Archive for the ‘News’ Category

The Corliss Group Latest Tech Review – Concerned about protecting the personal and financial details of its users, PayPal, the online payments company, has introduced a system called “two-factor authentication”.

To log in, users must first enter their user name and password. They then receive a security code by mobile phone that they have to type in to gain entry. The idea is to create an extra barrier that makes it harder for criminals to break into a customer’s account.

The only problem was that this additional line of defence had a significant flaw. Last year, a group of computer hackers from Duo Security, a Michigan-based cyber security company, discovered a problem with PayPal’s mobile app that meant it was possible to bypass this second barrier because of a previously unknown bug in PayPal’s systems.

Zach Lanier, senior security re­searcher at Duo, says users could have been “lulled into a false sense of security, unaware that a security feature isn’t living up to its promise”.

It was lucky for PayPal that it was Mr Lanier’s team that discovered the problem. He was able to warn the company through its “bug bounty” programme, which pays people who discover security vulnerabilities. Duo Security pocketed the bounty while PayPal fixed the bug before revealing publicly how it been discovered.

Google, Mozilla and Hewlett-Packard are among other technology groups that have bug bounty programmes. Bounties range from $500 for spotting tiny bugs to $60,000 for uncovering serious flaws.
Millions of dollars have been paid to individual hackers and security companies through these schemes. Unveiling Facebook’s bug bounty programme in 2011, Joe Sullivan, the social network’s chief security officer, wrote on the company’s website: “We realise . . . that there are many talented and well intentioned security experts around the world who don’t work for Facebook. We established this bug bounty programme in an effort to recognise and reward these individuals for their good work and encourage others to join.”

There is no way for companies to create perfect online defences. Underlying every website or app are lines of code. As these have been written by humans, defences can range from the well constructed to the sloppy and flawed.

In theory, thanks to bug bounties, some hackers can make a decent living just looking for security flaws. However, most who participate in the programmes are computer professionals who uncover bugs in their spare time to make some extra cash, or they stumble across problems by chance.

The Corliss Group Latest Tech Review – I mars Representantenes hus gitt ut flere deler av lovgivningen om deling av cyber informasjon. To av de mer bemerkelsesverdige av disse regningene er: HR 1560, Beskytte Cyber ​​Networks Act (PCNA), introdusert av Representanter Devin Nunes (R-CA) og Adam Schiff (D-CA) i House Intelligence Committee, og National Cybersecurity Protection Advancement Act (NCPAA) av 2015, introdusert av representant Mike McCaul (R-TX) i huset Homeland Security Committee. Ifølge presseoppslag, disse regningene ikke er konkurrenter, men heller komplementære innsats.

Informasjonsdeling er en grunnleggende måte å forbedre Cybersecurity ved at selskaper og regjeringen til å dele informasjon om aktuelle cyber trusler og sårbarheter. Med mer informasjonsdeling, kan både regjeringen og privat sektor være bedre forberedt på å stoppe eller redusere cyber risiko. Selv om disse regningene er på rett spor, håndterer verken riktig de tre mest fremtredende detaljer: sterk forpliktelse beskyttelse, bred evne til å bruke delt informasjon, og robuste men ikke overflødige eller tyngende tiltak personvern. Det er også viktig å merke seg at informasjonsdeling vil ikke stoppe alle trusler; slike regninger er bare første skritt mot å forbedre amerikanske Cybersecurity.

Ansvar Protection

Begge cyber regninger har felles språk ikke autoriserer ekstra overvåkingstiltak, ikke endre siste delingsavtaler, forby bruk av føderale byråer for regulatoriske formål eller binde av stipend midler til deling av informasjon, som forbyr konkurransebegrensende adferd, og beskytter fra Freedom of Information Act (FOIA ) forespørsler. De spriker imidlertid på ansvar beskyttelse for delere. For ikke-føderale enheter som deler informasjon, er det nødvendig med en sterk forpliktelse beskyttelse.

På dette punktet, er det NCPAA regningen sin ordgyteri sterkere enn PCNA regningen. Den NCPAA sier at en “non-Federal enhet … skal ikke være ansvarlig på noen sivile eller straffesøksmål etter dette ledd med mindre slike ikke-Federal enhet som driver forsett eller grov uaktsomhet med hensyn til en slik deling eller oppførsel og slik grov uaktsomhet eller forsett direkte forårsaket skade. ”

Denne standarden av forsett eller grov uaktsomhet er sterkt språk som vil beskytte selskaper som deler informasjon og bedre insentiver til rask deling av cyber informasjon.

Den PCNA sier at “ingen årsak til handling skal ligge eller opprettholdes i en domstol mot enhver ikke-Federal enhet, og en slik handling skal umiddelbart avskjediget, for deling eller mottak av en cyber trussel indikator eller defensive tiltak dersom en slik deling eller kvittering er utført i god tro. “[4] Mens” god tro “er et forsøk på å beskytte lyd deling av informasjon, er det et lavere beviskrav som er lettere utfordret av tort advokater, åpne selskaper opp til større risiko for søksmål. Mens PCNA nevner forsett, god tro standard hevdet bare et ledd tidligere ville være sannsynlig å trumfe det.

Personvern Tiltak

Når det kommer til cyber deling av informasjon, hva slags informasjon som blir delt inkluderer kodingen av et virus, ruten en angriper som brukes, eller et hull i sikkerheten. Imidlertid kan det være noen personopplysninger knyttet som ikke er relevant for å håndtere digitale trusler, indikatorer, defensive tiltak, eller risikoer. Mens sikkerhetsfolk har ingen interesse i denne informasjonen, er det en avveining mellom å fjerne all unødvendig informasjon og dele informasjon på en riktig måte. – Fortsett å lese