精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動態(tài) → 正文

科學(xué)家利用行為科學(xué)和經(jīng)濟(jì)學(xué)打擊網(wǎng)絡(luò)犯罪

責(zé)任編輯:editor006 作者:張章 |來源:企業(yè)網(wǎng)D1Net  2016-06-14 18:05:46 本文摘自:中國科學(xué)報

我們已經(jīng)有太多計算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。

無論你怎么解釋網(wǎng)絡(luò)犯罪,Angela Sasse說,“受害者總是憤怒地指責(zé)客戶服務(wù)”。

Sasse正在談?wù)摰氖抢账鬈浖汉诳褪褂靡环N敲詐程序加密用戶電腦數(shù)據(jù),然后向用戶索要金錢換得能解鎖的數(shù)字鑰匙。受害者會收到詳細(xì)的付款流程和鑰匙使用指南。如果他們遇到技術(shù)難題,對方提供24小時電話服務(wù)。

“這比他們從網(wǎng)絡(luò)供應(yīng)商那里得到的服務(wù)更完善。”英國倫敦大學(xué)學(xué)院網(wǎng)絡(luò)安全研究所所長、心理學(xué)家和計算機(jī)學(xué)家Sasse說。她提到,目前的網(wǎng)絡(luò)安全挑戰(zhàn)簡言之就是:“攻擊者遙遙領(lǐng)先于防御者,這讓我非常擔(dān)憂。”

現(xiàn)在,黑客早已不僅僅主要是尋求刺激的青少年和大學(xué)生:他們已經(jīng)變得更有經(jīng)驗(yàn)。“激進(jìn)黑客”組織已經(jīng)開始攻擊高調(diào)的恐怖分子和社會名流。有統(tǒng)計顯示,網(wǎng)絡(luò)犯罪使得全球經(jīng)濟(jì)每年損失3750億~5750億美元。

越來越多的研究人員和安全專家意識到,他們不能僅靠建造更高更強(qiáng)大的防火墻應(yīng)對挑戰(zhàn)。他們還需要找出防火墻內(nèi)部的問題,例如密碼薄弱或點(diǎn)擊可疑郵件等人為問題,這些問題與約1/4的網(wǎng)絡(luò)安全失效有關(guān)。他們還必須跟蹤支持黑客的地下經(jīng)濟(jì),并找到反擊的弱點(diǎn)。

“我們已經(jīng)有太多計算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。”美國國土安全部網(wǎng)絡(luò)安全研究主管Douglas Maughan說。

但這正在迅速改變。在過去5年間,國土安全部等機(jī)構(gòu)正加大其在網(wǎng)絡(luò)安全人為方面的經(jīng)費(fèi)。今年2月,美國總統(tǒng)奧巴馬提議將網(wǎng)絡(luò)安全2017財年經(jīng)費(fèi)提高190億美元,并首次將人為因素研究納入優(yōu)先項。

其他國家也紛紛展開行動。在英國,Sasse的研究所獲得380萬英鎊經(jīng)費(fèi),研究該國商業(yè)、政府和其他機(jī)構(gòu)的網(wǎng)絡(luò)安全。“將人為因素納入網(wǎng)絡(luò)安全是前沿的。”她說。

人性弱點(diǎn)

想象一下,在忙碌的工作日,你收到一封看似合法的郵件:公司的計算機(jī)安全團(tuán)隊發(fā)現(xiàn)安全漏洞,每個人都必須立即進(jìn)行電腦掃描尋找病毒。“大家傾向直接點(diǎn)擊接收而非認(rèn)真閱讀。”英國巴斯大學(xué)社會心理學(xué)家Adam Joinson說。但這是一封偽裝郵件,一旦點(diǎn)擊接收,惡意軟件將進(jìn)入公司網(wǎng)絡(luò),進(jìn)而盜竊密碼和其他數(shù)據(jù)。

