2010年11月13日土曜日

Removing Belts at Airport Security

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 

TSA は私たちにベルトを外させるようだ。必要のない時でさえ


ヨーロッパの空港では乗客にベルトを外すよう長年も泊めている。私がいつもやる方法は、mまずシャツでベルトを上から隠すこと。その後一瞬シャツをまくり、ベルトはつけてない旨係官に言う。ベルトは金属探知機に反応しないから、彼らも気づかない。



 元記事:Posted on November 10, 2010 at 1:41 PM

2010年11月5日金曜日

Did the FBI Invent the D.C. Bomb Plot?

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 

先週警察はFaroque Ahmed を、ワシントンD.C 地下鉄網においてテロを計画した容疑により逮捕した。しかし計画自体は彼のアイデアがどれほどを占め、どれほどをFBIが有料で提供している情報が占めているかは不明瞭である。

The indictment offers some juicy tidbits -- Ahmed allegedly proposed using rolling suitcases instead of backpacks to bomb the Metro -- but it is notably thin in details about the role of the FBI. It is not clear, for example, whether Ahmed or the FBI (or some combination of the two) came up with the concept of bombing the Metro in the first place. And the indictment does not say when and why Ahmed first encountered the people he believed to be members of al-Qaida.

警察はこの偽爆破計画を、地下鉄での荷物抜打ち検査正当化の理由にしている。(まぬけなアイデアだ)

これが思想犯罪の場合の問題となる。簡単ににかかってしまう。


追記 (11/4): The Economist ブログに同じようなことが書いてあった。




 元記事:Posted on September 6, 2010 at 7:24 AM

Control Fraud

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 

"control fraud (操作詐欺)" という言葉は聞いた事がなかった:


Control fraud theory was developed in the savings and loan debacle. It explained that the person controlling the S&L (typically the CEO) posed a unique risk because he could use it as a weapon.



The theory synthesized criminology (Wheeler and Rothman 1982), economics (Akerlof 1970), accounting, law, finance, and political science. It explained how a CEO optimized "his" S&L as a weapon to loot creditors and shareholders. The weapon of choice was accounting fraud. The company is the perpetrator and a victim. Control frauds are optimal looters because the CEO has four unique advantages. He uses his ability to hire and fire to suborn internal and external controls and make them allies. Control frauds consistently get "clean" opinions for financial statements that show record profitability when the company is insolvent and unprofitable. CEOs choose top-tier auditors. Their reputation helps deceive creditors and shareholders.
Only the CEO can optimize the company for fraud.


これは control fraud に関する興味深いレポートだ。Institute for Fraud Prevention エグゼクティブディレクターWillam K. Black によって書かれている。"個々による'control frauds'は、他の形態のプロパティ犯罪を全て合わせたものよりさらに多くの損失を生じる。これらは財政上多大なダメージを生む原因となる (financial super-predetors)。 " Black は組織の首脳部及び週首脳部両方について書いており、またその言説はほぼ確実に真実だ。彼の要点はつまり、私たちの法律制度は control fraud を留まらせるには不十分である、ということだ。



White-collar criminology has a set of empirical findings and theories that are useful to understanding when markets will act perversely. This paper addresses three, interrelated theories economists should know about. "Control fraud" theory explains why the most damaging forms of fraud are situations in which those that control the company or the nation use it as a fraud vehicle. The CEO, or the head of state, poses the greatest fraud risk. A single large control fraud can cause greater financial losses than all other forms of property crime combined they are the "super-predators" of the financial world. Control frauds can also occur in waves that can cause systemic economic injury and discredit other institutions essential to good government and society. Control frauds are commonly able to defeat for several years market mechanisms that neo-classical economists predict will prevent such frauds.



"Systems capacity" theory examines why under deterrence is so common. It shows that, particularly with respect to elite crimes, anti-fraud resources and willpower are commonly so limited that "crime pays." When systems capacity limitations are severe a "criminogenic environment" arises and crime increases. When a criminogenic environment for control fraud occurs it can produce a wave of control fraud.
"Neutralization" theory explores how criminals neutralize moral and social barriers that reduce crime by constraining our decision-making to honest enterprises. The easier individuals are able to neutralize such social restraints, the greater the incidence of crime.
[...]
White-collar criminology findings falsify several neo-classical economic theories. This paper discusses the predictive failures of the efficient markets hypothesis, the efficient contracts hypothesis and the law & economics theory of corporate law. The paper argues that neo-classical economists' reliance on these flawed models leads them to recommend policies that optimize a criminogenic environment for control fraud. Fortunately, these policies are not routinely adopted in full. When they are, they produce recurrent crises because they eviscerate the institutions and mores vital to make markets and governments more efficient in preventing waves of control fraud. Criminological theories have demonstrated superior predictive and explanatory behavior with regard to perverse economic behavior. This paper discusses two realms of perverse behavior the role of waves of control fraud in producing economic crises and the role that endemic control fraud plays in producing economic stagnation.

