download wordpress themes wordpress free templates

Posts tagged 安全

中国安全研究员吴石

Jul 16th

作者:假装纯情 分类:挨踢消息 | 176 views

2 comments

http://tech.sina.com.cn/it/2010-07-16/16504437822.shtml

媒体终于报道了一次真正的安全漏洞挖掘领域的牛人,还是国外报道的

无名英雄吴石

如果说“严厉的爱”是解决软件故障的最佳方法,那么吴石(Wu Shi,音译)或许就是信息安全领域众多的无名英雄之一。

自2007年以来,这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞。当用户浏览被感染的网页时,黑客可以借助这些漏洞劫持用户的电脑。仅去年一年,他就将其中50多个漏洞出售给了Zero Day Initiative(以下简称“ZDI”)和iDefense等漏洞悬赏项目。这两个项目分别归属于惠普和VeriSign,他们专门花钱从研究人员那里购买漏洞信息,并在安全产品中使用这些数据,随后再将其交给受影响的软件厂商。

这表明吴石一年汇报给ZDI和iDefense的漏洞比全世界任何一个研究人员都多,其中超过半数都来自苹果Safari浏览器。

例如,在上月的一次安全更新中,苹果针对iPhone操作系统发布了64个新补丁,其中只有6个是苹果内部研究人员自己发现的,12个由谷歌研究人员发现,还有15个是由吴石发现的。

安全专家查理•米勒(Charlie Miller)说:“或许苹果应当聘请吴石来帮助他们,因为他发现的漏洞是苹果整个安全团队的两倍还多。”

独特fuzzing算法

吴石通过即时通讯和电子邮件解释了他是如何使用一种名为“fuzzing”的方法来收集这些漏洞的。使用这种方法时,需要向软件中输入大批经过修改的文件,以便查看哪些文件会导致软件崩溃。之后再对这些崩溃事件进行分析,以便了解哪些情况会允许黑客注入代码并控制浏览器。

吴石使用他自己的独特算法来生成这些测试文件,然后将他们抛入Apache Tomcat服务器。通过这种方法,他就可以获得更快的频率,从而比普通研究人员测试更多的样本。与以往只更改文件中的单一变量不同,吴石表示,他的方法会更改整个样本,而且能够在进行尽可能多的更改的同时,仍然让浏览器将文件识别为HTML文档。“我的fuzzing框架关注的是软件架构,而不是细节。”吴石说。

ZDI研究经理亚伦•波托尼(Aaron Portnoy)对吴石发现的漏洞进行了研究,他表示,吴石不会对他所发现的漏洞进行深入分析。但他认为,这名中国研究员使用的方法可以捕捉到其他方法无法发现的漏洞。“这些文件中的相关项目有着复杂的层次结构。他可以改变关系树结构的工作方式,而不仅仅是其中的一个项目。”波托尼说,“很多人只是fuzz数据,而他则是fuzz关系。”

曲折从业经历

吴石说,他是在职业发展经历了一系列挫折后才在漏洞寻找领域实现突破的。当中国股市2006年开始一轮波澜壮阔的大牛市时,当时在一家小型IT公司任职的吴石感觉他的职业像是一艘逐渐沉没的船。他说:“我感觉正在逐渐陷入绝望。以我的工资,甚至无法糊口。”

他后来离开了那家IT公司,并且创建了一家基于P2P文件分享技术的企业。但是当一家大客户拒绝履行承诺为一个主要项目支付报酬时,他的合作伙伴找了另外一份工作,公司也破产了。

吴石开始组建一家安全咨询公司,并实验他早年在复旦大学读书时想到的一个fuzzing方法。他发现了微软的一些安全漏洞,并且直接将其报告给微软。后来,他从朋友那里得知了ZDI这样的“漏洞购买”项目。“从那以后,我就变成了一名全职漏洞猎手。”他说。

这一决定已经有所收获。ZDI从吴石那里购买了50个漏洞,每个都至少价值5000美元,而iDefense某些情况下支付的费用甚至超过1万美元。吴石并没有透露具体收益,但通过简单计算便可获知,他的收益超过25万美元,这在中国可是很大一笔钱。ZDI还为吴石授予“白金”(platinum status)奖,该奖项的获得者可以拿到2万美元的奖金,并免费参加在美国拉斯维加斯举行的“黑帽”(Black Hat)安全大会。

苹果安全性低下

一个中国研究员手中握有数百个重要漏洞,会使某些人感到担忧。但是吴石表示,他只会将漏洞卖给那些“不作恶”的企业,而且会直接将漏洞报告给受影响的软件公司。他表示,某些黑市买家给出十倍于ZDI的出价购买他发现的一些IE漏洞。且不说是否存在道德问题,吴石并不希望卷入任何犯罪行为。

即便如此,如此多的漏洞被吴石发现仍然可能产生麻烦,对苹果软件而言尤其如此。吴石表示,他之所以关注苹果的漏洞,是因为苹果自己不关注这一问题。

苹果尚未对此置评。

微软十年来一直在与网络攻击做斗争,也因此而变得坚固。例如“红色代码”蠕虫病毒曾于2001年感染了数万台电脑,还有很多网站因此被黑,并被挂上了“Hacked By Chinese!”(被中国人黑了)的标语。而苹果则因为多年以来一直被网络犯罪分子忽略而变得有些自满。

但吴石认为,这种安逸的状况不会延续下去。随着有针对性的攻击越来越多,苹果无法再因为市场份额较小而免受安全问题的困扰。他说:“iPhone和Mac OS比Windows 7更容易攻击。我认为,未来将有很多针对苹果软件的攻击。”(鼎宏)

, , ,

我们在做什么?将走向何方

Feb 20th

作者:假装纯情 分类:挨踢消息 | 198 views

没有评论

“我们在做什么?将走向何方?”
这本来是一个极具有哲学意味的命题,在读大学的时候,我的心理课程老师就专门给我们上过一堂这样的课。但今天在这里,我并不想探讨任何哲学或者人生的问题,只是想讲讲我对甲方安全发展方向的一些理解。对面临就业选择的朋友来说,可以作为一个参考。

甲方在这里就是指安全不是核心业务的企业,比如google,比如apple;相对而言,乙方就是指安全厂商、防病毒厂商了。一般来说,乙方的主要以安全产品或者安全服务为主。

在几年前,甲方招安全人员一般都是放到运维部门,主要工作还是扫描和服务器加固等。这也为乙方的生存和发展提供了市场。乙方到甲方做渗透测试、安全评估,然后出个安全解决方案,最后再把一大堆产品卖给甲方。

但是实际上,甲方的问题还是难以得到很好的解决,因为乙方毕竟是外来的和尚,念完经就走了,留下一堆文档和产品应付检查,但是文档和策略需要人去执行,产品需要人去维护,如果业务发生了变更,安全策略也需要跟着发生变更。如果没有人维护,那么很多产品都会用不好。做安全只做了个半调子,才是最可怕的。

IDS/IPS就是最好的例子,这个玩意说起来很唬人,市场也卖的很好,但是真正挡住了多少黑客攻击?估计抓的最多的还是漫无目的的蠕虫。人用不好产品,才是问题的关键。很多时候,这就是甲方的安全人员存在的意义,让这一切很好的执行下去。

互联网企业发展到了今天,已经出现了很多庞然大物,在如此恶劣的网络环境下,互联网企业都开始重视安全。互联网公司很早就招了自己的安全人员,正如之前说的那样,一开始,一般是放在运维部门下。后来随着这个部门的壮大,开始覆盖更多的工作,比如WEB安全。

因为部门壮大了,所以就能做更多的事情。乙方出于对市场的追求,其产品已经无法满足各个不同互联网公司的个性化需求,所以对于业务增长极其迅速的互联网企业来说,很多安全产品只能开始走自主研发的路线。在中国的互联网公司里,腾讯是走在最前面的。

腾讯很早就开始在研发自己的安全产品,比如扫描器、钓鱼网站检测、反欺诈、桌面安全(QQ医生)等,很多很多,到现在应该做的更好了。

阿里巴巴也是一样,我们在各个领域研发自己的安全产品,咋一听像是小安全公司。这是种很奇特的现象,因为我们的客户只有一个,就是我们公司自己。我们也需要做各种各样的安全研究和研发。和几年前比,现在的甲方安全显然更加的专业了。

曾经有朋友问我们是否有意向购买WAF(Web Application Firewall),我笑言道,我们自己做WAF。我们当然不会真的去做个box叫做WAF然后摆在网站的最前面,我们的思路是把WAF对抗的各种威胁,全部分析清楚,然后开发对应的方案或产品部署在我们网站的架构中,在最合适的地方做最合适的方案,完完全全的为我们自己定制化一套方案和产品。这是任何一家安全厂商都很难或者是无法做到的。比如某个安全厂商是做WAF的,那么这个产品势必是为了满足大多数企业的需求,很难实现真正的个性化,更不要说后期维护的事情,毕竟专门投一个人给某一家客户做维护,成本还是相当大的。

