本周(080331至080406)信息安全威胁等级为低。本周四Microsoft发表补丁公告称,将于4月8号 发布2008年4月的例行补丁升级,其中将包括5个关键级别和3个重要级别的安全补丁程序,请Microsoft产品用户注意安全补丁的发布时间并及时更新,J0ker也会跟踪本月Microsoft补丁发布和更新情况,及时为大家带来后续的报道。
媒体方面,本周值得关注的新闻集中在访问控制、安全管理和网络犯罪领域。
访问控制:研究人员破解指纹识别系统;关注指数:中
新闻:周一,来自Techweb的消息,上周在荷兰阿姆斯特丹举行的Black Hat欧洲安全大会上,来自安全厂商Information Risk Management的研究人员向与会者展示了针对指纹识别系统进行攻击的最新研究成果。这项名为指纹识别记录器(fingerprint keylogger)的演示程序,能够插入到指纹识别系统的取样装置和服务器之间,拦截取样装置采集的用户指纹数据后进行复制,黑客将可能利用复制出来的用户指纹数据突破企业部署的指纹识别访问控制系统。
笔者观点:由于安全性较高和部署容易,指纹识别访问控制系统是企业中最常见的生物识别系统,常用在对安全性要求较高的区域进行物理控制,或对关键的信息系统进行逻辑控制。上周所公开的攻击方法主要针对的是指纹采集装置和验证服务器分离配置,且物理上分开较远距离的情况,而这种配置形式的指纹识别方案并不常见。此外,这种攻击方法还要求攻击者能够物理或逻辑访问到指纹识别系统的传输环境,或是访问到验证服务器,这两者都是企业在部署指纹识别系统时重点关注的部门,攻击者并不容易做到。按照笔者平时了解到的情况,国内的企业和机构对指纹识别系统的应用范围主要为单台信息系统(如商用笔记本、台式机等)的访问控制,或充当敏感区域的门禁系统,因此,国内的企业和组织无需担心受到上周Black Hat欧洲安全大会上所展示的指纹识别系统攻击方法的影响。笔者认为,新攻击方法更多的是展示了黑客如何威胁现有的指纹识别系统,并威胁合法用户的隐私(指纹数据)。从长远来看,使用其他生物验证手段的分布式访问控制方案均有可能遭受相似的攻击,并成为黑客进入企业内部网络、访问敏感数据的入口。相关的厂商应该想办法加强用户生物特征数据在传输过程中的安全保密性,已经部署或打算部署生物识别系统的用户也应该注意这种新的威胁方式。
安全管理:Gartner报告显示一季度企业IT预算无明显增长;关注指数:高
新闻:周四,来自Techweb的消息,市场研究机构Gartner当天发表报告称,由于2008年初全球经济的不景气,企业用于IT方面的预算并无明显增长,仍保持在去年同期的3%左右的增长率。在本次调查中,有62%的受调查者表示一季度的IT预算没有变化,15%的受调查者表示IT预算有幅度不等的增长。值得注意的是,有23%的受调查者表示,一季度的IT预算有所下降。
笔者观点:由于全球的经济不景气,IT预算减少和人力资源成本上升使得企业能够用于信息安全方面的投入日益减少,而同时进入2008年以来的各种新型威胁的出现,也使得企业在保护自己IT设施和信息资产安全方面的压力越来越大。由于全球经济短时间内不会有很大的改观,企业IT预算的增长状况看来也不会有较大的好转,预计在接下去的一段时间内,新的信息安全技术及产品进入企业应用领域的步伐将会放慢,企业会更多的选择升级现有的安全方案或使用安全管理方法,而不是重新采购和部署新的安全方案。信息安全行业的经营情况也将有可能因此而出现分化现象,一些较小的安全厂商将有可能面临企业市场的更大压力,或被迫将主要的精力转向个人市场。当然,安全厂商也会采取降价、捆绑销售、赠送产品等方式来促进企业对新安全产品的购买,这对企业IT预算越发有限的企业来说应该算是好消息,但企业也将需要在选择安全厂商和产品上投入更多的精力。
网络犯罪:FBI报告显示网络犯罪更趋向于经济目的;关注指数:高
新闻:周五,来自SecurityFocus的消息,FBI下属的互联网网络犯罪中心IC3周二发表的2007年度网络犯罪报告称,2007年度在线欺诈所涉及的金额,从2006年的19.8亿美元,上涨到23.9亿美元,而同期的案发数则有0.6%的下降。在这些网络犯罪案件中,有超过60%的案件属于信用卡及其他身份识别信息被窃或对销售商进行的销售欺诈。
笔者观点:FBI的报告所透露出的最为关键的信息是,网络犯罪正逐渐从破坏性的攻击行动转变为以经济目的为主。去年在北美地区发生的影响较大的网络犯罪案件,包括针对普通用户的信用卡信息盗窃、针对电子商务的销售欺诈和客户数据盗窃,及针对企业、政府机构的敏感数据盗窃等。FBI的网络犯罪报告对我国有非常重要的警示作用,由于国内的技术水平、银行业及电子商务等均落后美国1至2年时间,国内的网络犯罪影响面也相对较小,但即便如此,国内的网络犯罪也逐渐从破坏性质或偷窃用户账户为主,逐渐转变到针对用户的银行帐号为主,并且在这些网络犯罪案件的背后还存在有组织犯罪的影子。此外,由于国内立法的进度远远落后于技术及商业的发展,国内并没有专门针对电子商务安全、网络犯罪惩治的法律法规,作为管理者的政府机构、责任者的电子商务厂商以及作为参与者的普通消费者的安全意识及技能也十分薄弱,这都进一步的限制了对政府部门、电子商务及消费者的保护力度。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/70245,如需转载请自行联系原作者
