TAGS
CRIPTOGRAMA
15 de de junio de, el año 2015
por Bruce Schneier CTO, sistemas resistentes, Inc.
Un boletín mensual gratuito que proporciona resúmenes, análisis, reflexiones, y los comentarios sobre la seguridad de la calculadora y de otro tipo.
Para problemas de espalda, o para suscribirse, visite <>.
Usted puede leer este tema en la web en <>. Estos mismos ensayos y artículos de noticias aparecen en el blog "Schneier sobre Seguridad" en <>, junto con una sección de comentarios vivaz e inteligente. Una fuente RSS está disponible.
En este número: el estancamiento (y otro) la vulnerabilidad frente a Diffie-Hellman de intercambio de claves NSA Ejecución de un IDS masivas en la red troncal de Internet Duqu 2.0 ¿Por qué la Sección 215 reciente debate sobre la reforma no importa mucho Noticias TSA no detección de armas en los controles de seguridad del aeropuerto Reevaluando seguridad Chris Roberts y cifrado de seguridad de Windows Aviónica Discos Duros Schneier noticias deben hacer las empresas mayor parte de su computando en la nube? (Parte 1) En caso de que las empresas hacen la mayoría de sus computando en la nube? (Parte 2) En caso de que las empresas hacen la mayoría de sus computando en la nube? (Parte 3) Octavo Película-Parcela Concurso Amenaza Ganador
El estancamiento (y otro) la vulnerabilidad frente a Diffie-Hellman de intercambio de claves
Atasco es un nuevo ataque contra el protocolo de intercambio de claves Diffie-Hellman se utiliza en TLS. Básicamente:
El ataque estancamiento es que un atacante man-in-the-middle de rebajar las conexiones TLS vulnerables a la criptografía de exportación de grado de 512 bits. Esto permite al atacante leer y modificar todos los datos que pasan por la conexión. El ataque es una reminiscencia del ataque monstruo, sino que se debe a un defecto en el protocolo TLS en lugar de una vulnerabilidad de ejecución, y ataca a un intercambio de claves Diffie-Hellman en lugar de un intercambio de claves RSA. El ataque afecta a cualquier servidor compatible con sistemas de cifrado DHE_EXPORT, y afecta a todos los navegadores web modernos. 8,4% de los Top 1 millón de dominios inicialmente eran vulnerables.
Uno de los problemas con parchear la vulnerabilidad es que rompe cosas:
En el lado positivo, la vulnerabilidad en gran medida ha sido parcheado gracias a la consulta con las empresas de tecnología como Google, y las actualizaciones están disponibles ahora o muy pronto para Chrome, Firefox y otros navegadores. La mala noticia es que el arreglo rindió muchos sitios inalcanzables, incluyendo el sitio web principal de la Universidad de Michigan, que es el hogar de muchos de los investigadores que se encuentran A * * el agujero de seguridad.
Este es un problema común con ataques versión de versiones anteriores; parchear ellos le hace incompatible con cualquiera que no haya parcheado. Y es la vulnerabilidad de los medios de comunicación se está centrando en.
Mucho más interesante es la otra vulnerabilidad que los investigadores encontraron:
Millones de HTTPS, SSH, y los servidores VPN todos usan los mismos números primos para el intercambio de claves Diffie-Hellman. Los practicantes creyeron que esto era seguro siempre y cuando los nuevos mensajes de intercambio de claves se generaron para cada conexión. Sin embargo, el primer paso en el campo de número de tamiz - el algoritmo más eficaz para romper una conexión de Diffie-Hellman - sólo depende de este primer. Después de este primer paso, un atacante puede romper rápidamente las conexiones individuales.
Los investigadores creen que la NSA ha estado utilizando este ataque:
Hemos llevado a cabo este cálculo contra el primer más común de 512 bits utilizada para TLS y demostrar que el ataque estancamiento se puede utilizar para rebajar las conexiones a 80% de los servidores de soporte TLS DHE_EXPORT. Estimamos además que un equipo académico puede romper un 768 bits privilegiada y que un Estado-nación puede romper un número primo de 1024 bits. Romper los más comunes primer single, 1024 bits utilizado por los servidores Web permitiría escucha pasiva en las conexiones a 18% de los Top 1 millón de dominios HTTPS. Un segundo primer permitiría descifrado pasiva de conexiones a 66% de los servidores VPN y el 26% de los servidores SSH. Una lectura atenta de las fugas de la NSA publicados muestran que los ataques de la agencia sobre las VPN son consistentes con haber logrado tal ruptura.
El precomputation DH se presta fácilmente a la costumbre de diseño ASIC, y es algo que fácilmente tuberías. El uso de hardware de la minería Bitcoin como una comparación aproximada, esto significa un par de órdenes de magnitud más veloz.
Recuerde que el comentario de James Bamford 2012 sobre las capacidades criptoanalíticas de la NSA:
De acuerdo con otro alto funcionario también involucrado con el programa, la NSA hizo un enorme avance hace varios años en su capacidad para criptoanalizar, o ruptura, sistemas de encriptación insondablemente complejos empleados por no sólo los gobiernos de todo el mundo, sino también a muchos usuarios de computadora promedio en los EE.UU. . El resultado, según este funcionario: "Todo el mundo es un objetivo; todo el mundo con la comunicación es un objetivo ".
El avance fue enorme, dice el ex funcionario, y poco después la agencia retiró la sombra hasta que se suelta en el proyecto, incluso dentro de la comunidad de inteligencia y el Congreso. "Sólo el presidente y el vicepresidente y los dos directores del personal de cada comité de inteligencia se les dijo al respecto", dice. ¿La razón? "Estaban pensando que este avance de computación se les va a dar la posibilidad de romper el cifrado pública actual."
Y recuerda Director de introducción de Inteligencia Nacional, James Clapper al 2013 "Presupuesto Negro":
Además, estamos invirtiendo en innovadoras capacidades criptoanalíticas para derrotar a la criptografía de confrontación y explotar el tráfico de Internet.
Es una suposición razonable de que esto es lo que la fuente y la chapaleta de Bamford tanto están hablando. Es un ataque que requiere una gran cantidad de precomputation - justo el tipo de cosas que una agencia de inteligencia nacional iría a.
Pero esta obligación también se habla a sus limitaciones. La NSA no se va a poner esta capacidad en los puntos de recogida como de habitaciones 641A en la oficina de AT & T San Francisco: la tabla precomputation es demasiado grande, y la sensibilidad de la capacidad es demasiado alto. Lo más probable, analista identifica un objetivo a través de algún otro medio, y luego se buscan los datos por ese objetivo en bases de datos como xkeyscore. Luego se envía cualquier texto cifrado que encuentra al grupo Criptoanálisis y Servicios de explotación (CES), que lo descifra si se puede usar este y otras técnicas.
Ross Anderson escribió acerca de esto a principios de este mes, casi con toda seguridad citando Snowden:
En cuanto a las capacidades de cifrado, un montón de cosas se descifra automáticamente en la ingesta (por ejemplo, usando un "certificado robado", presumiblemente una clave privada obtenida a través de piratería informática). De lo contrario el analista envía el texto cifrado al CES y que sea descifrarlo o dicen que no pueden.
Los analistas tienen instrucciones de no pensar en cómo funciona todo esto. Esta cita también se aplica a los empleados de la NSA:
directrices estrictas se establecieron en el complejo GCHQ en Cheltenham, Gloucestershire, sobre la forma de discutir los proyectos relacionados con el descifrado. Los analistas se les instruyó: "No pregunte por o especular sobre las fuentes o métodos que sustentan Bullrun."
Recuerdo las mismas instrucciones en los documentos que vi sobre el CES de la NSA.
