本文目录一览:
什么是“软件指纹”?(涉及软件安全管理的问题)
如果对恶意软件进行仔细分析,我们会发现编写这些代码的黑客所留下的“指纹”。与现行的入侵侦测形式相比,这就相当于黑客一生中的特征。
HBGary 公司首席执行官Greg Hoglund称,分析恶意软件可执行文件的二进制代码还可以揭示关于攻击代码意图,以更为有效的进行数据防护。Hoglund将在拉斯维加斯召开的会议上做名为《恶意软件的归属:追踪网络间谍和数字犯罪》的演讲。
Hoglund称,分析将揭示工具痕迹----编写恶意代码的环境特征。这有助于识别编写代码的个人或团体使用的是什么工具。
比如说,他的研究看到了恶意软件执行文件背后的黑客“指纹”,包括对Back Orifice 2000、Ultra VNC远程控制电脑软件和2002微软编辑指南代码的使用。每一个程度都被进行了少量的修改,但是所获得的信息足以形成一个完整的“指纹”。
恶意软件是一种远程访问工具(RAT),诸如Poison Ivy的RAT生成器能够为每次使用创建独特的RAT代码,这并不是黑客所能选择的。Hoglund称,在其它的恶意软件中识别这个RAT能够将恶意软件代码与普通的作者或团队联系起来。
他发现这些“指纹”已经有相当长的一段时间了。一旦编写,这些二进制代码自身很少会被改变。所以将这些指纹作为恶意软件的特征在很长一段时期将更为有效。Hoglund称:“这些坏家伙不会频繁变动他们的代码。”
传统的反病毒平台可识别恶意软件的变种。这一研究能够催生新的入侵侦测形式。它们将会深入分析恶意软件以发现这些指纹,然后将其分配给一个根据恶意软件意图组建的威胁应对小组。
他举例称,如果恶意软件被设计用来窃取个人的信用卡账号,那么与窃取公司知识产权的恶意软件相比,公司可能将把前者列为对公司威胁较低的恶意软件。
Hoglund称:“你无法成功的将这些坏家伙拒之你的网络之外。但是如果你能尽早的发现他们,你就能防止损失。”
在他的谈话中,Hoglund称他将展示一些图表。指纹的匹配程度,这些图表对他们的团队所检测的50万个恶意软件进行了归类。他称他希望向人们展示这50万个恶意软件进行分类后数量将减少,其将变成数百个而不是数千个。
如果情况真如他所说的那样,使用这些指纹作为恶意软件的特征进行探测,入侵侦测引擎将把重点放在过滤恶意软件上,而不再是恶意软件入侵时使用的外 壳。由于攻击者更改他们的代码速度很慢,因此这也意味着将建立起一个更为稳定的恶意软件特征库。这些IDS特征将会在很长一段时间内有效工作。
为了实现这些,IDS需要安装在代码执行的终端,其能够作为一个人类可读取的文本在电脑内存中被察看。在网络层中,打包的可执行文件不会显示这些属性。
在会议上,Hoglund计划公布一个名为Fingerprint的工具。这个工具能够分析和比对不同恶意软件的相似性。公司能够使用这一工具确定可识别的黑客编写了什么代码,以及它们的意图是什么。
这一方法能够帮助公司识别他们是受到了一次协同攻击,还是一次随机攻击。Hoglund称,通过这种类型的分析他发现了一个可识别的黑客对国防部进行了攻击,而五年前这名黑客还攻击了一个军事基地。
“指纹”表明攻击者是同一人。攻击者使用的语言开发环境表明了攻击者来自的国家,其所使用的一些源代码也正是该国黑客网站上的代码副本。
指纹识别真的安全吗?
