یک پژوهش جالب درباره امنیت اثر انگشت

شاید تصور عمومی بر این باشد که استفاده از اثر انگشت به جای پسورد، امنیت بالایی برای سیستم های تصدیق اصالت (Authentication) فراهم می کند. اما این سیستم ها هم مشکلات و ضعف های خاص خود را دارند. یکی از این مشکلات، آسیب پذیر بودن در برابر حمله دیکشنری است. این حمله مبتنی بر کشف و آزمایش ویژگی های مشترک بین مجموعه بزرگی از آثار انگشت است. اما در پژوهشی جدیدتر، تلاش بر ایجاد شاه کلید (Master Key) از روی تعداد بسیار زیادی اثر انگشت بوده است. منظور از شاه کلید، تصویری از بخشی از یک اثر انگشت عمومی است که می تواند برای حمله دیکشنری علیه سیستم های تشخیص و تطبیق اثر انگشت استفاده شود. این تصویر، حداقل با یک بخش از تعداد قابل توجهی اثر انگشت افراد مختلف، مطابقت دارد.

اشتراک گذاری

مقررات جدید امنیت اینترنت اشیاء در ایالت کالیفرنیا

کالیفرنیا به عنوان اولین ایالت در آمریکا، مقرراتی در حوزه امنیت اشیاء متصل تصویب کرده و از سال ۲۰۲۰ اجرا خواهد کرد. در این مقرات، به شرکت های تولید کننده اشیاء متصل تکلیف شده که مجموعه ای از قابلیت های امنیتی مناسب را پیاده سازی کنند. این قابلیت ها باید خود تجهیز و داده های آن را از انواع تهدیدها محافظت کند.

ویژگی های خاص و ریسک های متنوع اینترنت اشیاء و در حاشیه بودن موضوع امنیت برای تولید کنندگان انواع اشیاء متصل، باعث شده که مقررات گذاری در حوزه امنیت اینترنت اشیاء در بسیاری از کشورها در اولویت قرار بگیرد.

منبع

اشتراک گذاری

راهنمای امنیت اینترنت اشیاء از زمان طراحی

سند راهنمای امنیت اینترنت اشیاء برای مشتریان، حاوی اصول راهنما برای تولیدکنندگان، ارائه دهندگان خدمات و فروشندگان تجهیزات IoT است. هدف این سند، اطمینان از امنیت اشیاء متصل از زمان طراحی تا تولید و استفاده است.

 

این سند در اکتبر ۲۰۱۸ توسط دولت انگلستان منتشر شده است. دامنه های مورد اشاره در سند شامل ۱۳ اصل راهنمای زیر است:

۱٫No default passwords

۲٫Implement a vulnerability disclosure policy

۳٫Keep software updated

۴٫Securely store credentials and security-sensitive data

۵٫Communicate securely

۶٫Minimise exposed attack surfaces

۷٫Ensure software integrity

۸٫Ensure that personal data is protected

۹٫Make systems resilient to outages

۱۰٫Monitor system telemetry data

۱۱٫Make it easy for consumers to delete personal data

۱۲٫Make installation and maintenance of devices easy

۱۳٫Validate input data

اشتراک گذاری

ماژول امنیتی برای اشیاء متصل

استارتاپ Crypto Quantique یک ماژول سخت افزاری به نام تراشه امن کوانتومی (QDSC) برای تامین امنیت end to end اشیاء متصل تولید کرده است. اونها ادعا می کنند که این تراشه می تواند رمزنگاری کوانتومی، بدون نیاز به ذخیره سازی کلیدها در داخل دستگاه و بدون نیاز به شخص ثالث مورد اعتماد، در اختیار اینترنت اشیاء قرار دهد. شرکت ادعا می کند که ویژگی های رمزنگاری و فیزیک کوانتومی این ماژول، آن را غیر قابل کپی و غیر قابل نفوذ کرده و هر شیء می تواند بدون نیاز به موجودیت دیگری به اشیاء دیگر اعتماد کرده، تصدیق اصالت شده و وارد شبکه شود.

