电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:364326前两天的帖子希望和大家多讨论一下关于Blackberry的安全考虑,下面的这篇文章来自EWeek的SecurityWatch,里面列举了许多进入Blackberry的办法,就是获取那些VIP机密、隐私信息的办法了。虽然大多都是需要欺骗用户接受一些假冒的恶意代码,但是还是有非常大的安全隐患。供大家参考。
Blackberry可以为用户带来全球范围的移动服务,随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT:
不要管他叫什么,关心的是我们能够得到什么。新浪的这个新闻还是很有意思。 - 互联网创业瞄准Web3.0时代 风投商造梦与毁梦
http://www.sina.com.cn 2006年11月30日 07:05 新浪科技
在Myspace、 YouTube大获成功后,互联网时代的创业者们又被注入了新的激情。昔日的车库已被咖啡馆所取代,人们还未消化下2.0,Web时代又迎来了3.0。我们该怎么办?如果说上个世纪依靠“模仿”,我们侥幸拥有了些许成功者,而如今,要获得成功,只能是踏踏实实为用户解决问题。
在旧金山的Ritual Coffee Roasters咖啡馆里,可以见到很多行为相似的二、三十岁的年轻人,他们大多为男性,总是聚精会神地坐在笔记本前上网。他们并没有关注MySpace、YouTube、或其它潜在的成功者,事实上,他们希望自己成为未来的成功者。硅谷又进入了黄金时期,几乎每一个角落都存在着机会。最新数据显示,新兴科技公司平均每月可以获得1.8亿美元的投资。年轻、企业家的热情、科技洞察力、经济实力、美国梦、以及美国西海岸的乌托邦理想等多种因素结合在一起,构成了推动信息时代不断向前发展的“永动机”。
咖啡馆取代了车库
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
在最新的SANS TOP20发布中,VoIP首次被列入重要攻击目标,标号是N1。表明VoIP的安全问题正在受到越来越多的关注,SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视,从而改善VoIP的安全状况:
Operating Systems
W1. Internet Explorer
W2. Windows Libraries
W3. Microsoft Office
W4. Windows Services
W5. Windows Configuration Weaknesses
M1. Mac OS X
U1. UNIX Configuration Weaknesses
Cross-Platform Applications
C1 Web Applications
C2. Database Software
C3. P2P File Sharing Applications
C4 Instant Messaging
C5. Media Players
C6. DNS Servers
C7. Backup Software
C8. Security, Enterprise, and Directory Management Servers
Network Devices
N1. VoIP Servers and Phones
N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
H1. Excessive User Rights and Unauthorized Devices
H2. Users (Phishing/Spear Phishing)
Special Section
Z1. Zero Day Attacks and Prevention Strategies
前些时候在制定企业桌面计算机安全标准时,讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处,其中主要是信息安全,甚至还有听说有人偷到这样的笔记本电脑后,无法打开,去专修店维修而不抓住,从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合,带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。
看下面的新闻评论,Seagate推出了硬盘级的加密技术DriveTrust,广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker,可以集成在WMI和AD的环境中,集中管理,但是没有对全部数据提供加密保护。两者真是各有千秋,不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样,在计算机中保存的信息越来越隐私、越来越值钱时,相应的安全保护技术也就有了大市场。
Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer, November 9, 2006
在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情,但是如果可以使用Google这样的搜索引擎来搜索漏洞,会是什么感觉呢?下面的这篇博客文章和评论很有意思,值得一看。
Google VulnSearch?
Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!
补丁是安全管理中的大问题,也是最让人头疼的问题。如果您说不就是要经常Windows Update吗?那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗?那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险,尤其是这个风险谁来承担。安全经理不愿承担后面的风险,生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类,比方说面向互联网还是内网等,也就是根据可能的安全威胁来分类,然后最威胁最大的那类特别处理,快一点打补丁,平衡点往前移一下。其它类服务器慢打一点,平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类,最重要的级别对补丁的测试肯定要最严格,平衡点往后移。这是理论了,现实中的操作就不容易了。
还有一个话题就是对于没有补丁的漏洞怎么办?这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多,但这是现实。作为用户,我们怎么办?下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下,值得考虑一下这样的应急方案。
To patch or not to patch
Oct 30, 2006, By Roger A. Grimes, InfoWorld (US) - Issue #44
网上交易、电子商务如火如荼,大家都知道其中的安全风险,前些天的CRI报道说英国很多人因为畏惧网络上面的Hackers和病毒,不敢上网。现在MarketWatch报道了两个实际的数字,对大家可能有所参考:
E-Trade报告说在其第三财季中由于网络欺诈引起的损失高达18M$,也就是单季度损失高达1亿5千万人民币。
TD Ameritrade报告说在其第四财季中由于网络欺诈引起的损失高达4M$,也就是大约3千万人民币,详细报道见:
“当前为了对抗网络窃听,大多数网络维护和业务操作都采用加密协议来完成,例如SSH已经广为使用,基本上代替了Telnet的位置;而普遍使用的远程桌面(Windows Remote Desktop, RDP)也采用了加密协议。这些普通的基于网络的审计系统针对SSH/RDP只能望洋兴叹、无能为力。"
不久前在科隆坡召开的Box Security安全大会上,著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势,它们是:
1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现,运营商、商业机构等有业务保护用户隐私,也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价,或者向原厂商索取,或者直接拍卖,Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践,也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看,还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力,这两年内国内外符合性的高度一高再高,其中审计就更加了。但是说是在的,就目前国内的实际水平而言,再强调也不为过。
看了下面的短文,还能想起98,99那时使用ISS的Internet Scanner Suite、测试NAI's CyberCops、还有Axent(后被Symantec收购)的NewRecon的情景。手工输入扫描地址块,记得那时使用扫描器寻找匿名转发邮件的服务器。手工整理扫描出的漏洞,然后研究如何打补丁、改配置去修补漏洞。然后就是更加自动化的发现和扫描。再是资产的相关,将IDS/IPS的告警与发现的漏洞进行相关,来减少IDS的虚警。再往后就是与补丁一起构成闭环的“生命周期管理”。再往后呢?这篇文章提出,再下一步可能是NAC与扫描的自动发现,将扫描结果与NAC环境联系起来,提高漏洞发现的准确度。另外,配置管理是一个发展方向,就是说将漏洞或者脆弱性放在全局的配置管理数据库(CMDB)上,漏洞不再是只能通过扫描发现,而是可以通过配置管理自动比对发现,减少对业务的影响。当前MITRE主持的CWE和OVAL的发展应该与此有关。请看原文...
这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起,攻击者有何时何地发起攻击的选择权优势,而防守者有具备地利人和的优势,看看这篇短文吧...
Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)
History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.
Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.
上个月以前在嘉里中心上班,每天从地铁国贸站出来,匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告:有效、天然、持久,画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着,总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵,现在离开了国贸、离开了China-Beijing-Dabeiyao,来到了宽阔的上地,心情已然释然了许多。
前些时候写过了一些关于桌面安全管理的感想(见不可承受之重),现在体会起来,桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单,让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了,开发制作一份安全策略和检查单容易,但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢?企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗?到后来得出的一个推论就是安全的电信网最终只能依赖法律法规,那就比较遥远了。现在企业网不存在这个障碍和缺失,不必要这个等待。桌面安全管理需要企业管理的推动,换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时,才有可能取得实质性的推进。
今天看到荆继武老师的一篇文章,分析了中国本土信息安全企业的创业之旅,给出了很多非常有益的建议。这段时间以来,一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动,这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙,给我们带来了又一轮的“吐故纳新”:
Powered by Haiwit