电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:332666参见下面的报道,AcrobatReader+IE 出现导致远程控制的重大安全漏洞,影响Acrobat Reader 7.x版本,但是限于IE浏览器。报道中介绍了推荐临时解决方案,就是将出现漏洞的那个ActiveX删除。当然还有另外一个解决方案就是使用Firefox...
Blackberry可以为用户带来全球范围的移动服务,随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT:
不要管他叫什么,关心的是我们能够得到什么。新浪的这个新闻还是很有意思。 - 互联网创业瞄准Web3.0时代 风投商造梦与毁梦
http://www.sina.com.cn 2006年11月30日 07:05 新浪科技
在Myspace、 YouTube大获成功后,互联网时代的创业者们又被注入了新的激情。昔日的车库已被咖啡馆所取代,人们还未消化下2.0,Web时代又迎来了3.0。我们该怎么办?如果说上个世纪依靠“模仿”,我们侥幸拥有了些许成功者,而如今,要获得成功,只能是踏踏实实为用户解决问题。
在旧金山的Ritual Coffee Roasters咖啡馆里,可以见到很多行为相似的二、三十岁的年轻人,他们大多为男性,总是聚精会神地坐在笔记本前上网。他们并没有关注MySpace、YouTube、或其它潜在的成功者,事实上,他们希望自己成为未来的成功者。硅谷又进入了黄金时期,几乎每一个角落都存在着机会。最新数据显示,新兴科技公司平均每月可以获得1.8亿美元的投资。年轻、企业家的热情、科技洞察力、经济实力、美国梦、以及美国西海岸的乌托邦理想等多种因素结合在一起,构成了推动信息时代不断向前发展的“永动机”。
咖啡馆取代了车库
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
在最新的SANS TOP20发布中,VoIP首次被列入重要攻击目标,标号是N1。表明VoIP的安全问题正在受到越来越多的关注,SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视,从而改善VoIP的安全状况:
Operating Systems
W1. Internet Explorer
W2. Windows Libraries
W3. Microsoft Office
W4. Windows Services
W5. Windows Configuration Weaknesses
M1. Mac OS X
U1. UNIX Configuration Weaknesses
Cross-Platform Applications
C1 Web Applications
C2. Database Software
C3. P2P File Sharing Applications
C4 Instant Messaging
C5. Media Players
C6. DNS Servers
C7. Backup Software
C8. Security, Enterprise, and Directory Management Servers
Network Devices
N1. VoIP Servers and Phones
N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
H1. Excessive User Rights and Unauthorized Devices
H2. Users (Phishing/Spear Phishing)
Special Section
Z1. Zero Day Attacks and Prevention Strategies
前些时候在制定企业桌面计算机安全标准时,讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处,其中主要是信息安全,甚至还有听说有人偷到这样的笔记本电脑后,无法打开,去专修店维修而不抓住,从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合,带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。
看下面的新闻评论,Seagate推出了硬盘级的加密技术DriveTrust,广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker,可以集成在WMI和AD的环境中,集中管理,但是没有对全部数据提供加密保护。两者真是各有千秋,不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样,在计算机中保存的信息越来越隐私、越来越值钱时,相应的安全保护技术也就有了大市场。
Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer, November 9, 2006
在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情,但是如果可以使用Google这样的搜索引擎来搜索漏洞,会是什么感觉呢?下面的这篇博客文章和评论很有意思,值得一看。
Google VulnSearch?
Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!