每个人的指纹都是独一无二的,但纽约大学及密歇根州立大学的研究人员发现,两枚指纹之间的局部特征普遍存在相似性,因此手机或其它设备上的那些基于指纹的安全系统,要比想象中的脆弱的多。
系统的漏洞在于,用于身份验证功能的指纹传感器并不会捕捉用户指纹的完整图形,相反,它扫描储存的只有指纹的部分区域,而且许多手机还允许用户在系统里录入多个手指的指纹。只要用户的指纹与系统里保存的区域指纹相匹配,手机就会解锁。据研究人员推测,不同人的指纹区域之间可能存在足够的相似性,足以用来制造出虚假的“超级指纹”,从而骗过手机的指纹传感器。
该研究的合著者,密歇根州立大学计算机科学与工程系教授Arun Ross表示,许多电子设备比如智能手机均开始将指纹传感器用于用户身份验证,但手机上的指纹传感器尺寸很小,扫描录入的只有一部分指纹。为了弥补这个不足,电子设备通常会在注册过程中,要求用户录入单个手指指纹的不同区域点,以确保其中至少有一个会在身份的识别过程中与获取到的指纹图像成功匹配。而正是这一点使得情况不妙。
“由于指纹传感器的尺寸变小,提高传感器的分辨率就显得十分必要,这样才能捕捉到额外的特征点,”Arun Ross说道,“如果不提高分辨率,那么将不可避免地损害到用户指纹的独特性。研究过程中的实证分析也证实了这一点。”
Ross表示,研究团队目前正致力于如何解决这个突出的漏洞。其中包括需要开发出有效的反电子欺骗技术;在用户注册时谨慎挑选指纹的数量和类型;提高小型传感器的分辨率以便于提取更多特征点;提高利用了节点与纹理的识别技术;以及设计更有效的综合方案,从而将用户的多个指纹区域结合起来。
纽约大学计算机科学和工程研究组组长Nasir Memon称,“超级指纹”有点类似于一个黑客,试图用1234这种通用密码来破解PIN码(手机SIM卡的个人识别码)。
Memon表示:“1234这个密码大约有40%的几率是正确的,据我们估计,这个正确率有点高。”
国家科学基金会资助研究人员对8200枚指纹进行分析试验。通过商业指纹验证软件,研究人员每批次抽取800枚指纹,结果显示平均有92枚具备成为“超级指纹”的潜在可能性。(他们将“超级指纹”设计为在随机抽取的每个批次中,至少能够匹配于其中4%的虚假指纹。)
相反地,在800份完整的试验样本中,研究人员只发现了一枚完整的可用作“超级指纹”的人造指纹。Memon表示,“这并不奇怪,匹配部分指纹的成功率要比匹配一整枚指纹的高得多,然而大部分设备用来匹配的都是部分指纹。
研究人员对取自真实指纹图像的“超级指纹”的特征进行分析,建立了一个算法用于创建合成“超级指纹”。实验表明,人造的合成指纹匹配的可能性更高,与某些真实的指纹相比反而更能骗过安全识别系统。而由真实指纹结合制成的“超级指纹”成功匹配了系统中26%-65%的用户指纹,其成功率取决于用户储存了多少指纹图像,并设定了每次最多尝试匹配5次的限制。
用户在手机里录入的指纹越多,安全系统就越脆弱。
研究人员强调他们的工作是在模拟环境下完成的,但需要注意的是,人造指纹技术的发展以及将电子指纹转移到实体的技术,可能导致攻击生物识别设备的可能性提高,这是一个很严重的问题。由于“超级指纹”的高匹配度,设计值得信赖的基于指纹识别的身份认证系统正面临挑战,亟需加强方案的设计,从而利用多种因素进行身份验证,以提高系统的安全性。研究人员认为,这项研究将会影响未来安全系统设计的方向。同时,Memon表示,目前使用密码解锁手机仍是安全的。
相关论文已发表在《IEEE信息鉴定和安全》期刊上。
蝌蚪五线谱编译自scienceblog,译者 狗格格,转载须授权
凡来源署名为“蝌蚪五线谱”的内容,版权归蝌蚪五线谱所有,任何媒体、网站或个人未经授权不得转载,否则追究相应法律责任。申请转载授权或合作请发送邮件至editor@kedo.gov.cn。本网发布的署名文章仅代表作者观点,与本网站无关。如有侵权,文责自负。
作者:狗格格/编译
指纹锁会不会被黑客破解?
