最近未經授權的HTTPS證書成為熱門新聞話題，其中有些證書還是來自已熟知/理應可信的供應商的根存儲。那么，企業應該如何防范這些偽造證書?認證信息系統安全架構專家Michael Cobb對這個問題做出了解答。

企業應該如何防范HTTPS偽造證書?

據了解，針對于HTTPS的攻擊，多存在于中間人攻擊的環境中，主要是針對于HTTPS所使用的壓縮算法和CBC加密模式，進行side- channel-attack。這幾類攻擊的前置條件都比較苛刻，且都需要受害主機提交很多次請求來收集破譯關鍵數據的足夠信息。常見的攻擊方法，主要有：BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH等。

常見HTTPS攻擊方法解析

隨著企業和消費者繼續積極將移動設備用于工作和個人，智能手機等移動設備的安全防護自然不能忽視。近日，AVL移動安全團隊聯合LBE發現一款內置于手機ROM的惡意代碼模塊，并將該模塊命名為“PoisonCake(毒蛋糕)”。PoisonCake可以單獨運行，解密釋放相關主體功能模塊，在后臺監控自身進程并執行短信和WAP扣費、注入Phone進程，攔截短信和發送短信等惡意行為。

PoisonCake:內置于手機ROM的惡意代碼模塊

近些年，無線上網卡上的軟件和傳輸協議屢屢因為漏洞遭到破解。就在近期召開的歐洲黑客聯盟(Chaos Computer Club)會議上，Positive Technologies的研究者披露了4G USB無線上網卡中存在漏洞，攻擊者可以借此入侵4G無線上網卡和SIM卡。

研究人員發現攻擊4G無線上網卡和SIM卡的方法

對于Cisco設備管理員來說，“Cisco Ios Software Checker”這個安全工具十分有用，可以確定Cisco IOS軟件是否錯過了安全補丁或者安全漏洞。筆者嘗試在用于查找Cisco IOS版本的輸入框中提交一些垃圾數據，結果被系統無情的被拒絕了。

我是如何發現一枚Cisco XSS漏洞的

云備份越來越受歡迎，它提供了一種經濟、靈活且便捷的方式來保護您的數據。但哪一款云備份解決方案最適合你?

5款云備份工具助力數據安全

最后，小編為大家推薦一個關于CISSP培訓的視頻。公共知識體系(CBK)中的國際注冊信息系統安全專家(CISSP)安全架構和設計部分側重于計算系統的架構以及安全如何整合到架構水平。在這個多媒體演示中，CISSP考試培訓師Shon Harris全面概述了CBK安全架構和設計部分。

D1Net評論：

時間總是在不經意間流逝，轉眼間我們已經步入了2015年。新年伊始，以上為大家準備的關于安全問題的干貨，敬請笑納。