补丁是安全管理中的大问题,也是最让人头疼的问题。如果您说不就是要经常Windows Update吗?那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗?那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险,尤其是这个风险谁来承担。安全经理不愿承担后面的风险,生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类,比方说面向互联网还是内网等,也就是根据可能的安全威胁来分类,然后最威胁最大的那类特别处理,快一点打补丁,平衡点往前移一下。其它类服务器慢打一点,平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类,最重要的级别对补丁的测试肯定要最严格,平衡点往后移。这是理论了,现实中的操作就不容易了。
还有一个话题就是对于没有补丁的漏洞怎么办?这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多,但这是现实。作为用户,我们怎么办?下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下,值得考虑一下这样的应急方案。
To patch or not to patch
Oct 30, 2006, By Roger A. Grimes, InfoWorld (US) - Issue #44
网上交易、电子商务如火如荼,大家都知道其中的安全风险,前些天的CRI报道说英国很多人因为畏惧网络上面的Hackers和病毒,不敢上网。现在MarketWatch报道了两个实际的数字,对大家可能有所参考:
E-Trade报告说在其第三财季中由于网络欺诈引起的损失高达18M$,也就是单季度损失高达1亿5千万人民币。
TD Ameritrade报告说在其第四财季中由于网络欺诈引起的损失高达4M$,也就是大约3千万人民币,详细报道见:
“当前为了对抗网络窃听,大多数网络维护和业务操作都采用加密协议来完成,例如SSH已经广为使用,基本上代替了Telnet的位置;而普遍使用的远程桌面(Windows Remote Desktop, RDP)也采用了加密协议。这些普通的基于网络的审计系统针对SSH/RDP只能望洋兴叹、无能为力。"
这几天内,Firefox2.0与IE7.0相继发布,浏览器之争相当激烈。两者都不约而同的增强了安全功能,尤其是反钓鱼功能,实现的方式有些不同,但是保护用户免受恶意欺骗成为两者争夺的制高点。下面是Wired News的分析报道,优胜奖给了Firefox 2.0,理由是更快的更新速度、更多的feature...
不久前在科隆坡召开的Box Security安全大会上,著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势,它们是:
1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现,运营商、商业机构等有业务保护用户隐私,也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价,或者向原厂商索取,或者直接拍卖,Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践,也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看,还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力,这两年内国内外符合性的高度一高再高,其中审计就更加了。但是说是在的,就目前国内的实际水平而言,再强调也不为过。
2000年离开电信总局前在一个市场大会上的发言中提出了安全自动化、不存在安全孤岛(就是整体安全)等概念。自动化是保证普通大众受到安全保护的一个重要步骤。自动化是个双刃剑,安全和应用厂商使用它来加固、提升安全水平,但是它如果出现问题,也给了攻击者和恶意使用者另外一个渠道,能够轻松控制成千上万的受害者。下面这篇文章就分析了这种可能性,并且研究结论认为很多当前的流行安全软件中就存在这样的、那样的升级漏洞,例如McAfee, 还有Windows, Apple Mac OS, Adobe 等等。控制了互联网连接的攻击者很容易通过DNS欺骗等手段让被害者的计算机上当,将冒充的升级代码取回来执行从而被利用,或者被假冒的“太平无事”所欺骗。详细请看...
这样的安全技术注定要引起强烈的争议,不仅仅是口水战,还有可能是像IE垄断那样的诉讼。我们已经看到本来Symantec们就心里很紧张的与微软对峙者。这样的内核保护技术一出台,Symantec们每要推出一个新技术,还都要到微软那里提前测试、登记了,取得许可证。而微软在这里的独特优势更加得到了巩固...
看了下面的短文,还能想起98,99那时使用ISS的Internet Scanner Suite、测试NAI's CyberCops、还有Axent(后被Symantec收购)的NewRecon的情景。手工输入扫描地址块,记得那时使用扫描器寻找匿名转发邮件的服务器。手工整理扫描出的漏洞,然后研究如何打补丁、改配置去修补漏洞。然后就是更加自动化的发现和扫描。再是资产的相关,将IDS/IPS的告警与发现的漏洞进行相关,来减少IDS的虚警。再往后就是与补丁一起构成闭环的“生命周期管理”。再往后呢?这篇文章提出,再下一步可能是NAC与扫描的自动发现,将扫描结果与NAC环境联系起来,提高漏洞发现的准确度。另外,配置管理是一个发展方向,就是说将漏洞或者脆弱性放在全局的配置管理数据库(CMDB)上,漏洞不再是只能通过扫描发现,而是可以通过配置管理自动比对发现,减少对业务的影响。当前MITRE主持的CWE和OVAL的发展应该与此有关。请看原文...
Powered by Haiwit