Tesler)和林恩•瓦夫雷克(Lynn Vavreck)认为,俄罗斯的努力没有可衡量的长期后果。详细研究关于Yochai Benker在社会媒体上的新闻传播,罗伯特•法里斯哈尔·罗伯茨同意,表明福克斯新闻在传播虚假新闻方面的影响力远远超过俄罗斯的任何努力。

然而,像俄罗斯这样的全球对手并不是唯一可以利用洪水和信心攻击的国家。美国演员也可以使用同样的技巧。的确,他们可以更好地使用它们,因为他们对美国政治有了更好的了解,更多资源,如果不提出第一修正案的问题,政府就很难应对。

例如,当联邦通信委员会(Federal communications Commission)要求对其废除“网络188滚球网站中立性”的提议发表评论时,答案是肯定的假评论泛滥188滚球网站支持这个提议。几乎每一个评论的真人188滚球网站支持网络中立,但他们的论点被大量虚假评论淹没,据称这些虚假评论是由从色情网站盗取的身份信息引发的。188滚球网站有些人的姓名和电子邮件地址未经允许就被窃取,而且,在某些情况下,从死者那里.这不仅仅是为了给FCC有争议的提议制造虚假的支持。这是为了降低公众评论的价值,188滚球网站使公众对网络中立的支持在政治上变得无关紧要。FCC在网络中立性等问题上的决策曾经由业内人士主导,许多人想回到旧政权。

特朗普试图削弱人们对佛罗里达州和亚利桑那州选票的信心的努力在更大范围内发挥作用。在不存在欺诈的情况下断言欺诈有明显的短期好处。这可能会影响法官或其他公职人员向共和党做出让步,以维护他们的合法性。然而,从长远来看,它们也会破坏美国民主的稳定。如果共和党人相信民主党人靠欺骗赢得胜利,他们会觉得自己操纵了这个系统(通过清除选民名册,使投票更加困难等等)是合法的,而且很可能在未来更公然地欺骗。这会破坏集体机构,让每个人都更糟。

值得注意的是,到目前为止,亚利桑那州的一些共和党人——包括玛莎·麦克莎莉(Martha McSally)——一直坚决反对白宫和共和党全国委员会(Republican National Committee)的压力,要求他们宣称作弊行为正在发生。他们大概认为,保护现有机构比破坏现有机构更具长期价值。非常合理,唐纳德·特朗普的动机正好相反。通过削弱公众对今天投票的信心,如果他在2020年被击败,他将更容易宣称存在欺诈,甚至可能使美国政治陷入混乱。

如果认为俄罗斯洪水和信任措施是对美国民主的网络攻击的专家是正确的,然后,当这些攻击被国内演员使用时,它们也同样危险,甚至可能更危险。风险在于,随着时间的推移,它们将破坏美国民主的稳定,使其更接近俄罗斯的管理民主——在俄罗斯,没有什么是真正的民主,而普通人则是多疑症的混合体,当他们想到政治时感到无助和厌恶。矛盾的是,俄罗斯的干涉太无效了,不能让我们到那里去——但美国所有政治行动者都可能在国内发动攻击。

为了防止这种可能性,我们需要开始更加系统地思考民主与信息之间的关系。我们的论文提供了一种方法,强调民主对某些信息攻击的脆弱性。更普遍的是,我们需要建立防洪堤,同时增强公众对投票和其他民主所必需的公共信息系统的信心。

第一种可能需要我们对社会媒体公司的监管方式进行彻底的改变。政府评论平台的现代化,使其能够抵御洪水,这只是一个非常小188滚球网站的第一步。直到最近,像Twitter这样的公司已经从机器人泛滥中赢得了市场优势——即使它无法盈利,用户数量似乎在增长。像马克·扎克伯格这样的首席执行官开始担心民主,但他们的担忧可能只会到此为止。当一个人的商业模式依赖于不理解某件事时,他就很难理解它。对自动账户的严格限制是第一步,而且在法律上是可以强制执行的。对网络和趋势指标进行彻底的重新设计,以降低洪水攻击的有效性可能是第二次。

第二项要求联邦一级的投票有一般标准,以及宪法对投票权的保障。技术专家几乎普遍支持强大的投票系统,将纸质记录与随机的选举后审计相结合,防止舞弊及保障公众对投票的信心。其他确保适当选票设计的步骤,标准化计票和报告将需要更多的时间和讨论,但其他国家的记录表明,这并非不可能。

在主要民主国家中,美国在选举机制方面的持续缺陷几乎是独一无二的。然而,投票并不是民主信息的唯一重要形式。明显的努力故意曲解美国反对统计非法移民的人口普查显示,如果民主能够正常运作,我们需要对政治信息系统进行更全面的审计。

通过制裁俄罗斯黑客更容易应对,与破坏美国民主的国内政治攻击相比,还有反攻击等。为了维护民主的基本政治自由,需要认识到这些自由有时会被唐纳德•特朗普(Donald Trump)等政客滥用。我们所能做的最好的事情是尽量减少滥用的可能性,直到它们侵犯基本自由,并加强保障民主信息不受旨在破坏这些信息的攻击的一般机构。

这篇文章是和亨利·法雷尔合著的,和之前出现在主板上,一个可怕的标题,我无法改变。


通过成为开源项目的管理员来分发恶意软件

(2018.11.28)“事件流”模块是感染 具有 恶意软件 通过 一个匿名的,成为项目管理员的人。

科利·多克托罗指出这是一个聪明的新攻击手段:

许多开源项目都达到了“成熟度”的水平,没有人真正需要任何新的特性,也没有发现很多新的缺陷,这些项目的贡献者减少了,通常情况下,对于那些对这些旧项目感兴趣并愿意分享这些“choresome”的开发人员,一个通常心怀感激的维护人员来说,使项目保持活力的间歇工作。

具有讽刺意味的是,这些项目通常有数百万用户,因为他们的冷漠而特别信任他们,不令人兴奋的成熟。

这为恶意软件提供了一个可怕的社会工程载体:一个恶意的人自愿帮助维护这个项目,做一些小的,积极贡献,获取对项目的提交访问权,发布恶意补丁,感染数百万用户和应用程序。


联邦调查局拿下了一个巨大的广告诈骗团伙

【2018.11.29】美国联邦调查局宣布它解散了一个大型的互联网广告欺诈网络,逮捕了八个人:

布鲁克林联邦法院今天公布了一项13项指控亚历山大朱可夫的起诉书,鲍里斯•Timokhin米哈伊尔•安德列夫丹尼斯•ž德米特里·诺维科夫,谢尔盖•OvsyannikovAleksandr Isaev和Yevgeny Timchenko因参与广泛的数字广告欺诈而受到刑事侵犯。指控包括电汇欺诈,计算机入侵,严重的身份盗窃和洗钱。奥维桑尼科夫上个月在马来西亚被捕;朱可夫本月早些时候在保加利亚被捕;这个月早些时候,Timchenko在爱沙尼亚被捕,所有这些都是根据应美国请求发出的临时逮捕令。他们等待引渡。其余被告仍逍遥法外。

这看起来是一件令人印象深刻的警察工作。

细节导致逮捕的法医证据。


彭博的供应链黑客故事

【2018.11.30】在10月,布隆伯格报道 那个中国已经设法在服务器设备上安装了后门,这些设备最终进入了苹果和亚马逊等公司的网络。几乎每个人都有否认它(包括美国)国土安全部以及英国成都市新)。彭博社站在它的故事——现在也是依然屹立通过它。

我认为这不是真的。对,这是合理的。但首先,如果有人真的偷偷地将恶意芯片集中到主板上,我们已经看到一张所谓芯片的照片了。第二,有容易,更有效,以及在网络设备中添加后门的不太明显的方式。


三转子恩尼格玛机今天拍卖

【2018.11.30】苏富比拍卖行正在拍卖一幅(作品,我认为)three-rotor恩尼格玛密码机今天。他们希望它能卖到20万美元。

我有一个谜,但转子不见了。


点击这里杀死所有人新闻

【2018.11.30】我的最新的书做得很好。我已经做了很多关于它的谈话和采访。(我可以推荐三次面试网络法播客和Stewart Baker一起,这个Lawfare播客有了本·维特斯,和乐秀和哈利·希勒)我的书说在谷歌也有。

这个听得见的版本因为没有向我充分解释的原因被耽搁了,但它终于出来了。

我仍然有签署的副本可用。要知道这比网上书店既慢又贵。金宝搏博彩公司


美国司法部破解密码学的秘密法律论据

(2018.12.03)今年早些时候,美国司法部(Department of Justice)就为何Facebook应被迫帮助政府窃听Facebook Messenger提出了一系列法律论据。这些论点仍然是密封的。美国公民自由联盟是起诉让他们公开。


糟糕的消费者安全建议

[20182.04]有很多文章告诉人们如何更好地保护他们的电脑和在线账户。虽然我同意其中一些,这篇文章包含一些特别糟糕的建议:

1.从未,曾经,曾经使用公共(不安全)Wi-Fi,如咖啡厅的Wi-Fi,酒店或机场。在互联网上保持匿名和安全,投资一个虚拟专用网帐户,但请记住,坏人很聪明,所以当这个列运行时,他们可能已经想出了侵入VPN的方法。

我知道不安全的Wi-Fi是一种风险,但是真的有人遵循这个建议吗?我再三考虑从公共Wi-Fi网络访问我的网上银行账户,我也经常使用VPN。但我无法想象向公众提供这样的建议。

2。如果你或你认识的人年满18岁,您需要创建一个社会保险在线帐户。今天!去网址:www.ssa.gov.

