時(shí)間總是在不經(jīng)意間流逝，轉(zhuǎn)眼間我們已經(jīng)步入了2015年。新年伊始，小編在本周的安全要聞為大家準(zhǔn)備了硬邦邦的干貨，趕緊來(lái)看看吧。

[[125618]]

最近未經(jīng)授權(quán)的HTTPS證書(shū)成為熱門(mén)新聞話題，其中有些證書(shū)還是來(lái)自已熟知/理應(yīng)可信的供應(yīng)商的根存儲(chǔ)。那么，企業(yè)應(yīng)該如何防范這些偽造證書(shū)?認(rèn)證信息系統(tǒng)安全架構(gòu)專(zhuān)家Michael Cobb對(duì)這個(gè)問(wèn)題做出了解答。

企業(yè)應(yīng)該如何防范HTTPS偽造證書(shū)?

據(jù)了解，針對(duì)于HTTPS的攻擊，多存在于中間人攻擊的環(huán)境中，主要是針對(duì)于HTTPS所使用的壓縮算法和CBC加密模式，進(jìn)行side-channel-attack。這幾類(lèi)攻擊的前置條件都比較苛刻，且都需要受害主機(jī)提交很多次請(qǐng)求來(lái)收集破譯關(guān)鍵數(shù)據(jù)的足夠信息。常見(jiàn)的攻擊方法，主要有：BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH等。

常見(jiàn)HTTPS攻擊方法解析

隨著企業(yè)和消費(fèi)者繼續(xù)積極將移動(dòng)設(shè)備用于工作和個(gè)人，智能手機(jī)等移動(dòng)設(shè)備的安全防護(hù)自然不能忽視。近日，AVL移動(dòng)安全團(tuán)隊(duì)聯(lián)合LBE發(fā)現(xiàn)一款內(nèi)置于手機(jī)ROM的惡意代碼模塊，并將該模塊命名為“PoisonCake(毒蛋糕)”。PoisonCake可以單獨(dú)運(yùn)行，解密釋放相關(guān)主體功能模塊，在后臺(tái)監(jiān)控自身進(jìn)程并執(zhí)行短信和WAP扣費(fèi)、注入Phone進(jìn)程，攔截短信和發(fā)送短信等惡意行為。

PoisonCake:內(nèi)置于手機(jī)ROM的惡意代碼模塊

近些年，無(wú)線上網(wǎng)卡上的軟件和傳輸協(xié)議屢屢因?yàn)槁┒丛獾狡平?。就在近期召開(kāi)的歐洲黑客聯(lián)盟(Chaos Computer Club)會(huì)議上，Positive Technologies的研究者披露了4G USB無(wú)線上網(wǎng)卡中存在漏洞，攻擊者可以借此入侵4G無(wú)線上網(wǎng)卡和SIM卡。

研究人員發(fā)現(xiàn)攻擊4G無(wú)線上網(wǎng)卡和SIM卡的方法

對(duì)于Cisco設(shè)備管理員來(lái)說(shuō)，“Cisco Ios Software Checker”這個(gè)安全工具十分有用，可以確定Cisco IOS軟件是否錯(cuò)過(guò)了安全補(bǔ)丁或者安全漏洞。筆者嘗試在用于查找Cisco IOS版本的輸入框中提交一些垃圾數(shù)據(jù)，結(jié)果被系統(tǒng)無(wú)情的被拒絕了。

我是如何發(fā)現(xiàn)一枚Cisco XSS漏洞的

云備份越來(lái)越受歡迎，它提供了一種經(jīng)濟(jì)、靈活且便捷的方式來(lái)保護(hù)您的數(shù)據(jù)。但哪一款云備份解決方案最適合你?

5款云備份工具助力數(shù)據(jù)安全

最后，小編為大家推薦一個(gè)關(guān)于CISSP培訓(xùn)的視頻。公共知識(shí)體系(CBK)中的國(guó)際注冊(cè)信息系統(tǒng)安全專(zhuān)家(CISSP)安全架構(gòu)和設(shè)計(jì)部分側(cè)重于計(jì)算系統(tǒng)的架構(gòu)以及安全如何整合到架構(gòu)水平。在這個(gè)多媒體演示中，CISSP考試培訓(xùn)師Shon Harris全面概述了CBK安全架構(gòu)和設(shè)計(jì)部分。

CISSP培訓(xùn)視頻：安全架構(gòu)和設(shè)計(jì)