存档

‘产业发展’ 分类的存档

他山之石:美国电网信息安全白皮书

2016年1月28日 没有评论

作者:@IDF实验室 8w项目组


引言:

  最近乌克兰电网被黑事件和以色列电网遭受攻击的“传闻”,使以往仅仅是预测或者听闻的电网安全再度引发安全和社会业界的关注。作为人类社会文明特别是工业和信息文明标志的基础设施,其安全性和重要性可以说超越其他任何基础设施,特别是在人口密集的经济、科技、政治中心城市,通讯、交通、医疗、生活、教育,一旦出现大范围长时间的电力安全事故或故障,其后果难以估量。美剧《灭世》就曾经解构过这一恐怖的未来。而智能电网以及各种新能源的快速发展,必然带来电网基础设施及产业生态前所未有的巨变。对于追求极端国家民族秩序,试图重回旧时代的恐怖主义来言,如能对其敌对国家或者政府的电网发起成本低而影响巨大的网络攻击,让对手重回“石器时代”,无疑是极为富有诱惑力的。IDF实验室从2010年起就关注智能电网的相关技术以及安全影响,为此特编辑本文,对大洋彼岸的电力大国的信息安全治理与布局予以披露和介绍,供各界参考与借鉴。
  “他山之石,可以攻玉"——正如一位中国诗人说的那样:黑夜给了我黑色的眼睛,我却用它寻找光明。

usp003
 

1.1美国电网信息安全治理与组织

   在美国,与智能电网相关的美国机构主要有:

  usp001

 其中与电网信息安全关系较为密切的组织主要有:[……]

阅读全文

如何阻止下一次心脏出血漏洞

2014年7月15日 没有评论

原文:How to Prevent the next Heartbleed.docx

翻译:赵阳

一、引言

基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。

本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件,你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的著作中学习到这点,本文中认为您能开发软件。

我的目的是为了帮助防止类似漏洞的出现,从而提高安全软件的开发能力。正如Orson Scott Card’s Ender’s Game中的虚幻人物Mazer Rackham所说的“这里没有老师,只有敌人…只有在敌人那里你才能了解到自己的弱点。”让我们来了解这些漏洞,然后可以避免相似的漏洞再次出现。

二、为什么这个漏洞不能更早的被发现?

这个OpenSSL漏洞是由一个很熟悉的问题引起的,这个关键的问题就是缓冲区读溢[……]

阅读全文

信息安全专业孩子的自述

2013年11月13日 4 条评论

原创:陈民慧

前些日子的xdef峰会上,在谈到“企业视角下的信息安全人才培养需求与期待”这个话题时,很多安全相关的企业单位纷纷发言表示对信息安全专业的孩子不感兴趣,认为目前这专业孩子到毕业了却连最基础的安全知识都不扎实!也许这样的表达带有我个人情绪偏差,换句中肯的话,应该是相关的安全企业单位对高校的信息安全人才培养期待较高吧!

作为一名信息安全大四的应届毕业生,此刻也许最能代表信安孩子们说点什么了!信息安全作为国家限制招生专业,录取分比计算机专业高,大一大二的课程却跟计算机专业大同小异,除了多了信安基础数学和信安概论等几门课程。虽然课程内容差不多,但这时的信安孩子还是自信满满的,比计算机专业多上门密码学也能得瑟很久,总认为自己将来会是个酷帅的黑客!

附我所在学校信安专业大一大二专业相关的主要课程:

大一: 计算机科学导论、信息安全数学基础、高级程序设计语言Ⅰ(C)

大二:信息安全理论与技术、高级程序设计语言Ⅱ(C++)、计算机网络、通信原理基础、密码学原理、数据结构与算法、数字逻辑、网络综合实验

大一大二时基本都是学习计算机基础知识,真正涉及信安专业相关的也仅仅是一些理论知识。对信安的孩子来说,最关键的一年是大三,这一年将决定你是龙还是虫,还能继续得瑟下去还是反过来被人嘲笑!大三这学年里全是专业课程,或枯燥,或精彩,因人而异!因为经过前两年对计算机的认知和了解,每个人都开始有了自己的方向和目标。有的同学对安全更发着迷了,有的同学发现自[……]

阅读全文

安全之美,绝不是滔滔江水——安全软件的产品设计浅谈

2013年10月29日 1 条评论

原创:万涛(老鹰)

“美就是美,真即美”,这是我们所有人在世上所知道的和需要知道的。

————《希腊古瓮颂》,约翰 济慈

从上世纪90年代的DOS模式下杀毒软件简单实用的命令参数模式,到今天从终端到应用的五花八门各种安全软件。安全软件的产品设计,对许多程序员和广大计算机爱好者来说,似乎不是一个特别热门的话题,绝对不会有手机安全或者一个智能汽车安全性缺陷讨论来的热烈。

回顾自己进入信息安全行业20年的短暂生涯,安全软件的产品设计的深入研究也是从2006后随着终端安全和“安全最后一公里”的提法的热潮兴起才进入自己的视野。而在此之前关注的,除了功能就是性能,毕竟,安全如刀剑,杀伤和防御能力是第一元素。以往的安全产品评测中,似乎也很少见到提及此方面的评测案例。

