RSS订阅
我的摄影作品
推荐网站
一张图教你拆解信用卡号码
你可能每天都使用信用卡,但你有没有想过你的信用卡号码究竟是如何产生?本文不是教你破解信用卡,只是叫你更了解每一个号码堂中的含意。你的信用卡号码是一个复合标识符组成,当中包含了发卡机构、账号、校验等。看看下图,冗长的号码被分解成单个组件,当你了解过后,就可以计算出其有效性任何信用卡号码。
Latest Headlines
-
FBI逮捕斯洛维尼亚籍黑客
Posted on July 29, 2010 | 1 Comment斯洛维尼亚刑事警察局、FBI及西班牙当局经长时间调查后,日前在斯国第二大城马里博尔逮捕这名网络化名“艾瑟度(Iserdo)”的男子。 此前,西班牙警方于二月间破获一个大型网络诈骗案,并逮捕了操控所谓“蝴蝶(Mariposa)”僵尸网络的3名主嫌。该僵尸网络出现于2008年12 月,主要盗取信用卡和在线金融凭证资料,已知全球40家大型银行,以及《财星》杂志1000大企业中逾半数都遭感染,所幸目前已遭瓦解。 僵尸网络,顾名思义受害计算机一旦被植入可远程操控该计算机的恶意程序代码,即会像傀儡一般任人摆布,并与其它受感染计算机串联起来,执行各种不法行为。 FBI官员强调,“艾瑟度”落网,是重大突破,能防止他更新恶意程序代码,或重新控制那些仍受到感染的计算机。 官员不愿透露“艾瑟度”真名,只表示他十天前落网,已获交保。据网络报导,“艾瑟度”出售他编写的恶意程序牟利,基本版索价500美元,升级版1300美元以上,多付钱的顾客还可得到量身订做以及更多功能的版本。 -
WPA2协议爆漏洞:或从内部遭受攻击
Posted on July 25, 2010 | 1 CommentWPA2协议爆出0day漏洞,“漏洞196”意味着内部恶意用户可以伪造数据包危害无线局域网。无线安全研究者称发现了迄今最强的加密验证标准 –WPA2安全协议的漏洞,该漏洞可能会被网络内部的恶意用户利用。来自AirTight Network无线网络安全公司的研究人员将其命名为“漏洞196”。这绰号来源则是IEEE 802.11标准(2007版)埋下漏洞的页码。 该公司表示,漏洞196会导致一个类似于中间人的攻击方式:凭借内部授权用户和开源软件,可以在半空中解密其他用户私密数据、注入恶意流量至网络、危害其它授权设备。 发现该漏洞的研究人员称,由AES衍生出来的WPA2既没有被破解,也没有通过暴力手段而暴露此漏洞。标准里的条款,允许所有客户端使用一个普通共享密匙接收来自接入点的广播信号,当授权过的用户使用共享密匙传回利用组共享密匙加密的伪造数据包,漏洞便出现了。 WPA2协议爆出0day漏洞,“漏洞196”意味着内部恶意用户可以伪造数据包危害无线局域网。无线安全研究者称发现了迄今最强的加密验证标准 –WPA2安全协议的漏洞,该漏洞可能会被网络内部的恶意用户利用。来自AirTight Network无线网络安全公司的研究人员将其命名为“漏洞196”。这绰号来源则是IEEE 802.11标准(2007版)埋下漏洞的页码。 该公司表示,漏洞196会导致一个类似于中间人的攻击方式:凭借内部授权用户和开源软件,可以在半空中解密其他用户私密数据、注入恶意流量至网络、危害其它授权设备。 发现该漏洞的研究人员称,由AES衍生出来的WPA2既没有被破解,也没有通过暴力手段而暴露此漏洞。标准里的条款,允许所有客户端使用一个普通共享密匙接收来自接入点的广播信号,当授权过的用户使用共享密匙传回利用组共享密匙加密的伪造数据包,漏洞便出现了。 根据IEEE 802.11标准第196页,WPA2使用两种密匙: 1、PTK(成对瞬时密钥),每个客户端唯一的,保护单点流量。 2、GTK(组临时密钥),保护网络内发送至多个客户端的数据。 PTKs可以检测地址欺骗和数据伪造。“GTKs无此属性”。 便是这几个字暴露了漏洞。因为客户端拥有GTK协议以接收广播通信,所以用户可以利用GTK生成其设备自己的广播数据包,进而,客户端会发送自己私人密匙信息响应这MAC地址。 研究人员使用了网上免费开源软件“MadWiFi”并修改了10行代码,和现成的随便什么无线网卡,伪造了接入点的MAC地址,当作网关向外传送信号。接收到广播信息的客户端将其视为网关并以PTK回应,而此PTK本应是私密的,此时则能被内部人破译。进而可以控制流量、发起拒绝服务攻击、或者嗅探。 AirTight公司表示,虽然此漏洞的利用仅限于授权用户,但多年的安全研究表明内部安全的缺口正在成为企业亏损的最大源头–机密数据的窃取与贩卖... -
