zhaol's blog

“当前为了对抗网络窃听，大多数网络维护和业务操作都采用加密协议来完成，例如SSH已经广为使用，基本上代替了Telnet的位置；而普遍使用的远程桌面（Windows Remote Desktop， RDP）也采用了加密协议。这些普通的基于网络的审计系统针对SSH/RDP只能望洋兴叹、无能为力。"

这几天内，Firefox2.0与IE7.0相继发布，浏览器之争相当激烈。两者都不约而同的增强了安全功能，尤其是反钓鱼功能，实现的方式有些不同，但是保护用户免受恶意欺骗成为两者争夺的制高点。下面是Wired News的分析报道，优胜奖给了Firefox 2.0，理由是更快的更新速度、更多的feature...

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

2000年离开电信总局前在一个市场大会上的发言中提出了安全自动化、不存在安全孤岛（就是整体安全）等概念。自动化是保证普通大众受到安全保护的一个重要步骤。自动化是个双刃剑，安全和应用厂商使用它来加固、提升安全水平，但是它如果出现问题，也给了攻击者和恶意使用者另外一个渠道，能够轻松控制成千上万的受害者。下面这篇文章就分析了这种可能性，并且研究结论认为很多当前的流行安全软件中就存在这样的、那样的升级漏洞，例如McAfee, 还有Windows, Apple Mac OS, Adobe 等等。控制了互联网连接的攻击者很容易通过DNS欺骗等手段让被害者的计算机上当，将冒充的升级代码取回来执行从而被利用，或者被假冒的“太平无事”所欺骗。详细请看...

这样的安全技术注定要引起强烈的争议，不仅仅是口水战，还有可能是像IE垄断那样的诉讼。我们已经看到本来Symantec们就心里很紧张的与微软对峙者。这样的内核保护技术一出台，Symantec们每要推出一个新技术，还都要到微软那里提前测试、登记了，取得许可证。而微软在这里的独特优势更加得到了巩固...

看了下面的短文，还能想起98，99那时使用ISS的Internet Scanner Suite、测试NAI's CyberCops、还有Axent(后被Symantec收购)的NewRecon的情景。手工输入扫描地址块，记得那时使用扫描器寻找匿名转发邮件的服务器。手工整理扫描出的漏洞，然后研究如何打补丁、改配置去修补漏洞。然后就是更加自动化的发现和扫描。再是资产的相关，将IDS/IPS的告警与发现的漏洞进行相关，来减少IDS的虚警。再往后就是与补丁一起构成闭环的“生命周期管理”。再往后呢？这篇文章提出，再下一步可能是NAC与扫描的自动发现，将扫描结果与NAC环境联系起来，提高漏洞发现的准确度。另外，配置管理是一个发展方向，就是说将漏洞或者脆弱性放在全局的配置管理数据库（CMDB）上，漏洞不再是只能通过扫描发现，而是可以通过配置管理自动比对发现，减少对业务的影响。当前MITRE主持的CWE和OVAL的发展应该与此有关。请看原文...

看到大潘的帖子，忽然发现到今天我来i170也正好一年了，借此宝地认识了很多新朋友，感谢Wolf和i170团队的辛苦工作，也感谢这么多关注这个博客的新朋旧友。现在新的工作上，忙的天旋地转，更新就一日慢过一日，感到很内疚。

晚饭吃的虾皮馄饨，儿子突然冒出一句“虾皮蒙住了馄饨的眼睛”，我联想到儿子昨天画的让我大吃一惊的“猴子捞月亮”，就补上一句成了下面的两句。不知这算不算是我当前的心情，还是什么其它的东西，反正是很朦胧：

这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起，攻击者有何时何地发起攻击的选择权优势，而防守者有具备地利人和的优势，看看这篇短文吧...

Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)

History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.

Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

最新消息，IBM显示进军网络安全市场的决心，以13亿美元购并IDS市场传统强手ISS，在IBM传统的AAA产品线外（Identity Manager, Access Manager, 等），补充了威胁管理产品线（IDS/IPS），还有ISS强大的扫描器和X-Force技术声誉...

以下是转贴自新浪网报导，转贴并不代表本人赞同或者同意其观点，目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力，但是它仍然存在很多痼疾。

据外电报道，在BlackHat大会上， 来自西雅图的研究者Dan Kaminsky宣布了一款关于网络中立性测试的工具，并且预计该工具将会免费提供，这些工具将会作为免费的软件套件Paketto Keiretsu Version 3的一部分随后发布。

前段时间，美国国会关于“网络中立法案”Net Neutrality 的争论 沸沸扬扬。网络中立法案将会强制要求基础网络设施服务商不得歧视互联网上面的任何一种业务，保证各种业务平等的传输，不得针对VoIP、P2P、视频等业务设立过滤或者降低服务质量等手段。在国内，运营商对于BT和VoIP、Skype等的态度也是极度敏感之话题。虽然在国内众多新业务孵化者敢怒而不敢言，但是国外以Vonage为代表的新业务运营商不断起诉、挑战ATT,Verizon,Comcast等老牌网络运营商，FCC也不断为此开出罚单。

这次BlackHat大会公布的中立性测试工具给我们一个提示，“网监会”需要采取一定的技术手段来监视互连互通，监视基本的互联网服务指标，保障互联网用户的切实权益。“网监会”不应该停留在一些蜻蜓点水似的通告上面，而是有技术手段去落地。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

业界有名的“大炮”阚教授再次发言，批评了WAPI的做法并没有符合中国国家和大多数人的利益，而只是提出该标准的西安捷通以及少部分上家获利。非常欣赏阚教授勇于直言时弊，不随波逐流的处世之道。支持一下！

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：