但是360的兴起和其对国内安全产业和互联网市场的攻城略地,的确让我开始换位思考其中引发的诸多问题和背后的原因,抛开老生常谈的江湖恩怨,开始关注其中的安全产品设计要素。我也希望现有安全产品厂商,包括未来的潜在安全新秀,应该开始重视此方面的问题,而不是仅仅将其看为软件的界面和美工。

在我的职业生涯中,这样的观念改变还出现在对国内木马工具的分析上。许多用于黑产的产品工具技术上谈不上多大的突破,但在产品设计中却是相当的极致,以致如今国外也有不少“爱好者”非常喜欢国内做的小工具。

安全产品的设计,在今天这[……]

阅读全文

软件开发启示录——迟到的领悟

2013年9月29日 3 条评论

原文:http://java.dzone.com/articles/4-things-i-wish-i-would-have

翻译:裴伟伟(做个好人)

我的软件开发生涯开始于15年前。

但是直到最近的5年,我才真正开始看到自己在软件开发领域的巨大进步。

这里有一些感悟是我希望能够在我进入软件开发领域时所知道的事情,如果我早一些领悟到,相信会比现在更加成功,也更节省一些时间。

软件开发工作没有“正确方法”

在软件开发生涯的早期,我曾经浪费了大量的时间在学习和争辩,错误的相信有一条“绝对正确的方法”能够应付软件开发的很多方面。

结果证明我曾经认为关于软件开发的每一件正确的事情到最后都是错误的。

但是更重要的是,我发现很少有事情是黑白分明的。在写代码和开发软件时所做的几乎每一个决定都取决于当时所处的环境。

我曾经讨论过关于技术的宗教式信仰是如何对软件开发者不利的,但这个话题已超出技术范畴。

没有万能的最佳实践方式,这句话很对。甚至像“是否应该进行单元测试”、“敏捷开发和瀑布模型哪个最好”这种高热度的话题都不会有一个直截了当的简单答案。

在我的职业生涯中,我已经浪费了大量时间在这种“正确方法”上以至于最终一无所获,而不是探寻可以让我走更远的“实用主义”道路。

[……]

阅读全文

信息安全入门指南

2013年9月23日 4 条评论

原文:http://www.reddit.com/r/netsec/wiki/start

以下所列出的链接均为在线文档,有志于信息安全的爱好者可由此作为入门指南。

背景知识

常规知识

Sun认证-Solaris 9&10安全管理员学习指南

PicoCTF资料

应用软件安全

OWASP安全编码规范

漏洞挖掘

Windows ISV软件安全防御

移动安全

OWASP十大移动手机安全风险

网络安全

常规网络攻击类型

逆向工程

华盛顿大学:硬件/软件接口

伦敦大学:恶意软件和地下产业——一个巴掌拍不响

Web安全

OWASP十大Web应用安全风险

在线课程

多学科课程

ISIS实验室黑客之夜

涉及源码审计、Web安全、逆向工程、漏洞挖掘、Post-Exploitation、应用软件安全

开放式安全训练

涉及逆向工程、漏洞挖掘、取证技术、恶意软件分析

佛罗里达州立大学:安全攻击

涉及源码审计、应用软件安全、漏洞挖掘、网络安全、Web安全、Post-Exploitation

雪域大学SEED:发展教学实验室计算机安全教育[……]

阅读全文

安全技术团队在保护客户上的作用

2013年9月12日 没有评论

原文:http://blogs.technet.com/b/security/archive/2013/07/25/the-impact-of-security-science-in-protecting-customers.aspx?Redirected=true

翻译:封畅

今天Trustworthy Computing发布了新的报告,调查了微软缓解安全漏洞的措施在安全问题上的影响。这份报告基在过去七年间微软通过安全升级处理过的被黑客利用的漏洞的研究。这一研究专注于评估各种被黑客利用的漏洞的类型,被攻击的产品的版本和被黑客使用的漏洞利用手段在过去的趋势。

这份报告中有几个关键,被称作软件漏洞的利用方法,包括:

  • 每年已知可以利用的远程代码执行漏洞(RCE)数量正在下降。

  • 漏洞最经常在安全补丁发布之后才被利用。尽管这些年在安全补丁发布之前就被利用起来的漏洞的百分比有所增加。

The Impact of Security Science in Protecting Customers 01

图1:在补丁发布之前和之后被利用的CVE漏洞所占的百分比

  • 堆栈溢出漏洞曾经是最常见的漏洞利用类别。但是现在已经很少了。堆栈溢出漏洞的使用率从2006年的43%下降到了2012年的7%。The Impact of Security Science in Protecting Customers 02

图2:已知可以被利用的CVE漏洞的类别分布

  • 释放后使用(Use-After-Free)漏洞现在是最常见的漏洞利用类别。

  • [……]

阅读全文

分类: 产业发展, 企业安全 标签: