Schneier谈安全：标记学校

标记为“学校”的条目

第8页，共8页

基地组织黑客被捕

近两年来，世界各地的情报机构一直在试图查出一名互联网黑客的身份，他已成为“基地”组织的主要渠道。这位精明、会说英语的年轻站长嘲笑他的追随者，称自己为伊尔哈比恐怖分子-007。他侵入了美国大学的电脑，为阿布·穆萨卜·扎卡维领导的伊拉克叛乱分子进行宣传，并教其他网络圣战分子如何为这一事业使用电脑。

假设英国当局可信，他肯定是恐怖分子：

去年秋天，Irhabi 007突然从留言板上消失了。在伦敦警察厅逮捕了一名22岁的西伦敦人尤尼斯·索利（Younis Tsouli）后，这些帖子结束了。尤尼斯·苏利涉嫌参与一场所谓的炸弹阴谋。11月，英国当局对他提出了一系列与该阴谋有关的指控。直到后来，据我们熟悉英国调查的消息人士透露，佐利的其他可疑身份才被披露。英国调查人员最终向我们证实，他们相信他就是伊尔哈比007。

[…]

Tsouli被指控犯有8项罪行，包括阴谋谋杀、阴谋制造爆炸、阴谋制造公害、阴谋以欺骗手段获取金钱以及与持有用于恐怖目的的物品和筹集资金有关的罪行。

可以。所以他是个恐怖分子。他利用互联网，既作为一种通讯工具，又闯入网络。但这并没有使他成为网络恐怖分子。

不过，这篇文章很有趣。

这里是Slashdot螺纹关于主题。

发布于2006年3月28日上午7:27•查看评论

校车司机挫败恐怖阴谋

这是一个很好的例子电影情节威胁:

公交车司机已经意识到了驾车者的道路愤怒和携带武器的孩子，他们被警告要面对更可怕的情况。就像这样：恐怖分子监视一名守时的司机数周，然后劫持一辆公交车，并在友好的黄色车辆上装载足够的炸药，以摧毁一座建筑。

这太奇怪了，太滑稽了。

但不要担心：

安全专家Jeffrey Beatty最近在弗吉尼亚州诺福克告诉一个由250名司机组成的班级，一名警觉的校车司机可能会挫败这一计划。

所以我们正在资助校车司机的反恐培训：

在国土安全部的资助下，校车司机正在接受培训，以防范潜在的恐怖分子，这些恐怖分子可能正在封锁路线或策划炸毁校车。

[…]

这项新的努力是美国卡车运输协会（American Trucking Associations）管理的行业安全项目公路观察（Highway Watch）的一部分，自2003年以来，该项目由5000万美元的国土安全资金资助。

到目前为止，从达拉斯、纽约市到北卡罗来纳州的库雷海滩、弗吉尼亚州的霍普韦尔和得克萨斯州的普莱森特山，成千上万的公交运营商已经在大大小小的地方接受了培训。

评论近乎超现实：

跟踪安全趋势的学校安全顾问肯尼思·特朗普（Kenneth Trump）表示，做好准备并不是危言耸听。特朗普说：“否认和淡化学校和校车是美国潜在的恐怖目标是愚蠢的。”

这当然是完全浪费金钱。可能这甚至对安全有害，因为公共汽车司机不得不将注意力分散在真正的威胁（涉及儿童的汽车事故）和电影情节的恐怖威胁之间。还有不断蔓延的监视社会：

罗林斯说：“今天是公交车司机，明天可能是邮政官员，第二天可能是‘为什么我们不为送报纸上门的人制定这个计划？’”。“我们可以很快进入一个相互监视的社会。这可能是出于好意，但也有人担心会走得太远。”

我们应该用钱做什么？我们应该资助真正有助于防范恐怖主义的事情：情报、调查、应急响应。试图正确猜测恐怖分子的计划通常是浪费资源；投资于安全对策，不管恐怖分子计划如何，都会有所帮助，这要聪明得多。

发布于2006年2月21日上午9:07•查看评论

库茨镇13

13名宾夕法尼亚州高中生——库兹敦13岁已充电具有重罪:

他们被称为库茨镇13号，这是一群高中生，他们被指控犯有重罪，罪名是使用学校发放的笔记本电脑绕过安全系统，下载被禁止的互联网商品，并使用监控软件监视地区管理员。

这些学生、他们的家人和愤怒的支持者表示，当局反应过度，惩罚这些孩子的不是任何令人发指的行为——没有恶意行为被指控，而是因为他们比该地区的技术工人更聪明…。

去年秋天，该地区向费城西北约50英里处的一所高中的每位学生发放了大约600台苹果iBook笔记本电脑，由此引发了麻烦。这些计算机加载了限制互联网访问的过滤程序。他们也有软件，可以让管理员查看学生在屏幕上看到的内容。

但事实证明，这些障碍很容易克服：允许学生重新配置计算机并获得无限制上网的管理密码很容易获得。这是学校街道地址的缩写，密码被贴在了电脑的背面。

密码被传了出去，学生们开始下载诸如流行的iChat即时消息工具等被禁止的程序。

至少有一名学生观看了色情作品。一些学生还关闭了远程监控功能，用它来查看管理员自己的电脑屏幕。

不过，故事还不止这些。这里是关于这个问题的一些好的评论：

家长们没有提到的是，学校在新闻发布会上做了什么，这并不是说学校是凭空倒塌的。

这些孩子因为做了这些事而被抓住并受到惩罚，他们的父母也通知了他们。

一遍又一遍。

引用版本：

“不幸的是，在多次警告和纪律处分后，一些学生继续不同程度地滥用学校发放的笔记本电脑。纪律处分包括拘留、停课、失去互联网接入和失去计算机特权。每次纪律处分后，家长都会收到书面通知离子或电话。”

父母对这些纪律处分的反应是什么？他们中的一些人抱怨说，尽管签署了一份同意可接受使用政策的文件，但孩子们应该能够使用免费机器做任何他们想做的事情。

“我们签了字，但我们不是有意的”？

是的，孩子们应该受到惩罚。不，重罪共犯不是惩罚他们的方式。

问题是惩罚与罪行不符。孩子们要做的就是打破规则。是的，社会需要处理这件事，但它需要以一种不会破坏生活的方式来处理这件事情。如果我们要在互联网上建立一个合法的社会，威慑是至关重要的，但威慑必须来自理性的起诉。这根本不合理。

编辑添加（9月2日）：似乎指控已被撤销.

发布于2005年8月22日上午6:56•查看评论

剽窃与学术：个人经验

2004年12月出版的一篇论文SIGCSE公告,“使用相关密钥攻击对一些加密/密码方案进行密码分析，”作者：哈瓦贾·阿梅尔·哈亚特（Khawaja Amer Hayat）、奥马尔·瓦卡尔·阿尼斯（Umar Waqar Anis）和S.Tauseef-ur-Rehman，与纸张约翰·凯尔西（John Kelsey）、大卫·瓦格纳（David Wagner）和我于1997年出版的那本书。

这显然是剽窃。句子被改写或总结了一点，并引入了许多拼写错误，但其他方面都是同一篇论文。它是复制的，具有相同的节、段和句子结构，右下至相同的数学变量名。它在引用参考文献的方式上也有同样的怪癖。等等。

我们就这个主题写了两篇论文；这是第二个。他们没有在参考书目中列出我们的论文。他们确实暗指“[KSW96]”（第一我们的两篇论文）的介绍和设计原则，大概是从我们的文本中复制的；但他们的参考书目中没有对“[KSW96]”的完整引用。也许他们担心其中一名裁判会阅读他们参考书目中列出的论文，并注意到抄袭行为。

这三位作者来自巴基斯坦伊斯兰堡国际伊斯兰大学。第三位作者S.Tauseef-Ur-Rehman是该巴基斯坦机构电信工程系的系主任（兼教员）。如果你相信他的故事——这可能是正确的——他与研究无关，只是在他的两个学生的论文中附上了他的名字。（这并不罕见，世界各地的大学都会发生这种情况。）但这并没有让他摆脱困境。他仍然要为自己的名字负责。

我们不是唯一的一个。这三位作者剽窃的这纸张法国密码学家Serge Vaudenay等人。

我写信给SIGCSE公告他从自己的网站上删除了这篇文章，并要求提供正式的承认信和道歉信。（道歉位于这第页）他们说，他们将禁止他们再次提交，但后来又改变了主意。ACM出版办公室主任马克·曼德尔鲍姆（Mark Mandelbaum）现在表示，ACM没有关于剽窃的政策，也不会采取任何其他措施。我还写信给我原创论文的出版商斯普林格·弗拉格。

