万事达卡和 VISA 就安全漏洞发出警告

万事达卡(MA)、维萨(V)和发现金融服务公司(Discover Financial Services)(DFS)称,它们已经成为一个潜在安全漏洞的受害者,这是一系列类似事件中最新的一起,而这些事件已经导致成百上千万的信用卡持有人的个人信息面临风险。

万事达卡、维萨和发现金融服务公司分别是全球最大、第二大和第四大信用卡处理公司,这些公司表示,问题来自于一家第三方商家,而并非其自身内部 系统的问题。目前还不清楚这个安全漏洞到底有多大,也不清楚有多少客户可能会受到影响。万事达卡和维萨称,这两家公司已经就这个安全漏洞向银行发出了通 知。发现金融服务公司则表示,该公司正在对客户账户进行监控以搜寻可疑活动,并将“酌情”重新发行信用卡。

在有关这个安全漏洞的消息传出以后,电子交易支付及转账服务供应商Global Payments Inc(GPN)的股价大幅下跌9.1%以上,随后其股票交易被叫停。Global Payments发言人尚未就此置评。

万事达卡称,该公司已经通知了执法部门官员,并已聘用一家独立数据安全组织来对这个安全漏洞进行检查。美国特勤局的一名发言人表示,该局正在对此事进行调查,但拒绝透露有关这个安全漏洞的任何细节。

万事达卡发表声明称:“万事达卡对任何可能给持卡人带来不便的事件都感到担心,我们正继续监控这一事件,同时采取措施来保护账户信息。如果持卡人对个 人账户感到担心,则应联系其发卡金融机构。”维萨则表示,该公司已经向银行提供了受影响客户的账号,并强调指出客户不应为欺诈性的购买活动负责。

在两家公司发上述声明以前,博客网站KrebsonSecurity报道称,万事达卡和维萨已经向全美范围内的银行发出警告,称一个“重大的” 安全 漏洞可能会对1000多万持卡人造成影响。报道称,在2012年1月21日到2012年2月25日之间开户的信用卡账户都可能受到影响。

新浪财经

程序员需要谨记的九大安全编码规则

历史已经证明,软件设计的缺陷一直是导致其漏洞被利用的最主要的罪魁祸首。安全专家发现,多数漏洞源自常见软件中相对有限的一些漏洞。软件开发者和设计者应当严格检查程序中的各种错误,尽量在软件部署之前就减少或清除其中的漏洞。

下面列举的这些方法会有助于开发人员提高编码的安全性:

一、注意编译器警告

程序员应当使用编译器的最高警告等级。在编译过程中,应当修改程序中的错误,直到警告解除。应当使用静态和动态的分析工具来检测和清除安全缺陷。

二、根据安全策略设置软件架构

设计者应创建一个软件架构,并在设计软件的过程中实施和强化安全策略。例如,如果你的系统在不同的时间要求不同的特权,就不妨考虑将系统分解成能够互联通信的不同的子系统,每一个系统都有自己适当的特权。这种“分而治之”的方法可以有效地提高应用程序的安全性。

三、验证输入

程序设计者在设计程序时必须验证来自所有不可信数据源的输入。适当的输入验证可以清除多数软件漏洞。在设计程序时,必须对多数外部的数据源抱着怀疑的态度,其中包括命令行参数、网络接口、环境变量、用户控制的文件等。

四、保持程序简单

设计者要尽量使程序短小精悍。复杂的设计会增加实施、配置、使用过程中出现错误的可能性。程序越复杂,就需要越多的复杂的安全控制,企业需要付出的努力也就会越多。

五、拒绝默认访问

访问决策的制定应当根据许可权限而不是根据其它的任何方面。这意味着,默认情况下,应当拒绝访问,程序的保护机制应当根据“允许谁访问”来确认访问条件。

六、遵循最小特权原则

程序的每个处理过程在执行时,都应当仅使用为完成其工作而需要的最小特权。任何提升的许可权限都要尽量持续最短的时间。这种方法可以减少攻击者用提升的特权执行任意代码的可能性。