Una vez más, la NSA ha puesto de vigilancia de la seguridad por delante. Nunca se molestó en decirnos que muchos de los "seguros" sistemas de cifrado que estábamos usando no eran seguras. Y no sabemos lo que otras agencias de inteligencia nacional descubrieron y utilizaron este ataque de manera independiente.
La buena noticia es que ahora sabemos que la reutilización de los números primos es una mala idea, podemos dejar de hacerlo.
o o o
Bitcoin hardware de extracción:
El comentario de Bamford:
El Presupuesto Negro DNI: o
El comentario de Ross Anderson: o
GCHQ cita: o
NSA está poniendo por delante la vigilancia de la seguridad: o
Un buen análisis de la criptografía:
Buena explicación del ataque por Matthew Green: o
NSA Ejecución de un IDS masivas en la red troncal de Internet
La historia más reciente de los documentos de Snowden, co-publicado por el New York Times y ProPublica, muestra que la NSA está operando un sistema de detección de intrusos basados en la firma de la red troncal de Internet:
A mediados de 2012, los abogados del Departamento de Justicia escribieron dos memorandos secretos que permiten la agencia de espionaje para comenzar la caza en los cables de Internet, sin orden judicial y en suelo americano, para los datos vinculados a las intrusiones informáticas procedentes del extranjero - incluido el tráfico que fluye a direcciones de Internet sospechosas o contiene malware, según muestran los documentos.
El Departamento de Justicia permitió a la agencia para supervisar sólo las direcciones y "cybersignatures" - patrones asociados con intrusiones informáticas - que podría atar a los gobiernos extranjeros. Pero los documentos también señalan que la N.S.A. se dirigen contra los piratas informáticos, incluso cuando no se pudo establecer ningún vínculo con las potencias extranjeras.
Para mí, el gran problema aquí es 1) la NSA está haciendo esto sin una orden judicial, y 2) que el cambio de política que sucedió en secreto, sin ningún tipo de debate público.
El esfuerzo es la última expansión conocida del programa de vigilancia sin órdenes judiciales del N.S.A., que permite al gobierno para interceptar las comunicaciones transfronterizas de los estadounidenses si el objetivo es un extranjero en el exterior. Mientras que el N.S.A. ha buscado durante mucho tiempo direcciones de correo electrónico y los números de teléfono de los objetivos de inteligencia extranjeros, el gobierno de Obama hace tres años comenzó a permitir que la agencia para buscar sus flujos de comunicaciones por menos de identificación direcciones de protocolo de Internet o cadenas de código informático dañino.
Para llevar a cabo las órdenes, la F.B.I. negociado en 2012 para usar el sistema del N.S.A. para el control de internet tráfico que se dirija "cuellos de botella operados por proveedores de Estados Unidos a través del cual las comunicaciones internacionales entran y salen de los Estados Unidos", según un 2012 N.S.A. documento. El N.S.A. enviaría el tráfico interceptado a "repositorio Cyberdata" de la oficina en Quantico, Virginia.
Noventa páginas de documentos de la NSA acompañan al artículo.
Jonathan Mayer fue consultado sobre el artículo. Se da más detalles sobre su blog, que os recomendamos a todos los de lectura.
En mi opinión, el punto clave es la siguiente: desde hace más de una década, ha habido un debate público sobre el papel que la NSA debe desempeñar en la seguridad cibernética nacional. El debate ha presupuesto en gran medida de que la autoridad nacional de la NSA está circunscrito por poco, y que el DHS y el Departamento de Justicia desempeñar un papel mucho más importante. Hoy en día, sabemos que suposición es incorrecta. La NSA afirma que ya amplios poderes de ciberseguridad nacionales. Reconociendo el alcance de la autoridad de la NSA es particularmente crítico para la legislación pendiente.
Esto es especialmente importante para la legislación pendiente el intercambio de información, lo que explica Mayer.
La otra gran novedad es que de ProPublica Julia Angwin está trabajando con Laura Poitras en los documentos de Snowden. Espero que esto no es el último artículo que vamos a ver.
noticia: o
Los documentos: o
entrada en el blog de Jonathan Mayer:
Julia Angwin:
Shane Harris explica cómo la NSA y el FBI están trabajando juntos en la vigilancia en Internet. o
Benjamin Wittes dice que la historia es incorrecta, de que "la lucha contra las amenazas de ciberseguridad en el exterior de los gobiernos extranjeros" es exactamente lo que se supone que la NSA a hacer, y que no necesitan una orden para nada de eso. o
Charlie salvaje responde a Ben Wittes. o
Marcy Wheeler señala que ella ha estado diciendo durante años que la NSA ha estado utilizando la Sección 702 para justificar la vigilancia en Internet. o
Duqu 2.0
Kaspersky Labs ha descubierto y los detalles de un nuevo sistema de vigilancia de software malicioso Estado-nación, llamado Duqu 2.0 publicitado. Se trata de ser atribuido a Israel.
Hay una gran cantidad de detalles, y recomiendo su lectura. Probablemente hubo un Kerberos vulnerabilidad de día cero involucrados, lo que permite a los atacantes para enviar actualizaciones a los clientes de Kaspersky. Hay código dirigido específicamente a software antivirus, tanto Kaspersky y otros. El sistema incluye la defensa anti-sniffer, y el código de la inyección de paquetes. Está diseñado para residir en memoria RAM para que se evita una mejor detección. Todo esto es muy sofisticado.
Eugene Kaspersky escribió un artículo de opinión que condena el ataque - y hacer que su empresa se vea bien - y casi, pero no del todo, la comparación de atacar a su empresa a atacar a la Cruz Roja:
Históricamente, las empresas como la mía siempre han jugado un papel importante en el desarrollo de las TI. Cuando el número de usuarios de Internet explotó, los delitos informáticos se disparó y se convirtió en una seria amenaza para la seguridad de miles de millones de usuarios de Internet y los dispositivos conectados. Las fuerzas del orden no estaban preparados para el advenimiento de la era digital, y las empresas privadas de seguridad estaban solos en la protección contra los delitos informáticos - tanto a particulares como a empresas. La comunidad de la seguridad ha sido algo así como un grupo de médicos de Internet; que incluso compartir algo de vocabulario con la profesión médica: se habla de "virus", "desinfección", etc, y, obviamente, estamos ayudando a la policía a desarrollar sus habilidades para luchar contra la delincuencia informática de manera más eficaz.
Una cosa que me llamó la atención de un muy buen artículo de Wired sobre Duqu 2.0:
RAIU dice cada una de las infecciones comenzaron el plazo de tres semanas antes de las reuniones del P5 1 se produjeron en ese lugar en particular. "No puede ser una coincidencia", dice. "Es evidente que la intención era la de espiar a estas reuniones."
Al principio no estaba seguro de Kaspersky todas estas infecciones estaban relacionadas, ya que una de las víctimas, no parecen ser parte de las negociaciones nucleares. Sin embargo, tres semanas después de descubrir la infección, Raiu dice, agencias de noticias comenzaron a informar que las negociaciones ya se estaban llevando a cabo en el sitio. "De alguna manera los atacantes sabían de antemano que este fue uno de los lugares [de negociación]," dice Raiu.
Exactamente cómo los atacantes espiados las negociaciones no está claro, pero el malware contenía módulos para oler las redes WiFi y comunicaciones por correo electrónico secuestro. Pero Raiu cree que los atacantes eran más sofisticados que esto. "No creo que su estilo es infectar a las personas que se conectan a la red WiFi. Creo que estaban después de algún tipo de vigilancia habitación - secuestrar el audio a través de los sistemas de teléfono o teleconferencia de hotel ".
