Aggregator

I recently wrote about reliable software. I also usually write about cybersecurity and major incidents. Today’s story intertwines both, in a situation so far reaching that, if you tried to write it as the script of the next Bond movie with a villain scheming to cause worldwide chaos, it would fit perfectly. Let’s look at […]

The post Crowdstrike, or “How to Own the Planet” appeared first on TuxCare.

The post Crowdstrike, or “How to Own the Planet” appeared first on Security Boulevard.

LAS VEGAS – Here’s what I discovered last week here at Black Hat USA 2024: GenAI is  very much in the mix as a potent X-factor in cybersecurity.

Related: Prioritizing digital resiliency

I spoke with over three dozen cybersecurity … (more…)

The post MY TAKE: Black Hat USA 2024’s big takeaway – GenAI factors into the quest for digital resiliency first appeared on The Last Watchdog.

The post MY TAKE: Black Hat USA 2024’s big takeaway – GenAI factors into the quest for digital resiliency appeared first on Security Boulevard.

IBM has disclosed a vulnerability in its Aspera Shares software, CVE-2023-38018. This flaw in user session handling could potentially allow attackers to impersonate any user within the system, posing a substantial security risk for organizations relying on this software for data transfer. CVE-2023-38018 – Vulnerability Details The vulnerability arises from IBM Aspera Shares’ failure to […]

The post IBM Aspera Shares Vulnerability Let Attackers Login as Any User appeared first on Cyber Security News.

01 新剧介绍

先引用下网上的官方介绍：

电视剧《对手》是爱奇艺出品，海东明日影视联合出品，由卢伦常执导，郭京飞、谭卓、颜丙燕、宁理领衔主演，孙佳雨、王天辰、刘帅良主演，何蓝逗联合主演，黄尧、张月特别主演的当代都市谍战剧，讲述了和平年代的“谍战”故事。

《对手》讲述了国家安全警察在日常生活中寻找间谍线索的故事，他们凭借着精湛的侦查能力，为了国家和人民的安居乐业，克服了一切困难，最后赢得了胜利。

02 本剧亮点

感觉全剧贯穿的主题有这么几个：

① 鼓励全民反间防谍，牢记12339，即国家安全举报电话

② 国内潜伏是没有希望滴，赶紧自首才是王道

③ 国安警察并不是脱离群众的“神人”，也都是和每一个普普通通的家庭一样，需要面对生活中的各种压力，为了工作，很多时候甚至不得不牺牲家庭。

特别是最后一点，使得剧中的角色变得鲜活、生动了很多。不再是那种一脸正直帅气的标签化特征，而是更加接地气的长相普通，为了任务去染发、赌球、贴纹身混赌场

03 一些经典片段

之前杨叔在分享电影《扫黑 • 决战》时说过，国产电影电视剧中很少出现跟踪、技术窃密的场景，有朋友留言说是国情不允许啊之类。

其实按照国内这些年引进的这么多相关内容的欧美港台电影来看，比如《窃听风云》系列，《碟中谍》等，说国情不允许肯定是夸张了。

杨叔：“相信最主要的原因还是导演、编剧的意识理念缺乏所致。”

所以，在《对手》这部剧里，这方面的情节展现就显得特别亮眼

场景 1  环境快速观察

厦洲市国安处长段迎九，在带领新人外出时，通过询问每个人对环境细节的观察，来考核个人能力。

这一段与香港电影《跟踪》里CIB（香港刑事犯罪情报科）处长对新人考核的内容非常相近，应该是导演在向经典电影致敬。

杨叔之前也分享过这部经典香港电影，感兴趣可翻阅：

你看美人，我找设备 | 细数中国香港电影里的反窃密场景

场景 2  部署窃听器材

郭京飞饰演的潜伏间谍“桃园 ”，在某总工办公室安装无线发射功能的窃听器。

这样，境外间谍组长林彧，就能从远程窃听办公室里的内容。这个设定也属于典型的技术窃密手段。

场景 3  监控死角

郭京飞在行动时，将车辆停在两个监控摄像头的死角位置，这个细节很有那种行动类港片色彩，要给满分。

场景 4  无线窃听器

为了监听及控制，境外潜伏间谍在女孩包里安装了无线窃听器，在被国安丁晓禾发现后，迅速开展了紧急线人保护流程处理。

剧中发现窃听器材后的处理流程非常紧凑、专业。

场景 5  部署偷拍器材

郭京飞在获得女儿男友家的地址后，为了方便后续监视，在对方屋顶射灯里，安装了一个针孔偷拍器材（桃园同学可真是“全才”啊）

布置在射灯光源侧方上的这种“光源盲区”部署手法，有点技术含量，很符合角色定义

场景 6  暗语

电视剧中多次使用到了暗语，这一点非常好。

比如丁老师在被绑架前，用暗语告诉了郭京飞她的位置，而这个位置的定义，恰恰是国内公安一直在宣传的报警方式：电线杆上的编码。

再比如社会工程学、莫尔斯电码、保险柜的技术开锁、EMP开锁、紫外线勘查痕迹等等，还有很多场景都设计得很用心，哈哈，杨叔就不剧透了。

04 可以再加强的细节

杨叔觉得整部剧中，有些细节还是可以再加强一下的，比如：

细节 1  手持检测设备

郭京飞怀疑自家里被装了器材，于是开始对卧室进行排查。

令人无语的是，作为一部现代反谍剧，一位“专业间谍”，居然使用淘宝上购买的反偷拍设备？！

而且这还并非是最新款，而是已经淘汰的10多年前华强北销售的CC308系列。

可能有人会说，从淘宝上买设备是一种掩护，或者由于郭京飞没钱，没办法购买昂贵的检测设备（目前这款CC308也就是几十元），更或者说这就是十多年潜伏时购置的，一直使用到现在。

听起来似乎有那么点道理，但是：

一，对比郭京飞在人家总工房间安装无线电窃听器这个场景，就知道他本身对窃听器材功能肯定是熟悉的。

在这种设定前提下，对室内是否存在无线发射器材，使用一些具备无线侦测能力的专业检测设备，相信更加符合人物设定。

下图是RC2的Level-2课程现场，学员们使用专业手持检测设备，开展室内物理安全检测。

二，作为民用的CC308产品质量很差，特别是电池无法拆卸这一点，基本上连续使用1个多月后就会出故障。这个糟糕的设计，现在还有很多国内设备在模仿。

杨叔2008年在华强北也买过这款，1个月后内置电池就鼓包废掉了，我想导演一定不知道这一点

这确实是一个小败笔，还好瑕不掩瑜。

细节 2  监控软件&耳机

剧中对无线窃听的展示，让人眼前一亮。

不过令人哭笑不得的是，剧中无论是国安的监控人员，还是境外潜伏间谍，居然用的都是同一个音频监控软件界面。

杨叔觉得：这肯定是技术/道具组偷懒了

这款名为”Adobe Audition CC 2018”的软件，确实是强大的音频工作站，可以用于创建、混合、编辑和复原音频内容的多轨、波形和光谱显示功能。

难道说行业里这一款是爆款？双方都在用？

更幽默的是，剧中双方居然都用同一款甚至同一个型号的监听耳机，我就D#@*？

05 剧中的伏笔

全剧中多次出现了国内“天网工程”和“情报大数据”方面的内容，尽显技术监控能力。

不过导演在一边肯定这些高新技术使用的同时，也指出了依然可能存在的死角。

比如剧中的国安警察黄海，在一个缺少公共治安摄像头的背街小巷中，在手机信号被屏蔽后，就遭遇了杀手的埋伏，而自己的队友由于没办法精准定位手机，险些就没救上。

剧情和结局就不剧透了，感兴趣的朋友们赶紧去看。

声明：以下内容符合OSINT国际开源情报搜集定义，不涉及任何非法行为，仅供交流与参考。

0x01 测谎仪的历史

测谎仪的历史可以追溯到19世纪末期，那时人们就开始意识到：撒谎可能会伴随着生理反应的变化。

早期的测谎方法主要是基于观察被试者的生理指标，比如心率、呼吸频率和皮肤电阻等。虽然这些方法不够精确，但它们启发了科学家进一步探索如何利用生理指标来识别撒谎。

莱昂纳德·基勒 (Leonarde Keeler) 是基勒测谎仪的发明者，他一生的大部分时间都在试图辨别人们是否说真话。如下图，他通过测谎仪认识了他的妻子凯瑟琳。

当时的芝加哥，因其帮派和惊人的凶杀率而被称为谋杀之城。1929年，为了扭转这座城市的声誉，市政府在西北大学建立了科学犯罪侦查实验室，这是美国第一个正式的刑事调查机构。基勒夫妇成为了该实验室的两位顶尖犯罪学家，莱昂纳德成为了实验室的测谎专家，凯瑟琳成为了笔迹分析专家。

在洛杉矶，基勒直接向该市改革派警察局长奥古斯特·沃尔默汇报，后者声称该机器将提供“改良、简化和人性化的三级”。沃尔默希望他的门生的机械创新能够让容易出错和暴力的审讯成为过去。

自此，莱昂纳德的机器有了一个正式的名称——基勒测谎仪——并在犯罪侦查实验室中内置了一个公共关系部门。两年之内，测谎成为西北实验室最赚钱的业务。

有趣的是，随着这种设备在检测欺骗和犯罪方面的成功，”基勒解释了原理，“在很大程度上归因于这种测试在招供方面所产生的心理效应。”