12年历史的入侵检测自由软件Snort已停止开发
Posted on July 23, 2010 | 1 Comment已有12年历史的入侵检测自由开源软件项目Snort停止了开发了。由美国国土安全局建立的非盈利组织OISF(开发信息安全基金会)认为snort是进 入”老年”,他们将开始开发新一代的IDS/IPS(入侵检测/防御系统)。但 Snort的创建者Martin Roech否认了这一说法,他称这个礼拜OISF发布的第一个开放源代码IDS/IPS项目Suricata 1.0简直就是在做Snort曾经的工作,也就是说在浪费纳税人的钱。 OISF成立不到2年,据主席Matt Jonkman得知,他们在国土安全局电子空间研究计划(cybersecurity research program)中得到100万美元的投入。Matt说OSIF的目的就是开发出Snort的替代品,Snort 3.0作为下一代Snort的计划已经被推迟了。 Snort仍然非常强大,目前很多综合安全平台都会多多少少使用Snort,只是不遵循GPL也很普遍,厂商的不道德行为由此体现。 -
开源GSM加密算法破解软件发布
Posted on July 23, 2010 | No Comments去年德国安全专家声称破译了有21年历史的GSM加密算法A5/1,并且发布了一个开源软件加快破解速度,但该软件并不完整。 现在开发者宣布将在下周举行的Black Hat上发布一个完整的开源GSM破解软件。名叫Kraken的开源软件使用新的更高效的加密破解表,能比以前更快的破解。 GSM加密算法于1988年开发,至今仍然是全世界80%的手机秘密的保护伞。去年的数据显示全世界有43亿移动设备,其中35亿是使用GSM。 -
盘点2010年十大数据库漏洞
Posted on June 21, 2010 | 1 Comment新的安全漏洞名单列出了可导致数据破坏的最常见的数据库问题。 对于Application Security公司新的十大数据库漏洞名单中所列出的问题,数据库管理员都非常熟悉。从预设密码的使用到补丁问题,数据库管理系统受到各种问题的困扰, 使其容易受到攻击。当我报告数据库管理问题时,数据库管理员告诉我,他们都意识到这些常见的可能导致数据破坏的安全问题。但是,他们常说包含敏感数据的 DBMS通常由许多不同的安全系统包围,这减少了攻击的威胁。 十大数据库漏洞 1.默认、空白及弱用户名/密码 2.SQL注入 3.广泛的用户和组权限 4.启用不必要的数据库功能 5.失效的配置管理 6.缓冲区溢出 7.特权升级 8.拒绝服务攻击 9.数据库未打补丁 10.敏感数据未加密 -
微软7月13日终止对XP SP2提供IE安全更新
Posted on June 16, 2010 | No Comments微软周一表示,在今年7月13日对Windows XP SP2操作系统停止提供技术支持服务之后,使用该款操作系统的用户将无法对IE浏览器进行安全更新。 微软在今年已先后多次重申,该公司将在7月13日对Windows XP SP2操作系统停止提供技术支持服务。不过目前仍使用该款操作系统的用户可能还没有意识到,在当日之后,他们将不会再收到任何IE浏览器的安全更新。微软 在周一证实,使用Windows XP SP2操作系统的用户在7月13日之后,将不会再收到IE6、IE7或者IE8的安全更新。 