为什么说个性化如此重要?为什么很多时候必须得自主研发?举个例子,淘宝目前有上百个产品线,但是没有哪个人能够说清楚到底都有哪些产品。为什么?因为这些产品每天都在发生变化,每天都有新产品线出现或变更,对于这样的一个高速发展的庞然大物,不走自主定制的路线,是很难满足需求的。

当然这也不是说甲方就完全不需要购买安全产品了。一些基础安全需求,还是需要通过购买产品来解决的。比如大多数企业的桌面安全,杀毒软件等,可能需要购买。像防火墙这种设备则更是必不可少(除非你的网络方案真的很特别)。而对于很多在快速发展业务的互联网公司来说,没有太多的精力去做安全,可以适当的购买产品或方案以应付眼前紧迫的安全需求。

在国外的大型互联网企业,安全的自主研究、研发则相对更加成熟了。

苹果的appstore,是让开发者自己提交2进制代码到appstore上,我们曾经有一个疑问,如果开发者提交了恶意代码,或者是有攻击性的程序,appstore如何去审核呢?后来想到苹果的操作系统是自己做的,他们完全可以在OS上实现个sandbox,所以这个问题相对也好解决了(我不玩iphone,说的不对勿怪)。所以,这个sandbox,则完全需要apple的人自己来设计和实现,没有别的厂商能帮他们做。

类似的,google则做了更多的事情:chrome的安全模型、GAE安全、搜索内容过滤(色情等,涉及到很多算法方面的技术)。前段时间闹的很火的linux kenerl的空指针漏洞,exploit就利用了google的Tavis Ormandy发现的一个映射内存到0地址的技巧,他最近又发现了哪个windows内核提权漏洞,影响vista、windows7和2008。很难想象google的人会跑去研究软件漏洞吧?

yahoo也是让人敬仰的,在若干年前(至少大于5),他们就自己开发了扫描器去扫自己所有的页面的XSS。yahoo的apache是自己定制的,叫yapache;机器上装的OS也是freebsd改的,在这个过程中,很难想象没有安全专家的参与。而定制、修改webserver、OS,对于安全专家的吸引力是非常非常大的。

互联网公司的业务发展的越迅速,相应对安全的需求也就越高、越迫切。所以我前面有篇blog里提到,在互联网公司,永远会有非常多的新挑战在等着你。

前些时候,我与某资深黑客聊天的时候,说起我们的工作,他感觉web安全除了XSS,CSRF,SQL INJECT等就没啥了。我无言以对,因为我们已经在做很多的事情,并正在构思更多的事情,都不知道该从何说起了。SDL已经是2年前的重点,虽然我们会持续坚持把SDL做下去并做好,但是现在安全的产品线已经铺开,有更多的挑战在等我们。

(出于保密性的问题,我不会在blog过多的谈论我们的具体工作内容,所以最近扯淡越来越多,技术文章越来越少,因为大部分时间都在做公司的工作,需要保密 #_#)

以前读大学的时候,经常在论坛里看到的一句话就是:“破坏永远比建设容易”,很多老一辈的黑帽子们总是会用这句话教诲新人,虽然当时我也听进去了,但是直到今天,才对这句话有了深刻的理解。

熟悉各种hacking技巧,熟练掌握各种漏洞利用工具,在今天已经比较难以符合我们对人才的要求。两年前我们就意识到已经不太需要纯粹的乙方安服人员,如果应聘者只懂渗透的话。渗透技术在我们这里已经是最低要求,我们更看重的是其他方面的优势。比如对某方面有深刻的理解,比如kj — 精通java与oracle安全,比如wzt — 精通linux内核安全,或者是经验极其丰富的专家,比如hawk,云舒,或者是既精通安全又擅长开发,比如cnqing。部门还有很多牛人,各有所长,不一一说了。

讲这么多,其实也就是想说,今天的甲方安全和几年前比已经有了很大的不同。在一个高速发展的互联网公司里,技术挑战是日新月异的,一切皆有可能。年前和wzt聊天时,他也有感慨,现在给他做的东西是极其富有挑战性的,我告诉他,未来只会更多。