Esas reuniones son conversaciones sobre el programa nuclear de Irán, que se creía anteriormente Israel espiado. Mira los detalles del ataque, aunque: corte de Internet del hotel, entrar en el sistema telefónico, y convertir los teléfonos de los hoteles en los errores de las habitaciones. Muy inteligente.
o o
Kaspersky artículo de opinión: o
artículo de Wired: o
Israel espiar conversaciones iraníes:
¿Por qué el reciente debate sobre la reforma Sección 215 no importa mucho
de la ACLU Chris Soghoian explica por qué el actual debate sobre la Sección 215 de la Ley Patriota es sólo una faceta secundaria de un amplio y complejo programa de recolección a granel por el FBI y la NSA.
Había 180 pedidos autorizados el año pasado por el Tribunal de la FISA bajo la Sección 215 - 180 órdenes emitidas por este tribunal. Sólo cinco de esas órdenes se relacionan con el programa de telefonía metadatos. Hay 175 órdenes sobre cosas completamente separadas. En seis semanas, el Congreso o bien volver a autorizar esta ley o dejar que expire, y vamos a tener un debate - en la medida en que aún estamos teniendo un debate - pero el debate que está teniendo lugar se centra en cinco de los 180, y hay hay debate en absoluto acerca de los otros 175 pedidos.
Ahora, el senador Wyden ha dicho que hay otros programas de recolección a granel dirigidos a los estadounidenses de que el público se sorprendió al conocer. No sabemos, por ejemplo, cómo el gobierno recoge los registros de los proveedores de Internet. No sabemos cómo llegan los metadatos a granel de las empresas de tecnología sobre los estadounidenses. No sabemos cómo el gobierno americano consigue llamar registros de tarjetas.
Si tomamos general Hayden a su valor nominal - y yo creo que eres un tipo honesto - si el propósito del programa 215 es identificar a las personas que están llamando Yemen y Pakistán y Somalia, donde un extremo se encuentra en los Estados Unidos, el promedio somalí-estadounidense no está llamando a Somalia desde su teléfono fijo o su teléfono celular por la sencilla razón de que AT & T se les cobra $ 7.00 por minuto en cargos de larga distancia. La forma en que las personas en el hogar llamada diáspora - la forma en que las personas en la comunidad somalí o Yemen llaman a su familia y amigos en casa - entran a las tiendas de conveniencia y compran tarjetas telefónicas de prepago. Así es como la gente normal hacen llamadas de larga distancia.
Así que el programa 215 que se ha informado de forma pública, el programa 215 que se está debatiendo públicamente, se trata de registros a grandes compañías como AT & T y Verizon. No hemos tenido un debate acerca de las solicitudes de vigilancia, los pedidos a granel para llamar a las compañías de tarjetas, a Skype, a la voz sobre protocolo de Internet empresas. Ahora bien, si la NSA no está recogiendo esos registros, no están haciendo su trabajo. De hecho, creo que ahí es donde los datos más útil es. Pero ¿por qué estamos teniendo este debate acerca de estos registros que no contienen una gran cantidad de llamadas a Somalia cuando deberíamos celebrar un debate acerca de los registros que contienen las llamadas a Somalia y sí contienen registros de correos electrónicos y mensajes instantáneos y búsquedas y la gente la publicación de vídeos a YouTube inflamatorias?
Ciertamente, el gobierno está recogiendo los datos, pero no sabemos cómo lo están haciendo, no sabemos en qué escala lo están haciendo, y no sabemos con qué autoridad lo están haciendo. Y yo creo que es una farsa decir que estamos teniendo un debate acerca de la autoridad de vigilancia, cuando en realidad, sólo estamos debatiendo este uso muy estrecha de la ley.
lo que subraya aún más este punto, ayer el Departamento de la Oficina del Inspector General de Justicia lanzó una versión censurada de su auditoría interna de la utilización por el FBI de la Sección 215: "Una revisión del uso del FBI de la Sección 215 Órdenes: Evaluación del estado de aplicación Recomendaciones y el examen de uso en el año 2007 hasta el 2009, "a raíz de los informes sobre el uso de la ley de 2002 a 2005 y 2006. (Recuerde que el FBI y la NSA están inexorablemente conectados aquí. el fin de Verizon era * de * el FBI, que le exige convertir datos a través de * a * la NSA.)
Los detalles sobre las justificaciones legales están todos en el informe, pero los datos detallados sobre exactamente lo que el FBI está recogiendo - ya sea dirigido o mayor - se quede fuera. Leemos que el FBI exigió "información del cliente" (p. 36), "los registros médicos y educativos" (p. 39) "cuenta la información y las comunicaciones electrónicas transaccional registros" (p. 41), "información con respecto a otra actividad cibernética" ( p. 42). Algo de esto fue, sin duda, dirigidos contra las personas; algunos de que era, sin duda, a granel.
Creo recolección a granel se discute en detalle en el capítulo VI. El título del capítulo está elaborada, así como la introducción (p. 46). La sección A es "Telefonía metadatos a granel." Sección B (pp. 59-63) está totalmente redactado, incluyendo el título de la sección. Hay un resumen en la introducción (p. 3): "En la Sección VI, actualizamos la información sobre los usos de la Sección 215 se describe [autoridad de palabras redactado] Apéndices clasificada a nuestro último informe. Estos apéndices describen el uso del FBI de la Sección 215 autoridad en nombre de la NSA para obtener colecciones a granel de la telefonía metadatos [cláusula de larga redactado]. "Suena como una discusión exhaustiva de recolección a granel bajo la Sección 215.
¿Que hay ahi? Como dice Soghoian, sin duda otros sistemas de comunicación, como tarjetas telefónicas de prepago, Skype, sistemas de mensajería de texto y correos electrónicos. Historial de búsqueda y los registros del navegador? ¿Transacciones financieras? Los "registros médicos y educativos" mencionados anteriormente? Probablemente todos ellos - y los datos están en el informe, redactado (p. 29) - pero no hay nada público.
El problema es que esas son las páginas Congreso debe debatir y no el programa de telefonía metadatos expuestos por Snowden.
Soghoian cita (tiempo de 25: 52-30: 55):
Oficina de Justicia de informe de auditoría del Inspector General: o recomendaciones de aplicación y examen de Uso en el año 2007 hasta el 2009:
los informes de auditoría anteriores:
Para Verizon: o
Otras cosas que la NSA está recogiendo:
programa de metadatos de telefonía: o
El comentario de Marcy Wheeler: o
Noticias
United Airlines ofrece millas de viajero frecuente para encontrar vulnerabilidades de seguridad -vulnerabilities en el sitio web solamente, no en la seguridad del aeropuerto o en la aviónica.
el polvo de espionaje fue utilizado por la Unión Soviética durante la Guerra Fría. "Un agente de desertar reveló que tanto polvo que contiene luminol y una sustancia llamada nitrofenil pentadien (NPPD) se había aplicado a pomos de las puertas, las alfombras de automóviles, y otras superficies que los estadounidenses que viven en Moscú habían tocado. Ellos entonces realizar un seguimiento o manchar la sustancia sobre todas las superficies que posteriormente se tocaron. o
Una nueva investigación indica que es muy difícil de arreglar por completo los sistemas contra vulnerabilidades. o o
Nueva Pew Research informar sobre actitudes de los estadounidenses sobre la privacidad, seguridad y vigilancia. o
Un hombre fue detenido por tráfico de drogas basada en la dirección IP que utiliza al consultar la página web de seguimiento de paquetes de USPS. o o
Interesante historia de un error compleja y profundamente oculta la ZooKeeper Veneno-Bug de paquetes - con AES como una parte de ella. o
El control de disturbios bombas fétidas están llegando a los EE.UU.. o o
riesgos terroristas de la ciudad, de acuerdo con los datos reales. o o
La Universidad de Adelaida está ofreciendo un nuevo MOOC en "La guerra cibernética, Vigilancia y Seguridad." Aquí hay un video de cabecera. Me entrevistaron para la clase, y hacer una breve aparición en el sumario. ! o
Tox es una plataforma de contratación externa ransomware que todos pueden utilizar. o
Un investigador fue capaz de robar el dinero de Starbucks explotando una condición de carrera en su protocolo de transferencia de valor de la tarjeta de regalo. Básicamente, iniciando dos transferencias Web idéntica a la vez, fue capaz de engañar al sistema para la grabación de los dos. Normalmente, usted podría tener una tarjeta de regalo de $ 5 y mover ese dinero a otra tarjeta de regalo de $ 5, dejándole con una tarjeta de regalo vacío y una tarjeta de regalo de $ 10. Él fue capaz de duplicar la transferencia, lo que da una tarjeta de regalo vacío y una tarjeta de regalo de $ 15.
