W tym numerze:

 

 

Mój wielki pomysł stoi pod wielkim znakiem zapytania. Każdy system relacji zawiera jakieś pasożyty. Skąd możemy być pewni, że społeczne pasożyty nie niszczą systemów społecznych?

 

Wszystko jest kwestią zaufania, naprawdę. I nie chodzi o takie zaufanie, jakie mamy do bliskich znajomych czy krewnych, ale bardziej o takie bezosobowe zaufanie do ludzi i systemów z jakimi obcujemy w społeczeństwie. Ufam pilotom linii lotniczych, pracownikom hoteli, bankomatom, kuchniom w restauracjach, a także firmie, która zbudowała mój komputer. O tym właśnie piszę ten krótki esej. Ufam, że te osoby i przedmioty działają i będą działać w sposób, jakiego od nich oczekuję. Takie zaufanie to bardziej kwestia oczekiwań niż bliskości.

 

Oczywiście, że w tych wszystkich systemach znajdują się pasożyty. Większość ludzi jest naturalnie godna zaufania, jednak nie wszyscy. Bywają pracownicy hoteli, którzy kradną dane z karty płatniczej. Są bankomaty, które zostały przerobione przez kryminalistów. Niektóre restauracje podają posiłki mogące nas zatruć. Był nawet taki pilot samolotu, który celowo rozbił Boeinga 767 na Atlantyku w 1999 roku.

 

Jako dobrą metaforę zawsze przywołuję tzw. Dylemat Więźnia, który bardzo dobrze pokazuje rozbieżność pomiędzy interesem grupy i własnym. Ten przypadek ma nawet swoją terminologię: Współpracujący działają w interesie grupy, podczas gdy Uciekinierzy działają tylko we własnym egoistycznym interesie, ze szkodą dla grupy. Jeśli jest zbyt wielu Uciekinierów, to każdy na tym ucierpi i to nawet bardzo.

 

Dylemat Więźnia jest pomocny nie tylko w opisaniu problemu, ale także pomaga znaleźć rozwiązanie. Ludzie wykształcili cztery podstawowe mechanizmy obronne aby ograniczyć liczbę Uciekinierów – presje społeczne. Używamy moralności, reputacji, prawa i systemów bezpieczeństwa. I to jest rzeczywiście przymusowe, chociaż tak tego nie nazywamy. Nie będę tego zagadnienia dokładnie wyjaśniał, bo to temat na całą książkę. I nawet jest taka.

 

Ta książka wyznacza kolejny rozdział w mojej niekończącej się serii uogólnień. Od matematycznego bezpieczeństwa – kryptografii – do bezpieczeństwa komputerowego i sieciowego; o technologii zabezpieczeń jako takiej; dalej o ekonomii zabezpieczeń i psychologii; aż do – jak sądzę – socjologii zabezpieczeń. Im bardziej pragnę zgłębić to jak zabezpieczenia działają, tym bardziej muszę w moim modelu uwzględnić kolejne fragmenty świata.

 

Gdy zaczynałem pisać tę książkę, sądziłem, że często będę odnosił się do światowego kryzysu finansowego z 2008 roku. Pokazuje on konflikt interesów grupy z interesami własnymi oraz to,  jak mniejszość pasożytnicza prawie zniszczyła system finansowy całej planety. Miałem nawet świetny cytat byłego szefa Rezerw Federalnych, Alana Greenspana, który przyznał, że miał „lukę” w swoim światopoglądzie. Wymiana zdań, która miała miejsce, gdy był przepytywany przez kongresmena Alana Waxmana podczas przesłuchań w Kongresie w 2008 roku, nawet już otwierała moją książkę. Nazwałem Uciekinierów „nieuczciwą mniejszością” i był to mój oryginalny tytuł tej książki.

 

Jednakże ten uogólniony przykład ostatecznie przesunął się na dalszy plan, aby zostać zastąpionym wieloma pojedynczymi przykładami. Opowiadam o zbyt dużych morskich połowach, szczepieniach w dzieciństwie, płaceniu podatków, głosowaniu, kradzieży, bezpieczeństwie lotów, małżeństwach homoseksualnych i wielu innych rzeczach. Porzuciłem określenie „nieuczciwej mniejszości”, ponieważ po części nie potrzebowałem go i po części dlatego, że kilku pierwszych czytelników odbierało to nie jako „mały procent z nas, który jest nieuczciwy”, tylko jako „grupa mniejszości, która jest nieuczciwa” – czyli nie takie znaczenie jakie chciałem przekazać.

 

Nawet nie uświadamiałem sobie, że piszę o zaufaniu. Tymczasem kilku pierwszych czytelników, przypadkowo tego samego dnia powiedziało mi, że moja książka nie jest o bezpieczeństwie, tylko o zaufaniu. Dokładniej o tym, jak różne  społeczne czynniki, w tym bezpieczeństwo, wywołują zaufanie. Ta rozgrywka pomiędzy Współpracującymi i Uciekinierami, zaufaniem i bezpieczeństwem, zgodnością i przymusem wpływa na wszystko, co dotyczy ludzi. 

 

W książce wędruję przez niesamowite akademickie dyscypliny: eksperymentalną psychologię, ewolucyjną psychologię, socjologię, ekonomię, ekonomię behawioralną, biologię ewolucyjną, neuronauki, teorię gier, dynamikę systemów, antropologię, archeologię, historię, politologię, prawo, filozofię, teologię, nauki poznawcze i bezpieczeństwo komputerowe. Czasem czułem się jakbym błądził po uniwersytecie, kopał kolejne drzwi i domagał się odpowiedzi. „Hej antropolodzy – co możecie mi powiedzieć o pierwszych ludzkich wykroczeniach i karach?” „Dobra neuronaukowcy, jakie procesy chemiczne zachodzą w mózgu podczas współpracy? A wy psychologowie ewolucyjni, jak możecie to wyjaśnić?” „Hej filozofowie, co już macie?” Pobrałem tysiące – dosłownie – prac naukowych. W czasach przed-internetowych musiałbym chyba przeprowadzić się do uniwersyteckiej biblioteki.

 

Najbardziej interesuje mnie to, co to wszystko oznacza dla przyszłości. Nigdy nie byliśmy zdolni do eliminacji defektów. Niezależnie od poziomu presji społecznej, nie potrafimy zredukować do zera współczynnika morderstw w społeczeństwie. Nigdy nie doczekamy końca złych zachowań korporacji, malwersacji lub niegrzecznych ludzi, którzy telefonują na sali kinowej. Jest to normalne, ale staje się naprawdę interesujące, gdy technologia pozwala każdemu pojedynczemu defektowi stać się bardziej niebezpiecznym. Tak to jest – rybacy przeżyją nawet gdy kilku z nich zawiedzie i będzie łowić za dużo ryb – do czasu gdy Uciekinierzy nie zastosują sieci dryfujących i od razu nie zlikwidują całego zasobu połowowego. Przypadkowy terrorysta z karabinem maszynowym nie jest dla społeczeństwa dużym problemem, ale terrorysta wyposażony w bombę atomowa mógłby nim już być.

 

I na koniec największa rewelacja – nie każdy Uciekinier jest zły. Jeśli myślisz o pojęciach współpracy i szkodzenia, są one definiowane przez normę społeczną. Współpracującymi są ludzie, którzy podążają za formalnymi - bądź nie - zasadami. Uciekinierami są ludzie, którzy z jakiegokolwiek powodu łamią zasady. Definicja nie mówi nic o moralności społeczeństwa lub jej zasad. Gdy społeczeństwo się myli, pojawiają się Uciekinierzy, którzy stają się awangardą zmian. Byli więc Uciekinierzy, którzy pomagali uwalniać niewolników na Południu. Są Uciekinierzy, którzy nawołują do obalenia represyjnych reżimów na Środkowym Wschodzie. I są Uciekinierzy zasilający ruchy protestacyjne na Wall Street. Bez Uciekinierów społeczeństwo popada w stagnację. 

 

Równolegle potrzebujemy być poddawani dużej presji społecznej, aby radzić sobie ze skutkami zastosowań technologii. Jednocześnie ciśnienie nie powinno być zbyt duże, aby zapewnić otwarte, wolne i ewoluujące społeczeństwo. To jest nasze wielkie wyzwanie na najbliższą dekadę.

 

Ten esej pojawił się oryginalnie na blogu Johna Scalziego. 

http://whatever.scalzi.com/2012/02/16/the-big-idea-bruce-schneier/

 

 

 

 

Zostałem poproszony, abym opowiedział o pięciu książkach związanych z ochroną prywatności.

 

Pytanie:  Jest Pan znany jako ekspert ds. bezpieczeństwa, ale dzisiejszym tematem jest „zaufanie”. Jak określiłby Pan połączenie tych dwóch rzeczy?

 

Odpowiedź: Bezpieczeństwo istnieje po to, aby zapewnić zaufanie. Zaufanie jest celem i bezpieczeństwo pozwala je osiągnąć. Pomyślmy o tym w ten sposób: Jako członkowie nowoczesnego społeczeństwa, musimy ufać różnym ludziom, instytucjom i systemom. Musimy ufać, że potraktują nas uczciwie, nie wykorzystają i tak dalej – w skrócie będą zachowywać się w sposób godny zaufania. Bezpieczeństwo jest tym, w jaki sposób osiągniemy wiarygodność, a co za tym idzie umożliwmy zaufanie. 

 

Wyjaśni nam to prosty przykład. Aby handel dobrze szedł, sprzedawca i klient muszą sobie ufać. Klient musi ufać, że rzeczy sprzedawane przez sprzedającego są takie, jakimi on je przedstawia. Sprzedający z kolei musi ufać, że klient nie ukradnie rzeczy bez zapłaty. Każda ze stron musi zaufać drugiej, że ta nie będzie oszukiwać. Bezpieczeństwo sprawia, że to działa, miliardy razy dziennie.  Zapewniamy je różnymi sposobami takimi jak systemy alarmowe chroniące przed kradzieżą i zabezpieczenia w banknotach chroniące przed oszustwami, ale także wieloma innymi rzeczami. Prawa konsumenta chronią go przed oszustwem ze strony sprzedawcy. Inne prawa chronią przed włamaniami. Mniej formalne środki jak reputacja pomagają sprzedawcom i kupującym w mniej anonimowych środowiskach chroniąc przed oszustwem. A nasz nieodłączny kompas moralny powoduje, że przez większość czasu jesteśmy uczciwi.

 

W mojej nowej książce „Liars and Outliars”, przywołuję temat różnych presji społecznych. Żadna z nich nie jest idealna, ale razem powodują, że społeczeństwo funkcjonuje. Oczywiście zdarza się i zawsze będzie zdarzało, że czasem sprzedawca lub kupujący będzie oszukiwał. Ale do czasu, gdy będzie się to działo dość rzadko, społeczeństwo prosperuje. 

 

Pytanie: Jak w czasach informacji zmieniła się natura zaufania?

 

Odpowiedź: Pojęcia zaufania i wiarygodności są stare jak nasz gatunek. Wiele konkretnych presji społecznych wywołujących zaufanie jest tak starych jak cywilizacja. Kwestie moralności i reputacji są na pewno tak stare jak prawo. Techniczne środki bezpieczeństwa zmieniały się wraz z rozwojem technologii, podobnie jak zmieniały się szczegóły dotyczące systemów reputacji i prawnych, ale generalnie pozostały one niezmienne. 

 

W nowoczesnym społeczeństwie zmieniła się skala. Obecnie musimy zaufać większej liczbie ludzi niż kiedykolwiek do tej pory i to w kwestiach politycznych, etnicznych i socjalnych. Musimy ufać większym korporacjom, bardziej zróżnicowanym instytucjom i bardziej skomplikowanym systemom. Musimy ufać za pośrednictwem sieci komputerowej. Wszystko to powoduje, że o zaufanie jest coraz trudniej. Jednocześnie dzięki skalowalnej technologii źli ludzie mogą wywołać znacznie więcej szkód niż dotąd. To także wpływa na ograniczenie zaufania. 

Poruszanie się w tym wszystkim stanowi jedno z najbardziej fundamentalnych wyzwań naszego społeczeństwa w nowym stuleciu.

 

Pytanie: Czy przy takiej liczbie niebezpieczeństw powinniśmy jeszcze komukolwiek ufać? Czyż zasada „nie ufaj nikomu” nie jest pierwszą zasadą bezpieczeństwa?

 

Odpowiedź: Może i jest pierwszą zasadą bezpieczeństwa, ale równocześnie jest najgorszą zasadą dla społeczeństwa. Nie sądzę, że mógłbym nawet zliczyć wszystkich ludzi, instytucje i systemy, którym zaufałem do dzisiaj. Ufałem, że gazownia będzie dostarczać paliwo gazowe, którym ogrzewam mój dom i że woda w kranie będzie bezpieczna do picia. Zaufałem, że świeże i zapakowane jedzenie w mojej lodówce nadaje się do zjedzenia – to oznaczało zaufanie do ludzi w kilku krajach. Zaufałem różnym stronom w Internecie. Zaufałem producentowi mojego auta, jak również wszystkim innym kierowcom na drodze.

 

Lecę teraz do Bostonu, co oznacza okazanie zaufania kilku dużym korporacjom, setkom obcych – zarówno pracującym dla tych korporacji, siedzącym w moim samolocie lub nawet stojącym wokół lotniska – i różnym agencjom rządowym. Nawet musiałem zaufać TSA (amerykańskiej Administracji Bezpieczeństwa Transportu) wiedząc, że kiepsko pracują i tak dalej. A nie ma nawet 9:30 rano! Liczba ludzi, którym musimy zaufać każdego dnia jest zdumiewająca. I ufamy im tak całkowicie, że nawet o tym nie myślimy.

 

Przecież nie idziemy do restauracji myśląc: „dostawcy mogli dostarczyć restauratorowi popsutą żywność, kucharz może ją zatruć, kelner może sklonować moją kartę płatniczą, inni goście mogą ukraść mój portfel, budowniczy mógł źle zbudować dach, a terroryści mogą wysadzić całe to miejsce w powietrze. Po prostu siadamy i jemy. I restaurator ufa, że nie ukradniemy nikomu portfela, czy też nie zostawimy bomby pod krzesłem, a zapłacimy, gdy skończymy. Bez zaufania społeczeństwo upada. A bez presji społecznej, nie ma zaufania. Diabeł tkwi w szczegółach, oczywiście, i o tym jest moja książka.

 

Pytanie: Jakie zagrożenie przeraża Pana osobiście najbardziej?

 

Odpowiedź: Moje główne obawy dotyczą potęgi. Nie obawiam się kryminalistów, nawet zorganizowanej przestępczości. Czy terrorystów, nawet zorganizowanych. Takie grupy zawsze istniały, zawsze będą istnieć i zawsze działają na marginesie społeczeństwa. Presje społeczne zrobiły z tym swoje. Znacznie bardziej niebezpieczne jest, gdy rządzący wykorzystują potęgę do podważenia zaufania. Konkretnie myślę o rządach i korporacjach.

 

Oto kilka przykładów. Światowy kryzys finansowy nie został wywołany przez przestępców, lecz przez legalne instytucje finansowe podążające za własnym interesem. Większość zagrożeń przeciwko naszej prywatności nie pochodzi ze strony przestępców, ale ze strony korporacji próbujących precyzyjniej adresować reklamy. Największym zagrożeniem dla wolności w Internecie są błędne działania dużych firm z branży rozrywkowej próbujące powstrzymać piractwo. I cyberwojna może spowodować więcej szkód w Internecie niż przestępcy mogliby zamarzyć.

 

Najbardziej przeraża mnie dziś to, że w naszym hyper-połączonym, skomputeryzowanym świecie hi-tech otrzymamy błędne presje społeczne, co wywoła katastrofalny efekt. 

 

Pytanie: Wróćmy do książek, które Pan wybrał. Zacznijmy od książki „Pingwin i Lewiatan” Yochaia Benklera.

 

Odpowiedź:  Ta książka pasuje do mojej. Swoją napisałem z perspektywy bezpieczeństwa – jak społeczeństwo skłania do współpracy. Benkler wyszedł z odwrotnej perspektywy – jak ta współpraca działa i co jest jej wartością. Konkretniej, co jest jej wartością w gospodarce 21. wieku - wieku informacji. Podważa on wszechobecny ekonomiczny pogląd, że ludzie są urodzonymi egoistycznymi stworzeniami i pokazuje, że współpracujemy tak naprawdę z natury. Co ważniejsze, omawia on olbrzymią wartość współpracy w społeczeństwie i nowe sposoby jej wykorzystania w Internecie.

 

Uważam, że takie podejście jest ważne. Nasza kultura przeniknięta jest ideą, że indywidualizm jest najważniejszy – Thomas  Hobbes zauważa, że wszyscy jesteśmy autonomicznymi jednostkami, które dobrowolnie oddają część swojej wolności rządowi w zamian za bezpieczeństwo. To zupełny nonsens. Ludzie nigdy nie żyli jako jednostki. Zawsze żyliśmy w społecznościach i zawsze odnosiliśmy zwycięstwa i porażki jako współpracujące grupy. Wypadki, gdy ludzie odseparowywali się i żyli samotnie – myślę o Henrym Davidzie Thoreau z Walden  -- są tak niezwykłe, że podkreślają swoją rzadkość. 

 

Benkler rozumie to i chce abyśmy zaakceptowali kooperacyjną naturę  swoją i naszych społeczeństw. Daje też podobną radę na przyszłość co ja – musimy budować mechanizmy socjalne, które wspomogą współpracę pod kontrolą. Tak jest, musimy ułatwiać zaufanie w społeczeństwie. 

 

Pytanie: Co jest dalej na Pana liście?

 

Odpowiedź: „Folly of Fools” napisana przez biologa Roberta Triversa. Trivers studiował samooszukiwanie się ludzi i badał upowszechnienie tego zjawiska. Ludzie są mistrzami w samooszukiwaniu się. Regularnie oszukujemy się w różnych okolicznościach. Ale dlaczego? Jak to jest możliwe - postrzeganie rzeczywistości inaczej niż ona naprawdę wygląda  - aby uzyskać wartość dla przetrwania? Dlaczego genetyczna tendencja do samooszukiwania się prawdopodobnie przechodzi z pokolenia na pokolenie?

 

Książka Triversa w formie długiej odpowiedzi jest fascynująca. Zasadniczo oszustwo może przynieść olbrzymie korzyści ewolucyjne. W wielu przypadkach, zwłaszcza tych dotyczących sytuacji społecznych, jednostki które są dobrymi oszustami są też lepiej przystosowane do przeżycia i reprodukcji. A samooszukiwanie się czyni z nas lepszych oszustów. Na przykład jest pewna wartość w tym, że mogę oszukać cię abyś myślał, że jestem silniejszy niż w rzeczywistości. Jest mniej prawdopodobne, że zechcesz się ze mną bić i jest bardziej prawdopodobne, że wygram dominację bez walki itd. Lepiej cię oszukam, jeśli rzeczywiście wierzę, że jestem silniejszy niż w rzeczywistości. Dlatego oszukujemy siebie samych, aby lepiej oszukiwać innych.

 

Psychologia oszustwa jest podstawą moich opracowań dot. zaufania. Znacznie łatwiej oszukać kogoś jeśli on nie wierzy, że może być przez ciebie oszukany. 

 

Pytanie: Trzecia książka, „Sąsiad morderca” Davida M. Bussa.

 

Odpowiedź: Było już kilka książek o naturze przemocy ludzkiej, w szczególności męskiej. Wybrałem „Sąsiada mordercę” bo jest dobrze napisana i stosunkowo nowa, wydana w 2005 roku. David M. Buss to psycholog i dobrze pisze o naturalnej rządzy mordu naszego gatunku. Jest wiele danych potwierdzających naturalną ludzką żądzę mordu, nie tylko statystyki morderstw w nowoczesnych społeczeństwach.  Dowody antropologiczne wskazują, że 15 do 25% prehistorycznych mężczyzn zginęło w walce. 

 

Ta rządza mordu zaowocowała ewolucyjną presją bycia sprytnym. Tak o tym pisze autor: „gdy motywacja do mordowania dojrzała w naszych umysłach, zestaw innych skłonności także został wypracowany. Zabijanie to ryzykowny interes. Może być niebezpieczny i jest bardzo kosztowny dla ofiary. Niedobrze jest być martwym, ewolucja wypracowała bezwzględne mechanizmy obronne przed byciem zabitym, w tym takie jak zabicie zabójcy. Dlatego potencjalne ofiary też są całkiem niebezpieczne. W ewolucyjnym wyścigu zbrojeń ofiary zabójstw odegrały krytyczną i niepodważalna rolę – utorowały drogę dla ewolucji metod obrony przed zabójstwem.” 

 

Pytanie: Pana czwarta książka jest autorstwa psychologa, pisarza-naukowca, wspomnianego już Stevena Pinkera.

 

Odpowiedź: W „Lepsze anioły naszej natury”  Steven Pinker wyjaśnia dlaczego, pomimo presji rządzy mordu, w naszej ewolucyjnej przeszłości, poziom przemocy spadł w tak wielu kulturach na całym świecie. To fantastyczna książka, polecam ją przeczytać każdemu. Z mojego punktu widzenia mógłbym to podsumować bardzo prosto: zadziałała presja społeczna.

 

Jest to oczywiście bardziej skomplikowane, a Pinker wykonał kawał wspaniałej roboty prowadząc czytelnika przez swoje analizy i wnioski. Najpierw, przez 6 rozdziałów dokumentuje fakt, że przemoc rzeczywiście zmalała. W kolejnych dwóch - jak to się stało, że „lepsze anioły naszej natury” zwyciężyły nasze bardziej naturalne demony. Jego odpowiedzi są skomplikowane i opierają się na interakcji pomiędzy różnymi społecznymi presjami, o których to sam wspominałem. Nie chodzi o większe więzienia czy lepsze zamki zapewniające społeczeństwu większe bezpieczeństwo.  Chodzi o takie rzeczy jak wynalazek druku i wynikający z tego wzrost umiejętności czytania, emancypacja kobiet oraz utrwalenie uniwersalnych zasad moralnych i etycznych.

 

„Braintrust” autorstwa neurologa Patrici Churchland. Ta książka opowiada o neurobiologii moralności. Jest bardzo świeża – wydana w 2011 roku, to bardzo dobrze, bo to nowa dziedzina nauki i wciąż coś tu jest odkrywane. Moralność to podstawa presji społecznych, a Churchlan wyjaśnia jak to działa.

 

Książka ta próbuje pomóc zrozumieć neurobiologię kryjącą się za zaufaniem i wiarygodnością. Cytując autorkę: „hipoteza mówi, że to co my ludzie nazywamy etyką czy moralnością jest czterowymiarowym schematem zachowań społecznych, który jest kształtowany zakodowanymi procesami mózgu: (1) opieką (uwarunkowaną przywiązaniem do krewnych, przyjaciół i troską o ich dobry byt), (2) rozpoznawaniem w jakim stanie psychologicznym znajdują się inni (uwarunkowane korzyściami z przewidywania zachowań innych), (3) rozwiązywaniem problemów w kontekście społecznym (np. jak rozdzielać cenne dobra, rozstrzygać spory o ziemię, karać złych ludzi), (4) umiejętnością uczenia się zachowań społecznych (przez pozytywne i negatywne bodźce, przez naśladownictwo, metodą prób i błędów, przez różnego rodzaju dostosowywanie i przez podobieństwo).”

 

To są nasze wrodzone cechy społecznych presji. Są one systemami bezpieczeństwa, które utrzymują naszą wiarygodność przez większość czasu – co jest wystarczające dla większości z nas do zaufania na takim poziomie, aby społeczeństwo przetrwało.

 

Pytanie: Czy jesteśmy bezpieczniejsi po wprowadzeniu tych wszystkich spektakularnych zabezpieczeń na lotniskach?

 

Odpowiedź: Oczywiście, że nie. Pytanie to składa się z dwóch części. Pierwsza: czy robimy odpowiednie rzeczy? Chodzi o to, czy jest sens aby Ameryka skupiała swoje antyterrorystyczne działania zabezpieczające na lotniskach i samolotach? I druga składowa pytania: czy robimy te rzeczy odpowiednio dobrze? Innymi słowy, czy środki przeciwko terroryzmowi na lotniskach spełniają swoją rolę i zabezpieczają przed terroryzmem? Tak jak powiedziałem – odpowiedź na obie części pytania brzmi: nie. Skupianie się na lotniskach i konkretnych taktykach terrorystycznych, takich jak ukrywanie zagrożeń w butach czy płynach, jest złym wykorzystywaniem naszych pieniędzy. Terroryści mogą łatwo zmienić swoje taktyki i cele. A obecne środki bezpieczeństwa TSA nie zapewniają nam bezpieczeństwa, ponieważ zbyt łatwo je obejść.

 

Terroryści zasadniczo dzielą się na dwie grupy – przypadkowych wariatów i profesjonalistów. Większość zabezpieczeń na lotniskach, nawet tych sprzed 11 września, zabezpieczy nas przed przypadkowymi wariatami. Zostaną oni wyłapani. I właściwie nic nas nie obroni przed profesjonalistami. Zbadali oni nasze systemy i znają ich słabe strony. Gdy rzecz dotyczy już lotniska jest po prostu za późno. Bardziej efektywne byłoby dla USA wydawać pieniądze na wywiad, śledztwa i natychmiastowe reagowanie. Ale to tylko skrótowa odpowiedź, czytelników chcących szerzej poznać problem odsyłam do moich tekstów na ten temat.

 

Pytanie: Jaki wpływ na zagrożenie osobiste ma rozwój cloud computing?

 

Odpowiedź: Jak wszystko inne, cloud computing opiera się na zaufaniu. Zaufanie nie jest niczym nowym w komputerach. Muszę zaufać producentowi mojego komputera. Muszę ufać mojemu systemowi operacyjnemu i oprogramowaniu. Muszę ufać mojemu połączeniu internetowemu i wszystkiemu z tym związanemu. Muszę ufać danym z różnych innych źródeł. 

 

Z jednej strony cloud computing tylko dodaje kolejny poziom zaufania. Jest to jednak istotny poziom zaufania. Dla większości z nas oznacza to zmniejszenie ryzyka. Jeśli mam moje maile w Googlu, moje zdjęcia na Flickr, kolegów na Facebooku, a moje służbowe kontakty na Linkedin, to nie muszę się martwić o utratę tych danych. Jeśli mój komputer się popsuje, ciągle mam wszystkie moje maile, zdjęcia i kontakty. W taki właśnie sposób Iphone współpracuje z iCloud – jeśli stracę mój telefon, mogę dostać nowy i wszystkie moje dane powrócą w magiczny sposób.

 

Z drugiej jednak strony muszę zaufać moim dostawcom rozwiązań w chmurze. Musze zaufać, że Facebook nie nadużyje moich osobistych danych. Muszę zaufać, że moje dane nie zostaną przesłane na serwer do kraju, gdzie prawo odnośnie prywatności jest bardziej liberalne, i temu, że firmy przechowujące moje dane nie przekażą ich organom policyjnym bez nakazu sądowego. Nie jestem w stanie samemu zapewnić odpowiedniej ochrony moim danym, muszę skorzystać z tego, co daje mi dostawca rozwiązań w chmurze. I muszę ufać, że jest to wystarczająco dobre, nawet nic o tym nie wiedząc. 

 

 

Pytanie: Na koniec – ile faktów dotyczących Bruce’a Schneiera jest prawdziwych?

 

Odpowiedź: Siedem.

 

Pytania i Odpowiedzi oryginalnie pojawiły się w serwisie TheBrowser.com. 

http://thebrowser.com/interviews/bruce-schneier-on-trust?page=full

 

 

 

Książka sprzedaje się dobrze. (Podpisane egzemplarze są ciągle dostępne na mojej stronie). Mają ją wszystkie sklepy online, jak również większość księgarni. Jest dostępna w Europie i innych miejscach poza USA. A dla wszystkich, którzy potrzebują egzemplarza bez zabezpieczeń DRM jest dostępna w internetowej księgarni O’Reilly za 11,99 USD.

