Immusec
PL | EN
Aktualności, Newsletter

CRYPTO-GRAM (15.04.2014)

07.05.2014
|
IMMUSEC
Udostępnij:

W tym wydaniu:

Heartbleed

Heartbleed jest katastrofalnym błędem w OpenSSL:

„Heartbleed umożliwia każdemu użytkownikowi Internetu na odczytanie pamięci systemów chronionych przez wrażliwe wersje oprogramowania OpenSSL. Naraża to tajne klucze używane do identyfikacji usługodawców oraz szyfrowania ruchu, nazw i haseł użytkowników oraz treści. Dzięki temu napastnik może podsłuchiwać komunikację, kraść dane bezpośrednio z usług i od użytkowników, oraz podszywać się pod usługi i użytkowników.

Zasadniczo, atakujący może pobrać 64K pamięci z serwera. Atak nie pozostawia śladów i można przeprowadzić go kilka razy, za każdym razem pobierając inne, losowe 64K pamięci. Oznacza to, że cokolwiek znajdzie się w pamięci – klucze prywatne SSL, klucze użytkownika, cokolwiek – będzie zagrożone. I trzeba przyjąć, że wszystko to jest zagrożone. Wszystko.

„Katastrofalny” jest właściwym słowem. W skali od 1 do 10, daję 11.

Błąd został poprawiony. Po spatchowaniu systemów, trzeba uzyskać nową parę kluczy (publiczny i prywatny), zaktualizować certyfikat SSL, a następnie zmienić każde hasło, które potencjalnie mogło być zagrożone.

W tym momencie istnieje bardzo duże prawdopodobieństwo, że prywatne klucze każdego z celów zostały pozyskane przez wiele agencji wywiadowczych. Właściwe pytanie brzmi, czy ktoś celowo umieścił ten błąd w OpenSSL, dzięki czemu miał przez dwa lata nieograniczony dostęp do wszystkiego. Podejrzewam że był to przypadek, ale nie mam dowodów.

http://heartbleed.com/
http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/
lub http://tinyurl.com/ngcytay
https://news.ycombinator.com/item?id=7548991
https://xkcd.com/1353/
http://krebsonsecurity.com/2014/04/heartbleed-bug-what-can-you-do/
https://freedom-to-tinker.com/blog/felten/how-to-protect-yourself-from-heartbleed/
lub http://tinyurl.com/kqe4b5c
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
lub http://tinyurl.com/lhjr7zf
http://filippo.io/Heartbleed/

Więcej o Heartbleed na moim blogu:
https://www.schneier.com/blog/archives/2014/04/heartbleed.html
https://www.schneier.com/blog/archives/2014/04/more_on_heartbl.html

Siódmy Movie-Plot Threat Contest (Konkurs na najlepsze zagrożenie fabularne)

Jak można się było spodziewać, w tegorocznym konkursie czarnym charakterem jest NSA :

NSA wygrała, ale jak tego dokonała? Jak wykorzystywała swoją zdolność do prowadzenia wszechobecnego nadzoru, swoje potężne centra danych i swój potencjał w zakresie zaawansowanej analizy danych, aby znaleźć się na szczycie? Przejęła władzę jawnie, czy po prostu pociąga za sznurki za plecami każdego z nas? Czy musi zmuszać firmy do wbudowywania nadzoru w swoje produkty, czy może tylko wykorzystuje trendy rynkowe? Jak to możliwe, że daje sobie radę jednocześnie z liberalnymi demokracjami i bezwzględnymi dyktaturami totalitarnymi? Czy szantażuje Kongres? Jak przepływają pieniądze? Chcę poznać tę historię.

Właśnie o to chodzi: zagrożenie fabularne dotyczące NSA. (Dla tych, którzy nie wiedzą, zagrożenie fabularne to opowieść o przerażającym zagrożeniu, która byłaby wspaniałym filmem, ale jest zbyt specyficzna, by budować wokół niej politykę bezpieczeństwa). Nie chodzi o science fiction; tylko technologia z której korzystamy dzisiaj lub będziemy korzystać w niedługim czasie.

Wpisy są ograniczone do 500 słów i powinny być publikowane w komentarzach. W ciągu miesiąca wybiorę kilku półfinalistów, na których wszyscy będziemy głosować by wybrać zwycięzcę.

Nagroda będzie czymś namacalnym, ale głównie chodzi o uznanie ludzi o podobnych zainteresowaniach.

Powodzenia.

Swoje wpisy umieszczajcie tutaj:
https://www.schneier.com/blog/archives/2014/04/seventh_movie-p.html

MYSTIC: Program gromadzenia rozmów telefonicznych NSA

The Washington Post donosi o programie NSA o nazwie MYSTIC, który zbiera wszystko – mam tu na myśli 100% – z rozmów telefonicznych w danym kraju. Połączenia te są przechowywane w bazie danych o nazwie kodowej NUCLEON i mogą być pobierane w późniejszym czasie za pomocą narzędzia o nazwie kodowej RETRO. Chodzi tu o głos, nie metadane.

Najciekawszy tutaj nie jest konkretny kraj, którego dane są gromadzone; tej informacji nie podano w artykule. Nie jest to nawet fakt, że dane głosowe są przechowywane przez miesiąc, a następnie usuwane. Wszystko to może się zmienić, albo ze względu na kaprys NSA albo dzięki zwiększeniu możliwości przechowywania. Ciekawe jest to, że istnieje możliwość zgromadzenia 100% połączeń telefonicznych z danego kraju oraz to, że istnieją gotowe narzędzia analityczne, służące do przeszukiwania tych połączeń.

http://www.washingtonpost.com/world/national-security/nsa-surveillance-program-reaches-into-the-past-to-retrieve-replay-phone-calls/2014/03/18/226d2646-ade9-11e3-a49e-76adc9210f19_story.html
lub http://tinyurl.com/oabggpm

News

Oprogramowanie automatycznego rozpoznawania twarzy staje się coraz lepsze:
http://www.technologyreview.com/news/525586/facebook-creates-software-that-matches-faces-almost-as-well-as-you-do/
lub http://tinyurl.com/ogkjqpq

Ross Anderson relacjonował na żywo na swoim blogu Financial Cryptography 2014. Ciekawe rzeczy.
http://www.lightbluetouchpaper.org/2014/03/03/financial-cryptography-2014/
lub http://tinyurl.com/ocrbr4j