Oficina del Alto Comisionado de las Naciones Unidas publicó un informe sobre el valor de cifrado y anonimato al mundo.
De acuerdo con un artículo de Reuters, el Ejército de Estados Unidos trató de lanzar Stuxnet contra Corea del Norte, además de Irán: o
Dos divertidos cuestionarios de vigilancia de la NSA. De acuerdo, tal vez no tan divertido. Prueba 1: "Sólo Cómo kafkiano es el Tribunal que supervisa el espionaje de la NSA?" O Quiz 2: "¿Puede usted decir la diferencia entre Bush y Obama en la Patriot Act" o
La Cebolla en la NSA Vigilancia: o Más en serio: o
Hay vallas publicitarias inteligentes en Rusia que cambian lo que muestran cuando los policías están viendo. o Por supuesto que hay un largo camino tropecientos este tipo de cosas va a salir mal. Estoy más interesado en el fenómeno general de dispositivos inteligentes que nos identifican de forma automática y sin nuestro conocimiento.
El 1 de junio, EPIC - que es el Centro de Información sobre Privacidad Electrónica - tenido sus campeones anuales de Libertad cena. Te digo esto por dos razones. Uno, que recibió un Premio a la Trayectoria. (Yo era muy honrado de recibir este, y agradezco EPIC profusamente.) Y dos, el CEO de Apple, Tim Cook recibido un Premio Campeón de la Libertad. Su discurso de aceptación, entregado de forma remota, era increíble. o o
Sin embargo, otra nueva biométrica: brainprints. o o
Los medios de comunicación es un hervidero de cómo el ejército de Estados Unidos identifica la ubicación de un HQ ISIS porque alguien no tomó una foto y lo publicó.
investigaciones interesantes: "Podemos pista que si se toma el metro: Seguimiento de los usuarios de Metro que se utilicen acelerómetros en los teléfonos inteligentes":
interesante trabajo por Julie Cohen en los dos campos de la ley de vigilancia y estudios de vigilancia: o
Esta es una investigación interesante: "¿Cómo cerca de perder eventos amplificar o atenuar la toma de decisiones arriesgado", de Catherine H. Tinsley, Robin L. Dillon, y Matthew A. Cronin. o
The Washington Post tiene una buena historia de dos partes sobre la historia de la inseguridad de la Internet.
UH oh. Los robots están consiguiendo buenos con espadas de samurai. o
Taller sobre Seguridad y Comportamiento Humano (SHB) o 2015
TSA no detección de armas en los controles de seguridad
Esto no es bueno:
Una investigación interna de la Administración de Seguridad de Transporte reveló fallos de seguridad en los aeropuertos más transitados del país, donde los investigadores encubiertos fueron capaces de pasar de contrabando explosivos simulados o armas prohibidas a través de los puntos de control en el 95 por ciento de los ensayos docenas, ABC News se ha enterado.
La serie de pruebas se llevaron a cabo por equipos de Red de Seguridad Nacional que se hacen pasar como pasajeros, de salir a vencer al sistema.
De acuerdo con funcionarios informadas sobre los resultados de un reciente informe de Seguridad Nacional de Inspección General, agentes de la TSA fallaron 67 de 70 pruebas, con los miembros del equipo rojo varias veces seguidas capaces de conseguir armas potenciales a través de los puestos de control.
El Director Interino de la TSA ha sido reasignada:
Secretaria de Seguridad Nacional de Jeh Johnson dijo en un comunicado el lunes que Melvin Carraway se trasladó a la Secretaría de Estado y la aplicación de la ley local en la sede del DHS "con efecto inmediato".
Esto es malo. A menudo me he hecho el punto de que la seguridad del aeropuerto no tiene que ser 100% eficaz en la detección de armas y bombas. Aquí estoy en el año 2008:
Si está atrapado en la seguridad del aeropuerto con una bomba o una pistola, del personal de control no sólo se va a quitar de ti. Ellos van a llamar a la policía, y que van a ser atrapado por unas horas responder a un montón de preguntas incómodas. Usted puede ser arrestado, y es casi seguro que pierda su vuelo. En el mejor, vas a tener un día muy desagradable.
Esta es la razón por inspectores de artículos acerca de cómo no cogen todos los - o incluso una mayoría - de armas y bombas que pasan por los puntos de control no me molestan. Las cribas no tienen que ser perfectos; sólo tienen que ser lo suficientemente bueno. Ningún terrorista va a basar su argumento en conseguir una pistola de seguridad del aeropuerto, si hay una buena posibilidad de ser atrapado, porque las consecuencias de ser atrapados son demasiado grandes.
Una tasa de fracaso del 95% es malo, porque se puede construir una trama en torno a escondidas algo más allá de la TSA.
No sé los detalles, o lo que falló. ¿Fueron los procedimientos o entrenamiento? Fue la tecnología? ¿Era el programa de Control previo? Espero que vamos a aprender los detalles, y esto no será absorbido en la gran fauces de los secretos del gobierno.
o o
Me en 2008:
Reevaluación de Seguridad Aeroportuaria
La noticia de que la Administración de Seguridad en el Transporte se perdió la friolera de 95% de las armas de fuego y bombas en las últimas pruebas de seguridad del aeropuerto "equipo rojo" estaba justificadamente impactante. Está claro que no estamos obteniendo el valor de los $ 7 mil millones que estamos pagando la CST anualmente.
Pero hay otra conclusión, ineludible e inquietante para muchos, pero una buena noticia por todas partes: no necesitamos $ 7 millones de dólares en la seguridad del aeropuerto. Estos resultados demuestran que no hay mucho riesgo de terrorismo avión, y debemos trinquete de seguridad hacia abajo para pre-9/11 niveles.
No necesitamos la seguridad del aeropuerto perfecto. Sólo tenemos la seguridad de que es lo suficientemente bueno como para disuadir a alguien de la construcción de una parcela de alrededor de evadirlo. Si te pillan con una pistola o una bomba, la TSA detenerlo y llamar al FBI. En estas circunstancias, incluso una probabilidad media de ser atrapado es suficiente para disuadir a un terrorista cuerdo. Una tasa de fracaso del 95% es demasiado alto, pero un 20% no lo es.
Para aquellos de nosotros que hemos estado observando la TSA, el número 95% no había mucho de una sorpresa. La TSA ha estado fallando este tipo de pruebas desde su creación: fracasos en 2003, una tasa de 91% de fallo en Newark Liberty International en 2006, una tasa de fracaso del 75% en Los Angeles International en 2007, más fracasos en 2008. Y esos son sólo los resultados de las pruebas públicas; Estoy seguro de que hay muchos más informes condenatorios de manera similar la TSA ha mantenido en secreto por vergüenza.