微软称,停止向Windows XP SP2操作系统用户提供IE安全更新,是因为没有了相关的途径。该公司发言人表示,“为继续获得包括安全更新在内的延长支持,用户需要将操作系统更新为 Windows XP SP3。微软将为该款操作系统提供技术支持服务至2014年4月。对运行不同版本IE浏览器的Windows XP SP2用户而言,不存在任何的差别。” 根据微软产品技术支持生命周期策略,在主流支持阶段,微软提供事件支持、安全更新支持,并能够申请与安全无关的修补程序。主流支持到期后,微软将向商用及 开发产品提供扩展支持,其中包括:免费的安全更新支持以及付费的、与安全无关的修补程序支持。但这也就意味着,在7月13日之后,仍然使用Windows XP... -
CentOS 5.5 发布
Posted on May 15, 2010 | No CommentsCentOS(Community ENTerprise Operating System)是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定开放的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Linux使用。两者的不同,在于CentOS并不包含封闭源代码软件. 下载:CentOS 5.5 -
PGP创始人加入苹果参与系统安全
Posted on April 23, 2010 | No CommentsPGP在加密领域的大名无人不知,它的共同创始人和首席技术专家乔恩·卡拉斯近日宣布加入苹果,协助其操作系统的密钥、高度复杂程序和安全存储方面的工作。不过PGP技术咨询委员会将仍然存在,PGP公司成立以来,他一直担任首席技术官和首席信息安全官。卡拉斯在安全界相当著名,它帮助过Firefox的安全设计,担任过OLPC的高级安全架构师,当然,最令他声名鹊起的自然是PGP的成功销售。 与他共事的同行都表示,他是一个非常有价值的成员,具有良好的人际交往能力,他的专业知识功底也非常深厚,目前尚不知道它在苹果负责哪个版块,但据推测应该会加强OS X的存储加密,因为OS X至今只考虑加密用户的主目录,许多其它地方的存储文件容易被攻击。 -
Google攻击最新调查结果曝光:密码系统受害
Posted on April 20, 2010 | 1 Comment《纽约时报》网站4月19日发表文章透露,据一位了解Google去年12月遭受攻击调查细节的专家在几天前的一次安全技术会议上描述,受到攻击的系统中,包括代号为Gaia的Google内部密码系统。Google的员工和成百万全世界的用户都通过这个系统登录到 Gmail和其他各种网上服务。 目前没有证据表明有Gmail用户的密码被盗。Google公司方面表示,在受到攻击数小时后,公司就激活了Gmail新的加密层,而且加强了数据 中心的安全性,并进一步加强了其网上服务与用户计算机之间通信连接的安全。但是,有安全分析人员指出,攻击者在攻入了内部密码系统之后,有可能在Gaia 系统和Google全球数据中心中安装木马,只不过在Google的安全专家获知受攻击之后,这变得非常困难。另外,攻击者在获取了系统的源代码并了解了 系统运作机理之后,也有可能(虽然可能性不大)发现Google还不知道的安全漏洞,这种隐患很令安全专家头痛。 文中还解释了此次Google所受攻击的详细过程: -
Google服务器机组强大超出你想象
Posted on April 15, 2010 | No Comments一份由INTAC公布的图像显示了主流的高科技公司专用服务器的大致数量,例如英特尔有大约10万台服务器运行,而Facebook、AT&T公司和时代华纳有线大约有2-3万台,虽然你没有亲眼看到他们强大的服务器农场,但以下的统计数据可以帮助你了解有趣的事实,例如Google他们的服务器数量是100多万台,占全球的2%。
