来自恶意软件的谷歌安卓给美国国防高级研究计划局打电话,试图了解故事或叙述如何产生影响安全而人类的行为,安全的世界绝对不会无聊。在这里,我们来看看过去几个月里塑造了这个行业的20个安全故事。
更安全:加密是怎么回事?
报复是网络攻击的答案吗?
报复性攻击应该只是大型IT商店用来反击网络攻击的另一种安全工具吗?这是一个有争议的想法,法律一般不赞成网络攻击。但在今年1月的黑帽DC会议上,一些发言者提出了一个问题,即企业是否应该以及如何反击那些明显使用攻击工具入侵并破坏企业数据安全的对手。其中一个受到广泛关注的想法是利用攻击工具和僵尸网络中的漏洞来试图确定攻击者的目标或提供虚假数据,甚至潜入攻击者的网络巢穴。
以销售点设备为目标的网络罪犯
Trustwave的一份报告称,由于安全控制松懈,信用卡和借记卡的销售网点支付处理设备成为网络犯罪分子的大目标,尤其是在小企业中。Trustwave负责调查美国运通(American Express)、Visa和万事达(MasterCard)等公司的支付卡失窃事件。2010年,该公司在全球范围内进行了220项涉及数据失窃的调查。这些情况的绝大多数是由于POS设备的弱点。根据Trustwave的2011年全球安全报告,“POS系统代表了许多目标,由于众所周知的弱点,POS系统仍然是犯罪分子获取必要数据进行支付卡诈骗的最简单的方法。”
谷歌Android受感染的应用程序暴露了手机的危险
谷歌Android应用程序市场本应是一个应用程序展示平台,但事实上谷歌本周删除了大约50个恶意的Android应用程序,这让安全行业的许多人感到震惊。Lookout移动安全公司的首席技术官凯文·马哈菲(Kevin Mahaffey)表示:“我们相信他们都有相同的恶意软件。”该公司已开始将这种病毒称为DroidDream感染。这些应用程序是在谷歌注册的开发者名称“Kingmall2010”、“we20090202”和“Myournet”下发布的,Lookout移动设备的嫌疑人都是同一个人或同一群体。至少有一个恶意应用程序是基于窃取的软件木马和提交给谷歌。迄今为止,大多数恶意的谷歌Android应用程序都出现在第三方网站上,但本周Android市场上的恶意谷歌应用程序让人对审查过程产生了怀疑。
联邦调查局:网络犯罪率高;错误行为的类型有所改变
美国联邦调查局(FBI)的第十届网络犯罪年度报告发现,投诉和金钱损失几乎达到了历史最高水平,其中包括无法支付或商品、假冒联邦调查局(FBI)的诈骗以及身份盗窃,这些都是网络犯罪投诉的前十名。这份报告是由FBI的合作伙伴互联网犯罪投诉中心(IC3)和美国国家白领犯罪中心(NW3C)发布的。报告发现,2010年,互联网犯罪投诉中心收到303,809起网络犯罪投诉,是该中心成立10年以来的第二大投诉总数。IC3今年也达到了一个重要的里程碑,它收到了200万份投诉。该组织平均每月收到并处理25,000宗投诉。
美国为安全斗士实施新的网络攻击计划
美国政府和私营企业能联合起来抗击那些意图发动网络无政府主义的人吗?国防部希望如此,并制定了一项计划来帮助促进这种合作。国防部副部长William J. Lynn在RSA安全会议上告诉与会者,国家网络的安全将需要前所未有的工业和政府的合作。林恩说:“通过基于威胁的机密信息以及我们开发的用于网络防御的技术,我们可以显著提高工业界已经实施的网络安全实践的有效性。”林恩指出,有100多个外国情报机构试图入侵美国网络。
被盗的美国军事身份,理想的掩护,军队的在线约会骗子
这是旧骗局的新花样。的陆军时报报纸报道称,越来越多的欺诈者从社交网站上窃取美国陆军士兵的身份,然后利用这些信息在网络约会网站上建立虚假档案。这些资料被用来骗走潜在约会对象的钱。但也有其他后果。从陆军时报他说:“当士兵们的亲人发现了他们的网上档案,并认为他们是想作弊时,这些不知情的士兵有时会成为受害者。[军士长C.J.格里森姆,他使用他的博客,”一个士兵的角度来看,“揭露骗子使用士兵约会con)说,尼日利亚的骗局是所谓的一个新的转折419年费诈骗,和它的受欢迎程度正在增长,受士兵的常规使用社交网站和互联网渗透到第三世界的骗子的避风港。格里沙姆说,过去一年,我的网站上与我所写的骗局有关的流量增加了两倍。我每天会收到30到40条评论,20封电子邮件,让我调查他们是否被骗了。”
思想警察吗?DARPA想知道故事是如何影响人类的思维和行为的
因为它听起来像一个不那么基础的科幻小说剧本,你不会感到惊讶的是,国防高级研究计划局的科学策划者背后。总而言之,DARPA想知道故事或叙事或任何人们可能称之为的东西是如何影响人类行为的。为此,DARPA在2月28日举办了一个名为“故事、神经科学和实验技术(STORyNET):安全背景下叙事的分析和分解”的研讨会来讨论这个话题。
故事对人类的思想和行为产生强大的影响。它们巩固记忆、塑造情感、启发线索和判断中的偏见、影响群体内/群体外的区别,并可能影响人格同一性的基本内容。毫不奇怪,这些影响使得这些故事与令人烦恼的安全挑战高度相关,如激进化、暴力社会动员、叛乱和恐怖主义,以及冲突预防和解决。因此,理解故事在安全环境中扮演的角色是一件非常重要和紧迫的事情,”DARPA说。如果我们要有效地分析故事所形成的安全现象,就必须确切地确定故事所发挥的作用,以及它们通过什么机制发挥作用。要以科学的方式做到这一点,需要叙述的工作理论,理解叙述在安全环境中所扮演的角色,以及研究如何最好地分析故事——系统地分解故事及其心理影响。”
