Microsoft 本月不發佈安全性修正 Microsoft 昨日發佈的通知中表示,本月不會發佈任何安全性修正程式。按慣例,微軟在每月的第二個星期二都會發佈修正程式,而下週二也預定發佈6個,但均與安全無關,上一次未發佈安全性修正已經是18個月前的事了。而消息傳出後,一些資安機構自然感到十分訝異,因為目前關於 Office IE 的漏洞至少還有 9 個尚未修補。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
http://cwe.mitre.org/ 美國國土安全部出手贊助一項旨在建立安全漏洞標準詞典的計畫。這個被命名為Common Weakness EnumerationCWE)的計畫旨在建立一個正式的軟體漏洞列表,例如緩衝區溢出漏洞和格式字串錯誤。該列表將作為描述軟體漏洞的通用語言,取代 目前高科技公司和安全廠商使用的形形色色的不同術語。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top

CNET新聞專區:Joris Evers  02/03/2007

 

 

美國國土安全部出手贊助一項旨在建立安全漏洞標準詞典的計畫。 名為Common Weakness EnumerationCWE的這一計畫旨在建立一個正式的軟體漏洞列表,例如緩衝區溢出漏洞和格式字串錯誤。該列表將作為描述軟體漏洞的通用語言,取代目前高科技公司和安全廠商使用的形形色色的不同術語。

在黑帽大會(Black Hat DC Briefings & Training)會議上發言時,Mitre首席資訊安全工程師Steve Christey表示,「少了對這些軟體漏洞的通用描述,修正這些漏洞的努力將付之流水,最多只能解決部分問題。」 透過這一詞典,Mitre希望提供識別、阻止軟體漏洞的共通標準。CWE也可以作為人們購買軟體的安全衡量標準,尤其是在購買安全工具時。

Christey 表示,這使買主多了一種與廠商溝通他們需求的工具。另外,CWE也有助於軟體廠商更好地理解在開發軟體時應當注意哪些方面。 為了強調CWE的必要性,Christey 說,早期原始碼檢查工具的漏洞定義數量非常小。他說,CWE中半數的漏洞定義是其他任何工具所不包括的,29%的漏洞定義只出現在其他一種工具中。

Mitre稱,包括Cigital在內的原始碼安全公司已經表示將使用CWEChristey 說,預計其他廠商也將採用CWE 在過去的一年半中,Mitre一直在從事CWE專案。目前,CWE已經包含有300個漏洞類別。Christey 說,CWE將很快可以大規模推廣使用。正式版CWE將在未來數個月內發佈。

(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top


參考來源
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
 


Level:
.......................................
Course Type: ISO27001
.......................................
Price: 免費
.......................................
Duration: 新竹場3/22, 台中場3/27, 高雄場3/29
.......................................
Course Code: I-01

近來企業面臨之安全事件層出不窮;舉凡信用卡資料外洩、委外程式安全漏洞及各種型態的資安事件,在在都威脅了企業的永續經營與顧客觀感,因此,確保各種資訊型態的重要資產,已成為現代最重要的課題。
   ISO 27001為國際ISO標準之一,為提昇競爭力與滿足未來客戶要求,從資安的觀點切入,邀請您一同了解資訊安全管理趨勢與應用、中小企業如何以最低成本導入ISMS及活用安全工具,做好弱點稽核

時間 主題 主講人     
13:30 – 14:00 報到及領取資料袋    
14:00 – 14:40 資訊安全在品質管理系統的運用 SGS台灣檢驗科技股份有限公司
國際驗證服務部 朱宏斌經理		  
14:40 – 15:20 中小企業如何以最低成本導入ISMS 財團法人中華民國國家資訊基本建設產業發展協進會
事業規劃處 魯君禮經理		  
15:20 – 15:40 中場休息(備有精緻茶點供應)    
15:40 – 16:20 活用安全工具,輕鬆做好弱點稽核 中華龍網股份有限公司
亞太市場協銷部 陳治豪資深協理		  
16:20 雙向溝通Q&A    

主辦單位:SGS台灣檢驗科技股份有限公司
                    財團法人中華民國國家資訊產業發展協進會
                    中華龍網股份有限公司

活動日期及地點:

96/3/22 新竹科技生活館202會議室(新竹科學工業園區工業東二路1號)
96/3/27台中長榮桂冠酒店桂冠一廳 (台中市台中港路二段6號 )
 96/3/29台南大億麗緻雅典廳(台南市西門一路660號)

更多資訊請按此
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
【新聞快車】Office 2007是微軟新一代辦公軟件,擁有全新設計的用戶界面、穩定安全的文件格式、無縫高效的溝通協作,是微軟Office產品史上最具創新與革命性的一個版本。然而,在Office 2007個人版發布不到一個月,就爆出了第一個安全漏洞。
更多內容請按
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top

 

 

大陸駭客發功 Vista破功

2007-02-15 01:59/陳大任/台北報導


微軟Vista變成駭客角力新戰場,Vista家用和OEM版才在1月底上市,2月初就有大陸駭客搶先繳卷,聲稱已找到破解OEM版防護機制的弱點。破解手法比仿間盜版光碟更直接、更高明,只要經過幾道修改程序,就能讓微軟以為你的電腦是合法使用Vista的品牌電腦。

署名Binbin的大陸網友2月初發表一篇「微軟SLP 2.0技術弱點分析及突破驗證的演示」文章,不但明指微軟的BIOS(基本輸入輸出系統)可以破解,還將自己的測試過程公布。此文一出,馬上引發網友一陣論戰。

微軟自從XP開始導入SLPSystem-Locked Preinstallation)預載系統鎖的技術,主要是讓預先安裝好XP作業系統的品牌電腦,在交到消費者手上之後,微軟可以透過SLP再確認一次這台電腦的合法性。在XP時代的SLP1.0版,Vista採用更驗證程序及層次都增加很多的2.0版。

大陸網站cnBeta.com網站指出,微軟之前對外宣稱SLP 2.0使用的BIOS驗證資料是根據電腦主機板計算出的特定數據,而且經過加密,其他主機板不能偽造,被破解的可能性很小,但是眼前已被高手破解,微軟的說法並不屬實,這對電腦製造商帶來隱憂。

亞裕電子資深軟體工程師連啟智說,利用修改BIOS方式突破作業系統,早在XP時代就有,但是中間的風險太高,一沒做好,電腦就掛了,因為它要破壞BIOS 原有的內容,即使對電腦高手來說,都是一件苦差事,所以一直沒有紅起來,Vista上市不到一個月就被破解,只能說Binbin的動作真的很快。

連啟智說,Vista有三道防線,第一道就是一般消費者熟知的產品序號,沒有序號就沒辦法登錄使用。第二道是啟動碼,裡面包含了電腦裡裡外外軟、硬體的認證編號,一般使用者不會碰觸到這個部分,除非電腦整重新安裝,才需要透過微軟客戶服務電話啟動這個部分。

第三道就是WGA正版檢驗程式,被放在微軟的官方網站上供消費者下載,安裝之後就會主動協助消費者檢驗買來的電腦裡安裝的是否為正版系統,如果不是,就會一直跳出更新的提醒視窗。

Binbin的文章在網路上引發正反兩極的論戰,但是Binbin自己認為,技術沒有正邪之分,關鍵在於使用的人是出於什麼目的。他只是分析微軟SLP 2.0技術的弱點,並且公開突破驗證演示的內容,完全出於技術研討的目的。

 

