作者：吳依恂 07/13/2009
SyScan09前瞻资安技术年会为亚洲重要的资安技术年会，今年是第2度于台湾举办，不少资安业界人士共襄盛举。COSEINC与SyScan的创办人兼CEO Thomas Lim提到，去年有许多学生参加，而今年参与族群多为专业人士，例如有趋势科技、国防部等来自政府、软件公司等资安、资安产品开发人员等公司团报，报名数量虽然不若去年，但整体参与者的质量是有提升的，在研讨会后的问答也都较为精准且热络。  而我们也抓紧时机采访了此次SyScan的讲师。资安公司Immunity创办人兼技术长Dave Aitel就提到，不管是何种虚拟化平台，其安全性架构相差无几但重要的是虚拟化安全工具的布署方式。而虚拟化技术究竟是否适合运用于关键重要的服务器呢？Aitel说，虚拟化技术已臻成熟，这当然是没问题的，只是，务必别将重要的服务器摆在同台虚拟机上，例如说Web Server跟Mail Server应该要分开架设，但是，这是否与虚拟化的本意－节能，有所抵触呢？Dave认为这也是必须在安全与成本考虑之间必要取得的一个平衡点。  Charles Miller是CanSecWest举办的Pwn2Own黑客竞赛中的最新两届冠军得主（见图），率先在几分钟之内破解Apple的Mac OS X操作系统上的Safari浏览器，赢得5,000美元和Macbook，是近年来资安界的红人，这次在SyScan谈的主题是Apple iPhone的手机安全，他说，iPhone几乎就像是另外一台计算机一样，因此任何恶意的行为也可以被移植过去，而且不只是Apple的iPhone，任何手机都存在漏洞。并且相较起来，手机几乎是24小时联机，不像计算机可能关机的时数较少，另外，由于计算机的IP地址是浮动的，攻击者可能会无法掌握，但是像本次他所揭发的漏洞，是可以透过简讯发送恶意程序到手机，只要一但知道对方的手机号码就可发动攻击，这在未来也将会是个大问题，他推测Apple在短时间内可能无法修复他所揭露的这些漏洞。  iSEC Partners资安研究员Justine Osborne则发表对Rich Internet Application(RIA)技术的安全漏洞研究，她以5种RIA Frameworks为例，包括 Adobe AIR、Microsoft Silverlight、Google Gears、Mozilla Prism、HTML 5说明可能问题，并对程序开发人员、一般使用者及渗透测试人员提出不同建议。她强调，自动稽核工具是很必要的，也应对每种Framework准备详细的检核表，然后大家一起找bug。
Source from http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5117

[注意]看雪招聘，专注安全领域的专业人才平台！