空军希望iphone和Android都能实现加密安全
美国空军正试图决定是否使用商用现货(COTS)智能手机,如基于android的设备或iphone,以及如何使用它们安全地处理机密语音和数据。空军已经发布了一份信息请求,而不是正式的合同招标,因为它正试图想出最好的计划。保护智能手机为军事用途是绝对必要的,如果要找到广泛的装置应用程序现场使用。军方也将智能手机开发列为优先事项。
美国最高法院表示,NASA背景安全检查并不过分
长期争论中隐私和安全,美国最高法院站在NASA称其背景调查没有侵入性,所需的信息不仅NASA,大多数政府职位是一个合理的安全预防措施和足够的隐私保障存在,以防止任何不当披露。你可能还记得,在这个案例中,美国宇航局喷气推进实验室的28名科学家和工程师在2007年起诉美国政府和加州理工学院(Caltech),称NASA根据政府规定进行的背景调查是侵入性的。这些规定的部分目的是为了收集信息,以制定一种共同的身份识别标准,确保人们的身份是他们所说的,这样政府设施和存储在网络中的敏感信息就能得到保护。
美国特勤局利用视频游戏、3D技术进行高级安全培训
在为各种安全威胁做准备时,培训越现实越好。这就是为什么美国特勤局表示,他们已经开发了一个软件系统,使用游戏技术和3D模型,为其人员提供高科技培训。美国特勤局表示,在国土安全部(DHS)科学技术理事会的资助下,特勤局开发了一种名为“虚拟小镇”的现场安全规划工具(SSPT),该培训系统为军人提供应对化学、生物或辐射袭击、武装袭击、自杀式炸弹袭击者和其他威胁的准备。
联邦监管机构列出了电网网络安全面临的6项重大挑战
随着中国电网经历转型,向网络化、自动化程度更高的系统迈进,它面临着越来越多的网络安全问题。监管机构在政府问责局(Government Accountability Office)表示,尽管使用智能电网系统的增加可能有许多好处,”包括越来越短的中断、提高可靠性电价的下行压力由于转移高峰需求的能力,一种改进的传输能量的能力从替代能源如风能,和一种改进的能力发现和应对潜在的攻击网格,“许多挑战仍然存在。
匿名者迫使HBGary Federal首席执行官辞职
在与网络安全公司HBGary Federal首席执行官的冲突中,匿名组织目前取得了胜利。HBGary Federal的电子邮件被窃取并发布在互联网上,导致该公司因邮件内容和网络容易被黑客攻击而脸红。CEO Aaron Barr告诉网站Threatpost,他辞职是为了帮助公司重拾声誉,并开始改善自己的形象。他承诺曝光匿名成员的姓名,最近遭到攻击,导致该组织在互联网上发布了5万多封HBGary Federal电子邮件。该组织还公开详细说明了它如何利用弱密码和未打补丁的服务器入侵网络,然后利用收集到的密码信息侵入该公司的Gmail账户。
美国起诉27名苹果产品信用卡诈骗团伙
纽约检方今年2月起诉了27人,他们是一个犯罪团伙的成员,用偷来的信用卡信息购买了苹果(Apple)的ipod、ipad和其他产品,然后在地下犯罪团伙中转售。2月1日进行的突袭中,代理了300000美元现金,三个枪支和弹药以及设备制造假信用卡的帮派,它分为两个操作运行从2008年6月到去年年底,根据从曼哈顿地区检察官办公室的新闻稿。
云服务可以增强国家网络安全
的转变云计算一家外交政策智库的一份报告称,通过将网络安全负担集中在相对较少的服务提供商(而不是数千家企业)身上,网络安全提供了一个更好地保障国家数字基础设施安全的机会。“云计算有弱点,但它也提供了聚合和自动化网络防御的机会,”战略与国际研究中心(Center for Strategic and International Studies)的一份新报告称。这份名为《两年后的网络安全》的报告是该组织2008年发表的《第44任总统的网络安全》的后续。
电子收费系统会成为恐怖分子的目标吗?
802.11p车辆的弱点无线根据最近在黑帽特区会议上的发言,网络可以使他们成为恐怖分子的目标,企图在国家的高速公路上大肆破坏。安全供应商Trustwave的SpiderLabs的渗透测试主管罗布•哈维尔特表示,该技术有一天将被用于控制交通流量,并向司机发出高速公路危险预警。
低成本的SSL代理可以带来更廉价、更快的安全性;击败像Firesheep这样的威胁
研究人员已经找到了一种更便宜、更快的方法来使用现成的硬件来处理SSL/TLS,这一开发可以让更多的网站关闭由Firesheep之类的劫持工具所构成的网络威胁。这项技术被称为sslshade,它展示了基于商用硬件的SSL代理如何保护Web服务器,而不会减慢交易速度。SSL/TLS——用于保护在线Web交易的加密协议——对从访问者的机器到Web服务器的通信进行加密。这使得它不可能通过掠夺未加密的无线网络来获取数据,比如会话cookie,而这正是Firesheep所做的。