所以,如果还停留在每天修修补补几个漏洞上面,还停留在几年前的安全行业状况上,这样的企业安全,是在原地踏步。大型互联网公司安全的发展方向,势必是要将安全作为核心技术牢牢的把握在自己手上。

from:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html

, , ,

Flash应用安全规范

Nov 8th

作者:假装纯情 分类:技术专题 | 106 views

没有评论

Author:jianxin [80sec]
EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2009-07-25
From: http://www.80sec.com/release/flash-security.txt

[ 目录 ]

0×00 前言
0×01 安全的服务端flash安全策略
0×02 安全的客户端flash安全规范
0×03 flash安全的checklist

0×00 前言

flash作为一款浏览器的第三方插件,是对浏览器功能的延伸,已经是web必不可少的元素。但是这种延伸必然带来不安全的因素,相比于安全性已经得到磨 练的浏览器来说,flash绝对是客户端安全的一个软肋(包括在比较神秘的漏洞挖掘领域,也是这个观点),同样flash在页面展示时所含有的丰富功能, 在某些情况下你甚至可以认为它等同于javascript,甚至更为危险。浏览器所贯彻的域安全策略被flash所打破,客户端所做的种种过滤也同样被 flash所打破(只要你还使用flash)。但是flash也已经感觉到了这个问题,并且时时在改进,在设计上也引入了一些比较好的安全机制,恰当的使 用这些安全机制可以避免你的应用程序遭到攻击。80sec将从实际的一些经验总结出一些供参考的flash使用规范,规范将从服务端应用程序的安全设计和 客户端的flash安全使用两个角度来说明这个问题。

0×01 安全的服务端flash安全策略

应用程序安全设计的时候应该秉承最小化原则,在flash的大部分应用中,由于功能需求就经常需要跨域获取数据。域安全是浏览器安全的基本策 略,flash作为浏览器的扩展允许跨域获取数据就从根本上打破了浏览器的安全性。flash以flash文件存储域名作为它的当前域,如果需要获取其他 服务器上的数据就会发生跨域行为,而且该跨域行为会继承用户浏览器里的认证信息,限制不严格时将导致安全漏洞,打破我们的整个客户端安全模型。flash 在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。通过严格 控制该策略文件我们就可以为应用程序安全和功能上寻找到一个平衡点。

典型的crossdomain.xml文件策略

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.80sec.com" />
</cross-domain-policy>

其中最主要的策略是allow-access-from表示允许来自哪些域的跨域请求,早期的flash允许从其他位置载入自定义的策略文件,目前最新版 的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项由

<site-control permitted-cross-domain-policies="by-content-type"/>

节点控制,不加该选项时,默认情况下flash不加载除主策略文件之外的其他策略文件,即只接受根目录里的/crossdomain.xml。这对于防止 利用上传文件来定义自己策略文件的攻击非常有效。为了在某些条件下需要启用其他策略文件,我们需要设置permitted-cross-domain- policies,设置为by-content-type时将会只允许http头为text/x-cross-domain-policy的策略文件,当 为all时则允许所有的text/xml等格式的策略文件。

应用程序在设计的时候按照最小化原则

1 将文件上传和应用的域名分开,防止通过上传flash文件直接获得域操作的权限。
2 对于不需要使用flash的应用严禁在域名目录下部署flash策略文件。
3 对于有功能需求的应用遵循最小化原则将域名限制到最小的范围,有安全需求的应用应该明确允许跨域请求的域,禁止直接使用*通配符,这将导致跨域访问权限的扩散。

譬如http://sns.80sec.com/crossdomain.xml

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.80sec.com" />
</cross-domain-policy>

就对权限设置过泛,可能导致其他安全策略的绕过(如绕过csrf等等)

4 对于有高安全需求的应用,在限制域名的前提下,将需要被flash访问的应用限制到指定目录,并且在flash内指定策略文件到该目录以将所有访问权限限制到单一目录。

如果login.80sec.com中的某个功能如login需要对所有域名开放,如果配置根目录crossdomain.xml

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>

不是一个好的策略因为他不只会开放login同时会开放如chgpassword等其他的服务给用户,我们需要配置主策略文件

<?xml version="1.0"?>
<cross-domain-policy>
<site-control permitted-cross-domain-policies="all"/>
</cross-domain-policy>

