News





The Online Vanish Service (Demo) 
http://regina.cs.washington.edu/cgi-bin/vanishservice.py


為了一名用戶 Twitter、Facebook遭大規模網路攻擊 - 2009/08/06
在阻斷服務攻擊中(DDOS),先前已經被病毒入侵的電腦會接收外部指令,在同一時間連續共同連到特定網站。由於同步連結的要求量太大,這會導致其他合法的Web流量受到排擠無法進入。因此這類攻擊勢必運用上萬台並病毒入侵的電腦才行,這就可形成所謂的「botnet」(殭屍網路)。垃圾郵件發送者會寄送含有病毒附件的e-mail或 URL給好幾百萬用戶,不小心中毒的電腦就會被納歸於這個botnet網路之中,若有人想進行攻擊,就可去租用既有的殭屍網路,依殭屍(即中毒電腦)數計 算,每台租金只要5-10美分。


SSL又面臨新的中間人攻擊 - 2009/07/23
"今年2月,Moxie Marlinspike在Black Hat黑客大會上提出了一種針對https的中間人攻擊手段。不到半年,針對SSL攻擊又來了。下周的Black Hat黑客大會上,Moxie Marlinspike將繼續展示他的研究,將攻擊目標從https,擴大到imaps、pop3s等,甚至延伸到SSL協議本身。此外,Alexander Sotirov和Mike Zusman也會掩飾他們的研究成果,針對EV SSL證書發起中間人攻擊。"


開源軟件在軍事領域的應用 - 2009/07/20
五角大樓在年初推出了專門為軍方服務的開源代碼託管平台Forge.mil,這只是一個開始。 現在美國國防部將和一些開源廠商於8月12日到13日在喬治亞理工大學舉行工作組會議,與會者包括了一位駐伊拉克的美國海軍陸戰隊遠征軍的少校。參與會議討論的開源項目有Delta 3DOpenCPIFalconViewOSSIM,Red Hat,OSGeoOpticks,JBOSS等等。


強密碼沒什麼用 - 2009/07/15
傳統密碼建議是:為了安全,用戶應儘量使用強密碼(長度足夠長,排列隨機),比如高安全性的程序(如在線銀行)使用強密碼。 但一項新的研究(PDF)發現這一安全建議過時了,強密碼並不能保護用戶避開釣魚或鍵盤記錄等密碼竊取攻擊,反而給用戶帶來了沉重的記憶負擔。弱密碼雖然很容易被強力破解,但研究人員發現容易記憶的弱密碼長度在20比特左右,便足以抵禦暴力破解。在線帳號沒有什麼充分理由去使用強密碼。



Gartner:未來的IT安全工作將關注風險管理策略 - 2009/07/07

https會降低 20%~60% 的服務性能。當然CPU夠強勁或者GPU夠強勁除外。

不用Javascript就能獲取你的瀏覽歷史 

柏克萊大學伺服器遭入侵 16萬筆資料外洩 - 2009-05-11
柏克萊校方指出,海外的駭客入侵了保健服務中心的伺服器,該台伺服器存有社會安全碼、UHS病歷號碼、預防針接種紀錄、訪客紀錄,及參與海外留學計畫學生自己提出的健康紀錄等。其中,由於UHS中包含診斷、處方,及療法等資料儲存在其他伺服器上,因此並未受到影響。 


http://www.minix3.org/
最嚴重的可靠性及安全問題是與操作系統相關的那些。核心問題在於現有操作系統都不符合POLA——最低授權原則(Principle Of Least Authority)。POLA說的是系統劃分組件的方式,應當使必然存在於某個組件中的缺陷,不至於波及其他組件。每個組件僅應該得到完成它本身工作所 需的權限,不多不少。具體來說,它應該無權讀寫屬於其他組件的數據,無權讀取它自身地址空間之外的任何計算機內存,無權執行與它無關的敏感操作指令,無權 訪問不該訪問的I/O設備,諸如此類。現有操作系統完全違反以上原則,結果就是造成眾多可靠性及安全問題。 

Tanenbaum認為設備驅動程序是主要的肇事者: 
典型的操作系統代碼中大約有70%屬於設備驅動代碼。我們知道設備驅動部分的每行缺陷數量是其他部分的3到7倍。有據可查63%到85%的Windows XP崩潰根源是驅動錯誤,Linux的情況也沒什麼理由會不一樣。
http://www.infoq.com/cn/news/2009/05/MINIX
Comments