我们这边需要招个 WEB 安全研究员。除了对 WEB 应用安全有足够的了解之外,最好对国内主要的 WEB 安全技术研究组织有足够的了解。哪位大哥有合适的人选介绍一下吧,下回来北京一定好吃好喝伺候着~~,也欢迎各位认为自己合适的同学踊跃报名啊~有兴趣的同学可以发邮件给我: lina(a)nsfocus.com,下面是职位的“官方”要求,看看即可~
职位工作内容简要综述:针对互联网WEB安全威胁进行跟踪研究
具体工作内容与职责:
1. 浏览器与ActiveX空间漏洞工作原理研究
2. 漏洞利用脚本程序工作原理和流程研究
3. 恶意脚本的检测与查杀研究
4. 熟悉WEB系统安全攻防与原理
技能要求:
1. 精通脚本编程与相关开发工具
2. 熟悉WEB领域常用标准和协议
3. 对浏览器漏洞原理有一定的研究
对公司所处行业知识的了解要求:了解安全行业和相关概念,以及基本的安全攻防技巧
能力、素质、性格及兴趣要求:积极主动,有团队合作精神
优先考虑的条件:有相关领域的研究成果
其他特别要求: 有熟练的英文读写能力
个人隐私已经成为互联网新金矿,而软件、互联网的大佬们都不希望隐私保护对他们的生意带来影响,看看微软如何扼杀网民隐私保护计划的吧。个人隐私也一直都是我关注的话题。Twitter、Facebook、Google 一直都在饱受隐私方面的指责,甚至所有的 Web 2.0/社会化网站先天都可能存在这种问题。不过,作为 Great FxxkingWall 保护下的天朝人民,这些站点大部分我们都访问不到。我们的隐私很”安全“~ 哈哈哈哈哈
安全人员: iPhone 4 浏览器越狱代表 Safari 移动版有严重漏洞,为啥直接用 root 用户呢?
最近有篇号称和中国政府相关的文档列表。赶明儿我自己也通过 Tor 泄漏点文档出去,都没法反查,太容易伪造了啊!
中国整顿表外贷款治标不治本,的确是这样。金融衍生产品的风险,整个社会都了解不足。这样的业务,如果影响足够大,是有可能营销整个国家的经济基础的。
中国银信贷款新规或冲击地产开发商,提高房地产企业融资成本来确保房地产的健康、有序、平稳发展?呵呵呵呵…… 很难评价啊~
Martix67 同学发了一篇《选举制度的学问》。这个领域我看过的比较不错的书是《选举的困境》。我认为只要民众能够接受选举规则带来的风险和收益就行。在天朝,最大的问题是“民众”的基础太薄了~人人都想“代表”民众,无论是哪一方。
丹麦屠杀鲸鱼,这下日本人不孤独了~
盛大将于国庆期间公开哼唱搜索源代码。这一次盛大很让我倾佩啊~
数据告诉你怎样拍出性感照片,相当的 Geek 啊~,尤其是“这个数据只体现出智能手机品牌和性伴侣数目之间的关联”这一点 :)
EFF 研究发现 CA 证书鱼龙混杂,这里是一个很好的汇总信息
最近这两天最大的消息就是 Intel 收购 McAfee,我的第一反应是看不懂。
说这么直接的话,可能有业内人士会鄙视我,说我视野太狭窄。当然,也有人会说出这样那样的可能性来企图证明自己的是业界大亨。实际上这种对这个事件各种可能性的判断,很大程度上和对尼斯湖水怪的解释一样,在没有验证之前,有无穷多种可能性 :) 呵呵呵
另外,欢迎 luoluo 和谢君同学爆料~
呵呵
1. 你自己不知道手机上有多少程序能查看你的隐私
2. 攻击者已经能够轻易的隐藏自己的行踪(Silent, Easily Made Android Rootkit Released At DefCon)
3. 手机是隐私密度极高的地方
4. 很多未授权的代码能够以各种方式进入系统,而有多少用户还知道越狱之后需要修改 root 密码?特别是那些拿着水果手机的时尚美少女们~
虽然有文说明这个墙纸程序并没有不恰当的使用这些隐私数据,但是这种威胁依然存在。YY 一个场景:
1. 某个正常的软件允许通过互联网更新(暴XX音之类的)
2. 由于某种原因(被黑或者主动),某一次更新的代码中存在这一段“非常容易实现”的 rootkit 代码
3. XX 万用户手机中存在某种代码
4. 某些应用程序能够轻而易举的突破系统限制,访问未授权的用户数据(包括隐私)
5. 某些成人站点定期出现的 XX 门变得越来越多了,某些交易市场的信封价值越来越高了~
好吧,我不是黑客,因为我在 YY
…… 如果这个消息里面说的理由是真的,而且结果是 Google 内部都转用 Mac OS。那么 Google 应该开掉作出这个建议的内部安全专家!
