订阅数:533719有位公安系统的朋友提到这样一个案例:“一位办案人员的笔记本在出差期间失窃了,由于该电脑中存放大量案件的破案进度等高度机密信息,他们大为紧张,曾经尝试多种方法希望找回来,甚至找到过安全公司,试图让他们通过黑客手段设法进入该电脑后将数据销毁……”
的确,我们偶尔能在媒体报章看到这类事件的发生,比如:
美中央司令部便携电脑丢失 内装有军事机密存放机密数据的电脑一旦失窃,黑客有多种手段可以破解掉常见的一些防护手段,比如BIOS密码、Windows系统登陆密码等,至多用LiveCD启动,或者甚至卸下硬盘挂到其它机器上将数据拷出来……电脑中的机密数据,可以说是赤裸裸地暴露在窃贼的眼前,也正因为如此,美国军方为了保证他们的信息安全,在电脑保障方面采取了一系列缜密的措施。
失窃电脑惊曝英军军情内幕
澳政府1500台电脑丢失 内存国防部绝密信息
电脑中的数据全部都是加密存储;
出差时需要申请离线,一旦超时便无法打开文档;
用LiveCD启动或卸下硬盘,读取的全部是加密文件;
用户透明,完全不改变日常使用电脑的习惯,零学习与使用成本。
ChinaCISSP论坛上有一篇《国内电子文档保护产品对比》,这种文档估计做防泄密产品、电子文档安全产品的厂商内部,应该都有更完整的版本。甚至会有详细的竞争产品测试报告、BUG报告(包括绕过的方法
)等等。但那类文档的“攻击性”太强,估计不会有人愿意公诸于众的,所以这篇算是写得不错的了,推荐一下 :)
点击下载《国内电子文档保护产品对比》
已经有至少两位客户问过我:你们的铁卷电子文档保护确实很不错,可我老觉得美中不足,就是我没办法设置权限。比如一个文档,张三能看李四能打印王五能编辑,你们能实现吗?
其实实现这个功能的难度并没有那么大,只是glacier和我讨论过以后,考虑以下几个问题我们还没想明白,所以暂时没放进去:
1、企业的电子文档管理水平是否已经到了要使用权限管理的阶段?
在我们的理解中,目前国内单位对电子文档普遍是处在“管理无序”的状态,要改变这一现状,实际上还需要从技术与管理两方面下手,一方面用技术手段实现加密(类似铁卷这样的解决方案),另一方面要制订相应的管理方法,并在实践中将电子文档逐步分级管理,做好标识工作,使之规范化。这两方面工作完成之后,就可以最终从技术上建立一套完整的解决方案,对电子文档进行加密和分权。
很明显的一个例子是国外某著名信息防泄露软件,该软件在国内有几个应用案例,我走访了相关用户,却发现无一例外,所有用户都是白花了这笔钱,软件的功能没用好,为什么呢?因为他们企业管理水平还没有达到相应的高度,根本就没有电子文档的标识、密级、管理这一系列的管理制度和方法,这时候直接上一套软件,使用者完全无所适从。
2、如果防泄密软件中可以实现权限管理,那是否能和企业现有的OA、MIS等有权限管理的系统透明整合?会不会造成重复建设,导致最终的实施与使用失败?
所以铁卷现在采用的是“透明整合”的方式,只对电子文档本身做处理。至于在应用层要做什么样的权限控制操作,则仍旧由应用层处理,在现阶段这不失为一种不错的解决方案,例如,铁卷可以:
1、与Office的安全功能透明整合,可以给Office文档设置打开、修改密码,如果部署了微软的IRM/RMS,也可以透明兼容,这种实现方式不会有功能上的损失,又能够比多数防泄露产品提供更有效的完整的权限管理解决方案,何乐不为?
2、与现有的ERP、MIS、OA中的权限管理透明整合,本身各种ERM/OA/MIS程序中都内置有权限管理功能,并且除了权限管理,还有具备各自己企业特定需求和工作环境的一系列流程操作的功能,普通信息防泄露产品要实现这样的定制化功能,难度非常大,而且并非安全厂商的专长,既然如此,铁卷的这种透明整合,就成为一种“巧”办法了 :)
原文:又见无间道
无间道续集,这回是听说(仍然是道听途说,但真实性应该在 9 成以上吧),有一家美其名曰做安全的公司(既然称之为美其名曰,肯定是有道理的,因为他们实际上做的是鸡鸣狗盗的事,到处偷人的文档、产品源码、exploit……并以此赢利),在招聘员工的时候,面试了一个写得不错的啥啥之门的木马作者,让人带着电脑过去,说可能要看看他的代码,以此判断一下实际工作能力……
人到了,让他把笔记本放在外屋,将小伙子请进会议室,恳切地长谈。
外屋却有小孩,悄悄的将人家电脑开机,插入 LiveCD 启动,全盘搜索有价值的资料。于是乎,那啥啥门的代码就此沦入他人之手……可怜年轻小伙儿,眼巴巴地将源码大老远送上门来,还搭上了路费。
我的观点一向是,要做生意,先交朋友。生意可能是一时的,朋友却是一世的。人品差了,没人跟你交心,就算一时占到些便宜,长久终究要栽跟头的。
killer 贴了个图:
有个家伙,做了个木马到处散布,中招者 word 文档被隐藏起来,硬盘上留下这么个文件。一般的受害者就只能老老实实地汇款,或者坐视文档荡然无存。
不得不佩服这些人活的大脑和厚的脸皮,照理说,这种人应该很容易抓才对,哎……
一起入室盗窃案让美国2650万老兵的身份数据全部外泄!其中包括他们的姓名、生日和社会保险号。有专家称,这次盗窃案是美国迄今为止最大的社会保险数据外泄案。
从目前迹象看,警方怀疑这只是一桩普通的入室盗窃案,窃贼或许尚不知道自己手中资料的价值。但是,由于退伍军人事务部雇员违反规定私自带敏感信息回家导致失窃,令该部面临重大压力。
感谢 atao 给我发这个链接,真假无从得知,商业竞争也是一场无间道。
原文:http://blog.sina.com.cn/u/45edf5b10100043l#comment 注释的第二页,截个图先 :)
记得那是2003年10月,HW公司的A副总找到我,问我:是不是一直在做网络安全方面的学习,我说是的,然后A副总又问了我一些关于学习、生活、和工作等方面的情况,然后A副总详细地询问了关于网络安全和网络上所说的黑客的区别和共同点。随着A副总的表情越来越严肃,我感觉可能会出什么事情。果然在谈了2个小时后,A副总说希望我可以做一件事情,就当作是一个实际案例来分析一下,A说:目前从收集的资料来看,GW公司的内部网络和他的信息化的平台我们都了解了大致的结构,但是希望可以研究一下一个做数据通信的公司其数据和网络的安全性究竟有多可靠,就当是一个测试。
看到朋友们在讨论两个消息:
1、0-Day attack in the Microsoft Word environment
这则消息可以和“国外安全人员称Word最新攻击代码来自中国”对照着看,从这里面我们可以看到,甚至应用程序(可能包括 Office、MediaPlayer、IM、浏览器、邮件客户端等等……)的攻击和渗透已经悄无声息地流行起来了。
2、0day 中国
这让我很诧异,市场经济果然神奇,有买家就一定会有卖家。在他们的站点上,可以看到这么一个 word 的溢出程序:
日本防卫厅官员16日称,日本海上自卫队的一些机密计划被泄露到了互联网上,其中3000多个文件涉及日本海上自卫队2003年实施的最大规模的机动演练———海上自卫队演练作战计划。日本防卫厅自2月份发现文件泄露后就已展开调查。
泄密
通讯频率首度被公开
令人尤为关注的是泄密内容中包括2003年海上自卫队演练作战计划的文件,特别是日本自卫队与美国海军共同使用的通讯频率和机密编码。这是作为高度机密文件的海上自卫队演练计划首度被公开。
据新华社华盛顿2002年8月7日电,美国军方人士7日透露,美国中央司令部上周四丢失了两台便携电脑,其中一台装有军事机密。由于该司令部负责指挥阿富汗的反恐战争,电脑的丢失引起了军方高层人士的严重关注。
中央司令部发言人里士满少校对记者说,空军特别调查办公室目前正在对这一事件进行调查,以确认电脑是否被人偷走。
英国镜报做好事,替国防部找回失窃电脑
失窃电脑惊曝英军军情内幕
电脑里存着价值500亿英镑的战斗机研制方案
Powered by Haiwit
