一周安全要聞:最新加密技術(shù)“VC3”與“影線”
原創(chuàng)近日,微軟研究院開發(fā)出了能在云里保障數(shù)據(jù)安全的加密技術(shù)——可驗證保密云計算,而英國老牌科技開發(fā)企業(yè)“劍橋顧問”也于日前展出了一項在計算機之間加密傳輸文件的技術(shù)。另外,知名路由器D-Link、NETGEAR、TP-LINK上重要驅(qū)動組件NetUSB被曝存在嚴(yán)重的遠(yuǎn)程溢出漏洞,影響數(shù)以百萬計的路由和嵌入式設(shè)備。下面,筆者將從加密技術(shù)、漏洞播報、技術(shù)分析方面帶您回顧過去一周的安全要聞。
最新加密技術(shù)
真正的神出鬼沒之功:微軟研究院開發(fā)出安全技術(shù),能在云里保障客戶數(shù)據(jù)的安全。新技術(shù)名為可驗證保密云計算(Verifiable Confidential Cloud Computing),微軟的加密專家稱之為“VC3”。VC3利用英特爾指令集建立一個“保密箱”(Lockbox),供運行MapReduce的客戶在云里使用。保密箱可在未修改的Hadoop上運行。
英國老牌科技開發(fā)企業(yè)“劍橋顧問”于近日展出了一項在計算機之間加密傳輸文件的技術(shù),有效避免了傳統(tǒng)USB存諸設(shè)備的不安全性。該技術(shù)產(chǎn)品稱為“影線”(Shadowire),像外表如同一個紡錘,兩端是USB口,中間鼓起的地方容納著一個微處理器,配有硬件加密引擎和閃存。
漏洞播報
知名路由器D-Link、NETGEAR、TP-LINK上重要驅(qū)動組件NetUSB被曝存在嚴(yán)重的遠(yuǎn)程溢出漏洞,影響數(shù)以百萬計的路由和嵌入式設(shè)備。當(dāng)客戶端發(fā)送計算機名到網(wǎng)絡(luò)設(shè)備的服務(wù)端(TCP端口 20005)時,同該端口建立連接后,就可以觸發(fā)這個漏洞。如果客戶端發(fā)送的計算機名長度大于64字符,會讓含NetUSB模塊的設(shè)備出現(xiàn)溢出,從而造成內(nèi)存破壞。據(jù)悉,在內(nèi)核模式下運行NetUSB服務(wù)代碼是很致命的,黑客利用這個漏洞,可以輕松地在內(nèi)核層面遠(yuǎn)程執(zhí)行惡意代碼,掌握路由等網(wǎng)絡(luò)設(shè)備的生死命脈。
路由器驅(qū)動組件NetUSB曝漏洞 影響數(shù)以百萬計網(wǎng)絡(luò)設(shè)備
蘋果Safari瀏覽器曝出一個可被攻擊者用作釣魚攻擊的新漏洞——當(dāng)用戶以為打開某個網(wǎng)站時,其實在訪問另一個網(wǎng)址。例如,當(dāng)用戶在瀏覽deusen.co.uk網(wǎng)站內(nèi)容時,瀏覽器地址欄中顯示的卻是dailymail.co.uk地址。
IPsec-tools近日曝出拒絕服務(wù)0day漏洞,并且互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)利用程序。你可能質(zhì)疑該漏洞甚至未達(dá)到中等漏洞的評級,但請記住IPsec是至關(guān)重要的基礎(chǔ)設(shè)施,并且這種攻擊只需要兩個小的UDP數(shù)據(jù)包。如果有打開日志記錄或者用戶經(jīng)常斷開或重新連接那么就很容易被發(fā)現(xiàn),它可能會創(chuàng)建Intrusion Detection/Prevention (IDP)簽名,更多的是,你可能需要運行一個蜜罐來進(jìn)行檢測。
IPsec Tools拒絕服務(wù)0day漏洞詳細(xì)報告(附0day)
技術(shù)分析
Forrester研究公司高級安全/風(fēng)險分析師Heidi Shey建議企業(yè)首先評估其安全成熟度以及其環(huán)境面臨的風(fēng)險。否則,他們總是在追逐最新、最強大、最熱門的必備工具。在選擇工具之前,必須制定戰(zhàn)略。
相信大家對注冊機這詞一定不陌生,由于一些軟件涉及版權(quán)問題,要完全使用的話需要注冊,或者有試用期限限制,或者只有注冊之后才可以享受全功能。目前大部分有關(guān)于破解的資料都是基于X86架構(gòu)的,而對于X64架構(gòu)的破解資料卻是比較少。
在密碼學(xué)專家之中,“加密并不是認(rèn)證”是一個簡單的共識。但很多不了解密碼學(xué)的開發(fā)者,并不知道這句話的意義。如果這個知識更廣為人知和深入理解,那么將會避免很多的設(shè)計錯誤。
如何正確區(qū)分并使用加密與認(rèn)證技術(shù)?
本地存儲也是HTML5的新特性之一,最開始是在Mozilla 1.5上的,后來漸漸被HTML5規(guī)范接受。通過JavaScript的localStorage和sessionStorage對象,我們可以使用HTML5的這個新特性。基于鍵值值匹配,這些JavaScript對象允許我們存儲,檢索和刪除數(shù)據(jù)。
譯文推薦
其他:
