信息安全

机器学习中安全与隐私问题(对抗性攻击)

近几年,机器学习异常火爆,可以用来解决各种各样的问题,但却很少有人意识到机器学习本身也容易受到攻击,终于Ian Goodfellow和Papernot首次将机器学习的攻击提出,并且做了很多非常重要的研究,这里给出这二位大牛的博客的翻译,有兴趣的朋友可以关注一下,觉得还是很有意思的研究。本文也是安全方面的学习,有兴趣的希望可以一起讨论学习~~

(一)背景

直到几年前,机器学习算法在许多有意义的任务上都没有很好地发挥作用,比如识别物体或翻译。因此,当机器学习算法没能做正确的事情时,这是规则,而不是例外。今天,机器学习算法已经进入了下一个发展阶段:当呈现自然产生的输入时,它们可以比人类表现得更好。机器学习还没有达到真正的人类水平,因为当面对一个微不足道的对手时,大多数机器学习算法都失败了。换句话说,我们已经达到了机器学习的目的,但很容易被打破。

10 大 IoT 安全挑战

随着越来越多 IoT 设备面世,部署在无法控制、复杂且通常恶劣的环境中,保护 IoT 系统面临着大量独特挑战。依据 Eclipse IoT 工作组 2017 年的 IoT 开发人员调查,安全是 IoT 开发人员关注的首要问题。

下面我将介绍我认为 IoT 安全面临的 10 大挑战:

• 保护资源受限的设备
• 授权和验证设备
• 管理设备更新
• 保护通信
• 保证数据隐私和完整性
• 保护 Web、移动和云应用程序
• 保证高可用性
• 检测漏洞和事故
• 管理漏洞
• 预测并抢先预防安全问题

1 – 保护资源受限的设备

许多 IoT 设备拥有有限的存储、内存和处理能力,它们常常需要能够在低功耗条件下运行,比如在使用电池运行时。
高度依赖于加密的安全方法不太适合这些资源受限的设备,因为它们执行复杂加密和解密的速度不足以让它们实时安全地传输数据。

这些设备常常容易受到旁路攻击,比如功耗分析攻击,这些攻击可用来对算法执行逆向工程。相反,资源受限的设备通常仅采用快速、轻量型的加密算法。

IoT 系统应使用多层防御来弥补这些设备局限,例如将设备隔离到单独的网络上并使用防火墙。

智能门锁到底安不安全?

智能门锁作为智能家居的重要入口,最近几年一直是各类玩家争先布局的领域,最具争议的便是安全性与便捷性。毫无疑问,安全性是智能门锁的必备核心职能,便捷性是智能门锁非常重要的扩展职能。无论是在C端市场还是B端市场安全性都是首要的,但是对于B端市场来说,便捷性的卖点要大于安全性的卖点,C端市场则更在意安全。

不过,智能门锁的安全性是否像市场宣传的那样呢?使用指纹识别、声音识别、指静脉识别等多种开锁方式,再加上ZigBee、NB-IoT等物联网通讯方式的加持,就一定能大大提高安全性吗?

我看未必,就当前的市场环境来看,把安全性作为卖点并没有产生很好的收益。而把便捷性作为首要宣传点的B端市场则表现良好。但是可以肯定的是,未来C端市场将会更广阔。

智能门锁的兴起

随着电子信息行业的发展,以及国外智能门锁的的影响,国内智能门锁行业逐渐发展起来。从2001年我国第一把民用智能门锁诞生开始,智能门锁行业大致经历了以下三个发展形式:

一、国外的应用为国内的发展奠定了基础

软件开发人员应遵循的四项安全原则

安全性是一个经常被开发人员误解的主题,因为绝大多数人关注的是安全技术层面,而非涉及人员、金钱、风险和业务优先级等更广泛的主题。因而,我们经常看到因为决策失误使得问题更为复杂,同时也造成资源浪费。

在构建和选择安全解决方案的时候,开发人员必须为业务和组织架构挑选出最为准确的方案。对于初级开发人员而言,如何清楚地知道该在哪些范围内做出安全决策,显得尤其重要。

1. 避免教条主义和绝对主义

最近有一位投稿人在dev.to 文章中分享了关于JSON网页令牌和本地缓存主题的建议,如下。

现如今我所能看到的最大的安全隐患是JWTs(session 数据)的本地缓存。然而许多人并未意识到这些JWTs数据本质上就等同于用户名和密码。如果JWT被黑客复制,他就可以以你的名义向网站发送各种请求,而你却一无所知。要像对待信用卡账号和密码一样来对待你的JWTs,绝不要将其存储在本地。

提出这个建议的文章很好,并且涵盖了很多关于JavaScript本地缓存的重要话题,确实值得一读。但遗憾的是,这种关于JWTs和安全的描述具有误导性,至少缺少开发者所需要理解的细微差别。

基础科普:蓝牙安全的从0到5

蓝牙安全的历史

在解释如今的蓝牙安全问题之前,我们应该回顾一下蓝牙安全的历史。蓝牙是1989年发明的,但是真正开始广泛使用要等到2000年以后。一开始,蓝牙是没有安全协议的,只是把不同的协议简单地拼凑在一起而已,且管理也仅由一个蓝牙爱好小组即由蓝牙特别兴趣小组(Bluetooth Special Interest Group,BSIG)管理。蓝牙特别兴趣小组(BSIG)是一个监管蓝牙标准和蓝牙技术和商标的团体,BSIG是一个非盈利、非现成公司成立于1998年9月。

目前,蓝牙的最新协议是蓝牙5(切记没有5.0,只有5),是BSIG于2016年6月16日发布的新一代蓝牙标准。虽然蓝牙5比原来拥有更快的传输速度,更远的传输距离。但目前大多数设备使用的仍是4.0-4.2的协议。在后面我还会说到,更过分的是,目前很多物联网供应商都试图支持蓝牙2.0以前的传统认证协议,这些协议大大的放大了物联网的安全。

蓝牙的智能应用

警惕!个人信息被盗了,怎么办?

