摘要:北京时间8月31日午间消息,SSL证书颁发机构(SSL Certificate Authority)证实其系统曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。
此外,荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla和微软的浏览器上业已失效,尽管它表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。此外,有一家外部安全审计机构也证实虚假证书已被吊销。然而,谷歌接收到的虚假证书却没被删除。
DigiNotar声称:“最近,我们发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织Govcert通知,我们立即采取行. 阅读全文
五大质问SaaS供应商的云安全问题
2011-09-24 00:03 by 狼人:-), 203 阅读, 0 推荐, 收藏,
摘要:显而易见地,软件即服务(SaaS)正在持续成长中,也持续被企业和家庭用户所接受。跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中。事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元。
根据Gartner对SaaS的定义,软件”被一个或多个供应商所拥有、提供和远端管理。供应商透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用。可以采取使用量计费,或者其他多种套餐订阅模式”。而几乎每个相关主题的文章或演讲会举的例子都是Salesforce.com,虽然他们是SaaS领域里. 阅读全文
云计算需要让安全优先
2011-09-24 00:03 by 狼人:-), 149 阅读, 0 推荐, 收藏,
摘要:云计算是一种新兴的技术体系,同时也带来了新的商业机会,是继大型机、个人电脑和互联网之后的第四次IT革命。 近几年来,关于云计算的讨论越来越多。云计算的布道者告诉人们,“云”意味着前所未有的便利和价值。然而在实际应用中,对于“云”的疑虑始终未能被打消。 为了最好的了解潜在的风险和企业的回报,你应该尽可能的寻找机会与安全团队加强沟通与交流,Forrester研究公司的咨询师佩妮表示。 佩妮认为“安全和法规遵从事宜需要得到正确的诠释。企业高管必须了解安全的重要性,并且衡量风险的级别来制定出用来缓解这些风险所需要的预算”。 迁移到云上通过安全委员会将风险评估职能正式化这种更加... 阅读全文
甲骨文警告称HTTP服务器产品中有严重漏洞
2011-09-24 00:03 by 狼人:-), 150 阅读, 0 推荐, 收藏,
摘要:据国外媒体报道,日前Oracle公司建议管理员对系统进行更新,原因是在该公司基于Apache 2.0或2.2的HTTP服务器产品中发现了重大的安全漏洞。漏洞组件存在于Fusion Middleware 11g和Application Server 10g平台中,会引发拒绝服务式攻击。该漏洞可以被远程利用,无需本地登录或者用户名密码等合法认证。更完整的细节可以在Oracle安全警告CVE-2011-3192中查到。
Oracle的这次更新紧跟微软公司的最新补丁更新,这次更新包括五个安全修复以及一个用来去除若干DigitNotar证书的更新。若干天前,DigitNotar证书被证实可以被黑客利用. 阅读全文
SSL/TLS协议漏洞 影响TLS协议1.0及SSL所有版本
2011-09-24 00:03 by 狼人:-), 4137 阅读, 0 推荐, 收藏,
摘要:9月21日布宜诺斯艾利斯举行的Ekoparty安全会议上,安全研究人员Thai Duong和Juliano Rizzo将演示针对SSL/TLS的概念验证攻击。 研究人员在SSL/TLS协议中发现了严重弱点,能让黑客悄悄破译Web服务器和终端用户浏览器之间传输的加密数据。
弱点主要影响TLS协议1.0版及SSL所有版本,TLS 1.1/1.2未受影响。TLS是SSL的继任者,TLS 1.0相当于SSL 3.1。研究人员的概念验证代码BEAST可以解密目标网站的cookies,获得权限访问受限用户的帐号。研究人员将在会议上演示解密访问PayPal帐号的认证cookies。
原文链接:solid.. 阅读全文
H3C:下一代互联网的安全起点
2011-09-24 00:03 by 狼人:-), 317 阅读, 0 推荐, 收藏,
摘要:与人们的生产生活息息柜关的互联网,并非一个完美计划的结果。安全隐患于互联网,是与生俱来的。在互联网飞速发展的30年间,被动挨打之后再弥补安全漏洞,已经成为解决互联网安全问题的惯性思维。但是,在互联网进入云时代后,这样的安全理念还能保障云的安全吗?我们还有机会改变这种局面吗?
