zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

想大家推荐一篇国外的文章，关于VoIP安全威胁的总结。相关内容参加我的英文博客。

下面这则短文很多朋友可能都看过了，还是很有趣的。牧羊人总结了顾问的三个特征：

• 其一是不请自来；
• 其二是告诉人家已经知道的事情，却还要人家付费；
• 其三是根本不懂人家的业务（business）。

从很久以前，我们人类就开始和垃圾邮件进行着斗争。在某段时间，在各种专业反垃圾邮件技术的支持下，我们做到了关键词、黑名单、自动学习、相当程度的智能识别（其中还包括贝叶斯算法等的使用，;)）等各种技术的综合使用。例如在Gmail中，垃圾邮件的自动识别率已经相当令人满意，并且误杀率也基本接近0。 我们曾经准备宣布人类已经成功的解决了垃圾邮件的问题，但是现在人类又要面对更新的、更强大的垃圾邮件威胁。

1 图片垃圾邮件： 上述技术主要针对文字垃圾邮件。新的垃圾邮件在Subject域并没有显眼的“垃圾”特征，内容却是一幅图片，其中的图片也不具备一些典型的黄色图片特征（即人类皮肤的颜色比例）。而是在技术角度看起来像非常正常的奥运、圣诞图片。
2 僵尸网(BOTNET)：专门为发送垃圾邮件而生成的僵尸网规模已经相当可怕，每天可以放松百万量级的垃圾邮件。下文中报导的SpamThru就是这个目的。
3 股票等金钱驱使：垃圾邮件中的内容是非常严肃的股市分析，劝告你去购买某些、某种股票。百万接收者中有百分之几的相应率就可以对某只股票造成某种程度的人为操纵，然后操纵者乘低买入，乘高卖出。这方面和相当部分的网络欺诈和入侵有些相似。

斗争在进行中...

ComputerWorld的Mary K. Pratt发表了其关于2007年安全技术走向的分析，列举了其看好的五大安全技术。它们是：

1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.

看完Mary的分析后，我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。

这两年使用短信欺骗的报导和宣传已经很多，我们不妨管它叫 Sishing, S 代表SMS。比它科技含量高些的是 Phishing, 发出一个群组邮件，然后静候某些邮件接收者点击其中的链接，在那个链接那里有一个提示界面，为了恢复您的信用卡，请输入您的卡号和密码，再往后面的步骤就很简单了。大家都知道这是Phishing攻击，现在有很多厂商已经提出了各种解决方案，已防止用户被欺骗。这里也包括IE7和Firefox2.0的努力奉献。这里，各种社会媒体和宣传力量也在贡献自己的力量来培养大众的自我保护意识，避免被轻易欺骗：

• 不要轻易点击不明邮件中的链接
• 任何银行、信用卡公司、电信公司都不会通过任何方式向用户索取密码
  

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题，包括一般用户口令长度的统计：

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent

numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent

The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.

前不久，eWeek Labs评出了2006年8大杰出新产品，它们是

• Asterisk的VoIP产品，最有名的开放源代码VoIP开发平台
• Apple的MacBook Pro， Steve Jobs的杰作
  
• 咱们Lenovo联想的Thinkpad X60 Tablet，7小时续航时间、802.11n、Intel's Core Duo processors, EvDO (Evolution Data Optimized)...
• Opera 9、
• Splunk、
• RiverBed公司的Steelhead，WAN优化、帮助IT经理省钱的利器
• Vmware 1.0，大家都很熟悉了

eWeek列举了2006年十大愚蠢技术骗局（Stupid Technology Tricks of 2006），其中Google Mail的电子邮件病毒事件上榜，影响了数万名邮件用户。事后，Google修改了自己的发布流程，以避免类似事件再次发生。被影响的用户数量说实在的不算多，但是可以想象一下本来可能就是几千万用户，Google可以让几千万用户的邮箱打上可以定制的标记...

前两天的帖子希望和大家多讨论一下关于Blackberry的安全考虑，下面的这篇文章来自EWeek的SecurityWatch，里面列举了许多进入Blackberry的办法，就是获取那些VIP机密、隐私信息的办法了。虽然大多都是需要欺骗用户接受一些假冒的恶意代码，但是还是有非常大的安全隐患。供大家参考。

参见下面的报道，AcrobatReader+IE 出现导致远程控制的重大安全漏洞，影响Acrobat Reader 7.x版本，但是限于IE浏览器。报道中介绍了推荐临时解决方案，就是将出现漏洞的那个ActiveX删除。当然还有另外一个解决方案就是使用Firefox...

Blackberry可以为用户带来全球范围的移动服务，随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT：

不要管他叫什么，关心的是我们能够得到什么。新浪的这个新闻还是很有意思。 － 互联网创业瞄准Web3.0时代 风投商造梦与毁梦
http://www.sina.com.cn 2006年11月30日 07:05 新浪科技

　　在Myspace、 YouTube大获成功后，互联网时代的创业者们又被注入了新的激情。昔日的车库已被咖啡馆所取代，人们还未消化下2.0，Web时代又迎来了3.0。我们该怎么办？如果说上个世纪依靠“模仿”，我们侥幸拥有了些许成功者，而如今，要获得成功，只能是踏踏实实为用户解决问题。

　　在旧金山的Ritual Coffee Roasters咖啡馆里，可以见到很多行为相似的二、三十岁的年轻人，他们大多为男性，总是聚精会神地坐在笔记本前上网。他们并没有关注MySpace、YouTube、或其它潜在的成功者，事实上，他们希望自己成为未来的成功者。硅谷又进入了黄金时期，几乎每一个角落都存在着机会。最新数据显示，新兴科技公司平均每月可以获得1.8亿美元的投资。年轻、企业家的热情、科技洞察力、经济实力、美国梦、以及美国西海岸的乌托邦理想等多种因素结合在一起，构成了推动信息时代不断向前发展的“永动机”。

　　咖啡馆取代了车库

前些时候在制定企业桌面计算机安全标准时，讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处，其中主要是信息安全，甚至还有听说有人偷到这样的笔记本电脑后，无法打开，去专修店维修而不抓住，从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合，带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。

看下面的新闻评论，Seagate推出了硬盘级的加密技术DriveTrust，广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker，可以集成在WMI和AD的环境中，集中管理，但是没有对全部数据提供加密保护。两者真是各有千秋，不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样，在计算机中保存的信息越来越隐私、越来越值钱时，相应的安全保护技术也就有了大市场。

Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer， November 9, 2006

在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情，但是如果可以使用Google这样的搜索引擎来搜索漏洞，会是什么感觉呢？下面的这篇博客文章和评论很有意思，值得一看。

Google VulnSearch?

Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!