Anteriores excusas TSA fueron que los resultados fueron aislados a un solo aeropuerto, o no realistas simulaciones del comportamiento terrorista. Eso es casi seguro que no era cierto entonces, pero la TSA no puede argumentar que incluso ahora. La prueba actual se llevó a cabo en muchos aeropuertos, y los probadores no hizo uso de las habilidades de armas de ocultación de ninja-como super-furtivos.
Esto es consistente con lo que sabemos de manera anecdótica: la TSA se pierde una gran cantidad de armas. Casi todo el mundo que conozco ha llevado inadvertidamente un cuchillo a través de la seguridad del aeropuerto, y algunas personas me han dicho acerca de las armas que llevaban por error en los aviones. La TSA publica estadísticas sobre la cantidad de armas que detecte; el año pasado, que fue 2.212. Esto no quiere decir que la TSA se perdió 44.000 armas el año pasado; un arma que le queda por error en una bolsa de equipaje de mano va a ser más fácil de detectar que un arma oculta deliberadamente en la misma bolsa. Pero ahora sabemos que no es difícil de colarse a través deliberadamente un arma.
¿Por qué es la tasa de fracaso es tan alto? El informe no dice, y espero que la TSA se va a realizar una investigación exhaustiva sobre las causas. Mi conjetura es que es una combinación de cosas. La comprobación de seguridad es un trabajo increíblemente aburrido, y casi todas las alertas son falsas alarmas. Es muy difícil para la gente a permanecer vigilantes en este tipo de situación, y la dejadez es inevitable.
También hay fallos tecnológicos. Sabemos que las tecnologías actuales de cribado son terribles en la detección del explosivo plástico PETN - eso es lo que tenía el bombardero ropa interior - y que un arma desmontada tiene una excelente oportunidad de conseguir el control de seguridad. Sabemos que algunos elementos permitidos por la seguridad del aeropuerto son excelentes armas.
La TSA está fallando para defenderse contra la amenaza del terrorismo. La única razón por la que han sido capaces de salirse con la estafa durante tanto tiempo es que no hay mucho de una amenaza de terrorismo para defenderse.
Incluso con todas estas fallas reales y potenciales, no ha habido ataques terroristas con éxito contra los aviones desde el 9/11. Si había un montón de terroristas los ataques a la espera de que nos deje bajar la guardia para destruir aviones norteamericanos, habríamos visto - o intento de éxito - después de todos estos años de fracasos de cribado. Nadie ha secuestrado un avión con un cuchillo o un arma de fuego desde el 9/11. Ni un solo avión ha volado a causa del terrorismo.
Los terroristas son mucho menos frecuentes de lo que pensamos, y el lanzamiento de un plan terrorista es mucho más difícil de lo que pensamos. Entiendo que esta conclusión es contrario a la intuición, y contrario a la difusión del miedo que oímos todos los días de nuestros líderes políticos. Pero es lo que los datos muestran.
Esto no quiere decir que podemos eliminar por completo la seguridad del aeropuerto. Necesitamos algo de seguridad para disuadir a los estúpidos o impulsivo, pero tampoco es una pérdida de dinero. Los terroristas inteligentes muy raras van a ser capaces de saltarse lo ponemos en práctica o elegir un blanco más fácil. Los terroristas estúpidos más comunes van a ser detenido por cualquier medida que implementamos.
terroristas inteligentes son muy raros, y vamos a tener que lidiar con ellos de dos maneras. Uno, necesitamos pasajeros vigilantes - eso es lo que nos protegió tanto del zapato y los bombarderos de la ropa interior. Y dos, vamos a necesitar una buena inteligencia e investigación - que es la forma en que los atacantes atrapados líquidos en sus apartamentos en Londres.
El verdadero problema de la seguridad del aeropuerto es que sólo es eficaz si los terroristas se dirigen a los aviones. Yo por lo general estoy en contra de las medidas de seguridad que requieren que adivinar correctamente las tácticas y los objetivos de los terroristas. Si detectamos sólidos, los terroristas utilizarán líquidos. Si defendemos aeropuertos, bombardean las salas de cine. Es un juego pésimo para jugar, ya que no podemos ganar.
Debemos exigir mejores resultados fuera de la TSA, pero también hay que reconocer que el riesgo real no justifica su presupuesto de $ 7 mil millones. Prefiero ver que el dinero gastado en inteligencia e investigación - la seguridad de que no nos obliga a adivinar la siguiente táctica terrorista y de destino, y funciona independientemente de lo que los terroristas están planeando siguiente.
Este ensayo apareció previamente en. o
El informe: o
El presupuesto de la TSA: o
Las dos clases de artículos prohibidos:
viejos informes de fallos de seguridad de la TSA o o o
¿Cuántas armas no encontrar la TSA ?:
Armas de artículos permitidos por la seguridad del aeropuerto:
"Por qué no hay más ataques terroristas?"
Los resultados de las pruebas demuestran que no hay amenaza: o
Sin pasar por la seguridad del aeropuerto: o
estúpidos terroristas:
Chris Roberts y Seguridad Aviónica
El mes pasado, escribió en su blog sobre el investigador de seguridad Chris Roberts detenido por el FBI después de Twitter acerca de la seguridad de aviónica, mientras que en un vuelo de United:
Pero para mí, la parte más fascinante de esta historia es que una computadora era el control de la cuenta de Twitter y entendido las referencias oscuras, alertó a una persona que descubrió que las escribió, investigó qué vuelo que él estaba, y envió un equipo del FBI a la Syracuse aeropuerto dentro de un par de horas. Hay un poco de vigilancia seria pasando.
Sabemos mucho más de la historia de fondo de la aplicación del orden del FBI. Había sido entrevistado por el FBI varias veces anteriormente, y fue capaz de tomar el control de al menos algunos de los controles de los aviones durante el vuelo.
Durante dos entrevistas con F.B.I. agentes de febrero y marzo de este año, Roberts dijo que hackeó los sistemas de entretenimiento a bordo de aviones Boeing y Airbus, durante los vuelos, de aproximadamente 15 a 20 veces entre 2011 y 2014. En un caso, Roberts dijo a los agentes federales se cortó en un avión de ordenador de gestión de empuje y momentáneamente tomó el control de un motor, según una declaración jurada adjunta a la solicitud de una orden de registro.
"Dijo que mandó con éxito el sistema que había accedido a emitir el 'CLB' o subir de comandos. Dijo que con ello causó uno de los motores de los aviones para subir lo que resulta en un movimiento lateral o de lado del avión durante uno de estos vuelos ", según la declaración jurada, firmada por F.B.I. agente Mike Hurley.
Roberts también dijo a los agentes que hackeó redes avión y pudo "para monitorear el tráfico desde el sistema de cabina."
De acuerdo con la solicitud de orden de registro, Roberts dijo que cortó en los sistemas mediante el acceso al sistema de entretenimiento en vuelo con su ordenador portátil y un cable Ethernet.
Esto hace que el comportamiento del FBI mucho más razonable. No estaban escaneando el feed de Twitter para las palabras clave al azar; que estaban viendo su cuenta.
No sabemos si las declaraciones del FBI son verdaderas, sin embargo. Pero si la piratería Roberts fue un avión mientras está sentado en el asiento del pasajero ... wow, es que una cosa estúpida que hacer.
Desde el Christian Science Monitor:
Pero las declaraciones de Roberts y acciones del FBI plantean tantas preguntas como las que responden. Para Roberts, la pregunta es ¿por qué el FBI se centra en la investigación de repente años de edad, que ha sido durante mucho tiempo parte del registro público.
