zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看，主要的安全威胁，我个人认为，是病毒及其衍生威胁，以及内部的滥用和误用。前者是从基础设施的角度来看，后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢？病从口入 ！ 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等，更进一步安全经理还想将互联网的访问定位到每个用户，以便计费或者审计。这些都需要强有力的安全代理的支持。可是，代理如何选择呢？ Jason向我推荐了一个网页，我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见，分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书，总结了BlueCoat的5大优势：

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

从很久以前，我们人类就开始和垃圾邮件进行着斗争。在某段时间，在各种专业反垃圾邮件技术的支持下，我们做到了关键词、黑名单、自动学习、相当程度的智能识别（其中还包括贝叶斯算法等的使用，;)）等各种技术的综合使用。例如在Gmail中，垃圾邮件的自动识别率已经相当令人满意，并且误杀率也基本接近0。 我们曾经准备宣布人类已经成功的解决了垃圾邮件的问题，但是现在人类又要面对更新的、更强大的垃圾邮件威胁。

1 图片垃圾邮件： 上述技术主要针对文字垃圾邮件。新的垃圾邮件在Subject域并没有显眼的“垃圾”特征，内容却是一幅图片，其中的图片也不具备一些典型的黄色图片特征（即人类皮肤的颜色比例）。而是在技术角度看起来像非常正常的奥运、圣诞图片。
2 僵尸网(BOTNET)：专门为发送垃圾邮件而生成的僵尸网规模已经相当可怕，每天可以放松百万量级的垃圾邮件。下文中报导的SpamThru就是这个目的。
3 股票等金钱驱使：垃圾邮件中的内容是非常严肃的股市分析，劝告你去购买某些、某种股票。百万接收者中有百分之几的相应率就可以对某只股票造成某种程度的人为操纵，然后操纵者乘低买入，乘高卖出。这方面和相当部分的网络欺诈和入侵有些相似。

斗争在进行中...

ComputerWorld的Mary K. Pratt发表了其关于2007年安全技术走向的分析，列举了其看好的五大安全技术。它们是：

1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.

看完Mary的分析后，我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。

2007 新年到 ！

第一场雪就赶在 2006 和 2007 交接班的时刻赶到了。

祝各位新朋旧友在美丽的银妆素裹中快乐、自信、成功、安康、幸福 ！

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题，包括一般用户口令长度的统计：

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent

numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent

The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.

前不久，eWeek Labs评出了2006年8大杰出新产品，它们是

• Asterisk的VoIP产品，最有名的开放源代码VoIP开发平台
• Apple的MacBook Pro， Steve Jobs的杰作
  
• 咱们Lenovo联想的Thinkpad X60 Tablet，7小时续航时间、802.11n、Intel's Core Duo processors, EvDO (Evolution Data Optimized)...
• Opera 9、
• Splunk、
• RiverBed公司的Steelhead，WAN优化、帮助IT经理省钱的利器
• Vmware 1.0，大家都很熟悉了

前两天的帖子希望和大家多讨论一下关于Blackberry的安全考虑，下面的这篇文章来自EWeek的SecurityWatch，里面列举了许多进入Blackberry的办法，就是获取那些VIP机密、隐私信息的办法了。虽然大多都是需要欺骗用户接受一些假冒的恶意代码，但是还是有非常大的安全隐患。供大家参考。

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

When we had dinner for CCClub Beijing gathering, I suggest Billy adding RSS feed to the web site. Billy told me his thinking that RSS might steal away much pageview of the website and thus lower the readers' stickiness.  I don't think so.

When you prepare to roll out your RSS feed, you must be thinking those feed readers might won't click to the "original page", so that your page view will be eroding.  It seems to be a reasonable thinking. But my first question is why you run your web site?  second question is why so many web sites are hurrying to advertise their RSS feed?

If some of your RSS items always won't bring your subscribers to further clicking, there might be two reasons: your content is just not absorbing enough, and the content is just enough at that moment. For the first case, of course it's not the fault of readers. You need to better your content or they are not your reader objectives, ie. wrong subscription without hurt to both parties.  For the second case, you have succeed in getting to your goal : to broadcast your message, why not further waste your bandwidth and adding server load.  You lose nothing but those sterile pageviews.

Rather, RSS might bring something good that you overlook. RSS feed by far ease the accessibility and readibility. As a result, your message will reach more desktops than just staying at your web site.

Buddy, just go RSS. It won't steal your page view and erode your reader stickiness at all. It will do good. 

Symantec今年一月份收购IMLogic后，IM/P2P安全市场更加群情激愤，斗志昂扬。Facetime新近推出最新版本的IMAuditor Enterprise Editor 7.0，并且获得SC Awards2006大奖。这是一款大概机架式式服务器，支持当前大多数的IM/P2P应用，这里的支持包括了用户识别、认证、访问控制（文件共享、网络聊天、视频等），在支持的应用列表中大家可以找到炙手可热的Skype，也有我们中国占通知地位的QQ。下面是其 Datasheet中的截图：