下面我们就来看看本周信息安全领域发生了那些需要引起关注的大事!
热点:微软IIS服务器危机重重;关注指数:高
美国计算机应急响应小组日前发布警告针对微软IIS 5.0和6.0中FTP模块的零日漏洞的概念证明代码(proof-of-concept code)已经在网络上现身。目前还不清楚有多少版本的微软产品容易受到这种攻击。微软对于这个问题的询问没有立即给予答复。
早些时候,一个名为Milw0rm的黑客组织在其网站上公布了该漏洞的攻击代码,引起安全业界广泛关注,就目前的情况来看该漏洞仅会影响旧版本的IIS,同时受害者必须要启用FTP协议才能受到这种攻击,是否对于新版本也会造成影响暂时还没有确切的消息。因此安全专家建议IT管理员暂时"禁用 IIS FTP服务器的匿名写入权限,作为风险缓解措施",但同时又补充说"应在采取防御措施之前进行适当的影响性分析。"
编者注:IIS5.0在缺省设置下是开启FTP功能的,IIS6.0得手动选择,不过很多管理员为了工作方便也会把自带的FTP打开传文件。因此建议,在补丁没有发布之前请立即关闭匿名FTP功能以降低安全风险。按照惯例微软会在下周2发放该月的安全补丁,届时我们可以拭目以待看看微软的应急响应速度!
热点:企业内部泄漏层出不穷,事件频频发生;关注指数:高
如果企业的老总们经常关心新闻的话,他们完全有理由担心一下自己的员工。近来,企业内部数据泄露案件层出不穷,几个月前,一家能源企业的审计师试图从公司盗窃900万美元。
现在,一项新的研究把目标瞄准了内部威胁,还有企业应该怎样做才可以将威胁最小化。
这项研究由安全机构IDC和EMC的安全子公司RSA联手进行,研究发现受访的每家企业在过去一年中都至少出现过一次数据泄露,虽然大部分(52%)企业相信是纯属意外。
然而即使是意外也会让企业受到损失。调查结果写道,"企业的敏感信息比如客户和员工的个人识别信息(PII)、设计计划、源代码以及其他类型的知识产权意外泄露会让企业遭受重大和持续的伤害。"
在某些企业中,这样的威胁绵延不断。"我们对大约400位企业主管级官员进行了调查,"RSA高级副总裁Christopher Young说,"这400人在过去的12个月中碰到了大约5.8万起内部风险事件。"--也就是说,平均每个企业每年将遇到近150起内部风险事故。
许多企业大批雇佣短期合同工和临时工作人员,他们也需要拥有访问企业信息的帐户,但这些帐户必须正确配置,在工作完成后必须尽快销毁。这为IT部门造成了真正的负担,报告说。
热点:控制脑神经黑客帝国的终极杀手锏;关注指数:低
由于电脑在此实验中占有很重要的地位,以及无线传输设备在脑机接口装置里的应用,而这两项又恰恰是黑客们熟悉的阵地,所以对大脑的入侵很可能成为黑客的下一个攻击方向。黑客蠢蠢欲动
事实上,黑客间接利用电脑导致神经受损患者已有先例。2007年11月和2008年3月,恶毒的程序员曾攻击癫痫病患救助网站-将快速闪动的动画添加到网页上-最终致使一些对图片敏感的患者发病。黑客们是否会进一步运用其他的方式攻击大脑,改变大脑的信号,甚至改变大脑的记忆和功能呢?美国华盛顿大学计算机安全专家大仓河野等人的这种担忧刊登在7月出版的《神经外科聚焦》杂志上。
黑客对大脑的攻击可能有两个方面。一类是像电影《黑客帝国》中描述的那样,试图用电脑读取人脑信息,并可能进一步操控人类大脑,另一类是类似电影《少数派报告》中被修改的先知的未来记忆那样,改变大脑的内部信息。第一类入侵的理念比较单刀直入。可以想见,由于越复杂的装置漏洞可能越多,随着脑机接口,尤其是可被大脑操纵的假肢类装置的逐渐普及,黑客能捕捉到的可入侵的缺口也就越多。尤其以无线连接传输指令的设备,信息如果不被加密,很容易被截取。这就好像催眠师施展的催眠术让实验者完全被操控一样,最隐秘的大脑内部信息就可能暴露无遗,变的毫无秘密可言。而进一步,这种技术还可以改变大脑的指令,而使大脑操控的假肢进行完全不同的操作,达到黑客操控的目的。
而第二类入侵的方式更加先进,它利用插入大脑的电极可以读取大脑信息并且也可以反向刺激大脑细胞的方法,可以把刺激指令传入人的大脑并且可能改变大脑的结构和储存的信息,而让人不知不觉地产生错误的知觉,错误的记忆,甚至错误的自我意识。这种方法对于用深度大脑刺激疗法治疗帕金森症的病人可以说是一种灾难,因为其实验难度并不高,但是损坏却可能非常大,甚至能导致人的精神失常和死亡。