标记为“闪存驱动器”的条目

第1页,共3页

如何防范NSA

现在我们已经有了足够的关于国家安全局如何窃听互联网的详细信息,包括今天的披露美国国家安全局故意削弱密码系统,我们终于可以开始想办法保护自己了。

在过去的两周里,我一直在与《卫报》合作报道国家安全局的故事,并阅读了检举人爱德华·斯诺登提供的数百份国家安全局绝密文件。我并不是今天故事的一部分,在我出现之前,故事就已经开始了,但我所读的一切都证实了《卫报》的报道。

在这一点上,我觉得我可以提供一些建议,以防范这样的对手。

国家安全局窃听互联网通信的主要方式是在网络上。这是他们能力最大的地方。他们投资了大量的程序来自动收集和分析网络流量。任何需要他们攻击单个端点计算机的行为都会给他们带来更高的成本和风险,他们会谨慎而谨慎地进行这些操作。

利用它的 秘密 协议通过与所有美国和英国电信公司以及世界各地的许多其他“合作伙伴”合作,国家安全局可以访问移动互联网流量的通信干线。在没有这种友好访问的情况下,它会尽最大努力秘密监视通信信道:窃听海底电缆、拦截卫星通信等等。

这是一个巨大的数据量,国家安全局也有同样的数据巨大的能力快速筛选所有内容,寻找有趣的流量。“有趣”可以用很多方式来定义:根据来源、目的地、内容、涉及的个人等等。这些数据被导入庞大的国家安全局系统以供未来分析。

国家安全局收集了更多元数据关于互联网流量:谁在与谁通话,通话时间,通话量,以及通话方式。元数据比内容更容易存储和分析。它对个人来说可能是非常私人的,是非常有价值的智力。

系统情报局负责数据收集,它为此投入的资源是惊人的。我阅读了一份又一份关于这些程序的状态报告,讨论了功能、操作细节、计划的升级等等。每一个问题都涉及光纤电子信号,跟上TB级数据流的发展,筛选出感兴趣的玩偶,他们有自己的团队致力于解决这一问题。其影响范围是全球性的。

国家安全局也直接攻击网络设备:路由器、交换机、防火墙等。大多数这些设备都有监控能力已内置; 诀窍是暗中打开它们。这是一条特别富有成效的攻击途径;路由器更新频率较低,往往没有安装安全软件,并且通常被视为一个漏洞而被忽视。

国家安全局还投入大量资源攻击端点计算机。这种事是由TAO做的-办公室-组。TAO有一个针对您的计算机的漏洞利用菜单,无论您运行的是Windows、Mac OS、Linux、iOS还是其他软件,以及各种各样的技巧来将它们安装到您的计算机上。您的防病毒软件无法检测到它们,即使您知道在哪里查找,也很难找到它们。这些是黑客设计的黑客工具,预算基本上是无限的。我从阅读Snowden文件中得到的教训是,如果国家安全局想进入你的电脑,它就在。

美国国家安全局处理任何加密数据的方式更多的是颠覆底层加密技术,而不是利用任何秘密的数学突破。首先,有很多糟糕的加密技术。例如,如果它发现受MS-CHAP保护的Internet连接,则很容易断开并恢复密钥。它利用选择不当的用户密码,使用相同的密码字典攻击黑客在非机密世界使用。

一如既往今天透露的美国国家安全局还与安全产品供应商合作,确保商业加密产品以只有它自己知道的秘密方式被破坏。我们知道历史上曾发生过这种情况:加密AGLotus Notes是最公开的例子,有证据表明窗户。一些人告诉了我一些关于他们最近经历的故事,我计划很快写下来。基本上,国家安全局要求公司以无法检测的方式微妙地改变其产品:减少随机数生成器的随机性,以某种方式泄漏密钥,向公钥交换协议添加通用指数,等等。如果后门被发现,就会被解释为错误。正如我们现在所知,美国国家安全局从这个项目中获得了巨大的成功。

TAO还侵入电脑以找回长期密钥。因此,如果您运行的VPN使用复杂的共享机密来保护您的数据,并且NSA决定关心,它可能会尝试窃取该机密。这种做法只针对高价值目标。

你如何安全地与这样的对手沟通?斯诺登说出来了在他公开第一份文档后不久的一次在线问答中:“加密有效。正确实现强大的加密系统是少数可以依赖的东西之一。”