 

Strona książki:

http://www.schneier.com/book-lo.html

http://www.schneier.com/book-lo.html

Zamawianie podpisanych egzemplarzy:

http://www.schneier.com/book-lo.html#signed

 

Strona OReilly.com:

http://shop.oreilly.com/product/9781118143308.do

 

W zeszłym miesiącu podawałem linki do recenzji książki, tutaj jeszcze więcej:

http://www.versvs.net/anotacion/liars-outliers-como-se-articula-confianza

lub http://tinyurl.com/85ck8wd

http://nakedsecurity.sophos.com/2012/02/17/trust-and-society-a-review-of-liars-outliers-by-bruce-schneier/

lub http://tinyurl.com/8xeug3r

 

http://www.computerweekly.com/blogs/david_lacey/2012/02/trust_and_society.html

lub http://tinyurl.com/7fxjtsw

http://books.slashdot.org/story/12/02/22/1955201/book-review-liars-and-outliers

lub http://tinyurl.com/6u5o7wq

http://econlog.econlib.org/archives/2012/03/bruce_schneiers.html

http://findwhatworks.wordpress.com/2012/02/29/trust-and-the-development-of-institutions-reviewing-liars-outliers/ 

lub http://tinyurl.com/7fwugmo

http://epic.org/alert/epic_alert_1904.html

http://nyjournalofbooks.com/review/liars-and-outliers-enabling-trust-society-needs-thrive 

lub http://tinyurl.com/797fguu

http://www.computerweekly.com/blogs/david_lacey/2012/02/trust_and_society.html 

lub http://tinyurl.com/7fxjtsw

https://apapadop.wordpress.com/2012/03/11/book-review-liars-and-outliers-by-bruce-schneier/

lub http://tinyurl.com/7pxm8e6

http://groups.yahoo.com/group/techbooks/message/888

 

A tu trochę wywiadów o książce w formie audio i wideo:

http://minnesota.publicradio.org/display/web/2012/02/28/bright-ideas-bruce-schneier/

lub http://tinyurl.com/7xbpolq

http://threatpost.com/en_us/blogs/bruce-schneier-liars-and-outliers-022312

lub http://tinyurl.com/7ovrnms

http://www.youtube.com/watch?v=YnguA0GLYhg&list=PL245F02B16D18F8CA&index=53&feature=plpp_video

lub http://tinyurl.com/7797ln8

http://searchsecurity.techtarget.com/video/Bruce-Schneier-tackles-sociology-of-trust-and-security

lub http://tinyurl.com/7y8o56v

 

Przeszedłem "Page 99 Test":

http://page99test.blogspot.com/2012/02/bruce-schneiers-liars-and-outliers.html

lub http://tinyurl.com/73ldblm

 

Gizmodo opublikował fragment rozdziału 17.

http://gizmodo.com/5887528/how-to-trust-you-neighbors-in-a-networked-world

lub http://tinyurl.com/6vzngoc

 

Rozdział 1. Jest dostępny na mojej stronie.

http://www.schneier.com/book-lo-chapter1.html

 

A tu są wszystkie wykresy, przeważnie dla ludzi czytających e-booka.

http://www.schneier.com/book-lo-figures.html

 

 

 

 

Pojawiły się ciekawe badania dotyczące kluczy publicznych. Generalnie badacze odkryli, że mała ich liczba (27 tys. na 7,1 mln, czyli 0,38%) ma jedną wspólną cechę, co powoduje, że są słabsze. Badacze zdołali złamać te klucze i każdy kto powtórzy ich badania też będzie mógł to zrobić.

 

Przyczyną tego jest z pewnością zły generator liczb losowych użyty do wygenerowania tych kluczy publicznych. To nie powinno dziwić. Jedną z trudniejszych części kryptografii jest tworzenie liczb losowych. Naprawdę łatwo napisać zły generator liczb losowych i wcale nie będzie takie oczywiste, że jest on zły. Losowość nie jest funkcjonalnym wymogiem i do czasu, aż jej specjalnie nie przetestujesz i wiesz jak to przetestować, możesz myśleć, że twój system szyfrujący działa całkiem dobrze. (Jeden z dziennikarzy, z którym rozmawiałem o tej sprawie przez telefon, powiedział mi, że badacze powiedzieli mu o działającym w prawdziwym świecie generatorze, który generował tylko siedem różnych liczb losowych.) Tak więc jest prawdopodobne, że te słabe klucze pojawiły się przypadkowo.

 

Jest też jednak możliwe, że wybrane generatory liczb losowych zostały celowo osłabione. Mogły do tego przyczynić się służby wywiadowcze takie jak NSA. Nie mam dowodów, że tak się stało, gdybym jednak był odpowiedzialny za osłabienie systemów szyfrujących, na pierwszy cel wziąłbym generatory liczb losowych. Łatwo je osłabić i trudno to wykryć. Jest to znacznie bezpieczniejsze niż podkręcanie algorytmów testowanych według znanych procedur testujących i alternatywnych implementacji. Ale znów są to tylko moje spekulacje.

 

Jakie zagrożenie stanowi to dla bezpieczeństwa? Jest jakieś, ale trudno powiedzieć jak duże. Możemy założyć, że cyberprzestępcy powtórzą eksperyment i znajdą słabe klucze. Ale one są losowe, dlatego trudno powiedzieć jak na tym zarobić. Może przestępcy będą mieli szczęście i jeden ze słabych kluczy pozwoli im ukraść pieniądze, tajemnice handlowe lub dane wywiadowcze. Może.

 

I co się dzieje teraz? Mam nadzieję, że badacze wiedzą które implementacje systemowe kluczy publicznych są dotknięte złymi liczbami losowymi  - nie opublikowali tych nazw – i zawiadomią ich właścicieli, a wtedy te firmy poprawią swoje systemy. (Polecam moją Fortunę, z „Inżynierii Kryptografii”). Mam nadzieję, że każdy kto wdraża amatorski system generowania liczb losowych wywali go i wstawi w to miejsce coś lepszego. Na więcej nie liczę. Złe liczby losowe pozwoliły złamać wiele systemów kryptograficznych w przeszłości i będzie tak się jeszcze działo w przyszłości.

 

Opracowanie: 

http://eprint.iacr.org/2012/064.pdf

 

Tytuł opracowania, „Ron się mylił, Whit ma rację”, odnosi się do faktu, że RSA jest z natury mniej bezpieczne, bo opiera się na dwóch dużych losowych liczbach pierwszych. Algorytmy bazujące na dyskretnym logowaniu, takie jak DSA czy ElGamal, są mniej podatne na tę lukę ponieważ potrzebują tylko jedną losową liczbę pierwszą. 

 

Wiadomości:

http://www.nytimes.com/2012/02/15/technology/researchers-find-flaw-in-an-online-encryption-method.html lub http://tinyurl.com/72bhj7t

http://arstechnica.com/business/news/2012/02/crypto-shocker-four-of-every-1000-public-keys-provide-no-security.ars lub http://tinyurl.com/6ondkw6

http://www.newscientist.com/blogs/onepercent/2012/02/flaw-in-rsa-encryption.html

lub http://tinyurl.com/8xcv9nv

http://www.theregister.co.uk/2012/02/21/rsa_crypto_analysis/

http://www.businessweek.com/articles/2012-02-16/researchers-detail-flaw-in-online-cryptography-but-dont-panic lub http://tinyurl.com/74w8rqa

 

Fortuna:

http://en.wikipedia.org/wiki/Fortuna_PRNG

 

 

 

 

Internet aż huczy od tego wideo, pokazującego blogera przechodzącego z metalowymi przedmiotami przez dwa różnego typu skanery całego ciała. Umieszczając obiekt z boku ciała, jego ciemny obraz zostaje ukryty na czarnym tle odczytu skanera. To nie jest jakaś nowość. Ta luka była już omawiana na łamach Jornal of Transportation Security w zeszłym roku. I jest jeszcze nagranie z niemieckiej telewizji z 2010 roku, pokazujące jak ktoś przemycił materiały wybuchowe przez skaner. 

Odpowiedź TSA jest całkiem niejasna. Zacytowałbym jej fragment, ale naprawdę nic tam nie ma. A bloger pisze teraz o tym, że TSA naciska na dziennikarzy, aby nie pisali o tym zdarzeniu.

 

Skanery całego ciała to wielka pomyłka już od czasu samego ich wprowadzenia. Jednakże tak jak pisałem w 2010 roku nie sądzę aby TSA się z nich wycofała. Byłby to zbyt duży wstyd.

 

Wideo:

http://tsaoutofourpants.wordpress.com/2012/03/06/1b-of-nude-body-scanners-made-worthless-by-blog-how-anyone-can-get-anything-past-the-tsas-nude-body-scanners/

lub http://tinyurl.com/82eecyf

 

Raporty:

http://www.theatlantic.com/technology/archive/2012/03/is-there-a-fatal-flaw-in-the-tsa-nude-body-scanners/254126/ lub http://tinyurl.com/876thfw

http://www.nakedcapitalism.com/2012/03/video-demonstrates-how-to-circumvent-tsa-body-scanners.html lub http://tinyurl.com/7akor9h

http://www.metafilter.com/113613/Blogger-1-TSA-1000000000

http://www.dailytech.com/article.aspx?newsid=24179

 

Journal of Transportation Security:

http://www.springerlink.com/content/g6620thk08679160/fulltext.pdf

 

Nagranie niemieckiej TV:

http://www.schneier.com/blog/archives/2010/01/german_tv_on_th.html

 

Odpowiedź TSA:

http://blog.tsa.gov/2012/03/viral-video-about-body-scanners.html

 

TSA naciska na media:

http://tsaoutofourpants.wordpress.com/2012/03/08/breaking-tsa-threatens-mainstream-media-not-to-cover-story lub http://tinyurl.com/7qm9q2m

 

Mój esej z 2010:

http://www.schneier.com/essay-333.html

 

 

 

Kryptoanaliza algorytmów kodowania satelitarnych telefonów, GMR-1 i GMR-2:

http://aktuell.ruhr-uni-bochum.de/pm2012/pm00045.html.en

http://pda.physorg.com/news/2012-02-scientists-satellite-telephony-standards.html 

lub http://tinyurl.com/7erwt87

http://www.telegraph.co.uk/technology/news/9058529/Satellite-phone-encryption-cracked.html lub http://tinyurl.com/85fhndr

http://www.networkworld.com/news/2012/020812-satellite-encryption-255893.html

lub http://tinyurl.com/7bktgmj

 

Samoudomowienie zdarza się, gdy korzyści współpracy przeważają nad kosztami. Tak to działa u bonobo i innych zwierząt:

http://www.wired.com/wiredscience/2012/02/self-domestication/

To jest coś takiego, o czym piszę w mojej nowej książce. Zarówno u bonobo jak i ludzi występuje oczywisty problem: jeśli większość jest nieagresywna, agresywna mniejszość szybko może zdominować grupę. Jak społeczność się przed tym broni?

 

Śmieszny komiks: co jest w podejrzanej paczce?

http://www.gocomics.com/fminus/2012/02/08

 

Ukryte kanały komunikacji zwierząt:

http://rsbl.royalsocietypublishing.org/content/early/2012/01/27/rsbl.2011.1149 

lub http://tinyurl.com/6uwwqr3

 

Praca naukowa:  „Prezent urodzinowy w co jedenastym portfelu? Bezpieczeństwo PINów wybieranych przez klientów banków.” Okazuje się, że „1234" i data urodzin są najczęściej wybieranymi PINami.

http://www.cl.cam.ac.uk/~jcb82/doc/BPA12-FC-banking_pin_security.pdf

lub http://tinyurl.com/7hwefpe

http://www.lightbluetouchpaper.org/2012/02/20/how-hard-are-pins-to-guess/

http://tinyurl.com/8x8nxsp

http://bits.blogs.nytimes.com/2012/02/20/security-of-self-selected-pins-is-lacking/

http://tinyurl.com/7a83cos

 

Zachwyty Johna Nasha listem do NSA z 1955 roku:

http://agtb.wordpress.com/2012/02/17/john-nashs-letter-to-the-nsa/

 

Według raportu Juniper, mobilne złośliwe oprogramowanie bardzo szybko rośnie w siłę. To nie jest zaskakujące. Platforma mobilna jest nowa. I jest to bardzo osobista platforma. Dokładnie tu chcą się dostać napastnicy.

http://forums.juniper.net/t5/Security-Mobility-Now/Juniper-Mobile-Security-Report-2011-Unprecedented-Mobile-Threat/ba-p/129529

lub http://tinyurl.com/7cuz4xl

http://allthingsd.com/20120215/for-hackers-attacking-phones-and-tablets-is-the-new-hotness/

lub http://tinyurl.com/73crprn

 

Możemy jednoznacznie połączyć Stuxneta z irańskim laboratorium nuklearnym Natanz. Prezentacja wideo przedstawia Ralpha Langnera, badacza, który wykonał większość prac przy Stuxnecie. To długi klip, ale najlepsze jest pomiędzy 21-szą i 29-tą minutą.

http://www.digitalbond.com/2012/01/31/langners-stuxnet-deep-dive-s4-video/

lub http://tinyurl.com/6n7zu6z

Obrazki, o których wspomniano są tu nadal:

http://www.president.ir/en/9172

Moje poprzednie teksty o Stuxnecie:

http://www.schneier.com/blog/archives/2010/10/stuxnet.html

http://www.schneier.com/blog/archives/2011/01/more_stuxnet_ne.html

 

Nadzwyczajne środki bezpieczeństwa komputerowego podczas podróżowania do Chin:

http://www.nytimes.com/2012/02/11/technology/electronic-security-a-worry-in-an-age-of-digital-espionage.html lub http://tinyurl.com/7dnxfp9

 

 

Kryptografia w raperskiej piosence:

http://www.schneier.com/blog/archives/2012/02/mention_of_cryp.html

 

Amerykański sąd federalny orzekł, że policja nie może zmuszać kogoś do odkodowywania jego laptopa:

http://www.schneier.com/blog/archives/2012/02/us_federal_cour.html

 

Dobry esej o zagrożeniach cyberwojny, wyścigu zbrojeń cyberwojennych:

http://m.wired.com/threatlevel/2012/02/yellowcake-and-cyberwar/

 

Agent specjalny FBI i ekspert antyterrorystyczny krytykują TSA:

http://gmancasefile.blogspot.com/2012/01/tsa-fail.html

 

Sprytna sztuczka pozwalająca sprawdzić którzy użytkownicy serwisów społecznościowych są zalogowani:

http://www.tomanthony.co.uk/blog/detect-visitor-social-networks/

 

Organizacja ACLU złożyła wniosek FOIA o ujawnienie dokumentów, które zostały już w całości opublikowane przez WikiLeaks. Organizacja otrzymała niepełne wersje tych dokumentów. Pozwala to zobaczyć, czego rząd USA nie chce ujawniać.  

http://www.aclu.org/wikileaks-diplomatic-cables-foia-documents

Komentarz: „Ustawa o wolności słowa pozwala na nieujawnianie pewnych zastrzeżonych informacji, ale Departament Stanu podjął decyzję nie na podstawie takich wytycznych, ale raczej na podstawie tego, czy te dokumenty są kłopotliwe dla USA i czy stawiają kraj w złym świetle”. 

http://bltnotjustasandwich.com/2012/03/01/hidden-and-revealed/

 

Spoofing GPSów: świetny temat na film:

http://www.schneier.com/blog/archives/2012/03/gps_spoofers.html

 

Brytyjska antykradzieżowa teczka z 1960:

http://twentytwowords.com/2012/02/15/crazy-anti-theft-briefcase-will-crush-thiefs-fingers-and-maybe-impale-him-too/ lub http://tinyurl.com/7hx2scx

 

Komiks: filmowy haking kontra prawdziwy:

http://www.smbc-comics.com/index.php?db=comics&id=2526

 

Według tego dokumentu, otrzymanego przez EPIC w ramach Ustawy o wolności słowa, Amerykański Departament Bezpieczeństwa narodowego przeszukuje miliardy postów social mediowych w poszukiwaniu zagrożeń.

http://epic.org/2012/02/epic-obtains-new-documents-on-.html

Częściowa lista słów jest w tym dokumencie (strony 20–23).

http://epic.org/foia/epic-v-dhs-media-monitoring/Analyst-Desktop-Binder-REDACTED.pdf

lub http://tinyurl.com/7ebbvae

Przedrukowano to na tym blogu:

http://animalnewyork.com/2012/02/the-department-of-homeland-security-is-searching-your-facebook-and-twitter-for-these-words/ lub http://tinyurl.com/796ujvs

 

NSA opublikowała swoją specyfikację bezpieczeństwa dla Androida. Ciekawostką jest to, że wymaga się aby wszystkie dane były tunelowane przez bezpieczny VPN.

http://www.nsa.gov/ia/_files/Mobility_Capability_Pkg_(Version_1.1U).pdf

lub http://tinyurl.com/83d2l4f

Im bardziej przyglądam się zabezpieczeniom mobilnym, tym bardziej widzę, że bezpieczne tunelowanie jest niezbędne.

 

Ten esej używa ciekawej metafory ataku z wykorzystaniem użytkownika, aby opisać dostawców rozwiązań w chmurze takich jak Facebook czy Google. Generalnie serwisy te są w środku naszych interakcji z innymi i mają wgląd w dane wysyłane w obie strony.

http://www.itworld.com/it-managementstrategy/247344/facebooks-man-middle-attack-our-data lub http://tinyurl.com/7egqdq6

Zakłócanie wypowiedzi:

http://www.technologyreview.com/blog/arxiv/27620/

 

Ciekawe badanie o bezpieczeństwie wybieranych haseł:

http://www.lightbluetouchpaper.org/2012/03/07/some-evidence-on-multi-word-passphrases/

lub http://tinyurl.com/7w2kpdf

http://www.cl.cam.ac.uk/~jcb82/doc/BS12-USEC-passphrase_linguistics.pdf

lub http://tinyurl.com/7gmz3e2

 

Dużo dobrych tekstów o cyberwojnie autorstwa Thomasa Rida:

http://www.foreignpolicy.com/articles/2012/02/27/cyberwar

http://www.tandfonline.com/doi/pdf/10.1080/03071847.2012.664354

http://www.theregister.co.uk/2012/02/24/cyber_weapons/

http://www.tandfonline.com/doi/pdf/10.1080/01402390.2011.608939

 

 

 

W zeszłym miesiącu miała miejsce wielka konferencja RSA w San Francisco: uczestniczyło w niej około 20 tys. osób.

 

Według mnie, to były główne tematy prezentacji:

1. Firmy walczące z „Zaawansowanym Trwałym Zagrożeniem”

2. Firmy pomagające po tym, gdy zostaniesz zhakowany

3. Firmy zajmujące się „Przynieś swoje urządzenie” do pracy, czyli konsumeryzacją

 

Dużo komentarzy innych uczestników na moim blogu:

http://www.schneier.com/blog/archives/2012/03/themes_from_the.html

 

Mój tekst o APT.

http://www.schneier.com/blog/archives/2011/11/advanced_persis.html

 

 

I tekst o konsumeryzacji:

http://www.schneier.com/essay-323.html

 

 

 

Było wiele newsów, w większości związanych z rozmowami na konferencji RSA.

 

Artykuły:

http://arstechnica.com/business/news/2012/02/schneier-gov-big-data-pose-bigger-net-threat-than-criminals.ars lub http://tinyurl.com/6sbqhy3

http://www.networkworld.com/news/2012/021412-security-myths-256109.html

lub http://tinyurl.com/7qxofkm

http://www.infosecurity-magazine.com/view/24200/rsa-2012-schneier-reveals-three-biggest-information-security-risks-in-2012 lub http://tinyurl.com/8388buu

http://www.crn.com/news/security/232601720/rsa-three-greatest-and-suprising-internet-security-dangers.htm lub http://tinyurl.com/6obxpd3

http://www.theregister.co.uk/2012/02/29/schneier_warns_government_business_threat/

lub http://tinyurl.com/6pt6anv

http://www.infosecurity-magazine.com/view/24234/rsa-2012-schneier-on-why-anonymous-is-not-a-group-and-why-theyre-certainly-not-as-good-as-you-think-they-are-/

lub http://tinyurl.com/73f3tfa

http://www.infosecurity-magazine.com/view/24236/rsa-2012-are-software-liability-laws-needed/ lub http://tinyurl.com/7x8tmpn

 

Podcasty:

http://365.rsaconference.com/community/connect/blog/2012/02/24/rsac2012-podcast-exp-107-new-threats-to-the-internet-infrastructure lub http://tinyurl.com/8y6mfom

 

Moje wystąpienie w Dominican University w Chicago.

http://dushare.dom.edu/CampusNews/SitePages/DisplayArticle.aspx?ID=8710 

lub http://tinyurl.com/83ov277

 

 

 

Bezpieczeństwo jest kompromisem, równowagą pomiędzy atakującym i broniącym się. Niestety, ta równowaga nigdy nie jest statyczna. Zmiany w technologii dotykają obu stron. Społeczeństwo używa nowych technologii do zmniejszenia tzw. „zakresu ucieczki”, czyli tego, co mogą ze sobą zabrać atakujący. Z kolei napastnicy wykorzystują nowe technologie do zwiększenia tego czynnika. Najciekawsza jest różnica pomiędzy tym, jak te dwie grupy wykorzystują nowe technologie.

 

Wprowadzanie zmian w systemach bezpieczeństwa jest powolne. Społeczeństwa muszą wdrażać każde nowe rozwiązania bezpieczeństwa grupowo, co wymaga umów, koordynacji – i czasami na pewnym poziomie – długich biurokratycznych procedur zamówień. Tymczasem napastnik po prostu używa nowej technologii. Na przykład: pod koniec ery pojazdów konnych rabuś okradający bank z łatwością mógł wybrać swój nowy samochód jako pojazd do ucieczki. Tymczasem policja musiała podjąć decyzję o zakupie policyjnego samochodu, zdobyć budżet zakupowy, wybrać samochód, przeszkolić policjantów… Gdy policja w danym mieście już to zrobiła, rabuś mógł po prostu przeprowadzić się do kolejnego. Uciekinierzy są bardziej zwinni i elastyczni, co czyni ich znacznie szybciej przyswajającymi nowe technologie.

 

Znamy już początkową nieporadność organów ścigania w przypadku przestępstw internetowych. Przestępcy byli po prostu bardziej elastyczni. Tradycyjne organizacje przestępcze, takie jak Mafia, nie od razu przeniosły się do Internetu, ale za to pojawili się nowi przestępcy internetowi. Zbudowali strony takie jak CardersMarket i DarkMarket, i w ciągu dekady, gdy Internet się komercjalizował, utworzyli nową zorganizowana grupę przestępczą. Tymczasem organy ścigania po prostu nie miały takiej łatwości zmiany organizacyjnej, aby zareagować odpowiednio szybko. Miasta nie mogły zwolnić swoich detektywów z tzw. starej szkoły i zastąpić ich ludźmi znającymi się na Internecie. Naturalna skłonność detektywów do zamiatania problemów pod dywan, opóźniła wszystko dodatkowo. Większość z ostatnich 10. lat zajęło im nadganianie zaległości.

 

Jest jeszcze jeden problem - obrońcy stoją na pozycji, którą wojskowy strateg Carl von Clausewitz nazywał „pozycją wnętrza”. Trzeba bronić się przed każdym możliwym atakiem, podczas gdy wystarczy, że Uciekinier znajdzie jedną dziurę pozwalającą mu przejść przez obronę. Im bardziej skomplikowane stają się systemy dzięki technologii, tym więcej ataków staje się możliwych. 

 

Oznacza to przewagę pierwszego ruchu dla Uciekinierów, mogą oni pierwsi przypuścić nowy atak. W rezultacie społeczność musi ciągle reagować: skanery obuwia w odpowiedzi na bomby w butach, trudniejsze do podrobienia banknoty w odpowiedzi na lepsze techniki fałszerstw, lepsze antywirusy aby zwalczać nowe wirusy komputerowe i tak dalej. Widoczna przewaga atakującego jeszcze zwiększa jego możliwości.

 

Oczywiście są tutaj wyjątki. Mamy technologie, których zastosowanie daje nam natychmiastowe korzyści, a dla napastników są bezużyteczne – np. technologia rozpoznawania odcisków palców pozwala policji zidentyfikować podejrzanego, który dopiero co opuścił miejsce przestępstwa i to bez żadnych korzyści dla przestępcy. To samo dotyczy technologii immobiliserów w autach, systemów alarmowych w domach i komputerowych technologii uwierzytelniających. Korzyści z niektórych technologii płyną do obu stron, jednak wciąż dają więcej broniącym się. Radio pozwoliło policjantom na zdalną komunikację, co podnosi nasz poziom bezpieczeństwa bardziej, niż analogiczne obniżanie go przez wykorzystanie tego rozwiązania przez przestępców.

 

Jednakże mamy skłonność do zabezpieczeń i wdrażamy nowe rozwiązania dopiero w odpowiedzi na rosnące możliwości zagrożeń. Robimy to powoli, a gdy robimy to dobrze to nawet jeszcze wolniej. 

 

Ten esej oryginalnie został opublikowany w IEEE Security & Privacy. Zaadaptowałem go z rozdziału 16. „Liars and Outliars”.

http://www.schneier.com/essay-392.html

 

 

 

Książka „Kłamcy i Odstający” jest już w sprzedaży. Księgarnie Amazon i Barnes & Noble rozpoczęły jej wysyłkę na początku bm. Wersje dla czytników Kindle i Nook również są dostępne do pobrania. Sam już otrzymałem 250 egzemplarzy książki. Wszyscy, którzy czytali i recenzowali roboczą wersję książki, otrzymają kopie pocztą. Rozesłałem także książki do wszystkich, którzy zamówili podpisany egzemplarz.

Czytałem pięć kolejnych recenzji. Jedna z nich została opublikowana drukiem wraz z dyskusją na temat tej publikacji.

Kilka osób ogłosiło na Twitterze, że książka im się podobała. Do tej pory na Amazonie pojawiło się tylko kilka jej recenzji. Zostawiajcie proszę swoje opinie o książce na Amazonie. (Wkrótce napiszę o problemie z fałszywymi recenzjami na podobnych serwisach).

Nie jestem pewien, ale sądzę, że cena książki na Kindle’a wzrośnie. Jeśli chcecie dostać ją po obecnej cenie (10 USD), to jest dobry moment na zakup.

 

Pod koniec lutego będę gościł na konferencji RSA w San Francisco. Oprócz prelekcji, Davi Ottenheimer porozmawia ze mną o książce w ramach tzw. Author’s Studio. Odbędą się również dwie godzinne sesje podpisywania książki w księgarni w trakcie konferencji. Najlepszą wiadomością jest jednak to, że HP zakupiło 1000 egzemplarzy książki i będzie rozdawać ją na swoim stoisku. Tam też będę rozdawał autografy.

 

Strona dedykowana książce: 

http://www.schneier.com/book-lo.html

 

Zamówienie podpisanego egzemplarza: 

http://www.schneier.com/book-lo.html#signed

 

Recenzje: 

http://www.forbes.com/sites/adamthierer/2012/01/23/why-doesnt-society-just-fall-apart/

http://365.rsaconference.com/blogs/securityreading/2012/01/23/liars-and-outliers-enabling-the-trust-that-society-needs-to-thrive

http://www.infoworld.com/d/security/book-review-liars-and-outliers-enabling-the-trust-society-needs-thrive-185355

http://www.informationweek.com/byte/reviews/personal-tech/science-tech/232600022

http://spectrum.ieee.org/at-work/innovation/review-liars-outliers

http://www.zdnet.co.uk/blogs/zdnet-uk-book-reviews-10015295/book-review-liars-and-outliers-10025364/

http://globalguerrillas.typepad.com/globalguerrillas/2012/02/why-the-global-system-is-killing-trust.html

 

Wywiady: 

http://www.schneier.com/news-118.html

http://spectrum.ieee.org/podcast/telecom/internet/guarding-without-guardians

 

 

 

Tak to wyglądało:

1. Kontroler TSA znajduje dwie rury w bagażu pasażera.

2. Ustala, że nie stanowią one zagrożenia. 

3. Jednakże kontroler je konfiskuje,  ze względu na „materiał i wygląd”. 

4. Ponieważ faktycznie nie stanowią one zagrożenia, kontroler zostawia je w punkcie kontroli.

5. Wszyscy o nich zapominają.

6. Sześć godzin później, następna zmiana kontrolerów TSA zauważa rury i nie będąc w stanie wyjaśnić skąd się one wzięły, przypuszczalnie z powodu „materiału i wyglądu”, wzywa policyjnych saperów aby je usunięto. 

