4月第1周安全回顾 网络犯罪转变方式 指纹识别系统被破解

本文涉及的产品
访问控制,不限时长
简介:
 
本周(080331至080406)信息安全威胁等级为低。本周四Microsoft发表补丁公告称,将于4月8号 发布2008年4月的例行补丁升级,其中将包括5个关键级别和3个重要级别的安全补丁程序,请Microsoft产品用户注意安全补丁的发布时间并及时更新,J0ker也会跟踪本月Microsoft补丁发布和更新情况,及时为大家带来后续的报道。
媒体方面,本周值得关注的新闻集中在访问控制、安全管理和网络犯罪领域。
 
访问控制:研究人员破解指纹识别系统;关注指数:中
新闻:周一,来自Techweb的消息,上周在荷兰阿姆斯特丹举行的Black Hat欧洲安全大会上,来自安全厂商Information Risk Management的研究人员向与会者展示了针对指纹识别系统进行攻击的最新研究成果。这项名为指纹识别记录器(fingerprint keylogger)的演示程序,能够插入到指纹识别系统的取样装置和服务器之间,拦截取样装置采集的用户指纹数据后进行复制,黑客将可能利用复制出来的用户指纹数据突破企业部署的指纹识别访问控制系统。
笔者观点:由于安全性较高和部署容易,指纹识别访问控制系统是企业中最常见的生物识别系统,常用在对安全性要求较高的区域进行物理控制,或对关键的信息系统进行逻辑控制。上周所公开的攻击方法主要针对的是指纹采集装置和验证服务器分离配置,且物理上分开较远距离的情况,而这种配置形式的指纹识别方案并不常见。此外,这种攻击方法还要求攻击者能够物理或逻辑访问到指纹识别系统的传输环境,或是访问到验证服务器,这两者都是企业在部署指纹识别系统时重点关注的部门,攻击者并不容易做到。按照笔者平时了解到的情况,国内的企业和机构对指纹识别系统的应用范围主要为单台信息系统(如商用笔记本、台式机等)的访问控制,或充当敏感区域的门禁系统,因此,国内的企业和组织无需担心受到上周Black Hat欧洲安全大会上所展示的指纹识别系统攻击方法的影响。笔者认为,新攻击方法更多的是展示了黑客如何威胁现有的指纹识别系统,并威胁合法用户的隐私(指纹数据)。从长远来看,使用其他生物验证手段的分布式访问控制方案均有可能遭受相似的攻击,并成为黑客进入企业内部网络、访问敏感数据的入口。相关的厂商应该想办法加强用户生物特征数据在传输过程中的安全保密性,已经部署或打算部署生物识别系统的用户也应该注意这种新的威胁方式。
 
安全管理:Gartner报告显示一季度企业IT预算无明显增长;关注指数:高
新闻:周四,来自Techweb的消息,市场研究机构Gartner当天发表报告称,由于2008年初全球经济的不景气,企业用于IT方面的预算并无明显增长,仍保持在去年同期的3%左右的增长率。在本次调查中,有62%的受调查者表示一季度的IT预算没有变化,15%的受调查者表示IT预算有幅度不等的增长。值得注意的是,有23%的受调查者表示,一季度的IT预算有所下降。
笔者观点:由于全球的经济不景气,IT预算减少和人力资源成本上升使得企业能够用于信息安全方面的投入日益减少,而同时进入2008年以来的各种新型威胁的出现,也使得企业在保护自己IT设施和信息资产安全方面的压力越来越大。由于全球经济短时间内不会有很大的改观,企业IT预算的增长状况看来也不会有较大的好转,预计在接下去的一段时间内,新的信息安全技术及产品进入企业应用领域的步伐将会放慢,企业会更多的选择升级现有的安全方案或使用安全管理方法,而不是重新采购和部署新的安全方案。信息安全行业的经营情况也将有可能因此而出现分化现象,一些较小的安全厂商将有可能面临企业市场的更大压力,或被迫将主要的精力转向个人市场。当然,安全厂商也会采取降价、捆绑销售、赠送产品等方式来促进企业对新安全产品的购买,这对企业IT预算越发有限的企业来说应该算是好消息,但企业也将需要在选择安全厂商和产品上投入更多的精力。
 
网络犯罪:FBI报告显示网络犯罪更趋向于经济目的;关注指数:高
新闻:周五,来自SecurityFocus的消息,FBI下属的互联网网络犯罪中心IC3周二发表的2007年度网络犯罪报告称,2007年度在线欺诈所涉及的金额,从2006年的19.8亿美元,上涨到23.9亿美元,而同期的案发数则有0.6%的下降。在这些网络犯罪案件中,有超过60%的案件属于信用卡及其他身份识别信息被窃或对销售商进行的销售欺诈。
笔者观点:FBI的报告所透露出的最为关键的信息是,网络犯罪正逐渐从破坏性的攻击行动转变为以经济目的为主。去年在北美地区发生的影响较大的网络犯罪案件,包括针对普通用户的信用卡信息盗窃、针对电子商务的销售欺诈和客户数据盗窃,及针对企业、政府机构的敏感数据盗窃等。FBI的网络犯罪报告对我国有非常重要的警示作用,由于国内的技术水平、银行业及电子商务等均落后美国1至2年时间,国内的网络犯罪影响面也相对较小,但即便如此,国内的网络犯罪也逐渐从破坏性质或偷窃用户账户为主,逐渐转变到针对用户的银行帐号为主,并且在这些网络犯罪案件的背后还存在有组织犯罪的影子。此外,由于国内立法的进度远远落后于技术及商业的发展,国内并没有专门针对电子商务安全、网络犯罪惩治的法律法规,作为管理者的政府机构、责任者的电子商务厂商以及作为参与者的普通消费者的安全意识及技能也十分薄弱,这都进一步的限制了对政府部门、电子商务及消费者的保护力度。







本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/70245,如需转载请自行联系原作者

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
10天前
|
机器学习/深度学习 人工智能 算法
猫狗宠物识别系统Python+TensorFlow+人工智能+深度学习+卷积网络算法
宠物识别系统使用Python和TensorFlow搭建卷积神经网络,基于37种常见猫狗数据集训练高精度模型,并保存为h5格式。通过Django框架搭建Web平台,用户上传宠物图片即可识别其名称,提供便捷的宠物识别服务。
141 55
|
20天前
|
机器学习/深度学习 人工智能 算法
【宠物识别系统】Python+卷积神经网络算法+深度学习+人工智能+TensorFlow+图像识别
宠物识别系统,本系统使用Python作为主要开发语言,基于TensorFlow搭建卷积神经网络算法,并收集了37种常见的猫狗宠物种类数据集【'阿比西尼亚猫(Abyssinian)', '孟加拉猫(Bengal)', '暹罗猫(Birman)', '孟买猫(Bombay)', '英国短毛猫(British Shorthair)', '埃及猫(Egyptian Mau)', '缅因猫(Maine Coon)', '波斯猫(Persian)', '布偶猫(Ragdoll)', '俄罗斯蓝猫(Russian Blue)', '暹罗猫(Siamese)', '斯芬克斯猫(Sphynx)', '美国斗牛犬
109 29
【宠物识别系统】Python+卷积神经网络算法+深度学习+人工智能+TensorFlow+图像识别
|
6天前
|
数据采集 监控 安全
公司网络监控软件:Zig 语言底层优化保障系统高性能运行
在数字化时代,Zig 语言凭借出色的底层控制能力和高性能特性,为公司网络监控软件的优化提供了有力支持。从数据采集、连接管理到数据分析,Zig 语言确保系统高效稳定运行,精准处理海量网络数据,保障企业信息安全与业务连续性。
27 4
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
70 32
|
16天前
|
云安全 人工智能 安全
|
22天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
28天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
55 11
|
29天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
29天前
|
弹性计算 监控 数据库
制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程
本文通过一个制造企业ERP系统迁移至阿里云ECS的实例,详细介绍了从需求分析、数据迁移、应用部署、网络配置到性能优化的全过程,展示了企业级应用上云的实践方法与显著优势,包括弹性计算资源、高可靠性、数据安全及降低维护成本等,为企业数字化转型提供参考。
54 5
|
29天前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
在数字化浪潮中,网络安全与信息安全如同航船上不可或缺的罗盘和舵。本文将探讨网络安全漏洞的成因、加密技术的重要性以及安全意识的培养,旨在为读者提供一套完整的网络自我保护指南。从基础概念到实用策略,我们将一起航行在安全的海洋上,确保每一位船员都能抵达信息保护的彼岸。