相信这是真的尽管今天的揭露和诱人的暗示“突破性的密码分析能力由国家情报局局长詹姆斯·克拉珀在另一份绝密文件中提出。这些能力包括故意削弱加密。

斯诺登接下来的一句话同样重要:“不幸的是,端点安全性非常弱,以至于国家安全局经常可以找到绕过它的方法。”

端点是指您正在使用的软件、使用它的计算机以及使用它的本地网络。如果NSA可以修改加密算法或在您的计算机上删除特洛伊木马,那么世界上所有的加密都无关紧要。如果您想对NSA保持安全,您需要尽最大努力确保加密可以不受阻碍地运行。

考虑到这一切,我有五条建议:

  1. 在网络中隐藏.实施隐藏服务。使用Tor匿名。是的,国家安全局以Tor用户为目标,但这对他们来说是可行的。你越不明显,就越安全。
  2. 加密您的通信。使用TLS。使用IPsec。再说一次,虽然国家安全局是真的以加密连接为目标-而且它可能会对这些协议进行明显的攻击——与在透明环境中进行通信相比,你得到了更好的保护。
  3. 假设虽然你的电脑可能会被泄露,但美国国家安全局会承担工作和风险,所以它可能不会如果你有重要的事情,使用气隙。自从我开始处理Snowden文档以来,我买了一台新电脑从未已连接到Internet。如果我想传输文件,我会在安全计算机上加密文件,然后使用USB记忆棒将其传送到我的互联网计算机。为了解密某些东西,我颠倒了这个过程。这可能不是防弹的,但它很好。
  4. 怀疑商业加密软件,尤其是来自大型供应商的软件。我猜想,大多数美国大公司的加密产品都有支持NSA的后门,许多外国公司可能也有。谨慎地假设外国产品也有外国安装的后门。对于NSA来说,封闭源代码软件比开放源代码软件更容易后门。依赖主机密的系统容易受到美国国家安全局的攻击,通过合法的或更多秘密手段。
  5. 尝试使用必须与其他实现兼容的公共域加密例如,NSA比BitLocker更难对TLS进行后门操作,因为任何供应商的TLS都必须与其他所有供应商的TLL兼容,而BitLocke只需与自身兼容,这给了NSA更多的更改自由。而且由于BitLocker是专有的,这些更改被发现的可能性要小得多。与公钥加密相比,更喜欢对称加密。与椭圆曲线系统相比,更喜欢传统的基于离散长度的系统;后者具有NSA可以影响的常数。

自从我开始处理Snowden的文档以来,我一直在使用GPG公司,无声圆圈,尾巴,OTR公司,磁盘加密软件,漂白钻头还有其他一些我不打算写的东西。我的密码安全命令行中的程序;我也一直在使用它。

我理解,对于典型的互联网用户来说,这大部分是不可能的。即使我并没有将所有这些工具用于我正在进行的大多数工作。不幸的是,我仍然主要使用Windows。Linux会更安全。

国家安全局已经将互联网的结构变成了一个巨大的监视平台,但它们并不神奇。与我们其他人一样,他们也受到同样的经济现实的限制,我们最好的防御措施是尽可能昂贵地监视我们。

相信数学。加密是您的朋友。好好利用它,并尽你最大的努力确保没有任何东西会影响它。这就是即使面对国家安全局,你也能保持安全的方法。

这篇文章以前出现过在中守护者。

编辑添加:Reddit线.

有人评论说,美国国家安全局的“突破性密码分析能力”可能包括对RC4的实际攻击。我不知道这样或那样,但这是一个很好的推测。

发布于2013年9月15日上午8:11查看评论

拘留大卫·米兰达

上周日,大卫·米兰达曾经 被拘留的根据一项备受争议的英国法律,英国当局在伦敦希思罗机场换机九个小时,这是不被逮捕的最长允许时间。他是格伦·格林沃尔德(Glenn Greenwald)、守护者爱德华·斯诺登(Edward Snowden)信任的许多国家安全局(NSA)文件的记者,也是这些文件中披露的监控滥用事件最多产的记者。关于米兰达被拘留的真正原因,我觉得讨论较少。他在格林沃尔德和劳拉·波特拉斯之间运送文件,劳拉·波阿斯是一名电影制作人,也是他关于斯诺登及其信息的合作记者。这些文件放在他随身携带的几根USB记忆棒上。他已经把文件从里约热内卢的格林沃尔德带到了柏林的波特拉斯,当他被拘留时,他正带着不同的文件回去。

