四维映像

由于黑客技术的盛行，越来越多的加密技术被广泛采用，但他们都是可以破解的。据BBC报道，在维也纳科学大会上展示出一组完美的加密技术，这种技术被称为量子密码技术，并称是不能破解的，它采用光量子来传递密钥。携带这种加密技术的系统通过光纤通信运行在维也纳的6个位置，据说这种加密技术是由IBM的Charles Bennett 和 蒙特利尔大学的Gilles Brassard 发明的。

This semester, as a TA, I prepared several course laboratories for security courses. This is the first one called Password Security to examine common password-related technologies under both Linux and Windows platforms.

At first, it is to examine the password files on both systems. Then, to run password cracking tools on provided password files in order to familiarize them with this threat. A common saying is that if you are an administrator of a system, you should be the first one to run such tools on your system! (i.e. proactively detect any weak passwords for all your users and disable such accounts). To provide more secure password system, an administrator should know how the password policy works and how to provide such policy on both systems. Finally, it is to examine the password cracking tools on oracle database system.

日本富士通公司最近开发出的一款软件同时可对电子文本和纸质文件加密和解密。目前,计算机内保存的电子文本能轻松加上密码,而传统的纸质文件加密则比较困难。
这款新软件已出现在正在举行的第9届日本高新技术博览会上。工作人员一边用安装有这款软件的计算机演示,一边介绍说,这款名为“DocEncrypt”的软件可以给文件的不同部分设置不同的密码,然后按照浏览者的不同权限,开放特定的加密区域。

经过这款软件加密处理后,电脑屏幕上的文件或者文件的特定部分就会被细小的黑点覆盖起来。除非输入特定的密钥,否则加密的部分无法继续被浏览。

富士通这款加密软件的最大秘密是,经过加密的文件打印出来后,纸质文件上加密的部分也覆盖着密密麻麻的黑点。而且,如果掌握密钥,纸质文件上的加密内容仍然可以神奇般地重新出现。

富士通公司的工作人员说,对电子和纸质文件同时实现加密和解密,这在世界上还是首次。目前富士通正在全球范围内申请专利,估计明年年初这款软件就可以投放市场。

安全人员已经发现“加密套接字协议层”(SSL)存在漏洞, 黑客很容易通过Wi-Fi 网络能够拦截那些貌似安全的网站通讯, 目前, Google已经在着手改进SSL机制, 而其他网站,像Facebook、雅虎邮件、Hotmail 等保持沉默. Riverbed逆向工程师Mike Perry 宣布, 他发现网站用于安全保护的SSL机制存在漏洞. 过去, 很多网站过去在登录页面时没有使用SSL机制, 这会让用户数据的cookies暴露给其他人.

拉斯维加斯举行的Defcon黑客大会上展示了一种工具,能自动窃取Google Mail非加密会话ID,并进而攻占邮箱.来自旧金山的逆向工程师Mike Perry开发了这一工具,并计划在两周内发布,他表示没有选择SSL的用户现在需要认真对待.当用户登录Gmail 时,网站会向浏览器发送包含ID的cookie文件,它将保留两周时间,除非你选择退出.
问题在于:每次你访问 Gmail,即使是上面的一幅图像,浏览器都会向网站发送cookie文件,这就是使得攻击者能够嗅探通话,通过植入 http://mail.google.com上的图像诱使浏览器发送 cookie,从而获得你的ID.当这一切发生之后,攻击者无需密码就可登录邮箱.Google在上个礼拜介绍了Gmail的新特性,允许用户永久选择 SSL,除验证之外,它将加密Gmail内的所有操作.但Perry抱怨Google不透明,“Google没有解释为什么这项功能是如此重要”.

访问: Gmail Account Hacking Tool

BBC报道,安全厂商F-Secure最近发出警告,已经发现有基于Web页面的攻击开始瞄准剪贴板. 剪贴板是用户最常用的系统功能,用户经常用它来复制网页地址,而打开一个攻击页面之后,用户的剪贴板就会被清除并且被插入恶意链接,这样,用户习惯地把复制的地址贴入地址栏时,就会被定向到恶意站点,并且这种攻击是连续的,用户重新启动也无法清除掉. 目前已经发现部分Flash恶意空间包含该功能(因为IE7已经对Web内容替换剪贴板做了识别,但Flash控件却一直处于放开状态).

我们有太多的密码要记住,其中许多都是不安全的.Carleton大学的安全研究人员提出新的建议,让用户选择用数字内容如mp3,照片或视频去代替密码.
因为每个文件都有一个独一无二的字符串哈希值,它可以如密码一般使用.虽然方法称不上完美,但非常值得一试.但是如果选择一个流传很广的图片,其安全性可能比常用的密码好不到哪里去.关于此设想的论文已在最新的Usenix大会上成为安全方面的热门话题.
 

一个以此设想为基础的Firefox扩展程序也已发布(使用方法为：选择文字、图像或链接，单击右键，选择Get ObPwd from…..)。

一名波兰安全研究员,宣称已找到移动Java的多个瑕疵,但他要求2万欧元的赏金,才愿意提供完整的细节资料.
Security Explorations创始人兼首席执行官Adam Gowdiak个人网站上写道,他已经制作了两组概念验证码(总长超过1.4万行),足以攻击那些影响Sun与诺基亚在其产品中使用移动Java(简称 J2ME)执行的弱点.他把自己178页报告的前几页公布在网站上,但要求诺基亚或Sun付给他2万欧元后,才提供其余的内容.