zhaol's blog

eWeek列举了2006年十大愚蠢技术骗局（Stupid Technology Tricks of 2006），其中Google Mail的电子邮件病毒事件上榜，影响了数万名邮件用户。事后，Google修改了自己的发布流程，以避免类似事件再次发生。被影响的用户数量说实在的不算多，但是可以想象一下本来可能就是几千万用户，Google可以让几千万用户的邮箱打上可以定制的标记...

2003年春天爆发的SARS想必大家还记忆尤新，后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响，尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时，制定业务连续性计划时的一些最佳实践，...

不要管他叫什么，关心的是我们能够得到什么。新浪的这个新闻还是很有意思。 － 互联网创业瞄准Web3.0时代 风投商造梦与毁梦
http://www.sina.com.cn 2006年11月30日 07:05 新浪科技

　　在Myspace、 YouTube大获成功后，互联网时代的创业者们又被注入了新的激情。昔日的车库已被咖啡馆所取代，人们还未消化下2.0，Web时代又迎来了3.0。我们该怎么办？如果说上个世纪依靠“模仿”，我们侥幸拥有了些许成功者，而如今，要获得成功，只能是踏踏实实为用户解决问题。

　　在旧金山的Ritual Coffee Roasters咖啡馆里，可以见到很多行为相似的二、三十岁的年轻人，他们大多为男性，总是聚精会神地坐在笔记本前上网。他们并没有关注MySpace、YouTube、或其它潜在的成功者，事实上，他们希望自己成为未来的成功者。硅谷又进入了黄金时期，几乎每一个角落都存在着机会。最新数据显示，新兴科技公司平均每月可以获得1.8亿美元的投资。年轻、企业家的热情、科技洞察力、经济实力、美国梦、以及美国西海岸的乌托邦理想等多种因素结合在一起，构成了推动信息时代不断向前发展的“永动机”。

　　咖啡馆取代了车库

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

在最新的SANS TOP20发布中，VoIP首次被列入重要攻击目标，标号是N1。表明VoIP的安全问题正在受到越来越多的关注，SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视，从而改善VoIP的安全状况：

Operating Systems
    W1. Internet Explorer
    W2. Windows Libraries
    W3. Microsoft Office
    W4. Windows Services
    W5. Windows Configuration Weaknesses
    M1. Mac OS X
    U1. UNIX Configuration Weaknesses
Cross-Platform Applications
    C1 Web Applications
    C2. Database Software
    C3. P2P File Sharing Applications
    C4 Instant Messaging
    C5. Media Players
    C6. DNS Servers
    C7. Backup Software
    C8. Security, Enterprise, and Directory Management Servers
Network Devices
    N1. VoIP Servers and Phones
    N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
    H1. Excessive User Rights and Unauthorized Devices
    H2. Users (Phishing/Spear Phishing)
Special Section
    Z1. Zero Day Attacks and Prevention Strategies

前些时候在制定企业桌面计算机安全标准时，讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处，其中主要是信息安全，甚至还有听说有人偷到这样的笔记本电脑后，无法打开，去专修店维修而不抓住，从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合，带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。

看下面的新闻评论，Seagate推出了硬盘级的加密技术DriveTrust，广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker，可以集成在WMI和AD的环境中，集中管理，但是没有对全部数据提供加密保护。两者真是各有千秋，不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样，在计算机中保存的信息越来越隐私、越来越值钱时，相应的安全保护技术也就有了大市场。

Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer， November 9, 2006

在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情，但是如果可以使用Google这样的搜索引擎来搜索漏洞，会是什么感觉呢？下面的这篇博客文章和评论很有意思，值得一看。

Google VulnSearch?

Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!

补丁是安全管理中的大问题，也是最让人头疼的问题。如果您说不就是要经常Windows Update吗？那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗？那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险，尤其是这个风险谁来承担。安全经理不愿承担后面的风险，生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类，比方说面向互联网还是内网等，也就是根据可能的安全威胁来分类，然后最威胁最大的那类特别处理，快一点打补丁，平衡点往前移一下。其它类服务器慢打一点，平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类，最重要的级别对补丁的测试肯定要最严格，平衡点往后移。这是理论了，现实中的操作就不容易了。

还有一个话题就是对于没有补丁的漏洞怎么办？这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多，但这是现实。作为用户，我们怎么办？下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下，值得考虑一下这样的应急方案。

To patch or not to patch
Oct 30, 2006， By Roger A. Grimes, InfoWorld (US) - Issue #44

网上交易、电子商务如火如荼，大家都知道其中的安全风险，前些天的CRI报道说英国很多人因为畏惧网络上面的Hackers和病毒，不敢上网。现在MarketWatch报道了两个实际的数字，对大家可能有所参考：
E-Trade报告说在其第三财季中由于网络欺诈引起的损失高达18M$，也就是单季度损失高达1亿5千万人民币。
TD Ameritrade报告说在其第四财季中由于网络欺诈引起的损失高达4M$，也就是大约3千万人民币，详细报道见：

“当前为了对抗网络窃听，大多数网络维护和业务操作都采用加密协议来完成，例如SSH已经广为使用，基本上代替了Telnet的位置；而普遍使用的远程桌面（Windows Remote Desktop， RDP）也采用了加密协议。这些普通的基于网络的审计系统针对SSH/RDP只能望洋兴叹、无能为力。"

这几天内，Firefox2.0与IE7.0相继发布，浏览器之争相当激烈。两者都不约而同的增强了安全功能，尤其是反钓鱼功能，实现的方式有些不同，但是保护用户免受恶意欺骗成为两者争夺的制高点。下面是Wired News的分析报道，优胜奖给了Firefox 2.0，理由是更快的更新速度、更多的feature...

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

2000年离开电信总局前在一个市场大会上的发言中提出了安全自动化、不存在安全孤岛（就是整体安全）等概念。自动化是保证普通大众受到安全保护的一个重要步骤。自动化是个双刃剑，安全和应用厂商使用它来加固、提升安全水平，但是它如果出现问题，也给了攻击者和恶意使用者另外一个渠道，能够轻松控制成千上万的受害者。下面这篇文章就分析了这种可能性，并且研究结论认为很多当前的流行安全软件中就存在这样的、那样的升级漏洞，例如McAfee, 还有Windows, Apple Mac OS, Adobe 等等。控制了互联网连接的攻击者很容易通过DNS欺骗等手段让被害者的计算机上当，将冒充的升级代码取回来执行从而被利用，或者被假冒的“太平无事”所欺骗。详细请看...

这样的安全技术注定要引起强烈的争议，不仅仅是口水战，还有可能是像IE垄断那样的诉讼。我们已经看到本来Symantec们就心里很紧张的与微软对峙者。这样的内核保护技术一出台，Symantec们每要推出一个新技术，还都要到微软那里提前测试、登记了，取得许可证。而微软在这里的独特优势更加得到了巩固...

看到大潘的帖子，忽然发现到今天我来i170也正好一年了，借此宝地认识了很多新朋友，感谢Wolf和i170团队的辛苦工作，也感谢这么多关注这个博客的新朋旧友。现在新的工作上，忙的天旋地转，更新就一日慢过一日，感到很内疚。

晚饭吃的虾皮馄饨，儿子突然冒出一句“虾皮蒙住了馄饨的眼睛”，我联想到儿子昨天画的让我大吃一惊的“猴子捞月亮”，就补上一句成了下面的两句。不知这算不算是我当前的心情，还是什么其它的东西，反正是很朦胧：