东莞网吧建议允许使用无盘系统,为购正版系统减负。公安局居然负责做性能测试,…… 天!!!!这公安局是管得太宽还是太公仆?我想是前者吧~
Wikileaks 的文档很多是从 Tor 网络中截获。Tor …… 偷看是好的行为么??Tor 真的能保护你的隐私么??No!
华硕针对学生和商务人士市场推出平板,有点期待啊~~
夕阳下的北京城,停下来,看看身边的风景。
研究人员演示如何在 Android 上安插 Rootkit,用定制系统的朋友们小心了~ 手机上面可是绝对隐私集散地!
赛门铁克:Windows 安全取决于用户。非技术因素越来越重要了~
日本发行公司放弃上映《海豚湾》。不希望看到自己不好的一面,这是人性?
这些都是既得利益者,吃完了离场了。中国出现第三拨移民高潮,中坚阶层集体流失。
和上面一条放在一起,的确很有意思。呵呵~
征收房产税:为什么,凭什么。绕过正常的立法途径的确不对。
迈克菲首席技术官:iPad 泄密可以避免。AT&T 的信息安全管理也就一般啊~
Google 工程师提前公布 XP 漏洞 并提供攻击代码,不负责任的发布。
开源意味着为黑客打开方便之门?扯吧!
不知道,这样的拍马屁行为和新闻我已经无语了。如果是我,我是不会允许这样定义“文物”的。
人大官员:公务员工资水平与很多国家比较低,标题党。不过公务员收入低,那人民收入低么?
玩家质疑“盛大密保”形同虚设。其实这样的问题在电子支付和网上金融系统中都存在。
FallOut 网络游戏正式宣布,太激动了!
Web.com 将承担百度的域名安全诉讼,这件事情终于尘埃落地了。
人造肌肉,不知道这种人造肌肉性能如何~
信息安全已经引起了经济学家的重视了?《War in the fifth domain》
他私自开通了 471 户宽带,太没脑子 ……
DNS root key 被七个人分散掌握,哈哈哈哈~,看样子互联网七贤王的时代开始了
美惟一航母制造厂要卖给外人,美国海军恐遭釜底抽薪知道为啥韩国和朝鲜要搞点事情出来,然后进行海上军事演习了吧?
很有意思 :)
1、终结者 2 现实版,让 ATM 自动吐钞
这一点不光是 ATM 本身,ATM 自身的环境也是目前电子交易(按照国内对电子交易的定义, ATM 也是算在其中的)中比较薄弱的环节。
2、DNSSEC 是否能保 DNS 万无一失?
“当然,DNSSEC 不能解决所有问题,但它解决了身份验证相关的全部漏洞”。但是是不是引入了新的问题呢??