"Este ha sido un problema conocido desde hace cuatro o cinco años, en los que un grupo de nosotros se han puesto de pie y golpeando nuestro pecho y diciendo: 'Esto tiene que ser fijo'", señaló Roberts. "¿Existe una amenaza creíble? Está ocurriendo algo? Si es así, ellos no van a decirnos, "dijo.
Roberts no es el único confundido por la serie de acontecimientos que rodearon su detención en abril y las revelaciones sobre sus entrevistas con los agentes federales.
"Me gustaría ver una transcripción (de las entrevistas)", dijo un ex fiscal federal de delitos informáticos, que habló bajo condición de anonimato. "Si él hizo lo que dijo que lo hizo, por qué no está en la cárcel? Y si él no lo hizo, ¿por qué el FBI diciendo que hizo? "
El verdadero problema es que la aviónica y el sistema de entretenimiento están en la misma red. Eso es una cosa más estúpida que hacer. También el mes pasado, escribí acerca de los riesgos de los aviones de piratería, y le dije que yo no era todo lo que preocupa. Ahora estoy más preocupado.
Anterior entrada de blog:
Justificar la aplicación: o
artículo de Wired: o
artículo del Christian Science Monitor: o
Aviónica problema de seguridad: o
Mi ensayo anterior sobre la seguridad de aviónica:
El cifrado de unidades de Windows duros
El cifrado de unidades de disco duro de Windows es trivialmente fácil; elegir qué programa utilizar es molestamente difícil. Todavía uso de Windows - Sí, lo sé, ni siquiera empezar - y tienen experiencia íntima con este tema.
Históricamente, he usado PGP Disk. Lo utilicé porque sabía y confiaba en los diseñadores. Incluso he utilizado después de que Symantec compró la compañía. Pero las grandes empresas son siempre sospechoso, porque hay un montón de maneras para que los gobiernos manipularlos.
Luego, utilicé TrueCrypt. Lo utilicé porque era de código abierto. Pero los desarrolladores anónimos extrañamente abdicó en 2014, cuando Microsoft lanzó Windows 8. me quedé con el programa por un tiempo, diciendo:
Para Windows, las opciones son básicamente BitLocker, PGP disco de Symantec, y TrueCrypt. Elijo TrueCrypt como la menos mala de todas las opciones.
Pero poco después de que, a pesar de la auditoría pública de TrueCrypt, que rescató para BitLocker.
BitLocker es el programa de cifrado de archivos nativo de Microsoft. Sí, es de una gran empresa. Pero fue diseñado por mi colega y amigo Niels Ferguson, quien confío. Fue una decisión rápida; había cambiado mucho desde el año 2006. En concreto, Microsoft ha hecho un montón de cambios en BitLocker para Windows 8, incluyendo la eliminación de algo Niels diseñado llamado el "elefante difusor."
La intercepción de Miqueas Lee recomendó recientemente BitLocker y tiene un montón de retroceso de la comunidad de seguridad. La semana pasada, publicó más investigación y explicación acerca de las compensaciones. Vale la pena leer. Microsoft le dijo que le quitaron el difusor elefante por razones de rendimiento. Y estoy de acuerdo con su conclusión final:
Sobre la base de lo que sé acerca de BitLocker, creo que es perfectamente bien para el usuario medio de Windows que confiar, que es especialmente conveniente teniendo en cuenta que viene con muchas PC. Si es que alguna vez Resulta que Microsoft está dispuesto a incluir una puerta trasera en una de las principales características de Windows, y luego tenemos problemas mucho más grandes que la elección de software de cifrado de disco de todos modos.
Lo que elija, si confiar en un sistema operativo propietario a no ser maliciosos no se ajusta a su modelo de amenazas, tal vez es hora de cambiar a Linux.
Miqueas también explica muy bien cómo TrueCrypt se está convirtiendo en anticuado, y no mantenerse al día con los cambios del sistema de archivos de Microsoft.
Últimamente, estoy gustando un programa poco conocido, BestCrypt, por una empresa finlandesa llamada Jetico. Miqueas me cita:
Teniendo en cuenta Schneier ha sido abierto durante décadas sobre la importancia de la criptografía de código abierto, le pregunté si él recomienda que otras personas utilizan BestCrypt, a pesar de que es propietaria. "Yo te recomiendo BestCrypt," me dijo Schneier, "porque he conocido gente de la empresa y tengo una buena sensación sobre ellos. Por supuesto que no sé a ciencia cierta; este negocio tiene que ver con la confianza. Pero en este momento, teniendo en cuenta lo que sé, confío en ellos ".
Yo sé que no es un buen argumento. Pero, de nuevo, estoy tratando de encontrar la opción menos mala. Y al final, que o bien tienen que escribir su propio software o confiar en alguien más para escribir por ti.
Pero, sí, esto debe ser una decisión fácil.
Me usando PGPDisk: o
TrueCrypt y yo: o
BitLocker:
Niels Ferguson en puertas traseras en BitLocker:
Me especular con puertas traseras en BitLocker: o
El difusor elefante: o
Miqueas Lee BitLocker y el cifrado de disco duro: o
BestCrypt: o
Me en código abierto: o
Schneier Noticias
Estoy hablando en la Conferencia de Desarrolladores de Noruega en Oslo el 17 de junio.
Estaré firmando libros en el stand de Seguridad Resilient el 18 de junio en la 27ª Conferencia Anual PRIMER en Berlín, Alemania.
Estoy hablando en el Taller sobre Economía y Seguridad de la Información en Delft el 22 de junio.
Estoy hablando en la 5ª Conferencia Internacional sobre Ciberseguridad en Tel Aviv el 24 de junio.
Me acaba de ser nombrado uno de los 20 mejores Seguridad Influencers por eSecurityPlanet: o
Fui entrevistado por la BBC sobre ciberseguridad:
Fui entrevistado por la distensión de datos y Goliat: o
Dos publicaciones cubren mi charla en el ataque de Sony y el futuro de cyberconflict: o
Aparecí en "El plomo" con Jake Tapper para hablar de la TSA: o
Fui entrevistado por Wired en datos y Goliat:
En caso de que las empresas hacen la mayoría de sus computando en la nube? (Parte 1)
Sí. No si. Tal vez. Sí. De acuerdo, esto es complicado.
La economía de la computación en la nube son convincentes. Para las empresas, los menores costos de operación, la falta de inversión de capital, la capacidad de escalar de forma rápida y la capacidad de externalizar el mantenimiento son sólo algunos de los beneficios. La informática es la infraestructura, como la limpieza, la nómina, preparación de impuestos y servicios legales. Todos estos son externalizados. Y la informática se está convirtiendo en una utilidad, como la energía y el agua. Cada uno hace su generación y distribución de agua "en la nube." ¿Por qué debería ser diferente?
Dos razones. La primera es que es complicado: se parece más a los servicios de nómina que la generación de energía similares. Lo que esto significa es que usted tiene que elegir los proveedores de nubes con sabiduría, y asegúrese de que tiene buenos contratos en su lugar con ellos. Quieres ser dueño de sus datos, y ser capaz de descargar los datos en cualquier momento. Usted quiere garantías de que sus datos no van a desaparecer si el proveedor de la nube va a la quiebra o interrumpe su servicio. ¿Quieres garantías de fiabilidad y disponibilidad, garantías de soporte técnico, lo que usted necesita.
El inconveniente es que va a tener opciones de personalización limitadas. La computación en nube es más barato debido a las economías de escala, y - al igual que cualquier tarea subcontratada - que tienden a obtener lo que se obtiene. Un restaurante con un menú limitado es más barato que un chef personal que puede cocinar cualquier cosa que desee. Menos opciones a un precio mucho más barato: se trata de una función, no un error.
