第一代RFID信用卡的安全弱點研究
Friday, October 27, 2006, 17:55 - 資訊電腦, 資訊安全
在今年的Black Hat年會,洛杉磯一家安全公司Flexilis簡報了一篇有關RFID護照安全的報告。這篇報告展示了恐怖份子如何利用旅客身上所帶的RFID護照遠端鎖定對象並自動引爆炸彈。而最近則有一篇報告是針對RFID信用卡的資訊安全與隱私權保護提出警告。根據RFID安全與隱私國際協會(RFID Consortium for Security and Privacy,RFID-CUSP)所公布的這篇報告指出,目前第一代的RFID信用卡存在有兩個基本的弱點:
- 姓名資訊是未加密的明碼:任何能夠掃瞄RFID信用卡的設備,不論是否有取得信用卡擁有者的同意下,掃瞄RFID信用卡而得知持卡人的姓名。
- 付款詐欺:RFID信用卡可能遭受不同程度,被稱為”skimming”的攻擊。攻擊者在劫取了信用卡資料後,可以複製偽造信用卡做非法的交易,也可以在線上利用這信用卡資料進行線上刷卡。
不過要強調的是,這篇報告承認,由於缺乏法律的保障,這篇報告並不敢大膽的進行skimming攻擊的實地研究,因此除了特定的弱點外,其他許多的問題仍是屬於臆測的結果。
[ 發表回應 ] | permalink
'06 F1巴西站
Monday, October 23, 2006, 16:51 - 方程式賽車
巴西GP在晴朗無雲的比賽條件下於Interlagos賽道開跑,當地氣溫23度,賽道路面30度,Ferrari與Renault的雙料冠軍之爭即將決定勝負。起跑後,Felipe Massa守住領先位置通過第一個彎,隨後而至的Kimi Raikkonen也壓制了後面交纏的Jarno Trulli、Fernando Alonso。第十位起跑的Michael Schumacher第一圈一口氣就相繼超越BMW車隊的Robert Kubica、Nick Heidfeld以及胞弟Ralf Schumacher晉升三個位置搶占第七名。後方中游集團的Williams車隊演出兄弟鬩牆,Mark Webber與Nico Rosberg發碰撞,雙方車輛皆受到損傷,Webber後尾翼解體只得慢速駛回車庫,而Rosberg卻在最後的高速彎道前失控撞牆,這起事故也召來了安全車出場。
安全車在場引導五圈之後離場。Raikkonen隨即緊咬領先的Massa,但仍無功而返守在第二。此時全場矚目的焦點M.Schumacher已然與 Giancarlo Fisichella進入纏鬥,M.Schumacher第八圈時於第一個彎勇猛超越Fisichella,但卻意外輾過Rosberg遺留在賽道上的殘骸,於是左後輪爆胎在接下來的S組合彎發生側滑,經過一圈的掙扎回到pit換胎重新回到賽道已經掉到第19。第九圈,Toyota兩輛車皆因懸吊問題退賽,與BMW的年度第五之爭確定敗下陣來。Red Bull車隊老將David Coulthard於第13圈也發生問題離場。
賽事進入中盤,Raikkonen於第21圈率先第一次休停,回鍋時位於第7。領先的Massa也於第23圈進站,Alonso則多跑了兩圈才第一次休停。第27圈場上前6名次依序為:Massa、de la Rosa、Alonso、Raikkonen、Button、Fisichella。後方急起直追的M.Schumacher屢創最快單圈來勢洶洶,到了第29圈已經挺進第13名。第二集團的Button超越Raikkonen很快貼近前方的Alonso,但始終無有效的超越策略。
一路過關斬將的M.Schumacher圈圈飛快,第37圈已然闖入得分圈暫居第八。第41圈超越Robert Kubica卻突然慢了下來,所幸很快恢復車速再度領先Kubica之後,繼而進擊前隊友Barrichello。de la Rosa進站後,Alonso晉升至第二Button緊隨。
賽事進入終盤,第二集團的名次隨著M.Schumacher不斷保持飛速而產生些微變化。Fisichella在M.Schumacher的壓迫下於第62圈失守掉到第六。第66圈,M.Schumacher與 Raikkonen激烈的纏鬥後再晉升一位。終場,Massa率先衝過方格旗,Alonso以第二名之姿順利衛冕世界冠軍,Renault也包辦了今年賽季的雙料世界冠軍,鈕扣小子Button搶佔頒獎台最後一個席次。最後,M.Schumacher以第四名與一路驚險的超車鏡頭結束車神F1職業生涯最後一場比賽,同時也為個人漫長的F1傳奇生涯與各項驚人紀錄劃下了休止符。
舒馬赫創造的F1紀錄,足以讓他在車壇名留青史,包括7次年度總冠軍,其中曾締造5連霸,而他個人生涯總計90座及單季13座分站冠軍,也都是紀錄。2002年舒馬赫更創下史上唯一每個分站都進入前3名,最後以67分的史上領先亞軍最大差距封王。
[資料來源] http://www.autoracing.com.tw/newsmains.asp?arsID=1855
[ 發表回應 ] | permalink
銀色子彈市場
Friday, October 20, 2006, 20:28 - 資訊電腦, 資訊安全
最近看到一篇從經濟學觀點來分析資訊安全產品(包括服務)市場的文章,把資訊安全產品的市場稱為銀色子彈市場。這篇文章是依據美國諾貝爾經濟學獎得主喬治.阿卡洛夫(George Akerlof)在1940年提出的「檸檬市場」(lemon market)的論點分析得來。檸檬在美語的另一個俗稱是指瑕疵品或次級品的意思。在「情報不對稱性」的市場中,賣方擁有對商品品質較多較熟悉的情報,相對的買方擁有較少或較不熟悉的情報,賣方就容易利用買方對商品品質不熟悉的狀態,提供較差品質的東西而冒稱優良產品販賣,漸漸的買方就不想買較優良產品,所以市場就產生劣質品或瑕疵品充斥的市場,就稱為「檸檬市場」。
而作者針對資訊安全產品的市場做了四個前提假設:
- 在資訊安全產品的市場,買家沒有充足的資訊讓他們做有理性的決定。
- 在資訊安全產品的市場,賣方缺乏足夠的資訊來做可信的銷售決定。
- 在銀色子彈的市場,不論是產品的買方或賣方都沒有充足的資訊讓他們做有理性的決定。
- 決策主要是根據外在的因素所下的,但並沒有與安全產品名義上的安全目標有強烈的因果關係。
所謂銀色子彈(Silver Bullet)通常指的是某種軟體產品或程序,沒有任何符合邏輯或理性的解釋,就宣稱能達到特定的功效。因此銀色子彈產品通常在市場上都是在資訊不足的情況下完成交易的。
| The Market for Goods | Purchaser Knows | Purchaser Lacks |
| Seller Knows |
Efficient Goods | Lemons (used cars) |
| Seller Lacks |
Limes (Insurance) | Silver Bullets (Security) |
[ 發表回應 ] | permalink
資安入侵事故的成本
Friday, October 20, 2006, 20:11 - 資訊電腦, 資訊安全
資安入侵事故的成本數子也許是在資訊安全產業中最難以理解的數字。供應商想要這個數字讓他們可以顯現出他們產品的價值。安全專家想要這個數字以便讓他們可以對新的採購成本來辯護。攻擊者想要這個數字以便可以讓他們評估他們的弱點攻擊的有效性。但在整個產業搜尋過後,這篇報告發現:安全事故的成本沒有一個單一的、確定的數字。舉例來說:
一個美國法務部在8月28號預定要發布的研究報告資料顯示,Phoenix科技與執法機關發現,在被竊取的帳號與密碼被使用的案例中,平均每個事件的損失是1百50萬美金。有些攻擊甚至會造成1千萬美金的損失。
而根據CSI與FBI的年度報告,每家公司在2005年因為資料洩露造成的平均損失由前一年的20萬美金降到美金16萬7千美金。約半數的受訪企業一年有一到五起資安事件。
由Ponemon Institute與PGP Corp去年所進行的研究發現,當消費者資料遺失的事件發生時,平均每個事件的企業損失在一千四百萬美金。最高的成本可以高到5千萬美金。
最近Yankee Group的調查顯示超過半數的公司評估,當網際網路無法運作時,每小時的成本超過1千美金。
Aberdeen Group在2004年公布的研究發現,在網際網路上運作的商業活動若受到資安事故而中斷,每個事故的成本大概兩百萬美金。
這麼多不同的數字,實在很難得出一個具體的結論,不過從經驗法則來看,遭入侵的資安事故成本平均大約10萬美金。不過一家IT顧問公司的分析師認為,不要把這些研究調查出來的數字看的太嚴重。因為商業風險跟產業所處的背景有很大的關連性,同時也與技術缺陷有很大的依存度。同樣一個種類的程式錯誤在兩個不同的程式系統裡會導致兩個差異非常大的影響衝擊。除此之外,很多進行這些研究的組織都承認他們的方法並不是很科學化的。受訪者針對問題的回答很多都是估計值。
[參考來源] http://www.darkreading.com/document.asp?doc_id=101631
[ 發表回應 ] | permalink
員工經常手寫記下密碼
Friday, October 20, 2006, 20:10 - 資訊電腦, 資訊安全
今天有一則新聞是有關密碼維護的調查。根據這份結果顯示,有三分之一的員工習慣隨手記下電腦密碼。調查報告的作者建議,企業應利用更先進的方法,包括生物辨識科技,降低因員工缺乏安全意識所造成的風險。
市場研究公司Nucleus Research和KnowledgeStorm 17日發表的調查報告指出,企業為強化IT安全,通常要求員工定期更換密碼,或是規定密碼必須同時包含英數字以增加複雜度,但這些作法對安全並無實質幫助。員工依然習慣隨手在一張紙、電腦的文字檔或行動裝置上,記下每次設定的密碼。
Nucleus Research資深分析師David O’Connell表示:「這種情況就像父母為家中裝設一套很棒的新保全系統,孩子卻把對號密碼留在門口的鞋墊下。」
這次研究共調查325位美國企業員工,結果發現單一登入系統與複雜方案的效果相差無幾,而教育使用者適當保存密碼的重要性並無法改正員工散漫的習慣。
O’Connell說:「密碼是維護頻率極高的項目。使用者經常忘記、遺失密碼,因而需要重設。重送密碼耗費時間和成本,需要實際找人協助處理。」
該報告建議企業利用生物辨識科技,如聲音辨識設備或指紋掃描器,或認知辨識—可藉由對象回答複選題觀察其人格特質,進而辨識身份的最新安全系統。
O’Connell表示:「企業需要改用這些更嚴謹的技術,以擺脫密碼。」
我在網路上看到對這份報告的討論呈現兩極化,一派的人認為這份報告是在幫生物辨識技術的廠商背書,因為這派的人認為真正去調查起來,會因為把密碼寫在黃色的任意貼上而造成的資料外洩應該是少之又少。另一派的人則認為把密碼寫下來的風險不是因為外來的威脅而引起的,而多是內部人員無意中看到別人寫下的密碼,而造成的危險,比如說如果員工看到老闆的電子郵件密碼貼在螢幕上,大概會有不少人都會心動想試試看,偷窺偷窺老闆的私密。所以其實重點不是你採用哪種防護措施,而是應該了解你所面臨的威脅與風險,再決定採用的驗證防護方案。
[ 發表回應 ] | permalink
前一頁 下一頁