然后自定义策略文件到一个目录如/flash/crossdomain.xml

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>

并且将login应用部署到/flash/目录,用户的访问将被限制到/flash/下面,无法对其他功能进行操作。

0×02 安全的客户端flash安全规范

控制好flash安全策略并不是安全的全部,这样只能保证服务端的安全。由于一些功能上的原因,譬如为了追求良好的用户体验,为了让无聊的用户可以在页面 共享各种flash,为了把页面做得华丽丽的,我们往往需要在页面内容里嵌入flash,这个时候安全性就会被抛到一边(我们还是建议如果不需要的话还是 少用这种动态的东西)。我们在一个页面引入一个flash时,一般的做法是下面这种形式:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0"
name="Main" width="1000" height="600" align="middle" id="Main">
<embed flashvars="site=&sitename=" src='Loading.swf?user=453156346&key=df57546b-c68c-4fd7-9f9c-2d105905f132&v=10950&rand=633927610302991250' width="1000" height="600"
align="middle" quality="high" name="Main" allowscriptaccess="sameDomain" type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>

由于flash的强大,并且在页面元素里基本等同于script这种危险的标签,对于这点,flash已经有所考虑,在引入flash的时候flash提 供了控制属性,其中与安全最为关键的是AllowScriptAccess属性和allowNetworking属性。其中 AllowScriptAccess控制flash与html页面的通讯,可选的值有:

always			//对与html的通讯也就是执行javascript不做任何限制
sameDomain		//只允许来自于本域的flash与html通讯,这是默认值
never			//绝对禁止flash与页面的通讯

默认情况下的选项是sameDomain,这个时候某些场景下看起来也是足够安全了,但是我们还是能看到经常有程序允许将这个选项设置为always,而 即使是sameDomain也不是在所有场景下都安全的,考虑如论坛这样的程序,上传和展现都是在同一个域的情况下,就不存在任何安全性可言了,我们强烈 建议该选项为never,如果你选择sameDomain或者always我也希望你清楚自己在做什么。

allowNetworking控制flash与外部的网络通讯,可选的值包括:

all			//允许使用所有的网络通讯,也是默认值
internal		//flash不能与浏览器通讯如navigateToURL,但是可以调用其他的API
none			//禁止任何的网络通讯

但是最近更新的flash客户端貌似是只要AllowScriptAccess被设置那么包括navigateToURL都不能使用,在官方文档上也只看 到简简单单的一句道歉,但是这样的确从某些程度上提高了嵌入flash的安全性。但是即使不跳转,我们还是能做很多事情,当我们将flash直接嵌入到页 面又没有设置allowNetworking时,我们就可以做csrf之类猥琐的事情,更要命的是这种形式的csrf支持POST请求,referer来 源为swf文件所在地址或者为空,同时发送所有cookie而不像图片那些只能发送session cookie,而且基本没有任何的痕迹,基本秒杀那些没有做token保护的csrf防范了,之前的开心网犯的就是这个错误,我们强烈建议该选项为 none,如果你不选择这个建议你也要清楚自己在做什么。

0×03 flash安全的checklist

1 检查自己的网站的根目录的crossdomain.xml

好孩子:

http://mail.google.com/crossdomain.xml

http://youa.baidu.com/crossdomain.xml

http://www.adobe.com/crossdomain.xml

坏孩子:

http://www.youku.com/crossdomain.xml

http://www.renren.com/crossdomain.xml

http://www.taobao.com/crossdomain.xml

我承认所有的利用都离不开场景,有的时候如果实在没有办法修改这个crossdomain.xml(这个情况的确存在,譬如某些变态功能的需要),那么就 可以考虑在应用程序获取数据时对提交的数据做校验,譬如当请求的头里包括x-flash-version时,就可以判定来源是flash而不予响应,但这 的确不是一种优美的解决办法。

2 检查自己网站引入flash的代码

有AllowScriptAccess和allowNetworking么?如果没有,那是不是我这个应用设计已经很安全足够抵御各种攻击了?

如果想针对安全问题做测试,fly_flash是方便的攻击客户端的好伙伴(参见开心网蠕虫),如果想针对第一种错误的策略文件突破csrf等做测试就还得自己写源码了。另外,良好的设计的最大敌人就是坏的实现,原因也是各个程序之间天然的心之壁垒,猜猜

<embed allowscriptaccess="always" allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&x.swf wmode="transparent" loop="false" autostart="false">

这段代码的结果是什么?

