Microsoft Azure实现可信计算中的数据处理时加密

目录 SOLUTION

在可信计算的全链路加密中,数据处理时的加密一直非常困难,因为不管数据怎么加密存储,必须要解密成明文才能处理,而在数据处理的解密过程中,就有可能会造成数据泄露,如以下途径:

1、解密后的明文数据会在内存中,可能会被恶意App获取

2、解密的操作权限一般是root,攻击者可能会获取到root权限,从而执行解密操作,获取明文数据

 

所以在数据处理时,如果要避免明文数据泄露,这个操作不能放在OS里,需要放在更底层。Azure通过2种方式实现可信的执行环境(TEE, Trusted Execution Environment),分别是Virtual Secure Mode (VSM) 和 Intel SGX。VSM是基于软件的TEE,由Windows 10和Windows Server 2016中的Hyper-V实现,Hyper-V可防止本地管理员、云服务管理员或以这些权限执行的代码,对VMS中的数据执行增删查改;Intel SGX是一种基于硬件的TEE,对于OS它就是一个黑盒子,待处理的密文进去,处理后的密文出来,这也是首个在公有云中支持Intel SGX技术的云厂商。

如果云能解决数据私密性问题,将得到更广泛的应用。

参考:https://span.eu/en/2017/10/microsoft-azure-youll-be-even-more-secure-in-the-cloud-now/

OWASP Application Security Verification Standard 3.1中文翻译

目录 SOLUTION

闲来看看ASVS,竟然有更新,要上3.1了,仍在整理中,还没打好版本。

大致过了一遍更新的内容,整体感觉是ASVS的角度更加全面,也更加实用了,之前的版本感觉主要是在架构师和开发者的角度,怎么去规避常见风险,给我一种合规的感觉。这个版本加入的内容添加了很多攻击者视角的内容,从常见或最新攻击方式,逆向推导出verification standard,更适合作为一个实用的checklist去用了;另外也看到更多的考虑开发流程上的事了,比如CI/CD;移动端部分的内容从ASVS移出去了,应该会有个专门的项目讲移动:OWASP Mobile Application Security Verification Standard

等官方版本打出来后,再翻一波:https://www.gitbook.com/book/m4skm0b/owasp_asvs_3-1_zh-cn

社工密码规则整理

目录 HACK

俗话说:人是最大的弱点,所以密码是个人安全和企业安全挥之不去的话题。

Mr. Robot中有这么一幕,Elliot通过特征字符串,生成一个字典,跑完后失败,说:这个年纪的人应该不会用别的密码,然后继续收集特征字符串,发现了目标养了个宠物,结果密码就是宠物名加数字组合。那么这个针对性字典如何生成,有什么规则或者规律,是这篇文章的主题。

继续阅读 “社工密码规则整理”