七、“净化”传送给其它系统的数据

所谓“净化”是指从用户输入的数据中清除恶意数据,如清除用户提交表单时的恶意的或错误的字符。

程序设计者必须对传送到复杂的子系统(如命令外壳、关系型数据库、购买的商业软件组件)的所有数据进行“净化”。攻击者有可能通过使用 SQL 注入命令或其它注入攻击来调用这些组件中没有被使用的功能。这未必是输入验证问题,因为被调用的复杂的子系统并不理解调用过程中的前后关系。由于调用程序 理解前后关系,所以我们要在调用子系统之前对数据进行“净化”。

八、实施深度防御

程序设计必须能够利用多种防御策略来管理风险。只有这样,才能在一层防御不够用或失效时,另外一层防御可以防止将安全设计上的缺陷变成可被利用的漏洞,从而可以限制攻击者利用漏洞的后果。例如,将安全编程技术与安全运行环境结合起来,可以减少在部署阶段残存在代码中的漏洞被攻击者在操作环境中利用的可能性。

九、使用有效的质量保证技术

良好的质量保证技术可以有效地确认和清除漏洞。模糊测试、渗透测试、源代码审计等都可以结合起来使用,以此作为一个有效的质量保证项目的一部 分。独立的安全检查可以使系统更安全。有资质的外部审查人员可以提供独立的观点,例如,外部人员有助于确认和纠正一些错误的设想。

当然,为保证代码的安全,企业应当为开发语言和平台制定并实施一套健全的编码标准。

库克来华苹果现新貌:中国市场成减压阀

日前,全球市值最大公司苹果的CEO蒂姆·库克低调来华。

蒂姆·库克作为一位业务运营大师备受赞誉,他执著并且要求严格,他主导的对制造、分销及供应系统的流程再造,对苹果的崛起至关重要,丝毫不亚于苹果超凡的设计和绝妙的营销。

选择中国作为履新后访问的第一个国家,显示了蒂姆·库克对中国市场的重视,他积极奔走,希望树立苹果新的面貌——更开放的苹果公司形象。

库克访华最该见谁?

经济观察报 刘丹

3月26日上午11点左右,苹果CEO蒂姆·库克出现在北京西单大悦城一层的苹果专卖店。当被一些“果粉”认出后,库克随即与店内的消费者合影留念,整个过程简单有序。

破冰之旅

这不是库克第一次来中国,九个月前,库克在任职苹果首席运营官时曾到北京与中国移动、中国联通高层会面。但却是苹果最高管理者第一次来到这个古老国度。

国内的“果粉”在西单大悦城和三里屯两个苹果北京店见到库克本人之后,对于这个乔布斯的继任者则比较失望。“果粉”们都在等着库克能够像乔布斯一样,说出一些豪言壮语,但库克除了表明中国市场重要,苹果会重视中国市场外,没有多少个性化的语言。

这一次访华,库克像极了一个对中国市场例行式拜访的跨国公司CEO——参观,考察,见领导——库克先后参观了苹果在北京的两家直营店,然后去了郑州的富士康工厂,接着是拜见中国副总理李克强。

任何一个产品到了4代,都会产生审美疲劳,苹果也不例外。下一步要超越自己就更难,人们期待越高,对管理层的压力就越大。中国市场,显然是库克和苹果的一个减压阀。

此次,库克拜访了国内三大电信运营商。其中,联通是苹果的老伙伴,算是叙旧之旅。电信是新伙伴,算是礼节性的拜访。而移动是未来的前瞻性伙伴,算是预热式拜访。

近日,中国移动、中国电信、中国联通发布年报显示,三大运营商2011年的利润总和仅为苹果同期利润的七成,2011年中国联通补贴苹果手机出现巨额亏损。众多运营商感叹“钱都被苹果抢走了”。

虽然中国联通和中国电信两家运营商先后引进苹果iPhone产品,从中国移动手中抢走不少用户,但也付出了异常高昂的“代价”:i-Phone 补助金额偏高,运营商处在卖得多、赚得少的尴尬境地。过分依赖苹果产品,使自身产品营销单一,也让运营商在与苹果公司的谈判中往往处于被动。

目前苹果跟中国联通和中国电信都有合作,跟中移动也在洽谈4G领域的第二步合作。苹果下一代手机肯定会支持4G,中国移动的TD-LTE 必然在苹果的合作对象之列。而中国电信和中国联通已开始大力布局千元智能手机。

库克必须亲自来华,安抚一下中国电信和中国联通委屈的心灵。

此前,作为苹果全球第二大市场,中国市场往往是苹果新品第三、四批发售的国家。中国的苹果直营商仅在北京和上海两地有5家,经销商也仅有可怜的100多家,这与美国市场245家直营零售店相差甚远。

但在2011年,苹果在大中华区销售额达到了130亿美元,是2010年销售额的4倍之多。此外,库克还宣称,到2015年全球移动设备的持有量达到10亿部的时候,中国和巴西将独占其中的25%。

中国篇章

“中国作为苹果在全球范围内的第二大市场,未来肯定会超过美国市场,对苹果来说是最大的制造市场也是最大的销售市场。”信息产业部电信研究院通 信政策研究所所长陈金桥在接受本报记者电话采访时表示,库克访华,直接目的是就苹果跟唯冠的商标之争跟中国方面做一些“勾兑”,但长远目的是对中国政府和 企业界的高层做一个表态,表明苹果将不再抱着傲慢的态度对待中国市场。

在视察富士康期间,库克对其高管强调,一定要重视工人的生产安全问题,改善工人的工作环境。这在苹果产品生产中起到举足轻重的作用,很多苹果设备都在此组装。

除了表明苹果对中国市场的高度重视,库克显然也需要解决苹果在中国内地的一些问题,包括官司、劳工等问题。虽然没有跟“果粉”做互动,但库克还是赢得了一部分“果粉”的认同。

过去,苹果和乔布斯在中国的“果粉”和媒体圈里,一直是傲慢的代名词。乔布斯一生中去过多次日本却从未来过中国。与那些频繁造访中国的跨国公司CEO相比,乔布斯对中国态度冷漠。据公开报道称,乔布斯很反感国内众多的山寨产品和用户“越狱”刷盗版现象。

但库克的风格跟乔布斯很不一样。库克搞慈善、打破苹果公司17年来不分红的“传统”,库克不像乔布斯那样具备一个产品经理的特质,甚至传出要跟Android厂商和解。他显然比乔布斯更像一个商人。

自从库克出任CEO以来,苹果股价已经飙升了60%,市值达到5600亿美元,位居全球第一。在乔布斯去世后的第一个季度,苹果的收入也创下36年来的最高纪录。

但库克没能在乔布斯离开后继续创造产品发布会上的“传奇”,为“果迷”带来惊喜,事实上,库克接班后主持的 iPhone 4S发布会劣评如潮,今年3月,他介绍的新版iPad同样令人失望。

一些被称为“乔布斯教教徒”的“果粉”对于库克访华表示出反感。这些教徒自称是“拜苹果教”,他们像崇拜教主那样崇拜乔布斯。而这些“乔布斯教的原教旨主义者”,不希望在中国看到库克。

即便如此,对于库克来说,真正能使他赢得声誉的,将是他在中国市场获得的合作和尊重。虽然乔布斯一直对中国缺乏好感——即使中国市场在苹果市场份额中扮演越来重要的角色,乔布斯也没有踏足中国。但是,很显然,库克正在重新书写苹果与中国市场之间的历史。

也许,除了那些冠盖云集的拜访,库克会有兴趣去见见视乔布斯为偶像的小米手机CEO雷军和360的周鸿祎;还有那对20多岁的河南兄弟——他们在深圳一间仓库里捣鼓出的“苹果皮”可以让iPod Touch像iPhone一样使用。

或许,还有活跃在深圳的华强北和北京的中关村这两大中国科技的“大酱缸”里大量的山寨智能手机生产者和刷机用户们。他们或许能帮助库克找到更适合与中国打交道的方式,与乔布斯的“敬而远之”截然不同。

你的代码(软件)安全吗?

2011年安全事件层出不穷,几乎可以称为“黑客年”。以前黑客通常是利用程序漏洞来造成破坏,令网站陷入尴尬的境地,但如今他们却是为了窃取 数据、IP 地址,或者通过在网站中植入木马将恶意软件安装到访客的电脑里,更有甚者转移账户、违反行业规定等等,因此应用程序的安全显得越来越重要。

安全漏洞 TOP5

据统计,10个程序中有 8 个以上在第一次测试时都不能通过 OWASP(Open Web Application Security Project,开放式 Web 应用程序安全项目)的检查,而且有一半的开发者在基础程序安全评估中都只能获得C级甚至更低的评级。

下图展示了排名前五位的安全漏洞。其中橙色表示受影响的 Web 应用的比例,XSS 最高;蓝色表示被黑客利用的比例,SQL 注入的比例最高。

编程语言中的安全漏洞

下图展示了一些流行的编程语言中比例最高的 3 种安全漏洞。其中 XSS 的威胁依然很高,而信息泄露和加密问题也不容忽视。

不同开发模式的安全漏洞

下图展示了各种开发模式(内部开发、商业项目、开源项目)所带来的安全漏洞,其中 XSS 高居榜首。

首次提交 OWASP 测试的合格率

下图展示了内部项目、商业项目、开源项目、外包项目、综合开发项目在首次提交 OWASP 测试的合格率,其中内部项目最高,外包项目最低。

Android 应用也不安全

Android 应用的安全问题主要有两类:一类是加密问题,另一类是信息泄露问题。加密问题中 61% 是缺乏熵编码的问题,这通常是由于在 Java 程序中使用统计 RNG 而不用加密 RNG 所致。而这些问题用一行代码就能修复。

修复安全问题所需时间

其中外包项目中的安全问题通常能在一周之内修复,其次是开源项目。而其他项目的修复周期相对来说比较长一些。

如何增强程序安全性?

  • 及时更新软件。自己编写安全的软件或要求供应商及时修复安全问题。
  • 不断学习。自学巩固程序安全基础知识,参加培训班。
  • 要求供应商为其软件提供安全保证。要求供应商查看程序代码,在合同里写入安全保证条款。

下一代Nano-SIM卡标准投票推迟至5月底举行

下一代Nano-SIM卡标准投票推迟至5月底举行
下一代Nano-SIM卡标准投票推迟至5月底举行

新浪科技讯 北京时间3月31日早间消息,欧洲电信标准委员会(ETSI)周五宣布,下一代Nano-SIM卡技术标准投票将推迟至5月底举行,原因是该标准在各硬件制造商之间存在争议。

ETSI在声明中称:“委员会决定推迟任何想要达成广泛业界一致意见的主题投票,它将与ETSI的优先决定保持一致。”

ETSI此举正值RIM表示,当他们进行代理人投票时,竞争对手苹果想要通过其代表改变公司联盟关系的方式改变投票结果。RIM、苹果、诺基亚以及摩托罗拉移动都希望将自己的技术作为业界标准,该标准将用于日后的新手机。

SIM卡存储着设备用户手机号码和网络中的移动身份,更小版的Micro-SIM卡包含Nano-SIM卡新技术功能,增加了额外存储,这是缩小移动设备内部空间所采取的缩小硬件尺寸的最新措施。

据悉苹果计划以不收取任何费用的方式向其他制造商提供该技术专利,作为交换,其他公司需要将苹果技术作为业界标准,并提供与利益互惠原则一致的的同等条款。