看上去黑客比防御機(jī)構(gòu)更能抓住用戶的心理。在案例中,攻擊成功取決于人們對權(quán)威的遵從心理,而且在忙碌和煩躁的狀態(tài)下,人們的懷疑能力也降低。而到目前為止,采用密碼是最簡單、最普遍的證明用戶身份的方法。2014年,Sasse和同事研究發(fā)現(xiàn),美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)平均每天出現(xiàn)23個“身份驗(yàn)證事件”,其中包括重復(fù)登錄電腦和15分鐘不使用后的自動鎖定。此類要求大量耗費(fèi)了員工的時間和精力。

在另一個密碼研究中,該研究小組記錄了大型跨國組織員工回避官方安全要求的方法,包括將密碼寫下來或利用非加密的閃存盤傳輸文件。這實(shí)際上造成了工作流程中的“安全陰影”。“大多數(shù)人的目標(biāo)不是安全,而是完成工作。”英國谷歌研究院安全研究專家Ben Laurie說,“如果他們需要跳過太多障礙,他們會說‘讓它見鬼去吧’。”

研究人員已經(jīng)找出諸多解決員工和安全管理者之間僵局的方法。Lorrie Cranor領(lǐng)銜的美國卡耐基·梅隆大學(xué)網(wǎng)絡(luò)隱私和安全實(shí)驗(yàn)室,就正在尋找使密碼政策更加人性化的方法。

“六七年前,我們就開始這項工作了。當(dāng)時卡耐基·梅隆大學(xué)將密碼要求變得十分復(fù)雜。”現(xiàn)任美國聯(lián)邦商業(yè)委員會首席工程師的Cranor說。該校表示正試著統(tǒng)一NIST的標(biāo)準(zhǔn)密碼規(guī)范。但Cranor調(diào)查發(fā)現(xiàn),這些規(guī)范主要基于理論推測。它們并非基于數(shù)據(jù),因?yàn)闆]有機(jī)構(gòu)希望透露用戶的密碼,“因此,我們說,‘這是一項研究挑戰(zhàn)’。”

是時候作出改變了

Cranor團(tuán)隊測試了一系列密碼政策。他們要求卡耐基·梅隆大學(xué)的470位計算機(jī)使用者基于不同的密碼長度和特殊符號要求生成新密碼。然后,他們測試了密碼的效果、制定這些密碼的難度、記憶難度和該系統(tǒng)對使用者的困擾。“使用者處理密碼長度比復(fù)雜性更容易。”Cranor說。

另外,如果研究人員破解了一個密碼,他們往往在很短的時間里就能猜出用戶的新密碼,原因是用戶在被迫修改密碼時往往只在原密碼的基礎(chǔ)上作細(xì)小改動。例如,用戶會將“secret10jan”改為“secret10mar”。“同樣,如果黑客能猜到你的密碼一次,他們可能會很容易地猜到新密碼。”

而且,強(qiáng)迫用戶定期更改密碼“可能實(shí)際上弊大于利”。相比強(qiáng)迫用戶更改密碼,更好的做法是讓用戶使用較長的密碼,并迫使他們使用一些非字母字符。要提高用戶的密碼安全性,教育比強(qiáng)迫更好。

Cranor指出:“如果用戶知道他們將不得不定期更改密碼,他們往往不會在一開始就設(shè)置安全度很強(qiáng)的密碼,而且可能會把密碼寫下來。”如果用戶被要求設(shè)置一個長期使用的密碼,他們就可能會設(shè)置一個安全度很強(qiáng)同時也難以記住的密碼。如果他們被要求設(shè)置只能使用3個月的密碼,他們就更有可能設(shè)置相對簡單因而也容易破解的密碼。

雖然,密碼政策存在諸多不合理之處,但Sasse表示,“去年,英國政府通信總部(GCHQ)改變密碼的建議是個里程碑”。GCHQ發(fā)布了一份公文,表示放棄定期修改密碼和敦促管理者盡可能讓用戶遵循其規(guī)定等長期慣例。

另一方面,如果研究能發(fā)現(xiàn)用戶的行為弱點(diǎn),或許也能找到攻擊者的弱點(diǎn)。

了解對手

加州大學(xué)圣迭戈分校計算學(xué)家Stefan Savage和同事建立了一個計算機(jī)簇,扮演所謂的“最易受騙的消費(fèi)者”。這些機(jī)器收到了反垃圾公司收集的一些垃圾郵件,并點(diǎn)開了能找到的每個鏈接。研究人員將焦點(diǎn)放在了非法藥物、假冒手表和提包、盜版軟件上——這是垃圾郵件最常有的廣告。

然后,他們使用專門設(shè)計的軟件追蹤了垃圾郵件的供應(yīng)網(wǎng)絡(luò)。如果非法販賣者在這里注冊了域名,并支付給供貨者費(fèi)用,研究人員將能看到。該研究首次曝光了電腦犯罪的整個商業(yè)鏈條,并揭示了其驚人的復(fù)雜結(jié)構(gòu)。

“這是怪異的企業(yè)新理念的最終溫床。”Savage說,“這是你能想象的小商業(yè)資本的純粹形式,因?yàn)檫@里沒有任何規(guī)則。”而且,盡管垃圾郵件的回復(fù)率非常低,但大規(guī)模的發(fā)送垃圾郵件每年可創(chuàng)造高達(dá)數(shù)百萬英鎊的盈利。但垃圾郵件制造者本身也易受攻擊,因此造成發(fā)送垃圾郵件成本偏高。

“你自己不會發(fā)送垃圾郵件。”Savage說,于是尋求專業(yè)人士,“他們收取購買價的30%~40%”。但該垃圾郵件發(fā)送的響應(yīng)率遠(yuǎn)低于合法的直投機(jī)構(gòu)公布的平均2.15%的響應(yīng)率。

但遺憾的是,追蹤這些地下經(jīng)濟(jì)體不能幫助執(zhí)法機(jī)構(gòu)逮捕罪犯,他們的現(xiàn)實(shí)身份隱藏在網(wǎng)絡(luò)假名背后。而且,這些犯罪網(wǎng)絡(luò)基礎(chǔ)設(shè)施恢復(fù)力極強(qiáng)。

不過,科學(xué)家還揭露了一些能更有效打擊地下經(jīng)濟(jì)的方法。Savage和同事發(fā)現(xiàn),該鏈條最薄弱的一環(huán)是銀行將信用卡支付的費(fèi)用轉(zhuǎn)到利潤中心的過程。有規(guī)定指出,銀行必須擔(dān)保信用可消費(fèi)是合法的,并有義務(wù)在客戶投訴時為他們追回資金。沒有銀行愿意承擔(dān)此類風(fēng)險。“95%的垃圾郵件只用3家銀行。”它們分別位于阿塞拜疆、拉脫維亞以及圣基茨和尼維斯。

這也并非永久手段。因?yàn)槔]件發(fā)送者將使用的銀行正逐漸轉(zhuǎn)移到西方公司和執(zhí)法機(jī)構(gòu)夠不到的地方。但卡耐基·梅隆大學(xué)計算機(jī)工程師Nicolas Christin表示,在網(wǎng)絡(luò)世界,每一筆交易都有數(shù)字痕跡,尤其是需要支付的地方。“對于經(jīng)濟(jì)學(xué)家而言,這非常有用。”

“我們正著手研究。”Christin說,但數(shù)據(jù)流能幫助計算機(jī)學(xué)家、社會學(xué)家和執(zhí)法機(jī)構(gòu)協(xié)同行動。

關(guān)鍵字:谷歌科學(xué)家網(wǎng)絡(luò)隱私

本文摘自:中國科學(xué)報

x 科學(xué)家利用行為科學(xué)和經(jīng)濟(jì)學(xué)打擊網(wǎng)絡(luò)犯罪 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動態(tài) → 正文

科學(xué)家利用行為科學(xué)和經(jīng)濟(jì)學(xué)打擊網(wǎng)絡(luò)犯罪

責(zé)任編輯:editor006 作者:張章 |來源:企業(yè)網(wǎng)D1Net  2016-06-14 18:05:46 本文摘自:中國科學(xué)報

