好文!强力推荐。详细揭密NSA对Tor网络的入侵以及对Tor用户的监控。监控Tor网络是NSA当前最主要的工作之一,由SID(一个专门研究应用漏洞的部门)来完成。大致过程包括发现目标,利用浏览器漏洞发起中间人攻击,重定向访问,捕获数据和行为。@FreeBuf黑客与极客 🔗 网页链接 【又见大狗咬人!5岁女童被邻家藏獒撕咬毁容】霍先生家住通州台湖镇蒋辛庄,7月13日下午,夫妇二人带5岁女童妞妞外出时,被邻居家突然冲出的成年藏獒咬伤,造成毁容。"脸上五官都看不清了,右边的脸已露出骨头",霍先生上前救女儿,藏獒回头当胸就是一口。🔗 网页链接 Cisco 预告一年内所有交换器与路由器全面支持 SDN,采用自家的 SDN 框架 onePK。onePK 能够满足 SDN 架构,并提供一套开发工具与 API,让开发人员可使用自己熟悉的语言来开发符合企业网络管理需求的应用,达到网络可编程的效果,以因应云端与移动化的趋势,让企业可更快速的提供新服务。 #温网男单决赛# 【英国人77年等一冠】在刚刚结束的温网男单决赛中,穆雷3比0战胜德约科维奇,赢得个人第2个大满贯奖杯,这也是英国人77年来首次在家门口夺冠。这场焦点战吸引了包括英国首相卡梅伦、鲁尼、维多利亚等众名流观战。 🔗 网页链接 【业内人士对OZ214航班事件分析】这应该是一起典型可控撞地,机组不熟悉美国机场RNAV飞行程序,没有参考目视参考PAPI灯,盲目下降高度,跑道外重落地,机体受损后,机组复飞,冲出跑道,酿成一起恶性飞行事故。如果这2分55秒的录音真实还可知道从获得落地许到CFIT发生214机组未声明任何故障或紧急情况 展开全文 现在微软手上已经有的CF防护方案里面,另外一个是vTable Guard,依赖于cookie来保护vtable。但今年oakland'13上的JIT code reuse( 🔗 网页链接 ) 以及MWR lab在pwn2own'13上对chrome的攻击,都完美了展示了如何泄露一个字节就可以泄露全世界。这种攻击的出现,基本宣告着cookie模式已经过时... 展开全文 #SSL# SSL一直以来肩负着应用层通信安全性的重任,对它的攻击研究也从来没有中断过。除了“海关”模式换证书、伪造证书以外,近年来研究者发现了很多严重问题。首先是MSR陈硕09年发表的pretty bad proxy问题,所有浏览器的https都可以被攻破。此问题因为过于严重,在微软内部审批了很久很久才许可发表展开全文 今天在MSRA和Bin Zhu聊了一下CCF rank list的一些进步和"趣闻"。他给了个很好的建议,就是请与国内无利益关系的国际知名学者来评定rank list,就像tenure常见的peer review,才不会出现nsdi排在infocom之后等等怪现象。 展开全文 Google总算修改了content policy: "An app downloaded from Google Play may not modify, replace or update its own APK binary code using any method other than Google Play's update mechanism." 但这只是policy,而且没管JIT。//回复@严挺之 : 嗯,简单的禁止下载执行都没用,要关掉大多数的JIT。 展开全文 keithcool:地震预报的最大问题是误报(和软件漏洞分析一样)。人们又不可能因为地震彻底迁徙离开,比如可怜的加州。现有的数据说明短期精确预报是很困难的。大家更应该关注地震活跃带的防灾减灾工作。人间百年,地球瞬间 【来源声明】以下4条微博,内容均浓缩于2010年3月《瞭望》新闻周刊:《他们与大地震擦肩而过》。这些,以及更多的退休老专家,最少也接近古稀之年,他们执著于学术,却不精于世故,无权无势,人微言轻。也许,他们离开以后,我们就真的只有听天由命了。全文详见 🔗 网页链接 ——各位,晚安! APT1被爆炒了一阵,但米国后继的真正动作《关于减少美国商业机密盗窃的行政战略》却在圈子里很少提及。🔗 网页链接 🔗 网页链接 无谓防APT,就是反间谍。其中的案例很亮。 #NDSS13# 减小attack surface/graph在这届NDSS上成为防守方法的一个共识。Systems and Software Security session的前三篇文章分别从日志、linux kernel、hypervisor三个角度应用了该思想。@Xuxian_Jiang 组的DeHype将KVM中93.2%的代码搬到了和虚拟机实例一起的user space,非常显著的减少了攻击界面。展开全文 恩,usenix security今年在8月Washington D.C.开,投稿deadline是 2.21,还有10天。同学们抓紧了。写完了,就可以去NDSS happy了。加油 瓦教授是在说lids的谢华刚么?隔了十几年前两天在PAN碰到他才发现原来小世界比想想的还小 //@sh3l1c0d3 : //@白硕SH : 若说不跟开源组织来往更是不靠谱了。本人十几年前的学生就是当时开源社区的项目骨干。 根据自然出版集团统计的在过去12个月内在自然杂志《Nature》及其子刊系列上的发文数量,中国科学院一共发表140篇论文,超过日本东京大学排名亚洲机构第一位,这也是Nature Index统计以来中国科研机构首次排名第一。前50名还有中科大(第8),清华(第9),北大(第12)。🔗 网页链接 @Xuxian_Jiang 的TC-RILC 🔗 网页链接 点出了一个严重的问题:即使只有一个合用的gadget,也能借助libc想干啥就干啥,甚至凭借libc的兼容性移植起来还很方便。这对CFI提出了进一步的要求,就是要必须能切断潜在的执行衔接链。第一步就是必须要消除ret2libc, 这样留下主攻击界面在call2libc展开全文 为什么程序员喜欢在晚上coding?BI给出了三个原因:晚上没有时间限制,可以更放松;晚上很累了,大脑不会过于活跃以至于不能专心编程;最后,很亮的屏幕让你醒着。🔗 网页链接 --可能还有一个原因是:deadline是第一生产力... 又是公仔,赞知道,BS企鹅... //@知道创宇 : 腾讯给力!研究团队威武!知道创宇霸气!新年新气象~~~谢谢腾讯对我们给予的肯定,知道创宇团队、研究团队会越来越壮大,加油! 