TechTarget中国 特别报道

研究人员揭短亚马逊云安全

在拉斯维加斯举行的黑帽大会(Black Hat 2014)上,一位颇有名声的研究人员称安全专业人士并未对托管在AWS云基础架构上的应用的安全性给予充分的关注,因而AWS用户可能更容易遭受到攻击:隐私信息暴露、模仿AWS EC2实例,甚或更糟。

黑帽大会上在星期三发表的一次演讲中,咨询公司Bonsai Information Security的创始人、开源w3af安全框架的领导者Andres Riancho详细阐明了他为一个"将Web应用托管在AWS基础架构上"的客户提供渗透测试的全经历,其研究直指AWS弱点及误配置。

研究人员直指AWS弱点及误配置

Oracle数据校订安全功能漏洞频出

一位一直被视为Oracle眼中钉的安全研究人员详细介绍了该公司的一款旗舰产品的安全功能中的漏洞,这位安全研究人员称,该公司对安全采取了杂乱无章的做法。

在2014年美国黑帽大会上,数据库安全专家兼著名漏洞猎人David Litchfield展示了他最近在数据校订(data redaction)功能中发现的一些漏洞,Oracle公司在最新版本数据库12c中大肆宣传了这个安全功能。

Litchfield现场演示了他发现的漏洞,其中第一个漏洞是在DML操作后使用"RETURNING INTO"条款,这允许数据返回一个变量,他表示这是Oracle的失误,这原本可以通过执行渗透测试来发现。

漏洞猎人David Litchfield

物联网安全:每个人都可以为其作出贡献

如果不出意外,今年黑帽大会上所提出的物联网安全问题,在不久的将来会得到更多关注。

它激起了一场数据生成和共享的革命。然而目前还比较模糊的是,那些生产出新的连接到网络的设备厂家是否有考虑到安全性。

在2014美国黑帽大会上,各方面研究人员都谈到了与物联网有关事物的安全问题,包括容易被破解的汽车、智能恒温器和卫星通信设备。安全行业的大师级人物Dan Geer(In-Q-Tel公司的首席信息安全官),用一个警告为会议定下了基调:由于一大波连入网络的新设备来袭,互联网的攻击面正在扩大,所以我们必须做一些准备……

In-Q-Tel公司的首席信息安全官Dan Geer

现场:"BadUSB"首次亮相

2014年黑帽大会上,专家展示了一种新的威胁,被称为"BadUSB"。

对于USB用户来说,黑帽大会的第二天是糟糕的一天。即使你不使用这些无处不在的U盘设备,其他各种设备都在使用相同的协议,例如一些笔记本电脑的内置摄像头、插入式网卡以及偶尔使用的辅助显示器。

在2014年美国黑帽大会上,柏林SRLabs的安全研究人员Jakob Lell和独立安全研究人员Karsten Nohl展示了他们称为"BadUSB"(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当不值得信任的状态。

现场:BadUSB首次亮相

防御针对POS机系统的恶意软件

在拉斯维加斯召开的美国黑帽大会(Black Hat USA 2014)上,美国先进出纳机(NCR)零售企业安全架构师Nir Valtman将向参会者介绍几个他所设计的专门针对POS机系统的攻击,同时也将探讨零售商和POS机系统厂商可以采取的防御措施。

Valtman在接受记者采访时曾说,他所展示的研究结果是基于他已经完成的威胁分析。他试图了解这些危害或侵入POS机终端的恶意软件,看看这些恶意软件是如何感染POS机系统的,大家又可以采取什么措施来防御这些恶意软件……

防御针对POS机系统的恶意软件

雅虎CISO:企业级安全公司表现有负众望

在2014年黑帽大会上,雅虎首席信息安全官Alex Stamos谴责企业级安全公司没能应付好"大规模和系统多样性",并呼吁供应商抓住机遇进行创新。

根据雅虎公司的首席信息安全官表示,安全行业并没有产品能够有效支持这种大型网络资产的规模和系统多样性。在2014年美国黑帽大会上,雅虎的Alex Stamos(在今年年初组织了另类RSA大会--TrustyCon大会)表示,安全供应商过于专注于"将更多功能整合在单一产品中",而忽略了基本功能、带宽和处理能力,而这正是雅虎等公司保护其用户和数据所需要的功能。

雅虎CISO:企业级安全公司表现有负众望

法律专家感慨网络犯罪法律的模糊性

安全研究人员发现网络犯罪法律的问题比黑帽大会上大部分与会者所知道要多,或者说,至少在黑帽大会的小组会议上我们了解到是这样,这个会议主要发言人包括Rapid 7全球安全战略专家Trey Ford和律师Marcia Hofmann及Kevin Bankston。

Hofmann在开始时简要概述了计算机欺诈与滥用法案(CFAA)和数字千年版权法(DMCA),然后他谈到了贯穿整个会议的主题。"我们并不总是很清楚哪些行为是合法的,关键语言的模糊性会导致选择性的执法,"Hofmann表示,"由于这些刑罚的严重程度,你可能会受到严厉地惩罚,是真的会受到严厉地惩罚……

法律专家感慨网络犯罪法律的模糊性