我們已經(jīng)有太多計算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。

無論你怎么解釋網(wǎng)絡(luò)犯罪,Angela Sasse說,“受害者總是憤怒地指責(zé)客戶服務(wù)”。

Sasse正在談?wù)摰氖抢账鬈浖汉诳褪褂靡环N敲詐程序加密用戶電腦數(shù)據(jù),然后向用戶索要金錢換得能解鎖的數(shù)字鑰匙。受害者會收到詳細(xì)的付款流程和鑰匙使用指南。如果他們遇到技術(shù)難題,對方提供24小時電話服務(wù)。

“這比他們從網(wǎng)絡(luò)供應(yīng)商那里得到的服務(wù)更完善。”英國倫敦大學(xué)學(xué)院網(wǎng)絡(luò)安全研究所所長、心理學(xué)家和計算機(jī)學(xué)家Sasse說。她提到,目前的網(wǎng)絡(luò)安全挑戰(zhàn)簡言之就是:“攻擊者遙遙領(lǐng)先于防御者,這讓我非常擔(dān)憂。”

現(xiàn)在,黑客早已不僅僅主要是尋求刺激的青少年和大學(xué)生:他們已經(jīng)變得更有經(jīng)驗(yàn)。“激進(jìn)黑客”組織已經(jīng)開始攻擊高調(diào)的恐怖分子和社會名流。有統(tǒng)計顯示,網(wǎng)絡(luò)犯罪使得全球經(jīng)濟(jì)每年損失3750億~5750億美元。

越來越多的研究人員和安全專家意識到,他們不能僅靠建造更高更強(qiáng)大的防火墻應(yīng)對挑戰(zhàn)。他們還需要找出防火墻內(nèi)部的問題,例如密碼薄弱或點(diǎn)擊可疑郵件等人為問題,這些問題與約1/4的網(wǎng)絡(luò)安全失效有關(guān)。他們還必須跟蹤支持黑客的地下經(jīng)濟(jì),并找到反擊的弱點(diǎn)。

“我們已經(jīng)有太多計算機(jī)學(xué)家進(jìn)行網(wǎng)絡(luò)安全工作,但沒有足夠的心理學(xué)家和經(jīng)濟(jì)學(xué)家。”美國國土安全部網(wǎng)絡(luò)安全研究主管Douglas Maughan說。

但這正在迅速改變。在過去5年間,國土安全部等機(jī)構(gòu)正加大其在網(wǎng)絡(luò)安全人為方面的經(jīng)費(fèi)。今年2月,美國總統(tǒng)奧巴馬提議將網(wǎng)絡(luò)安全2017財年經(jīng)費(fèi)提高190億美元,并首次將人為因素研究納入優(yōu)先項。

其他國家也紛紛展開行動。在英國,Sasse的研究所獲得380萬英鎊經(jīng)費(fèi),研究該國商業(yè)、政府和其他機(jī)構(gòu)的網(wǎng)絡(luò)安全。“將人為因素納入網(wǎng)絡(luò)安全是前沿的。”她說。

人性弱點(diǎn)

想象一下,在忙碌的工作日,你收到一封看似合法的郵件:公司的計算機(jī)安全團(tuán)隊發(fā)現(xiàn)安全漏洞,每個人都必須立即進(jìn)行電腦掃描尋找病毒。“大家傾向直接點(diǎn)擊接收而非認(rèn)真閱讀。”英國巴斯大學(xué)社會心理學(xué)家Adam Joinson說。但這是一封偽裝郵件,一旦點(diǎn)擊接收,惡意軟件將進(jìn)入公司網(wǎng)絡(luò),進(jìn)而盜竊密碼和其他數(shù)據(jù)。

看上去黑客比防御機(jī)構(gòu)更能抓住用戶的心理。在案例中,攻擊成功取決于人們對權(quán)威的遵從心理,而且在忙碌和煩躁的狀態(tài)下,人們的懷疑能力也降低。而到目前為止,采用密碼是最簡單、最普遍的證明用戶身份的方法。2014年,Sasse和同事研究發(fā)現(xiàn),美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)平均每天出現(xiàn)23個“身份驗(yàn)證事件”,其中包括重復(fù)登錄電腦和15分鐘不使用后的自動鎖定。此類要求大量耗費(fèi)了員工的時間和精力。