 元記事:Posted on November 1, 2010 at 6:02 AM

2010年10月31日日曜日

Cargo Security

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 


ニューヨークタイムズより: "9/11以降飛行機乗客およびその手荷物へは精密な検査が実施されている一方、特に貨物専用機など小包などへは保護対策は全くなされていない。"


まあ当然だろう。私たちは知っている。貨物専用機へのテロなんてそれほど気にしていない。だって私たちにとってはそれほど恐ろしいものではないから。荷物は人ではない。もし旅客機が爆発したら数百人の影響が出るが、貨物機が爆発しても乗組員への影響のみだから。


旅客機貨物は、乗客持ち込み荷物と同じセキュリティレベルが適用されるべきだ。貨物専用機に積まれる貨物は、船や電車、トラック、車等に積まれる場合と同程度のレベルで扱われるのが望ましい。


もちろん:今はメディアが貨物へのセキュリティについて議論し、”なにかすべきである”というだろう。(何かなさねばならない。これはその何かである。よって私たちはやらなければならない。)しかしもし私たちが恐れるあまり、この種のテロリスト脅威に対しあらゆる資源を投入した場合、私たちはその時本当にテロの脅威に屈してしまうことになる。


追記(10/30): 陰謀 -- 未だこの点についてどれほど深刻なのか明確でない- -  は、いかなるセキュリティチェックでも発見されなかった。intelligence gathering を除いて。


"私たちはその疑惑の陰謀について長い間調査を行っていた、と情報当局者は言う。サウジアラビアの情報当局がイェメン関連の情報をつかみさらにU.S.へとそれが伝わることで、イングランド及びドバイで今回荷物が発見された。二人の情報当局者はそう語る。"


これがテロリズムと闘う術だ:特定の脅威からの防御によってではなく、情報収集、調査、および緊急対応によってintelligence, investigation, and emergency response)。




 元記事:Posted on October 30, 2010 at 9:41 AM

2010年10月30日土曜日

The Militarization of the Internet

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

素晴らしいブログポスト


元記事:Posted on October 29, 2010 at 6:48 AM 

2010年10月28日木曜日

FBI Bugging Embassies in 1940

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 

古い −が新しくリリースされた− 1940年ロシア大使館盗聴に関する書類。フランス、ドイツ、イタリアおよび日本大使館盗聴をも示唆している。

 元記事:Posted on October 27, 2010 at 3:24 PM

Firesheep

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである

Firesheep は他人のソーシャルネットワーク接続をハイジャックする新しいFirefoxプラグイン。Facebookは基本的にクッキーでユーザー認証する。もしWiFiに接続している場合、そのクッキーは他者により探知可能だ。Firesheepはwincapを使ってアカウント認証情報をキャプチャおよび表示し、接続ハイジャックを可能にする。


Toorcon talk のスライド


TLS 認証を強制使用することで自分を守る、または公共ネットワークからのFacebookログインはしないこと。



 元記事:Posted on October 27, 2010 at 7:53 AM

2010年10月27日水曜日

Seymour Hersh on Cyberwar

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。 

The New Yorker 掲載の素晴らしい記事


 元記事:October 26, 2010 7:03 AM

2010年10月23日土曜日

ビデオインタビュー RSAヨーロッパ

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

先週RSAヨーロッパにインタビューを受けた。


元記事: Posted on October 22, 2010 at 2:29 PM

Mahmoud al-Mabhouh 暗殺事件

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。
一月にあったMahmoud al-Mabhouh暗殺を憶えて いるかな?警察は30名の容疑者をあげたけど、一人も見つけだせてない。
Police spent about 10,000 hours poring over footage from some 1,500 security cameras around Dubai. Using face-recognition software, electronic-payment records, receipts and interviews with taxi drivers and hotel staff, they put together a list of suspects and publicized it.
ユビキタス電子監視(ubiquitous electronic surveillance)は、技術が上の敵には敵わないみたいだ。

[The Economist 記事] 生体認証


以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

良い記事


1999年に書いた生体認証についての私のエッセイ

インド産OS


以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

インド人が国産OSを作ってる。で西洋の技術に頼る必要がなくなるから。

India's Defence Research and Development Organisation (DRDO) wants to build an OS, primarily so India can own the source code and architecture. That will mean the country won't have to rely on Western operating systems that it thinks aren't up to the job of thwarting cyber attacks. The DRDO specifically wants to design and develop its own OS that is hack-proof to prevent sensitive data from being stolen.