Zarówno Der Spiegel, jak i New York Times donoszą, że NSA dość intensywnie hackowała Huawei , uzyskując kopie kodu źródłowego produktów firmy i dostęp do większości firmowych e-maili. Oprócz tego, że jest to dość ciekawa historia o możliwościach operacyjnych NSA, pokazuje ona także dość rażącą hipokryzję rządu USA w tej sprawie. Jak były urzędnik administracji Busha ( i mój przyjaciel ) Jack Goldsmith pisze : „Rewelacje dotyczące Huawei stanowią druzgocącą odpowiedź na obłudne amerykańskie skargi dotyczące chińskiej penetracji sieci w USA , natomiast mające pomóc konkurencyjności firm amerykańskich protesty USG dotyczące kradzieży własności intelektualnej, wydają się egoistycznym dzieleniem włosa na czworo”. (Pisałem o tych kwestiach wiele razy i nie będę tu tego powtarzał) „Ironią jest to, że ich działania wobec nas są dokładnie ty samym, o co zawsze oskarżali Chińczyków, że robią z naszą pomocą” mówi członek zarządu Huawei. „Co nie znaczy, że Chińczycy nie wykorzystują sprzętu Huawei przeciwko zagranicznym sieciom; bo robią tak niemal na pewno”.
http://www.spiegel.de/international/world/nsa-spied-on-chinese-government-and-networking-firm-huawei-a-960199.html
lub http://tinyurl.com/oapwscp
http://www.nytimes.com/2014/03/23/world/asia/nsa-breached-chinese-servers-seen-as-spy-peril.html
lub http://tinyurl.com/q4fgl64
http://www.lawfareblog.com/2014/03/the-nyt-on-nsas-huawei-penetration/
lub http://tinyurl.com/ol5opk5

Ogłoszono prywatny konkurs mający na celu identyfikację nowych schematów hashowania haseł. Termin zgłoszeń upływa z końcem miesiąca.
https://password-hashing.net/

Szyfr chilijskiego handlarza narkotyków.
http://www.insightcrime.org/news-briefs/police-convict-chile-drug-trafficker-after-discovering-secret-code
lub http://tinyurl.com/llzqdru

Interesujące badania dotyczące ustalania lokalizacji miejsca pobytu użytkowników Twittera na podstawie podobnych tweetów innych użytkowników.
http://arstechnica.com/business/2014/03/lack-of-twitter-geotags-cant-stop-researchers-from-getting-location/
lub http://tinyurl.com/nbuttgz
http://arxiv.org/ftp/arxiv/papers/1403/1403.2345.pdf

Badania pokazują, że ludzie inteligentni są bardziej ufni.
http://www.theatlantic.com/health/archive/2014/03/study-smarter-people-are-more-trusting/284520/
lub http://tinyurl.com/mh5o6zw
http://www.plosone.org/article/info%3Adoi%2F10.1371%2Fjournal.pone.0091786
lub http://tinyurl.com/mabjmy7

Tworzenie profili kryminalistycznych w oparciu o DNA.
http://www.newscientist.com/article/mg22129613.600-genetic-mugshot-recreates-faces-from-nothing-but-dna.html#.Uy0ggvldV8E
lub http://tinyurl.com/lufhv55
http://www.plosgenetics.org/doi/pgen.1004224

Masowy nadzór poprzez podsłuchiwanie ciasteczek internetowych.
http://randomwalker.info/publications/cookie-surveillance.pdf
https://freedom-to-tinker.com/blog/dreisman/cookies-that-give-you-away-the-surveillance-implications-of-web-tracking/
lub http://tinyurl.com/mvbj3gm

Pięciolatek odkrywa lukę w logowaniu do Xboxa Microsoftu.
http://www.bbc.com/news/technology-26879185

Tytuł jest prowokacyjny: „Biologia człowieka inspiruje szyfrowanie ‘nie do złamania’”. Jest mało prawdopodobne, aby było bezpieczne.
http://www.gizmag.com/human-biology-unbreakable-encryption/31504/
http://phys.org/news/2014-04-unbreakable-codes-nature.html
http://journals.aps.org/prx/pdf/10.1103/PhysRevX.4.011026
Regularnie, co jakiś czas, pojawia się ktoś spoza środowiska kryptograficznego – kto nie ma pojęcia, jak kryptologia działa – i mówi: „Hej, mogę rozwiązać ich problemy”. Niezmiennie polega to na stworzeniu jakiegoś banalnego schematu szyfrowania, ponieważ lepszych nie znają. Pamiętaj: każdy może stworzyć kryptosystem, którego on sam nie będzie potrafił złamać. I ta rada z przed 15 lat, jest nadal aktualna.
https://www.schneier.com/crypto-gram-9810.html#cipherdesign

Policja blokuje swoje własne rejestratory głosu.
http://arstechnica.com/tech-policy/2014/04/lapd-officers-monkey-wrenched-cop-monitoring-gear-in-patrol-cars/
lub http://tinyurl.com/m53z4au
http://www.latimes.com/local/la-me-lapd-tamper-20140408,0,7666331.story
lub http://tinyurl.com/nec2h9f
Nadzór władzy jest jednym z najważniejszych sposobów zapewnienia, że władza nie nadużywa swojej pozycji. Ale, oczywiście, władza nie lubi być obserwowana.

Matthew Green przeprowadził ostatnio niezależny projekt mający na celu audyt TrueCrypta. Faza I, audyt kodu źródłowego przez ISec Partners, jest już zakończona.
Następna będzie Faza II, formalna kryptoanaliza. Szybkie podsumowanie: wciąż go używam.
http://istruecryptauditedyet.com/
https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Nieprzerwane publiczno – prywatne partnerstwo nadzoru

Jeśli prześledzić ostatnie wiadomości, można by pomyśleć, że korporacyjna Ameryka robi wszystko, by udaremnić nadzór NSA.

Google właśnie ogłosił, że szyfruje Gmaila podczas korzystania z niego za pomocą komputera lub telefonu, i pomiędzy centrami danych. W zeszłym tygodniu, Mark Zuckerberg osobiście zadzwonił prezydenta Obamę ze skargą na wykorzystywanie przez NSA Facebooka jako sposobu na hackowanie komputerów a dyrektor ds. bezpieczeństwa Facebooka wyjaśnił dziennikarzom, że technika ataku nie działa już od zeszłego lata. Yahoo, Google, Microsoft, i inni publikują teraz regularnie „raporty przejrzystości”, w których podaje w przybliżeniu liczbę rządowych wniosków o udostepnienie danych, jakie firmy otrzymały i które spełniły.

Jeśli chodzi o stronę rządową, to w ubiegłym tygodniu Rajesh De, radca prawny NSA, sprawiał wrażenie, że wpycha te spółki pod nadjeżdżający autobus, stwierdzając, że – mimo ich zaprzeczeń – wszystkie wiedziały wszystko o zbieraniu danych przez NSA, zarówno w ramach programu PRISM oraz kilku nienazwanych przypadków „upstreamowego” gromadzenia dotyczącego połączeń komunikacyjnych.

Tak, może się wydawać, że publiczno-prywatne partnerstwo nadzoru zaczyna rozłazić się w szwach – ale, niestety, wciąż żyje i ma się dobrze. Główne cele potężnych firm internetowych i agencji rządowych nadal w dużym stopniu pokrywają się: chodzi o utrzymanie nas wszystkich pod stałym nadzorem. Kiedy się kłócą, to tak naprawdę jest to odtwarzanie ról mające na celu zmęczenie nas śledzeniem o co tak naprawdę chodzi.

Środowisko wywiadowcze USA nadal gra z nami w gry słowne. NSA zbiera nasze dane na podstawie czterech różnych narzędzi prawnych: Foreign Intelligence Surveillance Act (FISA) z 1978 roku, Rozkazu wykonawczego nr 12333 z 1981 roku i modyfikowanego w 2004 r. i 2008 r., Sekcji 215 Patriot Act z 2001 r. i Sekcji 702 Ustawy wprowadzającej zmiany w FISA (FISA Amendments Act) z 2008. Bądźcie ostrożni, gdy ktoś z wywiadu używa zastrzeżenia „nie w ramach tego programu” lub „nie w ramach tych uprawnień”; prawie na pewno oznacza to, że cokolwiek to jest, to czemu zaprzeczają odbywa się w ramach innego programu lub uprawnień. Oznacza to, że kiedy De powiedział, że spółki wiedziały o gromadzeniu danych przez NSA w oparciu o Sekcję 702, to nie znaczy, że wiedziały o innych programach gromadzenia.

Duże firmy internetowe wiedzą o PRISM – jednak nie pod tym kryptonimem – Bo tak właśnie program działa; NSA dostarcza im nakazy FISA. Te same firmy nie wiedziały o jakiejkolwiek inwigilacji ich użytkowników prowadzonej na podstawie znacznie bardziej liberalnego EO 12333 (Executive Order – rozkaz wykonawczy). Google i Yahoo nie wiedziały o MUSCULAR, tajnym programie NSA umożliwiającym podsłuchiwanie magistral między ich centrami danych. Facebook nie wiedział o QUANTUMHAND, tajnym programie NSA służącym do atakowania użytkowników Facebooka. I żadne z przedsiębiorstw docelowych nie wiedziało, że NSA pozyskiwała książki adresowe i listy przyjaciół ich użytkowników.

Firmy te z pewnością są wkurzone z powodu rozgłosu wokół działań NSA, który podważa zaufanie ich użytkowników do ich usług, przez co tracą z tego powodu pieniądze. Cisco, IBM, dostawcy usług cloud, i inni, ogłosili, że tracą miliardy, głównie ze sprzedaży zagranicznej.

Firmy te starają się przekonać użytkowników, że ich dane są bezpieczne. Ale opierają się na tym, że ich użytkownicy nie rozumieją jak wygląda prawdziwe bezpieczeństwo. List do klientów IBM z zeszłego tygodnia jest doskonałym tego przykładem. List wymienia pięć „podstawowych faktów”, które mają zadanie ułagodzić klientów, ale ich przedmiot jest tak obłożony wyspecyfikowanymi zastrzeżeniami, że odnoszą dokładnie odwrotny skutek dla każdego, kto rozumie pełen zakres nadzoru NSA. Do tego fakt, że IBM przeznacza 1.2Bln $ na centra danych położone poza terytorium USA uspokoi jedynie tych klientów, którzy nie zdają sobie sprawy, że Krajowe Listy Bezpieczeństwa wymagają, aby spółka udostępniała dane, niezależnie od tego, w jakim miejscu na świecie są przechowywane.

Ostatnie działania Google’a i podobne akcje wielu firm internetowych zdecydowanie poprawią zabezpieczenie użytkowników przed potajemnymi rządowymi programami gromadzenia danych – zarówno NSA i innych rządów – ale ich zapewnienia świadomie ignorują ogromne luki w zabezpieczeniach wbudowanych w ich usługi podczas projektowania. Google, a co za tym idzie rząd USA, nadal ma dostęp do komunikacji na serwerach Google’a.

Google może to zmienić. Mógłby zacząć szyfrować wasze wiadomości e-mail, tak, byście tylko wy byli w stanie je odszyfrować i przeczytać. Mógłby zapewnić zabezpieczenie głosu i wideo, tak by nikt z zewnątrz nie mógł podsłuchiwać rozmów.

Ale tak nie robi. Podobnie jak Microsoft, Facebook, Yahoo, Apple, czy ktokolwiek z pozostałych.

Dlaczego nie? Częściowo dlatego, że chcą zachować możliwość podsłuchiwania rozmów. Inwigilacja jest wciąż modelem biznesowym Internetu, a każda z tych firm chce mieć dostęp do waszej komunikacji i metadanych. Twoje prywatne przemyślenia i rozmowy są produktem, który sprzedają potem swoim klientom. Dowiedzieliśmy się również, że odczytywanie wiadomości e-mail służy im do swoich własnych wewnętrznych badań.

Nawet jeśli nie byłoby to prawdą, nawet jeśli – na przykład – Google byłby gotowy zrezygnować z data miningu waszych e-maili i rozmów wideo w zamian za przewagę marketingową jaką uzyskałby nad Microsoftem, to wciąż nie zaoferuje wam prawdziwego bezpieczeństwa. Nie może.

Największe firmy internetowe nie oferują prawdziwego bezpieczeństwa, ponieważ rząd USA na to nie pozwoli.

To nie paranoja. Wiemy, że rząd USA nakazał firmie Lavabit ,dostawcy usług bezpiecznej poczty e-mail, aby ujawniła klucze główne i naraziła każdego spośród swoich użytkowników. Wiemy, że rząd USA przekonał Microsoft – nieważne, czy to dzięki przekupstwu, przymusowi, groźbom czy przymusowi prawnemu – do zmiany sposobu działania Skype’a, aby podsłuch stał się łatwiejszy.