在另一個密碼研究中,該研究小組記錄了大型跨國組織員工回避官方安全要求的方法,包括將密碼寫下來或利用非加密的閃存盤傳輸文件。這實(shí)際上造成了工作流程中的“安全陰影”。“大多數(shù)人的目標(biāo)不是安全,而是完成工作。”英國谷歌研究院安全研究專家Ben Laurie說,“如果他們需要跳過太多障礙,他們會說‘讓它見鬼去吧’。”

研究人員已經(jīng)找出諸多解決員工和安全管理者之間僵局的方法。Lorrie Cranor領(lǐng)銜的美國卡耐基·梅隆大學(xué)網(wǎng)絡(luò)隱私和安全實(shí)驗(yàn)室,就正在尋找使密碼政策更加人性化的方法。

“六七年前,我們就開始這項工作了。當(dāng)時卡耐基·梅隆大學(xué)將密碼要求變得十分復(fù)雜。”現(xiàn)任美國聯(lián)邦商業(yè)委員會首席工程師的Cranor說。該校表示正試著統(tǒng)一NIST的標(biāo)準(zhǔn)密碼規(guī)范。但Cranor調(diào)查發(fā)現(xiàn),這些規(guī)范主要基于理論推測。它們并非基于數(shù)據(jù),因?yàn)闆]有機(jī)構(gòu)希望透露用戶的密碼,“因此,我們說,‘這是一項研究挑戰(zhàn)’。”

是時候作出改變了

Cranor團(tuán)隊測試了一系列密碼政策。他們要求卡耐基·梅隆大學(xué)的470位計算機(jī)使用者基于不同的密碼長度和特殊符號要求生成新密碼。然后,他們測試了密碼的效果、制定這些密碼的難度、記憶難度和該系統(tǒng)對使用者的困擾。“使用者處理密碼長度比復(fù)雜性更容易。”Cranor說。

另外,如果研究人員破解了一個密碼,他們往往在很短的時間里就能猜出用戶的新密碼,原因是用戶在被迫修改密碼時往往只在原密碼的基礎(chǔ)上作細(xì)小改動。例如,用戶會將“secret10jan”改為“secret10mar”。“同樣,如果黑客能猜到你的密碼一次,他們可能會很容易地猜到新密碼。”

而且,強(qiáng)迫用戶定期更改密碼“可能實(shí)際上弊大于利”。相比強(qiáng)迫用戶更改密碼,更好的做法是讓用戶使用較長的密碼,并迫使他們使用一些非字母字符。要提高用戶的密碼安全性,教育比強(qiáng)迫更好。

Cranor指出:“如果用戶知道他們將不得不定期更改密碼,他們往往不會在一開始就設(shè)置安全度很強(qiáng)的密碼,而且可能會把密碼寫下來。”如果用戶被要求設(shè)置一個長期使用的密碼,他們就可能會設(shè)置一個安全度很強(qiáng)同時也難以記住的密碼。如果他們被要求設(shè)置只能使用3個月的密碼,他們就更有可能設(shè)置相對簡單因而也容易破解的密碼。

雖然,密碼政策存在諸多不合理之處,但Sasse表示,“去年,英國政府通信總部(GCHQ)改變密碼的建議是個里程碑”。GCHQ發(fā)布了一份公文,表示放棄定期修改密碼和敦促管理者盡可能讓用戶遵循其規(guī)定等長期慣例。

另一方面,如果研究能發(fā)現(xiàn)用戶的行為弱點(diǎn),或許也能找到攻擊者的弱點(diǎn)。

了解對手

加州大學(xué)圣迭戈分校計算學(xué)家Stefan Savage和同事建立了一個計算機(jī)簇,扮演所謂的“最易受騙的消費(fèi)者”。這些機(jī)器收到了反垃圾公司收集的一些垃圾郵件,并點(diǎn)開了能找到的每個鏈接。研究人員將焦點(diǎn)放在了非法藥物、假冒手表和提包、盜版軟件上——這是垃圾郵件最常有的廣告。

