xMatrices

以色列军方因一名士兵在Facebook上泄露了情报，被迫取消了对巴勒斯坦一座村庄的军事行动。

这名不知名的以色列士兵在Facebook上留言：“周三我们将清洗Qatanah（村庄名），如果一切顺利，我们周四就回家了。”幸运的是，这名士兵在 Facebook的好友在看到这个状态更新之后向立即向当局报告，军方考虑到着一泄密行为可能导致行动失败，于是取消了这次军事行动。这名士兵被送上军事法庭被判处10天监禁，并被逐出军队。军方相信，敌对势力肯定在网上搜集以色列国防军的情报，这一军事行动很有可能已经被敌方知晓。

在此事件之前，以色列就曾在军队中开展宣传，警告军人不要在网上泄露军事情报。在军营里，有Facebook和敌对国家伊朗总统头像的海报，海报上写着：“你难道认为所有人都是你的朋友吗？”

来自Solidot

戴尔推出了一款名叫“零客户端”的企业设备，第一个型号是FX100 Zero Client，它没有处理器、没有硬盘、也没有强劲的显卡，它只能跟随一个虚拟的远程终端服务器运行。

该系统目前可以和戴尔Precision R5400机架式工作站配对工作，利用VMware的通信协议实时传递虚拟化桌面的画面，目前可以让客户端的规模达到数以万计。

这意味着这种连风扇都没有的“盒子”依然可以提供基础的工作PC功能，功耗也仅有30W，支持音频，USB接口，DVI接口，显示器，鼠标和键盘的连接输 出，它可以极大地降低大企业的IT成本。

这种设备或许还可以用于那些不想让员工在终端存储数据的企业。

来自cnBeta

英国巴斯大学2日发布公告说，该校研究人员利用西英格兰大学等机构开发的脸部三维成像技术，开发出一种基于鼻子形状的身份识别系统，可以方便快捷地确认目标对象的身份。

参与研究的巴斯大学博士阿德里安·埃文斯说，鼻子是脸部最突出的器官，但在身份识别上对它的利用还很少。与眼睛虹膜识别等技术相比，鼻子图像更容易获得，因此这套技术可用于对那些不愿合作的对象秘密进行身份识别。由于不用分析整张脸的特征，鼻子识别也更为快捷。

埃文斯说，研究人员计划将建立更大的数据库，同时进一步改进系统的分析能力，确保准确识别目标身份，包括区分相貌极为相近的亲属。

来自cnBeta

安全公司McAfee在旧金山举行的RSA 2010会议上公布了黑客如何窃取源代码的细节(PDF)。

McAfee CTO George Kurtz表示，黑客将目标锁定管理源代码版本控制系统（SCM）的少数员工。软件工程师通常利用版本控制来追踪、维护源代码、跟踪文件的更动。McAfee声称该公司调查的多起案件的共同点是，黑客利用的是Perforce公司的版本控制系统，Perforce的客户包括了Google、IBM和许多大公司。Kurtz认为，黑客有机会在不被察觉的情况下改变源代码，甚至增加功能，让他们以后可以偷偷进入。

荷兰安全公司Safeberg开发出离线私钥协议（offline private key protocol，OPKP），阻止未经授权访问在线备份和存档的文件。

OPKP使用非对称密钥方案，将密钥打印在纸上，让密钥远离“源”计算机，解密时只要拿出印有密钥的纸，用手机拍照，传输到电脑中进行解密。Safeberg相信，4098位RSA密钥在未来几年内足够安全。

Youtube有加密和解密演示。

来自Solidot

U-Prove是一种加密技术，让用户在在线交易过程中尽可能少的透露个人信息，保护隐私。自几年前收购了U-Prove开发公司之后，微软昨天宣布在BSD许可证下开源U-Prove身份识别框架。

微软在Open Specification Promise下发布了U-Prove Cryptographic Specification V1.0加密规格和U-Prove Technology Integration into the Identity Metasystem V1.0规格，允许任何人使用和实现这项技术。

微软还开发了C# SDK和Java SDK加密规格参考实现，两者都使用BSD许可证发布源代码。

来自Solidot

德国联邦信息技术安全局在汉诺威国际信息及通信技术博览会开幕之际发表报告说，随着iPhone等智能手机的功能越来越强大，这些手机上使用的无线网络应 用软件逐渐成为黑客攻击的目标，给手机用户的个人信息带来安全隐患。

联邦信息技术安全局在这份季度报告中说，除了“僵尸网络”、“网络钓鱼”等直接利用因特网的传统网络犯罪外，利用智能手机和无线局域网进行的网络犯罪正快速增多。如果用户使用的智能手机没有足够的安全防护，黑客可以通过无线局域网或“蓝牙”传输等手段侵入手机下载的应用程序，诱使手机用户登录“网络钓鱼” 网站等非法网站。

报告举例说，2009年 11月份就曾出现黑客利用iPhone手机蠕虫病毒“Ikex”或“Duh”作案的事情。这两种蠕虫病毒通过无线局域网感染iPhone手机。荷兰ING 银行部分客户的iPhone手机因此被感染，当他们通过iPhone手机登录这家银行官方网站时，被引导到貌似ING银行网站的非法网站上，也就是“网络钓鱼”网站。黑客的犯罪手段一般是冒充ING银行发出短信，诱使手机用户登录“网络钓鱼”网站，然后在他们进行操作时，窃取他们的个人信息。

联邦信息技术安全局强调，智能手机用户应像对电脑进行安全防护一样保护自己的手机。有效方法包括定期进行安全防护软件升级，安装防病毒软件，以及在不使用无线局域网、蓝牙传输等手段获取信息时关闭手机上与此有关的功能。

在旧金山举行的RSA 2010会议上，微软可信赖计算副总裁Scott Charney提出了一些有意思的建议，他认为IT行业需要考虑更多的“社会解决方案”，他认为可以学习美国的医疗保健系统，利用类似的方法去处理感染了恶意程序的电脑，也就是征收一种互联网税去支付电脑病毒清理费用。

他说，当一台电脑中了毒，它将传染周围的电脑，并表示或许市场将能证明这种方法的有效性。

来自solidot

根据应用程序安全测试服务商Veracode在RSA Conference 2010会议上公布的报告（下载需注册），它在过去一年半里测试的程序有58%未能通过第一轮安全测试，58%到88%的程序未能达到可接受的安全评分。

Veracode指出，常识认为开源软件不安全，但是测试结果推翻了这一神话，开源软件在安全方面做得并不比商业软件差。

报告还指出，第三方软件现在是软件供应链的致命弱点，大型企业递交测试的应用程序有40%来自第三方，而超过30%的内部开发程序被发现包含了商业、开源和外包的代码。

来自Solidot

位于德国卡尔斯鲁厄市的德国联邦宪法法院2日作出判决，2008年初生效的《数据储存法》侵犯公民的通信隐私，被判违宪。

德国联邦宪法法院院长汉斯·于尔根·帕皮尔在宣读判决书时说，无缘由地将个人电话和网络通信数据储存6个月的行为侵犯了公民保护通信隐私的基本权利。因 此，当前形式的《数据储存法》被判违宪，到目前为止储存的数据应被立即删除。

但判决认为，通信数据对“高效的刑事调查和防止危害的发生具有重要意义”，因此在特定前提下，原则上允许继续储存公民的通信数据，以供上述目的使用。

判决做出后，德国多家电信商开始计划向政府索要数据储存费。德国行业组织电信业及增值服务提供商协会业务负责人格吕茨纳表示，电信商为储存数据已投入了上百亿欧元，“政府必须支付我们”。

为阻止恐怖活动和打击国内日益猖獗的刑事犯罪，德国2008年依据欧盟方针通过了饱受争议的《数据储存法》。此后，超过3．4万名德国人对该法案提出了大约60起违宪诉讼，这是德国联邦宪法法院有史以来受理的最大一起集体诉讼案。

来自cnBeta