他的设备原本是为了简化警方的审讯，但却成为警察强制装备库中的另一个工具。

0x02 关于测谎仪的认知盲区

测谎仪测试的使用备受争议，因为其背后的逻辑并非“万无一失”。当一个人撒谎时，身体会发生一些明显的变化，但当一个人紧张时，类似的变化也可能会发生。

所以，测谎的核心问题是：

当某人说谎时，你无法预期会出现何种生理反应。

有的人说谎可能会不断出汗，而有的说谎者则可能会全身干燥。

有些人撒谎时会变得异常紧张，而另一些人则保持冷静。

所以说，经验丰富的说谎者甚至完全可能“愚弄”测谎仪。

此外，有时如果测谎仪测试中的问题没有得到充分的设计，或者进行测试的人可能经验不足执行得不好，便会很难评估测试结果是否正确。

即使是CIA的内部测谎也是如此。

那么，如果测谎仪不能完全准确地告诉我们一个人的诚实程度，那么使用它们还有什么意义呢？ 

当然有意义，虽然测谎仪测试的结果可能并不完全准确，但它们确实可以帮助警官或探员们做出进一步调查的选择。在充满挑战的情况下，即使是这样的线索也可能会帮助执法人员彻底破案！

在TikTok上有位号称前CIA探员的主播，一直在分享测谎仪的各种案例和使用心得，感兴趣的朋友可以关注下。

前几天在香港举办的RC2第一场「企业内控监察专项课程」里，由“前香港商业罪案调查科”和“前国际刑警”的两位阿Sir，给学员们传授了江湖风水师秘籍、肢体语言、微表情、语义分析知识，以及企业内审技巧、企业内鬼心理、笔迹案例、测谎流程……等内容~

但其中最受学员欢迎的，还是测谎仪的实测体验，哈哈~

0x03 眼睛是心灵的窗户

众多研究表明，人在受到惊吓、感到恐慌和撒谎的时候，眼球都会有瞳孔放大的自然反应。基于这个基本原理，就诞生了通过瞳孔变化来测谎的设备。

犹他州 Converus 公司的 EyeDetect 是一款已经投入使用的高科技测谎系统。这原理是通过捕捉不自觉的眼球运动来识别谎言。

受试者被要求回答一些正确或错误、或是或否的问题。当他们这样做时，眼球追踪软件会观察并研究他们的反应。然后五分钟内就会提供结果，据称准确度为 86-88%。

EyeDetect 目前已被 50 个国家/地区的 600 多个客户使用，其中包括超过 65 个美国执法机构和全球近 100 个执法机构。其首席执行官托德·米克尔森(Todd Mickelsen)表示，当局和公司正在利用这项测试来筛查许多事情：

“这些可能包括以前的犯罪记录、过去或现在的吸毒情况、未报告的纪律处分、在工作申请中撒谎、与恐怖分子的关系。”

除此之外，一款基于眼部识别的测谎APP，也开始受到更多人的注意和欢迎。该APP宣称适用于企业的内部场景，Whatever，谁用谁知道

需要注意的是，测谎仪的合法性会因国家而异。

0x04 如何在测谎时表现良好

如果需要参与测谎仪测试且希望通过，那么，了解更多潜在的情况可以帮助做好心理准备，以获得准确的通过结果。以下是一些专家提示：

·睡个好觉 – [安静可以减少焦虑]

·避免服用药物和兴奋剂 – 例如，咖啡因会加速心率和血压。

·仔细聆听 – 不要被模棱两可或令人困惑的问题困扰，应立刻要求澄清。

·简单回答 – 不要过度思考反应，因为这会改变生理迹象。

·保持静止 – 过度坐立不安会干扰出汗和呼吸测量。

·正常呼吸 – 使用深腹式呼吸来控制神经并避免呼吸不规律。

·想象成功 – 想象自己平静地通过测谎仪并给出真实的答案。

·要诚实 – 如果自己是无辜的，撒谎只会损害自身相关的案件，所以应保持真实、自信地回答。

一开始，杨叔对于上面部分内容不是很理解，直到自己参与体验测谎仪后，才明白上述这些细节和身体状态真的会明显影响到测谎效果。

就比如原本你身体很OK，虽然外表镇静，但由于心理过于紧张，则脉搏就会出现强烈的抖动，甚至超出正常范围~

0x05 测谎技术的未来

虽然测谎仪仍然存在争议，但新技术正在不断出现，有一天可能会更加准确。目前正在发展和测试的技术有：

·脑电波分析：即使用脑电图 (EEG) 来检测大脑中与欺骗相关的模式。

·MRI 扫描：功能性磁共振成像 (fMRI) 揭示了躺着时大脑的细微活动变化。

·语音压力分析：声音模式和波动可能表明撒谎，特别是在重复问题时。

·微表情：使用算法测量反映隐藏情绪的简短面部表情。

·体温：红外热成像追踪与说谎相关的难以察觉的增加。

然而，大多数替代方案仍处于深度开发和测试阶段，尚未证明更可靠。

所以如需要使用到测谎仪，那么在出现绝对准确的方法之前，最好的选择是让自己学习了解测谎仪测试为何会出错的背后原因，并采取一些能够提高有效性的安全措施。

最后，

关于“测谎仪很有用”和“测谎仪无用”的相悖观点一直存在，在执法系统里，支持两类观点的人数尤为众多，那么，看到这里的你又是怎么认为的呢？

欢迎留言，欢迎分享测谎与被测谎经验~