Nie wiemy, w jaki sposób rząd USA wywiera presję na Google i innych. Nie wiemy, jakie tajne umowy spółki te zawarły z NSA. Wiemy, że Bullrun, program NSA mający na celu osłabienie kryptografii w Internecie, powiódł w odniesieniu do wielu popularnych protokołów. Czy NSA zażądał kluczy od Google’a, jak to miało miejsce w przypadku Lavabit? Czy też grupa Tailored Access Operations (Operacje dostępu dedykowanego – grupa NSA) włamała się do serwerów Google i ukradła klucze?

Po prostu nie wiemy.

Najlepsze co mamy to obwarowane zastrzeżeniami pseudo-zapewnienia. Na początku miesiąca, podczas SXSW, dyrektor generalny Eric Schmidt próbował przekonać publiczność mówiąc, że jest „całkiem pewien, że informacje, w których posiadaniu jest Google są teraz zabezpieczone przed wścibskimi oczami jakiegokolwiek rządu.” Bardziej dokładnym stwierdzeniem byłoby, „Twoje dane są zabezpieczone przed rządami, z wyjątkiem sposobów dostępu, których nie znamy i takich, o których nie możemy wam powiedzieć. I, oczywiście, wciąż mamy pełny dostęp do wszystkich informacji, i możemy je sprzedać komu chcemy i tak zrobimy”. To dość kiepska oferta, ale tak długo jak NSA będzie mogła działać za pomocą tajnych nakazów sądowych opartych na tajnych interpretacjach tajnego prawa, nie ulegnie zmianie.

Google, Facebook, Microsoft i inni są już na cenzurowanym jako wspierający te zmiany legislacyjne. Byłoby lepiej, gdyby otwarcie poinformowali o braku bezpieczeństwa swoich użytkowników i gdyby zwiększyli swoją presję na rząd aby wprowadził zmiany, a nie starali się oszukać swoich klientów i użytkowników.

Esej ten pojawił się wcześniej na TheAtlantic.com.
http://www.theatlantic.com/technology/archive/2014/03/don-t-listen-to-google-and-facebook-the-public-private-surveillance-partnership-is-still-going-strong/284612/
lub http://tinyurl.com/knrtk7u

Ogłoszenie Google’a:
http://www.theverge.com/2014/3/20/5530072/google-encrypts-gmail-between-data-centers-to-keep-out-nsa
lub http://tinyurl.com/l9ajp62

Facebook:
http://www.wired.com/wiredenterprise/2014/03/zuck-gets-nsa-love-bff-obama/
lub http://tinyurl.com/ku89hkk
http://www.wired.com/wiredenterprise/2014/03/facebook-security/

Raporty przejrzystości:
http://www.theguardian.com/world/2014/feb/03/microsoft-facebook-google-yahoo-fisa-surveillance-requests
lub http://tinyurl.com/p9nul7p

Komentarz Rajesha De:
http://www.theguardian.com/world/2014/mar/19/us-tech-giants-knew-nsa-data-collection-rajesh-de
lub http://tinyurl.com/pbs3elm

Publiczno – prywatne partnerstwo nadzoru:
https://www.schneier.com/blog/archives/2013/08/the_publicpriva_1.html lub
http://tinyurl.com/lew37no

Gierki słowne NSA:
https://www.eff.org/nsa-spying/wordgames

Liberalizm EO 12333:
https://www.eff.org/deeplinks/2013/10/three-leaks-three-weeks-and-what-weve-learned-about-governments-other-spying
lub http://tinyurl.com/p2alaxw

MUSCULAR:
http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html
lub http://tinyurl.com/jwzxh77

QUANTUMHAND:
http://www.fastcompany.com/3027612/nsa-and-british-intelligence-impersonating-facebook-hijacking-adbots-to-infect-millions-of-c
lub http://tinyurl.com/no9ooqq

NSA pozyskuje książki adresowe i listy przyjaciół:
http://www.washingtonpost.com/world/national-security/nsa-collects-millions-of-e-mail-address-books-globally/2013/10/14/8e58b5be-34f9-11e3-80c6-7e6dd8d22d8f_story.html
lub http://tinyurl.com/kn8ld96

Na skutek działań NSA firmy tracą pieniądze:
http://www.nytimes.com/2014/03/22/business/fallout-from-snowden-hurting-bottom-line-of-tech-companies.html
lub http://tinyurl.com/o2775xf
http://www.businessweek.com/articles/2014-02-13/nsa-snooping-backlash-could-cost-u-dot-s-dot-tech-companies-billions
lub http://tinyurl.com/nx6ltnm
http://qz.com/147313/ciscos-disastrous-quarter-shows-how-nsa-spying-could-freeze-us-companies-out-of-a-trillion-dollar-opportunity/
lub http://tinyurl.com/on2hmft
http://www.businessweek.com/articles/2013-12-13/ibm-shareholder-sues-company-over-nsa-cooperation
lub http://tinyurl.com/o2d8fxm
http://blogs.wsj.com/cio/2013/08/06/the-morning-download-cloud-industry-could-lose-billions-on-nsa-disclosures/
lub http://tinyurl.com/q4zdn62

IBM:
http://asmarterplanet.com/blog/2014/03/open-letter-data.html
https://www.schneier.com/blog/archives/2014/03/an_open_letter_.html
http://www.networkcomputing.com/next-generation-data-center/news/servers/ibm-spends-12-billion-on-new-cloud-dat/240165593
lub http://tinyurl.com/obqr4n9

Firmy zabezpieczają swoich użytkowników:
https://www.eff.org/deeplinks/2013/11/encrypt-web-report-whos-doing-what
lub http://tinyurl.com/l35z8tg

Nadzór jest modelem biznesowym Internetu:
https://www.schneier.com/blog/archives/2013/11/surveillance_as_1.html lub
http://tinyurl.com/odm425e

Wartość metadanych:
https://www.schneier.com/blog/archives/2014/03/metadata_survei.html

NSA i Lavabit:
https://www.schneier.com/blog/archives/2013/08/more_on_the_nsa.html

NSA i Microsoft Skype:
https://www.schneier.com/blog/archives/2013/06/new_details_on.html

BULLRUN:
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
lub http://tinyurl.com/m47p5dc
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
lub http://tinyurl.com/m47p5dc

Tailored Access Operations:
https://www.schneier.com/blog/archives/2013/12/more_about_the.html

Komentarz Erica Schmidt’a:
http://thenextweb.com/google/2014/03/07/google-pretty-sure-protected-government-spying-eric-schmidt-says/
lub http://tinyurl.com/klqs4ru

Firmy oznaczone jako sprzeciwiające się inwigilacji NSA:
https://www.reformgovernmentsurveillance.com

Nowa książka o danych i władzy

Piszę nową książkę, tytuł roboczy to „Data and power” („Dane i władza”).

Podczas, gdy jest oczywistym, że rozprzestrzenianie danych wpływa na władzę, to mniej jasne jest, w jaki sposób tak się dzieje. Korporacje zbierają ogromne dossier o naszych działaniach on- i off-line – początkowo w celu spersonalizowania działań marketingowych, ale coraz częściej ma to na celu kontrolowanie relacji ich klientów. Rządy używają inwigilacji, cenzury i propagandy – zarówno aby nas chronić przed zagrożeniami, jak i chronić swoją własną potęgę. Rozproszone grupy – motywowani społecznie hakerzy, dysydenci polityczni, przestępcy, grupy mające wspólny cel – korzystają z Internetu w równym stopniu do organizowania i wpływu na zmiany. My sami, jako poszczególne osoby, również stajemy się zarówno bardziej i mniej silni. Nie możemy uniknąć inwigilacji, ale możemy publikować filmiki z okrucieństwem Policji w Internecie, omijając cenzurę i informując świat. Nie jest jasne jak długo będziemy jeszcze mieli takie możliwości.

Zrozumienie tych trendów wymaga rozumienia danych. Dane są generowane przez wszystkich procesy obliczeniowe. Większość z nich była usuwana, ale ze względu na spadki kosztów zarówno przechowywania, jak i przetwarzania, coraz więcej z nich jest teraz zapisywanych i używanych. Kto zapisuje dane, i jak ich używa, jest sprawą niezmiernej wagi i będzie taką nadal w nadchodzących dziesięcioleciach.

„Data and Power” bada te trendy, a nawet więcej. Książka zajmuje się rozprzestrzenianiem i dostępnością danych, i jak to umożliwiło stałą inwigilację całego naszego społeczeństwa. Sprawdza, jak rządy i korporacje używają danych pochodzących z inwigilacji, a także jak kontrolują dane na potrzeby cenzury i propagandy. Następnie książka odkrywa, jak dane przyniosły korzyści poszczególnym osobom i mniej tradycyjnym blokom władzy, oraz jak zależności pomiędzy wszystkimi rodzajami władzy będą rozwijać się w przyszłości. Omawia techniczne środki kontroli władzy i ich ograniczenia. I wreszcie, książka opisuje rozwiązania, które pozwolą zrównoważyć władzę w przyszłości – zarówno ogólne zasady dla społeczeństwa jako całości, jak i określone zmian w technologiach, biznesie, prawie i normach społecznych w najbliższej przyszłości.

Istnieje pewien fundamentalny kompromis, jaki musimy zawrzeć jako społeczeństwo. Nasze dane są niezwykle cenne jako całość, z drugiej strony są bardzo osobiste. Posiadający władzę nadal będą pożądać ogółu danych, z drugiej strony my musimy chronić intymne szczegóły. Zrównoważenie tych dwóch sprzecznych wartości jest trudne, bez różnicy, czy chodzi o dane medyczne, dane o lokalizacji, dane wyszukiwania w Internecie lub metadane telefoniczne. Ale ich zrównoważenie jest tym, co społeczeństwo musi zrobić, i jest prawie na pewno podstawowym problemem Ery Informacyjnej.

Jak powiedziałem, „Data and Power” jest tylko tytuł roboczym. Za sugestie lepszego – czy tytułu, czy podtytułu – będę wdzięczny. Oto kilka pomysłów, żeby was wprowadzić:

* Data and Power: The Political Science of Information Security (Dane i władza: Polityczna nauka bezpieczeństwa informacji)
* The Feudal Internet: How Data Affects Power and How Power Affects Data (Internet feudalny: Jak dane wpływają na władzę i jak władza wpływa na dane)
* Our Data Shadow: The Battles for Power in the Information Society (Nasz cyfrowy cień: Wojny o władzę w społeczeństwie informatycznym)
* Data.Power: The Political Science of Information Security (Dane.Władza: Polityczna nauka bezpieczeństwa informacji)
* Data and Power in the Information Age (Dane i władza w Epoce Informacji)
* Data and Goliath: The Balance of Power in the Information Age (Dane i Goliat: Równowaga sił w Epoce Informacji)
* The Power of Data: How the Information Society Upsets Power Balances (Potęga danych: Jak społeczeństwo informacyjne zakłóca równowagę sił)

Mam zamiar ukończyć rękopis do końca października, aby oddać go do publikacji w lutym 2015 roku. Wydawcą będzie Norton. Opublikuję spis treści w ciągu kilku miesięcy. I, podobnie jak w przypadku moich poprzednich książek, będę szukał ochotników aby przeczytali i skomentowali wersję wstępną.

Jak pewnie zauważyliście nie publikuję już tak wielu wpisów, czy nie piszę tak wielu esejów, to jest właśnie to, co robię zamiast tego.

https://www.schneier.com/blog/archives/2014/03/new_book_on_dat.html

Schneier News

15 kwietnia przemawiam w Stanford Law School:
https://cyberlaw.stanford.edu/events/nsa-surveillance-and-what-do-about-it-evening-talk-bruce-schneier
lub http://tinyurl.com/najlnee

24 kwietnia dwukrotnie wygłoszę wykład na Brown University w Providence, RI:
http://cs.brown.edu/events/talks/schneier.2.html
http://watson.brown.edu/events/2014/bruce-schneier-internet-security-and-power
lub http://tinyurl.com/qxghljp

7 maja przemawiam na Global Summit for Leaders in Information Technology (Globalny Szczyt Liderów IT) w Waszyngtonie.
http://www.bentley.com/summit

8 maja przemawiam w Institute of World Politics (Instytucie Polityki Światowej).
http://www.iwp.edu/events/detail/data-and-goliath-how-the-internet-affects-power-and-how-power-affects-the-internet
lub http://tinyurl.com/p8j7vfj

21 maja przemawiam na Uniwersytecie w Zurychu:
http://www.eiz.uzh.ch/weiterbildungen-und-veranstaltungen-des-eiz/veranstaltungsdetails/?L=1&tx_seminars_pi1[showUid]=251
lub http://tinyurl.com/oxtjtl2

22 maja mam wykład na IT Security Inside w Zurychu:
http://www.avantec.ch/ueber-avantec/inside.html

28 maja przemawiam na University of Oregon w Eugene, a następnie 29 maja w Portland:
http://ohc.uoregon.edu/vulnerable.html

Poniżej lista artykułów o mnie z ostatniego miesiąca.
http://www.politico.com/magazine/story/2014/03/bruce-schneier-glenn-greenwald-encryption-104705.html
lub http://tinyurl.com/qznghj5
http://www.makeuseof.com/tag/secuity-expert-bruce-schneier-passwords-privacy-trust/
lub http://tinyurl.com/otrulpx
http://www.securityweek.com/surveillance-business-model-internet-bruce-schneier
lub http://tinyurl.com/qbqbned
http://threatpost.com/bruce-schneier-technology-magnifies-power-in-surveillance-era/105365
lub http://threatpost.com/bruce-schneier-technology-magnifies-power-in-surveillance-era/105365
http://www.csoonline.com/article/2141880/data-protection/schneier-internet-has-delivered-a-golden-age-of-surveillance.html
lub http://tinyurl.com/p9xyh62

Tutaj macie moje nagrania audio/wideo:
http://www.2ser.com/component/k2/item/7920-nsa-encryption
http://trustedsoftwarealliance.com/2014/04/09/bruce-schneier-talks-about-the-shift-of-power-on-the-internet-audio-interview/
lub http://tinyurl.com/ozpmmfu
http://occupythemedia.podomatic.com/entry/2014-04-09T00_26_08-07_00
http://www.lawfareblog.com/2014/04/lawfare-podcast-episode-70-bruce-schneier-on-technology-and-privacy/
lub http://tinyurl.com/o8m5wdk
https://www.youtube.com/watch?v=2dtsX5BdOKU&feature=youtu.be

List otwarty w odpowiedzi na list otwarty IBM

W zeszłym tygodniu, IBM opublikował „list otwarty” dotyczący „rządowego dostępu do danych”, w którym próbował zapewnić swych klientów, że nie udostępnia wszystkiego NSA. Niestety, list (cytowany poniżej) pozostawia więcej pytań niż odpowiedzi.

“Na początku, myślimy, że dla IBM istotne jest wyraźne stwierdzenie kilku prostych faktów:

* IBM nie dostarczał danych klientów Agencji Bezpieczeństwa Narodowego (NSA) lub innej agencji rządowej w ramach programu znanego jako PRISM.

* IBM nie dostarczał danych klientów NSA lub innym agencjom rządowym w ramach jakiegokolwiek programu inwigilacji obejmującemu masowe zbieranie treści lub metadanych.

* IBM nie dostarczał rządowi USA danych klientów przechowywanych poza granicami Stanów Zjednoczonych w ramach nakazu wynikającego z bezpieczeństwa krajowego, takiego jak nakaz FISA lub List Bezpieczeństwa Narodowego.

* IBM nie umieszcza „backdoorów” w swoich produktach dla NSA lub innej agencji rządowej, ani nie dostarcza kodu źródłowego oprogramowania lub kluczy szyfrujących NSA lub jakiejkolwiek innej agencji rządowej w celu uzyskania przez nie dostępu do danych klientów IBM.

* IBM działał i nadal będzie działał w zgodzie z lokalnymi przepisami, w tym przepisami prawa o ochronie danych osobowych, we wszystkich krajach, w których działa.”

Moje pytania do powyższych stwierdzeń:

* My doskonale wiemy, że nie dostarczaliście danych NSA w ramach PRISM. Dla was miał on inną nazwę. Nawet radca prawny NSA powiedział: ” PRISM był wewnętrznym rządowym terminem, który w wyniku przecieku został upubliczniony”. W ramach jakiego programu * dostarczaliście * dane NSA?

* Wydaje się raczej oczywiste, że nie dostarczaliście NSA żadnych danych w ramach programu masowego zbierania danych inwigilacyjnych. Nie jesteście Google; nie macie takiej ilości danych. Więc po co to zastrzeżenie? I znowu, w ramach jakiego program * dostarczaliście * dane NSA?

* W porządku, więc stwierdzacie, że nie dostarczyliście żadnych danych przechowywanych poza USA do NSA na podstawie nakazu związanego z bezpieczeństwem narodowym. Skoro nakazy związane z bezpieczeństwem narodowym zakazują wam ujawnienia ich istnienia, co innego moglibyście powiedzieć, gdybyście taki dostali? A jeśli nawet uwierzymy w to dziwne stwierdzenie, implikuje ono dwa pytania. Dlaczego nie mówicie wprost o danych przechowywanych na terenie USA? I dlaczego nie mówicie, w szczególności, o udostępnianiu danych na podstawie nakazu innego rodzaju?

* Oczywiście, że nie udostępniacie kodu źródłowego w celu uzyskania dostępu do danych klienta przez NSA. NSA nie będzie wam mówić po co jej potrzebny kod źródłowy. Więc w jakim celu* udostępnialiście * swój kod źródłowy rządowi? Aby dostać kontrakt? Dla wymogów audytu? Po co?

* Tak, wiemy, że musicie przestrzegać wszystkich przepisów prawa, w tym przepisów w USA. Dlatego wam nie ufamy – aktualne tajne interpretacje prawa USA wymagają od was, aby oszukiwać swoich klientów. Naprawdę wolałbym abyście to po prostu powiedzieli i pracowali nad zmianą tych przepisów, niż żebyście udawali, że możecie nas przekonać, że jest dokładnie odwrotnie.

Jeszcze jedno. New York Times donosi w swoim artykule, że wydajecie „ponad miliard dolarów na budowę centrów danych za granicą, aby zapewnić klientów zagranicznych, że ich informacje są bezpieczne przed wścibskimi oczami w rządzie Stanów Zjednoczonych.” Czy nie wiecie, że Krajowe Listy Bezpieczeństwa wymagają ujawnienia żądanych danych, niezależnie w jakim miejscu na świecie są przechowywane? Czy po prostu macie nadzieję, że klienci nic nie zauważą?

http://asmarterplanet.com/blog/2014/03/open-letter-data.html

Artykuł NY Times:
http://www.nytimes.com/2014/03/22/business/fallout-from-snowden-hurting-bottom-line-of-tech-companies.html
lub http://tinyurl.com/o2775xf

Aplikacje efemeryczne

Komunikatory efemeryczne, takie jak: Snapchat, Wickr i Frankly, które reklamują się, że wasze zdjęcie, wiadomość czy aktualizacja będzie dostępna tylko przez krótki okres czasu, rosną w siłę. Snapchat i Frankly, na przykład, twierdzą że trwale usuwają wiadomości, zdjęcia i filmy po 10 sekundach. Po upływie tego czasu nic nie zostaje.