一般情况下,质量好的是不会的。像富宇牌子的,有防黑客入侵功能的
小心了,指纹识别真的安全吗
每个人的指纹都是独一无二的,但纽约大学及密歇根州立大学的研究人员发现,两枚指纹之间的局部特征普遍存在相似性,因此手机或其它设备上的那些基于指纹的安全系统,要比想象中的脆弱的多。
系统的漏洞在于,用于身份验证功能的指纹传感器并不会捕捉用户指纹的完整图形,相反,它扫描储存的只有指纹的部分区域,而且许多手机还允许用户在系统里录入多个手指的指纹。只要用户的指纹与系统里保存的区域指纹相匹配,手机就会解锁。据研究人员推测,不同人的指纹区域之间可能存在足够的相似性,足以用来制造出虚假的“超级指纹”,从而骗过手机的指纹传感器。
该研究的合著者,密歇根州立大学计算机科学与工程系教授Arun Ross表示,许多电子设备比如智能手机均开始将指纹传感器用于用户身份验证,但手机上的指纹传感器尺寸很小,扫描录入的只有一部分指纹。为了弥补这个不足,电子设备通常会在注册过程中,要求用户录入单个手指指纹的不同区域点,以确保其中至少有一个会在身份的识别过程中与获取到的指纹图像成功匹配。而正是这一点使得情况不妙。
“由于指纹传感器的尺寸变小,提高传感器的分辨率就显得十分必要,这样才能捕捉到额外的特征点,”Arun Ross说道,“如果不提高分辨率,那么将不可避免地损害到用户指纹的独特性。研究过程中的实证分析也证实了这一点。”
Ross表示,研究团队目前正致力于如何解决这个突出的漏洞。其中包括需要开发出有效的反电子欺骗技术;在用户注册时谨慎挑选指纹的数量和类型;提高小型传感器的分辨率以便于提取更多特征点;提高利用了节点与纹理的识别技术;以及设计更有效的综合方案,从而将用户的多个指纹区域结合起来。
纽约大学计算机科学和工程研究组组长Nasir Memon称,“超级指纹”有点类似于一个黑客,试图用1234这种通用密码来破解PIN码(手机SIM卡的个人识别码)。
Memon表示:“1234这个密码大约有40%的几率是正确的,据我们估计,这个正确率有点高。”
国家科学基金会资助研究人员对8200枚指纹进行分析试验。通过商业指纹验证软件,研究人员每批次抽取800枚指纹,结果显示平均有92枚具备成为“超级指纹”的潜在可能性。(他们将“超级指纹”设计为在随机抽取的每个批次中,至少能够匹配于其中4%的虚假指纹。)
相反地,在800份完整的试验样本中,研究人员只发现了一枚完整的可用作“超级指纹”的人造指纹。Memon表示,“这并不奇怪,匹配部分指纹的成功率要比匹配一整枚指纹的高得多,然而大部分设备用来匹配的都是部分指纹。
研究人员对取自真实指纹图像的“超级指纹”的特征进行分析,建立了一个算法用于创建合成“超级指纹”。实验表明,人造的合成指纹匹配的可能性更高,与某些真实的指纹相比反而更能骗过安全识别系统。而由真实指纹结合制成的“超级指纹”成功匹配了系统中26%-65%的用户指纹,其成功率取决于用户储存了多少指纹图像,并设定了每次最多尝试匹配5次的限制。
用户在手机里录入的指纹越多,安全系统就越脆弱。
研究人员强调他们的工作是在模拟环境下完成的,但需要注意的是,人造指纹技术的发展以及将电子指纹转移到实体的技术,可能导致攻击生物识别设备的可能性提高,这是一个很严重的问题。由于“超级指纹”的高匹配度,设计值得信赖的基于指纹识别的身份认证系统正面临挑战,亟需加强方案的设计,从而利用多种因素进行身份验证,以提高系统的安全性。研究人员认为,这项研究将会影响未来安全系统设计的方向。同时,Memon表示,目前使用密码解锁手机仍是安全的。
相关论文已发表在《IEEE信息鉴定和安全》期刊上。
蝌蚪五线谱编译自scienceblog,译者 狗格格,转载须授权
凡来源署名为“蝌蚪五线谱”的内容,版权归蝌蚪五线谱所有,任何媒体、网站或个人未经授权不得转载,否则追究相应法律责任。申请转载授权或合作请发送邮件至editor@kedo.gov.cn。本网发布的署名文章仅代表作者观点,与本网站无关。如有侵权,文责自负。
作者:狗格格/编译
黑客窃取别人的指纹可以取走银行卡上的钱吗
你好,不是有卡就能取钱的,除非你把密码泄露了,建议你马上去银行申请挂失,以免意外麻烦。