Security Weekly 2011.08.22-2011.08.28

这是暑假里面最后一期Weekly了，祝大家暑假工作顺利
================= ================= ================= =================
本期的学术会议介绍乃是今年信息安全会议的重头戏之一CCS 2011，以及同时举行的workshop
目前CCS的Accepted paper可以在
http://www.sigsac.org/ccs/CCS2011/paper_list.shtml
查到了，值得关注的是有一些Android相关的paper也出现在CCS上，说明 移动智能安全问题越来越热门了，Android固然有很多人讨论，但是太多人做也就很难出什么超越别人的东西，倒是iOS值得认真关注。

2011 ACM CCS Workshop on Security and Privacy in Smartphones and Mobile
Devices (SPSM)
http://www.cs.ncsu.edu/faculty/jiang/ccs11_workshop/#program
单独开辟了一个workshop来研究 Smartphones and Mobile
Devices，应该是重要的信息来源

按照惯例，现在已经有很多其中的文章都可以google到了，请自行搜索！

另外再送上一个会议
http://www.sourceconference.com/

SOURCE Conference is the world's premier technical and business computer security conference.
SOURCE is designed for senior executives, company chief officers (e.g. CIOs, CTOs, CSOs), advanced security professionals, faculty and students, members of management and business communities who are looking to connect with security and technology experts. SOURCE attendees will experience two and a half days of intense one hour sessions taught by top security experts. Sessions hold 50-60 students, providing an intimate environment where attendees can ask questions, participate in discussions, and interact with other delegates and speakers.

================= ================= ================= =================
本期的学术机构介绍是阿根廷的信息安全实验室Corelabs，南美洲的安全研究人员不是很熟悉，但是值得了解
http://corelabs.coresecurity.com/
List of areas
Attack Vectors - In order to be ahead of attackers we research not only the vectors that are being exploited today (i.e., server vulnerabilities, client-side vulnerabilities and web-application vulnerabilities) but also those technologies underlying technologies that are being adopted or might be adopted by the mainstream.
Brainstormings - Allthough not formally an area of research, Friday's brainstormings have traditionally been a discussion space and the source of great research at Core.
Cloud Security - We focus on analysing the security stance of cloud deployments and understanding the new risks underlying public cloud users.
Miscellaneous Security Research - This area encompasses several computer security projects in software protection, cryptography plus our efforts in computer security education and fostering a research community in Argentina.
The Attack Landscape - We research attack desing techniques in order to build techniques to help assess the security of computer-centric organizations.
Vulnerability Research - We design techniques and build tools for detecting security vulnerabilities in software.
Web-application Security - We are are devoted to designing new means for detecting web application vulnerabilities, exploiting them and executing post-exploitation tasks that target web-application technologies and their interoperation with other technologies.
================= ================= ================= =================
本期的学术研究人员介绍主要来自上面提到的SPSM会议中的一些人员
Workshop Organizational Chair
Xuxian Jiang, North Carolina State University
Program Co-chairs
Amiya Bhattacharya, Arizona State University
Partha Dasgupta, Arizona State University
William Enck, North Carolina State University

点击名字可以看到其个人网页，其中William Enck是Android研究领域的专家
================= ================= ================= =================
黑客演示一分钟短信偷汽车
黑帽网络安全会议本月早些时候描述了两名来自iSEC的合作伙伴可以利用手机偷窃汽车，这两位名叫Don Bailey和Mat Solnik的安全研究人员今天通过网络视频演示了如何攻入一台锁上的斯巴鲁汽车。首先他们要了解一台特定汽车（必须配备车载手机或卫星报警系统装置的汽车）内置的电话号码，只需要用手机向汽车发送一条特别设计过的文字信息命令，汽车即可被解锁和启动。
虽然他们并不能随便就能偷到车（因为必须获得特定的汽车号码和卫星识别码），但这次演示的价值在于文本信息并不是那么容易被阻止，因此使用短信来与呼叫服务中心进行联络的汽车始终有隐患。
再扩展开来，无线系统并不仅仅在汽车上应用，大量的监控与数据采集系统（SCADA）经常也采用无线功能进行联络，这些设备涉及核电力工厂、水处理设施等，这些关键基础设施如可以被远程攻击，则后果不堪设想。
iSEC并不是唯一的研究黑汽车的小组，《科学美国人》四月份曾报道美国加州大学圣迭戈分校的研究人员同样声称可以通过车载蓝牙和电话连接系统打开车锁并启动发动机，甚至还可以控制单个车轮的刹车等。
视频： http://www.youtube.com/watch?v=bNDv00SGb6w&feature=player_embedded
================= ================= ================= =================
研究人员发现Skype漏洞可实现代码注入
德国安全研究人员Levent Kaya今天表示他在Skype上发现了一个安全漏洞，这可能导致攻击者将有害的代码注入到用户的电脑上，实现运行程序命令以及执行脚本。该漏洞影响Skype 5.5.0.113，攻击者可以通过网页等形式实现代码的注入，并可以获取到底层操作系统的权限，这一切只需要执行一个特别设计过的外部网站上的恶意JavaScript文件即可。
这种可以从外部攻击的漏洞与今年5月份爆出的Skype漏洞较为相似，共同特点是都可能会形成蠕虫攻击，不过目前这一漏洞似乎还没有被利用的迹象。
================= ================= ================= =================
Android用户恐遭致命木马启动袭击
研究人员近日发布了有可能是最危险的Android恶意程序，一款4月发布的利用Android 2.3 GingerBreak进行启动袭击的木马。
GingerMaster表面看起来是一款合法程序的一部分，但它会将诸多用户及设备信息上传到远程服务器上，其中包括其智能手机IMEI和电话号码。服务器将悄无声息地下载恶意软件，对其进行启动袭击，安装后就可以全面控制智能手机。
该恶意软件可以越过Android系统控制程序许可，如此一来，Android安全程序就无法阻止它，甚至摆脱它，用户只能进行设备清除或恢复出厂设置。
可能受影响的是Android 2.3.3 （Gingerbread）以及Android 2.2 (Froyo)。谷歌4月份的时候曾经对该漏洞进行了修补，但是很多用户还没有及时收到更新，因为考虑到工作量等问题，网上只有在确定十分需要的情况下才会发布相关补丁。目前最简单的规避方法就是不要使用第三方下载站点，只使用谷歌自己的程序下载市场。
这些如此冒险的事情或许也可以从另一个方面解释，为何谷歌急于收购摩托罗拉手机部门构建自己的硬件部门。因为可以有效控制用户对软件的使用情况，及时有效地进行更新和漏洞修复。
================= ================= ================= =================
McAfee：Android成恶意软件最大攻击目标

据科技博客ZDNet报道，知名安全厂商MacAfee发布的第二季度手机安全报告显示，Android成最脆弱手机操作系统，遭受恶意软件攻击的比例较上一季度增长了76%。这对于手机设备和用户来说，是个非常严重的信息。
McAfee称Android为“受攻击最多的手机操作系统”，超过了塞班。数据显示，塞班和Java ME仍是攻击的主要目标。
由于恶意软件数量的快速增长，McAfee称这种情况为“恶意软件动物园”，McAfee预计，到2011年底，恶意软件将达到7500万个。现在恶意软件数量大约有6500万个。
McAfee警告手机用户，特别是Android用户，恶意软件“可能出现在任何地方，包括日历应用、休闲应用、短信以及伪装成愤怒小鸟的升级程序。”
此次发布的安全报告还有以下内容：
1.越来越多的恶意软件写手将苹果作为攻击目标，很多Mac OS X电脑被假杀毒软件感染。
2.盗号恶意软件过去6各月增长速度史无前例，比去年同期增长38%。
3.第二季度单季至少有20起全球攻击事件，其中大部分由LulzSec发起。
================= ================= ================= =================
送上一些励志的东东，当做开学礼物

人生一定要听的三个演讲
1、史蒂夫·乔布斯 2005年斯坦福大学毕业演讲 (中文字幕)
（您也可以在土豆网观看： http://www.tudou.com/programs/view/WbNWyt9NL1g/ ）
2、JK·罗琳 2008年哈佛大学毕业演讲 (中文字幕)
（您也可以在土豆网观看： http://www.tudou.com/programs/view/ovUEZwgeZcc/ ）

3、兰迪教授《最后一课》(中文字幕)
（您也可以在土豆网观看： http://www.tudou.com/programs/view/26RjjQfvk-o/ ）
================= ================= ================= =================

发表于 2011-08-30 14:24 RomanGol 阅读(112) 评论(0) 编辑收藏引用

常用链接

留言簿(9)

随笔档案

文章档案

搜索

最新评论

阅读排行榜

评论排行榜

List of areas

Workshop Organizational Chair

Program Co-chairs