当然,记忆棒是加密的,米兰达不知道钥匙。这并没有阻止英国当局反复索要钥匙,并没收记忆棒和其他电子产品。

引发的事件 专业 强烈抗议在英国。英国的《恐怖分子法》一直备受争议,而这种明显的滥用——其目的是赋予当局拘留和审问恐怖分子嫌疑人的权利——正在促使新的审查要求当然,英国警方将更不愿意再次以这种方式滥用法律。

我不得不承认这个故事让我感到困惑。为什么英国人会这样做?他们希望获得什么,为什么他们认为这值得付出代价?当然,英国也在采取行动靠他们自己根据《官方机密法案》,还是代表美国行事?(我最初的假设是,他们代表美国行事,但在离奇的故事英国GCHQ要求销毁守护者上个月的电脑,我不确定了。)

我们知道英国人在等米兰达。有理由认为他们知道他的行程,并有充分的理由怀疑他在格林沃尔德和波特拉斯之间来回运送文件。这些文档可以是Snowden提供的源文档,也可以是两人单独或共同编写的新文档,或者是两者兼而有之。也就是说,很难想象记忆棒中会只有这些文件的副本。波特拉斯保留了她给米兰达的所有东西的副本。因此,英国当局不可能销毁这些文件;他们所能希望的最好的事情就是能够阅读它们。

国家安全局真的有可能不知道斯诺登有什么?他们声称他们没有,但在斯诺登的名字公开后,国家安全局将进行所有审计之母。它将试图弄清楚斯诺登可以访问哪些计算机系统,以及他可以访问哪些文件。希望审计信息能提供更多细节,比如他下载了哪些文件。我很难相信它的内部审计系统会如此糟糕,以至于它无法发现这一点。

因此,如果国家安全局知道斯诺登有什么,或者他可以有什么,那么它从USB记忆棒中学到的最多的东西就是格林沃尔德和波特拉斯目前正在做的事情,或者他们正在考虑做的事情。但据推测,他们两人正在做的事就是他们下一步要出版的东西。情报机构真的只是为了提前几周了解即将发生的事情才这么做吗?考虑到国家安全局在每一份文件被曝光时是如何处理公共关系的,它想要提前了解以便能够做出回应,这似乎令人难以置信。斯诺登第一次曝光已经过去两个月了,但它仍然没有一个像样的公关故事。

此外,英国当局一定知道这些数据会被加密。格林沃尔德在斯诺登事件开始时可能是一个加密货币新手,但普瓦特拉斯是众所周知是好的在保安处。当他们进行通信时,他们一直通过电子邮件进行安全通信。也许英国当局认为其中一人很可能会犯安全错误,或者米兰达可能携带纸质文件。

另一种可能性是,这只是恐吓。如果是这样,那就被误导了。任何经常阅读格林沃尔德的人都可以告诉他们,他不会被吓倒,事实上,他表达了正好相反情感——以及任何追随波特拉斯的人都知道,她对自己的观点更加尖锐。追捕国家敌人的亲人是一种典型的恶棍战术,但实际上不是很好在这种情况下。Snowden文件将被发布。没有办法把这只猫放回袋子里,即使是杀死主要玩家也不行。

它可能是有意恐吓帮助格林沃尔德和波特拉斯的其他人,或者守护者及其广告商。这将产生一些影响。拉瓦比特,无声圆圈,现在格罗克劳都被成功地吓倒了。当然,其他人也有。但公众舆论正在转向反对情报界。我认为这不会吓倒未来的告密者。如果切尔西·曼宁的遭遇没有让他们气馁,那也不会。

这就留下了最后一个可能的解释,即当权者是愤怒的,并对这种愤怒冲动行事。他们猛烈抨击:发送消息并证明他们不会被打乱,正常的礼貌行为规则不适用于那些与他们作对的人。这可能是所有解释中最可怕的。美国和英国的情报机构都拥有巨额资金和权力,它们已经表明愿意无视自己的法律。一旦他们开始不假思索地使用这种权力,对每个人来说都会变得非常糟糕。

这对他们也没有好处。他们似乎非常想要斯诺登,为了得到他,他们会烧掉整个世界。但每次他们冲动地采取激进行动时,都会说服葡萄牙和法国政府封锁飞机因为他们认为斯诺登在上面而背上玻利维亚总统是另一个例子,他们在世界各地失去了少量的道德权威,也失去了一些再次以同样方式行事的能力。斯诺登感受到的压力越大,他就越有可能放弃缓慢而负责地发布文件,并一次性发布所有文件,就像维基解密发布美国国务院电报一样。

就在本周《华尔街日报》 已报告美国国家安全局的一些新秘密计划正在监视美国人。它是从“对现任和前任情报人员、政府官员以及帮助构建或操作系统或提供数据的公司人员的采访”中获得信息的,而不是从斯诺登那里获得的。这只是开始。媒体不会被吓倒。我不会被吓倒。但让我害怕的是,国家安全局是如此盲目,以至于看不到它。

这篇文章以前出现过在TheAtlantic.com上。

编辑添加:我一直在考虑这个问题,国家安全局很可能不知道斯诺登有什么。他是一名系统管理员。他可以进入。大多数审计和控制都是针对普通用户的;拥有root访问权限的人将能够绕过很多。当他无法逃避审计系统时,他有技术上的能力来掩盖自己的足迹。

AP制作优秀点关于此:

这一披露破坏了奥巴马政府向国会和公众所作的保证,即美国国家安全局的监视计划不会被滥用,因为出于监督目的,对其间谍系统进行了严格的监控和审计:如果斯诺登能够击败美国国家安全署自己的跳闸线和内部防盗报警器,还有多少其他员工或承包商可以这样做?

而且,我并不是说恐吓不是政府的动机。我相信是的,这是一种考虑不周的恐吓:愤怒地大肆抨击,而不是出于某种马基雅维利的策略。(这里有一个相似的观点如果他们想要米兰达的电子产品,他们本可以没收这些电子产品,并在15分钟内送他上路。拘留他九个小时,这是他们在现行法律下所能达到的绝对上限——这是一种恐吓。

我想起了电话这个守护者从英国政府收到。报道中的确切引语是:“你玩得很开心。现在我们想要回这些东西。”这是你会告诉你孩子的。这就是这里的动力。

编辑添加(8/27):Jay Rosen有一个杰出的这篇文章。

编辑添加(9/12):其他编辑 反应.

发布于2013年8月27日上午6:39查看评论

又一个“人们插入奇怪的USB棒”的故事

我真的厌倦了讲故事这样地:

电脑磁盘和U盘被丢在政府大楼和私人承包商的停车场,60%的捡到它们的人将这些设备插入办公室电脑。如果驱动器或CD上有官方徽标,则90%已安装。

课程人们插上U盘和电脑磁盘。这就像是“75%的人在公交车上捡到一份被丢弃的报纸时读到的。”?

这不是正确的回应:

弗吉尼亚州计算机科学公司(Computer Sciences Corp.)福尔斯教堂(Falls Church)网络安全和隐私咨询主管马克·拉什(Mark Rasch)对彭博社(Bloomberg)表示:“人类所知的任何设备都无法阻止人们成为白痴。”

如果60%的人试着用卡里纳斯(carinas)一样的USB棒玩,或者试着用电脑磁盘做煎蛋卷,这可能是正确的反应。但如果他们把它们插入电脑,就不会这样了。这就是他们的目的。

人们总是得到USB记忆棒。问题不在于人们是白痴,他们应该知道在街上发现的U盘自动坏,而在贸易展览上分发的U盘则自动好。问题是操作系统信任随机的USB记忆棒。问题是操作系统会自动运行一个可以从U盘安装恶意软件的程序。问题是把U盘插入电脑是不安全的。

别再责怪受害者了。他们只是想混过去。

编辑添加(7/4):截至今年2月,Windows不再支持USB驱动器的自动运行.

发布于2011年6月29日上午9:13查看评论

本·拉登利用空气间隙维护计算机安全

美联社:

本·拉登的体系建立在纪律和信任之上。但它也留下了大量电子邮件交换档案,供美国搜索。美联社了解到,上周他被杀后从他的住所中取出的电子记录揭示了数千条信息,可能还有数百个电子邮件地址。

本·拉登藏身于巴基斯坦东北部的围墙内,没有电话或互联网功能,他会在没有互联网连接的情况下在电脑上键入信息,然后用拇指大小的闪存保存。然后,他把闪存盘交给了一位值得信赖的快递员,后者将前往远处的一家网吧。

在那个位置,快递员将把内存驱动器插入计算机,将本拉登的信息复制到电子邮件中并发送出去。相反,快递员会将收到的任何电子邮件复制到闪存驱动器,然后返回大院,本拉登会在那里离线阅读他的信息。

