南方信息安全周刊（2015年10月24日).docVIP

一、 本期信息安全资讯 1 1. 走近亚洲安全会议HITB 1 2. 好莱坞艳照门频发 云服务还安全吗？ 4 3. 基于云的数据保护并不理想 8 二、 本期行业安全动态 10 1. 你的钱被洗劫了么！APP安全问题来袭 10 2. iCloud内地服务器遭攻击 用户数据或已外泄 12 三、 前沿安全技术领域分享 13 1. PCI DSS合规：大型机安全最佳做法 13 2. 量子密钥分配能否提高智能手机和平板电脑安全？ 17 3. 谷歌推“安全密钥”账号安全保护服务 19 四、 最新病毒及安全漏洞 22 1. 敲竹杠木马危害升级强锁电恼变“废柴” 22 2. “破壳”漏洞(CVE-2014-6271)综合分析_V1.53——“破壳”漏洞系列分析之一 24 3. “破壳”漏洞相关恶意代码样本分析报告_V1.9——“破壳”漏洞系列分析之二 38 4. “破壳”漏洞相关恶意代码样本分析报告_V1.9——“破壳”漏洞系列分析之三 46 5. 新蠕虫病毒侵袭让苹果Mac电脑沦为“肉鸡” 83 本期安全资讯走近亚洲安全会议HITB 　　HITB安全会议日程 1.2天的前沿技术培训 2.2天的安全会议 3.2天的现场黑客攻击和防护竞赛 4.8小时/24小时的黑客马拉松 5.技术展示 　　加入的理由 1.和世界各地的顶尖安全专家交流 2.拓展新的专业技术关系圈 3.随时获得计算机安全新信息 　　安全达人有话说 “HITB是一个很值得参加的会议，在这里有最前沿的技术展示和培训”——微软高级主管 “参加HITB真的很令人难忘，会议内容很丰富，组织也很完善”——EADS “HITB安全会议是我见过的最棒，组织最完善，内容最新颖的安全会议”——GNUCITIZEN ...... 　　最新事件 2014年十月13-16日在马来西亚首都吉隆坡举行了本届的HITB安全会议。本次吉隆坡的议题涉猎非常广泛，由EFF代理律师Nate Cardozo以后棱镜时代作为开场，进行了2天的技术会议后，以多才多艺的Richard Thieme关于黑客如何在技术性进化逼近奇点的大时代背景下理解个体的人生意义等有趣议题作为本次会议的结尾。 　　2014 HITB议题 Katie: Into Dark Ages /hitbsecconf2014kul/sessions/keynote-2/ Nate：The Next Crypto Wars,Or How We Never Learned to Stop Regulating Exports /hitbsecconf2014kul/sessions/keynote-1/ Richard: Hacking as Practice for Transplanetary Life in the 21st Century:How Hackers Frame the Pictures in Which Others Live /hitbsecconf2014kul/sessions/closing-keynote/ Bob：Rethinking the Front Lines /hitbsecconf2013ams/keynote2-bob-lord/ HaroonMeer: You and your research /hitbsecconf2012kul/haroon-meer/ 更多内容详见/ 好莱坞艳照门频发 云服务还安全吗？ 尽管一再强调自身云服务的安全性，但苹果iCloud还是捅出了娄子。就在上个月，大量好莱坞女明星的私人照片被泄露出来，一时间求种、求链接、求完整版成为了网络上最热门的词汇。云服务的安全性也再一次成为人们关注的焦点。 据了解，这次被称为“ibrute”的安全漏洞之前不久刚在GitHub上发布。它利用了“查找我的iPhone”服务应用程序编程接口(API) 上的一个安全漏洞。这个漏洞允许黑客一个接一个地尝试密码，直到他们找到正确的密码。一旦密码被发现，它就可以被用于访问该用户的iCloud账户。 对于普通人来说，泄露几张照片或者私人邮件也许并不会造成太大的危害，但如果你的信用卡信息、密码也被泄露了呢？再进一步，如果是一家企业的关键客 户甚至财务数据也遭到泄露，那么后果将不堪设想。与个人消费云服务不同，企业级云服务对安全性的要求要严格的多，它放大了对整体IT环境的挑战。从物理设 备到网络设备再到数据的安全，所有这些问题都是企业在评估云服务商时所需要考虑的因素。 事实上，安全性对于企业来说并不是一道防火墙那么简单，它应该是立体的，需要在多个方面进行投入。以金融行业为例，它的安全性从交易安全、信息安 全、内容安全一直延伸到现在的互联网安全。以往企业更关注交易事后的安全，而现在则需要保证在交易进行当中的安全。从IT架