我不怪期刊让这些论文通过。我参考过论文，几乎不可能验证一项研究是否具有原创性。我们基本上是自我监管。

大多数情况下，该系统是有效的。这三个人已经被发现，应该被解雇和/或开除。当然ACM应该禁止他们提交任何东西，我很惊讶他们声称他们没有关于剽窃的政策。学术剽窃行为严重到足以引起如此程度的回应。不过，我不知道该系统在巴基斯坦是否有效。我希望是这样。这些人知道他们这样做的风险。然后他们又这样做了。

如果我听起来很生气，我不是。我更开心了。我听说过发展中国家的研究人员利用剽窃来填补他们的简历，但我很惊讶看到这种情况发生在我身上；如果他们要这样做，那么选择一个更晦涩的作者不是更明智吗？

很高兴知道八年后我们的工作仍然被认为是相关的。

编辑添加：另一篇论文，”实时传输协议安全性分析“Junaid Aslam、Saad Rafique和S.Tauseef-ur-Rehman”抄袭了原文：实时传输协议（RTP）安全Ville Hallivuori著。

编辑添加：ACM出版委员会副主席Ron Boisvert表示：

1.ACM一直是计算机专业人员中高道德标准的拥护者。尊重知识产权当然是其中的一部分，这在ACM道德准则中得到了明确的体现。

2.ACM始终迅速果断地处理与其出版物有关的聚合主义指控，并将继续致力于在未来这样做。

在过去，这种聚众闹事的事件很少发生。然而，近年来，此类事件的数量大幅增加。因此，ACM出版委员会最近开始制定一项更明确的关于聚合主义的政策。在这样做的过程中，我们希望列出（a）什么是plagarism，以及不同级别的plagarimis，（b）ACM处理plagarissim指控的程序，以及（c）将对那些被发现在每个确定级别上犯下plagalism的人进行具体处罚。当这项新的“政策”出台后，我们希望广泛宣传，以引起人们对这一日益严重的问题的更多关注。

编辑添加：有条新闻故事有了一些新的发展。

编辑添加：在过去的几周里，我不断收到人们的电子邮件，大概是国际伊斯兰大学的教职员工和管理人员，在这篇博客中发表评论。通常给出的理由是，有一项官方调查正在进行中，因此没有任何理由发表评论，或者Tauseef已经被解雇，因此没有理由再发表评论，或这些评论对大学或国家的声誉有害。

我回应说，我不会对这个博客条目发表评论。我已经并将继续删除不连贯或敌对的帖子（这两种情况都有）。

博客评论是匿名的。我没有办法核实海报的身份，我也没有。我已经并将继续删除任何声称来自某个不来的人的帖子，但一般来说，我能弄清楚这一点的唯一方法是，如果那个真实的人给我发电子邮件并询问我。

否则，请将其视为匿名自由言论的论坛。这里的评论未经审查和验证。它们可能是真的，也可能是假的。读者应该理解这一点，我相信他们在很大程度上做到了。

在美国，我们有一句话，对不良言论的解药是更多的言论。我邀请任何不同意页面上评论的人发表自己的意见。

发布于2005年8月1日上午6:07•查看评论

学生攻击系统以更改成绩

这很有趣故事:

警方表示，加州大学旧金山分校的一名学生被控四项重罪，据称她盗取了两名教授的身份，并利用这些信息更改了自己和其他几名学生的成绩。

加州大学圣巴巴拉分校（University of California Santa Barbara）有一个定制程序eGrades，教师可以在这里提交和更改成绩。当然，它有密码保护。但有一个备份系统，所以忘记密码的教员可以使用他们的社会保险号和出生日期重置密码。

一名学生在一家保险公司工作，她能够为两名教员获得SSN和DOB。她利用这些信息重置他们的密码并更改成绩。

警方、大学官员和校园计算机专家表示，拉米雷斯被指控非法进入计算机分级系统，并不是因为该程序存在缺陷或漏洞。

对我来说，这听起来像是程序中的一个缺陷书面的关于：一个主安全机制不能作为一个不安全的辅助机制。

发布于2005年4月1日下午2:36•查看评论

指纹识别学生

美国新生的安全趋势是追踪学童当他们上下校车时。

为了防止儿童因绑架或更无辜的情况而丧生，一些学校已经开始使用类似于跟踪牲畜和零售货物托盘的技术来监测学生的到达和离开。

德克萨斯州斯普林市的一个学区正在使用电脑ID徽章记录这些信息，并将其无线发送给警察总部。凤凰城的另一个学区也在对指纹读取器做同样的事情。该系统旨在帮助防止儿童因绑架或意外事故而死亡。

这里发生了什么？这些人疯了吗？跟踪孩子上下车的过程是一个荒谬的想法。它价格昂贵，具有侵入性，并且不会大大提高安全性。

安全总是一种权衡超越恐惧，我描述了评估安全对策的五个步骤。这个想法是为了能够理性地确定一个对策是否值得。在这本书中，我将五步流程应用于从家庭防盗报警器到反恐军事行动的所有方面。让我们在这种情况下应用它。

第一步：你想保护哪些资产？儿童。

步骤2：这些资产的风险是什么？儿童因绑架或意外而死亡。儿童绑架在美国是一个严重的问题。；儿童被家庭成员绑架的概率为340分之一，被非家庭成员绑架概率为1200分之一（每年）。（这些统计学1999年，来自美国司法部NISMART-2。我的猜测是，德克萨斯州斯普林的当前利率要低得多。）这些绑架案中很少涉及校车，因此尚不清楚这里要解决的具体风险有多严重。

步骤3：安全解决方案在多大程度上减轻了这些风险？不太好。

让我们想象一下，在发生绑架事件时，这个系统如何提供安全保障。如果绑架者声称是孩子认识的人——上了校车，在错误的车站把孩子带走，系统会记录下来。另一方面，如果绑架发生在孩子上车之前或孩子下车之后，系统不会记录任何可疑信息。是的，它会告诉调查人员绑架是发生在早上出勤之前，还是发生在校车行驶之前或之后，但这一条信息是否值得整个跟踪系统？我对此表示怀疑。

你可以想象一个电影情节，这种跟踪系统可以帮助主人公找回被绑架的孩子，但在一般情况下似乎没有什么用处。

步骤4：安全解决方案还会导致哪些其他风险？额外的风险是通过持续监测收集的数据。这些信息是在哪里收集的？谁有权访问它？它存放多长时间？这些都是没有提及的重要安全问题。

步骤5：安全解决方案带来了哪些成本和权衡？有两个。第一个是显而易见的：金钱。我没有想过，但给每个孩子都配备身份证和每个校车配备这个系统是很昂贵的。第二个代价更无形：失去隐私。我们抚养的孩子们认为他们的日常活动被警察监视和记录是正常的。这种隐私感我们不应该轻易放弃。

最后，这个系统值得吗？不。获得的安全性不值得花费金钱和隐私。如果目标是让孩子们更安全，那么钱最好花在其他地方：学校的警卫、孩子们的教育项目等等。

如果这个系统没有什么意义，为什么美国至少有两个城市实施了它？显而易见的答案是学区没有彻底考虑这个问题。他们要么被技术所诱惑，要么被构建系统的公司所诱惑。但还有另一种更有趣的可能性。

在超越恐惧，我谈论议程的概念。五步过程是一个主观过程，应该从权衡决策者的角度进行评估。如果你想象学校官员正在权衡，那么这个系统突然变得有意义了。

如果学校财产发生绑架，随后的调查很容易伤害学校官员。他们甚至可能失去工作。如果您将此安全对策视为一种保护措施他们就像它保护儿童一样，它突然变得更有意义了。一般来说，这种权衡可能不值得，但值得这样做他们.

绑架是一个真正的问题，有助于降低风险的对策是一件好事。但请记住，安全永远是一种权衡，一个好的安全系统是一个安全利益值得放弃的金钱、便利和自由的系统。很简单，这个系统不值得。

发布于2005年1月11日上午9:49•查看评论

金属箔探测器

高中生正偷偷地把手机从金属探测器旁偷走。

从纽约邮报:

聪明的学生们正在想方设法让他们的手机通过金属探测器和城市高中的学校安全人员，因为这些设备是被禁止的。

上西区马丁·路德·金高中（Martin Luther King Jr.HS）的孩子们把手机放在皮带扣后面，并把发出哔哔声的金属探测器归咎于皮带扣。

一些女孩把手机藏起来，这样保安就不会在胸罩里或腿之间看手机了。

注意，它们并没有愚弄金属探测器；他们在愚弄金属探测器的工作人员。

发布于2004年10月27日下午1:44•查看评论

←上一个 1 … 6 7 8

Joe MacInnis拍摄的Bruce Schneier的侧栏照片。