公民课很枯燥。所以,让我们加密一些东西吧!
IT 专业人士可以被动地忍受政治解决方案,也可以参与到过程中,以实现更好的结果。
这里提出的建议应该会让每个人都满意。执法部门将有办法访问通信,前提是他们能说服法官这是必要的。重要的通信将能够继续使用他们今天使用的相同强度的加密。原本不需要加密的通信将能够采用足够的加密来防止简单的窃听,但如果法官认为必要,则不会采用足以阻止强力访问的加密。
在不稳固的基础上构建
我们有责任让世界上的系统安全可靠地运行。
CrowdStrike 灾难的发生是由于硬件和系统软件中的架构问题。我们应该构建使编写病毒变得困难的系统,而不是儿戏。但这现在是一个昂贵的主张。
测试帐户:一个隐藏的风险
您可能会认为这些风险是可以接受的。但是,如果不是,这里有一些避免这些风险的规则。
多人共享的测试帐户可能被任何碰巧拥有密码的人使用。这留下了一系列管理不善或无人管理的帐户,只会增加您的攻击面。测试帐户可能是一个信息宝库,甚至可以揭示有关内部系统详细信息的信息。如果您真的需要采取这种方法,请给您的开发人员他们自己的测试帐户,然后教育他们滥用这些帐户的风险。此外,如果您可以定期使这些帐户过期,那就更好了。
使用机密联邦学习的可信 AI
联邦学习和机密计算不是竞争技术。
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的 FL 设计非常强调安全性和隐私性,但以透明度和问责制为代价。CFL 通过将 FL 与 TEE 和承诺仔细结合来解决这一差距。此外,CFL 还带来了其他理想的安全属性,例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算的最新进展(如机密容器和机密 GPU)意味着现有的 FL 框架可以无缝扩展以支持具有低开销的 CFL。
机密计算还是密码计算?
密码学和硬件飞地之间的权衡
通过 MPC/同态加密与硬件飞地进行安全计算,在部署、安全性和性能方面存在权衡。关于性能,您想到的工作负载非常重要。对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载,这两种方法都可以在实践中使用,但对于复杂的 SQL 分析或训练大型机器学习模型等丰富的计算,目前只有硬件飞地方法在许多实际部署场景中足够实用。
机密容器组
在 Azure 容器实例上实施机密计算
此处介绍的实验表明,Parma(驱动 Azure 容器实例上的机密容器的架构)增加的额外性能开销不到底层 TEE 增加的性能开销的百分之一。重要的是,Parma 确保了容器组的所有可达状态都以证明报告为根的安全不变性。这允许外部第三方与容器安全地通信,从而支持需要机密访问安全数据的各种容器化工作流程。公司可以在云中运行他们最机密的工作流程,而无需在其安全要求上妥协,从而获得优势。
利用 Arm CCA 提升安全性
证明和验证是采用机密计算不可或缺的一部分。
机密计算具有巨大的潜力,可以通过将监管系统从 TCB 中移除来提高通用计算平台的安全性,从而减小 TCB 的大小、攻击面以及安全架构师必须考虑的攻击向量。机密计算需要平台硬件和软件方面的创新,但这些创新有可能增强对计算的信任,尤其是在由第三方拥有或控制的设备上。机密计算的早期消费者将需要就他们选择信任的平台做出自己的决定。
软件安全性的开发者生态系统
大规模持续保证
如何设计和实施信息系统,使其安全可靠是一个复杂的话题。软件安全性的高级设计原则和实施指南都已经确立并被广泛接受。例如,Jerome Saltzer 和 Michael Schroeder 对安全设计原则的开创性概述发表于近 50 年前,各种社区和政府机构也发布了关于如何避免常见软件弱点的全面最佳实践。
安全硬糖
访问系统不应意味着使用它的权限。输入完全中介原则。
当有人站在您家门口时,让他们进门的步骤是什么?如果是家人,他们会使用房屋钥匙,利用钥匙赋予的权限解锁门。对于其他人,敲门声或门铃声会提示您做出决定。一旦进入您的家,不同的人根据他们的身份拥有不同的权限。家人可以访问您的整个家。亲密的朋友可以在无人监督的情况下四处走动,具有高度的信任。家电维修人员是您可能会在工作期间监督的人。
保护秘密免受计算机侵害
Bob 入狱了,Alice 死了;他们信任计算机保管秘密。回顾一下经过时间考验的技巧,这些技巧可以帮助您避免这对老加密夫妇的悲惨命运。
创建首款机密 GPU
NVIDIA 团队为加速计算的用户代码和数据带来了机密性和完整性。
当今的数据中心 GPU 具有悠久的 3D 图形传统。在 20 世纪 90 年代,用于 PC 和游戏机的图形芯片具有用于几何、光栅化和像素的固定管线,使用整数和定点算术。1999 年,NVIDIA 发明了现代 GPU,它将一组可编程内核置于芯片的核心,从而能够高效地生成丰富的 3D 场景。
我为什么要信任您的代码?
机密计算使用户能够验证在 TEE 中运行的代码,但用户还需要证据证明此代码是可信的。
为了使机密计算像 HTTPS 成为网络默认协议一样在云中普及,需要一种不同的、更灵活的方法。虽然不能保证每种恶意代码行为都会被提前捕获,但可以保证精确的可审计性:任何怀疑机密服务已破坏信任的人都应该能够审计其证明代码库的任何部分,包括所有更新、依赖项、策略和工具。为了实现这一目标,我们提出了一种跟踪代码出处并追究代码提供商责任的架构。其核心是一个新的代码透明度服务 (CTS),它维护一个公共的、仅追加的账本,记录为机密服务部署的所有代码。
云中的硬件 VM 隔离
使用 AMD SEV-SNP 技术实现机密计算
机密计算是一种非常适合公共云的安全模型。它使客户能够租用 VM,同时享受基于硬件的隔离,从而确保云提供商不会有意或无意地查看或损坏他们的数据。SEV-SNP 是第一个商业可用的 x86 技术,为云提供 VM 隔离,并部署在 Microsoft Azure、AWS 和 Google Cloud 中。随着 SEV-SNP 等机密计算技术的发展,机密计算很可能 просто 成为云的默认信任模型。
机密计算:提升云安全和隐私
为更安全和创新的未来而努力
机密计算 (CC) 通过大幅减少系统的攻击面,从根本上改善了我们的安全态势。虽然传统系统在静态和传输过程中加密数据,但 CC 将这种保护扩展到使用中的数据。它提供了一个新颖、明确定义的安全边界,在计算期间将敏感数据隔离在可信执行环境中。这意味着可以设计服务,根据最小特权访问原则对数据进行分段,而系统中的所有其他代码只能看到加密数据。至关重要的是,这种隔离植根于新颖的硬件原语,有效地使云托管基础设施及其管理员也无法访问数据。
CXL 的内存保护有多灵活?
用手术刀代替大锤
CXL 是一种用于缓存一致内存共享的新互连标准,正在成为现实 - 但其安全性还有待提高。去中心化功能灵活且能够抵御恶意行为者,应在 CXL 处于积极开发阶段时加以考虑。
安全不匹配
安全必须成为业务推动者,而不是阻碍者。
说“不”的信息安全团队需要改变。躲在护城河后面可以轻松抵御攻击,但桥梁可以让您补充物资并与客户建立关系?城堡。请记住,安全团队的角色是授权他们的业务充满信心地前进,而不是阻碍进步。
优化网络安全的机会成本和错失的机会
选择一种替代方案时,其他替代方案的潜在收益损失
在做出安全决策时,机会成本不应是事后才考虑的事情。考虑复杂替代方案的一种简单方法是考虑不采取任何行动的零基线,而不是手头的选择。机会成本可能感觉抽象、难以捉摸且不精确,但通过正确的介绍和框架,每个人都可以理解它。使用此处介绍的方法将使其自然且易于理解。
全同态加密的兴起
通常被称为密码学的圣杯,商业 FHE 即将到来。
一旦实现商业 FHE,数据访问将与不受限制的数据处理完全分离,并且在不受信任的平台上进行可证明的安全存储和计算将变得相对便宜且广泛可访问。与数据库、云计算、PKE 和 AI 的影响类似,FHE 将引发机密信息保护、处理和共享方式的巨变,并将从根本上改变计算的基础方向。
从零到一百
揭秘零信任及其对企业人员、流程和技术的影响
不断变化的网络环境和日益增长的安全威胁给新的安全方法带来了紧迫感。零信任已被提议作为这些问题的解决方案,但有些人认为它是一种销售现有最佳实践的营销工具,而另一些人则称赞它为新的网络安全标准。本文讨论了零信任的历史和发展,以及不断变化的威胁环境为何导致网络安全领域出现新的论述。
零信任的到来:它意味着什么?
