本周安全要聞主要內容：電腦殺手USB Killer 2.0發(fā)布，摧毀電腦更輕松；Cisco VPN驚現(xiàn)后門，通過后面可竊取客戶網(wǎng)絡密碼；Check Point的安全研究員在ios核心功能中發(fā)現(xiàn)了一個軟件設計漏洞，可暴露用戶Apple ID憑證；10月15日，工程院院士鄔賀銓、倪光南和沈昌祥在《求是》雜志上發(fā)表署名文章，題目為沒有網(wǎng)絡安全就沒有國家安全，提出從戰(zhàn)略高度重視網(wǎng)絡安全……

各位是否還記得USBKill嗎?今年3月份，俄羅斯安全研究員Hephaestos(id:h3phaestos)設計了一個奇特的U盤，當把U盤插入計算機時它可以破壞掉計算機敏感組件。對此十分感興趣的Dark Purple，今天發(fā)布了這款工具的第二個版本。USB Killer 2.0相較于前一個版本更加給力，第二版不僅僅是能夠破壞掉一臺PC。與第一版相比較，最重大的改進就是反應速率，只要把它插入電腦，只需要幾秒鐘電腦就關機并停止工作。

USB Killer 2.0：新版本摧毀計算機更輕松

安全公司volexity的研究員說，他發(fā)現(xiàn)一些成功感染思科客戶端SSL VPN的案例，可能還有更多。這些攻擊中大概至少使用了2個單獨入口點。一旦后門設置好，就只需要靜靜等待它收集員工登錄憑證。

Cisco VPN驚現(xiàn)后門 專門竊取客戶網(wǎng)絡密碼

Check Point的安全研究員Kasif Dekel上個月在ios核心功能中發(fā)現(xiàn)了一個軟件設計漏洞(CVE-2015-5832)，這個軟件是用來管理核心應用程序的憑證。即使用戶已經(jīng)注銷了，這個漏洞也會保存下用戶的登錄憑證，從而導致設備上存儲的敏感數(shù)據(jù)泄漏出去。

iOS核心應用設計漏洞 暴露用戶Apple ID憑證

10月15日，工程院院士鄔賀銓、倪光南和沈昌祥在《求是》雜志上發(fā)表署名文章，題目為沒有網(wǎng)絡安全就沒有國家安全，提出從戰(zhàn)略高度重視網(wǎng)絡安全，通過核心技術設備自主可控、相關法律完善等方面，全方位提升防御能力。

《求是》筆談：沒有網(wǎng)絡安全就沒有國家安全

作為安全從業(yè)人員，獲取GSEC、(ISC)²、SSCP 、CISA等安全認證資質能夠幫助大家打開一扇通往職業(yè)巔峰的大門。不過要真正實現(xiàn)發(fā)展目標，我們需要認真考量適合自己的資質類型。

九項安全認證資質助你攀上職業(yè)生涯的新高峰

技術解析：

UAC(User Account Control，用戶帳戶控制)是微軟為提高系統(tǒng)安全而在Windows Vista中引入的新技術，它要求用戶在執(zhí)行可能會影響計算機運行的操作或執(zhí)行更改影響其他用戶的設置的操作之前，提供權限或管理員‌密碼。

利用PowerShell繞過用戶帳戶控制(UAC)

甲方和乙方在業(yè)務安全的視野上會有一些區(qū)別和一些重合。在同一個問題上，解決的思路也有很大區(qū)別。例如P2P小額貸款的業(yè)務安全問題，兩方的看法就是這種情況。大體上P2P小額貸款的流程是帳戶注冊、提交借款資料審核、提現(xiàn)使用，還款。在甲方眼里，P2P小額貸款的業(yè)務安全問題是怎樣的呢?

聽我拿P2P小額貸款來說說業(yè)務安全那些事兒

暴力猜解攻擊是我們至今為止在互聯(lián)網(wǎng)上看到的最古老而常見的攻擊之一。黑客可以通過SSH和FTP協(xié)議，暴力猜解攻擊你的WEB服務器。

XML-RPC放大攻擊：針對WordPress的“暴力美學”

其他：

警示：下載電影和音樂可能成為一種犯罪

揭秘偽基站背包客：走街串巷發(fā)短信日賺200元

2015年9月全球安全事件縱覽：最可愛的黑客

Google Chrome 46穩(wěn)定版發(fā)布：修復24個安全漏洞