近日,白帽子實習生袁炜因在烏雲上送出世紀佳緣網的漏洞而被抓,引起了圈内的熱議。行業兩派的争議不斷,互相鄙視,程度遠遠超過了當年windows陣營對mac陣營。
“白帽子”派(我們姑且這麼叫)是說廠商太無恥,我們好心給你們提漏洞,你們居然敢這麼對我們,你們要像其他廠商學習,人家不隻快速修複,還有獎勵;“親廠商”派說你們明确觸犯了刑法,未得到授權,洩露了資訊,把一個單純的技術漏洞硬是利用到了公關層面,公開資料公開細節,對企業造成了極大的負面影響。
白帽彙創始人趙武認為,出現此類情況主要有兩種可能性:
一是白帽子溝通過程中表達不當(白帽子太不擅長跟廠商打交道了,同學們啊)激怒了廠商; 二是廠商那邊有個“主戰派”,他們不一定懂技術,但是一定是公司相關權利部門,比如法務部/公關部之類的,當然,最怕的是老闆,最怕的是老闆,最怕的是老闆。一個暴燥如雷的老闆會直接推動事情的進展。他們會喊出“犯我領土者,雖遠必誅”的口号。強權确實在某些方面是有效的,至少氣勢上威懾住你。
被尊稱為國内黑客教父的tk也認為每一朵烏雲都有一道金邊,每一頂白帽都有一道黑邊。希望“白帽子”能學習一些法律,保護好自己;希望企業能想明白道理,知道自己真正的敵人是誰。
康奈爾、mit和dropbox的研究人員在最近的ieee安全隐私研讨會上發表論文,文章指出在不危及安全的情況下自動更正密碼能顯著增強可用性,主要是為了避免密碼多種字元組成造成遺忘的麻煩。然而,宅客擔心的是,自動更正密碼就意味着陌生人也有可能登入你的賬号,那麼,該如何平衡效率與安全?
其實,網站隻是啟用了打字錯誤糾正(typocorrection)功能,除了大寫鎖定造成的大小寫反轉(password-> password)外,還可以處理首字母大小寫錯誤(password-> password)和尾部多餘字元(password-> password`)問題,這種機制極大地增加了合法使用者登陸的成功率,網站的可用性(usability)大有改善。
然而,大部分的現實應用都存在安全性與可用性之間的權衡,兩者此消彼長。是以,在可用性提高的同時,随之而來的安全風險有哪些,我們的賬号被陌生人登入的可能性有多大,這些問題都值得關注。
康奈爾大學的研究人員在發表于2016年學術界頂級安全研究會議s&p上,對這些問題給予了解答。
國家網信辦今天釋出了《移動網際網路應用程式資訊服務管理規定》,定于8月1日開始實施。本意是解決“少數應用程式被不法分子利用,傳播暴力恐怖、淫穢色情及謠言等違法違規資訊,有的還存在竊取隐私、惡意扣費、誘騙欺詐等損害使用者合法權益的行為,社會反映強烈”的問題。
之前在很多次的采訪中,記者都會讓我提建議,如何解決現有網際網路的網民安全問題。我的答案其實很無奈,沒有辦法根本上解決問題,隻能通過類似注冊馬甲的方式減緩危害。去年我寫了《糊塗比清醒更幸福》大意就是表述了這種無奈感。資訊洩露問題無處不在,快遞,送餐,電商,教育,買車買房貸款等等。
你生活的各個方面都有可能被洩露了資訊,是以,一些資深的安全技術人員在萬不得已的情況下,不會用真實身份注冊,跟财産相關的操作在隔離網絡運作。另外一般都會選擇對應不上真實身份的方法讓自己淹沒在大量洩漏的資料當中,因為針對性的攻擊危害遠比泛泛的攻擊危害大得多,是以這種僞裝無法不讓資訊洩漏,而是即使洩漏了你也不知道是我。
從海灣戰争中薩達姆的防空系統突然癱瘓,到2007年以色列轟炸叙利亞東北部的一處潛在核設施時,叙利亞預警雷達因通用處理器後門而失效,再到2012年伊朗布什爾核電站在資訊系統實體隔絕的情況下遭到震網病毒的攻擊....
殘酷的現實向世人闡釋了隻要存在國家和利益鬥争,給cpu留後門的行為就永遠存在。
不久前,自由軟體基金會(fsf)指出,所有現代intel處理器平台都内置了一個低功耗的子系統intelmanagementengine,intelmanagementengine能完全通路和控制pc,能啟動和關閉電腦,讀取打開的檔案,檢查所有運作的程式,跟蹤按鍵和滑鼠移動,甚至能捕捉螢幕截圖,它還有一個被證明不安全的網絡接口,允許攻擊者植入rootkit程式控制和入侵電腦。
fsf稱,intelmanagementengine威脅着使用者的隐私和安全,而開發替代的自由固件是一項不可能任務,是以唯一的做法是抛棄intel平台。
據業内人士分析,由于很多底層功能不開放,導緻intel掌握着使用者的命門,雖然intel未必會随意黑使用者,但确實擁有黑掉使用者的能力。其實,除自由軟體基金會曝光度intelmanagementengine之外,各種硬體木馬,甚至是x86指令集本身也存在安全風險。
swagger是一個規範且完整的架構,提供描述、生産、消費和可視化restfulweb service,今年年初被重命名為openapi。swagger規格被廣泛的使用在html、php、java和 ruby等流行語言開發的應用中,其最近被曝出遠端代碼執行漏洞,潛在影響到了java、php、nodejs和 ruby等流行語言開發的應用。
據了解,這個漏洞的cve編号為cve-2016-5641。該漏洞屬于參數注入漏洞,能夠在swaggerjson檔案中嵌入惡意代碼。凡是使用swaggerapi的應用程式都會受到影響。但rapid7社群的安全研究人員目前公開了該漏洞的技術細節和修補方案。