Pojęcie to jest szczególnie popularne wśród młodych ludzi, a aplikacje te są antidotum na strony takie jak Facebook, gdzie wszystko co umieścicie pozostaje wiecznie chyba, że usuniecie to – a samo usunięcie nie daje gwarancji, że nie jest wciąż dostępne.

Aplikacje te są pierwszą zbiorową akcją przeciwko trwałości rozmowy internetowej. Utrata ulotności rozmowy rozpoczęła się, gdy komputery zaczęły pośredniczyć w naszej komunikacji. Komputery w sposób naturalny produkują zapisy połączeń, które to dane często były zapisywane i archiwizowane.

Potężni i sławni – od Olivera Northa jeszcze w 1987 roku, po Anthony’ego Weiner’a w 2011 roku – byli obalani przez e-maile, teksty, wpisy i posty, o których myśleli, ze są prywatne. Wielu z nas dotknęło osobiste zakłopotanie wynikające z rzeczy, które zostały powiedziane przez to, że zostały zapisane na zbyt długi czas lub zbyt szeroko rozpowszechnione.

Ludzie-zareagowali na ten stały charakter komunikacji internetowej w sposób doraźny. Usunęliśmy nasze wypociny wszędzie, gdzie się dało i poprosiliśmy innych o nieprzekazywanie dalej tego, co napisaliśmy bez naszego pozwolenia. „Szorowanie muru” jest terminem używanym do opisania usuwania postów z Facebooka.

Socjolog Danah Boyd opisała nastolatków systematycznie usuwających każdy post na Facebooku wkrótce po tym jak go tam umieszczą. Aplikacje takie jak Wickr tylko automatyzują ten proces. I okazuje się, że jest na to ogromne zapotrzebowanie.

Rozmowę ulotną łatwo jest obiecać, ale trudno dobrze to zrealizować. W 2013 roku badacze odkryli, że Snapchat nie usuwał obrazów, tak jak w reklamie; a jedynie tak zmieniał ich nazwy żeby nie były łatwo zauważalne. To, czy stanowi to problem dla użytkowników, zależy od tego jak technicznie doświadczeni będą ich przeciwnicy, ale ilustruje to trudność sprawienia by błyskawiczne wymazywanie rzeczywiście działało.

Problem jest taki, że te nowe „ulotne” rozmowy nie są tak naprawdę ulotne w sposób w jaki byłaby nierejestrowana rozmowa twarzą w twarz. Nie są tak efemeryczne, jak była kiedyś konwersacja podczas spaceru w opuszczonym lesie jeszcze przed wynalezieniem telefonów komórkowych i odbiorników GPS.

W najlepszym przypadku, dane są zapisywane, używane, zachowywane i dopiero wtedy rozmyślnie usuwane. W najgorszym wypadku ulotny charakter jest sfałszowany. Podczas gdy aplikacje sprawiają, że wiadomości, teksty i komunikaty są szybko niedostępne dla użytkowników, prawdopodobnie nie usuwają ich ze swojego systemu od razu. Z pewnością nie usuwają ich z ich kopii zapasowych, jeśli akurat tam trafią.

Firmy oferujące takie aplikacje mogą równie dobrze analizować ich treść i udostępniać tą informację reklamodawcom. Nie wiemy, jak dużo metadanych jest zapisywane. W Snapchat, użytkownicy mogą zobaczyć metadane nawet jeśli nie widzą zawartości, i nie wiedzą do czego są używane. A jeśli rząd zażądałby kopii tych rozmów – czy to w ramach tajnego nakazu NSA, czy też normalnego procesu prawnego z udziałem pracodawcy lub szkoły – spółki nie miałyby innego wyjścia, jak je ujawnić.

Co gorsza, jeśli FBI czy NSA zażądałyby od amerykańskich firm, aby te potajemnie przechowywały rozmowy, nie powiadamiając o tym swoich użytkowników, łamiąc obietnicę usuwania, firmy te nie miałyby innego wyjścia poza dostosowaniem się do takiego żądania.

Ostatni fragment to nie paranoja.

Wiemy, że rząd USA działał w ten sposób w stosunku do dużych i małych firm. Lavabit była małą firmą świadczącą bezpieczne usługi e-mail, z systemem szyfrowania zaprojektowanym w ten sposób, że nawet firma nie miała dostępu do e-maili użytkowników. W zeszłym roku, NSA przekazała im tajne postanowienie sądu domagając się ujawnienia klucza głównego, co miałoby negatywny wpływ na bezpieczeństwo każdego użytkownika. Lavabit wolała zaprzestać świadczenia usług niż spełnić żądanie, ale takie rozwiązanie nie jest realną opcją dla dużych firm. W 2011 Microsoft wprowadził wciąż nieznane zmiany do Skype’a, aby NSA mogła łatwiej podsłuchiwać, ale nie zmienił obietnic zabezpieczeń jakimi się reklamuje.

Jest to jeden z powodów, dla których zapowiedź prezydenta Baracka Obamy, że zakończy jeden określony program gromadzenia danych przez NSA w ramach jednej konkretnej instytucji prawnej, ledwo zaczyna rozwiązywać problem: państwo nadzoru jest tak solidne, że cokolwiek innego niż gruntowna restrukturyzacja nie odniesie skutku.

Oczywiście, typowego użytkownika Snapchatu nie obchodzi czy rząd USA monitoruje jego rozmowy. Bardziej go niepokoją jego szkolni znajomi i rodzice. Jednakże jeśli te platformy nie są bezpieczne, NSA nie jest jego jedynym zmartwieniem.

Dysydenci na Ukrainie, czy gdziekolwiek indziej potrzebują bezpieczeństwa, a jeśli polegają na efemerycznych aplikacjach, muszą wiedzieć, że ich własne rządy nie zapisują kopii ich rozmów. I nawet amerykańscy licealiści muszą wiedzieć, że ich zdjęcia nie zostaną ukradkiem zapisane i wykorzystane przeciwko nim kilka lat później.

Potrzeba ulotnej rozmowy nie jest jakiś dziwnym fetyszem prywatności lub wyłączną domeną przestępców, którzy mają coś do ukrycia. Stanowi ona podstawową potrzebę człowieka do prywatności i czegoś, co każdy z nas, tak na marginesie, miał przed wynalezieniem mikrofonów i urządzeń nagrywających.