7. TSA nie ewakuuje lotniska ani nawet nie zamyka punktu kontrolnego, z powodu … nie wiemy z jakiego powodu.

 

Nie wiem nawet od czego tu zacząć.

http://edition.cnn.com/2012/01/30/us/new-york-bomb-scare/index.html

 

 

 

Właściciel placówki handlowej pozywa bank, twierdząc, że standard bezpieczeństwa kart płatniczych (PCI) „zmusza sklepy do podpisywania jednostronnych umów bazujących na informacjach zmieniających się arbitralnie bez ostrzeżenia i w ten sposób nakłada się na placówki handlowe różne kary bez możliwości przedstawienia dowodów naruszenia czy potwierdzenia strat wynikających z oszustwa nie dając handlowcom możliwości podważenia roszczeń zanim nie  zapłacą kar. Standardy bezpieczeństwa kart płatniczych (PCI) są prawdopodobnie najobszerniejszymi standardami dot. bezpieczeństwa, za które nie jest odpowiedzialny rząd. Ciekawe jak to się zakończy.

 

http://www.wired.com/threatlevel/2012/01/pci-lawsuit/

 

Na szczęcie to nie dzieje się bardzo często: „Proces pewnego Amerykanina, który został skazany za morderstwo drugiego stopnia, będzie musiał być przeprowadzony od nowa, po tym jak wirus komputerowy zniszczył zapisy rozpraw sądowych”

http://www.theregister.co.uk/2012/01/05/virus_deletes_court_transcript/

 

Dobra instrukcja zabezpieczeń dla Tor. 

http://cryptome.org/0005/tor-opsec.htm

 

Pisałem o technice używania fałszywych alarmów do wyłączenia zabezpieczeń w mojej książce „Poza strachem”. Tutaj użyto jej do okradzenia galerii sztuki.

http://www.cbc.ca/news/arts/story/2012/01/09/greece-art-theft-picasso-mondrian.html

 

Śmieszny filmik Onion dotyczący Facebooka i CIA. 

http://www.youtube.com/watch?v=ZJ380SHZvYU

 

Kontynuując militaryzację amerykańskiej policji, stan Texas dostał uzbrojoną łódź bojową.

http://www.homelandsecuritynewswire.com/dr20120112-texas-unveils-armed-patrol-boat

Zgaduję, że uzbrojone drony to dla nich za mało.

http://www.democraticunderground.com/discuss/duboard.php?az=view_all&address=180x70881

 

Okazuje się, że można stworzyć unikalne podpisy z roślinnego DNA. Pomysł polega na popryskaniu taką substancją wojskowych elementów aby móc zweryfikować ich autentyczność i wykrywać podróbki - podobnie jak za pomocą SmartWater. Pomysł teoretycznie jest dobry, ale domyślam się, że kwestie zabezpieczeń nie będą dotyczyć fałszowania roślinnego DNA, ale skupią się na obejściu systemów do nakładania, wykrywania i weryfikacji tych chemikaliów.

http://www.wired.com/dangerroom/2012/01/dna-counterfeits/

SmartWater: 

http://www.schneier.com/blog/archives/2008/01/smartwater_work.html

 

NSF finansuje badania dotyczące oceny organizacji pod względem ryzyka związanego z zabezpieczaniem przez nie informacji, podobnie jak ma to miejsce przy ustalaniu oceny zdolności kredytowej osoby prywatnej. 

http://www.nsf.gov/awardsearch/showAward.do?AwardNumber=1127185

Nie mam pojęcia czy jest to mrzonka, czy to naprawdę działa,  ale jak widać jest to już druga faza finansowania. Była już faza pierwsza i wygląda na to, ze NFS musiała być z niej zadowolona. 

 

Sąd Najwyższy wydał werdykt dotyczący śledzenia GPS bez nakazu. Pisałem już, że prawo zmusza policję do uzyskania nakazu zanim ta umieści urządzenie śledzące GPS w samochodzie. Teraz zalecenia są bardziej skomplikowane i bardzo szczegółowe.

http://jonathanturley.org/2012/01/23/supreme-court-unanimously-rejects-obama-administrations-effort-to-conduct-warrantless-gps-searches/

http://m.wired.com/threatlevel/2012/01/scotus-gps-ruling/

http://pda.physorg.com/news/2012-01-high-court-warrant-gps-tracking.html

https://myaccount.nytimes.com/auth/login?URI=http://www.nytimes.com/2012/01/24/us/police-use-of-gps-is-ruled-unconstitutional.html&OQ=Q5fQ72Q3dQ31

http://www.networkworld.com/community/blog/supreme-court-backs-privacy-over-police-gps-case

http://www.concurringopinions.com/archives/2012/01/united-states-v-jones-the-fourth-amendment-and-gps-surveillance.html

http://www.scotusblog.com/2012/01/jones-confounds-the-press/

http://www.concurringopinions.com/archives/2012/01/welcoming-experts-to-discuss-the-supreme-courts-decision-in-united-states-v-jones.html

http://www.concurringopinions.com/archives/2012/01/three-thoughts-on-u-s-v-jones.html

http://www.concurringopinions.com/archives/2012/01/jones-is-a-near-optimal-result.html

http://www.concurringopinions.com/archives/2012/01/united-states-v-jones-privacy-in-public-space-piece-it-all-together-and-you-get-5.html

http://www.concurringopinions.com/archives/2012/01/reasonable-expectation-of-privacy.html

http://www.concurringopinions.com/archives/2012/01/why-scalia-is-right-in-jones-magic-places-and-one-way-ratchets.html

 

Czytelnicy Crypto-Gramu wiedzą, że lubię twórczość Maxa Abramsa i regularnie podaję linki do odpowiednich materiałów. Jest jego nowe opracowanie w „Defence and Peace Economics", 22:6 (2011), 583?94, „Czy terroryzm na prawdę działa? Ewolucja w postrzeganiu zjawiska od wydarzeń z 11 Września”

 

http://dx.doi.org/10.1080/10242694.2011.635954

http://www.clas.ufl.edu/users/gesenwei/Does%20Terrorism%20Really%20Work%5B1%5D.pdf

 

Ciekawy artykuł o udostępnianiu haseł wśród amerykańskich nastolatków jako sposób wyrażania uczuć.

http://www.nytimes.com/2012/01/18/us/teenagers-sharing-passwords-as-show-of-affection.html

Etnolog Danah Boyd wyjaśnia co się stało:

http://www.zephoria.org/thoughts/archives/2012/01/23/how-parents-normalized-teen-password-sharing.html

Powiązane: profil Danah Boyd. 

http://www.nytimes.com/2012/01/22/fashion/danah-boyd-cracking-teenagers-online-codes.html

 

Całkiem niezły artykuł o naturze cyberwojny:

http://www.internetevolution.com/author.asp?doc_id=237983

 

Na moim blogu umieściłem ciekawą historię dwóch brytyjskich turystów zatrzymanych na amerykańskiej granicy za wpisy na Twitterze. 

http://www.schneier.com/blog/archives/2012/01/british_tourist.html

 

Niektóre błędy kryminalistyczne mogą wynikać z uprzedzeń badaczy. 

http://www.economist.com/node/21543121

 

Idaho Loophole to – jeśli wierzyć teorii – „Obszar 50 mil kwadratowych Idaho w którym można bezkarnie popełnić ciężkie przestępstwo”

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=691642

 

Naprawdę dobry artykuł o dużym wskaźniku karania więzieniem w USA, jego przyczynach, skutkach i efektach.

http://www.newyorker.com/arts/critics/atlarge/2012/01/30/120130crat_atlarge_gopnik?currentPage=all

 

VeriSign w 2010 roku był hakowany z powodzeniem i to wielokrotnie. Informacja została ujawniona przez Reuters. 

http://www.schneier.com/blog/archives/2012/02/verisign_hacked.html

 

Problemy z wymianą zbyt dużej liczny informacji. Nieprawdziwe, ale zabawne. 

http://i.imgur.com/rsQ93.png

http://www.reddit.com/r/funny/comments/owx3v/so_my_little_cousin_posted_on_fb_that_he_was/

 

Margines błędu dla ręcznie liczonych głosowań może sięgać 2 procent.

http://www.sciencedaily.com/releases/2012/02/120202151713.htm

Żaden z systemów do głosowania nie zapewnia zerowego marginesu błędów.  To nie jest nowość dla osób zorientowanych, ale jest zaskoczeniem dla opinii publicznej. Wybory perfekcyjnie policzone co do jednego głosu to po prostu mit. Tak nie jest. Jeśli wynik głosowania wynosi kilka punktów procentowych, oznacza to prawdopodobnie statystyczny remis. (Problemem jest gdy takie głosowanie ma wyłonić jednego zwycięzcę).

 

„Rozwiązanie problemów ekonomicznych leżących u podstaw Internetowego Piractwa”

http://www.forbes.com/sites/insertcoin/2012/02/03/you-will-never-kill-piracy-and-piracy-will-never-kill-you/

Przedstawiono tu rozumowanie zdecydowanie kierujące w odpowiednim kierunku.

 

Warte uwagi opracowanie dotyczące bezpieczeństwa w mniejszych samolotach. 

http://paulfreitas.com/Passenger%20Aviation%20Security%20Risk%20Management%20and%20Simple%20Physics.pdf

 

Ciekawy post na blogu o takim sposobie zabezpieczania iPadów, aby studenci mogli zdawać na nich egzaminy.

http://speirs.org/blog/2012/2/6/digital-exams-on-the-ipad.html

 

Zabawny artykuł o rozwiązaniach captcha. 

http://www.nytimes.com/interactive/2012/02/05/opinion/sunday/20120205_Password.html

 

Adam Shostack  wyjaśnia VeriSignowi, że zaufanie wymaga przejrzystości. 

http://newschoolsecurity.com/2012/02/dear-verisign-trust-requires-transparency

To jest lekcja, którą należy odrobić. 

http://mclov.in/2012/02/08/path-uploads-your-entire-address-book-to-their-servers.html

http://www.zdnet.com/blog/apple/path-discovered-phoning-home-with-your-address-book/12182

http://www.slashgear.com/path-privacy-blunder-could-fall-foul-of-euro-data-penalties-08212615/

http://www.wired.com/gadgetlab/2012/02/path-dave-morin-explains-data/

 

Analiza ruchu SSL na Google Maps.

http://blog.ioactive.com/2012/02/ssl-traffic-analysis-on-google-maps.html

 

Autor zmaga się z wadami i zaletami ściślejszej kontroli pseudoefedryny, głównego składnika chemicznego do produkcji meta amfetaminy. 

http://www.theatlantic.com/health/archive/2012/02/do-we-need-even-tighter-controls-on-sudafed/252637/

Lubię dyskusje zakończone uzyskaniem konsensusu co do zabezpieczeń. 

 

Głupota dnia: geotagowanie zdjęć dzieci: 

http://machineslikeus.com/news/digital-photos-could-put-kids-risk

 

 

 

W zeszłym miesiącu amerykański sąd nakazał aby pozwana przekazała hasło do odszyfrowania zawartości laptopa, aby policja mogła ją sprawdzić.

Wygląda jednak na to, że pozwana zapomniała jak hasło brzmiało.

Co teraz? Wydaje się, że taka wymówka jest dostępna dla każdego, kto nie chce aby odszyfrowano jego pliki. Z drugiej strony, jest mało prawdopodobne, aby hasła zapomnieć. Przecież mniej wiarygodnie brzmi powiedzenie „ nie mam pojęcia jak brzmi moje hasło”, niż „to było słowo „telefon” z zerem zamiast litery „o”, a potem następowały cztery cyfry i była tam szóstka, potem średnik”. Dzięki temu można próbować odzyskać hasło metodą brute-force. Przypuszczam, że można też powiedzieć „to było losowe alfanumeryczne hasło wygenerowane przez automatyczny program i naprawdę nie mam o nim pojęcia”, ale nie jestem pewien czy wtedy sędzia da temu wiarę.

 

Nakaz amerykańskiego sądu: 

http://www.engadget.com/2012/01/24/judge-laptop-decryption-colorado-fifth-amendment/

http://news.cnet.com/8301-31921_3-57364330-281/judge-americans-can-be-forced-to-decrypt-their-laptops

http://www.wired.com/threatlevel/2012/01/judge-orders-laptop-decryption/

http://www.zdnet.com/blog/identity/judge-says-defendant-must-decrypt-files-fifth-amendment-not-at-issue/175

Orzeczenie:

http://www.wired.com/images_blogs/threatlevel/2012/01/decrypt.pdf

Dobra analiza:

http://volokh.com/2012/01/24/encrytion-and-the-fifth-amendment-right-against-self-incrimination/

Zapomniany klucz:

http://m.wired.com/threatlevel/2012/02/forgotten-password/

 

 

 

DARPA finansuje badania nowych form rozpoznawania biometrycznego, które identyfikuje użytkowników po sposobie w jaki używają komputera: chodzi o schematy pisania na klawiaturze, ruchy oczu, zachowanie myszki, szybkość czytania oraz zachowania związane z przeglądaniem stron internetowych i odpowiadania na e-maile. Uważam, że to dobry pomysł. Komputer w ten sposób cały czas weryfikuje użytkownika, a nie tylko raz - gdy ten zaczyna używać swojego komputera.

Przypominam sobie opowiadanie science fiction o komputerowym robaku, który wyszukiwał swoje ofiary w ten sposób: przechodząc od komputera do komputera i próbując zidentyfikować konkretnego użytkownika.

 

http://www.networkworld.com/community/blog/darpa-set-develop-super-secure-cognitive-fingerprint

 

 

 

Uczestniczę jako mówca w Hal Clement Science w Boskone 49, Feb 17-19, w Bostonie. 

http://www.nesfa.org/boskone/

 

Wystąpienie w Messaging Anti-Abuse Working Group 24th General Meeting, Feb 22, w San Francisco. 

http://www.maawg.org/events/upcoming_meetings

 

Uczestniczę w RSA Conference 2012, Feb 27-Mar 2, San Francisco. 

http://www.rsaconference.com/events/2012/usa/index.htm

 

 

 

W roku 2005 napisałem artykuł pt. „Awaria podwójnego uwierzytelnienia”, w którym przewidziałem, że włamywacze obejdą systemy wielopoziomowego uwierzytelniania za pomocą narzędzi atakujących systemy transakcyjne w czasie rzeczywistym: z wykorzystaniem zaangażowania uprawnionych użytkowników i jednoczesnym wykorzystaniu trojanów przeciwko stanowiskom klienckim.

 

Ten artykuł opisuje dokładnie takie zjawisko.

http://www.bbc.co.uk/news/technology-16812064

http://www.theregister.co.uk/2012/02/06/online_banking_security/

 

Mój esej z 2005: 

http://www.schneier.com/blog/archives/2005/03/the_failure_of.html

 

Rozwiązaniem jest uwierzytelnianie transakcji, nie użytkownika. 

http://www.schneier.com/blog/archives/2006/11/fighting_fraudu.html

 

W tym numerze:

 

 

 

Czy zastanawialiście się do czego przydają się warte 1,2 mld USD systemy bezpieczeństwa na lotniskach? Administracja Bezpieczeństwa Transportu (TSA) przygotowała swoją listę „TOP 10 przechwyconych rzeczy w 2011”:

 

10) Węże, żółwie i ptaki zostały znalezione na lotniskach w Miami i Los Angeles. Dobrze, że nie znaleziono tam żadnych lwów, tygrysów i niedźwiedzi…

 

 [...]

3) ponad 1200 egzemplarzy broni palnej wykryto w punktach TSA w całym kraju (USA) w 2011. Wiele znalezionych egzemplarzy broni było załadowanych. Większość pasażerów twierdziła, że zapomniała iż miała pistolet w torbie.

2) Skaner ciała w Detroit wykrył załadowany pistolet przywiązany do kostki pasażera. I jak już pewnie zgadliście, zapomniał on o tym, że go tam miał…

1) Małe kawałki materiału wybuchowego C4 w bagażu pasażera w Yumie. Wierzcie lub nie, ale przywiózł on je do domu aby pokazać rodzinie.

 

Tak jest – na liście nie ma nawet jednego terrorysty. W większości zapominalscy i przeważnie niewinni ludzie. Pamiętajcie, że TSA zapomniało podkreślić, że broń palną i noże można było bardzo prosto wykryć procedurami sprzed 11 września. A przypadek z C4 – ich numer#1 – został wykryty w locie powrotnym, a za pierwszym razem go przeoczyli. Więc tylko jeden na dwa w tym przypadku.

 

Administracja Bezpieczeństwa Transportu zdecydowała się nie wspominać o swoich najgłupszych konfiskatach:

 

Lista Top 10 przechwyceń 2011 TSA:

http://blog.tsa.gov/2012/01/tsa-top-10-good-catches-of-2011.html

 

Przeoczenie C4 przez TSA za pierwszym razem. 

http://www.oaoa.com/articles/atwater-78425-documents-state.html

 

Głupie konfiskaty TSA: 

http://www.salon.com/2012/01/04/what_do_cupcakes_and_lightsabers_have_in_common/singleton/

 

Artykuł w Vanity Fair: 

http://www.vanityfair.com/culture/features/2011/12/tsa-insanity-201112

 

 

 

Mam mieszane relacje z Cato Institute. Z większością ich analiz zupełnie się nie zgadzam, jednocześnie z niektórymi zgadzam się w zupełności. Ostatniego 11 września, w dziesiątą rocznicę ataku, David Rittgers z Cato opublikował dokument „Likwidacja amerykańskiego Departamentu Bezpieczeństwa Krajowego”: DHS ma zbyt dużo oddziałów zajmujących się zbyt wieloma dziedzinami aby działać skutecznie. Agencje zajmujące się fałszerstwami, bezpieczeństwem granic, przygotowaniem na wypadek katastrof, szkoleniami federalnych oddziałów ścigania, obroną przed atakiem biologicznym, komputerowymi – wszystkie działają w ramach jednego oficjalnego urzędu. Takie rozwiązanie nie zwiększyło kompetencji rządu. Amerykanie nie są bezpieczniejsi, ponieważ kierownictwo DHS odpowiada jednocześnie za bezpieczeństwo lotnisk jak i rządowe wysiłki aby zwalczać potencjalną epidemię grypy.

 

Narodowa obrona to kluczowe zadanie rządu, jednakże przeznaczanie zbyt wielu zasobów mających chronić każdy potencjalny cel przed atakiem terrorystycznym oznacza niepotrzebne wydatki. Nasze ograniczone zasoby lepiej przeznaczyć na dochodzenia i aresztowanie potencjalnych terrorystów. Odpowiedzialność DHS za bezpieczeństwo w powietrzu, różnego rodzaju nadzór i zabezpieczanie portów pozwoliło politykom na bardzo łatwe ukrywanie swoich wydatków. Politycy chcą przyciągać pieniądze do domu, do swoich okręgów i w związku z tym wydatki zbyt często idą na rzeczy, które są dalekie od tych, które powinny być priorytetami tego departamentu. 

 

Zgadzam się z tym. Faktycznie, w 2003 roku, gdy dyskutowano o pojedynczej organizacji, która byłaby odpowiedzialna za większość działań antyterrorystycznych (nie wszystkie, ponieważ Departament Sprawiedliwości, Departament Stanu i Departament Obrony były zbyt potężne aby oddać jakąkolwiek swoją część), pisałem:

 

Nasz naród może być mniej bezpieczny jeśli Departamentu Bezpieczeństwa Krajowego ostatecznie przejmie odpowiedzialność za obecne agencje. Ostatnią rzeczą, której potrzebujemy to powiedzenie Departamentowi ds. Energii, Departamentowi Handlu i Departamentowi Stanu: „Bezpieczeństwo; za to odpowiedzialny jest DHS”.

 

Bezpieczeństwo jest obowiązkiem każdego rządu. Nie pokonamy terroryzmu znajdując jedno rozwiązanie, które będzie działało cały czas. Pokonamy terroryzm gdy każda mała rzecz będzie działać na swój własny sposób i razem zapewnią one odpowiedni system obronny dla naszego społeczeństwa. Dopóki DHS rozdziela odpowiedzialność za bezpieczeństwo oraz centralnie to koordynuje, to nie poprawi się nasze bezpieczeństwo narodowe.

 

Wracamy  do raportu Cato:

Departament Bezpieczeństwa Krajowego powinien zostać zlikwidowany i zreorganizowany w bardziej praktyczne zespoły. Agencje zajmujące się imigracją, bezpieczeństwem granic i egzekwowaniem prawa celnego powinny należeć do tej samej agencji nadrzędnej, którą pewnie powinna nazywać się Departamentem Bezpieczeństwa Granic (Border Security Administration). Agencja Bezpieczeństwa Transportu i Federalna Służba Policji Lotniczej powinny zostać rozwiązane i rząd powinien zaprzestać łączenia centrów operacyjnych. Pozostałe organizacje wchodzące w skład DHS powinny wrócić do swoich dawnych agencji nadrzędnych.

Trudno polemizować z większością takich tez, chociaż likwidacja Agencja Bezpieczeństwa Transportu (TSA) nie jest dobrym pomysłem. Systemy bezpieczeństwa lotnisk powinny wrócić do poziomu sprzed 11 września, ale ktoś za to powinien odpowiadać. Zostawianie odpowiedzialności w rękach linii lotniczych nie ma sensu; ich głównym zajęciem powinna być obsługa pasażerów a nie zapewnienie bezpieczeństwa. Jakaś agencja rządowa powinna rekrutować kontrolerów i pracowników punktów kontroli na lotniskach lub stworzyć i egzekwować odpowiednie procedury od odpowiedniej, zakontraktowanej firmy.

 

W listopadzie zeszłego roku amerykańscy kongresmeni Republikanów opublikowali bardzo krytyczny raport o TSA: „Dziesięć lat później: wezwanie do reformy TSA.”

Raport ten zawiera badania i krytyczną analizę powstania, rozwoju, obecnego statusu i wydajności TSA w dziesięć lat od momentu jej utworzenia. Od momentu swojego powstania TSA co raz mniej koncentrowało się na bezpieczeństwie transportu. W zamian stała się olbrzymią, skostniałą organizacją, z rozbudowaną biurokracją, bardziej skupioną na zarządzaniu zasobami kadrowymi i konsolidacją siły, działającą w sposób reaktywny zamiast pro aktywny. Jak omówiono szczegółowo w rozdziale „Rekomendacje” na stronie 18, TSA musi zbalansować swoje obowiązki jako rządowy regulator i skupić się na analizach wywiadu, ustaleniu standardów kontroli  i bezpieczeństwa w zależności od zagrożeń, sprawdzaniu pasażerów, operacjach kontroli bagażu oraz zapewnieniu zgodności z krajowymi standardami kontrolowania. 

 

W przytoczonym linku przedstawiono odpowiedź na wniosek o likwidację TSA. Odpowiada zarządzający TSA John Pistole, więc nie jest to zbyt obiektywny tekst dotyczący tej sprawy i nie odpowiada na główne pytanie: Dlaczego TSA istnieje.

 

Administracja Bezpieczeństwa Transportu została utworzona w dwa miesiące po atakach terrorystycznych 11 września, gdy Kongres przegłosował ustawę Aviation and Transportation Security Act (ATSA) [.pdf] mającą zapewnić bezpieczeństwo milionom Amerykanów podróżujących codziennie różnymi środkami transportu. Przez minione 10 lat TSA zwiększyła bezpieczeństwo przez utworzenie udanych programów i wdrożeń technologii, których nie było przed 11 września, jednocześnie podejmując tam gdzie to możliwe kroki aby zwiększyć zadowolenie pasażerów. Tutaj mamy tylko kilka przykładów tego jak TSA umacniała nasze wielowarstwowe podejście do kwestii bezpieczeństwa…

 [...]

Jesteśmy dzisiaj bezpieczniejsi i lepiej przygotowani z powodu tych i innych działań Departamentu Bezpieczeństwa Krajowego, TSA, naszych federalnych, stanowych, lokalnych i międzynarodowych partnerów. TSA nieustannie bada sposoby poprawy naszego bezpieczeństwa i wygody pasażerów oraz liczy się z opinia publiczną.

Pistole po prostu zakłada, że to co robi jego organizacja jest ważne i nigdy nawet nie wspomina ile to kosztuje albo ile jest warte.

 

Raport Cato: 

http://www.cato.org/pub_display.php?pub_id=13650 

 

Mój esej z roku 2003: 

http://www.schneier.com/essay-007.html

 

Raport kongresmenów republikańskich: 

http://republicans.transportation.house.gov/Media/file/112th/Aviation/2011-11-16-TSA_Reform_Report.pdf 

 

Odpowiedź TSA na zarzuty: 

https://wwws.whitehouse.gov/petitions/!/response/response-we-people-petition-abolishment-transportation-security-administration

 

 

 

 

Sovereign Keys (Suwerenne Klucze) – propozycja EFF.

https://www.eff.org/sovereign-keys

 

Gdy rozdajesz pieniądze według uznania, bez żadnej księgowości, oto co otrzymujesz: maszyny do tzw. śnieżnych napojów do użytku przez departament bezpieczeństwa: 

http://www.schneier.com/blog/archives/2011/12/snow_cone_machi.html

 

Więcej o złapanym amerykańskim dronie: raport o złamaniu przez Iran system GPS dronów. http://www.schneier.com/blog/archives/2011/12/more_on_the_cap.html

Plazmoniczna antypiracka technologia:

http://www.fastcompany.com/biomimicry/never-before-seen-optical-trick-creates-ultra-secure-cash 

 

Technologie zabezpieczające przed fałszerstwami muszą spełnić szereg trudnych wymogów. Muszą być tanie dla legalnych maszyn drukujących i jednocześnie drogie w zastosowaniu dla fałszerzy. Ta technologia może zakodowywać numery seryjne lub nawet cyfrowe sygnatury unikalnych numerów seryjnych w papier waluty co byłoby wielką sprawą.