我印象深刻。很难维持这种通信安全规则。

这是一个缓慢而艰苦的过程。这是如此细致,以至于连资深情报官员都对本·拉登能维持这么长时间感到惊讶。美国一直怀疑本·拉登是通过信使进行通信的,但没有预料到他留下的材料所透露的通信的广度。

美国海军海豹突击队在击毙本·拉登后,带走了大约100个闪存驱动器,官员们表示,他们似乎是在存档本·拉登和他在世界各地的同伙之间的来往通信。

发布于2011年5月18日上午8:45查看评论

从闪存驱动器中擦除数据

可靠地擦除基于闪存的固态驱动器中的数据Michael Wei、Laura M.Grupp、Frederick E.Spada和Steven Swanson所著。

摘要:可靠地擦除存储介质中的数据(清理介质)是安全数据管理的一个关键组件。虽然对于硬盘来说,对整个磁盘和单个文件进行清理是很容易理解的,但基于闪存的固态磁盘具有非常不同的内部体系结构,因此不清楚硬盘技术是否也适用于SSD。

我们在应用这些技术和命令后,通过从SSD的闪存芯片中提取原始数据,实证评估了面向硬盘驱动器的技术和SSD内置消毒命令的有效性。我们的结果得出三个结论:首先,内置命令是有效的,但制造商有时会错误地执行它们。其次,两次覆盖SSD的整个可见地址空间通常足以清理驱动器,但并不总是如此。第三,现有的面向硬盘驱动器的单个文件清理技术在SSD上都无效。

第三个结论引导我们开发闪存转换层扩展,利用闪存行为的细节来有效支持文件清理。总的来说,我们发现可靠的SSD清理需要内置的、可验证的清理操作。

新闻文章.视频谈论的话题。

发布于2011年3月1日上午6:29查看评论

震网

计算机安全专家经常会对主流媒体的报道感到惊讶。有时这毫无意义。为什么这种特定的数据泄露、漏洞或蠕虫而不是其他数据泄露、漏洞或蠕虫?有时这是显而易见的。就Stuxnet而言,有一个很棒的故事。

作为故事据说,Stuxnet蠕虫是由一个政府设计和发布的,美国和以色列是最常见的嫌疑人,专门攻击伊朗的布什尔核电站。怎么会有人不报告呢?它结合了计算机攻击、核能、间谍机构和一个被世界大多数国家鄙视的国家。这个故事唯一的问题是,它几乎完全是猜测。

下面是我们要做的知道:Stuxnet是一种感染Windows计算机的Internet蠕虫。它主要通过USB记忆棒传播,使其能够进入通常不连接到互联网的计算机和网络。一旦进入网络,它就会使用各种机制传播到网络中的其他机器,并在感染这些机器后获得特权。这些机制包括已知和修补的漏洞,以及四个“零日漏洞”:蠕虫发布时未知和未修补的漏洞。(所有感染漏洞都已修补。)

Stuxnet实际上并没有在那些被感染的Windows计算机上做任何事情,因为它们不是真正的目标。Stuxnet寻找的是西门子制造的一种特殊型号的可编程逻辑控制器(PLC)(新闻界通常将其称为SCADA系统,这在技术上是不正确的)。这些是小型嵌入式工业控制系统,运行各种自动化过程:在工厂车间、化工厂、炼油厂、管道,当然还有核电厂。这些PLC通常由计算机控制,Stuxnet寻找西门子SIMATIC WinCC/Step 7控制器软件。

如果找不到,它什么也不做。如果是这样,它会使用另一个未知且未修补的漏洞感染它,这是控制器软件中的漏洞。然后,它读取并更改受控PLC中的特定数据位。如果不知道PLC正在做什么以及它是如何编程的,就不可能预测这种情况的影响,而且编程可以根据应用程序的不同而不同。但是这些变化是非常具体的,导致许多人认为Stuxnet是针对一个特定的PLC或一组特定的PLC,在特定的位置执行特定的功能,Stuxnet的作者确切知道他们的目标是什么。

它已经感染了50000多台Windows电脑,西门子已经已报告14个感染控制系统,其中许多在德国。(这些数字一输入就已经过时了。)我们不知道Stuxnet造成了什么物理损坏,尽管有传言说是这样的负责的印度INSAT-4B卫星7月故障。我们相信它确实感染了布什尔植物。

所有反病毒程序都会检测并删除Windows系统中的Stuxnet。

Stuxnet于6月底首次被发现,尽管有猜测称它是在一年前发布的。随着蠕虫的发展,它变得非常复杂,并且随着时间的推移变得更加复杂。除了利用多个漏洞外,它还将自己的驱动程序安装到Windows中。当然,这些都需要签名,但Stuxnet使用的是被盗的合法证书。有趣的是,被盗证书于7月16日被吊销,7月17日发现了一个带有不同被盗证书的Stuxnet变体。

随着时间的推移,攻击者替换掉了不起作用的模块,并用新模块替换它们——也许是在Stuxnet到达预定目标时。这些证书首次出现在1月份。USB传播,三月。

Stuxnet有两种自我更新的方法。它会检查两个控制服务器,一个在马来西亚,另一个在丹麦,但也使用对等更新系统:当两个Stuxnet感染病例相遇时,它们会比较版本,并确保它们都有最新的版本。它的终止日期也是2012年6月24日。在那一天,蠕虫将停止传播并删除自身。

我们不知道谁写了Stuxnet。我们不知道为什么。我们不知道目标是什么,也不知道Stuxnet是否达到了目标。但你可以看到为什么有这么多猜测,以至于它是由政府创建的。

Stuxnet并不像一个犯罪蠕虫。它不会随意传播。它不会窃取信用卡信息或帐户登录凭据。它不会将受感染的计算机聚集到僵尸网络中。它使用了多个零日漏洞。犯罪集团会更聪明地创建不同的蠕虫变体,并在每个变体中使用一个。Stuxnet进行破坏。它不会像意图敲诈勒索的犯罪组织那样威胁破坏活动。

Stuxnet的创建成本很高。据估计,八到十个人花了六个月的时间来写作。还有实验室设置——任何遇到这些麻烦的组织都会在发布之前对其进行测试,并进行情报收集,以准确了解如何瞄准它。此外,零日利用也很有价值。它们很难找到,而且只能使用一次。无论是谁写的Stuxnet都愿意花很多钱来确保它打算做的任何工作都能完成。

然而,这些都没有指向伊朗的布什尔核电站。据我所知,这个谣言是由拉尔夫·兰纳,来自德国的安全研究员。他将他的理论称为“高度推测性”,并主要基于以下事实:伊朗感染人数异常高(有传言称伊朗感染人数在任何国家中都最多,这似乎不是真的),布什尔核电站是一个多利的目标,以及感染率高的其他一些国家——印度、印度尼西亚、,巴基斯坦和布什尔的同一个俄罗斯承包商也参与其中。这一传言传到了电脑媒体,然后又传到了主流媒体,在那里它成为了公认的故事,没有任何最初的警告。

一次理论不过,它很容易找到更多证据。单词“myrtus”出现在蠕虫中:编译器可能是偶然留下的工件。那是桃金娘。当然,这并不意味着德鲁伊写了Stuxnet。根据这个故事,它指的是王后以斯帖,也被称为哈达萨;她在公元前4世纪将波斯犹太人从种族灭绝中拯救出来。“Hadassah”在希伯来语中的意思是“桃金娘”。

Stuxnet还将注册表值设置为“19790509”,以提醒Stuxnet的新副本计算机已被感染。很明显,这是一个日期,但故事并没有关注当天发生的无数大小事情,而是强调这是指波斯犹太人哈比卜·埃尔加纳因为以色列从事间谍活动而在德黑兰被处决的日期。

当然,这些标记可以指向以色列作为作者。另一方面,Stuxnet的作者非常彻底,没有在代码中留下线索;这些标记可能是有意陷害以色列的人故意植入的。或者他们可能是以色列故意种植的,他们想让我们认为他们是被想陷害以色列的人种植的。一旦你开始沿着这条路走,就不可能知道什么时候该停下来。

在Stuxnet中找到的另一个数字是0xDEADF007。也许这意味着“死傻瓜”或“死脚”,这是指飞机引擎故障。也许这意味着Stuxnet正在试图导致目标系统失败。也许不是。尽管如此,一个旨在造成特定破坏的目标蠕虫似乎是最有可能解释。

