zhaol's blog

今天是“腊八”，联想集团人才招聘系统就在今天成功上线，覆盖集团的人才需求发布和人才库，欢迎大家前往。网址是：

http://career.lenovo.com.cn

内部推荐还有“伯乐”奖...

平时在路边经常能够看到下面这两幅广告，很少见的和网络安全有关的路边、大众媒体广告。今天周末碰巧带着照相机，就把他给拍了下来。
“这就是安全 － 电子信息安全防护系统”   －－－ “这就是安全 － 电子信息保密系统”， －－－ “诚招代理商”， 边上留着风语者公司的联系电话。
我总觉得这两幅广告像是一个探路者，网络安全能否成为大众消费品？反病毒有点像，个人防火墙已经被微软消灭了。这两幅广告或许在告诉我们风语者在探索大众认证和加密产品的接受度。我没有和风语者公司打过交道，也不认识朋友在哪里。不知他们现在的生意如何？
之前，不管是安氏、天融信、启明星辰、绿盟，还是华为、联想网御、东软、亿阳等等都还在企业市场中拼杀，瑞星、江民、金山、冠群金辰等在渠道和联邦店里出活。

风语者，你想作什么？

这个周末，光彩照人的阳光把小朋友们都吸引出家门。在我们家的小朋友的强烈要求下，我们带着小朋友来到北京天文馆，漂亮、充满高科技的外观令人赞叹，各式各样的显示、投影设备放映着太阳、地球、金星、火星、海王星。。。各种主题的资料片。从远处看，每个屏幕上都有各白色的弹出Windows窗口，职业的本能过去仔细一看：

原来是每个屏幕上面都有一个病毒警告，天文馆使用了Symantec的防病毒系统，今天刚刚发现了病毒，这似乎还没有太让人恼火，至少证明天文馆的显示系统服务器上面还是安装了反病毒软件。可是再仔细看，感染的文件名是C:\GameSetup.exe，哦，这看起来怎么是各游戏安装软件呢？ 都是使用的Administrator帐号，并且这个告警出现在了从MTBFQ01 - MTBFQ20+很多显示控制服务器上，这就让人感到有点失望、甚至恼火了。

小朋友们从这个屏幕上能够领会到的意思不会有这么多，但是至少这些警告窗口很是影响资料片的观看，影响北京天文馆的高科技形象。不直接认识天文馆IT系统的管理人员，如果哪位有朋友在哪里，不妨帮助提个醒。

原文

下面这则短文很多朋友可能都看过了，还是很有趣的。牧羊人总结了顾问的三个特征：

• 其一是不请自来；
• 其二是告诉人家已经知道的事情，却还要人家付费；
• 其三是根本不懂人家的业务（business）。

从很久以前，我们人类就开始和垃圾邮件进行着斗争。在某段时间，在各种专业反垃圾邮件技术的支持下，我们做到了关键词、黑名单、自动学习、相当程度的智能识别（其中还包括贝叶斯算法等的使用，;)）等各种技术的综合使用。例如在Gmail中，垃圾邮件的自动识别率已经相当令人满意，并且误杀率也基本接近0。 我们曾经准备宣布人类已经成功的解决了垃圾邮件的问题，但是现在人类又要面对更新的、更强大的垃圾邮件威胁。

1 图片垃圾邮件： 上述技术主要针对文字垃圾邮件。新的垃圾邮件在Subject域并没有显眼的“垃圾”特征，内容却是一幅图片，其中的图片也不具备一些典型的黄色图片特征（即人类皮肤的颜色比例）。而是在技术角度看起来像非常正常的奥运、圣诞图片。
2 僵尸网(BOTNET)：专门为发送垃圾邮件而生成的僵尸网规模已经相当可怕，每天可以放松百万量级的垃圾邮件。下文中报导的SpamThru就是这个目的。
3 股票等金钱驱使：垃圾邮件中的内容是非常严肃的股市分析，劝告你去购买某些、某种股票。百万接收者中有百分之几的相应率就可以对某只股票造成某种程度的人为操纵，然后操纵者乘低买入，乘高卖出。这方面和相当部分的网络欺诈和入侵有些相似。

斗争在进行中...

ComputerWorld的Mary K. Pratt发表了其关于2007年安全技术走向的分析，列举了其看好的五大安全技术。它们是：

1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.

看完Mary的分析后，我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。

前些时候，不经意间发现思科公司的图标换了，后来发现原来华为公司的Logo也和原来有了显著的区别，大家看：

  Cisco New Logo <- Cisco Old Logo

Huawei New Logo <-  Huawei Old Logo

后来看了看新闻， 思科公司大约在2006年十月份，悄然更改了logo，桥上的铁锁从22根变成了9根，为了贴近家庭市场，Logo显得很卡通感，很活泼。但是也失去了原有的严禁和肃穆。参看评论文章。

华为Logo的更换则更早一步，发生在2006年5月8日，劳动节回来，辛苦了一假期制作的新logo就上线了:)。光线从原来的15根减少到了8根，更加丰满，亮丽，参看评论文章。

2007 新年到 ！

第一场雪就赶在 2006 和 2007 交接班的时刻赶到了。

祝各位新朋旧友在美丽的银妆素裹中快乐、自信、成功、安康、幸福 ！

这两年使用短信欺骗的报导和宣传已经很多，我们不妨管它叫 Sishing, S 代表SMS。比它科技含量高些的是 Phishing, 发出一个群组邮件，然后静候某些邮件接收者点击其中的链接，在那个链接那里有一个提示界面，为了恢复您的信用卡，请输入您的卡号和密码，再往后面的步骤就很简单了。大家都知道这是Phishing攻击，现在有很多厂商已经提出了各种解决方案，已防止用户被欺骗。这里也包括IE7和Firefox2.0的努力奉献。这里，各种社会媒体和宣传力量也在贡献自己的力量来培养大众的自我保护意识，避免被轻易欺骗：

• 不要轻易点击不明邮件中的链接
• 任何银行、信用卡公司、电信公司都不会通过任何方式向用户索取密码
  

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题，包括一般用户口令长度的统计：

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent

numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent

The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.

前不久，eWeek Labs评出了2006年8大杰出新产品，它们是

• Asterisk的VoIP产品，最有名的开放源代码VoIP开发平台
• Apple的MacBook Pro， Steve Jobs的杰作
  
• 咱们Lenovo联想的Thinkpad X60 Tablet，7小时续航时间、802.11n、Intel's Core Duo processors, EvDO (Evolution Data Optimized)...
• Opera 9、
• Splunk、
• RiverBed公司的Steelhead，WAN优化、帮助IT经理省钱的利器
• Vmware 1.0，大家都很熟悉了

eWeek列举了2006年十大愚蠢技术骗局（Stupid Technology Tricks of 2006），其中Google Mail的电子邮件病毒事件上榜，影响了数万名邮件用户。事后，Google修改了自己的发布流程，以避免类似事件再次发生。被影响的用户数量说实在的不算多，但是可以想象一下本来可能就是几千万用户，Google可以让几千万用户的邮箱打上可以定制的标记...

2003年春天爆发的SARS想必大家还记忆尤新，后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响，尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时，制定业务连续性计划时的一些最佳实践，...

前两天的帖子希望和大家多讨论一下关于Blackberry的安全考虑，下面的这篇文章来自EWeek的SecurityWatch，里面列举了许多进入Blackberry的办法，就是获取那些VIP机密、隐私信息的办法了。虽然大多都是需要欺骗用户接受一些假冒的恶意代码，但是还是有非常大的安全隐患。供大家参考。