这实际上是个好建议。Brian Krebs称之为插旗,它基本上是在骗子替你做之前先声明你自己的身份。但是为什么要把它限制在社会保障管理上呢?为美国国税局和美国邮政总局做这件事。当你在做的时候,为你的手机提供商和互联网服务提供商做这件事。

3.向所有提供此附加保护层的在线帐户添加多因素验证,包括流动及有线电视帐户。(注意:将代码发送到您的电子邮件中,随着SIM卡“交换”变得越来越庞大,到目前为止,安全问题)。

对。双因素认证很重要,我在一些更重要的网上账户上使用它。但我并没有把它安装在所有东西上。我也不知道为什么把代码发送到你的电子邮件中可以防止sim卡交换;我相信你会像其他人一样通过电话收到你的电子邮件。(这是一些更好的建议。)

4。创建难以破解的12个字符的密码。不是你母亲的娘家姓,不是社会保险号码的最后四位,不是你的生日,也不是你的地址。只要有可能,在回答账户安全问题时,使用“密码短语”——比如“you’llneverguessmybrotherinlawsmiddlename”。

我是大风扇随机不可能记住密码,和胡说八道的回答秘密的问题。如果她建议使用密码管理器来记住所有密码,那就太好了。

5.避免诱惑为每个帐户使用相同的用户名和密码。只要有可能,每六个月更改一次密码。

是的,第一部分。不,不不,一个 不,到秒。

6.防止“新帐户欺诈”(即有人想用你的出生日期和社会保险号码开一个账户,对所有三个国家信贷局(Equifax,Experian和TransUnion)。这项服务是免费的。

我是安全冻结的粉丝。

7.永远不要插上你的设备(手机,平板电脑和/或笔记本电脑)进入机场的电源插座。这样做会让你更容易被黑客攻击。相反,随身携带一个电池充电器,让你的设备充满电。

严重吗?对,我读过这个 文章关于被黑的充电站,但在机场使用墙上的千斤顶时,我不会三思而行。如果你真的担心,购买USB安全套.


聊天机器人的安全风险

[2018:125]文章论聊天机器人的安全风险——对民主话语的影响。


你的个人资料已经被偷了

[2018.12.06]日在一个优秀的博客文章,Brian Krebs说得很清楚,我说了一段时间了:

同样为个人,接受两个不幸而严酷的现实是值得的:

现实1:坏人已经可以访问你可能认为应该是秘密的个人数据点,但事实并非如此,包括你的信用卡信息,社会安全号码,母亲的娘家姓,出生日期,地址,以前的地址,电话号码,是的,甚至是你的信用档案。

现实2:你与公司共享的任何数据点最终都有可能被黑客攻击,丢失,泄露,偷窃或出售——通常不是你自己的错。如果你是美国人,这意味着(至少在目前)当事情发生时,你对此事的追索权是有限的或是零的。

[…]

一旦你拥有了这两个现实,你意识到指望另一家公司来保护你的安全是徒劳的,更合理的做法是集中精力,尽一切可能主动预防身份窃贼,恶意黑客或其他不做的井滥用访问上述数据。

他的建议很好。


银行通过连接到本地网络的恶意硬件攻击

[2018:1277]卡巴斯基是报告在一系列被称为Darkvishnya的银行黑客行为中,恶意硬件被秘密安装到目标网络中:

2017年至2018年,卡巴斯基实验室的专家应邀研究一系列网络爆炸事件。每次攻击都有一个共同的跳板:一个直接连接到公司本地网络的未知设备。在某些情况下,是中央办公室,在其他地方,一个地区办事处,有时位于另一个国家。袭击的目标是东欧至少8家银行(统称为Darkvishnya)。造成的损失估计达数千万美元。

每次攻击可分为几个相同的阶段。在第一阶段,一名网络罪犯伪装成信使进入了该组织的大楼,求职者,等。,并将设备连接到本地网络,例如,在一个会议室里。在可能的情况下,该装置被隐藏或融入周围环境,以免引起怀疑。

黑毗湿尼亚攻击中使用的设备根据网络罪犯的能力和个人偏好而有所不同。在我们研究的案例中,它是三种工具之一:

  • 上网本或廉价笔记本电脑
  • 树莓电脑
  • 巴什邦尼,执行USB攻击的专用工具

在本地网络中,该设备显示为未知计算机,一个外部闪存驱动器,甚至是键盘。再加上bash bunny的大小与USB闪存驱动器相当,这严重地复杂化了对入口点的搜索。通过内置或USB连接的GPRS/3G/LTE调制解调器远程访问植入式设备。

Slashdot线.