3. 移动 BUG,普通人也能玩窃听
GSM 手机网络的窃听这已经不新鲜了吧?!不过“Paget 还开发出了他称作“世界纪录”的 RFID 标签阅读器,可以在几百米远读取到 RFID 标签信息”。看好你自己的身份证吧!身份证的远程读取应该不是什么难事了~,另外也看好你自己的电子钱包吧(公交一卡通、……)
4. 除了 IT 可以 Hack,工业领域也可以
这都是处女地。智能电网、智能家居、智能 XX、…… 都是如此
最近这张图片非常火。
相关的新闻:
《三峡大坝固若金汤,可以抵挡万年一遇洪水》
《三峡工程今年可防千年一遇洪水》(原始标题的新闻找不到了)
《三峡大坝可抵御百年一遇特大洪水》原文发在新华网上时间是 2006 年,而搜狐转载却是在 2008 年。
《长江水利委:不能把希望都寄托在三峡大坝上》
发这个图片的人不知道是不是为了安排“剧情”,而特地筛选过图片。其中 2006 年的新华网原文没有选择,却选择了 2008 年搜狐编辑“挖坟”转贴的旧文。
《三峡大坝固若金汤,可以抵挡万年一遇洪水》强调的是设计标准是抵御“万年一遇”的洪水:“按照设计,三峡大坝必须抵挡万年一遇的长江洪水”。2006 年原文发在新华网上的新闻《三峡大坝可抵御百年一遇特大洪水》说的是三峡大坝未竣工的情况下,2006 年就具备了抵御“百年一遇”洪水的能力:“三峡大坝今年汛期将有能力抵御百年一遇的特大洪水”,而且新闻最后强调“三峡开始发挥防洪能力并非意味着长江防洪可以高枕无忧。长江干堤是抵御长江中下游洪水的直接屏障”。而《三峡工程今年可防千年一遇洪水》新闻中明确说到“今年三峡枢纽的防洪标准定位为千年一遇”。而最后《长江水利委:不能把希望都寄托在三峡大坝上》这则新闻里面相关的内容主要是在说三峡大坝无法达到预计防洪能力的原因:“因为现在,按理说我们到了 175 米高程,可以抵御百年洪水,但是现在的三峡工程想抵御百年洪水是几乎不可能的,为什么?在 175 米高程之下还有 2.847 万的移民没移走。因此今年的三峡水库想要达到最高的调解洪水的能力,基本上还做不到。因此,有关的负责人也说,今年三峡库区面对洪水的能力也是有限的。”
在四则新闻中,有一则说明的是三峡大坝设计标准,有两则说的是当年未竣工的大坝发挥防洪功能时的防洪能力,还有一则新闻说的是说明现状的原因。完全就不是一回事嘛!!初一看,觉得标题党害死人啊!可是再想想,不是我们自己的浅阅读习惯导致的么?没有人深究探索,没有人认真。这是这个时代的悲哀啊。
另外,这一期的《南方周末》上面提到关于”X 年一遇”洪水的标准:
水利学界界定的洪水标准为:二十年一遇洪水流量为72300立方米/秒,百年一遇洪水流量为83700立方米/秒,千年一遇洪水流量为98800立方米/秒,万年一遇洪水流量为113000立方米/秒,可能最大洪水的洪水流量为120000~127000立方米/秒。
在这篇文章里面还说到,三峡大坝“设计极限:三峡枢纽最高可抵御 98800 立方米/秒的洪峰”,也就是千年一遇。不知道那则提到“万年一遇”的新闻是指的什么意思呢?
唉,浅阅读害死人啊!!
作为公司的“鲶鱼”部门而言,有时候经常会被其他的部门认为是“麻烦制造者”。只要是公司认可的方向、对公司有利,即使有种种痛苦也应该义无反顾的承担起“鲶鱼”的职责。在这个过程中需要保持良好的合作关系,只能搅动水,不能搅浑水。
最近看到一则新闻 —— 北京现山寨取款机套取账户密码,作案方法和我在 2004 年发出的《自己造个 ATM》的攻击方式几乎完全相同。
请叫我预言帝~ 呵呵
呵呵,后来发现最近 Bruce Schneier 也发了与 ATM 安全相关的 blog 文章。
今天是六月八日,是高考的第二天,也是我们第一个产品发布的时间。
这次产品发布的小纪念品是我们产品的内部宣传海报。海报被卷起来,系上了红色的丝带,看起来就像电影里面大学毕业生拿到的毕业证书。当发到我手上的时候,突然让我有一种时空的交错感,那一刹那仿佛又回到了学校。从某种意义上来说,这张海报更像是我们第一门课程的成果。这也许就是为什么我会有那种交错的感觉吧~虽然现在团队内外还有很多地方需要狠下功夫去理顺,但终于我们推出了自己的第一个产品,迈出了我们的一步。
我们的第一个产品是向客户提供 7×24 小时的针对网站的监控服务:一旦发现并确认客户网站出现了挂马、被篡改、无法正常访问等各类安全事件以后,我们会第一时间通知客户联系人,避免安全事件给客户带来更大的影响。虽然这样的一步离我们为互联网提供安全保障的目标还有很大的距离,但也只有这样一步步的脚印才能让我们更快地达成我们的目标。
离上一次我的剧透已经有很长的时间了。下一次剧透会在什么时候呢???