新年伊始 “干货”不断

　　时间总是在不经意间流逝，转眼间我们已经步入了2015年。新年伊始，小编在本周的安全要闻为大家准备了硬邦邦的干货，赶紧来看看吧。

　　最近未经授权的HTTPS证书成为热门新闻话题，其中有些证书还是来自已熟知/理应可信的供应商的根存储。那么，企业应该如何防范这些伪造证书？认证信息系统安全架构专家Michael Cobb对这个问题做出了解答。

　　企业应该如何防范HTTPS伪造证书？

　　据了解，针对于HTTPS的攻击，多存在于中间人攻击的环境中，主要是针对于HTTPS所使用的压缩算法和CBC加密模式，进行side- channel-attack。这几类攻击的前置条件都比较苛刻，且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。常见的攻击方法，主要 有：BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH等。

　　常见HTTPS攻击方法解析

　　随着企业和消费者继续积极将移动设备用于工作和个人，智能手机等移动设备的安全防护自然不能忽视。近日，AVL移动安全团队联合LBE发现一款内置于手机ROM的恶意代码模块，并将该模块命名为“PoisonCake(毒蛋糕)”。PoisonCake可以单独运行，解密释放相关主体功能模块，在后台监控自身进程并执行短信和WAP扣费、注入Phone进程，拦截短信和发送短信等恶意行为。

　　PoisonCake：内置于手机ROM的恶意代码模块

　　近些年，无线上网卡上的软件和传输协议屡屡因为漏洞遭到破解。就在近期召开的欧洲黑客联盟(Chaos Computer Club)会议上，Positive Technologies的研究者披露了4G USB无线上网卡中存在漏洞，攻击者可以借此入侵4G无线上网卡和SIM卡。

　　研究人员发现攻击4G无线上网卡和SIM卡的方法

　　对于Cisco设备管理员来说，“Cisco Ios Software Checker”这个安全工具十分有用，可以确定Cisco IOS软件是否错过了安全补丁或者安全漏洞。笔者尝试在用于查找Cisco IOS版本的输入框中提交一些垃圾数据，结果被系统无情的被拒绝了。

　　我是如何发现一枚Cisco XSS漏洞的

　　云备份越来越受欢迎，它提供了一种经济、灵活且便捷的方式来保护您的数据。但哪一款云备份解决方案最适合你？

　　5款云备份工具助力数据安全

　　最后，小编为大家推荐一个关于CISSP培训的视频。公共知识体系(CBK)中的国际注册信息系统安全专家(CISSP)安全架构和设计部分侧重于计算系统的架构以及安全如何整合到架构水平。在这个多媒体演示中，CISSP考试培训师Shon Harris全面概述了CBK安全架构和设计部分。