过去,企业网络安全完全是城堡和护城河。首先,保护周边安全,然后,就内部发生的事情而言,信任,但要验证。当然,周边是企业网络。但这在这一点上到底意味着什么?由于大多数员工现在至少在部分时间在家工作,并且组织越来越依赖云计算,因此不再存在单一的企业范围的周边。而且,随着企业安全漏洞成为过去二十年来的常规新闻项目,信任也基本上消失了。
保护公司的瑰宝
GitHub 和 Runbook 安全性
通常,Runbook 的问题不在于 Runbook 本身,而在于 Runbook 的运行者。Runbook 或清单应该是记忆的辅助工具,而不是仔细和独立思考的替代品。但我们的行业就是这样,我们现在看到人们将这些东西推向不合逻辑的极端,我认为这就是您在本地 Runbook 运行者中遇到的问题。
黑盒何时应该透明?
何时替换不是替换?
在这些情况下,正确的答案是向供应商索取尽可能多的信息,以降低接受所谓替换的风险。首先,索取测试计划和测试输出,以便您可以了解他们是否以与您的用例相关的方式测试了组件。仅仅因为他们测试了东西并不意味着他们测试了您的产品关心的所有部分。事实上,他们不太可能这样做。
迷惑攻击者:新一代欺骗
软件工程团队可以通过构建欺骗环境来利用攻击者的人性。
本文的目标是教育软件领导者、工程师和架构师了解欺骗对系统弹性的潜力以及构建欺骗环境的实际考虑因素。通过检查信息安全社区历史欺骗努力的不足和停滞不前,本文还论证了为什么工程团队现在有能力成为更成功的欺骗系统所有者。
车辆的量子安全信任
竞赛已经开始
在汽车行业,现在下线的汽车有时被称为“移动数据中心”,以承认它们包含的所有娱乐和通信功能。自动驾驶系统也已在开发中,这一事实无助于缓解对安全性的担忧。事实上,汽车网络安全的风险似乎即将变得难以估量地更高,正如当代网络安全的某些基础被认为无关紧要一样。
量子抗性的复杂之路
您的组织准备好了吗?
地平线上出现了一种新技术,它将永远改变信息安全和隐私行业的格局。量子计算与量子通信相结合,将有许多有益的应用,但也能够破解当今许多最流行的有助于确保数据保护的密码学技术?特别是敏感信息的机密性和完整性。这些技术普遍嵌入于当今的数字结构中,并由金融、医疗保健、公用事业和更广泛的信息通信技术 (ICT) 社区等许多行业实施。
骰子已掷
硬件安全无法保证
硬件安全的未来将随着硬件的发展而发展。随着封装技术的进步以及重点转向超越摩尔定律的技术,硬件安全专家将需要领先于不断变化的安全范式,包括系统和流程漏洞。专注于量子黑客的研究是物理攻击平面上新兴通信和计算技术的安全原则转化的象征。也许商业市场会发展到 GAO 将在不久的将来对受损的量子技术进行研究。
短信作为第二身份验证因素的安全分析
基于短信的多因素身份验证的挑战,包括蜂窝安全缺陷、SS7 漏洞和 SIM 卡交换
尽管基于短信的身份验证令牌很受欢迎且易于使用,但可以说它是最不安全的双因素身份验证形式之一。然而,这并不意味着它是一种无效的保护在线帐户的方法。当前的安全形势与二十年前大相径庭。无论在线帐户的性质有多重要,或者拥有该帐户的个人是谁,都应始终将使用第二种身份验证形式作为默认选项,无论选择哪种方法。
伤心欲绝和咖啡杯
安全审查的苦难
总的来说,安全审查有两种主要类型:白盒和黑盒。白盒审查是指攻击者几乎完全访问信息,例如代码、设计文档和其他信息,这将使他们更容易设计和执行成功的攻击。黑盒审查或测试是指攻击者只能像普通用户或消费者那样看到系统。
操作系统中的时间保护和说话人合法性检测
基于操作系统的保护,防止基于计时的侧信道攻击;语音模仿软件的含义
基于计时的侧信道攻击是一类特别棘手的攻击,因为您通常努力追求的东西可能会暴露您。总是有更多有创意的新攻击实例被发现,因此您需要一种有原则的方式来思考解决该类别的防御,而不仅仅是特定的实例化。这就是 Ge 等人在“时间保护,缺失的操作系统抽象”中给我们的。正如操作系统通过内存保护来防止空间推理一样,未来的操作系统也需要通过时间保护来防止时间推理。这将是一条漫长的道路。
现代时代的安全性
安全地运行需要整个 syscall 接口的进程
为操作员提供一种可用的方法来保护他们用于部署和运行应用程序的方法对每个人来说都是双赢的。保留容器提供的以可用性为中心的抽象,同时寻找自动化安全性和防御攻击的新方法,这是一条伟大的前进道路。
了解公共数据上的数据库重建攻击
对统计数据库的这些攻击不再是理论上的危险。
随着过去十年计算机速度和 SAT 以及其他 NP 难题求解器效率的显着提高,对统计数据库的 DRA 不再仅仅是理论上的危险。统计机构每年发布的大量数据产品可能为坚定的攻击者提供足够的信息来重建部分或全部目标数据库并侵犯数百万人的隐私。传统的披露避免技术并非旨在防止此类攻击。
如何在后熔断和幽灵世界中生存
从过去吸取教训,为下一场战斗做好准备。
幽灵和熔断创造了一个风险景观,其中问题多于答案。本文讨论了在宣布这些漏洞时如何对其进行分类以及可用的实际防御措施。最终,这些漏洞呈现出一组独特的情况,但对于高盛的漏洞管理计划而言,响应只是办公室的又一天。
减少攻击面
有时您可以给猴子一根危险性较低的棍子。
减少软件攻击面的最佳方法是删除任何不必要的代码。既然您现在有两个团队要求您保留代码,那么可能是时候考虑制作两个不同版本的二进制文件了。该应用程序听起来像是一个嵌入式系统,所以我猜它是用 C 编写的,并从那里开始。
比特币的学术血统
加密货币的概念建立在研究文献中被遗忘的思想之上。
我们已经反复看到,研究文献中的思想可能会逐渐被遗忘或不被赏识,尤其是当它们领先于时代时,即使在流行的研究领域也是如此。从业者和学者最好重新审视旧思想,以收集对当前系统的见解。比特币之所以与众不同且成功,不是因为它处于任何组件研究的最前沿,而是因为它结合了许多以前不相关领域的旧思想。这并非易事,因为它需要弥合不同的术语、假设等,但它是创新的宝贵蓝图。
物联网:恐怖互联网
如果天空看起来要塌下来了,那是因为它确实要塌下来了。
确实,许多专注于安全的工程师听起来像杞人忧天,到处宣扬天空要塌下来了,但是,除非您一直生活在石头底下,否则您会注意到,天空确实要塌下来了。几乎每天都有针对联网系统的重大攻击登上新闻头条,而恐怖互联网正在引领潮流,将分布式系统带入地狱之路 - 您希望用您的良好意愿铺平的道路。
内部访问控制
信任,但要验证
似乎每天都有另一个引人注目且备受瞩目的安全事件的新闻,无论是广泛使用的软件(如 OpenSSL 或 Bash)中长期存在的漏洞的发现,还是名人照片被盗和公开。似乎有无限量的零日漏洞和强大的国家支持的攻击者。面对如此威胁,甚至值得尝试保护您的系统和数据吗?系统安全设计人员和管理员可以做些什么?
高质量软件需要花钱 - Heartbleed 是免费的
如何为 FOSS 生成资金
世界运行在免费和开源软件(简称 FOSS)之上,并且在某种程度上,它已经可预测地渗透到世界上任何地方的任何基于软件的产品中。
您必须信任谁?