国家安全局的后遗症Cryptolog

[2018:1277]五年前,美国国家安全局发表23年的内部杂志,Cryptolog.有很多修订,当然。

新的是一个很好的用户界面,注意到编校的重点和水平。


人工智能2018年年报

[2018:1210]研究小组AI刚刚发表了他们的研究成果年度报告.这是对当今人工智能安全挑战的精彩总结,以及解决这些问题的政策议程。

这个是相关的,也值得一读。


澳大利亚的新后门法

(2018.12.12)上周,澳大利亚 通过 一个 法律 这个政府在计算机和通信系统中要求后门的能力。细节仍待定义, 这是 真的 .

注:很多人给我发邮件问我为什么还没有写博客。一,我忙于其他事情。第二,我没什么好说的之前很多次。

如果有更多好的链接或评论,188滚球网站请在评论中发表。188滚球网站

编辑增添(12/13):澳大利亚人政府 响应有点尴尬。


万豪黑客被报道为中国政府赞助

(2018.12.13)这个纽约时报路透社报告中国是万豪酒店最近遭受黑客攻击的幕后黑手。注意这仍然是不确定的,但如果这是真的,那就有意思了。

路透社:

调查该漏洞的私人调查人员发现了黑客工具,以前用于中国黑客攻击的技术和程序,三名未获授权讨论该公司对此次攻击的私人调查的消息人士说。

这表明,中国黑客可能是为了收集信息,以用于北京的间谍活动,而不是为了获取经济利益,两位消息人士说。

尽管中国已成为此案的头号嫌疑人,消息人士警告说,有可能有其他人是黑客的幕后黑手,因为其他方可以使用相同的黑客工具,其中一些已经在网上发布。

调查人员怀疑,自2014年以来,喜达屋的计算机网络中可能同时存在多个黑客组织,这一事实使确定罪魁祸首的工作变得更加复杂。其中一个消息来源说。

我曾经对这些归属是否真实有过看法。这些天,我倾向于等着看。


针对双因素身份验证的实时攻击

【2018.12.14】攻击者是针对双因素身份验证系统:

代表伊朗政府工作的攻击者收集目标的详细信息,并利用这些信息编写鱼叉式网络钓鱼电子邮件,这些邮件根据目标的操作安全级别量身定做,安全公司Certfa实验室的研究人员说博客.这些邮件包含一个隐藏的图像,当目标看到这些信息时,该图像会实时提醒攻击者。当目标在假的Gmail或雅虎安全页面输入密码时,攻击者几乎同时将凭证输入到一个真正的登录页面。如果目标公司的账户受到2FA的保护,攻击者将目标重定向到请求一次性密码的新页面。

这不是新的。我在年写过关于这次袭击的文章20052009.


自1998以来,Crypto-Gram是免费的每月通讯,提供摘要,188bet滚球投注分析,的见解,以及对安188滚球网站全技术的评论。订阅,或者读回问题,看到Crypto-Gram的web页面.

你也可以在我的博客上阅读这些文章,188滚球网站Schneier安全.

请随意转发加密图,全部或部分,致同事和朋友,他们会发现它的价值。亦获准许重印密码图,只要是全部重印就行。

Bruce 188滚球网站Schneier是国际知名的安全技术专家,被称为安全专家经济学家.他是14本书的作者,其中包括金宝搏博彩公司纽约时报畅销书数据和巨人:收集数据和控制世界的隐藏战斗——还有几百篇文章,论文,和学术论文。他的通讯188bet滚球投注和博客有超过25万人阅读。188滚球网站施耐尔是哈佛大学伯克曼克莱恩互联网与社会中心的研究员;哈佛大学肯尼迪学院公共政策讲师;电子前沿基金会董事会成员,AccessNow,以及Tor项目;以及epic and verifiedvoting.org的顾问委员会成员。他还是IBM安全和IBM弹性CTO的特别顾问。

密码图是个人通讯。188bet滚球投注所表达的观点不一定是IBM的观点,IBM的安全,或者IBM的弹性。

版权©2018年由Bruce Schneier。188滚球网站

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站Schneier on Security是一个个人网站。表达的意见不一定是IBM有弹性.