然后,他們使用專門設(shè)計的軟件追蹤了垃圾郵件的供應(yīng)網(wǎng)絡(luò)。如果非法販賣者在這里注冊了域名,并支付給供貨者費(fèi)用,研究人員將能看到。該研究首次曝光了電腦犯罪的整個商業(yè)鏈條,并揭示了其驚人的復(fù)雜結(jié)構(gòu)。

“這是怪異的企業(yè)新理念的最終溫床。”Savage說,“這是你能想象的小商業(yè)資本的純粹形式,因?yàn)檫@里沒有任何規(guī)則。”而且,盡管垃圾郵件的回復(fù)率非常低,但大規(guī)模的發(fā)送垃圾郵件每年可創(chuàng)造高達(dá)數(shù)百萬英鎊的盈利。但垃圾郵件制造者本身也易受攻擊,因此造成發(fā)送垃圾郵件成本偏高。

“你自己不會發(fā)送垃圾郵件。”Savage說,于是尋求專業(yè)人士,“他們收取購買價的30%~40%”。但該垃圾郵件發(fā)送的響應(yīng)率遠(yuǎn)低于合法的直投機(jī)構(gòu)公布的平均2.15%的響應(yīng)率。

但遺憾的是,追蹤這些地下經(jīng)濟(jì)體不能幫助執(zhí)法機(jī)構(gòu)逮捕罪犯,他們的現(xiàn)實(shí)身份隱藏在網(wǎng)絡(luò)假名背后。而且,這些犯罪網(wǎng)絡(luò)基礎(chǔ)設(shè)施恢復(fù)力極強(qiáng)。

不過,科學(xué)家還揭露了一些能更有效打擊地下經(jīng)濟(jì)的方法。Savage和同事發(fā)現(xiàn),該鏈條最薄弱的一環(huán)是銀行將信用卡支付的費(fèi)用轉(zhuǎn)到利潤中心的過程。有規(guī)定指出,銀行必須擔(dān)保信用可消費(fèi)是合法的,并有義務(wù)在客戶投訴時為他們追回資金。沒有銀行愿意承擔(dān)此類風(fēng)險。“95%的垃圾郵件只用3家銀行。”它們分別位于阿塞拜疆、拉脫維亞以及圣基茨和尼維斯。

這也并非永久手段。因?yàn)槔]件發(fā)送者將使用的銀行正逐漸轉(zhuǎn)移到西方公司和執(zhí)法機(jī)構(gòu)夠不到的地方。但卡耐基·梅隆大學(xué)計算機(jī)工程師Nicolas Christin表示,在網(wǎng)絡(luò)世界,每一筆交易都有數(shù)字痕跡,尤其是需要支付的地方。“對于經(jīng)濟(jì)學(xué)家而言,這非常有用。”

“我們正著手研究。”Christin說,但數(shù)據(jù)流能幫助計算機(jī)學(xué)家、社會學(xué)家和執(zhí)法機(jī)構(gòu)協(xié)同行動。

關(guān)鍵字:谷歌科學(xué)家網(wǎng)絡(luò)隱私

本文摘自:中國科學(xué)報

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
阳城县|
棋牌|
延川县|
文山县|
辽宁省|
安顺市|
贵德县|
双桥区|
图们市|
乌苏市|
淮北市|
铜鼓县|
尼勒克县|
宁国市|
麻栗坡县|
太白县|
通州区|
洛隆县|
金阳县|
景德镇市|
宁波市|
沽源县|
江津市|
巴林右旗|
大石桥市|
安顺市|
乾安县|
阳曲县|
抚州市|
宝坻区|
垦利县|
织金县|
微博|
家居|
河间市|
呈贡县|
日照市|
肃南|
石门县|
乌兰县|
崇阳县|