Yi-Feng Tzeng’s Blog

Source: InformationWeek

1. Vendors do not need to be ahead of the hackers; they only need to be ahead of the buyer
2. Antivirus certifications do not require or test for Trojans
3. There is no perimeter
4. Risk assessment threatens vendors
5. There’s more to risk than weak software
6. Compliance threatens security
7. Vendor blind spots allowed for the “Storm” botnet
8. Security has grown well past the “do it yourself” stage

If you’re a good hacker, everyone knows your name
If you’re a great hacker, no one knows who you are

Source: Hackers Wisdom

Source: Five basic mistakes of security policy

1. Not having a policy
2. Not updating the policy
3. Not tracking compliance with the policy
4. Having a “tech only” policy
5. Having a large, unwieldy policy

Security is a process, not a product

by Bruce Schneier

One small step for man, one giant leap for hackers.

Hahahaha

聽說這句是「Google」面試考題，出現情況是在伺服器(server)當掉時，出現的畫面。

Read the rest of this entry »

Source

簡單說 Availability 看的是 Time Lost ( Uptime / Total time )；而 Reliability 是看時間內 failures 的次數。

RSA 是目前全球最大的資安會議。 RSA 是由三位密碼學大師的名字於 1977年所設計的(Ron Rivest, Adi Shamir, and Leonard Adleman)，也是當今很出名的演算法名稱。

在今年(2008)，RSA其中一人，在會議上指出三大重點：

1. 優秀密碼學設計至今仍然牢不可破
2. 但 Web security 卻很糟
3. 根本不能相信 software 的安全性

其他的議程有對 Web/software security 很糟的議題有所回應，說明為何在此兩個領域很難做到。因此，今年的小小結論將會是 Data-Centric Security(以資料為主的資安)，也就是加密重要資料(如客戶資料)。如此即使被突破而偷走資料，也不至於在短時間內被破解。

1996 - XSS
1998 - SQL injection

其它的忘了，有資料再補。

雖然這份文件是 2006年 9月出的，但是有做到的單位似乎不多。

PCI DSS Security Audit Procedures document，總共有 12個 requirements。

Read the rest of this entry »