xMatrices

中国信息安全测评中心18日宣布，我国信息安全“国家漏洞库”正式投入运行，并对外开展漏洞分析与风险评估服务。

中国信息安全测评中心主任吴世忠表示，“国家漏洞库”的建设是信息安全保障工作中一项极为关键的基础性和长期性工作。当前大量的网络失泄密案件和信息安全问题均与漏洞的存在息息相关。

目前，西方发达国家均高度重视信息安全漏洞的管理及控制工作，纷纷投入力量建立自己的“国家漏洞库”，美国更是将信息安全漏洞管理作为几届政府信息安全战略的重要内容，建立了开放灵活的漏洞收集、发布等管理机制，经营着全球最大的漏洞库。欧盟也于近年投入巨资，启动了以构建国家漏洞库为核心的“信息安全盾牌计划”。

中国信息安全测评中心作为我国专门设立的漏洞分析和风险评估职能机构，肩负着国家漏洞库的建设任务。吴世忠介绍说，依托中国信息安全测评中心10多年测评认证工作的技术积累和近3年来国家专项资金的支持，于18日投入运行的“国家漏洞库”已初具规模，并开始为政府部门、产业界及社会提供信息安全漏洞分析和风险评估服务，其漏洞收集、分析、通报和面向应用的工作机制，将极大提高我国应对信息安全威胁的能力和风险管理水平。

无线路由器产品所使用的密码机制一直以来都存在安全问题。1997年WEP密码机制被开发出来并使用在无线路由器产品上，不过几年后就被破解，随后人们又 开发出了新的WPA机制，不过这套机制的命运恐怕与WEP相差无几，几位日本研究人员已经成功发明了一种可以在1分钟之内破解这套机制的方法。

神户大学的Toshihiro Ohigashi 和广岛大学的Masakatu Morii采用了一种名为Becks-Tews的技术，这套技术是去年由另两位研究者Martin Beck和Erik Tews提出的，这种方法适用于部分采用WPA加密技术的无线路由器，不过当时使用这种方法需要12-15分钟才可以攻破密码机制。两种攻击均可适用于采用TKIP（Temporal Key Integrity Protocol ）加密算法的机型。两种攻击均不是重置密码式的攻击，但是可以让攻击者读取部分型号的路由器和计算机之间的加密信息。

自2006年以来，WiFi联盟组织就一直强调WPA2机制的重要性，WPA2是一种比WPA更复杂的加密系统，并且可以有效防范上述的攻击，不过目前采用WPA2的客户数量增长缓慢。

McAfee公司发表了网络搜索中让电脑中毒风险最高的明星关键词列表，女影星杰西卡·贝尔（Jessica Biel）取代布拉德·皮特，成为“最危险的明星”，2008年的榜首是皮特，2007年则是帕丽斯·希尔顿（Paris Hilton）。

杰西卡粉丝登录搜索结果的相关网站，即有五分之一的机率使电脑受到网络威胁，譬如遭遇间谍软件、广告软件、垃圾邮件、网络诈骗及电脑病毒。McAfee的声明称，网络罪犯常利用明星的名字和图片，吸引上网者去网站搜索最新八卦新闻、屏幕保护程序及铃声，而这些网站提供免费软件下载其实是恶意程序。

据印度时报网站于8月22日报道， 印度政府决定开始国防光缆工程的建设。该项目将成为世界上最大的封闭用户网络（closed user group ，CUG)之一。

印度电信部将为此向印度经济事务委员会进行报告，以便获得财政许可。

国防光缆工程是一国国防通讯，指挥的重要组成部分。光缆在管道中铺设，具有抗干扰能力强，信息传输量大，安全可靠，防止信息泄露，抗打击力强等优点。

中国自1991年拟订了国防光缆的初步方案。即在国家“六纵六横”的光缆干线网建设中，总参通信部与国家邮电部密切合作，实行军地统一规划、统一设计、统一施工，建成后合理分配使用。经费由邮电部为主组织融资，由军队为主负责施工。

来自环球网

据印度半官方新闻印度报业托拉斯(Press Trust of India)今天报导，印度由于恐怖活动频发，包括去年11月的孟买恐怖袭击事件，政府已计划成立一个中央监控系统，监听全国有线电话、移动电话与互联网通讯。

报导引述承办这套系统研发计划的印度讯息技术发展中心（Centre for Development of Telematics）CEO PV Acharya说，这套名称“电信安全”的方案，是一项全国性计划，可以帮助政府监听对话两方的通讯内容，以确保国家安全。

据Acharya表示，根据这项计划，政府的监听系统可以直接与所有的通讯服务商网络联接，包括有线电话、移动电话和因特网，24小时全天候从中截听通讯双方的讯息内容。

据专家表示，为防范不法活动，印度政府早有监听特定目标通讯的安全措施，但只限情治单位在取得有关当局的授权后，对嫌疑人的通讯进行监视。上述中央系统显然计划对印度境内所有的电话和网络通讯，进行全面的监听。

来自cnBeta

有科学家声称能伪造DNA证据，但所谓有矛便有盾，现在以色列的一组科学家已创造出一种DNA验证方法，能识别出真实和伪造DNA样本之间的差异。

科学家表示新的方法已在天然和人工的血液、唾液及被接触表面上进行了测试，都大获成功。它还能识别出混杂有多个样本的“被污染”的DNA。

以色列 Nucleix公司CEO兼联合创始人Elon Ganor指出现有的法医学程序无法区别伪造的DNA，该公司开发的解决方法可以整合到标准的DNA测试中，堵上现有的漏洞。

来自Solidot

网络中恶意攻击几乎是无处不在，如何避开它是大难题。现在计算机科学家提出利用推荐系统（Recommendation systems）去预测下一次攻击，从而提前锁定攻击来源。

当用户浏览时，亚马逊、Google和Netflix等会利用算法，从其巨大的数据库内寻找相似性，向浏览者推荐新书、电影或关键词，加州大学Irvine分校的一组计算机科学家认为，他们能使用相同的过滤技术去预测下一次恶意攻击，提前建立黑名单。

研究团队从数以百万计的安全日志数据库中寻找受害者之间的相关性，这个相关性被用于产生潜在攻击者的黑名单。相比当前最先进的预测攻击来源的技术，研究人员表示他们算法的成功率提高到了70%。

来自Solidot

奥地利的安全专家 Peter Kleissner 在BlackHat大会上发布个叫做Stoned的Bootkit(更高级的Rootkit)工具，可以绕过TrueCrypt的加密系统。

这个Bootkit是通过'double forward'重新指定I/0中断13H, 并且在windows系统和TrueCrypt之间插入自己的数据。

来自Solidot，h-online

经过反复论证，以色列科学家日前发现，原本可为刑事犯罪案件提供证据的DNA检测结果完全可以伪造。如果犯罪分子进入DNA数据库，他们就可以不通过提取个人身上任何组织而制造一个DNA样本。

研究人员指出，伪造DNA检测结果的方法有两种。第一种方法是首先需要获取一个微小但真实的DNA样本（可能从一根头发或一个饮料杯上提取），然后通过“全基因组扩增技术”将微小的样本放入大量的DNA里；第二种方法则依赖于DNA分型，通常该分型被安置在一个法定的数据库里。犯罪分子可以通过盗取DNA分型数据伪造DNA 样本。

新华网消息，据英国《每日电讯报》网站14日报道，美国政府正在中国和伊朗秘密测试一种新技术，以让两国民众避开政府的互联网审查措施。

这个名为FOE(feed over email)的系统通过谷歌、微软以及雅虎邮箱，通过RSS向接收者推送新闻，以绕开网页屏蔽技术。据称该系统还能应用于大多数类型的手机。

新华社文章最后引述俄罗斯《报纸报》网站的消息说，中国在互联网新闻检查方面世界领先，实行大约60项法规管理互联网。国家的互联网接入单位对信息进行过滤。

来自Solidot