 

Jak otworzyć kłódkę puszką po napoju gazowanym. 

http://www.itstactical.com/skillcom/lock-picking/how-to-open-a-padlock-with-a-coke-can/ 

 

Biometryka ludzkiego ucha. Nie mam pojęcia jak to działa. 

http://www.csee.wvu.edu/~ross/pubs/AbazaEarSymmetry_BTAS2010.pdf

 

Mikołaj zhakowany – średnio zabawny filmik. 

http://vimeo.com/33402842

 

Problem TSA z ciastkiem w kilku częściach. Część 1: TSA konfiskuje komuś ciastko – lukier jest w postaci żelu – wywołuje powszechne pośmiewisko. 

http://www.thebostonchannel.com/news/30062442/detail.html 

 

Część 2: TSA twierdzi, że ciastko było w słoiku co oznacza, że podjęte działania nie były takie głupie. 

http://blog.tsa.gov/2012/01/cupcakegate.html 

 

Część 3: pani od ciasteczek twierdzi, że TSA kłamie. 

http://consumerist.com/2012/01/the-tsa-cupcake-lady-speaks-out-im-terribly-sick-of-talking-about-cupcakes.html

 

Opowieść o tym jak system sprzedaży restauracji Subway został zhakowany i dokonano kradzieży na 3 mln USD. 

http://arstechnica.com/business/news/2011/12/how-hackers-gave-subway-a-30-million-lesson-in-point-of-sale-security.ars 

 

Bardzo ciekawa historia napadu z bombą i śledztwa – z 2003 roku. 

http://www.wired.com/magazine/2010/12/ff_collarbomb/all/1

 

Kolejna nowość biometryczna: identyfikacja tyłka w zależności od tego jak siedzisz. 

http://www.physorg.com/news/2011-12-unleash-car-seat-rear.html

 

Włamanie do telegrafu bez kabla Marconiego z 1903 roku – świetna historia. 

http://www.newscientist.com/article/mg21228440.700-dotdashdiss-the-gentleman 

 

Istnieje usługa, którą można wykupić i związać z docelową linią telefoniczną na czas nieokreślony. Artykuł opowiada o tym jak może być ona użyta jako taktyka dywersyjna maskująca cyberatak, ale dla mnie wygląda to trochę dziwnie. Obawiałbym się raczej jak taka rzecz może posłużyć do zakłócenia działań jakiegoś kandydującego polityka w przededniu wyborów.

https://krebsonsecurity.com/2011/12/busy-signal-service-targets-cyberheist-victims/ 

 

W 1997 pisałem o czymś, co nazwałem “atakiem wybranego protokołu”, gdy napastnik może użyć jednego protokołu do złamania innego. Tu mamy tego przykład w prawdziwym świecie: dwa różne garaże parkingowe maskujące różne cyfry kart kredytowych na swoich rachunkach. Wystarczy znaleźć dwa dotyczące tego samego samochodu i można otrzymać cały numer. Muszę przyznać, że zdziwiło mnie to, ponieważ myślałem, że istnieje standard maskowania cyfr w numerach kart. Zawsze widziałem wszystkie oprócz ukrytych czterech ostatnich cyfr. 

http://blog.zoller.lu/2011/12/pci-compliance-security-in-isolated.html

http://www.schneier.com/paper-chosen-protocol.html

 

Opracowanie badawcze: Alan A. Kirschenbaum, Michele Mariani, Coen Van Gulijk, Sharon Lubasz, Carmit Rapaport, I Hinke Andriessen, "Bezpieczeństwo portów lotniczych: stadium etnograficzne," Journal of Air Transport Management, 18 (Styczeń 2012): 68-73 (za cały artykuł trzeba zapłacić). 

http://www.sciencedirect.com/science/article/pii/S0969699711000974

 

Inne badanie: Behzad Zare Moayedi, Mohammad Abdollahi Azgomi, "A Game Theoretic Framework for Evaluation of the Impacts of Hackers Diversity on Security Measures," Reliability Engineering & System Safety, 99 (2012): 45-54 (za cały artykuł trzeba zapłacić). 

http://www.sciencedirect.com/science/article/pii/S0951832011002389

 

Trzecie opracowanie: Alan T. Murray and Tony H. Grubesic, "Critical Infrastructure Protection: The Vulnerability Conundrum," Telematics & Informatics, 29 (Luty 2012): 56-65 (za cały artykuł trzeba zapłacić). 

http://www.sciencedirect.com/science/article/pii/S0736585311000438

 

Historia o zakodowanych wiadomościach umieszczanych w znaczkach pocztowych. Zastanawiam się jak powszechnie było to stosowane. Zgaduję, że był to lepszy pomysł niż obecny system sygnalizacyjny. I zauważyłem, że wiele systemów kodowania nie ma oznaczenia dla „brak wiadomości; to zwykły znaczek”.

http://riowang.blogspot.com/2011/12/language-of-stamps.html

 

Te dokumenty Narodowej Agencji Bezpieczeństwa (NSA) są stare ale właśnie zostały opublikowane w ramach ustawy FOIA. 

http://cryptome.org/0006/nsa-17-docs.htm

 

Autor tego artykułu zauważa, że często łatwo odgadnąć PIN do telefonu po smugach na jego ekranie. Smugi te wskazują cztery cyfry PINu, więc napastnik wie, że PIN to jedna z 24 permutacji tych cyfr. A jeśli PIN zawiera tylko trzy różne cyfry – np. 1231 – to kombinacji PINu jest już tylko 36 różnych. Jest w tym więcej bezpieczeństwa, ale wcale to nie jest bardziej bezpieczne. 

http://mindyourdecisions.com/blog/2011/01/27/game-theory-and-probability-of-iphone-passwords/

 

Czas załatać dziurę w drukarkach HP. To poważna luka. 

http://www.tomsguide.com/us/Columbia-University-HP-LaserJet-Printer-Exploit,news-13671.html

http://www.forbes.com/sites/alexknapp/2011/12/26/hp-releases-firmware-update-to-prevent-printer-hacking/ 

http://nakedsecurity.sophos.com/2012/01/05/hp-patches-printer-firmware-flaw/

http://boingboing.net/2011/12/30/printer-malware-print-a-malic.html

 

A tu jest lista drukarek dotkniętych problemem.

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449&jumpid=em_alerts_us-us_Dec11_xbu_all_all_1514802_101529_printersandmultifunctionscanners-copiers-faxes_critical_000_0 

 

Proszę zauważyć, że dotyczy to problemu błędnie opisanego jako umożliwiającego hakerom zdalne zapalenie drukarki. 

http://www.schneier.com/blog/archives/2011/12/hacking_printer.html

 

Hakerzy ukradli trochę kodu źródłowego produktów Symanteca. Nie wiemy co zostało skradzione, ani jak stary jest kod – firma oczywiście bagatelizuje sprawę, ale pracuje nad nią intensywnie. Być może źli ludzie przeczesali kod w poszukiwaniu luk, a może został ślad po zaangażowaniu się Symanteca w coś złego ale najbardziej prawdopodobne jest to, że największym problemem jest wstyd firmy przed opinią publiczną.

http://pda.physorg.com/news/2012-01-indian-hacker-lords-symantec-antivirus.html

http://m.wired.com/threatlevel/2012/01/symantec-source-code-leaked/

http://www.theregister.co.uk/2012/01/06/symantec_source_code_theft/

http://www.theatlanticwire.com/technology/2012/01/what-happens-when-hackers-hack-anti-hacking-software/47090/ 

http://www.infosecisland.com/blogview/19202-Symantec-Gets-Pwn3d-The-Fallout.html

 

Profesor nauk politycznych John Mueller od czasu ataków z 11 Września zbiera przewidywania dotyczące przyszłych ataków terrorystycznych. I tak jak można się było spodziewać większość z nich jest bardzo niedokładna. Nigdy nie słyszałem wcześniej tego cytatu, ale uważam go za szczególnie dobitny: „W 2004 Russell Seitz przekonująco sugerował, aby uznać atak z 11 września, tak jak konia trojańskiego i Pearl Harbour, za tak unikalny i skuteczny fortel, którego wielki sukces nie wyklucza powtórzenia…”

http://www.schneier.com/blog/archives/2012/01/collecting_expe.html

 

EFF opublikowało dobry poradnik dotyczący zabezpieczania urządzeń cyfrowych przy przekraczaniu granic międzynarodowych. 

https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices 

 

Moje porady są tutaj: 

http://www.schneier.com/blog/archives/2008/05/crossing_border.html

http://www.schneier.com/blog/archives/2009/07/laptop_security.html

 

Apple ma patent dotyczący rozdzielenia klucza pomiędzy urządzenie przenośne a jego zasilacz. 

http://www.patentlyapple.com/patently-apple/2012/01/apple-invents-an-ingenious-security-system-for-the-iwallet-era.html 

 

Teoria dotycząca stron jihadystów.

http://www.foreignpolicy.com/articles/2011/04/13/the_world_of_holy_warcraft?page=full 

 

Długa (ale interesująca i dobrze napisana) historia o kimś, czyje konto Gmailowe zostało zhakowane i usunięte i w końcu przywrócone. Dużo ciekawych rzeczy o bezpieczeństwie wielkich serwisów w chmurze bez żadnego wsparcia. 

http://www.theatlantic.com/magazine/archive/2011/11/hacked/8673/1/

 

 

 

 

Dyskusja ta trwa już od czasu wojen kryptograficznych we wczesnych latach 90-tych ubiegłego wieku. FBI, NSA i inne agencje donoszą o utracie swoich możliwości inwigilacji, określają to mianem „ściemnia się”. Niezależnie od tego czy problem powstaje z powodu zakodowanego maila, cyfrowej telefonii czy Skype’a, których to źli ludzie używają do komunikacji, trzeba działać zgodnie z prawami takimi jak CALEA i zmusić te serwisy aby były zabezpieczone tak, żeby rząd mógł je podsłuchiwać.

 

Kontrargumentem jest „złoty wiek inwigilacji” – olbrzymi wzrost danych online i internetowe systemy komunikacji dają rządowi jeszcze większe możliwości podsłuchiwania naszego życia. Mogą dostać się do Twojego maila w Google, niezależnie od tego czy stosujesz szyfrowanie. Mogą zainstalować program podsłuchujący w Twoim komputerze, niezależnie od tego czy używasz Skype’a. Mogą śledzić Twoje rozmowy na Facebooku i dowiadywać się o rzeczach których dekadę temu nie było w sieci. Dzisiaj wszyscy nosimy urządzenia, które śledzą nieustannie naszą pozycję (24/7): nasze telefony komórkowe.

W tym opracowaniu znajomi CDT (i profesorowie prawa) rzucają wyzwanie metaforze „ściemniania” i przywołują „złoty wiek  inwigilacji”. Owszem, klasyczne podsłuchiwanie stało się trudniejsze, ale tak wiele innych metod inwigilacji jest prostszych. 

 

Prosta próba może pomóc czytelnikowi wybrać pomiędzy „ściemnianiem się” a „złotym wiekiem inwigilacji”. Załóżmy, że agencje maja do wyboru zestaw z lat 90-tych ubiegłego wieku lub zestaw z roku 2011. Pierwszy zestaw zawiera możliwość inwigilacji taki jaki istniał przed erą szyfrowania, ale nie będzie zawierał nowych technik śledzenia lokacji, identyfikacji znajomych, dostępu do wielu baz danych oraz eksploracji danych. Drugi zestaw odpowiada obecnym możliwościom: są pewne przeszkody związane z szyfrowaniem, jednakże zwiększone są możliwości podsłuchu, śledzenia lokacji, identyfikacji i eksploracji danych. Drugi pakiet jest rzeczywiście czymś ekstra – nowe narzędzia inwigilacji pomagają w różnych śledztwach, podczas gdy podsłuch stosuje się do niewielkiej grupy kluczowych dochodzeń. Nowe narzędzia stosuje się znacznie częściej i dostarczają one szczegółowych danych śledczym.

http://www.cdt.org/blogs/2811going-dark-versus-golden-age-surveillance

 

Dłuższa i bardziej szczegółowa wersja tej samej argumentacji do przeczytania w artykule "Encryption and Globalization," w nadchodzącym wydaniu Columbia Science and Technology Law Review. 

http://ssrn.com/abstract=1960602

 

W podobnym artykule, mamy tutaj stosunkowo nowe dokumenty WikiLeaks związane z rządowymi produktami inwigilacyjnymi. 

http://wikileaks.org/the-spyfiles.html

http://m.zdnet.com/blog/london/skype-monitoring-gmail-hacks-and-fake-itunes-updates-how-governments-can-track-you/1479 

http://gadgetmix.com/articles/big-brothers-watching-you/

http://www.cultofmac.com/132782/if-you-thought-carrier-iq-scandal-was-bad-wait-till-you-see-latest-wikileaks/ 

http://www.bugged.com/wikileaks-spy-files-finfly-device-targets-computer-through-apple-itunes-scam/

 

 

 

 

Powołując się na nieujawnione „dane wywiadowcze”, anonimowego „wyższego rangą przedstawiciela wywiadu” oraz „specjalistę ds. prywatności” Bloomberg News twierdzi, że iBahn – firma dostarczająca usługi internetowe do kilku sieci hoteli – została zhakowana przez Chińczyków. Reszta opowieści jest całkiem oczywista: ukradziono prywatną korespondencję mailową, włamano się do sieci korporacyjnych przez iBahn, Chiny dużo hakują i tak dalej. iBahn zaprzeczył tym doniesieniom. 

 

Dajcie spokój, ludzie. Wiemy, że opowieści o chińskim hakingu są prawdopodobne, ale warto się raczej zajmować lepiej udokumentowanymi sprawami. 

http://www.businessweek.com/news/2011-12-16/china-based-hacking-of-760-companies-shows-cyber-cold-war.html 

http://www.networkworld.com/news/2011/121511-ibahn-supplier-of-hotel-internet-254110.html

 

 

 

 

Charles Mann oparł na mojej osobie artykuł o bezpieczeństwie na lotniskach dla “Vanity Fair”. Artykuł miał się pojawić w związku z 10-tą rocznicą ataków z 11 Września, ale się opóźnił.

http://www.vanityfair.com/culture/features/2011/12/tsa-insanity-201112 

 

Oto kolejne argument do całości. Zgadzam się z dwoma punktami i końcówką postu. Nie sądzę, aby zmieniło to jakąkolwiek z moich analiz. 

http://www.hlswatch.com/2012/01/03/defending-the-tsa/ 

 

Mann pisał też o mnie w 2002 dla "The Atlantic." 

http://www.theatlantic.com/past/docs/issues/2002/09/mann.htm

 

W roku 1997, miałem wystąpienie na Beyond HOPE Conference w Nowym Jorku. (HOPE stood for "Hackers On Planet Earth.) Wideo z tej rozmowy jest dostępne online. 

http://blip.tv/2600magazine/beyond-hope-1997-cryptography-opportunities-threats-and-implementations-5798822#disqus_thread

http://blip.tv/file/get/2600magazine-bh07999.m4v 

 

Zdjęcia z wystąpienia:

https://www.schneier.com/schneier-talk.pdf

W tym filmiku zobaczysz moje małe wystąpienie w rockowym wideo o zabarwieniu transwestyckim – patrz na moment 1:46. 

http://www.youtube.com/watch?v=gmPta19GSFU

 

 

 

 

Ruszyła strona internetowa „Liars and Outliars”. Można na niej znaleźć linki pozwalające na zamówienie wersji papierowej i elektronicznej książki u różnych sprzedawców oraz podpisanych egzemplarzy bezpośrednio ode mnie. Zamieściłem tam także kopię obwoluty, spis treści, pierwszy rozdział, 15 wykresów z książki i wszystkie notki marketingowe. 

 

W zeszłym miesiącu, wybrałem 10 zwycięzców z grona 278 osób, które zgłosiły się po egzemplarze autorskie. Egzemplarze te zostały już wysłane, podobnie jak kopie do recenzentów.

Kilku czytelników zasugerowało abym wystawił na aukcję kilka kopi i zrobiłem to w pierwszej połowie stycznia. Dwóch czytelników bloga wygrało podpisane egzemplarze a wpływy pójdą na EFF i EPIC.

Oto strona książki – możesz tu zamawiać książkę z moim podpisem.   

http://schneier.com/lo

 

 

 

 

 

Po całym długim i ciężkim roku moja najnowsza książka Liars and Outliers jest gotowa. Przekazałem rękopis wydawcy 1 listopada, tydzień później dostałem uwagi od wynajętego redaktora oraz redaktora z wydawnictwa, kolejny tydzień zajęło mi wprowadzenie poprawek i w końcu wysłałem ostateczną wersję rękopisu do wydawcy tuż przed Świętem Dziękczynienia. Mam szansę sczytać gotowe strony w grudniu i wtedy rozpocznie się drukowanie.

 

Naprawdę cieszę się, że to zrobiłem. Jest to najtrudniejsza z książek które napisałem i jednocześnie najbardziej ambitna. Teraz zobaczę jak zostanie odebrana. Wiem, że powinienem myśleć o przygotowaniu rozmów nawiązujących do książki, ale chcę dać sobie trochę czasu i dystansu do całości. Wrócę do tego w styczniu.

 

Tymczasem razem z wydawcą pracowałem nad okładką. Grafikę i układ ustaliliśmy parę miesięcy temu, ale pozostaje tylna okładka, skrzydełka, biografia autora i notki reklamowe. Jestem bardzo zadowolony z tych notek. Właśnie zdecydowaliśmy co ma iść na front okładki, na tył i na pierwsze strony książki. Większość z tych tekstów będzie wykorzystywana w różnych księgarniach internetowych i na mojej stronie poświęconej książce. Umieszczę tam całą okładkę gdy będzie skończona.

Po tym wszystkim wydawca przygotuje różne formaty e-booków. Nie jestem pewien jak wykresy i tabele zostaną przetłumaczone, ale się dowiem. Publikacja ma się ukazać w połowie lutego, aby pojawić się na konferencji RSA w San Francisco na koniec miesiąca. Mam udzielić wywiadu na temat mojej książki w czymś o nazwie „Author’s Studio” oraz będę podpisywał moją książkę na stoisku podczas konferencji.

Tymczasem mój wydawca drukuje kopie książek do recenzji. Jeśli ktoś ma ważny powód aby otrzymać taką kopię, do napisania recenzji w gazecie, magazynie, popularnym blogu itp., niech wyśle do mnie maila, a ja przekażę go dalej do działu PR Wileya. Myślę, że będą gotowi do wysyłki po Nowym Roku.

Dodatkowo będę miał 10-20 kopii książki, które zamierzam rozdać czytelnikom Crypto-Gramu i mojego bloga. Na razie jeszcze nie wiem jak to zrobię. Rozdawnictwo „pierwszym X osobom, które zostawią komentarz” to dyskryminacja czytelników ze względu na różnice czasowe. Rozdawanie losowe komentatorom wydaje się za łatwe. Osoba odpowiedzialna za PR w wydawnictwie chce, żebym rozdawał książkę losowo ludziom, którzy „lajkną” mnie na Facebooku lub podeślą tweeta swoim znajomym lub zrobią coś w stylu tej durnej nowoczesnej dystrybucji marketingowej, ale wcale nie zamierzam tego robić.

Tak więc zdecydowałem, że dam darmową kopię Liars and Outliers osobie, która podpowie mi najlepszy sposób na darmowe rozdawanie kopi tej książki… Zostawcie swoje propozycje jako komentarze na moim blogu. 

http://www.schneier.com/blog/archives/2011/02/... 

http://www.schneier.com/blog/archives/2011/05/...

http://www.schneier.com/blog/archives/2011/07/... 

http://www.schneier.com/blog/archives/2011/08/...

http://www.schneier.com/blog/archives/2011/09/... 

http://www.schneier.com/blog/archives/2011/10/...

Zostawcie swoje propozycje na rozdawnictwo egzemplarzy recenzenckich książki: 

http://www.schneier.com/blog/archives/2011/12/...

 

 

 

 

Opisuję tu dwa artykuły. Pierwszy z nich jest o rozpowszechnianiu malware na telefonach z Androidem. Nie jestem tym zaskoczony. Platforma Androida to miejsce gdzie takie rzeczy się po prostu dzieją. Wierzę, że smartfony  staną się podstawowym celem ataków cyberprzestępców w najbliższych latach. Telefony integrują się coraz bardziej z życiem ludzi – dostarczają usługi bankowe, stają się elektronicznymi portfelami i tak oto będą najcenniejszymi urządzeniami dla przestępców. I nie wierzę, że iPhone będzie bardziej bezpieczny, z tego powodu, że Apple ma twarde zasady na app storze.

 

Drugi artykuł jest dobrym uzupełnieniem pierwszego. Autor ma rację. Złośliwe oprogramowanie na urządzeniach przenośnych nie będzie wyglądało ani działało w taki sam sposób jak na komputerach tradycyjnych. Nie będzie rozprzestrzeniało się z telefonu na telefon. Bardziej niepokojące są trojany ukryte w legalnych i nielegalnych aplikacjach, malware wbudowany w strony internetowe, oszukańcze update’y itp. Większość z tych zagrożeń będzie wykorzystywało inżynierię socjalną, ale to nie będzie główny problem.

 

Postrzegam urządzenia mobilne jako cel z wyboru. Najbardziej obawiam się o naruszenie prywatności. Twój telefon wie gdzie jesteś. Twój telefon wie z kim rozmawiałeś i – z użyciem nagrywania – co mówiłeś. A gdy Twój telefon stanie się Twoim cyfrowym portfelem, Twój telefon będzie wiedział jeszcze więcej o Twojej prywatności. Wszystkie te dane i informacje mogą być wykorzystywane przez przestępców i marketerów i będziemy zapewne obserwować wszelkiego rodzaju nielegalne lub prawie-legalne metody wykorzystywania takich informacji przez obie z  tych grup. 

Zabezpieczenie takich urządzeń będzie trudne, ponieważ nie mamy do nich dostępu na takim niskim poziomie jak mamy do komputerów.

Firmy antywirusowe wykorzystują strach użytkowników przed takimi zagrożeniami, aby sprzedawać swoje produkty, ale zagrożenie takie jest prawdziwe. Już czas zacząć prace nad rozwiązaniem tych problemów. 

http://globalthreatcenter.com/?p=2492 

http://www.informationweek.com/news/security/mobile/...

 

 

 

 

Bardzo ciekawy artykuł o samoobronie. Trzy zasady Sama Harrisa to: 1) unikaj niebezpiecznych ludzi i niebezpiecznych miejsc, 2) nie broń swojej własności, 3) reaguj natychmiast i uciekaj

http://www.samharris.org/blog/item/...

 

Naprawdę fajny tekst kryptologa Paula Kochera i jego firmy, Cryptography Research, Inc. 

http://alumni.stanford.edu/get/page/magazine/...

 

Wykrywanie psychopatów po wzorach ich mowy: 

http://vitals.msnbc.msn.com/_news/2011/10/23/... 

 

Obawiam się, gdy ludzie będą oceniani według takich kryteriów. Psychopaci to tylko ok. 1% społeczeństwa, więc nawet mała pomyłka w pozytywnym rozpoznaniu może stanowić poważny problem.

 

Unia Europejska zakazała stosowania rentgenowskich skanerów całego ciała na lotniskach. Skanery fal milimetrowych są dozwolone tylko wtedy, gdy spełniają wymogi prywatności. 

http://europa.eu/rapid/pressReleasesAction.do?...

http://www.scientificamerican.com/article.cfm?... 

 

Dan Boneh z Uniwersytetu Stanforda rozpoczyna w styczniu darmowy kurs kryptografii.

http://www.crypto-class.org/

 

Zawodowa liga piłkarska o zagrożeniach: 

http://www.schneier.com/blog/archives/2011/11/...

 

Pajęczyny zawierające truciznę na mrówki: 

http://www.schneier.com/blog/archives/2011/11/...

 

Istnieje firma, która śledzi ludzi używających swoich telefonów w centrach handlowych. 

http://www.cbc.ca/news/world/story/2011/11/25/...

http://arstechnica.com/business/news/2011/11/... 

 

Dwa centra handlowe używają już tego systemu:

http://money.cnn.com/2011/11/28/news/economy/... 

 

Jeśli coś jest dobrze chronione, to znaczy, że jest oczywiście warte kradzieży. Oto przykład ze świata insektów:

http://www.schneier.com/blog/archives/2011/11/...

 

Nie wiem, czy ta historia o szpiegach CIA w Libanie jest prawdziwa, ale na pewno nigdy nie będzie potwierdzona ani zdementowana: 

http://abcnews.go.com/Blotter/... 

 

Debata dotycząca całkowitej jawności w zabezpieczeniach komputerowych trwa co najmniej od dwóch dekad. Stawka jest jeszcze wyższa jeśli chodzi o biologię. 

http://www.schneier.com/blog/archives/2011/11/...

 

Zdaniem badaczy szyfrowanie całych dysków utrudnia działania śledcze policji. 

http://www.physorg.com/news/...

http://www.sciencedirect.com/science/article/pii/...

 

Ciekawe opracowanie o barierach i płotach oraz ich wpływie na myślenie o zabezpieczeniach: 

http://opinionator.blogs.nytimes.com/2011/11/27/... 

 

Wygląda na to, że doniesienia prasowe o włamywaniu się do drukarek HP i wywoływaniu w nich pożaru są raczej fikcją niż rzeczywistością.

http://www.engadget.com/2011/11/29/...

http://redtape.msnbc.msn.com/_news/2011/11/29/... 

http://consumerist.com/2011/11/...

http://www.hp.com/hpinfo/newsroom/press/2011/...

 

Nowy konkurs włamywania GCHQ to forma rekrutacji. 

http://www.canyoucrackit.co.uk/

http://www.bbc.co.uk/news/technology-15968878 

http://news.cnet.com/8301-17938_105-57335287-1/... 

 

Konkurs został złamany, ale tylko dlatego, że administratorzy nie ukryli strony z rozwiązaniem przed automatami wyszukiwarek.

http://www.theregister.co.uk/2011/12/03/...

 

Inwazyjne amerykańskie program śledzące, takie jak nielegalny podsłuch NSA łącz telefonicznych AT&T czy zalegalizowane w ramach ustawy Patriot, powodują, że zagraniczne firmy dwa razy się zastanowią zanim umieszczą swoje dane w amerykańskich rozwiązaniach w chmurze. Uważam, że obawy takie są uzasadnione. Nie wierzę amerykańskiemu rządowi, że legalnie czy nielegalnie nie będzie szpiegował moich danych jeśli uzna to za dobry pomysł. Ciekawsze jest jednak pytanie jakiemu innemu rządowi mógłbym zaufać w tej kwestii?

http://www.politico.com/news/stories/1111/69366.html

http://www.wired.com/cloudline/2011/12/us-cloud/

 

W Montrealu policja oznaczała protestantów niewidzialnym tuszem aby móc ich później zidentyfikować. Następnym krokiem będzie spryskiwanie ludzi w sposób niejawny, może z użyciem niewidzialnej farby SmartWater. 

http://news.sympatico.ctv.ca/home/...

http://spvm.qc.ca/fr/documentation/...

 

Nowa dziura w Skype: 

http://www.csoonline.com/article/695631/...

http://www.csoonline.com/article/686252/... 

http://www.poly.edu/press-release/2011/10/18/... 

 

Zawody DARPA i ich zwycięzca. 

http://www.darpa.mil/NewsEvents/Releases/2011/12/...

http://www.shredderchallenge.com/ 

http://www.shredderchallenge.com/puzzlefiles/...

http://www.shredderchallenge.com/Download.aspx

 

W sam raz na Święta, pamięć USB zamknięta w prawdziwym zamku szyfrowym. 

http://www.gizmag.com/crypteks-usb-flash-drive/20693/

 

Napad na bank w ramach testu zabezpieczeń – śmieszne. 

http://www.youtube.com/watch?v=RJVHTQSvUIo

 

Choć te zapiski osoby prześwietlającej ludzi na lotnisku są od kilku lat, nie podawałem tego linka wcześniej. 

http://www.cntraveler.com/travel-tips/... 

 

Najgłupszy zakaz fotografowania: oczywiście w Londynie. „Zakazy fotografowania są dość powszechne, ale ta stacja zdecydowała się zakazać robienia zdjęć cyfrowymi lustrzankami z powodu ich dużej czułości w połączeniu z wysoką rozdzielczością. Zdjęcia pozostałymi aparatami są dozwolone jeśli tylko aparaty nie wyglądają na duże i robiące dobre zdjęcia”. 

http://www.petapixel.com/2011/12/05/...

 

Ten artykuł o bezpieczeństwie lotów potwierdza to, o czym mówię od lat. 

http://www.ctc.usma.edu/posts/... 

 

Rozmowa Wired z byłym doradcą linii Delta. 

http://www.wired.com/dangerroom/2011/12/unsafe-skies/

 

Kolejne straszne doniesienia amerykańskiego Departamentu Bezpieczeństwa Narodowego (DHS): Al Kaida zaszywa bomby w ludziach. Właściwie niezupełnie. To jest jedynie możliwe zagrożenie terrorystyczne, co oznacza, że ktoś bredził o tym po pijaku w jakimś barze. Oczywiście nie powstrzymało to Departamentu Bezpieczeństwa przed terroryzowaniem ludzi tym pomysłem i sprzedawaniu nam odpowiedniego „rozwiązania” tego problemu. Wired: „A więc destrukcyjna i droga panika z powodu prawdopodobnego scenariusza? To brzmi całkiem jak Al Kaida. I jak Administracja Bezpieczeństwa Transportu (TSA) w USA.” 

http://www.wired.com/dangerroom/2011/07/... 

 

Ja: "Nie dać się sterroryzować." 

http://www.schneier.com/essay-124.html

 

Gdy wróble czują sie zagrożone, przeżywa mniej z ich potomstwa, niezależnie od tego czy zagrożenie jest realne. Wygląda na to, że wróble też są podatne na odczuwanie braku bezpieczeństwa. 

http://www.schneier.com/blog/archives/2011/11/...

 

Dobra analiza ataku Buckshot Yankee na tajną wojskowa sieć komputerową w 2008. Zawiera ona wiele szczegółów, o których wcześniej nie wiedziałem. 

http://www.washingtonpost.com/national/...

 

 

 

 

W zeszłym miesiącu pojawiło się doniesienie o włamaniu do systemu SCADA, który kontroluje pompy wodne w stanie Illinois. Pompy miały zostać zniszczone, a dokonać tego mieli prawdopodobnie Rosjanie. Potem okazało się, że wszystko jest nieporozumieniem. 

 

Końcówka drugiego artykułu podnosi moim zdaniem najważniejsze:

Joe Weiss mówi, że był zszokowany tym, jak taki raport mógł zostać wydany bez wcześniejszego sprawdzenia i potwierdzenia zawartych w nim informacji.

„Jeśli nie możesz zaufać informacjom z centrum informacyjnego, to jaki jest sens posiadania takiego centrum rozsyłającego cokolwiek? I o to właśnie chodzi” powiedział Weiss. „Gdy czytasz ten raport, czytasz bardzo przerażające informacje. Jak Departament Bezpieczeństwa Narodowego mógł nie wspomnieć o tym, że te informacje są niesprawdzone?”

 

Rzeczniczka centrum informacyjnego zapytana dlaczego nie sprawdzono tych informacji i umieszczono je w raporcie odpowiedziała, że za to odpowiada Departament Bezpieczeństwa Narodowego i agencje odpowiedzialne za raport. Panią rzecznik Bond bardziej interesowało jak Weiss zdobył raport, którego kopii nigdy nie powinien zobaczyć.

„Bardzo obawiamy się wycieku kontrolowanych informacji” podkreśliła Bond. „Badamy wewnętrznie jak wydostały się te poufne i kontrolowane informacje oraz w jaki sposób dotarły do rąk użytkowników, którzy nie powinni ich dostać. I to jest nasz priorytet.”

 

Zauważcie, że problemem nie jest nagłośnienie nieistniejącego zagrożenia w poufnym raporcie, ale upublicznienie tego raportu. Nie jest ważne czy raport został upubliczniony, ale to, że nigdy nie został uznany za błędny. Jak wiele innych takich raportów służy do ustanawiania praw, które są tak samo błędne jak dane na podstawie których powstały?

http://www.wired.com/threatlevel/2011/11/... 

http://www.wired.com/threatlevel/2011/11/...

 

 

 

 

Spyware na wielu smartfonach monitoruje wszystko co robisz, w tym nawet każde naciśnięcie klawisza. Firma, która przygotowuje takie oprogramowanie dla różnych operatorów, Carrier IQ, wpadła w popłoch gdy odszedł jeden z jej pracowników od zabezpieczeń. Firma na początku twierdziła, że nie śledzi przyciśnięć klawiszy – co łatwo było obalić - a w końcu zagroziła pozwem byłemu pracownikowi. W sprawę zaangażowała się Electronic Frontier Foundtion. 

 

Carrier IQ zareagowało w bardzo zły sposób. Straszenie swojego byłego pracownika to efekt paniki, ale uważam, że to także efekt przywiązania firmy do polityki trzymania szczegółów tego co robi w tajemnicy i ukrywania się za marketingowymi sloganami.

Pojawia się tu parę istotnych kwestii: 1) Jakie dane aplikacja Carrier IQ gromadzi w telefonie, 2) jakie dane Carrier IQ przesyła regularnie operatorom, 3) jakie dane aplikacja Carrier IQ może wysłać operatorom na życzenie. Czy operator może mieć dostęp do wszystkiego na żądanie FBI? Nie mamy pojęcia.

Spodziewam się, że ta sprawa będzie jeszcze sie rozwijać w ciągu najbliższych tygodni. Każdy tu wskazuje innego winnego i senator Franken poprosił zaangażowane firmy o szczegóły.

 

Jeszcze jeden szczegół wart jest wspomnienia. Apple ogłosiło, że w iOS5 nie będzie już używać aplikacji Carrier IQ. Jestem pewien, że to oznacza zastosowanie ich własnego oprogramowania śledzącego, a nie rezygnację z monitorowania aktywności swoich użytkowników.

http://www.theregister.co.uk/2011/11/30/... 

http://www.informationweek.com/news/security/mobile/...

http://www.wired.com/threatlevel/2011/11/... 

https://www.eff.org/mention/...

http://www.engadget.com/2011/12/01/... 

http://www.geek.com/articles/mobile/...

http://www.informationweek.com/news/security/mobile/... 

http://www.pcmag.com/article2/0,2817,2397156,00.asp

Apple i Carrier IQ: 

http://allthingsd.com/20111201/... 

 

Doskonały skrót wszystkiego co wiadomo o Carrier IQ: 

http://security.stackexchange.com/q/9416/971

 

 

 

 

Dużo piszę o altruizmie, uczciwości i współpracy w mojej nowej książce (wychodzi w lutym!), więc połączenie altruizmu i uczciwości bardzo mnie ciekawi. Eksperyment odkrył taką korelację pomiędzy zaledwie 15-miesięcznymi niemowlakami.

Zarówno psychologia jak i neurologia mają wiele do powiedzenia na te tematy i w efekcie można dojść do wniosku, że wszystko sprowadza się do pytania „Czy istnieje coś takiego jak wolna wola?”. Myślę, że ci co wierzą, że wolna wola nie istnieje, źle zdefiniowali całe zagadnienie.

Co to wszystko ma do kwestii bezpieczeństwa? Wszystko. Trzeba zrozumieć, że istnieje naturalna ludzka skłonność do uczciwości i altruizmu oraz, że są ludzie potrafiący wykorzystywać te skłonności dla własnych celów. Systemy powinny być tak budowane, aby chroniły przed wykorzystywaniem takich skłonności.

http://www.theatlantic.com/life/archive/2011/11/... 

http://www.plosone.org/article/... 

Esej o wolnej woli: 

http://opinionator.blogs.nytimes.com/2011/11/13/... 

Podobne badanie z psami: 

http://www.newscientist.com/article/...

 

 

 

 

Dwa tygodnie temu otrzymałem honorowy tytuł doktorski londyńskiego Uniwersytetu Westminster. Wcześniej miałem na ten temat mieszane uczucia, ale przeczytałem świetną poradę: „To wielki zaszczyt, ale to zaszczyt nie stopień."

http://www.cso.com.au/article/408522/...

 

 

 

 

Iran przechwycił amerykański samolot bezzałogowy, tzw. drona. Nikt nie wie jak to się stało. Patrząc na zdjęcia drona widać, że nie został on ani zestrzelony, ani się nie rozbił. Wygląda na to, że liczne mechanizmy zabezpieczające na wypadek awarii zawiodły, bo inaczej samolot wróciłby do domu. Amerykanie twierdzą, że to była zwykła awaria, ale to nie ma większego sensu.

 

Irańczycy twierdzą, że użyli „elektronicznego sprzętu wojskowego” do przechwycenia drona, sugerując, że przejęli kontrolę nad samolotem w powietrzu i sprowadzili go na ziemię. Jeśli to prawda, oznacza to poważną lukę w projekcie systemu bezpieczeństwa tego urządzenia. Dwa lata temu pojawiła się informacja, że Al Kaida potrafi przechwytywać sygnały wideo z dronów. Kanał sterowania i kontroli jest jednak odmienny i sądzę, że zabezpieczony mocnym szyfrowaniem.

 

http://www.bbc.co.uk/news/world-us-canada-16095823 

http://www.schneier.com/blog/archives/2009/12/...

 

Zdjęcia przechwyconego drona: 

http://aviationintel.com/?p=4322

 

 

 

 

Niedawno odbyłem długą rozmowę z Robertem Lemos dotycząca jego artykułu o całkowitej  jawności. Zauważył on, że wcześniej firmy reagowały bardziej negatywnie na publikowanie informacji o dziurach w zabezpieczeniach ich produktów.

Dyskusja o całkowitej jawności jest tak stara jak komputeryzacja, pisałem już o tym. Ujawnianie luk w zabezpieczeniach jest dobre dla kwestii bezpieczeństwa i dla społeczeństwa, ale producenci tego nienawidzą. Dla nich oznacza to złą prasę, wydawanie pieniędzy na naprawianie dziur, a wszystko dzieje się z zaskoczenia. W ciągu ostatniej dekady udało się jednak uzyskać niełatwy rozejm pomiędzy badaczami bezpieczeństwa i dostawcami oprogramowania. Wydaje się, że rozejm ten się chwieje. 

Lemos uważa, że problem pojawił się ponieważ celem dzisiejszych badaczy nie są tradycyjne firmy komputerowe, tylko firmy produkujące telefony lub systemy wbudowane i te firmy nie mają świadomości całej dyskusji, wypracowanego rozejmu, a ich reakcje są raczej instynktowne. Dobrym przykładem jest firma Carrier IQ strasząca pozwem swojego pracownika. Przypomniałem sobie też reakcję ślusarzy na ujawnienie słabych stron zamków przez Matta Blaze. Za publiczne ujawnienie stuletnich słabości w systemach zamknięć potraktowano go jak diabła wcielonego. Podobna dyskusja na temat jawności, opublikowana niedawno na moich stronach, pojawiła się w kontekście wirusologii.  

Lemos wskazuje tylko na część problemów, a dzieje się znacznie więcej. Uważam, że firmy komputerowe i niekomputerowe próbują utrzymać kontrolę nad całą sytuacją. Przykładem to potwierdzającym jest reakcja Apple wobec badacza Charlie Millera. Z jednej strony Apple powinien wiedzieć jak to zrobić lepiej, z drugiej jest to działanie w najlepszym interesie marki: im mniej badaczy szuka dziur, mniej dziur trzeba załatać.

Łatwo jest uwierzyć, że jeśli ludzie przestaną odkrywać problemy, będziemy udawać, że one nie istnieją i wszystko będzie lepsze. Takie właśnie stanowisko przyjął Departament Bezpieczeństwa Narodowego (DHS) w sprawie terroryzmu: publiczne poinformowanie o problemie jest gorsze niż sam problem. Podobne jest to do przyzwolenia Amerykanów dla Busha i Obamy na dowolne aresztowanie i przetrzymywanie bez procesów każdego innego Amerykanina. To w dużej mierze wyjaśnia ogólną niechęć dla demaskatorów. To o czym nie wiemy, nie może nas skrzywdzić, a to o czym wiemy będzie także znane tym, którzy zechcą nas skrzywdzić.

Mamy tu do czynienia z głęboko zakorzenionymi psychologicznymi barierami i nie jestem pewien ich następstw. Warto na to zwrócić uwagę. Bezpieczeństwo wymaga przejrzystości i jawności, a jeśli dobrowolnie z tego zrezygnujemy - będziemy mniej bezpieczni jako społeczeństwo. 

http://www.darkreading.com/security/... 

 

Mój poprzedni esej o pełnej jawności:

http://www.schneier.com/blog/archives/2007/01/...

 

Carrier IQ uspokaja się: 

https://www.eff.org/mention/... 

 

Zamki i całkowita jawność: 

http://www.schneier.com/essay-012.html

 

Odwet Apple’a na Charlie Millerze: 

http://www.huffingtonpost.com/2011/11/16/...

 

 

W tym numerze:

 

 

 

Popularne określenie, które warto wyjaśnić. Opisuje ono najważniejsze cechy konkretnego napastnika internetowego.

Normalny haker czy przestępca nie obiera sobie konkretnego celu. Potrzebuje po prostu zdobyć tysiąc numerów kart kredytowych do celów defraudacji lub włamać się na komputer i zamienić go w zombie itp. Zabezpieczenie przeciwko tego typu napastnikiem są względne- o ile jesteś bardziej ostrożny niż większość ludzi, napastnicy zaatakują raczej ich niż ciebie. W przypadku APT jest inaczej – napastnik atakuje konkretnie ciebie z jakiegoś powodu. W przypadku takiego ataku najważniejsze jest zapewnienie najwyższego poziomu twoich zabezpieczeń. Nie możesz porównywać się z zabezpieczeniami innych, w tym przypadku chodzi o to, czy jesteś wystarczająco zabezpieczony przed takim napastnikiem.

Napastnicy APT mają dużą motywację do działania. Zwykle mają lepsze umiejętności, możliwości finansowe i są bardziej cierpliwi. Prawdopodobnie wypróbują kilka różnych sposobów ataku. I jest bardzo prawdopodobne, że im się uda.

I to jest powód, aby wiedzieć co oznacza zwrot APT.

 

 

 

 

Ciekawy artykuł o przestępczym wykorzystywaniu crowdsourcingu 

http://www.forbes.com/sites/oreillymedia/2011/10/03/... 

 

Odkrywanie co Facebook wie o tobie: ciekawe doniesienia z Europy. 

http://www.identityblog.com/?p=1201

http://europe-v-facebook.org/DE/Anzeigen/anzeigen.html

 

Duqu, nowo odkryte oprogramowanie złośliwe, wydaje się być kolejnym robakiem typu Stuxnet i wykorzystuje kilka takich samych rozwiązań jak oryginał.

http://www.wired.com/threatlevel/2011/10/...

http://www.symantec.com/connect/... 

http://www.f-secure.com/weblog/archives/00002255.html  

 

Inne spojrzenie: 

http://krypt3ia.wordpress.com/2011/10/19/... 

Interesująca analiza losowych haseł w praktyce. 

http://www.lightbluetouchpaper.org/2011/08/24/... 

 

Okazuje się, że "2bon2btitq" nie jest silnym hasłem. 

http://www.lightbluetouchpaper.org/2011/11/08/... 

 

Google włącza standardowo SSL-a dla wyszukiwania. To dobra rzecz.

http://www.theregister.co.uk/2011/10/19/...

http://m.wired.com/threatlevel/2011/10/...

 

Jest pewna aplikacja na Facebooka, która prawdopodobnie śledzi ludzi nawet wtedy, gdy nie są do niego zalogowani.

http://www.schneier.com/blog/archives/2011/10/...

 

Rozwiązania Blue Coat służą do cenzury internetowej w Syrii. Blue Coat nie ma prawa sprzedawać swojej technologii w takim celu, ale istnieje wielu pośredników. Mogę się założyć, że syryjskie produkty Blue Coat są zarejestrowane i ich użytkownicy otrzymują normalny kod i aktualizacje filtrów.

http://www.thebureauinvestigates.com/2011/10/23/... 

 

Potwierdził to The Wall Street Journal: „Urządzenia mają wsparcie i serwis Blue Coat. Firma twierdzi, że właśnie przestała je obsługiwać”.

http://online.wsj.com/article/...

 

Ujawniono drugi dokument "Guide to Historical Cryptologic Acronyms and Abbreviations, 1940-1980," od NSA. Zwracam uwagę, że naniesiono poprawki redakcyjne.

http://www.governmentattic.org/5docs/...

 

Algorytm szyfrowania Twofish został opisany w książce "Abuse of Power." 

http://www.schneier.com/blog/archives/2011/10/...

 

Google opublikowało statystyki dotyczące zapotrzebowania organów ścigania na dane Googla. Jestem pewien, że maja biura wypełnione prawnikami biegłymi w znajomości prawa poszczególnych krajów.

http://pda.physorg.com/news/...

http://m.wired.com/threatlevel/2011/10/...

 

Nie śledzę historii kryptografii, więc zawsze mnie coś takiego zaskakuje. Coś o nazwie Copiale Cipher z XVIII wieku zostało złamane.

http://www.nytimes.com/2011/10/25/science/25code.html

http://stp.lingfil.uu.se/~bea/copiale/

 

Raporty EFF dotyczące SSL:

https://www.eff.org/deeplinks/2011/10/...

 

Tajne kody w bakteriach.

http://news.sciencemag.org/sciencenow/2011/09/... 

 

To XKCD jest naprawdę dobre. Koniecznie przeczytaj ten tekst powyżej.

http://xkcd.com/970/

 

Brian Kerbs wykonał analizę ataków na RSA w marcu, ucierpiało około 760 firm. 

http://krebsonsecurity.com/2011/10/...

http://money.cnn.com/2011/10/27/technology/...

 

Nie jestem zaskoczony, że policja kupuje ten system służący dopodsłuchu telefonów komórkowych, ale zaskakują mnie możliwości tego systemu. 

http://www.guardian.co.uk/uk/2011/oct/30/... 

 

Strona firmowa: 

http://www.datong.co.uk/

 

Dwa artykuły z The Economist: 

http://www.economist.com/node/21534748

http://www.economist.com/node/21534780 

 

A to jest ciekawe i cytowane opracowanie:

http://medicalxpress.com/news/... 

http://gallantlab.org/

http://www.princeton.edu/~fpereira/research.shtml

 

Zauważyłem, że trzech „liderów branży” mających wystąpienia na DARPA Cyber Colloquium ma razem aż 75 lat doświadczenia w pracy dla rządu. 

https://www.signup4.net/Public/ap.aspx?EID=DARP102E

 

Ciekawe badanie jak rodzice pomagają swoim dzieciom kłamać o swoim wieku, aby mogły używać Facebooka.

http://www.zephoria.org/thoughts/archives/2011/11/...

http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/... 

 

Napisali:

http://huff.to/rVocz5 

http://cnet.co/tnNPw1

 

Z publikacji "Journal of Strategic Studies": "Cyber War Will Not Take Place": 

http://www.tandfonline.com/doi/abs/10.1080/...

 

A tu kolejny artykuł: "The Non-Existent 'Cyber War' Is Nothing More Than A Push For More Government Control." 

http://www.techdirt.com/articles/20111023/... 

 

Uzbrojone drony UAV w rękach lokalnej policji: 

http://www.schneier.com/blog/archives/2011/11/...

 

Kradzieże portfeli z kieszeni pijanych osób w nowojorskim metrze: przestępstwo z finezją.

http://www.nytimes.com/2011/11/05/nyregion/... 

 

Kieszonkowcy różnych rodzajów mogą być ginącą rasą w Nowym Jorku.

http://www.slate.com/articles/arts/culturebox/2011/... 

 

Smart Cover odblokuje każdego iPada 2.

http://gizmodo.com/5852036/... 

Dziura załatana.

 

Więcej zagrożeń SSL od Mikko Hypponena: „znaleźliśmy fragment złośliwego oprogramowania, który został podpisany. Ważnym certyfikatem należącym do rządu Malezji” 

https://twitter.com/#!/mikko/status/136090183857745920

http://www.f-secure.com/weblog/archives/00002269.html

 

Istnieje grupa wykorzystująca techniki społecznościowe do pozyskania utraconych danych osobowych i tak kradnie tożsamość. To mnie nie zaskoczyło. Oszustwo to też biznes.

http://www.itbusiness.ca/it/client/en/home/News.asp?...

 

 

 

Ta wyjątkowo bezczelna taktyka pochodzi z Malezji. Złodziej niszczy bankomat i zgłasza uszkodzenia do banku. Gdy bank przesyła ekipę techników, którzy muszą otworzyć maszynę w celu naprawy, złodzieje grożąc bronią zabierają pieniądze.

To nie jest atak ściśle powiązany z technologią. Ale z tego co wiem o bankomatach, sejf z pieniędzmi znajdującymi się w środku i jego zabezpieczenia są oddzielone od zabezpieczeń reszty urządzenia. Zatem technicy mogą mieć tylko dostęp do samego bankomatu, a nie do wewnętrznego sejfu

http://thestar.com.my/news/story.asp?file=/2011/10/...

 

 

 

 

Badacze znaleźli słaby punkt w kontrolowanym przez komputer więziennym systemie drzwi, który pozwala na ich zdalne otwarcie przez Internet. 

 „Wszystkie drzwi do celi mogą zostać otwarte, a system u strażników będzie pokazywał, że wszystkie są zamknięte” powiedział Timesowi niejaki Strauchs, były specjalista z CIA. Dodał też, że największym zagrożeniem tej sytuacji było to, że system mógł być użyty w celu ułatwienia zabójstwa wybranego więźnia.

 

Czy to rzeczywiście „największe” zagrożenie?

http://arstechnica.com/business/news/2011/11/... 

Wyjątkowa gazeta:

http://www.google.co.uk/url?...

 

 

 

Miałem wystąpienie 21 Listopada w Sztokholmie na Internetdagarna. 

http://www.internetdagarna.se/ind10/english

Wystąpienie 22 listopada na The Register and Intel Live w Londynie. 

http://forms.theregister.co.uk/misc/live11/

 

I jeszcze moje przemówienie na CISO Executive Summit w Chicago 1-go grudnia. 

http://www.evanta.com/events/245/agenda

 

 

 

 

Tworzenie fałszywych dokumentów alarmujących w trakcie otwierania to próba rozwiązania problemu wewnętrznej kradzieży danych, związane jest to jednak z wieloma problemami praktycznymi.

W związku z działalnością Wikileaks, Departament Obrony USA postanowił powstrzymać wypływ dokumentów do rąk osób niepowołanych. Stworzono oprogramowanie, które miało temu sprostać przez generowanie fałszywych dokumentów które informują o tym gdy są otwierane. W ten sposób spełniały one rolę dezinformacyjną oraz pomagały zidentyfikować sprawcę wycieku.

Abstrahując od szczegółów, takie mechanizmy można zaliczyć w poczet rozwiązań śledzenia danych. To nawet nie musiały być fałszywe dokumenty, można sobie je wyobrazić jako makro wbudowane w dokument Worda czy PDF-a, który alarmuje właściciela, że został otwarty. (Nie wiem, czy rzeczywiście można to zrobić z takimi plikami, ale koncepcja jest wiarygodna). Pozwala to właścicielowi dokumentu śledzić kiedy i na jakim komputerze dokument otwarto.

Jednak największą wadą tej technologii jest możliwość generowania fałszywych alarmów. Jeśli zapełnisz folder fałszywymi dokumentami, autoryzowany użytkownik nawet przez przypadek będzie otwierał te pliki. A co jeśli skorzysta z fałszywych informacji? Oczywiście to powoduje, że hakerzy przestaną ślepo wierzyć, że każdy dokument na serwerze jest poprawny, ale założę się, że nie zajmie im za dużo czasu aby zajrzeć w kod i wykryć fałszywkę. 

Fałszywe alarmy martwią mnie mniej, a bardziej to jak łatwo takie zabezpieczenia ominąć. Odłączysz swój komputer od Internetu i już się nie skontaktuje z centralą. Rozwiązaniem jest połączenie tego systemu z jakimś algorytmem szyfrowania wymagającym zdalnego klucza. W takim przypadku dokument musi połączyć się z centrala zanim zostanie obejrzany. Oczywiście gdy ktoś zostanie zautoryzowany będzie mógł łatwo utworzyć niezabezpieczoną kopię, robić zrzuty ekranu czy przesyłać dalej.

Jednakże choć ciekawa, ta technologia nie powstrzyma dużych wycieków danych. Ale dobrze, że są prowadzone takie badania.

http://www.theverge.com/2011/11/4/2537647/...

 

 

W tym numerze:

 

 

 

W zeszłym miesiącu brałem udział w panelu dyskusyjnym podczas Information Systems Forum w Berlinie. Moderator zapytał nas o trzy wyłaniające się, kluczowe zagrożenia dla cyberprzestrzeni. Odpowiadałem jako ostatni i postanowiłem skoncentrować się na trzech najważniejszych zagrożeniach, które jednocześnie nie są przestępstwami:

 

 

Oto moja lista i każde z wymienionych zagrożeń może stać się znacznie groźniejsze niż cyber-przestępcy. 

 

Wielkie bazy danych:

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1926431

 

Internet kill switches:

http://www.schneier.com/essay-224.html

 

Wezwanie do wyeliminowania anonimowości. 

http://www.schneier.com/blog/archives/2010/02/anonymity_and_t_3.html

 

Cyber-wojna:

http://www.schneier.com/blog/archives/2010/12/cyberwar_and_th.html

 

 

 

Na początku tego miesiąca zupełnie przeformułowałem moją książkę. Zauważyłem, że książka ta nie jest o bezpieczeństwie. Traktuje ona o zaufaniu. Piszę o tym, jak społeczeństwo nakłania ludzi do działania w interesie grupy zamiast w konkurencyjnym interesie własnym. Oczywiste jest, że społeczeństwo musi tak robić, ponieważ w innym razie nigdy nie rozwiązałoby problemów kolektywnego działania. Jako gatunek społeczny rozwinęliśmy zarówno moralne jaki i „reputacyjne” zachowania, które zachęcają ludzi do działań w interesie grupy. Nazwałem te systemy „społecznym bezpieczeństwem” wraz z bardziej współczesnymi wytworami takimi jak: systemy instytucjonalne (czytaj „prawne”) i systemy technologiczne. 

 

To sformułowanie napięło definicję „bezpieczeństwa”. Wszystko, poczynając od Biblii, a na traktowaniu cię lepiej przez twojego przyjaciela, gdy jesteś dla niego miły, było systemem bezpieczeństwa. Po moim przeformułowaniu, to wszystko jest presją zaufania. Język ten jest bardziej intuicyjny. Już wiemy o presji moralnej, presji grupy rówieśniczej i presji prawnej. Sformułowania: presja reputacji, presja instytucjonalna i presja bezpieczeństwa są dużo mniej naciągane. Rozwiązanie takie pozwala ponownie umieścić bezpieczeństwo w znacznie bardziej czułym miejscu. Bezpieczeństwo jest mechanizmem; zaufanie jest celem. 

 

Takie przeformułowanie problemu pozwala mi w łatwiejszy sposób mówić wprost o centralnych tematach książki: o tym w jaki sposób różne rodzaje presji są skalowane do większych społeczeństw oraz o tym, jak technologie bezpieczeństwa są potrzebne do ich skalowania. O tym, na czym koncentruje się zaufanie i jak ulega zmianie wraz ze skalą społeczeństwa. W mniejszych społecznościach (np.: rodzina), zaufanie w większym stopniu dotyczy intencji, niż działań. W większych społecznościach, całe zaufanie dotyczy działań. A wraz ze wzrostem skali, zaufanie coraz mniej dotyczy ludzi, a coraz bardziej systemów. Tak długo, jak ufam systemowi bankowemu, nie muszę ufać jakiemuś konkretnemu bankierowi. I im bardziej zwiększamy skalę, tym ważniejsze staje się bezpieczeństwo. 

 

Abstrakt książki prawdopodobnie będzie taki: "Bezpieczeństwo jest zestawem skonstruowanych systemów będących rozszerzeniem naturalnie występujących systemów, które zawsze były stosowane przez ludzi w celu wytworzenia zaufania i umożliwienia wytwarzania się społeczeństw. To poszerzenie stało się potrzebne w chwili, gdy społeczeństwo zaczęło funkcjonować w skali i złożoności, przy których naturalnie występujące mechanizmy zaczęły się załamywać. Co więcej, im bardziej społeczeństwo się rozrasta, tym bardziej takie przedłużenie systemów jest potrzebne”.

 

A zatem sformułowanie „społeczne bezpieczeństwo” całkowicie zniknęło z książki. (Podobnie jak fraza „nieuczciwa mniejszość”, istnieje ono jedynie w starych postach na blogu). Więcej jest mowy o roli, jaką zaufanie pełni w społeczeństwie. Jest także więcej mowy o tym, jak bezpieczeństwo, tym razem prawdziwe bezpieczeństwo, aktywuje zaufanie. W chwili, gdy zacząłem wdrażać tę zmianę, wydawała się bardzo duża, ale fakt, że wprowadziłem ją w ciągu trzech dni, świadczy o tym, że przeformułowanie koncepcji od zawsze miałem gdzieś „pod skórą”. A fakt, że teraz książka jest znacznie bardziej klarowna świadczy o tym, że przeformułowanie to było właściwe.

 

Tytuł zostaje taki sam: "Liars and Outliers."  Okładka też pozostaje taka sama. Spis treści jest taki sam, choć niektóre rozdziały inaczej się nazywają. Podtytuł zmienił się na: "How Security Enables the Trust that Holds Society Together."

 

Manuskrypt nadal ma się znaleźć u wydawcy pod koniec tego miesiąca, a publikacja ustalona jest na połowę lutego. Pisanie tej książki przynosi mi radość, ale także wyczekuję już na moment, kiedy będzie skończona.

 

Poprzednie sprawozdania ze stanu rzeczy:

http://www.schneier.com/blog/archives/2011/02/societal_securi.html

http://www.schneier.com/blog/archives/2011/05/status_report_t.html

http://www.schneier.com/blog/archives/2011/08/liars_and_outli.html

http://www.schneier.com/blog/archives/2011/09/a_status_report.html

 

 

 

Napisałem już, że możliwe jest wykrywanie słów i fraz z szyfrowanych połączeń VoIP. Okazuje się, że możliwe jest także wykrycie mówcy. 

http://www.ncfta.ca/papers/voip.pdf

 

Skuteczność oprogramowania wykrywającego plagiaty. Jak się domyślacie, nie jest ona zbyt wysoka.

http://davideharrington.com/?p=594

 

Tekst Luisa "Guicho" Mijangos’a pt.: "sextortionist."  Dość przerażająca historia cyber-prześladowania. 

http://www.wired.com/threatlevel/2011/09/sextortionist/

 

Ciekawostką odnośnie oszustwa w Malezji dotyczącego elektronicznej bankowości jest to, jak naruszyło ono wiele różnych systemów bezpieczeństwa. Przestępcy, w celu otrzymania nowej karty SIM, użyli sfałszowanych dokumentów tożsamości, aby następnie móc wykorzystać telefon do autentyfikacji nielegalnego bankowego transferu, dokonanego dzięki kradzionym danym uwierzytelniającym. 

http://www.thesundaily.my/news/143839

 

Interesująca historia dotycząca przenoszenia ryzyka. Poprzez podniesienie wieku umożliwiającego zdobycie prawa jazdy, Kalifornia „przeniosła” śmiertelne wypadki samochodowe do innej grupy wiekowej. 

http://www.latimes.com/health/la-he-teen-driver-laws-20110914,0,7056006.story 

lub http://tinyurl.com/5wt2fea

 

Długoletnie porozumienie ANZUS pomiędzy USA i Australią dotyczy teraz także ataków w cyberprzestrzeni:

http://www.theregister.co.uk/2011/09/15/cyber_crime_anzus/

 

Interesująca propozycja odpowiedzialności za oprogramowanie

http://queue.acm.org/detail.cfm?id=2030258

 

Atak typu „Man-in-the-middle” przeciwko SSL 3.0/TLS 1.0. 

http://arstechnica.com/business/news/2011/09/new-javascript-hacking-tool-can-intercept-paypal-other-secure-sessions.ars lub http://tinyurl.com/3f3m853

http://threatpost.com/en_us/blogs/new-attack-breaks-confidentiality-model-ssl-allows-theft-encrypted-cookies-091911?utm_source=SecurityWeek lub http://tinyurl.com/436lldn

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html 

lub http://tinyurl.com/3fjbq7a

 

Iran blokuje Tor (The Onion Router – przyp. tłum.) i tego samego dnia Tor wypuszcza programowe obejście blokady.

https://blog.torproject.org/blog/iran-blocks-tor-tor-releases-same-day-fix 

lub http://tinyurl.com/5rc7phu

 

Problemy z hasłami Mac OS X Lion. Wydaje się, że problem tkwi w jakichś głupich błędach. 

http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html 

lub http://tinyurl.com/5w3lf96

http://www.theregister.co.uk/2011/09/19/apple_password_security_exposed/ 

lub http://tinyurl.com/6bsawem

 

Gangi okradają bankomaty dzięki drukarkom 3D. Jedna grupa ukradła 400 000 $.

http://krebsonsecurity.com/2011/09/gang-used-3d-printers-for-atm-skimmers/ 

lub http://tinyurl.com/6y7vpg5

 

Analiza rozszerzeń do przeglądarki Chrome wskazuje, że 25% z nich jest niezabezpieczonych.

http://www.adrienneporterfelt.com/blog/?p=226

 

Firmowe oprogramowanie Android HTS łamie standardowe zezwolenia i umożliwia oszukańczym aplikacjom dostęp bez autoryzacji do lokalizacji, książki adresowej i informacji na temat konta.

http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-in-htc-android-devices-evo-3d-4g-thunderbolt-others-exposes-phone-numbers-gps-sms-emails-addresses-much-more/ lub http://tinyurl.com/68z8lse

 

Isaac Asimov na temat teatru bezpieczeństwa:

http://www.schneier.com/blog/archives/2011/10/isaac_asimov_on.html

 

Przyjemna kreskówka na temat problemów z filtrowaniem zawartości.

http://onefte.com/2011/10/01/we-are-not-bad-people-2/

 

Sponsorowane przez FBI luki w zabezpieczeniach systemów

http://www.schneier.com/blog/archives/2011/10/fbi-sponsored_b.html

 

Dilbert na temat standardów bezpieczeństwa.

http://dilbert.com/fast/2011-08-02/

Kreskówka z poprzedniego dnia:

http://dilbert.com/fast/2011-08-01/

XKCD kładzie nacisk na to samo:

http://xkcd.com/927/

 

Plomby bezpieczeństwa na maszynach do głosowania.

http://www.cs.princeton.edu/~appel/voting/SealsOnVotingMachines.pdf

http://dl.acm.org/citation.cfm?id=2019603&dl=ACM&coll=DL&CFID=46593735&CFTOKEN=91913758 lub http://tinyurl.com/3ftg8fy

 

Komputery amerykańskich samolotów bezzałogowych mają wirusa. Moglibyście pomyśleć, że powinniśmy być bardziej ostrożni. 

http://www.wired.com/dangerroom/2011/10/virus-hits-drone-fleet/

http://arstechnica.com/business/news/2011/10/exclusive-computer-virus-hits-drone-fleet.ars 

lub http://tinyurl.com/6gcso9o

http://www.reuters.com/article/2011/10/07/us-usa-drones-idUSTRE7966FQ20111007 

lub http://tinyurl.com/6bakf3m

Nikt przez dwa tygodnie nie pofatygował się, żeby o tym powiedzieć departamentowi IT sił powietrznych:

http://arstechnica.com/tech-policy/news/2011/10/get-hacked-dont-tell-drone-base-didnt-report-virus.ars lub http://tinyurl.com/6fp9pep

 

Nowe ataki na CAPTCHA.

http://homepages.cs.ncl.ac.uk/jeff.yan/google.pdf

 

Dziwna zagadka z czasów II Wojny Światowej dotycząca bezpieczeństwa.

http://www.schneier.com/blog/archives/2011/10/weird_world_war.html

 

Dwaj kalifornijscy włamywacze dali cynk policji po tym, jak odkryli dziecięcą pornografię na skradzionych z czyjegoś domu płytach CD.

http://www.cnn.com/2011/10/06/us/california-robbery-porn-bust/index.html 

lub http://tinyurl.com/3sph8gm

 

 

 

Chaos Computer Club poddał analizie Trojana używanego przez niemiecką policję do komputerowej inwigilacji podejrzanych. W domyślnym trybie Trojan wykonuje screenshoty aktywnych okien i przesyła je na policyjny serwer. Szyfruje dane AES-em i - jesteście gotowi? – wykorzystuje ten sam klucz dla każdej wersji Trojana. Ponieważ trojan nie implementuje żadnego mechanizmu uwierzytelniania, można łatwo “zespoofować” wysyłane dane. Dane wysyłane są na amerykański serwer typu „command-and-control”, co niemal z pewnością jest wbrew niemieckiemu prawu. Trojan posiada także możliwość zdalnej instalacji dodatkowego oprogramowania na docelowym urządzeniu, ale znów ze względu na brak uwierzytelniania, można go łatwo oszukać. 

 

F-Secure oświadczył, że będzie traktować Trojana jako złośliwe oprogramowanie. Mam nadzieję, że inne firmy anty-wirusowe zrobią tak samo. 

 

Dodane po edycji (10/12): Kolejna historia. I trochę dobrych informacji na temat złośliwego oprogramowania. Niemiecki Minister Sprawiedliwości domaga się dochodzenia. 

http://www.ccc.de/en/updates/2011/staatstrojaner

http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf 

lub http://tinyurl.com/3t5g2lb

 

F-Secure:

http://www.f-secure.com/weblog/archives/00002249.html

http://www.f-secure.com/weblog/archives/00002250.html

 

Analizy:

http://nakedsecurity.sophos.com/2011/10/09/government-backdoor-trojan-chaos/ 

lub http://tinyurl.com/6gg3wb3

http://nakedsecurity.sophos.com/2011/10/10/german-government-r2d2-trojan-faq/ 

lub http://tinyurl.com/65gtnhn

 

Wezwanie do śledztwa:

http://www.bbc.co.uk/go/em/fr/-/news/world-europe-15253259

 

 

 

To jest prosty atak. Zarejestruj domenę o takiej samej nazwie jak twój cel, tylko, że z literówką. A zatem countrpane.com zamiast counterpane.com, lub mailcounterpane.com zamiast mail.counterpane.com. Następnie, jeśli ktoś zrobi literówkę w adresie e-maila skierowanego do kogoś z firmy i ty go otrzymasz, po prostu prześlij go dalej jakby nigdy nic się nie stało. Mowa tu o domenach sobowtórach (doppelganger), które już są wykorzystywane do szpiegowania firm.

 

Jest niewiele sposobów obrony przed takimi domenami. Możesz przypuszczalnie kupić wszystkie domeny z najczęstszymi literówkami, ale zawsze będą takie, o których nawet nie pomyślisz – zwłaszcza, jeśli korzystasz z wielu subdomen.

 

http://www.wired.com/threatlevel/2011/09/doppelganger-domains/

 

 

 

Będę przemawiał na konferencji Hacker Halted, 25 października w Miami. 

http://www.hackerhalted.com/2011/

 

Będę miał wystąpienie podczas Pennsylvania I.T. and Security Conference w King of Prussia, PA, 2. listopada.

http://www.pasecurityconference.com/2011/index.shtml

 

Będę przemawiał na AISA National Conference, 9. listopada w Sydney. 

http://www.aisa.org.au/national-conference/

 

Będę mówił podczas American Society of Consultant Pharmacists Technology Summit, 15. listopada w Phoenix.

http://www.ascpannual.com/technology-summit

 

 

 

 

To jest za równo news, jak i nie news:

 

Rzeczywiście, atak przeprowadzony przez zespół z Argonne nie wymagał modyfikacji, przeprogramowanie, ani nawet znajomości kodu źródłowego maszyny do głosowania. Został on przeprowadzony przez umieszczenie w maszynie niedrogiej „obcej” elektroniki.

 

Nie jest to news, ponieważ już wiemy, że jeśli mamy się dostęp do wnętrza maszyny do głosowania, możemy sprawić, że będzie ona robić co tylko zechcemy.

 

Jest to jednak news, ponieważ teraz wiadomo jak łatwy jest taki atak. Cała operacja zajęła dwie godziny, od początku do końca. Atakujący nie musi wiedzieć jak działa maszyna, wystarczy, że ma do niej fizyczny dostęp. (I dobrze wiemy, że maszyny do głosowania są rutynowo zostawiane bez nadzoru, a zabezpieczające je zamki łatwo można ominąć).

 

Bardzo frustruje mnie to, że istnieją miliony sposobów na zhackowanie elektronicznych maszyn do głosowania. Konkretny atakom poświęcone są prasowe nagłówki, a firmy produkujące maszyny do głosowania tłumaczą dlaczego ataki te nie są ważne. I w tym całym hałasie nikt nie jest w stanie usłyszeć prawdy: systemy te po prostu nie są bezpieczne i nie powinny być stosowane w elektronice.

 

http://politics.salon.com/2011/09/27/votinghack/

 

Pozbawione nadzoru maszyny do głosowania:

https://freedom-to-tinker.com/blog/felten/election-day-more-unguarded-voting-machines 

lub http://tinyurl.com/449l7xq

 

Łatwe do obejścia zamki maszyn do głosowania:

https://freedom-to-tinker.com/blog/felten/hotel-minibar-keys-open-diebold-voting-machines 

lub http://tinyurl.com/3pc5uza

 

 

 

Październik jest Narodowym Miesiące Świadomości nt. cyber-bezpieczeństwa, finansowanym przez Departament Bezpieczeństwa Narodowego. Na stronie znajduje się parę przykładowych „próbek”, ale całość jest dość nudna. Z pewnością stać nas na więcej. Zamieście swoje sugestie w komentarzach pod postem na blogu. 

 

Wpis na blogu URL:

http://www.schneier.com/blog/archives/2011/10/national_cybers.html

 

Narodowy Miesiąc Świadomości nt. cyber-bezpieczeństwa. 

http://www.dhs.gov/files/programs/gc_1158611596104.shtm

 

 

 

 

 

Pojawiło się wiele artykułów i esejów związanych z 10. rocznicą zamachu na WTC. Oto, co moim zdaniem warto przeczytać:

Naprawdę dobry raport ACLU: "A Call to Courage: Reclaiming Our Liberties Ten Years After 9/11."

http://www.aclu.org/national-security/report-call-courage-reclaiming-our-liberties-ten-years-after-911 

lub http://tinyurl.com/3csjm6h

 

Artykuł z Foreign Policy:  "Why Is It So Hard to Find a Suicide Bomber These Days?"

http://www.foreignpolicy.com/articles/2011/08/15/why_is_it_so_hard_to_find_a_suicide_bomber_these_days?page=full 

lub http://tinyurl.com/4ykq99u

 

Artykuł ze Stratfor: "Why al Qaeda is Unlikely to Execute Another 9/11."

http://www.stratfor.com/weekly/20110831-why-al-qaeda-unlikely-execute-another-911 

lub http://tinyurl.com/3ed895v

 

Mój tekst z maja 2010: "Where Are All the Terrorist Attacks?"

http://www.schneier.com/essay-314.html

 

Steven Pinker na temat terroryzmu:

 http://chronicle.com/article/Era-in-Ideas-Terrorism/128490

 

Przyjemny esej na temat zagrożeń wynikających ze zbyt wielu środków zabezpieczeń: http://chronicle.com/article/Era-in-Ideas-Fear/128492

 

Joseph Stiglitz o kosztach 9/11.

http://www.project-syndicate.org/commentary/stiglitz142/English

 

W jaki sposób wydarzenia 9/11 zmieniły sposoby kontroli: http://m.wired.com/threatlevel/2011/09/911-surveillance/

 

Nowe badania naukowe jako rezultat 9/11:

http://articles.boston.com/2011-09-11/news/30142947_1_terrorist-attacks-mathematics-young-math-whiz 

lub http://tinyurl.com/3zwcvhq

 

Dobry, kontrowersyjny tekst:

http://dailyreckoning.com/a-decade-later/

 

Dzień, w którym utraciliśmy naszą prywatność i potęgę: http://www.theregister.co.uk/2011/09/10/how_september_11_changed_our_world/ 

lub http://tinyurl.com/4ybv7qr

 

Prawdopodobieństwo kolejnego terrorystycznego ataku na skalę 9/11:

http://www.cs.unm.edu/~aaron/blog/archives/2011/09/what_is_the_pro.htm

 

"Let's Cancel 9/11."

http://www.nationofchange.org/lets-cancel-911-1315495318

 

Artykuł z Wired: "How to Beat Terrorism: Refuse to Be Terrorized"

http://www.wired.com/dangerroom/2011/09/end-911-era/

 

"Ten Things I Want My Children To Learn from 9/11"

http://www.popehat.com/2011/09/11/ten-things-i-want-my-children-to-learn-from-911/ 

 

Twórca TSA o tym, że TSA powinno zostać rozwiązane i sprywatyzowane: http://www.humanevents.com/article.php?id=46114

 

Pat Buchanan na temat Busha po 9/11:

http://www.theamericanconservative.com/blog/2011/09/08/what-terror-wrought-the-bush-legacy/ 

 

Noam Chomsky: „9/11: Was There an Alternative?” http://www.tomdispatch.com/post/175436/tomgram%3A_noam_chomsky%2C_the_imperial_mentality_and_9_11/#more 

 

Komentarz Al-Jazeery:

http://english.aljazeera.net/indepth/opinion/2011/09/20119129922211592.html

 

Komentarz The Onion:

http://www.theonion.com/articles/us-commemorates-911-by-toasting-stable-afghan-gove,21332/ 

 

Nie napisałem nic w celu upamiętnienia wydarzeń 9/11. Nie byłem w stanie wymyśleć niczego, czego już bym nie powiedział wiele razy wcześniej. http://www.schneier.com/essays-terrorism.html

http://www.schneier.com/essays-airline.html

 

 

 

John Mueller wraz ze swoimi studentami analizuje 33 próby ataków na USA, podjęte przez islamskich ekstremistycznych terrorystów od czasu 9/11. Jak się okazało, zaledwie kilka z nich faktycznie miało miejsce, podczas gdy znacznie więcej zostało wykreowanych, lub wręcz umożliwionych przez organy ochrony porządku publicznego. 

 

Liczba ofiar tych ataków to 14 osób: 13 w Ft. Hood i jedna w Little Rock.  Myślę, że uczciwie jest dodać do tej liczby 2 osoby, które w 2002 roku zginęły na lotnisku w Los Angeles z rąk uzbrojonego strzelca, podczas gdy stały przy kasie biletowej El Al. Łącznie zatem, w ciągu ostatnich 10 lat, terroryzm w USA pochłonął 16 ofiar. 

 

Dając wiarę szacunkom, że na walkę z terroryzmem wydaliśmy 1 trylion dolarów (przy czym kwota ta nie zawiera wydatków na wiele zagranicznych wojen), daje to kwotę 62,5 bilionów dolarów za stracone życie. Czy istnieje jakiekolwiek inne zagrożenie, które powoduje w nas choćby podobne szaleństwo? 

 

Zwróćcie uwagę, że każda z ofiar zginęła w wyniku postrzału. Żadnemu z islamskich ekstremistów nie udało się w ciągu ostatnich 10 lat zdetonować w USA bomby, ani nawet koktajlu Mołotowa. (W Wielkiej Brytanii w ciągu ostatnich 10 lat doszło do jednego udanego ataku bombowego: mowa o ataku na londyńskie metro w 2005 roku). Co więcej, prawie każdy z omawianych tu 33 incydentów (34 jeśli doda się ten z LAX),  był dziełem samotnych aktorów, bez powiązań z al Qaedą.

 

Przyglądając się tym incydentom, niektóre z nich byłyby naprawdę niezłym materiałem na film.  Sens mojego sformułowania "movie-plot threat"  nie tkwi w tym, że ataki terrorystyczne nigdy tak nie wyglądają, ale że koncentrowanie wszystkich środków przeciwko nim jest bezcelowe, ponieważ: 1) jest ich zbyt wiele 2) terroryści zbyt łatwo mogą zmienić taktykę i cele. 

 

Pamiętam jak po 9/11 handlowano obawami rządu. Jak to w Stanach były setki uśpionych komórek terrorystycznych. Jak to terroryzm stanie się normą, jeśli nie zostaną przedsięwzięte wszystkie drakońskie środki bezpieczeństwa. Można pomyśleć, że gdyby to wszystko było choć w niewielkim stopniu prawdą, w ciągu ostatniej dekady mielibyśmy do czynienia z większą liczbą ataków. 

 

I wydaje mi się, że takie argumenty jak „rząd potajemnie udaremnił wiele spisków”, jednak nie trzymają się kupy. Należy pamiętać o tym, jak rząd Busha robił szum nawet wokół najdrobniejszych incydentów terrorystycznych.  Podsycanie strachu było polityką. Gdyby rząd powstrzymał jakiekolwiek inne spiski, z pewnością uczyniłby wokół nich równie wielkie zamieszanie, jak wokół tych 33 incydentów. 

 

Praca Muellera:

http://polisci.osu.edu/faculty/jmueller/since.html

 

1 trylion dolarów wydany na bezpieczeństwo związane z terroryzmem:

http://www.amazon.com/exec/obidos/ASIN/0199795762/counterpane/

 

Aby uzasadnić obecne wydatki USA na bezpieczeństwo narodowe – pomijając nasze różne oficjalne i nieoficjalne wojny – musielibyśmy udaremniać rocznie 1 667 spisków w stylu Times-Square. 

http://www.slate.com/id/2303169

 

Dane na temat ataków terrorystycznych od roku 1970 do 2004.

http://www.schneier.com/blog/archives/2007/06/terrorism_stati.html

 

Nate Silver przedstawia dane, zgodnie z którymi lata 70-te i 80-te były znacznie bardziej niebezpieczne jeśli chodzi o lotnicze ataki terrorystyczne, niż pierwsza dekada XXI wieku.  

http://www.schneier.com/blog/archives/2010/01/nate_silver_on.html

 

Według najnowszego raportu Departamentu Stanowego, 15 Amerykanów cywili zginęło w 2010 roku w atakach terrorystycznych: 13 w Afganistanie i po jednym z Iraku i Ugandzie. Na całym świecie 13 186 osób poniosło śmierć w atakach terrorystycznych w 2010 roku.  Liczby te bledną w porównaniu z innymi, znacznie mniej ryzykownymi okolicznościami. 

http://www.state.gov/documents/organization/170479.pdf

 

Popatrzcie na Tabelę 3 na stronie 16 tego dokumentu. Ryzyko poniesienia śmierci w USA z powodu terroryzmu, jest znacząco mniejsze niż ryzyko utonięcia we własnej wannie, czy też śmierci spowodowanej przez jakieś urządzenie domowe, bądź w wyniku zderzenia z sarną. Pamiętajmy, że każdego miesiąca więcej osób ginie w wypadkach samochodowych, niż 9/11.

http://polisci.osu.edu/faculty/jmueller/ISA10.PDF

 

W moim poście na blogu, przypadkowo wpisałem „życia uratowane” zamiast „życia stracone”. Poprawiłem to powyżej. Zasadniczo, regulacyjnie ustalona jest kwota od 1 do 10 milionów dolarów za jedno uratowane życie. Aby 100 bilionów dolarów, które rocznie wydajemy na walkę z terroryzmem, było tego warte, rocznie powinniśmy ratować 100 000 żyć. 

http://scienceblogs.com/stoat/2011/08/schneier_confuses_life_with_de.php 

lub http://tinyurl.com/3ljpx2d

 

1 dolar -10 milionów dolarów za uratowane życie:

http://polisci.osu.edu/faculty/jmueller/STEWJTS.PDF

 

 

 

Interesujący artykuł. Autorzy dowodzą, że cała walka z terroryzmem jest bezużytecznym nonsensem (to akurat nic nowego), i że agencje bezpieczeństwa dobrze o tym wiedzą i jeszcze na długo przed tym, jak Obama został prezydentem, zaprzestały stosowania wielu drakońskich środków bezpieczeństwa. Wszystko co pozostało po wojnie z terroryzmem ma wymiar polityczny, jak chociażby prawodawcy fundujący kolejne niechciane projekty, tylko po to, by być bezwzględnym wobec przestępczości. 

Chciałbym, żeby to była prawda, ale niestety nie kupuję tego. Wojna z terroryzmem to wielka dojna krowa i agencje ochrony bezpieczeństwa publicznego będą wydawać pieniądze tak szybko, jak tylko je otrzymają. Jest to także bardzo dobry pretekst do zwiększania policyjnej władzy i nie widzę żadnych oznak tego, żeby FBI lub TSA nie zagarniały każdej władzy, jaką mogą. 

 

Druga połowa artykułu jest lepsza. Autorzy argumentują, że to jawność, a nie tajność zwiększa bezpieczeństwo.

http://www.theatlantic.com/national/archive/2011/08/who-killed-the-war-on-terror/244273/ 

lub http://tinyurl.com/3f76e24

 

Oto raport, na którym oparto artykuł: 

http://thescienceofsecurity.org/blog/CT%20Since%209-11_by_Breakthrough.pdf 

lub http://tinyurl.com/3d6pcwo

 

Antyterroryzm jako wielka dojna krowa.

http://www.latimes.com/news/nationworld/nation/la-na-911-homeland-money-20110828,0,3913741,full.story 

lub http://tinyurl.com/3u3olzx

 

 

 

Interesujące badanie na temat ataków mających na celu przekierowywanie wyników wyszukiwania oraz nielegalnego handlu receptami w sieci:

http://www.lightbluetouchpaper.org/2011/08/10/measuring-search-redirection-attacks-in-the-illicit-online-prescription-drug-trade/ 

lub http://tinyurl.com/3ntug2m

 

Przyjemny esej Christophera Soghoian’a na temat tego, dlaczego dostawcy telefonów komórkowych i Internetu muszą automatycznie udostępniać opcje zabezpieczeń.

http://arstechnica.com/tech-policy/news/2011/08/not-an-option-time-for-companies-to-embrace-security-by-default.ars 

lub http://tinyurl.com/3krpcnv

 

Więzienie w Brazylii wykorzystuje gęsi jako część swojego systemu alarmowego:

http://www.boston.com/news/nation/articles/2011/08/11/brazil_prison_uses_geese_as_alarm_system 

lub http://tinyurl.com/

Rozwiązanie takie ma długą tradycję. Około 400 roku p.n.e., gęsi ostrzegły rzymską cytadelę przed atakiem Galów. 

http://www.mariamilani.com/ancient_rome/Roman_Goddess_Juno.htm

 

Nowy atak na AES:

http://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html

 

Każda instytucja oddelegowana do zapobiegania terroryzmowi boryka się z dylematem: albo może robić wszystko co w jej mocy aby przeciwdziałać terroryzmowi, albo może robić wszystko, by to nie na nią spadła odpowiedzialność za jakikolwiek atak terrorystyczny. Od jakiegoś czasu już o tym mówię i miło jest widzieć wyniki badań, które ukazują efekty tego dylematu. 

http://opim.wharton.upenn.edu/risk/library/J2011OBHDP_APM,AT,HK_PolicymakersDilemma.pdf 

lub http://tinyurl.com/3djfle8

Pomyślcie o tym pod kątem TSA (Transportation Security Administration). Czy TSA robi wszystko co może, aby zmniejszyć terroryzm, czy raczej robi co w jej mocy, aby w razie ataku terrorystycznego społeczeństwo jej nie obwiniało?

 

Długi esej o znaczeniu pseudonimowości:

http://www.marrowbones.com/commons/technosocial/2011/07/on_pseudonymity_privacy_and_re.html 

lub http://tinyurl.com/44nrcuy

Jest to oczywiście odpowiedź na politykę nazw Google+.

 

O tym, jak Microsoft rozwija łatki bezpieczeństwa.

http://go.microsoft.com/?linkid=9760867

 

Oszukiwanie w kasynie za pomocą ukrytej w rękawie kamery:

http://www.popsci.com/technology/article/2011-06/spy-vs-spy-casinos-cant-see-cameras-hidden-gamblers-sleeves 

lub http://tinyurl.com/42ferqt

 

Martwisz się, że ktoś zhackuje twoje wszczepione urządzenie medyczne? Oto zagłuszające sygnał urządzenie, które możesz nosić.

http://www.technologyreview.com/computing/38338/

 

Wykorzystanie sensorów ruchu w smartfonach:

http://www.theregister.co.uk/2011/08/17/android_key_logger/

http://regmedia.co.uk/2011/08/17/touchlogger_research_paper.pdf

http://hackaday.com/2011/08/18/gyroscope-based-smartphone-keylogging-attack/ 

lub http://tinyurl.com/3daygqo

http://www.extremetech.com/mobile/92946-a-wiggly-approach-to-smartphone-keylogging# 

lub http://tinyurl.com/3dfe385

 

Kradzież PINów z bankomatów za pomocą kamery termicznej:

http://gizmodo.com/5831837/stealing-atm-pin-numbers-using-a-thermal-camera-is-dead-easy lub http://tinyurl.com/3e7rdja

http://www.usenix.org/events/woot11/tech/final_files/Mowery.pdf

http://www.theregister.co.uk/2011/08/18/thermal_imaging_atm_fraud/

http://www.wired.com/gadgetlab/2011/08/thermal-imaging-camera-can-read-your-atm-pin/  

lub http://tinyurl.com/3zgxsdl

 

Problemy związane z bezpieczeństwem przeniesienia 12 bilionów dolarów w złocie z Londynu do Wenezueli. 

http://blogs.reuters.com/felix-salmon/2011/08/23/how-to-get-12-billion-of-gold-to-venezuela/ lub http://tinyurl.com/3c9ul7b

 

Przyjemny esej na temat problemów z mówieniem o zagrożeniach cyberprzestrzeni za pomocą metafor „Zimnej Wojny”:

http://www.brookings.edu/articles/2011/0815_cybersecurity_singer_shachtman.aspx 

lub http://tinyurl.com/42otfe5

 

Oto zdjęcie pary nożyc do cięcia drutu przymocowanych do stołu za pomocą drutu. Ktoś zdecydowanie tego nie przemyślał.

http://www.reddit.com/r/pics/comments/juonf/my_boss_was_tired_of_our_wire_cutters_getting/ 

lub http://tinyurl.com/3zotf28

 

Screenshoty chińskiego narzędzia do hackowania. Trudno powiedzieć na ile jest ono poważne. 

http://www.theepochtimes.com/n2/china-news/slip-up-in-chinese-military-tv-show-reveals-more-than-intended-60619.html lub http://tinyurl.com/42mv2u2

http://ept.ms/oxUW6k

http://military.cntv.cn/program/jskj/20110717/100139.shtml

 

Wreszcie jest nieco szczegółów na temat ataków na RSA, mimo że sama firma nadal nic nie mówi.  Był to niezbyt wyszukany atak phishingowy.

http://m.wired.com/threatlevel/2011/08/how-rsa-got-hacked/

 

Naprawdę dobry Facebook Privacy Guide:

https://www.facebook.com/safety/attachment/Guide%20to%20Facebook%20Security.pdf 

lub http://tinyurl.com/4x4gglx

Zwróćcie także uwagę, że portal przeprojektowuje politykę poufności. Jak się nauczyliśmy od Microsoft, nic tak nie motywuje firmy do ulepszenia bezpieczeństwa, jak konkurencja. 

http://gigaom.com/2011/08/23/facebook-privacy-redesign

 

Sieci społecznościowe bardzo utrudniają lub wręcz uniemożliwiają pracę tajnym agentom.

http://www.techworld.com.au/article/398599/social_media_could_render_covert_policing_impossible_/ 

lub http://tinyurl.com/3t3q2zz

Jest także druga strona tego medalu. Sieci społecznościowe mogą pomóc tajnym agentom poprzez tworzenie, na ich potrzeby, fikcyjnych historii. Może to wymagać pomocy ze strony firmy, która posiada portal społecznościowy, niemniej wydaje się to być sensowną prośbą ze strony policji. Jestem w połowie książki napisanej przez Diego Gambetta, pt.: "Codes of the Underworld: How Criminals Communicate". Mówi on o długim procesie weryfikacyjnym stosowanym przez organizacje przestępcze w celu sprawdzenia nowych członków, aby w ten sposób ochronić się przez policyjnymi informatorami (opinie osób, które znały potencjalnego nowego członka od urodzenia lub osób, które spędziły z nim czas w więzieniu).  Zgadzam się, że portale społecznościowe mogą jeszcze bardziej utrudniać pracę tajniaków, ale szczerze mówiąc jest ona wyjątkowo ciężka i bez tego. 

http://www.amazon.com/exec/obidos/ASIN/0691119376/counterpane/

 

Nowa oferta pracy w TSA: Public Affairs Specialist (Specjalista ds. publicznych)

http://www.schneier.com/blog/archives/2011/08/job_opening_tsa.html

 

Od półtora miesiąca krąży fałszywy certyfikat Google. Ktokolwiek go posiada – dowody wskazują na irański rząd – jeśli tylko jest we właściwym miejscu, rozpoczyna przeciwko użytkownikom Gmail’a atak typu man-in-the-middle i czyta ich wiadomości. Nie jest to błąd Google. Certyfikat został wydany przez holenderski Urząd Certyfikacyjny, który nie ma nic wspólnego z Google. 

https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google 

lub http://tinyurl.com/3r5kxcx

http://www.theregister.co.uk/2011/08/29/fraudulent_google_ssl_certificate/ 

lub http://tinyurl.com/3cjyrhk

http://www.computerworld.com/s/article/9219663/Hackers_may_have_stolen_over_200_SSL_certificates 

lub http://tinyurl.com/3kbp4so

http://www.f-secure.com/weblog/archives/00002228.html

https://blog.torproject.org/blog/diginotar-damage-disclosure

 

Fidelity National Information Services Inc. (FIS) straciły w tym roku 13 milionów dolarów w wyniku kradzieży bankomatów:

http://krebsonsecurity.com/2011/08/coordinated-atm-heist-nets-thieves-13m/ 

lub http://tinyurl.com/3vwu7l7

Przypomina mi to kradzież RBS WorldPay sprzed kilku lat:

http://voices.washingtonpost.com/securityfix/2009/11/eight_indicted_in_9m_rbs_world.html lub http://tinyurl.com/4xpd65u

 

Nowe badanie: Adrian J. Lee i Sheldon H. Jacobson (2011), "The Impact of Aviation Checkpoint Queues on Optimizing Security Screening Effectiveness," Reliability Engineering & System Safety, 96 (August): 900-911.

http://www.sciencedirect.com/science/article/pii/S0951832011000391

 

Interesujący artykuł o publicznym ujawnieniu agenta CIA i o tym jak trudno, w dobie informacyjnej, jest utrzymać swoją tożsamość w tajemnicy. 

http://www.theatlanticwire.com/global/2011/07/did-cia-do-enough-protect-bin-ladens-hunter/39867/ 

lub http://tinyurl.com/6kn7nbf

 

Mason Rice, Robert Miller i Sujeet Shenoi (2011): "May the US Government Monitor Private Critical Infrastructure Assets to Combat Foreign Cyberspace Threats?" International Journal of Critical Infrastructure Protection, 4 (April 2011): 3-13.

http://www.sciencedirect.com/science/article/pii/S1874548211000047

 

Pisałem już o sekretnych pytaniach, na które odpowiedź wymagana jest przez różne strony www, w wypadku gdybyś zgubił swoje trudne-do-zapamiętania, zwiększające bezpieczeństwo hasło. Oto nowe, dzięki uprzejmości Archiwów Narodowych: „Jakie jest twoje ulubione hasło internetowe?”. Dowiedziałem się, że Priceline ma takie samo, a zatem odpowiada za to jakiś trzeciorzędny serwis logujący lub jakieś oprogramowanie. 

http://37signals.com/svn/posts/2992-while-setting-up-an-account-at-the-national 

lub http://tinyurl.com/3cenbka

 

Administrator TSA John Pistole na temat bezpieczeństwa na lotniskach. Jest tu wiele rzeczy, które warto zobaczyć. Pistole mówi na temat rozwoju wykrywania behawioralnego. Mówi także o mniejszych kontrolach w stosunku do „zaufanych podróżnych”.

http://www.tsa.gov/press/speeches/090611_csis.shtm

 

Różnice kulturowe a tolerowanie ryzyka. 

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1647086

 

Udostępnianie informacji na temat bezpieczeństwa i Dylemat Więźnia:

http://www.sciencedirect.com/science/article/pii/S0167923611001151

 

 

 

Nick Helm wygrał nagrodę za najzabawniejszy kawał podczas Edinburgh Fringe Festival:

Nick Helm: "I needed a password with eight characters so I picked Snow White and the Seven Dwarves." 

 

Zwróćcie uwagę, że dwa inne żarty były na temat bezpieczeństwa: 

Tim Vine: "Popełnienie przestępstwa na wielopiętrowym parkingu. Jest to niewłaściwe na tak wielu poziomach”.

 

Andrew Lawrence: "Podziwiam tych hakerów telefonów. Muszą mieć dużo cierpliwości. Nie muszę się nawet martwić o sprawdzanie swojej własnej skrzynki głosowej

 

http://www.theregister.co.uk/2011/08/25/fringe_gag/

 

 

 

19 września w Berlinie będę mówił podczas Information Security Forum Annual World Congress.

https://www.securityforum.org/services/publiccongress/

 

Będę także występował 20 września w Kopenhadze na Danish IT Lawyers Conference

 

 

 

Wygląda na to, że cała masa dyplomatycznych depeszy USA, które były w posiadaniu WikiLeaks, jest gdzieś dostępna online. Fakt, że tak się stało jest dobrą ilustracją tego, że bezpieczeństwo może zawieść w sposób w jaki się nawet nie spodziewany. Zdaje się, że zaszyfrowane pliki, które WikiLeaks przekazało the Guardian, gdzieś się przedostały, a potem the Guardian opublikował klucz szyfrujący w wyjawiającej wszystko książce o WikiLeaks.

 

„WikiLeaks”, s.138-139:

Assange zapisał na papierowym świstku: ACollectionOfHistorySince_1966_ToThe_PresentDay#.  „Oto hasło” powiedział „Ale trzeba dodać jeszcze jedno słowo podczas wpisywania. Trzeba umieścić słowo 'Diplomatic' przed 'History'. Zapamiętasz?”

 

Myślę, że wszyscy zgadzamy się co do tego, że był to bezpieczny klucz szyfrujący. 

 

Uwaga dla  the "Guardian":  publikowanie kodów szyfrujących jest prawie zawsze złym pomysłem. Uwaga dla WikiLeaks: bardziej dbajcie o swoje szyfrowane pliki.

Szczegółowa historia:

http://www.spiegel.de/international/world/0,1518,783778,00.html

 

Wytykanie palcami pomiędzy the Guardian i WikiLeaks:

http://www.guardian.co.uk/world/2011/sep/01/unredacted-us-embassy-cables-online 

lub http://tinyurl.com/3g3zktq

http://www.wikileaks.org/Guardian-journalist-negligently.html

 

Książka:

http://www.amazon.com/exec/obidos/ASIN/B0057D9LJG/counterpane/

 

 

 

To był długi i ciężki rok, ale książka jest niemal skończona. Bez wątpienia jest to najtrudniejsza książka, jaką kiedykolwiek napisałem. Przede wszystkim dlatego, że musiałem zdobyć wiedzę z zakresu akademickich dziedzin, w których nie miałem dużego doświadczenia. Ale wreszcie książka pojawia się jako spójna całość i wierzę, że rezultat okaże się wart wysiłku. 

 

Spis treści: 

 

    1. Wstęp

    2. Naturalna historia bezpieczeństwa

    3. Ewolucja współpracy

    4. Społeczna historia bezpieczeństwa 

    5. Dylematy społeczne

    6. Bezpieczeństwo społeczne

    7. Moralne bezpieczeństwo społeczne

    8. Reputacyjne bezpieczeństwo społeczne

    9. Instytucjonalne bezpieczeństwo społeczne

    10. Technologiczne bezpieczeństwo społeczne

    11. Współzawodnictwo

    12. Organizacyjne i społeczne dylematy

    13. Korporacyjne i społeczne dylematy

    14. Instytucjonalne i społeczne dylematy

    15. Zrozumienie porażek bezpieczeństwa społecznego

    16. Bezpieczeństwo społeczne i wiek informacji

    17. Przyszłość bezpieczeństwa społecznego

 

Stary tytuł „Nieuczciwa mniejszość” został zupełnie wymazany. Sformułowanie to nigdzie się w książce nie pojawia – jest jedynie obecne w starych wpisach na blogu dotyczących książki.

 

No i w końcu, chcę przeprosić wszystkich moich czytelników za skąpe wpisy na moim blogu i w Crypto-Gramie. Pisanie książki pochłania tyle mojej uwagi, że praktycznie nie mam czasu na wiele więcej. Jak tylko skończę prace nad książką, obiecuję napisać więcej esejów i postów na blogu. Najpewniej zbiegnie się to z grudniowym wydaniem Crypto-Gramu. Dziękuję za waszą cierpliwość. 

 

Rękopis będzie gotowy w ciągu 45 dni: publikacja jest nadal zaplanowana na połowę lutego. Na ten moment książka liczy 88 000 słów i dodatkowe 33 000 słów w przypisach.

 

Okładka:

http://www.schneier.com/blog/archives/2011/08/liars_and_outli.html

 

Starsze wpisy na blogu na temat książki: 

http://www.schneier.com/blog/archives/2011/05/status_report_t.html

http://www.schneier.com/blog/archives/2011/02/societal_securi.html

 

 

• Postępy w identyfikacji twarzy
• Wiadomości
• Schneier News
• Czy mamy do czynienia z hackerską epidemią?

 

W tym numerze:

 

 

 

W zeszłym tygodniu otrzymałem masę telefonów odnośnie Olajide Oluwaseun Noibi, który leciał z Nowego Jorku do Los Angeles, korzystając z przeterminowanego biletu wypisanego na kogoś zupełnie innego oraz z uniwersyteckiej legitymacji. Wszyscy dzwoniący chcieli dowiedzieć się, jak taka sytuacja świadczy o bezpieczeństwie na lotniskach. 

 

No więc, świadczy ona o tym, że bezpieczeństwo na lotniskach nie jest doskonałe, a także o tym, że ludzie popełniają błędy. Ale nie jest to coś, czym ktokolwiek powinien się martwić. Tu nie chodzi o to, że Noibi wykrył nową dziurę w lotniskowym systemie bezpieczeństwa, którą następnie mógł szybko wykorzystać. Po prostu miał prawdziwe szczęście. Nie jest to coś, wokół czego terrorysta może uknuć spisek. 

 

Jestem nawet mniej zaniepokojony całą sprawą, ponieważ nigdy nie sądziłem aby kontrola fotografii na dokumentach tożsamości miała jakąkolwiek realną wartość. 

 

Noibi został sprawdzony tak samo, jak każdy inny pasażer. Nawet na blogu TSA zwrócono na to uwagę: „W tym przypadku, TSA niewłaściwie zweryfikował dokumenty pasażera. Ważne jest jednak to, że jednostka ta została poddana takiej samej fizycznej kontroli jak inni pasażerowie, włącznie z wykorzystaniem zaawansowanej technologii wizualnej, takiej jak skanery całego ciała”.

 

Zdaje się, że TSA regularnie bagatelizuje wartość kontroli fotografii w dokumentach tożsamości. Oto fragment z sekcji Pytania i Odpowiedzi odnośnie bezpieczeństwa lotów, dotyczący nowego systemy dopasowywania pasażerów do watchlisty (lista na której znajdują się interesujące osoby - przyp. tłum.). 

 

Pytanie:  Ta konkretna „warstwa” kontroli nie jest zbyt skuteczna. Jeśli może ją obejść każdy, kto posiada drukarkę i edytor tekstów, nie wydaje się ona zbyt użyteczna….zwłaszcza biorąc pod uwagę pieniądze, które są wydawane na tę konkretną „warstwę”. Być może pieniądze mogłyby zostać lepiej wydane na  inne „warstwy” kontroli bezpieczeństwa. 

 

Odpowiedź: TSA stosuje rozmaite warstwy bezpieczeństwa w celu zapewnienia bezpieczeństwa podróżującemu społeczeństwu oraz narodowemu systemowi transportu. Dopasowywanie nazwisk pasażerów do watchlisty stanowi jedynie jedną z wielu warstw sytemu bezpieczeństwa mających na celu ochronę lotów. Inne warstwy to m.in. służby specjalne, analizy, punkty kontroli lotniskowej, losowe kontrole lotniska przeprowadzane przez zespoły z psami, federalna żandarmeria powietrzna, a także wiele innych środków bezpieczeństwa zarówno widocznych, jak i niewidocznych dla ogółu. 

 

Każda z tych warstw jest w stanie samodzielnie powstrzymać atak terrorystyczny. Jednak w połączeniu, ich wartość dla bezpieczeństwa zostaje zwielokrotniona, dzięki czemu powstaje znacznie mocniejszy i groźniejszy system. Terrorysta, który w celu przeprowadzeniu ataku musi pokonać liczne warstwy systemu bezpieczeństwa, najpewniej zostanie powtrzymany jeszcze przed działaniem, odstraszony, bądź też poniesie porażkę w trakcie działań.

 

Tak, z odpowiedzi można wyczytać, że TSA wydaje miliony, aby upewnić się, że terrorysta knujący realny spisek także musi posiadać komputer. Ale możecie powiedzieć, że sedno sprawy nie pojawiło się w odpowiedzi „Punkty kontroli! Psy! Żandarmeria powietrzna! Olewamy głupie wymogi odnośnie zdjęć w dokumentach tożsamości!”

 

Noibi jest prawdziwym powodem do wstydu dla TSA oraz linii lotniczych Virgin America, które powinny wychwytywać tego typu sytuacje. Ale osobiście nie martwię się o bezpieczeństwo i jak widać TSA też tego nie robi. 

 

http://www.latimes.com/news/local/la-me-0701-airport-security-20110630,0,2315584.story

lub http://tinyurl.com/3wvo9jb

http://latimesblogs.latimes.com/lanow/2011/07/stowaway-suspect-noibi.html

lub http://tinyurl.com/3khzgep

http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2011/07/01/MND11K5J1O.DTL

lub http://tinyurl.com/3htuy7q

 

Wpis na blogu TSA odnośnie sprawy Noibi’ego. 

http://blog.tsa.gov/2011/07/jfk-lax-stowaway-was-screened-by-tsa.html

 

Wpis na blogu TSA na temat kontroli dokumentów tożsamości:

http://blog.tsa.gov/2009/08/secure-flight-q-ii.html

 

 

 

Warsztaty Economics and Information Security (WEIS 2011).

http://www.schneier.com/blog/archives/2011/06/weis_2011.html

http://weis2011.econinfosec.org/

 

Czwarte warsztaty Security and Human Behavior (SHB 2011)

http://www.schneier.com/blog/archives/2011/06/fourth_shb_work.html

 

Modele oceny ryzyka kolidują z kinowymi projektorami. 

http://www.pelicancrossing.net/theotherglass/2011/05/when-theat-models-collide.html

lub http://tinyurl.com/3b25f6k

 

Interesujący esej na temat osłabienia Al-Kaidy

http://www.stratfor.com/weekly/20110608-al-qaedas-new-video-message-defeat

lub http://tinyurl.com/6botakq

Podobny artykuł z The Economist:

http://www.economist.com/blogs/baobab/2011/06/jihad

 

Świetny żart:

http://capntransit.blogspot.com/2011/06/schumer-calls-for-horse-no-ride-list-in.html

lub http://tinyurl.com/3khfuds

 

Nowy artykuł RAND Corporation: "Assessing the Security Benefits of a Trusted Traveler Program in the Presence of Attempted Attacker Exploitation and Compromise":

http://www.rand.org/pubs/working_papers/WR855.html

 

Cykl życia kryptograficznych funkcji hashujących:

http://valerieaurora.org/hash.html

 

Dobry artykuł "Sex, Lies and Cyber-crimeSurveys" (autorzy: DineiFlorencio iCormacHerley, Microsoft Research). Narzekałem na temat tego, w jakim stopniu polegamy na samosprawdzających się statystykach odnośnie cyber-przestępczości. 

http://research.microsoft.com/pubs/149886/SexLiesandCybercrimeSurveys.pdf

lub http://tinyurl.com/3zsspah

 

Przyjemny artykuł na temat Firesheep w akcji.

http://money.cnn.com/2010/12/14/technology/firesheep_starbucks/index.htm

lub http://tinyurl.com/36wotys

 

Wiele nieformalnych systemów bezpieczeństwa polega na przekonywaniu innych do robienia tego, co chcemy aby robili. Oto teoria, która głosi, że ludzkie rozumowanie wcale nie rozwinęło się jako narzędzie do lepszego rozumienia świata i rozwiązywania problemów, ale jako narzędzie do wygrywania sporów i przekonywania innych ludzi.

http://www.nytimes.com/2011/06/15/arts/people-argue-just-to-win-scholars-assert.html

lub http://tinyurl.com/5sdq8vf

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1698090

 

Szczegóły „ataku z wewnątrz” na informacje M&A. Napastnik patrzył jedynie na tytuły dokumentów, aby nie pozostawić po sobie żadnych śladów.

http://www.schneier.com/blog/archives/2011/06/insider_attack.html

 

National Security Agency (NSA) SIGINT Reporter's Style and Usage Manual, 2010.

http://www.governmentattic.org/4docs/NSA-SIGINT-style-manual_2010.pdf

 

Ludzie wspierający zakładnika poprzez jego stronę na Facebooku.

http://www.schneier.com/blog/archives/2011/06/assisting_a_hos.html

 

Sprzedawanie dobrej reputacji przez eBay:

http://www.schneier.com/blog/archives/2011/06/selling_a_good.html

 

Trochę świetnych danych na temat częstych haseł iPhonów. Jestem pewien, że wyniki odnoszą się także do PINów bankowych. 

http://amitay.us/blog/files/most_common_iphone_passcodes.php

 

Oto naprawdę dziwna historia o opracowywaniu przez chińską armię gry online typu first-person shooter:

http://www.schneier.com/blog/archives/2011/06/chinese_army_de.html

 

Artykuł na temat stacji nasłuchowej NSA's Menwith Hill w Zjednoczonym Królestwie (UK).

http://www.topsecretwriters.com/2011/06/how-does-nsa-get-away-with-running-top-secret-menwith-hill-in-the-uk/ lubhttp://tinyurl.com/3waka42

 

Jest nowa wersja rootkita TDSS.

http://www.theregister.co.uk/2011/06/29/tdss_alureon_advances/

 

Całkiem spodziewanie wojsko amerykańskie finansuje badania na temat bezpiecznych chipów. 

http://arstechnica.com/tech-policy/news/2011/06/spies-military-looking-for-hacker--backdoor-proof-circuits.ars lubhttp://tinyurl.com/5wjqkz9

 

Naprawdę ciekawy tekst porównujący IRA z Al-Kaidą. 

http://exiledonline.com/wn-38-ira-vs-al-qaeda-i-was-wrong/

 

Rozwój zorganizowanej przestępczości w Irlandii w obliczu zwiększonych środków bezpieczeństwa:

http://www.irishtimes.com/newspaper/features/2011/0704/1224300030694.html

lub http://tinyurl.com/3j7yuun

 

Przyjemny artykuł na temat historii Stuxnetu. 

http://arstechnica.com/tech-policy/news/2011/07/how-digital-detectives-deciphered-stuxnet-the-most-menacing-malware-in-history.ars

Oś czasowa Stuxnetu:

http://www.infracritical.com/papers/stuxnet-timeline.txt

 

Interesujące badanie: zbuntowane grupy ukazują krzywą uczenia się

http://www.scientificamerican.com/article.cfm?id=fatal-attacks-escalate

lub http://tinyurl.com/6gefwg6

http://www.sciencemag.org/content/333/6038/81.abstract

 

Wywiad z Evgeny’m Kaspersky’m.

http://www.spiegel.de/international/world/0,1518,770191,00.html

 

Rozwiązanie to znacznie zwiększa, niż zmniejsza niebezpieczeństwo: "Rada miejska w Cedar Falls w stanie Iowa całkowicie przekroczyła granicę. Przegłosowała 6 do 1 na rzecz rozszerzonego wykorzystania zamykanych skrzynek na terenie własności handlowych. Właściciele mienia zostaną zmuszeni do umieszczenia na zewnątrz drzwi kluczy do ich firmy, tak aby strażacy w jednej na milion sytuacji mieli możliwość szybkiego dostępu do środka”. 

http://www.timcartersfirepit.com/cedar-falls-iowa-lock-box-controversy.html

lub http://tinyurl.com/6axlnol

W świecie bezpieczeństwa komputerowego byliśmy tam już znacznie wcześniej, bo ponad 10 lat temu. 

http://www.schneier.com/paper-key-escrow.html

 

Indiana University of Pennsylvania oferuje studia magisterskie w zakresie broni masowego rażenia. 

http://www.pittsburghlive.com/x/pittsburghtrib/news/s_746308.html

 

 

 

Jednym z przyjemnych skutków ubocznych tego, że jestem zbyt zajęty by pisać dłuższe wpisy na blogu jest to,  że jeśli poczekam wystarczająco długo, ktoś inny napisze dokładnie to, co sam chciałem napisać.

 

Sprawa Patco Construction przeciwko People's United Bank to bardzo ważny przypadek, ponieważ sędzia orzekł, że niespełniający norm system bezpieczeństwa banku, był wystarczająco dobry, w efekcie czego firma Patco musi płacić za oszustwo będące wynikiem owego wadliwego systemu. Ważne są szczegóły sprawy i Brian Krebs napisał doskonałe podsumowanie całej sprawy. 

 

http://krebsonsecurity.com/2011/06/court-passwords-secret-questions-reasonable-ebanking-security/ lubhttp://tinyurl.com/6xdaa43

 

Krebs pisze także na temat zmierzającej w zupełnie przeciwnym kierunku sprawy w sądzie Michigan. 

http://krebsonsecurity.com/2011/06/court-favors-small-business-in-ebanking-fraud-case/

lub http://tinyurl.com/5txo4ck

 

 

 

AppFence to technologia (póki co działa jej prototyp), która chroni dane osobowe na Smartfonach. Robi to albo dzięki zastępowaniu wrażliwych informacji informacjami nieszkodliwymi, albo blokując próby wysyłania wrażliwych informacji przez sieć za pomocą aplikacji.

 

Istotą systemów takich jak AppFence jest to, że mają one potencjał zmiany rozkładu sił pomiędzy developerami mobilnych aplikacji a ich użytkownikami. Dzisiaj, developerzy aplikacji wybierają do jakich informacji aplikacje będą miały dostęp, a użytkownicy mogą się na to zgodzić, albo nie. Użytkownicy muszą zatem albo wyrazić zgodę na wszystko, czego wymaga developer aplikacji albo porzucić jej instalację. 

 

Oferty typu „godzisz się albo nie” sprawiają, że aplikacjom łatwiej jest otrzymać dostęp do informacji, do których użytkownicy nie chcą, aby miały one dostęp. Wiele aplikacji wykorzystuje to do otrzymania dostępu do identyfikatorów urządzeń użytkowników oraz ich lokalizacji, żeby to następnie wykorzystać do śledzenia zachowań (behawioralny tracking) i w celach reklamowych. Systemy takie jak AppFence mogłyby znacznie utrudnić dostęp aplikacji do tego typu informacji bez wyraźnego przyzwolenia oraz interakcji z użytkownikiem.

 

Problem polega na tym, że dostawcy mobilnych systemów operacyjnych mogą nie polubić AppFence. Googlowi prawdopodobnie jest to obojętne, ale za to Apple jest jednym z największych odbiorców danych osobowych z iPhone’ów. Póki co prototyp działa tylko na Androidzie. W teorii technologia ta może działać w każdym mobilnym systemie operacyjnym, ale życzę powodzenia w uzyskaniu na to pozwolenia od Apple’a. 

 

http://appfence.org/

 

 

 

Wpis na blogu na temat potencjalnego tytułu oraz okładki mojej następnej książki.

http://www.schneier.com/blog/archives/2011/06/my_next_book_ti.html

Decyzję odnośnie tytułu podjąłem w zeszłym tygodniu i będzie on brzmiał "Liars and Outliers: How Security Holds Society Together." (przyp. tłum: "Kłamcy i wyjątki: Jak bezpieczeństwo podtrzymuje społeczeństwo")

 

Wywiad ze mną z magazynu Infosecurity:

http://www.infosecurity-magazine.com/view/19302/interview-bts-bruce-schneier/

lub http://tinyurl.com/6xs8l64

 

 

 

Naprawdę mam już dość tego typu historii: "Dyski komputerowe oraz pamięci USB zostały rozrzucone na parkingach budynków rządowych oraz prywatnych przedsiębiorstw. 60% osób, które podniosły te urządzenia następnie podłączyło je do biurowych komputerów. I jeśli na napędzie lub CD było umieszczone oficjalne logo, 90% osób zainstalowało te urządzenia.”

 

*Oczywiście* ludzie podłączali pamięci USB i dyski komputerowe. To podobne do tego, że „75% osób, które podniosły porzuconą gazetę, przeczytało ją”. A co niby innego miałyby z nią zrobić?

 

Ale to nie jest dobra odpowiedź: "Mark Rasch, dyrektor ds. Bezpieczeństwa sieciowego Falls Church, zlokalizowanego w stanie Virginia wypowiedział się dla Bloomber „Nie ma takiego urządzenia znanego ludzkości, które ochroniłoby ludzi przez byciem idiotami”

 

Może byłaby to właściwa odpowiedź, gdyby 60% ludzi chciało grać na pamięciach USB jak na okarynie albo próbowało zrobić omlety z dysków twardych. Ale nie wtedy, gdy podłączają te urządzenia do swoich komputerów. Przecież właśnie do tego one służą. 

 

Ludzie cały czas dostają pamięci USB. Problem nie tkwi w tym, że ludzie są idiotami, i że powinni wiedzieć, że pamięć USB znaleziona na ulicy jest automatycznie zła, a ta otrzymana na jakichś targach jest automatycznie dobra. Problem polega na tym, że systemy operacyjne ufają przypadkowym pamięciom USB. Problem leży w tym, że system operacyjny automatycznie uruchomi program, który z pamięci USB może zainstalować złośliwe oprogramowanie. Problemem jest to, że podłączanie pamięci USB do komputera nie jest bezpieczne. 

 

Przestańcie winić poszkodowanych. Oni tylko usiłują jakoś dawać sobie radę. 