اشتراک گذاری

تردیدها درباره ادعای بلومبرگ علیه سوپرمایکرو

  1. گزارش بلومبرگ درباره وجود ایمپلنت در مادربوردهای سوپرمایکرو، تقریباً توسط تمام شرکت های مورد بحث تکذیب شد. دپارتمان امنیت داخلی (DHS) امریکا هم اعلام کرده که شواهدی برای نقض ادعای شرکت ها ندارد و اپل هم از بلومبرگ بابت این گزارش شکایت کرده است.
اشتراک گذاری

امنیت در زنجیره تامین: مورد شرکت سوپرمایکرو

وبسایت بلومبرگ گزارش کرده که مادربوردهای سوپرمایکرو که در سرورهای شرکت هایی مثل اپل و آمازون استفاده می شده به یک ریز تراشه فوق العاده کوچک جاسوسی متعلق به چین مجهز بوده و این اتفاق در سال ۲۰۱۵ کشف شده است. هر دو شرکت این گزارش رو از اساس تکذیب کرده اند. اما بحث های مربوط به اهمیت حفظ امنیت در زنجیره تامین سخت افزارها و نرم افزارها و همچنین رقابت سایبری چین و آمریکا به شدت داغ شده است.

 

اشتراک گذاری

بات نت Torii

بات نت Torii طبق گزارش شرکت Avast، جدیدترین بات نت شناسایی شده در حوزه IoT است که حداقل از دسامبر ۲۰۱۷ فعال بوده و روی پلت فرم های متنوع پردازشی مثل ARM, MIPS, x86 و غیره کار می کند. بر خلاف بات نت های مشهور قبلی از جمله Mirai، این بات نت به جای اجرای DDoS یا استخراج رمز – ارز، به شنود و استخراج داده از تجهیزات آلوده می پردازد، در نتیجه عملکرد پنهان تری نسبت به موارد قبلی دارد.

اشتراک گذاری

گزارش دولت آمریکا درباره نشت اطلاعات Equifax

یک سال قبل در این روزها خبر حادثه نشت اطلاعات حدود ۱۴۵ میلیون مشتری شرکت Equifax منتشر شد. این شرکت یکی از قدیمی ترین سیستم های محاسبه و گزارش اعتبار بوده و مشتریان دولتی و خصوصی در امریکا، کانادا و انگلستان دارد. این گزارش دولتی توسط GAO حاوی خلاصه ای از نحوه هک شدن و سرقت داده ها و نحوه پاسخ و مدیریت حادثه توسط شرکت است. نفوذ با سوء استفاده از آسیب پذیری در یک سرور وب و نفوذ به آن، و سپس نفوذ به سرورهای دیتابیس مجاور اتفاق افتاده و خروج اطلاعات در مدت ۷۶ روز با استخراج اطلاعات از ۵۱ دیتابیس مختلف صورت گرفته است.

یادداشت های مرتبط:

دیدگاه مدیر سابق Equifax درباره نفوذ اخیر

حواشی نشت اطلاعات Equifax

هک شدن Equifax: یک رخداد تاریخی

اشتراک گذاری

یک سخنرانی جذاب از Usenix 2018

سخنران کلیدی رویداد Usenix 2018، پروفسور James amickens استاد علوم کامپیوتر دانشگاه هاروارد یک ارائه بسیار جذاب درباره جنبه های اجتماعی امنیت و موضوع هوش مصنوعی داشته که در اینجا قابل مشاهده است. سخنرانی های کلیدی در رویدادهای داخلی معمولاً بسیار خواب آور و یکنواخت هستند، به خصوص در موضوع امنیت و بالاخص اگر سخنران استاد دانشگاه باشد. دیدن ارائه فوق حتماً برای کسانی که به عنوان سخنران کلیدی به رویدادهای داخلی دعوت می شوند مفید است.

اشتراک گذاری

متخصصان امنیت و سندروم اسپرگر

افراد مبتلا به سندروم اسپرگر، که شکل ملایمی از اوتیسم (در خود ماندگی) است، نشانه هایی دارند که می تواند برای یک متخصص موفق امنیت مفید باشد. از طرف دیگر، مطالعات نشان می دهند که بسیاری از هکرها در بریتانیا و احتمالاث نقاط دیگر دنیا، مبتلا به این سندروم هستند. تمرکز بسیار بالا، توجه به جزئیات، روشمند بودن و توانایی حل بهینه مساله در کنار بعصی مشکلات در روابط اجتماعی، از جمله این فاکتورهای کلیدی مشترک هستند.

اشتراک گذاری