如果您想完成任何事情,就必须有一些信任。
在他的小说《钻石时代》中,作者尼尔·斯蒂芬森描述了一个基于对同伴成员极端信任的构建社会(称为派系)。成员资格要求的一部分是,每个成员都时不时地被要求承担某些任务以加强这种信任。例如,可能会告诉一个派系成员在特定时间去悬崖顶部的特定位置,在那里他会发现带有脚踝安全带的蹦极绳。绳索的另一端拖到灌木丛中。在指定的时间,他要将安全带系在脚踝上,然后从悬崖上跳下去。
在苹果中发现不止一条虫子
如果您看到什么,就说出来。
2 月,苹果公司披露并修复了一个 SSL(安全套接字层)漏洞,该漏洞自 2012 年 9 月发布 iOS 6.0 以来一直未被发现。由于 goto 语句的重复导致 SSL/TLS(传输层安全)握手算法中的短路,它使用户容易受到中间人攻击。自从发现这个非常严重的错误以来,许多人已经撰写了关于潜在原因的文章。
NSA 和斯诺登:保护全视之眼
NSA 的良好安全措施如何阻止他
爱德华·斯诺登在夏威夷博思艾伦汉密尔顿公司担任 NSA(国家安全局)承包商期间,复制了多达 170 万份绝密和更高级别的文件,将副本走私到他工作的安全设施之外的拇指驱动器上,后来又向媒体发布了许多文件。这改变了美国政府与美国人民以及与其他国家的关系。本文研究了 NSA 如何能够预防这种情况的计算机安全方面,这可能是美国历史上最具破坏性的秘密泄露事件。
请让 OpenSSL 摆脱痛苦
OpenSSL 必须死,因为它永远不会变得更好。
OpenSSL 软件包大约有 300,000 行代码,这意味着可能仍然存在大约 299 个错误,现在允许几乎任何人检索他们通常不应该访问的内部状态的 Heartbleed 错误已被修复。
速率限制状态
互联网的边缘是一个不守规矩的地方
根据设计,互联网核心是愚蠢的,而边缘是聪明的。这种设计决策使互联网得以野蛮生长,因为没有复杂性,核心可以以需求的速度增长。不利的一面是,将所有智能都放在边缘的决定意味着,当涉及到互联网聚合流量负载的质量时,我们只能任由规模摆布。并非所有设备和软件构建商都具备互联网如此规模应有的技能和质量保证预算。
已解决:互联网不是关键基础设施的场所
风险是依赖的必然结果
什么是关键的?在多大程度上,关键在原则上被定义,在多大程度上,关键在操作上被定义?我正在区分我们所说的和我们所做的。
操作系统访问控制可扩展性的十年
移动和嵌入式设备的开源安全基础
探讨操作系统安全,就如同惊叹于已部署的访问控制模型的多样性:Unix和Windows NT多用户安全;SELinux中的类型强制;反恶意软件产品;Apple OS X、Apple iOS和Google Android中的应用沙箱;以及面向应用程序的系统,如FreeBSD中的Capsicum。这种多样性是惊人转变的结果,从1990年代狭隘的Unix和NT现状转变为“安全本地化”——操作系统安全模型适应于站点本地或产品特定的需求。
重新思考密码
我们的身份验证系统存在缺陷。改进是否有可能?
身份验证的瘟疫正在蔓延。我们不得不反复向一群身份验证巨魔声明和断言我们的身份,每个巨魔都嫉妒地守护着某种互联网服务。每个巨魔都有特定的密码规则,而且这些规则差异很大且令人费解。
LinkedIn密码泄露:狠狠地惩罚他们
如果计算密码哈希不需要整整一秒钟,那就太弱了。
650万个未加盐的SHA1哈希LinkedIn密码已经出现在犯罪地下世界。这句话中有两个词应该引起LinkedIn无休止的关注:“未加盐”和“SHA1”。
SAGE:用于安全测试的白盒模糊测试
SAGE在微软产生了显著的影响。
大多数的读者可能会认为“程序验证研究”主要是理论性的,对整个世界影响甚微。再想一想。如果您正在阅读这些文字的PC运行某种形式的Windows(像93%以上的PC用户一样——也就是说,超过10亿人),那么您已经受到了这项工作的影响——在不知不觉中,这正是我们希望的方式。
如何提高安全性?
