2016年05月26日 14:27 80
每周安全资讯
勒索软件TeslaCrypt关闭,公开主密钥
出于未知的原因,勒索软件TeslaCrypt开发者宣布关闭项目,公开主密钥,发表了一份简短的致歉声明“we are sorry!”安全研究人员随后发布一个免费的解密软件TeslaDecoder。当受害者的电脑感染TeslaCrypt之后,它会加密.xxx、.ttt、.micro和.mp3后缀的文件。杀毒软件ESET的研究人员在这之前已经注意到TeslaCrypt似乎要关门,正在切换到其它勒索软件,因此通过TeslaCrypt支付网站的聊天工具询问他们是否能释出主密钥。出乎他意料的是,对方同意了。
微软禁止用户使用弱密码
在1.17亿LinkedIn用户密码泄露之后,微软宣布它的 Microsoft Account 和Azure AD系统将动态的屏蔽常用密码。微软称,当有大的密码库泄露,它的安全团队会和安全专家一样去分析其中最常用的密码, 然后将常用的密码加入到它的屏蔽清单中,阻止用户使用。Microsoft Account系统已经启用了这套动态屏蔽系统,Azure AD系统将在未来几个月启用。
日本1400个ATM沦陷,14亿日元不翼而飞
本月早些时候,14亿日元(约1270万美元)现金在两小时内被人从日本便利店的1400个ATM机器上盗走。警方怀疑超过100人参与了这次协同非法提款行动。提款者使用了伪造的一家南非银行发行的约1600张信用卡,取款时间是在5月15日早晨。提款者共完成了1.4万笔金额10万日元的交易。类似协同非法提款事件以前也在其它国家发生过。密码学专家Jon Callas重返Apple,强化产品安全性
Jon Callas,密码学顶级专家,加密服务公司Silent Circle 和 PGP Corporation的联合创始人,同时参与开发了号称全球最安全的智能手机Blackphone,近日宣布重新加盟苹果公司。
这已经是Callas 与苹果的第三次合作了。1995年他就加入了苹果,两年后离职,再于2009年重返苹果,曾负责苹果的加密及资料保护系统,以及OS X的安全机制,当时他设计了一款加密系统可以保护存储在Macintosh电脑里的数据。而这是Callas第三次进入苹果。目前Callas在苹果公司担任何种职位未知,可以肯定的是,数百万人将从中获益。
斯诺登:澳大利亚的监视政策比NSA还下流
上周五,澳大利亚联邦警察突袭了前通信部部长 Stephen Conroy 办公室和影子通信部长Jason Clare的家。原由是调查国家带宽网络(NBN)泄密文件事件,联邦警察方面还表示这次突袭调查是独立于政府之外,不受政府控制的。斯诺登表示澳大利亚政府对于告密者的惩罚要严于美国,因为缺乏情报机构的监视。目前为止,没有发现有的新限制措施 ,也没有发现情报服务新的监督策略,并且澳大利亚的情报服务正在变得越来越糟。当然也可能有一种情况就是,看似放松的监视政策其实是一种陷阱,等待泄密者自投罗网。一旦有人泄密,惩罚可能就是致命性的。
每周安全技术
Linux堆内存管理深入分析(下)
在上一篇文章中(点击跳转),详细介绍了堆内存管理中涉及到的基本概念以及相互关系,同时也着重介绍了堆中chunk分配和释放策略中使用到的隐式链表技术。通过前面的介绍,我们知道使用隐式链表来管理内存chunk总会涉及到内存的遍历,效率极低。对此glibc malloc引入了显示链表技术来提高堆内存分配和释放的效率。
安卓动态调试七种武器之长生剑 - Smali Instrumentation
随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的。另外工具是死的,人是活的,如果能搞懂工具的原理再结合上自身的经验,你也可以创造出属于自己的调试武器。因此,笔者将会在这一系列文章中(共7篇)分享一些自己经常用或原创的调试工具以及手段,希望能对国内移动安全的研究起到一些催化剂的作用。
Python 资源大全中文版
想必很多程序员应该记得 GitHub 上有一个 Awesome - XXX 系列的资源整理。awesome-python 是 vinta 发起维护的 Python 资源列表,内容包括:Web框架、网络爬虫、网络内容提取、模板引擎、数据库、数据可视化、图片处理、文本处理、自然语言处理、机器学习、日志、代码分析等。由伯乐在线持续更新。
Awesome 系列虽然挺全,但基本只对收录的资源做了极为简要的介绍,如果有更详细的中文介绍,对相应开发者的帮助会更大。这也是我们发起这个开源项目的初衷。
主流大数据采集平台的架构图解
任何完整的大数据平台,一般包括以下的几个过程:数据采集、数据存储、数据处理、数据展现(可视化,报表和监控),其中,数据采集是所有数据系统必不可少的,随着大数据越来越被重视,数据采集的挑战也变的尤为突出。本文作者详细介绍了当前可用的六款数据采集的产品,重点关注的是它们如何做到高可靠,高性能和高扩展。
聊一聊随机数安全
本文作者和大家探讨了一些简单的密码学基础知识,不涉及算法实现,更多的是和常见的漏洞场景联系起来,让问题更容易理解,有点抛砖引玉的意思。随机数其实是非常广泛的,可以说也是密码技术的基础。对随机数的使用不当很可能会导致一些比较严重的安全问题, 并且这些安全问题通常会比较隐蔽。本文主要是讲解随机数使用导致的一些Web安全风。
* 以上部分内容整理自网络 *
线下活动
阿里聚安全 · 企业沙龙全国行(上海站)
5月27日,阿里聚安全 · 企业沙龙全国行在上海举行,本次沙龙的分享嘉宾来自阿里移动安全部门的各位大神(班德、阿刻、经伦、谢安、习林),沙龙主题聚焦共享安全能力,共建安全生态! 并且在沙龙巡讲中,分享嘉宾为现场观众一一解答安全问题并提供解决方案及建议。没有机会参加本次沙龙的用户,6月份我们将在深圳、武汉举行第二场沙龙聚会,敬请关注期待!
更多安全资讯和技术文章,请访问阿里聚安全博客
