首页
社区
课程
招聘
[转帖]SyScan09二度來台 揭露虛擬化、手機、Web 2.0安全
发表于: 2009-7-13 22:38 5351

[转帖]SyScan09二度來台 揭露虛擬化、手機、Web 2.0安全

2009-7-13 22:38
5351
作者:吳依恂 07/13/2009
SyScan09前瞻资安技术年会为亚洲重要的资安技术年会,今年是第2度于台湾举办,不少资安业界人士共襄盛举。COSEINC与SyScan的创办人兼CEO Thomas Lim提到,去年有许多学生参加,而今年参与族群多为专业人士,例如有趋势科技、国防部等来自政府、软件公司等资安、资安产品开发人员等公司团报,报名数量虽然不若去年,但整体参与者的质量是有提升的,在研讨会后的问答也都较为精准且热络。  而我们也抓紧时机采访了此次SyScan的讲师。资安公司Immunity创办人兼技术长Dave Aitel就提到,不管是何种虚拟化平台,其安全性架构相差无几但重要的是虚拟化安全工具的布署方式。而虚拟化技术究竟是否适合运用于关键重要的服务器呢?Aitel说,虚拟化技术已臻成熟,这当然是没问题的,只是,务必别将重要的服务器摆在同台虚拟机上,例如说Web Server跟Mail Server应该要分开架设,但是,这是否与虚拟化的本意-节能,有所抵触呢?Dave认为这也是必须在安全与成本考虑之间必要取得的一个平衡点。  Charles Miller是CanSecWest举办的Pwn2Own黑客竞赛中的最新两届冠军得主(见图),率先在几分钟之内破解Apple的Mac OS X操作系统上的Safari浏览器,赢得5,000美元和Macbook,是近年来资安界的红人,这次在SyScan谈的主题是Apple iPhone的手机安全,他说,iPhone几乎就像是另外一台计算机一样,因此任何恶意的行为也可以被移植过去,而且不只是Apple的iPhone,任何手机都存在漏洞。并且相较起来,手机几乎是24小时联机,不像计算机可能关机的时数较少,另外,由于计算机的IP地址是浮动的,攻击者可能会无法掌握,但是像本次他所揭发的漏洞,是可以透过简讯发送恶意程序到手机,只要一但知道对方的手机号码就可发动攻击,这在未来也将会是个大问题,他推测Apple在短时间内可能无法修复他所揭露的这些漏洞。  iSEC Partners资安研究员Justine Osborne则发表对Rich Internet Application(RIA)技术的安全漏洞研究,她以5种RIA Frameworks为例,包括 Adobe AIR、Microsoft Silverlight、Google Gears、Mozilla Prism、HTML 5说明可能问题,并对程序开发人员、一般使用者及渗透测试人员提出不同建议。她强调,自动稽核工具是很必要的,也应对每种Framework准备详细的检核表,然后大家一起找bug。
Source from http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5117

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (3)
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
2
临睡之前看到好贴!欣喜啊。呵呵。
2009-7-13 22:45
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
3
手机平台和传统的PC平台确实有不少新的特性值得注意。

除了文章中说的这几点外还有一点比较重要:

★ 手机一般是预存了话费的,而一般PC没有!而且随着手机的发展,很可能在未来会成为一种重要的支付工具!
  这些预存的话费(或者看作是一种电子货币)会给攻击者带来直接的经济利益,从而驱使他们对手机平台展开
  各种攻击。

去年早些时候我曾经设想可能会存在这样一种威胁:

  攻击者可能和服务供应商勾结起来。通过感染手机发送短信订购一些昂贵的服务,攻击者和服务供应商分成。
2009-7-13 22:55
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
4
另一方面越来越多的手机具有GPS模块。如果被利用可以把手机变成一个随身跟踪器,一直追踪持有者的位置。

显然PC就没这样的功能了。笔记本如果有GPS模块的应该可以。
2009-7-13 22:58
0
游客
登录 | 注册 方可回帖
返回
//