仅仅一年刷一次牙是不够的。
我们最近在工作中遇到了安全漏洞,现在整个IT部门都在争先恐后地提高安全性。整个事件暴露出来的一个问题是,太多的安全建议是泛泛而谈的。这就像被告知晚上出门要锁门,却没有说明你应该拥有哪种锁,或者多少把锁才足以保护你的房子。我认为现在大多数人都知道他们需要锁门,那么为什么没有更具体的系统安全指南呢?
大规模赋值武器
一个Ruby on Rails应用程序突显了一些严重但易于避免的安全漏洞。
2010年5月,在新闻周期被用户对Facebook隐私政策的普遍厌恶所主导期间,纽约大学的一个由四名学生组成的团队发布了一份捐款1万美元的请求,以构建一个注重隐私的Facebook替代品。该软件Diaspora将允许用户托管自己的社交网络并拥有自己的数据。该团队承诺开源他们编写的所有代码,通过将代码暴露于公众监督来保证用户数据的隐私和安全。在《纽约时报》头版报道的帮助下,该团队最终筹集了超过20万美元。
国家互联网防御 - 前线小国
爱沙尼亚和格鲁吉亚的袭击事件突显了国家互联网基础设施中的关键漏洞。
尽管互联网的底层协议和驱动理念具有全球性和无国界性,但在很大程度上,互联网仍然具有实质性的地域性。国家有政策和法律来管辖并试图捍卫“他们的互联网”。这远不如国家的物理领土,甚至不如“它的空气”或“它的水”那样明显。网络空间仍然是一个更加狂野的边疆,难以定义和衡量。当其影响被注意到和可衡量时,往往很难将其归因于责任方。
商业创新盗窃:概述
-BCS全球竞争力威胁圆桌会议讨论的关键要点概述。
-BCS全球竞争力威胁圆桌会议的重点是,实际上所有商业信息都直接或间接地连接到互联网,以及信息移动的速度和数量增加,从而导致了新的商业安全现实。这种新环境在一直被认为是重要的商业价值创造资产以及可以窃取信息或用于损害其所有者的犯罪方式方面,开启了一个全新的维度。以下是更广泛对话的关键要点。
商业创新盗窃:-BCS全球竞争力威胁圆桌会议
如今,网络犯罪分子正在寻求窃取的不仅仅是银行信息。
有价值的信息资产比仅仅是银行账户、金融服务交易或秘密的可专利发明更广泛。在许多情况下,定义成功商业模式的一切都存在于一台或多台直接或间接连接到互联网的个人计算机(电子邮件、电子表格、文字处理文档等)、公司数据库、实施业务实践的软件或数千个支持TCP/IP的实时工厂控制器上。虽然不是通常认为的有吸引力的知识产权目标的那种传统的高功率信息存储库,但这些系统确实代表了企业运营的完整知识集。
来自信件的教训
大型组织中的安全漏洞
我最近收到一封信,一家公司在信中通知我,他们泄露了一些我的个人信息。虽然个人数据被盗现在已经很常见,但这封信让我感到惊讶,因为它很好地指出了丢失数据的公司系统中存在的两个主要缺陷。我将在这里插入三个具有启发意义的段落,然后讨论它们实际上可以教给我们什么。
偏执狂的美德
一个有态度的程序员KV回答您的问题。他不是礼仪小姐。
亲爱的KV,我刚加入一家公司,该公司将大量数据按摩成内部格式,供其自己的应用程序使用。虽然数据定期备份,但我注意到对这些数据的访问(已累积到几个PB大小)的安全性不是特别好。没有加密,虽然数据不容易从互联网访问,但公司里的每个人都可以随时直接访问这些卷,包括物理访问和电子访问。
一种行为安全方法
分析可疑代码的行为
Finjan的首席技术官Yuval Ben-Itzhak强烈主张一种新的安全方法,该方法更多地依赖于分析可疑代码的行为,而不是必须在攻击已经开始后才开发的签名。
无声的安全流行病
开发人员面临着针对某些类型应用程序的攻击的挑战。
尽管行业在处理日常类型的安全攻击方面总体上做得越来越好,但开发人员今天正受到更复杂攻击的挑战,这些攻击不仅在雷达下流动,而且还专门针对某些类型的应用程序。在本期Queuecast中,Panda Software的首席技术官Ryan Sherstobitoff描述了正在创建哪些新型的复杂攻击,以及开发人员需要采取哪些积极措施来保护他们的应用程序。
