信息安全半月谈 InfoSec Review Biweekly 016

If you are having trouble viewing this article, click here.

四部委联手打击“网络水军”“删帖公司”
http://it.people.com.cn/GB/14389319.html
评论：网络推手立二拆四被批捕，正式表明国家开始正式整治网络舆论环境，对利用网络制造虚假信息，危害社会诚信的团体或个人给予严惩！多数互联网媒体都开 设有论坛或网络社区，相信此前有碰到不少麻烦，这一行动定给一段时间的净化期，不过谁知他们短暂修整之后会不会卷土或者变相重来？

7天酒店数据库被盗，大量会员信息被公开售卖
http://it.people.com.cn/GB/42894/196085/14370496.html
评论：大批酒店住客通过网上注册，这下姓名、邮箱、身份证号码、入住信息等等数据曝光，不仅影响酒店顾客的个人隐私，更重要的是损害自己的声誉，造成客户 资源的流失和丧失未来竞争优势。越来越多的行业会使用互联网来推动业务的开展，网站的安全问题和业务的成功以及组织的长远发展息息相关，不容忽视和半点马虎。

位置签到服务渐趋佳境，个人隐私及安全被忽视
http://blog.isvoc.com/archives/119251
评论：记得苹果公司要求关键员工对差旅的情况都保密，防止竞争对手获得其合作伙伴消息，但是仍有人们从其招聘网站发掘公司战略动向，位置签到是很不错的移动应用，您的公司趋利避害地使用呢？如何应对员工在微博和社交网络上随时随地更新自己的位置呢？

智能终端安全和移动互联网安全成为业界关注焦点
http://news.zdnet.com.cn/zdnetnews/2011/0413/2029631.shtml
评论：智能手机越来越普及，比电脑方便携带，却拥有几乎比电脑还强大的功能，移动应用也越来越多，移动互联网运营商可有所作为，但是更重要的是终端的安全 和应用的安全。终端安全靠智能系统相关的厂商和开发人员将安全功能置入到设备内，除了设备本身的操作系统和少量应用软件，其它大量的移动应用涉及大量的开 发人员，写出和不断更新安全可信的代码程序重在不断提升软硬件开发人员的安全意识，而这些移动设备和应用能否在最终用户那儿得到安全地使用，则由他们的安 全认知和技术水平决定。

三星笔记本电脑无击键记录程序

http://www.samsungtomorrow.com/1071

评论：上期报道并简单分析过这一事件，最终原因是GFI旗下VIPRE杀毒软件的误判，GFI已经道歉，仔细看看三星的测试，在Windows目录下建一 空的sl目录也会立即报警，发现Vipre的这一招和360判断QQ的手法如出一辙啊，不严谨，带来很多误判，相信这一意外值得不少安全公司吸取教训。

IEEE的800名工程师会员身份和信用卡资料失窃
http://www.eweek.com/c/a/Security/IEEE-Reports-Data-Breach-of-800-Engineers-Credit-Card-Data-439741/
评论：黑客的水平很厉害，IEEE记得信息也太多，包括信用卡上能见到的所有数据，看来IEEE违反了PCI-DSS的要求，国内支付卡相关行业可以吸取教训了，对于最终持卡人，可以看看信用卡安全普及教育视频。

RSA被攻陷原因查明
http://www.zdnet.co.uk/blogs/mapping-babel-10017967/rsa-hack-targeted-flash-vulnerability-10022143/
评论：黑客利用Adobe Flash的漏洞，将后门程序放在“2011招聘计划”的Excel文件中，通过发送含有这文件附件的钓鱼邮件给RSA的员工，进而控制了控制了员工的系 统，并且提升得到了管理员的权限。小的启示是您的技术保护体系可能很强，但是使用者特别是您的员工，可能成为脆弱的一环，根据木桶理论，最脆弱的一环往往 决定安全管理的水平，所以除了加强补丁管理和终端安全之外，重要的是加强员工的安全意识教育，收到可疑的有附件的邮件不打开，并及时报告安全响应团队，安 全响应团队在收到报告时，要及时排查和加强警戒，因为此时可能已经有其它员工中招了。

美联邦政府停工引发网络安全问题关注
http://www.govinfosecurity.com/articles.php?art_id=3512
评论：网站没人维护了，如果关掉到再上线时，期间发现的严重漏洞可能被攻击者利用，确实是个问题，不过好在国土安全部应对网络安全的员工还将坚守阵地。

圣安东尼奥要成为美国的数字安全城市
http://www.mysanantonio.com/news/local_news/article/Castro-says-S-A-ready-to-become-Cyber-City-1330429.php
评论：早年有人讲，国内的同一级别的城市都一个样，优质资源多集中在一线城市，假想一样，谁更有可能成为中国的“网络安全城市”，北京还是上海？