xMatrices

HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心，但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布，Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。这些漏洞基本上使HTTPS和SSL能够提供的浏览器保 护荡然无存。 HTTPS对HTTP协议进行了加密，以保护用户的页面请求和Web服务器返回的页面不被窃听。SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器。

Hansen和Sokol指出，攻击者要利用这些漏洞，首先需要发起中间人攻击。攻击者一旦劫持了浏览器会话，就可以利用这些漏洞中的大多数对会话进行重定向，从而窃取用户凭据或者从远程秘密执行代码。

然而，两位研究人员强调，中间人攻击并不是攻击者的终极目的。

Hansen指出，“利用中间人攻击，攻击者还可以实现许多更加容易的攻击。你不得不'执行'中间人攻击，并被迫成为一个十分坚定的攻击者……然而，这还不是最坏的情况。对于电子商务应用来说，这些攻击简直是毁灭性的灾难。”

一个包含超过一亿Facebook用户个人资料的目录已经出现在文件共享网站。这个有2.8GB大小的文件由Skull Security的黑客Ron Bowes编辑，他编写了一个网络蜘蛛程序，收集了 Facebook开放目录中的用户数据，开放访问目录中的用户没有修改隐私设置以让搜索引擎无法搜索到他们的主页。此文件共收录了1.71亿个条目，意味着1亿名以上Facebook用户的页面资料信息已被收录。目前Facebook全球用户量已达5亿，即每5名 Facebook用户中，就有1名用户的页面资料信息被鲍威斯收录。文件包含了Facebook用户帐号名称以及指向用户页面资料的网址，而这些页面资料又包含了用户家庭住址、生日和手机号码等信息。

安全研究人员Barnaby Jack在 拉斯维加斯的Black Hat安全会议上演示了如何破解ATM。Jack把两台ATM搬到讲台上，亲自示范如何破解ATM，按了一个按钮后，让ATM吐出一堆钞票。他说：有些设备从外表上看来固若金汤，但我希望改变 民众对这些设备的看法。Jack表示，他上网买的这两台独立式ATM分别由Tranax Technologies和Triton制造，花了多年的时间研究ATM的代码，期间找出了安全漏洞和程序设计上的错误，因此让他能完全取得访问这些机器 的捷径，并且学得破解技巧，可打开同厂牌、别款ATM内建的保险箱。两家公司现已修复了安全漏洞。Jack没有发表破解软件。来自Solidot

在Java 1.6.0_21中，Java的公司字段从“Sun Microsystems, Inc”改为了“Oracle.”，但这一改动却导致了始料未及的后果：因为有些应用程序是需要依靠公司字段识别虚拟机。集成开发工具Eclipse 3.3版后的版本，包括刚刚发布的Eclipse Helios，都由于这一改变而报OutOfMemoryError错误，因此而发生崩溃。Java是通过自动更新程序更新的。来自Solidot

Wind River Linux Secure通过美国国家信息安全合作体系（NIAP）的评估，获得了Common Criteria Evaluation Assurance Level 4+ (EAL4+)安全认证，成为首个获得EAL4+级认证的商用嵌入式Linux操作系统。

航空航天、国防、工业、能源以及医疗行业对高安全性和高性价比的开源认证产品越来越感兴趣，Wind River表示它的产品将能满足安全需求。来自Solidot

已有12年历史的入侵检测自由开源软件项目Snort停止了开发了。由美国国土安全局建立的非盈利组织OISF(开发信息安全基金会)认为snort是进入"老年"，他们将开始开发新一代的IDS/IPS(入侵检测/防御系统)。

但Snort的创建者Martin Roech否认了这一说法，他称这个礼拜OISF发布的第一个开放源代码IDS/IPS项目Suricata 1.0简直就是在做Snort曾经的工作，也就是说在浪费纳税人的钱。OISF成立不到2年，据主席Matt Jonkman得知，他们在国土安全局电子空间研究计划(cybersecurity research program)中得到100万美元的投入。

Matt说OSIF的目的就是开发出Snort的替代品，Snort 3.0作为下一代Snort的计划已经被推迟了。来自Solidot

台湾安全公司Armorize的CTO Wayne Huang原计划在本月末拉斯维加斯举行的黑帽安全会议上发表关于中国网军的主题研究，他试图通过回顾2001年到2009年之间中国网军的种种行动，根据取证和调查的数据还原网军的真实面貌，梳理出网军的成员结构，所在地点、攻击目标、资金、组织、流程、活跃时间、以及所用工具和技术。

然而现在演讲已经被迫取消，Armorize联合创始人Caleb Sima在Twitter上声称，台湾政府鉴于敏感性而禁止这次演讲。

来自Solidot

周四在巴黎举行的一次20国公司代表会议上，法国及荷兰政府呼吁国际上采取措施，制止私人公司出口用于互联网审查的高科技设备。

荷兰外交部长Maxime Verhagen认为必须采取实际措施确保互联网成为普遍的论坛。法、荷计划在10月举行一次部长级会议，确定规定的细节。

会上被提及的企业有 Siemens、Nokia、Alcatel、France Telecom和Cisco，其中Siemens和Nokia被指控向伊朗政府提供压制言论的技术，对此两家企业均予以否认。

Google和微软也派代表参加了会议。"来自Solidot

在Skype发布了SkypeKit SDK几周之后，由 Sean O'Neill 领导的一个加密专家团队成功逆向工程了Skype协议使用的加密技术，源代码已在非商业使用许可证下放出。

研究显示，Skype使用的加密算法是RC4算法的实现，RC4是一种应用广泛的软件流加密算法，SSL协议和WEP协议中使用的就是RC4。RC4是Ron Rivest（RSA算法中的R）于1987年设计出的加密算法，因此正式名称是“Rivest Cipher 4”。

虽然RC4目前被认为不是太安全，但初步分析显示O'Neill的逆向工程并不意味着Skype的加密方法能被破解。

据《俄罗斯新闻报》报道，为了更好地向俄罗斯国家机关出售软件，美国微软公司同意与俄安全部门分享微软Windows 7操作系统原始代码和Office 2010等软件。

微软公司代表普里亚尼什尼科夫称，他们与隶属俄罗斯通讯与大众传媒部信息保护系统研究中心的“地图册”科技中心签署了一份补充协议。

普里亚尼什尼科夫介绍说，“地图册”中心可为微软最新产品设置带密码的防护系统，为这些软件开通通向国家机构的路径。对俄罗斯方面来说，最重要的是确信微软软件能够保证在国家机构的使用符合安全部门的要求。

目前，国家订单为微软公司带来俄罗斯市场大约10%的销售额。来自CNBeta