【活动预告】错综复杂的互联网——云服务和点对点通讯下的新兴Web安全和隐私问题

报告题目:错综复杂的互联网——云服务和点对点通讯下的新兴Web安全和隐私问题

The emerging security and privacy issues in the tangled web

演讲人:贾瑶琪,新加坡国立大学博士生

时间:2017年310号(周五)10:00 am -12:00 am

地点:清华大学信息技术大楼(FIT)3-225

内容摘要:

在当前的数字时代,万维网逐渐成为我们日常生活的重要组成部分。随着云服务和点对点技术的流行,以及它们与互联网的紧密结合,新的安全和隐私问题出现在错综复杂的互联网中。本报告首先介绍云服务如何影响浏览器中互联网与本地系统的隔离,从而导致攻击者可以在用户的系统中下载和安装程序。之后,分析浏览器的点对点通信导致的用户的隐私泄露,并提出基于洋葱路由和oblivious RAM的保护方案。 Continue reading

【视频回顾】李丰沛:从诸国断网说起:mirai僵尸网络的历史、评估和演进

Title:从诸国断网说起:mirai僵尸网络的历史、评估和演进

Speaker: 李丰沛 奇虎360公司安全专家

Time: 2016年12月30日

视频目录:

第1部分  从诸国断网说起:mirai僵尸网络的历史、评估和演进

【视频回顾】 钱志云:When TCP Meets Side Channels

Title:When TCP Meets Side Channels

Speaker: 钱志云  加州大学河滨分校助理教授

Time: 2016年12月15日

视频目录:

第1部分  Outline One

第2部分  Outline Two

第3部分  Outline Three part1

第4部分  Outline Three part2

第5部分  Outline Three part3

第6部分  Outline Four

Town Crier: 面向智能合约的可验证数据供给系统

作者:张帆,康奈尔大学(Cornell University)计算机系博士三年级

智能合约指的是实现了某种“合约”的计算机程序,其渊源可追溯至Szabo的开创性工作[1]。智能合约的特点在于“合约”中的条款可以自发履行(self-enforce)而不受外界的影响。由于这种优秀的性质,人们长期以来将智能合约视为现有法律合同的更好的替代。尽管密码学货币(例如比特币)的出现为实现智能合约提供了基础(例如,Ethereum [以太坊] 推出的智能合约就是基于区块链技术),但是要完全实现智能合约的最吸引人的应用场景仍需一项关键的技术突破,那就是可验证数据供给(Authenticated Data Feed)。其原因是几乎所有的智能合约都需要获取区块链以外的信息,例如股票价格等。但是由于智能合约本质上是运行于区块链上的状态机(参见共识协议的限制[2, 3]),其输入只能来自区块链内部,并不能像传统计算机程序一样访问网络。简单的网络代理并不能解决问题,因为尽管HTTPS协议提供了可靠性的保证,但是HTTPS并不能提供可传递的数字签名。因此可信赖数据供给对与智能合约的生态系统是至为关键的。

Continue reading

支付安全不能说的那些事

作者:丁羽 黎桐辛 韦韬  Baidu X-lab, 北京大学

在线支付已经走进每个人的生活。抢红包、网上购物、生活缴费等服务中处处都有在线支付的身影。但是在线支付体系暴露过许多次安全问题,黑客利用在线支付的漏洞可以悄无声息的免费清空购物车等,造成商户和支付平台的损失。由于种种原因,支付平台的安全问题很少被细致公开的讨论过。

本文由2015年支付宝特别奖得主丁羽和黎桐辛,以及韦韬共同撰写。其中丁羽和韦韬来自百度X-Lab,黎桐辛来自北京大学。文章对在线支付体系的原理进行了介绍,并分享了几个在线支付过程中曾出现的严重漏洞以及利用过程。希望这些经验能引起相关厂家和商户的重视,使我们的在线支付更加安全。

Continue reading

【活动预告】针对数据流的攻击:危害,构造和实战

报告题目:针对数据流的攻击:危害,构造和实战
Data-Oriented Attacks: Expressiveness, Construction and Application

演讲人:胡宏,博士后,佐治亚理工学院

时间:2017年2月21日(周二)10:00am -12:00am

地点:清华大学信息技术大楼(FIT) 3-225

Continue reading