在网络窃贼的眼里,你的个人身份信息就像黄金一样。你的名字、电子邮件地址、电话号码、社会安全码(相当于国内的身份证号)、密码以及其他信息都能够让罪犯有机会大肆洗劫你的金融账号,甚至还可以查到你的医疗记录,健康状况以及你的工作前景。

专家建议,如果你还未开始积极地保护你的个人信息安全,那么现在是时候开始行动了。如果现在还是置之不理,那么你的个人信息被盗取的可能性会很高,进而导致金钱损失,声誉被毁甚至死亡(例如这些窃贼开始篡改你的个人医疗记录)。个人信息数据防御服务提供商CyberScout的创始人,同时也是《如何在满是骗子与个人信息窃贼的世界里保护你自己》的作者Adam Levin表示:因个人信息被窃取而带来的后果将是非常可怕的。

专家们认为,人们必须积极地保护个人信息以防被潜在的黑客攻击。以下内容将讲述如何保护自己的个人信息而不让互联网罪犯得手,以及在信息已经泄露之后尽可能的减小损失。

什么是信息盗窃?

当有人窃取了你的个人信息,例如你的社会安全码或者名字,用以伪造身份。犯罪分子可能利用你的名字来申请信用卡,使用你的赋税基金或使用你的个人信息来得到医疗护理。

一文带你认识黑客常用的入侵方法

在Interent中,为了防止黑客入侵自己的计算机,就必须了解黑客入侵目标计算机的常用方法。黑客常用的入侵方法有数据驱动攻击、系统文件非法利用、伪造信息攻击以及远端操纵等,下面就简单介绍这些入侵方法。

数据驱动攻击

数据驱动攻击是指黑客向目标计算机发送或复制的表面上看来无害的特殊程序被执行时所发起的攻击。该攻击可以让黑客在目标计算机上修改与网络安全有关的文件,从而使黑客在下一次更容易入侵该目标计算机。数据驱动攻击主要包括缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。

伪造信息攻击

伪造信息攻击是指黑客通过发送伪造的路由信息,构造源计算机和目标计算机之间的虚假路径,从而使流向目标计算机的数据包均经过黑客所操作的计算机,从而获取这些数据包中的银行账户密码等个人敏感信息。

针对信息协议弱点攻击

一篇文章教你如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。

安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。

安全培训

人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培训操作人员优先考虑强大的安全状况,培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之,网络安全始于意识。

2018年安全从业者需要掌握的8种技能

随着CIO等职位招聘需求逐渐增多,明年需要的关键IT安全技能包括云安全架构技能、客户服务技能。

安全分析与调查

Korn Ferry负责信息技术和网络安全的北美业务领导者Gus DeCamaro表示,IT人员应该意识到,网络安全行业正经历着从聚焦外围到探测和响应的转变过程。

因此,行业专家表示,具有天生好奇心和喜欢解开谜团的IT专业人士,可能更加适合2018年的转变,这种转变需要威胁追踪和应急响应的能力。

在ESG/ISSA报告中,通过网络安全专家的观察,在371名受访者中,有33%的人表示,他们的团队在安全分析和调查能力方面存在严重不足。

贝斯特曼说:“在今年后半部分的时间里,我们已经看到对这方面的需求,并且还将延续到2018年”。他补充说,网络安全专业人士应该深入研究数字取证技巧来识别和隔离勒索软件,例如还有政府支持的攻击。

云安全

Bestman称,尽管公司对于具备云安全架构能力的人才需求早就不新鲜,但明年这种趋势还将继续提升。云安全架构工程师是最受欢迎的,特别是如果公司依靠某个云平台工作,例如微软的Azure和亚马逊的AWS云平台。

在ESG/ISSA报告中,22%的受访者将云安全技能列为供不应求。

专家教你利用深度学习检测恶意代码

当前,恶意软件的检测已经成为全社会关注的网络安全焦点,因为许多时候,单个恶意软件就足以导致数百万美元的损失。目前的反病毒和恶意软件检测产品,一般采用的是基于特征的方法,它们借助人工设定的规则集来判断某软件是否属于某种已知的恶意软件类型集合。通常来说,这些规则是具有针对性的,即使新出现的恶意代码使用了跟原来的恶意代码相同的功能,检测软件通常也检测不出来。

所以,这种方法是无法令人满意的,因为大部分情况下二进制文件都是非常独特的,或者说是以前从未见过的,并且,这个世界上每天都有数百万个新的恶意软件样本被发现。所以,我们需要开发一种能够适应日新月异的恶意软件生态系统的检测技术,而机器学习看起来非常有希望满足我们这一需求。事实上,一些初创公司和老牌安全公司早就开始着手构建基于机器学习的防御系统了。为了获得高质量的防御系统,这些公司通常都需要在特征工程和分析方面花费大量财力和精力。然而,如果我们是否能够在无需借助特征工程的情况下构建反病毒系统呢?果真如此的话,我们就能将同一系统部署到不同的操作系统和硬件上检测恶意软件。在我们最近发表的研究论文中,我们的研究成果向这个目标迈出了坚实的一步。

同步内容
--电子创新网--
粤ICP备12070055号