La segunda razón por la que la computación en nube es diferente es la seguridad. Esto no es una preocupación de inactividad. de seguridad de TI es difícil bajo las mejores circunstancias, y los riesgos de seguridad son una de las principales razones que ha tomado tanto tiempo para que las empresas adoptan la nube. Y aquí lo que realmente se complica.
En el lado pro-nube, los proveedores de nube tienen el potencial de ser mucho más seguro que las empresas cuyos datos se están manteniendo. Se trata de las mismas economías de escala. Para la mayoría de las empresas, el proveedor de la nube es probable que tenga una mejor seguridad que ellos - por una gran cantidad. Todas menos las más grandes empresas se benefician de la concentración de experiencia en seguridad en el proveedor de la nube.
En el lado anti-nube, el proveedor de la nube podría no satisfacer sus necesidades legales. Es posible que tenga los requisitos reglamentarios de que el proveedor de la nube no puede satisfacer. Sus datos pueden ser almacenados en un país con leyes que no le gusta - o no pueden utilizar legalmente. Muchas empresas extranjeras están pensando dos veces antes de poner sus datos en el interior de los Estados Unidos, debido a las leyes que permiten al gobierno llegar a esos datos en secreto. Otros países de todo el mundo tienen aún más draconianas reglas de gobierno de acceso.
También en el lado anti-nube, un gran proveedor de la nube es un objetivo más jugosa. Sea o no esto es importante depende de su perfil de riesgo. Los delincuentes roban ya muchos más números de tarjetas de crédito que pueden obtener beneficios económicos; que son más propensos a ir después de las redes más pequeñas, menos defendidas. Sin embargo, una agencia de inteligencia nacional preferirá la ventanilla única de un proveedor de la nube ofrece. Es por ello que la NSA se rompió en los centros de datos de Google.
Por último, la pérdida de control es un riesgo de seguridad. Moviendo los datos en la nube significa que alguien está controlando esos datos. Esto está bien si lo hacen un buen trabajo, pero terrible si no lo hacen. Y para los servicios en la nube gratis, que la pérdida de control puede ser crítica. El proveedor de la nube puede borrar sus datos en un capricho, si cree que usted ha violado algún término del servicio que usted ni siquiera sabía que existían. Y usted no tiene recursos.
Como un negocio, es necesario sopesar los beneficios contra los riesgos. Y eso dependerá de cosas como el tipo de servicio en la nube que está considerando, el tipo de datos que está involucrado, lo crítico que el servicio es, la facilidad con que podría hacerlo en casa, el tamaño de su empresa y el entorno reglamentario y pronto.
Este ensayo apareció previamente en el sitio web de The Economist, como parte de un debate sobre la computación en nube. Es el primero de los tres ensayos. Visita el sitio para el otro lado del debate y otros comentarios.
En caso de que las empresas hacen la mayoría de sus computando en la nube? (Parte 2)
Permítanme comenzar con la descripción de dos enfoques para la nube.
La mayoría de los estudiantes que encuentro en la Universidad de Harvard viven sus vidas en la nube. Su correo electrónico, documentos, contactos, calendarios, fotos y todo lo demás se almacenan en los servidores que pertenecen a grandes compañías de Internet en los Estados Unidos y en otros lugares. Ellos utilizan servicios en la nube para todo. Conversan y comparten en Facebook e Instagram y Twitter. Que un cambio sin problemas entre sus ordenadores portátiles, tabletas y teléfonos. No sería una exageración decir que no les importa donde comienza sus ordenadores extremo y el Internet, y que se utilizan para tener acceso inmediato a todos sus datos en la pantalla más cercana disponible.
Por el contrario, yo personalmente uso la nube lo menos posible. Mi correo electrónico es en mi propio ordenador - Soy uno de los últimos usuarios de Eudora - y no en un servicio web como Gmail o Hotmail. No almaceno mis contactos o calendario en la nube. Yo no uso de copia de seguridad en la nube. No tengo cuentas personales en sitios de redes sociales como Facebook o Twitter. (Esto me convierte en un monstruo, pero altamente productiva.) Y yo no uso muchos productos de software y hardware que de otro modo le gustaría realmente, porque te obligan a mantener sus datos en la nube: Trello, Evernote, Fitbit.
¿Por qué no me abrazo a la nube de la misma forma en que mis colegas más jóvenes hacen? Hay tres razones, y en paralelo las ventajas y desventajas que enfrentan las empresas con las mismas decisiones van a hacer.
El primero es el control. Quiero estar en control de mis datos, y yo no quiero renunciar a ella. Tengo la capacidad de mantener el control mediante la ejecución de mis propios servicios de mi camino. La mayoría de los estudiantes carecen de los conocimientos técnicos, y no tienen otra opción. También quieren servicios que sólo están disponibles en la nube, y no tienen elección. He hecho deliberadamente mi vida más difícil, simplemente para mantener ese control. Del mismo modo, las empresas van a decidir si o no quieren - o incluso puede - mantener el control de sus datos.
El segundo es la seguridad. Hablé de esto en detalle en mi declaración de apertura. Baste decir que soy muy paranoico sobre seguridad en la nube, y creo que puedo hacerlo mejor. Las porciones de los estudiantes no les importa mucho. Una vez más, las empresas van a tener que tomar la misma decisión sobre quién va a hacer un mejor trabajo, y en función de sus propios recursos internos, que podrían tomar una decisión diferente.
La tercera es la más grande: la confianza. Simplemente no confío en las grandes corporaciones con mis datos. Sé que, al menos en Estados Unidos, que pueden vender mis datos a voluntad y revelarla a quien quieran. Puede ser hecha pública inadvertidamente por su falta de seguridad. Mi gobierno puede tener acceso a ella sin una orden judicial. Una vez más, muchos de esos estudiantes no les importa. Y una vez más, las empresas van a tener que tomar las mismas decisiones.
Al igual que cualquier relación de outsourcing, servicios en la nube se basan en la confianza. En todo caso, eso es lo que usted debe tomar distancia de este intercambio. Trate de hacer negocios sólo con proveedores de confianza, y poner en su lugar los contratos para asegurar su confiabilidad. Presionar por regulaciones gubernamentales que establecen una línea de base de confiabilidad para los casos en los que no tienen ese poder de negociación. Luchar contra las leyes que dan los gobiernos secreto de acceso a sus datos en la nube. La computación en nube es el futuro de la computación; hay que asegurarse de que es seguro y confiable.
A pesar de mis opciones personales, mi creencia es que, en la mayoría de los casos, los beneficios de la computación en la nube son mayores que los riesgos. Mi empresa, sistemas resistentes, utiliza los servicios de nube tanto para manejar el negocio y para acoger a nuestros propios productos que se venden a otras empresas. Para nosotros tiene más sentido. Pero pasamos mucho esfuerzo asegurando que utilizamos solamente los proveedores de nube de confianza, y que somos un proveedor de nube de confianza para nuestros propios clientes.
En caso de que las empresas hacen la mayoría de sus computando en la nube? (Parte 3)
La computación en nube es el futuro de la computación. La especialización y la externalización hacen que la sociedad sea más eficiente y escalable, y la informática no es diferente.
Pero ¿por qué no estamos allí todavía? ¿Por qué no, en palabras de Simon Crosby, "manos a la obra"? He discutido algunas de las razones: la pérdida de control, y no cuantificables nuevos riesgos de seguridad, y - sobre todo - una falta de confianza. No es suficiente simplemente descartarlos, como el número de empresas no abrazan los espectáculos en la nube. Es más útil considerar lo que tenemos que hacer para cerrar la brecha de la confianza.