不負責任評論 : 沒有不能破解的東西

(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
「BS7799」:國際資訊安全稽核規範,全名是 BS7799 Code of Practice for Information Security,由英國標準協會 British Standards Institution 在 1995 年提出、修訂,為目前國際上最知名的安全規範,而且已被 ISO (International Organization for Standardization) 接納成為國際標準。
BS7799 內容大致上分成兩個部分:
The code of practice for information security systems:
設立了產業最佳的管理資訊安全準則
Specification for Information Security Management Systems - ISMS」:
詳述 IT 安全應用與稽核所應遵循的架構,包含 10 個章節與 10 個控管重點,它可以來設置應用的時程,並以 10 個控管重點來保證目標的達成。
BS7799 包含了所有企業安全政策,從安全政策的擬定、安全責任的歸屬、風險的評估、到定義與強化安全參數及存取控制、防毒策略。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
「HIPAA」:(Health Insurance Portability and Accountability,聯邦健康保險法案,又稱健康保險可攜性和責任法案),是美國於2000年頒布,規範醫療資訊應用及病患隱私權的法案。所有 醫療體系中的機構,包括保險業者、醫療提供者、雇主、健康計畫機構等等都必須遵守相關規範,影響層面既深且廣。該法案是專門針對電子化的醫療資訊而訂定, 對於醫療資訊的應用、交換機制及保護規範的非常詳盡,已經成為世界各國訂定相關法規參考的重要標準。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
CVSS是由美國國家基礎建設諮詢委員會 (NIAC) 委託製作,並且受到  Cisco、 Symantec 、ISSeBay 等的支援。CVSS與一般專用的評估系統不同,它是使用標準的數學方程式,來判定威脅的嚴重性,列入評估標準的因素,還包括安全弱點能否被遠端利用,或是攻擊者是否需要登入,才能利用此一弱點。為數不少的商業點腦安全業者和非營利組織已經發展出許多可列出系統弱點資料的先進系統工具。不幸地,這些系統並無法完全相結合及共通,它們僅能在極有限的領域相容。CVSS提供一套檢查資安漏洞的標準方式,向專用系統有時出現的混亂狀態宣戰。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top

據估計台灣資安環境投資最多的就是金融體系,但是還是可以常常看到這類的新聞發生;每間公司買了一堆設備如防火牆.防毒牆.IDS.IPS等等就真的安全了嗎??這些問題真的值得我們多去思考....


駭客入侵十多家投顧公司 竊取上萬筆個資
2007/2/9

  

地下投顧公司涉嫌僱用大陸駭客入侵金融投顧系統,竊取了上萬筆個人資料,引起警方重視,刑事局經過追查,今天將主嫌陳慶興逮捕到案。警方指出,落網的陳姓男子一年多來,入侵至少十多家投顧公司,不僅竊取客戶的帳號密碼,甚至盜用其他分析師提供的投資訊息,初步估計,受害損失高達三億元以上。

(杜大澂報導)

四十五歲的主嫌陳慶興,上尉退伍之後,成立地下投顧公司,不過,他很偷懶,所有的資訊都是盜用。警方調查,嫌犯花錢僱用大陸駭客入侵金融投顧系統,竊取上萬筆客戶個人資料,同時根據大陸駭客撰寫客戶Call訊發送管理系統,盜用其他分析師提供的投資訊息,甚至自己拷貝會員手上的股市傳呼機。

刑事局偵九隊副組長高大宇指出,嫌犯靠著這兩種方式,一方面拉客戶,一方面將盜用的投資訊息,透過傳呼機即時發送給自己會員參考。(t)

警方指出,嫌犯以超低價格招收會員,每個月賺取數十萬元的不法利益,造成國內外投顧公司,受害金額至少高達三億元以上,全案最後依違反證券投資信託及顧問法等罪嫌移送法辦。

新聞來源:中廣

(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top

中華龍網DVM for SMB建構企業資安長城
以中小企業佔了絕大部分的台灣市場,中小企業的資訊安全支出遠不如大型企業,在建構資訊安全的機制也常只侷限於防毒、防火牆等基本防護措施。若考慮資安委外服務,僅有的IT預算也讓網管人員退怯三分,企業主只好祈求不會發生任何資安事件。 預算有限的企業,要建構一個健全的防護網難如登天,IT人員只好針對看似最危急的安全漏洞去做補強,有時連IT人員本身也是兼職,沒有一個專職人員、甚至類似CIO的角色,可以從制高點全盤監控,完整掌握企業資安狀況。而一般的資安服務供應商只會推銷自家的安全產品,忽視企業用戶的真正需求,造成病急亂投醫的現象。
(繼續閱讀...)

ivan0914 發表在 痞客邦 留言(0) 人氣()

▲top
第一頁 « 76 77 78 79
Blog Stats
⚠️

成人內容提醒

本部落格內容僅限年滿十八歲者瀏覽。
若您未滿十八歲,請立即離開。

已滿十八歲者,亦請勿將內容提供給未成年人士。