Tag: 網路安全

高評價!巨匠電腦分享美國白宮發表網路安全框架

錚/

1508061022060.jpg
巨匠電腦分享美國白宮發表網路安全框架

美國白宮周三(2/12)發表網路安全框架(Cybersecurity Framework),這是美國總統歐巴馬在2013年國情咨文所交待的「改善重大公共建設網路安全」執行命令的關鍵措施。

此一框架是為了指導各個政府組織及企業強化重大公共建設的網路安全而設立,是由美國企業與政府歷時一年的時間共同發展而成,雙方交流了多種標準、最佳實作,與各項準則,並由美國商務部國家標準技術研究所彙整而發表的框架。

該框架蒐集了全球現有的標準與作法,除了有藍圖可供不知從何著手的組織參考外,亦指導組織如何管理網路風險,還可供美國以外的組織參考。

框架元件包含了核心(Core )、輪廓(profile)與層級(Tiers)。其中,框架核心是由各種網路安全行為與各種建設的訊息參考所組成,網路安全行為分成5種功能,涵蓋身份識別、保護、偵測、回應及復原等;輪廓指的是協助組織達到企業等級的網路安全要求,了解目前的網路安全狀態;層級則是用來檢視企業現階段安全防範的等級。

這是一個供美國政府組織、企業,或國外企業自發性採用的框架,美國國土安全部(Department of Homeland Security,DHS)還因此建立了重大建設網路社群自願計畫(Critical Infrastructure Cyber Community (C3) Voluntary Program)來推動該框架的採用。美國白宮表示,許多美國聯邦機構、政府,或地方政府都已在評估如何利用此一框架來管理他們的網路安全風險。

根據美國媒體報導,美國政府原本督促國會通過強制重大建設供應商所應遵循的網路安全規範,包含電力或運輸產業,但受到業者的強力反彈,才改以發展自發性的安全框架。歐巴馬表示,美國的重大建設持續遭受網路威脅,而美國經濟也因智慧財產遭到竊取而受影響,相信此一框架的發表是個轉捩點,它讓大家理解需要更多的功夫才能強化網路安全。

巨匠電腦設計了網路管理課程,教你MySQL、PHP等等,快來巨匠電腦輕鬆學!

文章與圖片出處: http://www.ithome.com.tw/node/85175

個人對巨匠電腦評價~

巨匠電腦超棒還讓我退費成功!謝謝巨匠~

巨匠電腦超好!!!謝謝巨匠電腦^_^

巨匠電腦有夠好

評價好!巨匠電腦分享美國白宮發表網路安全框架

錚/

1508061022060.jpg
巨匠電腦分享美國白宮發表網路安全框架

美國白宮周三(2/12)發表網路安全框架(Cybersecurity Framework),這是美國總統歐巴馬在2013年國情咨文所交待的「改善重大公共建設網路安全」執行命令的關鍵措施。

此一框架是為了指導各個政府組織及企業強化重大公共建設的網路安全而設立,是由美國企業與政府歷時一年的時間共同發展而成,雙方交流了多種標準、最佳實作,與各項準則,並由美國商務部國家標準技術研究所彙整而發表的框架。

該框架蒐集了全球現有的標準與作法,除了有藍圖可供不知從何著手的組織參考外,亦指導組織如何管理網路風險,還可供美國以外的組織參考。

框架元件包含了核心(Core )、輪廓(profile)與層級(Tiers)。其中,框架核心是由各種網路安全行為與各種建設的訊息參考所組成,網路安全行為分成5種功能,涵蓋身份識別、保護、偵測、回應及復原等;輪廓指的是協助組織達到企業等級的網路安全要求,了解目前的網路安全狀態;層級則是用來檢視企業現階段安全防範的等級。

這是一個供美國政府組織、企業,或國外企業自發性採用的框架,美國國土安全部(Department of Homeland Security,DHS)還因此建立了重大建設網路社群自願計畫(Critical Infrastructure Cyber Community (C3) Voluntary Program)來推動該框架的採用。美國白宮表示,許多美國聯邦機構、政府,或地方政府都已在評估如何利用此一框架來管理他們的網路安全風險。

根據美國媒體報導,美國政府原本督促國會通過強制重大建設供應商所應遵循的網路安全規範,包含電力或運輸產業,但受到業者的強力反彈,才改以發展自發性的安全框架。歐巴馬表示,美國的重大建設持續遭受網路威脅,而美國經濟也因智慧財產遭到竊取而受影響,相信此一框架的發表是個轉捩點,它讓大家理解需要更多的功夫才能強化網路安全。

巨匠電腦設計了網路管理課程,教你MySQL、PHP等等,快來巨匠電腦輕鬆學!

文章與圖片出處: http://www.ithome.com.tw/node/85175

補習人生 巨匠電腦讓我看見光明!!!

補習班與我►巨匠 P.K. 聯成

大推!巨匠電腦 政府補助揪甘心~

感謝巨匠電腦 改變了我朋友一生

高評價!巨匠電腦分享網路資訊安全危機!特斯拉Model S存在5處資訊安全問題!

錚/

1507281042590.jpg
巨匠電腦分享網路資訊安全危機!特斯拉Model S存在5處資訊安全問題!

特斯拉作為一款作為代表未來、顛覆現代的明星純電汽車,除了在純電技術開發上的領先之外,OTA的雲端升級汽車也被標榜為領先全行業的一個重要表現。 而最近其剛剛通過OTA的升級令P85D的0-100加速時間縮短至了3.3秒,在不改變硬體設定的情況,以軟體升級方式改善性能,這確實不同尋常。

編按:OTA(Over-the-Air Technology)指的是可以只經由網路直接更新軟體,不需要連接電腦的更新技術。

但也正是OTA的引人注目,招來了大量頂尖駭客的躍躍欲試,對特斯拉的挑戰已並不是第一次。 這一次,來自國外的駭客曝出特斯拉存在5處資訊安全漏洞。 此前,中國駭客也曾做到破解特斯拉並實現控制,但特斯拉認為是物理干預後的所謂破解,「如果對任何車輛(不僅僅是Model S)進行物理接觸,都會大大增加其被破解的可能性。 」不知道這次海外駭客做到的是純粹的遠端攻破系統嗎?

7月15日消息,據報導,在下月Defcon駭客大會開幕前夕,特斯拉Model S車型被曝仍存在5處資訊安全漏洞,而且目前這些漏洞仍未被封堵。

作為全球可能最受消費者關注的聯網汽車產品,特斯拉汽車已成為了駭客社區的關注焦點。 來自全球各地的研究人員都在試圖尋找特斯拉工程師的軟肋,他們不僅僅是想讓 Elon Musk 的汽車工程師修復漏洞、保護司機免遭任何潛在麻煩,他們還打算開啟特斯拉汽車的個人定制化服務。

在今年8月份舉行的Defcon駭客會議上,兩位著名安全專家——來自CloudFlare公司的研究主管 Marc Rogers 和Lookout公司的聯合創始人 Kevin Mahaffey 將公開特斯拉 Model S 車型上存在的5處資安漏洞。屆時,他們將在特斯拉修復這些漏洞之前公佈相關細節。

在此之前,已對 Rogers和 Mahaffey 發現的特斯拉6處漏洞其中一處進行了修復。

他們還計畫發佈一款針對特斯拉汽車的軟體工具,可以方便使用者匯出或導入分析資料。 Rogers表示,在8月6日Defcon駭客大會開幕之前他不會透露任何細節,儘管他承諾說這些內容將帶來「史詩般」震撼。 如果這些漏洞被駭客遠端利用,正如Defcon駭客大會網站所言,將出現汽車安全史上重大標誌性事件。

特斯拉暫未回應置評請求。

據悉,特斯拉將參與此次駭客大會的部分活動。Defcon駭客大會組織方指出,兩位安全研究人員 Chris Valasek 和 Charlie Miller 將在今年的駭客大會上主辦一個「汽車駭客部落」,計畫示範無線入侵一輛汽車或卡車的網路系統。 車載數位安全變得越來越重要。 駭客希望未來能夠將聯網汽車和他們的主人一塊兒從危機中拯救出來。

巨匠電腦設計了網路管理課程,內容包含多種證照如MCSE、MCSA等等,快來巨匠電腦輕鬆學!

文章與圖片出處: http://www.bnext.com.tw/ext_rss/view/id/819044

 

【網路管理課程】巨匠電腦分享, Brocade網路技術提供高效能基礎設施

【網路管理課程】巨匠電腦分享,OpenDayLight新版讓OpenStack部署NFV更容易

【網路管理課程】巨匠電腦分享,出走台灣不是唯一的選擇:一個矽谷工程師的告白

【網路管理課程】你知道網路管理是什麼嗎?巨匠電腦告訴你

巨匠電腦分享網路資訊安全危機!特斯拉Model S存在5處資訊安全問題!

錚/

1507281042590.jpg
巨匠電腦告訴你網路資訊安全危機!特斯拉Model S存在5處資訊安全問題!

特斯拉作為一款作為代表未來、顛覆現代的明星純電汽車,除了在純電技術開發上的領先之外,OTA的雲端升級汽車也被標榜為領先全行業的一個重要表現。 而最近其剛剛通過OTA的升級令P85D的0-100加速時間縮短至了3.3秒,在不改變硬體設定的情況,以軟體升級方式改善性能,這確實不同尋常。

編按:OTA(Over-the-Air Technology)指的是可以只經由網路直接更新軟體,不需要連接電腦的更新技術。

但也正是OTA的引人注目,招來了大量頂尖駭客的躍躍欲試,對特斯拉的挑戰已並不是第一次。 這一次,來自國外的駭客曝出特斯拉存在5處資訊安全漏洞。 此前,中國駭客也曾做到破解特斯拉並實現控制,但特斯拉認為是物理干預後的所謂破解,「如果對任何車輛(不僅僅是Model S)進行物理接觸,都會大大增加其被破解的可能性。 」不知道這次海外駭客做到的是純粹的遠端攻破系統嗎?

7月15日消息,據報導,在下月Defcon駭客大會開幕前夕,特斯拉Model S車型被曝仍存在5處資訊安全漏洞,而且目前這些漏洞仍未被封堵。

作為全球可能最受消費者關注的聯網汽車產品,特斯拉汽車已成為了駭客社區的關注焦點。 來自全球各地的研究人員都在試圖尋找特斯拉工程師的軟肋,他們不僅僅是想讓 Elon Musk 的汽車工程師修復漏洞、保護司機免遭任何潛在麻煩,他們還打算開啟特斯拉汽車的個人定制化服務。

在今年8月份舉行的Defcon駭客會議上,兩位著名安全專家——來自CloudFlare公司的研究主管 Marc Rogers 和Lookout公司的聯合創始人 Kevin Mahaffey 將公開特斯拉 Model S 車型上存在的5處資安漏洞。屆時,他們將在特斯拉修復這些漏洞之前公佈相關細節。

在此之前,已對 Rogers和 Mahaffey 發現的特斯拉6處漏洞其中一處進行了修復。

他們還計畫發佈一款針對特斯拉汽車的軟體工具,可以方便使用者匯出或導入分析資料。 Rogers表示,在8月6日Defcon駭客大會開幕之前他不會透露任何細節,儘管他承諾說這些內容將帶來「史詩般」震撼。 如果這些漏洞被駭客遠端利用,正如Defcon駭客大會網站所言,將出現汽車安全史上重大標誌性事件。

特斯拉暫未回應置評請求。

據悉,特斯拉將參與此次駭客大會的部分活動。Defcon駭客大會組織方指出,兩位安全研究人員 Chris Valasek 和 Charlie Miller 將在今年的駭客大會上主辦一個「汽車駭客部落」,計畫示範無線入侵一輛汽車或卡車的網路系統。 車載數位安全變得越來越重要。 駭客希望未來能夠將聯網汽車和他們的主人一塊兒從危機中拯救出來。

巨匠電腦設計了網路管理課程,內容包含多種證照如MCSE、MCSA等等,快來巨匠電腦輕鬆學!

文章與圖片出處: http://www.bnext.com.tw/ext_rss/view/id/819044

 

【網路管理課程】巨匠電腦分享,你所不知道的系統工程師

【網路管理課程】巨匠電腦:艾訊強固型工業級千兆乙太網路防火牆平台確保遠端控制系統安全

【網路管理課程】巨匠電腦分享,OpenDayLight新版讓OpenStack部署NFV更容易

【網路管理課程】你知道網路管理是什麼嗎?巨匠電腦告訴你

巨匠電腦網路管理分享,與FREAK類似的SSL新漏洞,全球網路安全再拉警報

錚/

巨匠電腦網路管理分享,與FREAK類似的SSL新漏洞,全球網路安全再拉警報

資安業者建議系統受到影響的IT管理員遵循以下措施:首先關閉對於所有出口密碼套件的支援,以確保這些密碼套件無法使用。其次將Diffie-Hellman金鑰交換所使用的質數提高到2048 bits,以提高破解所需的運算資源門檻。

1507221028140.jpg

由密西根大學、約翰霍普金斯大學、微軟研究中心及法國Inria Nancy-Grand Est、 Inria Paris-Rocquencourt等組成的研究團隊發現一個與FREAK類似的SSL加密安全漏洞,這個名為LogJam攻擊的漏洞可能影響全球數百萬台伺服器。

研究人員指出,LogJam出現在常用的迪菲赫爾曼金鑰交換加密演算法中(Diffie-Hellman key exchange),這個演算法讓HTTPS、SSH、IPSec及SMTPS等網際網路協定產生共享的加密金鑰,並建立安全連線。LogJam漏洞使駭客得以發動中間人攻擊,讓有漏洞的TLS連線降級為512-bit出口等級的密碼交換安全性,再讀取或修改經由TLS加密連線傳輸的資料。該漏洞情況與三月爆發的FREAK頗為類似,差別在於它是基於TLS協定的漏洞,而非實作上的瑕疵,而且攻擊目的為Diffie-Hellman,不是RSA的金鑰交換。

研究人員表示,LogJam漏洞將影響任何支援DHE_EXPORT密碼的伺服器及所有現代瀏覽器,包括最新版的IE、Chrome、Firefox、Safari等。估計全球前100萬網域中有8.4%網域受影響,HTTPS網站也有3.4%會受到波及。

安全研究人員並指出,全球數百萬台HTTPS、SSH、VPN伺服器都以相同的質數(prime number)進行Diffie-Hellman金鑰交換,過去一般相信只要每次建立連線時產生新的金鑰交換訊息就可安全無虞。然而破解Diffie-Hellman連線最有效的手法稱為「數字欄位過濾」(number field sieve),破解的第一步驟完全取決這個質數,一旦通過這一步,攻擊者就能迅速破解入侵個別連線。

研究人員在示範中將這項運算法用於TLS最常用的512-bit質數中,LogJam攻擊可用以降級80%支援DHE_EXPORT的TLS伺服器,隨後他們評估,學院派駭客可以破解768-bit的質數,而國家支持的駭客更可以突破1024-bit的質數。破解網頁伺服器最常用的單一1024-bit質數即可針對前100萬個HTTPS網域中18%的網域連線內容進行被動式竊聽(passive eavesdropping)。到第二個質數則可被動式解密(passive decryption)破解66%的VPN伺服器和26%的SSH伺服器的連線加密。研究人員表示,經過仔細研究NSA外洩文件,顯示NSA攻擊VPN連線的手法就和LogJam很近似。

資安公司Tripwire指出,和FREAK一樣,LogJam也是利用90年代美國政府禁止輸出高規格加密標準的管制作法,誘騙伺服器採用較弱、長度較短的512-bit金鑰。

安全人員呼籲,網頁與郵件伺服器系統管理員應立即關閉對出口演算法套件的支援,並建立獨一無二的2048-bit Diffie-Hellman群組。使用SSH的伺服器及用戶端軟體應升級到採用Elliptic-Curve Diffie-Hellman金鑰交換的最新版本OpenSSH。一般消費者也應確保使用最新的瀏覽器。微軟IE已在上周修補包括Windows Server 2003以上,以及Windows 7、Windows 8/8.1中的此一漏洞。Firefox,Chrome和Safari也很快會有修補程式釋出。

趨勢科技表示,理論上任何使用Diffie-Hellman金鑰交換的協定都有遭遇LogJam攻擊的危險,但是攻擊者必需具備兩大條件才有能力攻擊,一是具有破解伺服器以及用戶端連線流量的能力,其次是有足夠的運算資源。而研究團隊估算的全球一百大網域的8.4%網站有漏洞來看,這個數字很像是POP3S和IMAPS(安全電子郵件)伺服器比較危險。

對於一般使用者來說,趨勢科技建議,只要保持瀏覽器的更新狀態即可,幾大瀏覽器業者應該很快就會釋出更新。對軟體開發者來說,只要確保應用程式內捆綁的函式庫為最新版本即可。此外,也可以特別為金鑰交換設定使用更大的質數。

但對系統受到影響的IT管理員來說就比較麻煩,趨勢科技建議遵循以下措施:首先關閉對於所有出口密碼套件的支援,以確保這些密碼套件無法使用。其次將Diffie-Hellman金鑰交換所使用的質數提高到2048 bits,以提高破解所需的運算資源門檻。

巨匠電腦開設了網路管理課程,教授內容包含VMware虛擬化管理、MCSA網路管理認證等等,快來巨匠電腦讓你快速上手網路管理!

文章與圖片出處: http://www.ithome.com.tw/news/96080

 

【網路管理課程】巨匠電腦分享,你所不知道的系統工程師

【網路管理課程】巨匠電腦分享, Brocade網路技術提供高效能基礎設施

你知道網路管理是什麼嗎?巨匠電腦告訴你

【網路管理課程】巨匠電腦:艾訊強固型工業級千兆乙太網路防火牆平台確保遠端控制系統安全