Una variedad de mecanismos puede crear confianza. Cuando externalizado mi preparación de la comida de un restaurante la noche anterior, nunca se me ocurrió que preocuparse de la seguridad alimentaria. Esa confianza ciega es en gran parte creado por la regulación gubernamental. Se asegura de que nuestros alimentos son seguros para comer, tal como lo garantiza nuestra pintura no nos va a matar y nuestros aviones son seguros para volar. Es todo muy bien para el señor Crosby a escribir que las compañías de la nube "invertirá fuertemente para asegurarse de que pueden satisfacer complejo ... reglamentos", pero esto presupone que tenemos una regulación integral. En este momento, es en gran parte un país libre para todos por ahí, y puede ser imposible ver cómo la seguridad en las obras de la nube. Cuando sólidas regulaciones de seguridad de los consumidores-apuntalan la externalización, la gente puede confiar en los sistemas.
Esto es cierto para cualquier tipo de externalización. Abogados, los preparadores de impuestos y los médicos tienen licencia y están muy regulados, tanto por los gobiernos y las organizaciones profesionales. Confiamos en que nuestros médicos para cortar y abrir nuestros cuerpos, porque sabemos que no están inventando. Necesitamos un profesionalismo similar en la computación en nube.
La reputación es otra gran parte de la confianza. Nos basamos en tanto la palabra-de-boca y opiniones profesionales para decidir sobre un coche o un restaurante en particular. Pero nada de esto funciona sin una transparencia considerable. La seguridad es un ejemplo. El Sr. Crosby escribe: "Nube de seguridad proveedores de diseño en sus sistemas y dedicar enormes recursos para proteger a sus clientes." Tal vez algunos lo hacen; Ciertamente muchos no lo hacen. Sin una mayor transparencia, como cliente de nube no se puede decir la diferencia. Trate de preguntar a cualquiera de Amazon Web Services o para ver los detalles de sus medidas de seguridad, o incluso para le indemnizará por las violaciones de datos en sus redes. Es aún peor para los servicios en la nube de consumo gratuitos como Gmail y iCloud.
Tenemos que confiar en el rendimiento de la computación en la nube, la fiabilidad y la seguridad. Necesitamos estándares abiertos, las reglas acerca de ser capaz de eliminar nuestros datos de servicios en la nube y la seguridad de que podemos cambiar servicios en la nube si queremos.
También tenemos que confiar en que tenga acceso a nuestros datos, y en qué circunstancias. Un comentarista escribió: "Después de Snowden, la idea de hacer el cómputo en la nube es absurdo." Él no está haciendo un argumento técnico: un típico centro de datos corporativo no es nada mejor se defiende que una nube de computación en uno. Él está haciendo un argumento legal. Bajo la ley estadounidense - y leyes similares en otros países - el gobierno puede obligar a su proveedor de nube que renunciar a sus datos sin su conocimiento y consentimiento. Si los datos están en su propio centro de datos, al menos la oportunidad de ver una copia de la orden judicial.
la vigilancia corporativa importa, también. Muchas compañías nube mina y venden sus datos o que lo utilizan para manipular a comprar cosas. El bloqueo de la vigilancia amplia tanto por los gobiernos y las empresas es fundamental para confiar en la nube, como es la eliminación de las leyes y órdenes secretas relativas al acceso de datos.
En el futuro, vamos a hacer todo nuestro computación en la nube: tanto la computación y la informática de los productos básicos que requiere una experiencia personalizada. Pero este futuro sólo ocurrirá cuando logramos crear confianza en la nube.
Concurso Amenaza octava película-Terreno Ganador
El 1 de abril, anuncié el Festival de Películas-Parcela Amenaza Octava:
Quiero una amenaza película-trama que muestra los males de cifrado. (Para los que no saben, una amenaza de cine-trama es una historia de miedo-amenaza que haría una gran película, pero es demasiado específica para construir políticas de seguridad alrededor. Concurso de la historia aquí.) Hemos escuchado mucho acerca de la males de los cuatro jinetes del Apocalipsis Internet - terroristas, narcotraficantes, secuestradores, y pornógrafos infantiles. (O tal vez son terroristas, pederastas, narcotraficantes y lavadores de dinero, nunca puedo recordar.) Trate de ser más original que eso. Y nada demasiado la ciencia ficción; la tecnología actual, o sólo presume tecnología.
El 14 de mayo, anuncié los cinco semifinalistas. Los votos están en, y el ganador es TONYK:
6 de noviembre de 2020, el mañana de la elección presidencial. Esta será la primera elección donde los votos pueden ser emitidos desde teléfonos inteligentes y ordenadores portátiles. Se espera una participación sin precedentes.
Hay mucho entusiasmo ya que los resultados en vivo se están exhibiendo por todo el lugar. Twitter, televisión, aplicaciones y sitios web están todos mostrando los recuentos de votos. Es una carrera muy reñida entre los principales candidatos hasta las 9 de la mañana cuando un tercer candidato empieza a cerrar rápidamente la brecha. Era un desconocido independiente que había sospecha de vínculos con varias organizaciones terroristas. Hubo indignación cuando llegó a la votación, pero rápidamente se había apagado cuando no alargue sin esfuerzo de la campaña.
A las 11 horas de la independiente se predijo para ganar, y el software llamado por él a las 3:22 h.
A las 4 de la CEO del fabricante de software estaba siendo entrevistado en la CNN. Hubo acusaciones de todo, desde el soborno a los insectos a los piratas informáticos que son responsables de los resultados. Se hicieron demandas para las auditorías y recuentos. Algunos incluso se piden los datos estén a disposición del público. El director general explicó con calma que no puede haber ninguna auditoría o recuento. El sistema se ha cifrado extremo a extremo y todos los votos se convierte en anónima criptográficamente.
El entrevistador se quedó de piedra y se sentó en silencio. Cuando finalmente habló, dijo: "Nos acaba de elegir a un terrorista como el Presidente de los Estados Unidos."
Para el registro, Nick P era un runner-up.
Felicidades, TONYK. Ponte en contacto conmigo por correo electrónico, y te voy a enviar sus fabulosos premios.
o
Desde 1998, El criptograma ha sido un boletín mensual gratuito que proporciona resúmenes, análisis, puntos de vista y comentarios sobre la seguridad de la calculadora y de otro tipo. Puede suscribirse, darse de baja o cambiar su dirección en la Web en <>. Los números anteriores también están disponibles en esa URL.
Por favor, siéntase libre de enviar El criptograma, en su totalidad o en parte, a los colegas y amigos que les resultará valioso. Se permite también la reimprimir El criptograma, siempre que sea reproducida en su totalidad.
El criptograma es escrito por Bruce Schneier. Bruce Schneier es un técnico de seguridad de renombre internacional, llamado un "gurú de la seguridad" por The Economist. Es autor de 12 libros - incluyendo "Mentirosos y valores atípicos: La activación de la Sociedad de confianza necesita para sobrevivir" -, así como cientos de artículos, ensayos y trabajos académicos. Su influyente boletín "Crypto-Gram" y su blog "Schneier sobre Seguridad" son leídos por más de 250.000 personas. Ha testificado ante el Congreso, es un invitado frecuente en la televisión y la radio, ha sido miembro de varios comités del gobierno, y es citado regularmente en la prensa. Schneier es un miembro del Centro Berkman para Internet y Sociedad de la Escuela de Derecho de Harvard, un compañero de programa en el Instituto de Tecnología Abierta de la New America Foundation, un miembro de la junta de la Fundación Frontera Electrónica, Miembro del Consejo Asesor del Centro de Información sobre Privacidad Electrónica, y el director de tecnología en sistemas resistentes, Inc. Consulte <>.
Crypto-Gram es un boletín de noticias personal. Las opiniones expresadas no son necesariamente las de sistemas resistentes, Inc.
Derechos de autor (c) 2015 por Bruce Schneier.
.