, ,

微软如何面对每个月100000次的攻击

Apr 20th

作者:假装纯情 分类:技术专题 | 220 views

没有评论

长期以来,微软公司都鼓励自己的员工从自己的家中,甚至是公路上,通过“RAS”进入企业的内部网络系统,查看自己的电子邮件,分享文件或程序。
  RAS 是“Remote Access Services”这个古老的微软术语的简写,中文含意是“远程访问服务”,现在绝大多数人都将其叫作“VPN客户端”。
    显而易见的,微软公司在自己的企业内部网络当中,储存了无数价值连城的 知识产权和技术财富,其中包括其全部的操作系统和应用程序的源代码。很自然的,有无数的黑客都对这些财富垂涎三尺,不断地持续攻击着微软公司的企业内部网路。而微软公司也在竭尽全力地通过深度的防御技术来保护自己最具有价值的财产:他们构筑起了坚固的网络防火墙,并通过 IPsec 将内部网络分割开来。此外,在整个企业网络当中,任何可疑行为都处于严密的监视之下,并且有经常性的扫描检测以预防恶意软件之类的危险的侵袭。

    你知道我所说的“持续攻击”意味着什么吗?去年,微软公司的IT部门的人士告诉我,他们每个月会承受超过10万起针对性的网络攻击。而现在,微软公司会在每天所接收到的1000万封电子邮件当中,过滤掉900万封带有垃圾信息和病毒的电子邮件。是的,这意味着在全部的电子邮件当中,有大约90%都是垃圾邮件。

    在这样一个环境当中,你可能已经认识到,本文开头所提到的 VPN 网络连接很可能会将微软公司暴露在严重的安全危机之中。那么,微软公司是怎样在一方面为自己的在远方员工和合作伙伴提供 VPN 访问通道的同时,另外一方面又减轻这种危险的呢?这个问题的答案是多方面的。

一、双因素验证
    微软公司 VPN 所具有的第一层保护措施是“双因素验证措施(two-factor authentication)”。在2000年秋天发生了那起声名狼藉的入侵事件过后,微软公司安装了一套基于数字证书的公共密匙系统,并且为每一位需要进行远程访问企业网络的员工和合作伙伴,以及那些需要临时提高访问权限的外部人士,都颁发了智能识别卡(smart card)。

    双因素验证措施要求你在数字密码之外,还具有某种实物形式的授权证明。在上述情况中,它所指的就是智能识别卡片(smart card)和你的密码。

  (上面我所提到的那起著名的入侵事件,被《华尔街日报》和诸多媒体都报道过,包括 Computer World。相关的新闻报道说,那名黑客通过使用一个偷来的用户名和密码,获得了访问微软内部企业网络的权限,并且还浏览到一部分微软源代码,但并不能对这些代码进行修改。不过微软公司官方却否认了相关报道中的内容。)

    “今天,我们会要求相关用户具有一个有效的智能识别卡片以及相应的个人识别号码,并且该名用户还必须具有从远程使用网络的相关网络证明和授权许可。”微软公司内部安全主管 Mark Estberg 表示。“我们正在通过使用新的 Longhorn Server 系统,在企业内部测试部署新的双因素验证系统。这套新的验证系统将具有来自 ISA/Whale (其在2006年被微软所收购)的SSL VPN 功能,以及用于终端扫描的网络访问保护功能(Network Access Protection)。而我们也通过整合 Active Directory 和 网络策略服务 Windows 服务器来执行后端验证和授权功能。

    你可能会希望微软公司采用仿生性安全系统(biometric security)。微软公司表示他们正在评估这套系统。不过在现在这个阶段,微软还是在坚持使用智能识别卡(smart cards)。

    二、“沙盒”连接(’Sandbox’ connections)

    微软公司对自己企业 VPN 网络的第二个层面的保护措施是“沙盒连接(’Sandbox’ connections)”。该项措施是由 Windows Server 2003 系统的“网络访问免疫控制功能(Network Access Quarantine Control)”所实现的。当一台连网的计算机可以访问任何企业内部网络资源之前,一个特定的程序会首先扫描这台电脑,以检验其安全性

    首先,这台电脑上所运行的操作系统必须是经过了核准的,并且还要安装好了所有的关键安全更新;同时,这个扫描程序也是和微软的产品补丁部署系统联合在一起的,诸如微软更新站点(Microsoft Update site)等等。此外,这台电脑上的 Windows 防火墙必须是开启的。最后,这台远程电脑还不能同时连接到任何其它 VPN 网络,或是正在使用任何其它形式的远程访问软件。