凄くいいと思うね。OS市場により競争力がでるから。アプリがどんどんクラウドになってインターネットブラウザからしかアクセスできなくなったら、OSの互換性は重要ではなくなって行く -- でOSには ”より安全” っていうブランドのみになる。ただこの曖昧な考えによるセキュリティーはちょっと違うんじゃないかな。


"The only way to protect it is to have a home-grown system, the complete architecture ... source code is with you and then nobody knows what's that," he added.

保護するたったひとつの方法は、セキュアにデザイン、実装すること。ソースコードをコントロールすることではWindowsを魔法みたいにセキュアにはしなかったし、このインド産OSをセキュアにすることにもならないだろう。

木の葉を隠すなら森の中


以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。


元Broncos クオーターバック John Elway がお忍びで出かける時 ー 自分のジャージを着ることにしている。「いつもやってるよ。」50歳になる殿堂入りはいった。「モールでかける時とかね。だれも本人が自分のジャージ来てモールうろついてると思わないよ。実際一番安全な方法さ。」

勿論、みんな知ってるけど。

元記事;Posted on October 19, 2010 at 7:34 AM 

Economics of Information Security ワークショップ


以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

6月ワシントンD.C. 開催の WEIS 2011 のチェアーをやります。

論文提出期限は2月末。


FaceTIme for Mac にセキュリティーホール


以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

一旦ユーザーがログインした後はそのマシンにアクセスできる人なら誰でも勝手にApple ID のパスワードを変えることができてしまう


もちろん元に戻す事は簡単。もし被害者が気づけば。

2010年7月1日木曜日

イカの金曜日: Kid vs. Squid

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

こちらも一読すべし。

元記事: Posted on June 4, 2010 at 4:20 PM

2010年6月30日水曜日

第2次大戦破壊工作のススメ

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。

OSS 簡易サボタージュマニュアル(1944年)


元記事: Posted on June 3, 2010 at 6:44 AM

カナダ、6月のG8/G20 サミットのセキュリティに10億ドル

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。


ナダ政府は火曜、Muskokaで開催されたG8、およびトロント開催のG20での警備費用が$833ミリオン(8.33億ドル)に上ったことを発表した。また625日から3日間開催されたこのサミットのために$930ミリオン(9.30億ドル)の予算確保がなされていたことにも言及。この費用は20094月にイギリスで開催されたG20サミットの推計$30ミリオン(3000万ドル)の20倍以上、過去に開催されたG8では、2005年スコットランドの$110ミリオン(1.1億ドル)、2008年日本の$381ミリオン(3.81億ドル)を遥かに上回るものとなった。

滅茶苦茶な数字。これほど費用をかける必要はない。

17日間バンクーバーで開催された2010年冬季オリンピックではたったの$898ミリオン(8.98億ドル)だった。

これも。その金で実際に買えるセキュリティーが何か、を考えるべき。

(追記あり。)


2010年6月2日水曜日

エンドツーエンド携帯通話暗号化


2010年3月24日水曜日

新刊: Cryptography Engineering

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。


新刊を出した。ある意味。Cryptography Engineering Practical Cryptography の第 2 版になる。Niels Ferguson と私は 2003 年に Practical Cryptography を出した。更新作業の大部分と、テキストらしくするために追加した練習問題は Tadayoshi Kohno が担当した。また彼は Cryptography Engieering の第3著者でもある。(Wiley 社が変更したタイトルだがあまり好きではない; Ross Anderson の素晴らしい著書のタイトル Security Engineering に似すぎている気がする。)


Cryptography Engineering は専門書になる; 暗号作成の技術屋や、暗号技術の仕組みや実装時の落とし穴などの詳細を学ぶ意欲のある人たちを対象としている。Practical Cryptography を既に購入している場合、実際に使用することがない限りアップグレードする必要はない。

3/23追記: サイン入りの物が購入可能。詳細はこのページの下部を参照すること。

バッテリー充電器にバックドア

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。


すごい

US-CERT は、 Energizer DUO USB バッテリー充電器に不正なリモートアクセスを可能にするバックドアソフトウェアが含まれていると警告を発した。

これは実は誤解を招きやすい。充電器は USB 機器ではあるが、この記事に説明されているような悪意のあるインストーラーは含まれていない - 記憶容量がない。該当のソフトウェアは Energizer のウェブサイトからダウンロードする必要があり、且つそれ自体は充電状況をモニターするだけだ。なくてもデバイスは正常に機能する。


2010年3月23日火曜日

最もマルウェアの標的になったのは PDF

以下の文章は、 Schneier on Security に掲載された記事の日本語訳であり、著者の許可を得て公開するものである。


ワード がその座を奪われていた

2009年の攻撃のターゲットのうち、Acrobat Reader ベースのファイルが 49 パーセント、マイクロソフト ワード ベースのものが 39パーセントだった。2008 年と比較すると、Acrobat Reader  29 パーセント、ワードが 35 パーセントだった。

詳細はこちら