从网络开始 云安全这个概念曾经被众多厂商所用,也出现了五花八门的定义。但在H3C安全产品部总工李彦宾看来,保障云计算基础架构安全的技术,才能被真正纳入云安全的范畴。而且,实现云安全仅靠信息安全技术还远远不够,构建一个可以全面支撑安全体系的云网络将是解决云安全问题的第一步。 在传统的网络架构中,网络与安... 阅读全文
OS X Lion发现可随意更改用户密码漏洞
2011-09-24 00:03 by 狼人:-), 153 阅读, 0 推荐, 收藏,
摘要:据外国媒体报导,一家专注于计算机安全领域的博客Defense in Depth日前在OS X Lion上发现了一个安全漏洞,一名黑客称“虽然没有root权限的用户不能够直接访问shadow文件,但是Lion仍然为他们提供浏览密码的散列数据”。
也就是说,Lion的这项指令能够让任何其它人使用一个简单的脚本来找到用户的密码信息。更糟糕的是,有用户反映OS X Lion不需要用户输入密码就能够改动当前用户的登录凭据,意味着只要输入以下指令“dscl localhost -passwd /Search/Users/Roger”就能够设置一个全新的密码或是Roger。
国外安全专家指出,Lion的.. 阅读全文
McAfee和英特尔共同开发新的安全技术DeepSAFE
2011-09-24 00:03 by 狼人:-), 209 阅读, 0 推荐, 收藏,
摘要:由安全软件开发商McAfee和英特尔开发的新DeepSAFE深度杀毒安全技术将为虚拟安全带来创新的进步,它能将硬件和软件资源进行有效结合,从而能将操作系统的整体性能提高一个水平,并更好的检测和预防潜在的差错。DeepSAFE杀毒主要依托硬件产品中已有的技术,来帮助处理在机器更深层次所感染的病毒。 McAfee联席总裁托德-吉波特(Todd Gebhart) 透露:“McAfee的DeepSAFE杀毒技术主要利用英特尔处理器中已有的硬件特征来提供操作系统之外的安全措施。从这种独特的制高点出发,DeepSAFE可以适用新技术,从而实时防止恶意的活动,而不是仅仅检测出感染源。”
持有证明概念的功.. 阅读全文
云安全仍是企业决策者最大担心
2011-09-24 00:03 by 狼人:-), 106 阅读, 0 推荐, 收藏,
摘要:谷歌应用程序安全经理Eran Feigenbaum对于风险之事略知一二。你可能不知道,Eran Feigenbaum有着另一个身份 --兼职电视和舞台魔术师"Eran Raven".在魔术界,Eran Raven以蛇,蝎子,和刀片特技闻名。他曾经在NBC魔术师选秀节目《幻想大师》中,用射钉枪表演了俄罗斯轮盘,并在8月前往拉斯维加斯好莱坞星球酒店(Planet Hollywood)进行了为期5天的巡演。作为谷歌企业业务安全负责人,Eran Feigenbaum负责提高企业安全经理们对云安全的信任度,而魔术师的经历给Eran的日常工作带来了帮助。在计算机安全领域工作需要具备强烈 阅读全文
趋势科技CEO称将硬件与加密分离可实现云安全
2011-09-24 00:03 by 狼人:-), 171 阅读, 0 推荐, 收藏,
摘要:趋势科技近期在云计算安全市场与虚拟化领域着重发力,首席执行官兼联合创始人陈怡桦日前表示,现在很多人会有公有云不如私有云安全此类的疑问,但实际上公有云可从管理入手,让计算机与资料管理加密的流程完全分开,达到安全效能目的。
针对公有云的信息安全问题,陈怡桦表示,在整个云安全范畴中,用户最担心的就是在公有云上面的资料安全问题,公有云是否能保证资料只有自己可以看到和运用,这是云安全非常重要的课题。陈怡桦认为,计算机与信息管理分离,可以较好地解决这一疑问。“公有云运营商来负责管理计算机,但资料的加密工作及存储是只有用户来能运作,这便加强了公有云的安全。”
移动互联趋势日益增强,为信息安全提出了诸多需求. 阅读全文
黑帽大会&Defcon综述
2011-09-24 00:03 by 狼人:-), 172 阅读, 0 推荐, 收藏,
摘要:8月7日,为期5天的黑帽大会&Defcon黑客大会在美国拉斯维加斯闭幕。会上,来自世界各地的安全专家继续粉碎人们不切实际的幻想——他们告诉企业和消费者,目前现有的几乎任何系统都没有安全可言。
安全专家Riley Hassell和Shane Macaulay曝光了安卓应用程序的新威胁,还讨论了安卓系统和安卓市场的已知与未知漏洞。安全专家Matt Johansen与Kyle Osborn声称已经发现Google Chrome大量严重的基本安全设计缺陷,只需轻轻点击鼠标,用户的电邮、联系人、已存的文档就会被暴露。而且,还可以通过窃取其临时cookie盗取其Google账户等等。
来自本届大会 阅读全文
德国安全专家成功破解GPRS加密算法
2011-09-24 00:03 by 狼人:-), 277 阅读, 0 推荐, 收藏,
摘要:8月11日消息,据《德国商报》周三报道,柏林一家安全公司透露说,它们已经破解一些手机的加密算法,这些手机可以使用互联网。
安全研究实验室(Security Research Labs)主管卡斯藤·诺尔(Karsten Nohl)说,破解后可以窃听GPRS。用户一般会利用GPRS来阅读邮件、浏览网页。
诺尔说:“通过我们的技术,可以在半径5千米内捕获GPRS数据通信。”
诺尔说,采用新的UMTS标准会更安全一些,但破解还是会影响到工业设备、征费系统、以及使用GRPS的设备,如苹果iPhone和iPad,在一些边远的地区,设备会转向老式的GPRS。
全球的手机网络几乎全部支持GPRS,因 阅读全文
有关云计算安全的两大谎言
2011-09-24 00:03 by 狼人:-), 152 阅读, 0 推荐, 收藏,
摘要:HyperStratus咨询公司首席执行官伯纳德.戈尔登(Bernard Golden)撰文指出,一个接一个的调查表明,对于公有云计算,安全是潜在用户最担心的问题。例如,2010年4月的一项调查指出,45%的以上的受访者认为云计算带来的风险超过了收益。CA和Ponemon Institute进行的一项调查也发现了用户有此类担心。但是,他们还发现,尽管用户存在这种疑问,云应用还是在部署着。类似调查和结果的持续发布表明人们对云计算安全的不信任继续存在着。
不可否认,大多数对云计算安全的担心都与公有云计算有关。全球IT从业者不断地对使用一个公有云服务提供商提出同样的问题。例如,戈尔登近期去了台湾并. 阅读全文
黑客组织Anonymous宣称11月5日攻击Facebook
2011-09-24 00:03 by 狼人:-), 216 阅读, 0 推荐, 收藏,
摘要:黑客组织Anonymous宣称11月5日攻击Facebook
北京时间8月10日早间消息,黑客组织Anonymous在一份公告中表示,将于11月5日对Facebook发起攻击。
11月5日是英国人对盖伊·福克斯(Guy Fawkes)的纪念日,福克斯曾试图炸毁英国议会大厦。
Anonymous在公告中称:“如果你是一名黑客活动者,或是希望保护信息自由的人,那么请加入这一行动,杀死Facebook,以保护你的隐私。”该组织同时表示:“Facebook向政府机构出售信息,并使信息安全公司获得这些信息,帮助他们刺探全球用户。而其中一些信息安全公司为埃及和叙利亚等政府工作。”
Anonymo 阅读全文
黑客竞赛:甲骨文等大企业员工安全意识差
2011-09-24 00:03 by 狼人:-), 183 阅读, 0 推荐, 收藏,
摘要:8月8日消息,据国外媒体报道,周末在拉斯维加斯举行的全球最大规模的黑客会议上一项竞赛显示了为什么大公司容易成为网络犯罪分子的受害者的一个原因:员工在安全方面的训练很糟糕。
从索尼到国际货币基金组织等大型机构遭到一系列引人瞩目的网络攻击之后,人们认为许多大公司最近会特别关注安全。
参加周五和周六竞赛的黑客发现他们很容易欺骗美国大公司的员工泄露一些信息。黑客可以利用这些信息制定攻击这些公司的计划。
参加竞赛的黑客还让公司员工利用自己的公司计算机访问黑客推荐的网站。如果参赛的黑客是犯罪黑客,这些网站就可能把恶意软件安装到PC中。
在一个案例中,一位参赛黑客假冒一家公司IT部门的员工并且说服一家大企. 阅读全文
浙公网安备 33010602011771号