李康:自动检测云平台和系统软件中的缺陷(附演讲slides)

作者:陈星曼

likang-mainlikang-whole

2015年12月29日,新年将至,网络安全研究国际学术论坛(International Forum for Security Research, InForSec)在清华大学网络科学与网络空间研究院迎来了创立以来的第二次活动。活动邀请了来自美国乔治亚大学(University of Georgia)的李康教授为我们带来一场精彩的报告。
Continue reading

NSA如何窃听Google的加密流量——当HTTPS遇到CDN

作者:段海新,单位:清华大学; 关键词:HTTPS, CDN, PKI,CA,Certificate, Delegation, DANE.

        华盛顿邮报曾根据斯诺登泄露出来的PPT(图1)报道过美国国家安全局(NSA)在云端监听Google(包括Gmail)和Yahoo用户的加密通信[1]。然而我们知道Gmail是使用TLS保护的,NSA是如何破解Google的TLS加密通信的呢?
GOOGLE-CLOUD-EXP1
图1. 美国NSA和英国GCHQ联合计划MUSCULAR中,NSA和GCHQ绕过TLS加密,在云端监听后端的明文通信。

Continue reading

韦韬:BASecX meetup 圣诞节活动简报

1686447703 BASecX(Bay Area Security Series)是北美华人安全社区在湾区举办的系列活动,由韦韬(Lenx Wei, 百度首席安全科学家,X-Lab负责人)和张亮(Allan Zhang, Trustlook Founder & CEO)发起,成员以北美工业界的华人安全专家为主。BASecX每季度举办一次Meetup,每年举办一次Summit,以分享安全领域技术发展,促进安全领域的交流与合作。 Continue reading

视频直播-Li Kang-Automatically Detect Flaws in Cloud Platforms and System Software

Title: Automatically Detect Flaws in Cloud Platforms and System Software
Speaker: Prof. Kang Li (李康), University of   Georgia
TimeDec. 29(Tuesday) 2:00-3:30pm
Venue: Room 3-225, FIT Building, Tsinghua University
视频直播http://www.edu.cn/html/shipinkt/msdjt/aq01.shtml
https://www.inforsec.org/live.html
Kang

Continue reading

移动平台用户隐私保护技术综述

作者:杨哲慜,杨  珉;单位:复旦大学;关键字:移动安全,安卓,用户隐私保护

引言

以谷歌公司的安卓系统和苹果公司的iOS系统为代表的移动操作系统正逐渐取代桌面操作系统,成为公众接入互联网的主要入口平台。短短数年内,移动智能终端出现爆发式增长,据权威市场研究机构IDC的数据显示[1],2013年全球智能手机的出货量达4.3亿台,比2009年增长了十倍,到2015年第二季度更是单季度出货量达3.415亿台,其主要增长来自于亚太和中东亚地区。

移动操作系统生态链正从智能手机拓展到如平板电脑、智能家居、可穿戴设备、车载控制系统等多种衍生产品中,日益驱动着互联网的改变和发展。作为移动互联时代的突出标志之一,移动应用聚集大量高附加值的信息和资源。这些信息和资源不仅包含个人的手机信息、身份信息、地理位置信息,还包含诸多账号信息以及邮件、文件等信息。 Continue reading

Kang Li: Automatically Detect Flaws in Cloud Platforms and System Software (12/29)

Title: Automatically Detect Flaws in Cloud Platforms and System Software
Speaker: Prof. Kang Li (李康), University of   Georgia
TimeDec. 29(Tuesday) 2:00-3:30pm
Venue: Room 3-225, FIT Building, Tsinghua University
视频直播http://www.edu.cn/html/shipinkt/msdjt/aq01.shtml
Kang

Abstract
The cyber security space offers a tremendous amount of interesting challenges to researchers. This presentation will provide an overview of these challenges based on the speaker’s past research experiences. The first half of the talk will briefly outline the scope of threats from system software to firmware and hardware components. This part of talk will present the effort by the speaker and his students on detecting flaws and vulnerabilities in mobile and IoT firmware. The second half of the talk will cover the topic of cloud and virtual machine security. The speaker will present his recent efforts in designing software tools to detect flaws in virtual machines and cloud platforms. The talk will also present plans to extend the detection techniques to domains beyond virtual machines, such as supply chain and hardware security. Continue reading

ICANN北京合作中心: 利比亚国家顶级域名中止服务始末

中文互联网圈子里有两个流行甚广的说法,即伊拉克国家顶级域名(Country Code Top Level Domain,简称ccTLD)“.IQ”和利比亚国家顶级域名“.LY”曾被美国从根域名解析服务器中删除,从而导致两国从互联网上“消失”。例如,《信息安全与通信保密》杂志2014年第10期的一篇文章写道:“2004年,由于与利比亚在顶级域名管理权问题上发生争执,美国终止了利比亚的顶级域名.LY的解析服务,导致利比亚从网络中消失3天。”

此前我们转载了清华大学段海新博士《伊拉克国家顶级域名.IQ被美国删除的真相以及早期的域名管理》,对”.IQ”中止服务的情况做了介绍(请点击左下角“阅读原文”)。今天我们再根据历史资料及媒体报道还原利比亚域名.LY中止服务的来龙去脉。 Continue reading

双刃剑:安卓一键Root和技术提供者

现今国内的安卓应用市场中提供一键Root服务的app琳琅满目,百度、腾讯和奇虎360等大公司均有相应的产品推出。Root产品的开发者用高超的漏洞挖掘和利用技巧为我们提供了便捷的Root服务,但试想Root产品中的exploit如果被恶意软件轻易提取并利用的话,势必将本就糟糕的国内安卓生态环境对造成很大的危害。美国加州大学河滨分校(UC Riverside)的Hang Zhang、Dongdong She、Zhiyun Qian(钱志云)在顶级安全学术会议CCS’15中发表了题为"Android Root and its Providers: A Double-Edged Sword"的文章,讨论了Root服务提供商的exploit的保护情况以及他们的exploit和公开的exploit之间的关系。 Continue reading

钱志云博士: 现代操作系统和网络协议栈中的侧信道攻击

IMG_5651IMG_5673

2015年12月11日,网络安全研究国际学术论坛(International Forum for Security Research, InForSec)在清华大学迎来创立以来的第一次活动。活动邀请了来自美国加州大学河滨分校(UC Riverside)的钱志云博士(Zhiyun Qian)为我们带来了一场精彩的学术报告,钱老师精彩的讲述和震撼的现场演示激起了在场学生热烈的讨论,并赢得了现场持续的掌声。 Continue reading

Dell笔记本预装类似Superfish的不可信根证书

​In a move eerily similar to the Superfish debacle that visited Lenovo in February, Dell is shipping computers that come preinstalled with a digital certificate that makes it easy for attackers to cryptographically impersonate Google, Bank of America, and any other HTTPS-protected website. Continue reading