 

http://thenextweb.com/industry/2011/06/28/us-govt-plant-usb-sticks-in-security-study-60-of-subjects-take-the-bait/ lubhttp://tinyurl.com/3dtyngc

 

Windows już nie wspiera AutoRundla napędów USB.

http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx lubhttp://tinyurl.com/429g8es

 

 

 

W tym numerze:

 

• Słabe punkty nowego programu Siemens SCADA trzymane w sekrecie
• Jeszcze jeden sposób na uniknięcie skanerów całego ciała stosowanych przez TSA  
• Wiadomości
• Utrzymywanie informacji niejawnych z dala od terrorystów dzięki samokontroli 
• Man-in-the-Middle Attack Against the MCAT Exam
• Schneier News
• Oprogramowanie Open-Source w niebezpieczeństwie

 

Słabe punkty nowego programu Siemens SCADA trzymane w sekrecie

Systemy SCADA – systemy komputerowe, które kontrolują procesy przemysłowe – umożliwiają takie zhakowanie komputera, które może bezpośrednio wpłynąć na otaczający nas świat. W takim przypadku obawy się mnożą. Bo nie chodzi tu o złych facetów usuwających Twoje pliki, zdobywających twoje dane osobowe, czy też posługujących się w twoim imieniu kartami kredytowymi. Mowa tutaj o złych facetach, którzy zanieczyszczają atmosferę chemikaliami i odprowadzają ścieki kanalizacyjne do wodnych arterii. Oto Stuxnet (działający w systemie Windows robak komputerowy – przyp.tłum) odpowiedzialny na przykład za centryfugi wirujące bez kontroli i w efekcie ulegające samozniszczeniu. Nieważne jak bardzo realistyczne jest to zagrożenie, ale i tak jest ono przerażające.

 

W zeszłym tygodniu, badacz zajmujący się tym problemem (Dillon Beresford – przyp.tłum.), został zmuszony przez Departament Bezpieczeństwa Narodowego do tego, aby nie zdradzać detali sprawy “do czasu, aż Siemens naprawi wady programu”.

 

Beresford nie mógł powiedzieć ile słabych punktów odnalazł w produktach marki Siemens, ale zdradził, że przekazał firmie do przetestowania cztery dziurawe moduły. Wierzy, że przynajmniej jeden z tych słabych punktów wpływa na wielu sprzedawców systemu SCADA, których łączą oferowane przez nich produkty. Beresford póki co nie może zdradzić szczegółów sprawy, ale ma nadzieję, że zrobi to w późniejszych terminie.

 

Od tak dawna żyjemy już w czasach pełnej jawności faktów, że wielu z nas zapomniało jak było w czasach, zanim stało się to rutyną.

 

Zanim zasada ujawniania wszystkich faktów stała się normą, badacze odkrywali wady oprogramowania i wysyłali szczegóły do producenta, który następnie je ignorował zawierzając dochowaniu tajemnicy przez badaczy. Niektóre firmy zajmujące się oprogramowaniem potrafiły posunąć się jeszcze dalej i groziły badaczom podjęciem przeciwko nim kroków prawnych, na wypadek ujawnienia wad programów.

 

Potem, badacze ogłaszali istnienie pewnych wad, ale nie publikowali szczegółów. Wtedy, firmy zajmujące się oprogramowaniem nazywały owe wady “teoretycznymi” i zaprzeczały ich faktycznemu istnieniu. Oczywiste jest zatem, że problemy te nadal były ignorowane i od czasu do czasu nadal grożono badaczom prawnymi konsekwencjami. W tej sytuacji, hakerzy tworzyli program mający na celu wykorzystanie błędów w oprogramowaniu, a firma, gorąco przepraszając, wypuszczała naprawdę szybką łatkę, a następnie tłumaczyła, że wszystko to było winą złych i nikczemnych hakerów.

 

Powyższe słowa napisałem w 2007 roku. Dziś Siemens robi dokładnie to samo.

 

Beresford wyraził swoją frustrację w związku z insynuowaniem przez Siemensa, że usterki systemów SCADA mogą być trudne do wykorzystania przez typowych hakerów, ponieważ wady ujawnione przez NSS LABS “zostały odkryte w specjalnych laboratoryjnych warunkach, z nieograniczonym dostępem do protokołów i sterowników”.

 

Nie było żadnych “specjalnych laboratoryjnych warunków” z  “nieograniczonym dostępem do protokołów i sterowników” napisał w poniedziałek Boresford przedstawiając sposób w jaki udało mu się znaleźć usterki napędu Siemensa PLC. “Mój osobisty apartament po niewłaściwej stronie miasta, gdzie mogę w nocy słyszeć wystrzały, raczej nie stanowi specjalnego laboratorium”. Beresford powiedział, że z pieniędzy jego firmy nabył sterowniki Siemensa i odnalazł usterki, co jego zdaniem, mogą także zrobić hakerzy ze złymi intencjami.

 

Na tym dokładnie polega istota rzeczy. Ponownie ja z 2007 roku:

 

Niestety, poufność jedynie “brzmi” jak dobry pomysł. Zgodnie z przemawiającym za nim argumentem, utrzymywanie usterek oprogramowania w tajemnicy, utrzymuje je także z dala od rąk hakerów….Ale w ten sposób zakłada się, że hakerzy sami nie mogą odkryć tych wad, i że producenci oprogramowania będą spędzać czas i pieniądze na naprawianiu owych sekretnych usterek. Niestety oba te założenia są fałszywe. Hakerzy udowodnili, że są dosyć biegli w odkrywaniu utajonych błędów, a pełna jawność faktów jest jedynym powodem, dla którego sprzedawcy rutynowo łatają swoje programy.

 

Pozbawiony presji, Siemens może teraz zmierzyć się z problemem PRu i zignorować kluczowy problem bezpieczeństwa.

 

http://www.wired.com/threatlevel/2011/05/siemens-scada-vulnerabilities/
lub http://tinyurl.com/68y65xc

 

Historia pełnej jawności:

http://www.schneier.com/blog/archives/2007/01/debating_full_d.html

 

Naciski Siemensa na Bradforda.

http://www.networkworld.com/news/2011/052311-beresford.html

 

Jeszcze jeden sposób na uniknięcie skanerów całego ciała stosowanych przez TSA  (Transportation Security Administration – przyp.tłum.)

 

Zeszłej nocy, podczas trzeciej już kolacji EPIC Champion of Freedom Awards, wręczyliśmy nagrodę Susie Castillo. Jej wpis na blogu oraz film, na którym zarejestrowano sposób w jaki została potraktowana przez TSA, zainspirowały tysiące ludzi do wniesienia skarg na agencję oraz sposób traktowania przez nią podróżnych.

 

Siedząc podczas kolacji tuż obok Susie, nauczyłem się kolejnego sposobu w jaki można uniknąć skanerów całego ciała wykorzystywanych przez TSA: otóż należy nieść ze sobą małe zwierzę. Susie regularnie podróżuje ze swoim niewielkim psem i zauważyła, że zawsze kierowana jest od skanerów całego ciała w stronę magnetometrów. Podejrzewam, że przyczyną takich decyzji ze strony TSA jest trudność utrzymania psa nieruchomo. (Transporter na zwierzę, oczywiście, przechodzi przez prześwietlającą maszynę)

 

Nie jestem pewien, co ma zamiar zrobić TSA, po tym jak upubliczniłem to nieujawnione do tej pory zastrzeżenie. Ci z was, którzy podróżują z małymi zwierzętami, niech mi dadzą proszę znać, jak wygląda sytuacja.

 

(Tym z was, których przeraził fakt, że mogłem podsunąć terrorystom pomysł na uniknięcie skanerów całego ciała, wyjaśniam, że jest ich już tak wiele, że jeszcze jeden nie zaszkodzi)

http://www.susiecastillo.net/blog/2011/4/25/my-tsa-pat-down-experience.html

 

Wiadomości

 

Nadzorujące urządzenie FBI, zaprojektowane w ten sposób, aby mogło być przyczepiane do samochodu, zostało rozłożone na części i poddane analizie.

http://www.ifixit.com/Teardown/Tracking-Device-Teardown/5250/1

Najnowsze orzeczenie 9th U.S. Circuit Court of Appeals głosi, że potajemne umieszczenie przez policję, bez nakazu, urządzenia śledzącego na twoim samochodzie jest zgodne z prawem, nawet jeśli samochód jest zaparkowany na prywatnym podjeździe.

http://www.executivegov.com/2010/08/ninth-circuit-court-secret-gps-tracking-is-legal/
lub http://tinyurl.com/2bgyc43

 

Skanowanie odcisków palców z odległości 6 stóp. Nie ma informacji na temat jego dokładności, ale z czasem będzie ona tylko coraz lepsza.

http://www.technologyreview.com/biomedicine/27052/

 

Według Associated Press, Bin Laden utrzymywał bezpieczeństwo komputerowe za pomocą śluzy powietrznej (ang. air gap). Jestem pod wrażeniem. Trudno jest zachować taką dyscyplinę bezpieczeństwa łączności.

http://www.schneier.com/blog/archives/2011/05/bin_laden_maint.html

 

Nie pisałem o problemach Dropboxa z bezpieczeństwem; jestem zbyt zajęty pisaniem książki. Ale tu jest doskonały artykuł z The Economist podsumowujący sprawę.

http://www.economist.com/blogs/babbage/2011/05/internet_security

Meta-problem jest dość prosty. Jeśli od dostawcy chmury nie oczekujesz niczego ponad to, aby jedynie przechowywał twoje pliki i zwracał ci je w późniejszym czasie, będzie miał on dostęp do niezakodowanego tekstu. Dla większości ludzi – użytkowników Gmaila, Google’a Docs’a, Flickra i tak dalej – nie stanowi to problem. Dla niektórych jednak stanowi. Ludzie ci być może powinni kodować swoje pliki prze wysłaniem ich do chmury.

Kolejny, związany z bezpieczeństwem, problem Dropboxa.

http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/

 

NIST wypuścił „Wskazówki zabezpieczania BIOSu”

http://csrc.nist.gov/publications/nistpubs/800-147/NIST-SP800-147-April2011.pdf

lub http://tinyurl.com/3ekvoaw

http://www.phrack.com/issues.html?issue=66&id=7

 

Pracownik Cubic Corp – firmy wykonującej automatyczne systemy biletowe dla większości systemów metra na świecie – przez lata fałszował i następnie sprzedawał miesięczne bilety do bostońskiego MBTA. Całe przedsięwzięcie zostało odkryte przez przypadek. Cubic Transportation Systems w pisemnym oświadczeniu poinformowało o współpracy z władzami.  Oświadczenie to, w nawiązaniu do miesięcznych biletów MBTA głosi: „Nasza firma dysponuje licznymi zabezpieczeniami, których celem jest zapobieganie fałszywej produkcji i dystrybucji biletów”. Zawsze niezmiernie bawi mnie to, że firmy, w swoich oświadczeniach prasowych, udają, że to co jest oczywiste, jednak nie jest prawdziwe. „Ktoś całkowicie złamał nasz system”, „Powiedz, że dysponujemy wieloma środkami zabezpieczeń”, „Ale niestety nie zadziałały”, „I tak to powiedz; prasa będzie to ślepo powtarzać”.

Szczerze mówiąc, nie wiemy – i prawdopodobnie nigdy nie dowiemy się – jak ten zastrzeżony system został złamany. W tym wypadku, zrobił to ktoś z wewnątrz.  Ale czy osoba ta miała dostęp do dokumentacji systemu lub do zapasów pustych biletowych blankietów, czy może także do potrzebnego specjalistycznego sprzętu?

http://www.schneier.com/blog/archives/2011/05/forged_subway_p.html

 

Środki bezpieczeństwa, w stylu tych używanych przez TSA, są już na tyle zwyczajne, że są one stosowane podczas przejażdżki w Walt Disney World w Orlando.

http://www.mouseplanet.com/9624/Walt_Disney_World_Resort_Update

 

Amerykańskie The Centers for Disease Control and Prevention radzi jak przygotować się na apokalipsę zombie.

http://emergency.cdc.gov/socialmedia/zombies_blog.asp

 

Blackhole Exploit Kit jest teraz dostępny do ściągnięcia za darmo.

http://www.theregister.co.uk/2011/05/24/blackhole_exploit_kit_freebie/

 

Propozycja nowych przepisów odnośnie samochodowych czarnych skrzynek w Stanach Zjednoczonych.

http://www.wired.com/autopia/2011/05/automotive-black-boxes/

 

Zabawne jest oglądanie prezydenckiej limuzyny unieruchomionej przez betonowy próg amerykańskiej ambasady w Dublinie (na końcu filmu możecie dojrzeć jak grube są drzwi tego samochodu). To jednak był samochód zastępczy; prezydent w tym czasie nim nie podróżował.

http://www.schneier.com/blog/archives/2011/05/us_presidential.html

Podobne: filmik przedstawiający zepsucie się w Rzymie limuzyny Prezydenta Bush’a.

http://www.youtube.com/watch?v=iX4-a7VBr4c#t=1m28s

 

ElcomSoft złamał szyfrowanie danych w iOS 4. Zwróćcie uwagę na to, że nie złamali AES-256; wymyślili jak wydobyć klucze szyfrujące z konkretnych urządzeń (iPhony, iPady).  Firma „wypuści produkt zawierający tę funkcjonalność przeznaczony do użytku agencji rządowych, sądowych  i służb specjalnych”.

http://blog.crackpassword.com/2011/05/elcomsoft-breaks-iphone-encryption-offers-forensic-access-to-file-system-dumps/lub http://tinyurl.com/4xu4qvn

http://blog.crackpassword.com/2011/05/extracting-the-file-system-from-iphone-ipad-ipod-devices/lub http://tinyurl.com/3k8xjjh

 

Cyber przestępcy stają się coraz bardziej agresywni w swoich socjotechnicznych taktykach.

http://www.schneier.com/blog/archives/2011/05/aggressive_soci.html

 

Atak hackerski na Lockheed Martin połączony z luką RSA's SecurID.

http://www.reuters.com/article/2011/05/27/us-usa-defense-hackers-idUSTRE74Q6VY20110527lub http://tinyurl.com/3lskr3g

http://www.nytimes.com/2011/05/28/business/28hack.html

http://www.rawstory.com/rs/2011/05/27/hackers-penetrate-u-s-defense-contractors-security-networks/lub http://tinyurl.com/3qc3bm9

http://www.theregister.co.uk/2011/05/27/lockheed_securid_hack_flap/

 

Zdaje się, że Stany Zjednoczone dysponują niewidzialnym dla stacji radiolokacyjnych, tajnym helikopterem. To właśnie taki helikopter, z powodu poważnych uszkodzeń, został zniszczony przez amerykańskie siły podczas ataku na bin Ladena. Pojawiły się pogłoski o tym, że Pakistan wyśle helikopter do Chin, ale jednak zostanie on zwrócony Stanom. Zakładam, że Chińczycy i tak bardzo szybko zdobyli wszystko, czego potrzebowali.

http://www.nytimes.com/2011/05/06/world/asia/06helicopter.html

 

Czterotomowa historia kontrwywiadu „CI Reader: An American Revolution Into the New Millennium," opublikowana przez U.S. Office of the National Counterintelligence Executive.  (Tak, też nigdy o nich nie słyszałem)

http://www.schneier.com/blog/archives/2011/06/three-volume_hi.html

 

Dziennikarze ostatnio dość często do mnie dzwonią w sprawie spersonalizowanego phishingu kont Gmail, ale zupełnie nie mogę zrozumieć, dlaczego to jest niby taką nowością.

http://www.pcmag.com/article2/0,2817,2386287,00.asp

http://www.schneier.com/essay-227.html

http://www.google.com/hostednews/ap/article/ALeqM5juCwgcN2P-wsVbu78J2KMQk8_MDwlub http://tinyurl.com/3thf98t

http://www.washingtonpost.com/business/china-rejects-google-allegation-of-massive-hacking-breach-as-fabrication/2011/06/02/AGMdsEHH_story.html
lub http://tinyurl.com/6zqkedd

Ataki z Chin – stare wiadomości

http://www.schneier.com/essay-227.html

Ataki z Chin przeciwko Google – stare wiadomości

http://www.schneier.com/essay-306.html

Ataki z Chin przeciwko kontom Google Gmail – stare wiadomości

http://www.schneier.com/blog/archives/2010/02/more_details_on.html

Spersonalizowany atak phishingowy z Chin skierowany przeciwko wyższym urzędnikom państwowym.

http://www.schneier.com/blog/archives/2009/03/massive_chinese.html

Nawet jest przeciek WikiLeaks na ten temat.

http://www.schneier.com/blog/archives/2011/04/wikileaks_cable.html

 

Daniel Solove o bezpieczeństwie vs. debata o prywatności

http://www.salon.com/news/politics/war_room/2011/05/31/solove_privacy_security/index.htmllub http://tinyurl.com/3ktoux4

 

Maszyna szyfrująca Tunny z II Wojny Światowej odbudowana w Bletchley Park.

http://www.theregister.co.uk/2011/05/26/bletchley_park_tunny_rebuild_project/
lub http://tinyurl.com/3pdeut4

 

Potknięcia redakcyjne są tak częste, że przestałem o nich blogować lata temu. Oto pierwsza analiza dotycząca technicznych błędów w redagowaniu jaką do tej pory widziałem.

http://freedom-to-tinker.com/blog/tblee/studying-frequency-redaction-failures-pacer

lub http://tinyurl.com/3upbc4p

A tu NSA o tym, jak redagować:

http://www.schneier.com/blog/archives/2006/02/the_nsa_on_how.html

 

MI6 włamał się do internetowego magazynu al-Qaedy i zastąpił instrukcje przygotowania bomby przepisem na babeczki. Jest to grzeczniejszy włam niż wprowadzenie niewielkiej zmiany do instrukcji, taka by bomba wybuchła w trakcie jej przygotowywania (Powiedziano mi, choć nie jestem pewien czy to prawda, że „Anarchistyczna Książka Kucharska” z 1971 roku zawierała podobnie wadliwe przepisy)

http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-in-Operation-Cupcake.htmllub http://tinyurl.com/3wmryts

 

W Tennessee dzielenie się hasłem dostępu stało się nielegalne. Oczywiście nie będzie to działać. „Stanowi ustawodawcy stolicy muzyki country, podjęli nowatorską uchwałę, na mocy której korzystanie z loginu przyjaciela w celu słuchania piosenek bądź oglądania filmów w takich serwisach jak Netflix lub Rhapsody, będzie nielegalne – nawet za pozwoleniem właściciela hasła”.

http://news.yahoo.com/s/ap/20110601/ap_on_hi_te/us_password_sharing_crackdown
lub http://tinyurl.com/3qto2n3

 

Według dość przypadkowego reportażu, 25% amerykańskich przestępców-hackerów to informatorzy policyjni. Nie mam pojęcia, czy to prawda, ale gdybym był z FBI chciałbym, aby każdy wierzył, że to prawda.

http://www.guardian.co.uk/technology/2011/jun/06/us-hackers-fbi-informer

lub http://tinyurl.com/6anqvht

 

Ciekawe badanie:  Kirill Levchenko, et al. (2010), "Click Trajectories -- End-to-End Analysis of the Spam Value Chain," IEEE Symposium on Security and Privacy 2011, Oakland, California, 24 Maja 2011.  „95% reklamowego spamu dotyczącego produktów farmaceutycznych i oprogramowania komputerowego jest rozpowszechniane za opłatą, dzięki usługom handlowym oferowanym przez nieliczne banki”. Prowadzi to do owocnego sposobu redukowania spamu: należy zacząć ścigać banki.

http://cseweb.ucsd.edu/~savage/papers/Oakland11.pdf

http://www.informationweek.com/news/security/client/229625599

 

A tu potencjalna, nowa technologia lotniskowych ekranów informacyjnych. Nic na ten temat nie wiem.

http://isconimaging.com/technology.htm

http://wholebodyimagingfacts.com/?p=201

 

Dobra przemowa Patricka Gray’a o tym, dlaczego potajemnie kochamy LulzSec.

http://risky.biz/lulzsec

 

Dobra przemowa Roberta Cringely o tym, dlaczego otwarcie nienawidzimy RSA.

http://www.cringely.com/2011/06/when-engineers-lie/

 

A to przemowa Adam Shostack o przemowie Patricka Gray'a

http://newschoolsecurity.com/2011/06/are-lulz-our-best-practice/

 

Dlaczego tak trudno jest śledzić cyber ataki? W ciągu kilku zeszłych tygodni byłem o to pytany przez niezliczoną liczbę dziennikarzy. Tu znajduje się dobre wytłumaczenie. Krótsza odpowiedź: łatwo jest zafałszować źródłową lokalizację, a także łatwo jest wykorzystać niczego niespodziewającego się pośrednika jako proxy.

http://www.scientificamerican.com/article.cfm?id=tracking-cyber-hackers

lub http://tinyurl.com/622pphh

Nie, nadawanie uprawnień nie rozwiąże problemu.  Internet zawsze będzie zakładał pewną anonimowość.

http://www.schneier.com/essay-308.html

 

Status report na temat wojny o fotografię:  Morgan Leigh Manning, "Less than Picture Perfect: The Legal Relationship between Photographers' Rights and Law Enforcement," Tennessee Law Review, Vol. 78, p. 105, 2010.

http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1857623

 

Brak anonimowości w arkuszach typu "wpisz w kółko” (and. fill-in-the-bubble)

http://www.freedom-to-tinker.com/blog/wclarkso/new-research-result-bubble-forms-not-so-anonymous

 

Wirus w Google Android:

http://www.theregister.co.uk/2011/06/13/android_market_still_insecure/

  

 

Utrzymywanie informacji niejawnych z dala od terrorystów dzięki samokontroli 

 

W mojej nadchodzącej książce (dostępna w lutym 2012), piszę o rozmaitych mechanizmach bezpieczeństwa społecznego: w jaki sposób, jako grupa bronimy się przed obecną pośród nas „nieuczciwą mniejszością”. Wyróżniłem cztery typy społecznych systemów bezpieczeństwa:

 

• system moralny – wszelkie wewnętrzne nagrody i kary;
• system reputacji – wszelkie nieformalne zewnętrzne nagrody i kary;
• system normatywny – wszelkie formalne systemy nagród i kar (zwłaszcza kar) – przede wszystkim prawo;
• systemy technologiczne – ściany, zamki w drzwiach, kamery, itd.

 

Najwięcej naszych wysiłków angażujemy w trzeci i czwarty typ. Ja natomiast spędzam dużo czasu badając sposób w jaki działają dwie pierwsze kategorie.

 

Biorąc to pod uwagę, byłem bardzo zainteresowany artykułem napisanym przez Dallasa Boyd pt. "Protecting Sensitive Information: The Virtue of Self-Restraint", opublikowanym w "Homeland Security Affairs". W artykule tym autor zasadniczo stwierdza, że ludzie kierując się moralną odpowiedzialnością (nazwaną przez niego „obywatelskim obowiązkiem”), nie powinni publikować informacji, które mogłyby zostać użyte przez terrorystów.

Ignorując na chwilę debatę toczącą się na temat tego, czy publikowanie informacji, które mogłyby podsunąć terrorystom pewne pomysły, jest faktycznie taką złą ideą – moim zdaniem nie jest – to co pisze Boyd jest w rzeczywistości bardzo ciekawe. Przede wszystkim głosi on, że cenzura jest czymś złym i nie będzie działać i w związku z tym, chce zobaczyć dobrowolną samokontrolę wraz z publicznym upokarzaniem winowajców.

 

Jako alternatywę dla formalnych ograniczeń komunikacji, środowiska profesjonalne i wpływowe persony, powinny promować dobrowolną samokontrolę jako obywatelski obowiązek. Ponieważ praktyka ta została już zaakceptowana wśród wielu naukowców, może ona zostać przeniesiona także na grunt innych dziedzin. Jako część tych działań, powinny zostać utworzone formalne kanały, za pomocą których obywatele mogliby powiadamiać rząd o braku zabezpieczeń oraz o innych informacjach poufnych bez wyjawiania ich szerszej publiczności. Równolegle do tej kampanii powinna odbywać się stygmatyzacja tych osób, które lekkomyślnie rozpowszechniały niejawne informacje. Pomocny takiej cenzurze byłby fakt, że wielu takich ludzi to nieciekawe persony, których pisarstwo zdradza intelektualną próżność. Społeczeństwo powinno wzbudzić wstyd w takich jednostkach, którym obecnie go brakuje.

 

Nie sądzę aby to zadziałało, a nawet nie wydaje mi się, by to było możliwe w tych międzynarodowych dniach i czasach, ale ciekawie jest przeczytać taką propozycję.

 

Ochrona informacji niejawnych: cnota samokontroli.

http://www.hsaj.org/?fullarticle=7.1.10

 

Więcej artykułów:

http://yro.slashdot.org/story/11/05/27/2324227/DoD-Paper-Proposes-National-Security-Through-a-Culture-of-Restraint-and-Stigmalub http://tinyurl.com/3vr9ckg

http://www.fas.org/blog/secrecy/2011/05/self-restraint.html

 

Atak „Man-in-the-Middle” (człowiek pośrodku – przyp.tłum.) na egzamin MCAT

 

W „Applied Cryptography” napisałem o „problemie szachowego arcymistrza” (ang. Chess Grandmaster Problem), w którym poruszyłem kwestię ataku „man-in-the-middle”. Zasadniczo chodzi o to, że Alice gra zdalnie w szachy z dwoma arcymistrzami. Gra z białym Arcymistrzem 1 i czarnym Arcymistrzem 2. Po standardowym otwarciu 1. e4, Alice zastępuje ruchy jednej gry ruchami z drugiej gry i przekonuje w trakcie gry obu z nich, że jest arcymistrzem.

 

Wykrywanie ataków typu „man-in-the-middle” jest trudne i wymaga takich narzędzi jak zsynchronizowane zegary, złożone protokoły kryptograficzne lub – bardziej praktycznych – osób nadzorujących. Osoby te mogą oczywiście zostać oszukane. Oto prawdziwa próba przeprowadzenia tego typu ataku na MCAT - test wstępny do szkół medycznych.

 

Policja przypuszcza, że Rezazadeh-Azar użył punktowej kamery oraz technologii bezprzewodowej w celu przesłania sfotografowanych pytań, na ekran komputerowy jego wspólnika, Rubena, z University of British Columbia. Zdaniem detektywów, Ruben następnie wrobił w odpowiadanie na te pytania trzech innych studentów, którzy byli przekonani o tym, że biorą udział w teście wielokrotnego wyboru do pracy na stanowisku tutora MCAT. Odpowiedzi były następnie ponownie przesłane na telefon Rezazadeh-Azar’a, który mógł w ten sposób kontynuować test w Victorii.

 

http://www.cbc.ca/news/canada/british-columbia/story/2011/05/31/bc-high-tech-mcat-scam.htmllub http://tinyurl.com/3fcmmu6

 

I tak długo jak jesteśmy przy temacie, możemy zastanawiać się nad wszystkimi możliwymi sposobami zhakowania systemów zdalnego nadzorowania egzaminów za pomocą kamery.

http://www.ao.uiuc.edu/support/source/student_services/proctoru_tech.html
lub http://tinyurl.com/3zlq8dl

 

 

Schneier News

16 czerwca w Waszyngtonie będę mówił o Komputerach, Wolności i Prywatności.

http://www.cfp.org/2011/wiki/index.php/Main_Page

 

Oprogramowanie Open-Source w niebezpieczeństwie

Na pierwszy rzut oka, zdaje się to być wyjątkowo beznadziejny sposób na rozpoczynanie artykułu: „Może wydawać się, że oprogramowanie open-source nie idzie w parze z ideą dużego cyber bezpieczeństwa, ale…”

 

Ale tak nie jest. Open source kojarzy się z ryzykiem odnośnie bezpieczeństwa. Dlaczego mielibyście chcieć, żeby źli faceci mieli możliwość zajrzenia do kodu źródłowego? Dowiedzą się jak on działa. Znajdą dziury. A w najgorszym wypadku, ślizgną się do kodu tylnymi drzwiami, kiedy nikt nie będzie patrzył.

 

Oczywiście, stwierdzenia te opierają się na błędnych założeniach, że słabe strony zabezpieczeń są łatwe do znalezienia, i że zastrzeżony kod źródłowy sprawi, że będą one trudne do wykrycia. I że poufność jest jakoś związana z bezpieczeństwem. Pisałem o tym wiele razy dawno temu i nie ma potrzeby ponownego przepisywania argumentów.

 

Musimy nadal pamiętać o powszechnej mądrości, zgodnie z którą poufność równa się bezpieczeństwu i o tym, że oprogramowanie open-source nie idzie w parze z ideą dużego cyber bezpieczeństwa.

 

http://www.innovationnewsdaily.com/cybersecurity-open-source-2014/

 

Ja o bezpieczeństwie open-source:

http://www.schneier.com/essay-056.html

http://www.schneier.com/crypto-gram-0205.html#1

http://www.schneier.com/crypto-gram-9909.html#OpenSourceandSecurity