知识产权和软件盗版
知识产权保护和软件许可的力量,对阿拉丁副总裁Gregg Gronowski的采访
我们今天在这里讨论知识产权以及整个软件盗版问题,我们的朋友阿拉丁被认为是当今保护软件知识产权、防止软件盗版以及实现软件许可和合规性的事实标准之一。今天加入我们讨论这个话题的是阿拉丁副总裁Greg Gronowski。
文档与媒体挖掘
DOMEX挑战是将数字比特转化为可操作的情报。
基地组织使用的一台电脑最终落入《华尔街日报》记者手中。发现一台来自伊朗的笔记本电脑,其中包含该国核武器计划的详细信息。照片和视频从恐怖主义网站下载。正如这些和其他无数案例所证明的那样,数字文档和存储设备掌握着许多正在进行的军事和刑事调查的关键。使用这些媒体和文档最直接的方法是用普通工具探索它们——用Microsoft Word打开word文件,用Internet Explorer查看网页等等。
Linux安全的七宗罪
像躲避魔鬼一样避免这些常见的安全风险。
安全建议的问题在于,它太多了,而负责安全的人肯定没有足够的时间来实施所有这些建议。挑战在于确定最大的风险是什么,并首先关注这些风险,然后在时间允许的情况下关注其他风险。这里介绍的是七个常见问题——安全的七宗罪——最有可能对您的系统或银行账户造成重大损害。
安全性的演变
大自然能告诉我们关于如何最好地管理我们的风险吗?
除非发生严重的尴尬事件,否则安全人员永远不会负责。否则,他们的建议会受到“经济现实”的限制,也就是说,安全是一种手段,而不是目的。这应该是这样。由于手段是关于权衡的,因此安全是关于权衡的,但您已经知道这一切。我们的权衡决策可能很难做出,而这些难以做出的决策分为两种。一种类型发生在替代方案的不确定性太大,以至于无法根据可能的效应对其进行排序时。因此,熟悉或方便等其他因素将驱动决策。
开放 vs. 封闭
哪种来源更安全?
在开发人员群体中引发争论的最佳方法莫过于宣称操作系统A比操作系统B“更安全”。我从第一手经验中知道这一点,因为我之前发表的关于这个主题的论文导致了大量针对我的激烈电子邮件——包括一些确实具有人身威胁的邮件。尽管试图调查不同软件项目的相对安全性会产生热量(而不是光!),但我们必须进行调查。
领先一步
安全漏洞比比皆是,但一些简单的步骤可以最大限度地降低您的风险。
每天,IT部门都参与到与试图闯入公司网络的黑客的持续斗争中。闯入可能会带来沉重的代价:有价值的信息丢失、公司形象和品牌受损、服务中断以及数百小时的恢复时间。与其他方面的信息技术不同,安全性是对抗性的。它使IT部门与黑客对抗。
与Jamie Butler的对话
Rootkit清除所有邪恶
Rootkit技术在2005年成为中心舞台,当时分析师发现索尼BMG秘密安装了一个rootkit作为其DRM(数字版权管理)解决方案的一部分。尽管那次惨败提高了公众对rootkit的普遍认识,但该技术仍然是软件行业的祸害,因为它能够隐藏进程和文件,使其无法被系统分析和反恶意软件工具检测到。
毫无意义的PKI
一个有态度的程序员KV回答您的问题。他不是礼仪小姐。
我们过去在内部泄密方面遇到过问题,管理层已决定保护信息的唯一方法是在传输过程中对其进行加密。
攻击趋势:2004年和2005年
黑客行为已从以出名为目标的业余爱好转变为以金钱为目标的犯罪行为。
Counterpane Internet Security Inc. 监控着35个国家/地区的450多个网络,覆盖每个时区。在2004年,我们看到了5230亿次网络事件,我们的分析师调查了648,000张安全“工单”。以下是目前互联网上正在发生的事情以及我们预计未来几个月将发生的事情的概述。
安全 - 问题解决了吗?
我们许多安全问题的解决方案已经存在,那么为什么我们仍然如此脆弱?
有很多安全问题都有解决方案。然而,我们的安全问题似乎并没有消失。这里有什么问题?消费者是被提供了蛇油并拒绝了吗?他们没有采用他们应该采用的解决方案吗?或者,还有其他完全不同的因素在起作用吗?我们将看看世界上本可以变得更好,但却没有变得更好的几个地方,并建立一些关于为什么的见解。
答案当然是42
如果我们希望我们的网络足够难以渗透,我们就必须提出正确的问题。
为什么安全如此困难?作为一名安全顾问,我很高兴人们有这种感觉,因为这种看法支付了我的抵押贷款。但是,构建坏人无法渗透的系统真的那么困难吗?
与Peter Tippett和Steven Hofmeyr的对话
计算机安全领域的两位领导者讨论了生物医学对他们工作的影响等等。
生物学和计算机科学的世界之间一直存在相似之处和重叠之处。在计算机安全领域,这一点尤为明显,其中病毒和感染的基本术语是从生物医学中借用的。
早投票,多投票
任何其他名称的电子投票?
我通常避开像瘟疫一样的陈词滥调,但无法抗拒这句经常被引用的口号,它总结了我喜欢称之为选举犬儒主义的东西。选举学是数学的一个庞大且不断增长的分支(经常受到社会学家、心理学家、政治科学家和相关懒汉的干扰),它研究民意调查和选举策略的结构和有效性。相关领域包括概率和博弈论,尽管正如我们将看到的,该主题具有许多远非嬉戏的含义。
安全比你想象的更难
不仅仅是缓冲区溢出。
许多开发人员将缓冲区溢出视为软件的最大安全威胁,并认为有一个简单的两步过程来保护软件:从C或C++切换到Java,然后开始使用SSL(安全套接字层)来保护数据通信。事实证明,这种幼稚的策略是不够的。在本文中,我们将探讨为什么软件安全比人们预期的更难,重点关注SSL的示例。
内部人员、天真和敌意:安全完美风暴?
将坏人挡在门外只是战斗的一半。
每年,公司和政府机构花费数百万美元来加强其网络基础设施。防火墙、入侵检测系统和防病毒产品在网络边界站岗,个人监视无数的日志和传感器,以寻找即使是最细微的网络渗透迹象。供应商和IT经理专注于将狡猾的黑客挡在网络外围之外,但是很少有技术措施可以防范内部人员——那些在强化的网络边界内运作的实体。2002年CSI/FBI调查估计,70%的成功攻击来自内部。其他一些估计甚至更高。
安全:问题的根源
为什么我们似乎无法生成安全、高质量的代码?
安全漏洞?我的编程语言让我这么做的!似乎每天都有人宣布某些关键软件或其他软件存在严重缺陷。软件有那么糟糕吗?程序员如此无能吗?到底发生了什么,为什么问题越来越糟而不是越来越好?
明智的身份验证
据Beyond Fear的作者称,仅仅知道你是谁是不够的;你必须证明这一点。
保护资产及其功能的问题在于,根据定义,您不想保护它们免受所有人的侵害。保护资产免受其所有者或来自其他授权个人(包括维护安全系统的受信任人员)的侵害是没有意义的。实际上,那么,所有安全系统都需要允许人员进入,即使它们阻止人员外出。设计一个准确识别、验证和授权受信任个人的安全系统非常复杂且充满细微差别,但对安全至关重要。
无法破解的密码
苹果、戴尔、Gateway和美光PC等公司正在销售指纹读取器或开发附加组件。
由于对安全计算的“更高要求”,PC制造商正在认真考虑生物识别技术。例如,MPC的TransPort笔记本电脑使用集成到系统BIOS中的热敏扫描。MPC的TouchChip从笔记本电脑的掌托捕获指纹扫描。一台笔记本电脑可以注册给多个用户,每个用户都可以指定将共享哪些文件、文件夹或目录。非常像詹姆斯·邦德。