這是暑假里面最后一期Weekly了,祝大家暑假工作順利
================= ================= ================= =================
本期的學(xué)術(shù)會議介紹乃是今年信息安全會議的重頭戲之一CCS 2011,以及同時舉行的workshop
目前CCS的Accepted paper可以在
查到了,值得關(guān)注的是有一些Android相關(guān)的paper也出現(xiàn)在CCS上,說明
 
移動智能安全問題越來越熱門了,Android固然有很多人討論,但是太多人做也就很難出什么超越別人的東西,倒是iOS值得認(rèn)真關(guān)注。

2011 ACM CCS Workshop on Security and Privacy in Smartphones and Mobile
 
Devices (SPSM)
單獨(dú)開辟了一個workshop來研究
 
Smartphones and Mobile
 
Devices,應(yīng)該是重要的信息來源

按照慣例,現(xiàn)在已經(jīng)有很多其中的文章都可以google到了,請自行搜索!

另外再送上一個會議
SOURCE Conference is the world's premier technical and business computer security conference.
SOURCE is designed for senior executives, company chief officers (e.g. CIOs, CTOs, CSOs), advanced security professionals, faculty and students, members of management and business communities who are looking to connect with security and technology experts. SOURCE attendees will experience two and a half days of intense one hour sessions taught by top security experts. Sessions hold 50-60 students, providing an intimate environment where attendees can ask questions, participate in discussions, and interact with other delegates and speakers.
  
================= ================= ================= =================
本期的學(xué)術(shù)機(jī)構(gòu)介紹是阿根廷的信息安全實(shí)驗(yàn)室Corelabs,南美洲的安全研究人員不是很熟悉,但是值得了解

List of areas

================= ================= ================= =================
本期的學(xué)術(shù)研究人員介紹主要來自上面提到的SPSM會議中的一些人員

Workshop Organizational Chair

Xuxian Jiang, North Carolina State University

Program Co-chairs

Amiya Bhattacharya, Arizona State University 
Partha Dasgupta, Arizona State University 
William Enck, North Carolina State University

點(diǎn)擊名字可以看到其個人網(wǎng)頁,其中William Enck是Android研究領(lǐng)域的專家
================= ================= ================= =================
黑客演示一分鐘短信偷汽車
黑帽網(wǎng)絡(luò)安全會議本月早些時候描述了兩名來自iSEC的合作伙伴可以利用手機(jī)偷竊汽車,這兩位名叫Don Bailey和Mat Solnik的安全研究人員今天通過網(wǎng)絡(luò)視頻演示了如何攻入一臺鎖上的斯巴魯汽車。首先他們要了解一臺特定汽車(必須配備車載手機(jī)或衛(wèi)星報警系統(tǒng)裝置的汽車)內(nèi)置的電話號碼,只需要用手機(jī)向汽車發(fā)送一條特別設(shè)計過的文字信息命令,汽車即可被解鎖和啟動。
雖然他們并不能隨便就能偷到車(因?yàn)楸仨毇@得特定的汽車號碼和衛(wèi)星識別碼),但這次演示的價值在于文本信息并不是那么容易被阻止,因此使用短信來與呼叫服務(wù)中心進(jìn)行聯(lián)絡(luò)的汽車始終有隱患。
再擴(kuò)展開來,無線系統(tǒng)并不僅僅在汽車上應(yīng)用,大量的監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)經(jīng)常也采用無線功能進(jìn)行聯(lián)絡(luò),這些設(shè)備涉及核電力工廠、水處理設(shè)施等,這些關(guān)鍵基礎(chǔ)設(shè)施如可以被遠(yuǎn)程攻擊,則后果不堪設(shè)想。
iSEC并不是唯一的研究黑汽車的小組,《科學(xué)美國人》四月份曾報道美國加州大學(xué)圣迭戈分校的研究人員同樣聲稱可以通過車載藍(lán)牙和電話連接系統(tǒng)打開車鎖并啟動發(fā)動機(jī),甚至還可以控制單個車輪的剎車等。
================= ================= ================= =================
研究人員發(fā)現(xiàn)Skype漏洞 可實(shí)現(xiàn)代碼注入
德國安全研究人員Levent  Kaya今天表示他在Skype上發(fā)現(xiàn)了一個安全漏洞,這可能導(dǎo)致攻擊者將有害的代碼注入到用戶的電腦上,實(shí)現(xiàn)運(yùn)行程序命令以及執(zhí)行腳本。該漏洞影響Skype 5.5.0.113,攻擊者可以通過網(wǎng)頁等形式實(shí)現(xiàn)代碼的注入,并可以獲取到底層操作系統(tǒng)的權(quán)限,這一切只需要執(zhí)行一個特別設(shè)計過的外部網(wǎng)站上的惡意JavaScript文件即可。
這種可以從外部攻擊的漏洞與今年5月份爆出的Skype漏洞較為相似,共同特點(diǎn)是都可能會形成蠕蟲攻擊,不過目前這一漏洞似乎還沒有被利用的跡象。
================= ================= ================= =================
Android用戶恐遭致命木馬啟動襲擊
研究人員近日發(fā)布了有可能是最危險的Android惡意程序,一款4月發(fā)布的利用Android 2.3 GingerBreak進(jìn)行啟動襲擊的木馬。
GingerMaster表面看起來是一款合法程序的一部分,但它會將諸多用戶及設(shè)備信息上傳到遠(yuǎn)程服務(wù)器上,其中包括其智能手機(jī)IMEI和電話號碼。服務(wù)器將悄無聲息地下載惡意軟件,對其進(jìn)行啟動襲擊,安裝后就可以全面控制智能手機(jī)。
該惡意軟件可以越過Android系統(tǒng)控制程序許可,如此一來,Android安全程序就無法阻止它,甚至擺脫它,用戶只能進(jìn)行設(shè)備清除或恢復(fù)出廠設(shè)置。
可能受影響的是Android 2.3.3 (Gingerbread)以及Android 2.2 (Froyo)。谷歌4月份的時候曾經(jīng)對該漏洞進(jìn)行了修補(bǔ),但是很多用戶還沒有及時收到更新,因?yàn)榭紤]到工作量等問題,網(wǎng)上只有在確定十分需要的情況下才會發(fā)布相關(guān)補(bǔ)丁。目前最簡單的規(guī)避方法就是不要使用第三方下載站點(diǎn),只使用谷歌自己的程序下載市場。
這些如此冒險的事情或許也可以從另一個方面解釋,為何谷歌急于收購摩托羅拉手機(jī)部門構(gòu)建自己的硬件部門。因?yàn)榭梢杂行Э刂朴脩魧浖氖褂们闆r,及時有效地進(jìn)行更新和漏洞修復(fù)。 
================= ================= ================= =================
McAfee:Android成惡意軟件最大攻擊目標(biāo)
據(jù)科技博客ZDNet報道,知名安全廠商MacAfee發(fā)布的第二季度手機(jī)安全報告顯示,Android成最脆弱手機(jī)操作系統(tǒng),遭受惡意軟件攻擊的比例較上一季度增長了76%。這對于手機(jī)設(shè)備和用戶來說,是個非常嚴(yán)重的信息。
McAfee稱Android為“受攻擊最多的手機(jī)操作系統(tǒng)”,超過了塞班。數(shù)據(jù)顯示,塞班和Java ME仍是攻擊的主要目標(biāo)。
由于惡意軟件數(shù)量的快速增長,McAfee稱這種情況為“惡意軟件動物園”,McAfee預(yù)計,到2011年底,惡意軟件將達(dá)到7500萬個。現(xiàn)在惡意軟件數(shù)量大約有6500萬個。
McAfee警告手機(jī)用戶,特別是Android用戶,惡意軟件“可能出現(xiàn)在任何地方,包括日歷應(yīng)用、休閑應(yīng)用、短信以及偽裝成憤怒小鳥的升級程序。”
此次發(fā)布的安全報告還有以下內(nèi)容:
1.越來越多的惡意軟件寫手將蘋果作為攻擊目標(biāo),很多Mac OS X電腦被假殺毒軟件感染。
2.盜號惡意軟件過去6各月增長速度史無前例,比去年同期增長38%。
3.第二季度單季至少有20起全球攻擊事件,其中大部分由LulzSec發(fā)起。
================= ================= ================= =================
送上一些勵志的東東,當(dāng)做開學(xué)禮物

人生一定要聽的三個演講
1、史蒂夫·喬布斯 2005年斯坦福大學(xué)畢業(yè)演講 (中文字幕)
(您也可以在土豆網(wǎng)觀看: http://www.tudou.com/programs/view/WbNWyt9NL1g/ )
2、JK·羅琳 2008年哈佛大學(xué)畢業(yè)演講 (中文字幕)
(您也可以在土豆網(wǎng)觀看: http://www.tudou.com/programs/view/ovUEZwgeZcc/ )
3、蘭迪教授《最后一課》(中文字幕)
(您也可以在土豆網(wǎng)觀看: http://www.tudou.com/programs/view/26RjjQfvk-o/ )
================= ================= ================= =================