Potrzebujemy aplikacji ulotnych, ale potrzebujemy też wiarygodnych zapewnień od firm, które są rzeczywiście bezpieczne i wiarygodnych zapewnień od rządu, że takie pozostaną.

Esej ten pojawił się wcześniej na CNN.com.
http://www.cnn.com/2014/03/26/opinion/schneier-snapchat-wickr/index.html
lub http://tinyurl.com/nr2wmoq

Popularność aplikacji ulotnych:
http://www.washingtonpost.com/business/technology/seeking-privacy-teens-turn-to-anonymous-messaging-apps/2014/02/16/1ffa583a-9362-11e3-b46a-5a3d0d2130da_story.html
lub http://tinyurl.com/pa9lkda

Facebook nie usuwa treści:
http://www.zdnet.com/blog/igeneration/facebook-does-not-erase-user-deleted-content/4808
lub http://tinyurl.com/33fyw88

Systematycznie usuwają każdy post, który umieszczają na Facebooku:
http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategies-on-facebook.html
lub http://tinyurl.com/32p32ku

Snapchat nie usuwa zdjęć tak, jak to twierdzi w reklamie:
http://www.theguardian.com/media-network/partner-zone-infosecurity/snapchat-photos-not-deleted-hidden
lub http://tinyurl.com/osdkshz

Metadane:
https://www.schneier.com/blog/archives/2014/03/metadata_survei.html

Microsoft wprowadza zmiany w Skype:
https://www.schneier.com/blog/archives/2013/06/new_details_on.html

Ogłoszenie prezydenta Baracka Obamy:
http://www.nytimes.com/2014/03/25/us/obama-to-seek-nsa-curb-on-call-data.html
lub http://tinyurl.com/ktaglgc

Rozbijanie NSA:
http://www.cnn.com/2014/02/20/opinion/schneier-nsa-too-big/index.html lub
http://tinyurl.com/kyrfpvl

Wartość prywatności:
https://www.schneier.com/essay-114.html

Istnieją aplikacje, które na stałe zapisują zdjęcia na Snapchat:
https://www.yahoo.com/tech/how-to-save-snapchat-pictures-without-the-sender-80875346215.html
lub http://tinyurl.com/nntmpek

Podczas Financial Cryptography 2014, Franziska Roesner zaprezentowała pracę, która stawia pod znakiem zapytania to, czy użytkownicy oczekują od Snapchat komunikacji efemerycznej.
http://fc14.ifca.ai/papers/fc14_submission_21.pdf

Szczegóły naruszenia bezpieczeństwa kart kredytowych Target

Długi i ciekawy artykuł o naruszeniu bezpieczeństwa kart kredytowych Target w ubiegłym roku. Tym, co jest dla mnie szczególnie interesujące jest to, że atakowi można było zapobiec, ale Target pochrzanił swoje reagowanie na incydenty.

Podczas zeznań przed Kongresem, Target oświadczył, że po tym, jak amerykański Departament Sprawiedliwości powiadomił ich o włamaniu w połowie grudnia, pracownicy firmy zaczęli ustalać co się stało. Tym czego nie ujawniono było to: przekopując logi komputerowe, Target znaleziono alerty FireEye z 30 listopada i z 2 grudnia, kiedy hakerzy zainstalowali kolejną wersję malware’u. Nie tylko te alarmy nie powinny zostać przegapione –  miały miejsce na tyle wcześnie, że hakerzy nie rozpoczęli jeszcze przekazywania skradzionych danych kart z sieci Target. Gdyby zespół bezpieczeństwa firmy zareagował wtedy, kiedy powinien, to kradzież, która dotknęła aż jedną trzecią amerykańskich konsumentów, co z kolei doprowadziło do międzynarodowego polowania dla hakerów, nigdy nie miałaby miejsca.

To jest * dokładnie * ten rodzaj problemów, które moja nowa firma, CO3 Systems, rozwiązuje. Wszystkie systemy wykrywania nowej generacji instalowane na punktach końcowych, analiza zagrożeń, i tak dalej mają znaczenie jedynie, gdy można jakoś zareagować. Jeśli Target miałby opracowane procedury reagowania na incydenty, oraz system, który zapewniłby, że postępują według tych procedur, to byłoby o wiele bardziej prawdopodobne, że zareagują na alerty zgłaszane przez FireEye.

Dlatego właśnie uważam, że reagowanie na incydenty jest teraz najbardziej zaniedbanym obszarem bezpieczeństwa IT.

http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data
lub http://tinyurl.com/m99hn48

Co3 Systems:
https://www.co3sys.com/product/security
https://www.schneier.com/blog/archives/2014/01/ive_joined_co3.html

 

Od 1998 roku, CRYPTO-GRAM jest comiesięcznym, darmowym newsletterem, w którym znaleźć można podsumowania, analizy, studia przypadków i komentarze na temat bezpieczeństwa: komputerów i nie tylko. Możesz się zapisać, wypisać lub zmienić adres e-mail na stronie http://www.schneier.com/crypto-gram.html

Pod tym adresem są także dostępne starsze numery newslettera.  CRYPTO-GRAM, w całości lub w części, możesz dalej przesłać do twoich kolegów i przyjaciół, którym może okazać się przydatny. Udzielam także zgody na przedruk CRYPTO-GRAMu, tak długo jak jest on przedrukowywany w całości.  CRYPTO-GRAM został napisany przez Bruce’a Schneiera.  Schneier jest autorem takich bestsellerów jak “Liars and Outliars”, „Schneier on Security,” „Beyond Fear,” „Secrets and Lies,” a także „Applied Cryptography”. Jest także twórcą algorytmów Blowfish, Twofish, Threefish, Helix, Phelix oraz Skei.  Pełni funkcję Dyrektora ds. bezpieczeństwa informatycznego BT, a także jest członkiem zarządu Electronic Privacy Information Center (EPIC).  Często pisze i wypowiada się na tematy związane z bezpieczeństwem. Wejdź na: http://www.schneier.com.Crypto-Gram jest autorskim newsletterem. Wyrażane w nim opinie niekoniecznie pokrywają się z opiniami BT. Copyright (c) 2014 by Bruce Schneier  Oryginalne wydanie newslettera   Polskie tłumaczenie newslettera  Tłumaczenie polskie opracowane przez IMMUSEC Sp. z o.o.

Udostępnij:

Twitter @IMMUSEC

Nasze biura

offices

Kontakt:

ul. Chłodna 52
00-872 Warszawa, Polska
Tel. +48 22 205 4800
Email: biuro@immusec.com