如果是这样的话,为什么Stuxnet的目标如此草率?为什么Stuxnet意识到自己不在目标网络中时不擦除自己?当它通过U盘感染网络时,它应该只传播到另外三台计算机,并在21天后自我擦除,但它没有做到这一点。编程错误或代码中的功能未启用?也许我们不应该对目标进行逆向工程。通过允许Stuxnet在全球传播,其作者在全球范围内造成了间接损害。从外交政策的角度来看,这似乎很愚蠢。但也许Stuxnet的作者并不在意。

我的猜测是,Stuxnet的作者及其目标将永远是一个谜。

这篇文章最初出现的在Forbes.com上。

我对Stuxnet的另一种解释从文章中删掉了。它们在这里:

  • 一个失控的研究项目。研究人员以前曾意外释放过蠕虫。但考虑到媒体,以及任何从事此类工作的研究人员都会与朋友、同事和他的顾问交谈,我希望现在有人已经揭穿了他的身份,尤其是如果这是由团队完成的。
  • 一种犯罪蠕虫,旨在展示一种能力。当然,这是可能的。Stuxnet可能是敲诈勒索的前奏。但我认为更便宜的演示也同样有效。再说一次,也许不是。
  • 一条消息。很难进一步推测,因为我们不知道这条消息是给谁的,也不知道它的上下文。预计收件人会知道。也许这是一条“看看我们能做什么”的信息。或者“如果你不听我们的话,下次我们会做得更糟”。再次强调,这是一条非常昂贵的消息,但可能其中一条消息是“我们有如此多的资源,为了好玩,我们可以花费四五年的努力和四个零日漏洞。”如果这条消息是给我的,我会印象深刻。
  • 美国军方发布的蠕虫病毒,旨在吓唬政府,使其在网络安全方面获得更多预算和权力。不,这种阴谋在小说中比在现实生活中更常见。

请注意,这些替代解释中有一些是重叠的。

编辑添加(10/7):Symantec发布了非常详细的分析。这似乎是零日漏洞之一不是零日毕竟。很好CNet文章.更多猜测,没有任何证据。体面揭穿.备用理论目标是伊朗纳坦兹的铀离心机。

发布于2010年10月7日上午9:56查看评论

吃闪存驱动器

怎么不是为了销毁证据:

记录显示,一名纽约市男子在特工局特工羁押期间,大胆而奇怪地试图销毁在联邦突袭中缴获的证据,他抓起了一个闪存盘并吞下了数据存储设备。

这篇文章并没有明确说明这一点,因为这是任何读者都会问的主要问题,但似乎这名男子的消化道并没有破坏证据。

发布于2010年3月8日上午11:00查看评论

FIPS 140-2二级认证USB记忆棒破裂

有点像愚蠢的错误:

有问题的USB驱动器通过几乎不可破解的AES 256位硬件加密系统加密存储的数据。因此,访问存储在驱动器上的纯文本数据的主要攻击点是密码输入机制。在分析相关的Windows程序时,SySS安全专家发现了一个相当明显的缺陷,该缺陷已经很明显地从测试人员的网络中漏掉了。在成功授权过程中,无论密码如何,程序都会在执行各种加密操作后始终向驱动器发送相同的字符串,这种情况适用于所有此类USB闪存驱动器。

因此,破解驱动器非常简单。SySS专家为活动密码输入程序的RAM编写了一个小工具,它始终确保将适当的字符串发送到驱动器,而不管输入的密码是什么,因此可以立即访问驱动器上的所有数据。易受攻击的设备包括Kingston DataTraveler BlackBox、SanDisk Cruzer Enterprise FIPS Edition和Verbatim Corporate Secure FIPS Edition。

很好的分析工作。

文章继续质疑FIPS认证的价值:

然而,真正的问题仍然没有答案——如何才能为显示出如此严重安全漏洞的USB闪存驱动器授予加密设备最高证书之一?更重要的是,如果认证没有检测到这些漏洞,那么它的价值是什么?

问题是,没有人真正理解FIPS 140-2认证的含义。相反,他们认为:“这个加密货币是经过认证的,所以它必须是安全的。”事实上,FIPS 140-2 2级认证唯一的手段使用了某些好的算法,并且具有一定程度的防篡改性和篡改证据。安全营销部门利用了这种混淆——不仅是FIPS 140,还有所有的安全标准——并鼓励他们的客户将符合标准等同于安全。

因此,当这种等价被证明是错误的时,人们会感到惊讶。

发布于2010年1月8日上午7:24查看评论

1 2

Joe MacInnis拍摄的Bruce Schneier的侧栏照片。