    如果扫描程序发现这台电脑存在任何缺陷和不足,它会尝试去进行修正。比如说,它会升级电脑的反病毒数据库,或是强制安装关键的系统安全补丁。如果用户拒绝进行这些更新,扫描程序就会自动终止其网络连接。一旦扫描程序确定了这台电脑是干净的,并且已经安装好了所有的安全补丁,这次网络连接就会被移除“沙盒”,真正地进入到企业的内部网络之中。

    所有的这些预先检测都可能会非常地耗费时间,并有可能会让用户们感到不快。根据微软公司的 IT 部门的说法,扫描一次 VPN 登录行为有时可能会耗费长达五分钟的时间,并且在极少数情况下,所花费时间甚至会长达15分钟,比如在这台电脑不符合某些标准,并且最近都没有登录过企业内部网络的情况下。

    通常情况下,如果一个网络连结花费了15分钟还无法登录的话,正常人的反应可能是早就将其给挂断了。并且,VPN 网络连结是一种非常有限的珍贵资源,不应该被白白浪费。因此,微软的 VPN 登录系统会为那些经常使用 VPN 网络的用户们加快登录进程。

    在每一次登陆的时候,网络服务器会记得有哪些是已经被扫描过的,从而在一段时间之内就不需要再次扫描了。因此,那些经常使用 VPN 网络的用户们,可以在一分钟之内登陆进微软的企业内部网络。

   微软公司遵守着它自己所推崇的 VPN 加密、授权、密码强度和密码更新规范。微软表示,它自己的绝大多数的安全 VPN 验证都是由使用智能识别卡的“扩展验证协议-传输层安全协议(EAP-TLS)”所提供的。而带有 EAP-TLS 的“点对点隧道协议(PPTP)”则为主要的 VPN 服务提供了封装和加密功能。

    在 Windows Server 2003 操作系统当中,其系统默认的策略要求用   
户使用一个字符类型混合(大写字母、小写字母、数字和特殊符号)的中度长密码,并且在一定的天数后还要强迫用户对密码进行修改。而微软公司在自己的企业内部网络中所使用的密码策略,可以说就是Windows Server 2003 系统的默认密码策略的一个“轻度加强版”。

    RAS 之外的电子邮件和及时消息

    每当当地的气候恶劣,或是大雪成灾的时候,微软公司的 VPN 网络就会不堪重负,因为它绝大多数的员工们都会呆在家里工作,因而会花费更多时间通过 VPN 网络从自己的 Exchange 服务器上接收和发送电子邮件。

    通常来讲,微软的员工都会接收和发送大量的电子邮件,并将其作为自己与他人进行协作或管理的主要手段之一。最终,Exchange 的研发团队开发出了的一种新的方法,能够在不需要客户端位于网络之上的情况下,使用户连接到邮件服务器,并使用上全部的相关功能。

    这种方法是建立起一个 Exchange代理服务器,以允许 Outlook 通过受到 SSL 加密保护的 RPC 访问  Exchange 服务,而不是 HTTP。在几年前,微软公司开始部属这种 Exchange 代理服务器,以及用于简化 Outlook 客户端代理服务设置的脚本语言。

    对于那些使用自己的电脑进行远程工作的雇员和外部合作伙伴们来说,该解决方案是非常理想的。并且,它还减轻了使用 VPN 网络来收发电子邮件的需求。它比标准的POP3、IMAP mail 或 Web mail 邮件服务提供了更多的功能。Exchange 同样也提供了 Web mail 功能,而微软公司内部对“Outlook网络访问功能(Outlook Web Access)”使用量也非常的大。

许多微软的员工都拥有如此之多的电子邮件,以至于他们需要为那些尚未阅读的不是那么紧急的消息专门发展出一套回顾日志(backlog)。要想取消掉这种回顾日志,解决方法之一是使用“即时消息”,而微软公司在这一领域也提供了自己的企业级产品 —— Microsoft Office Communicator 2005。该产品能够在不使用 VPN 连接的情况下,使用代理服务器在互联网上提供安全的即时消息通讯。该产品是在微软早期的内部即时消息系统的基础之上开发出来的,而原来的那套系统会在用户需要安全地发送即时消息的时候,强制用户连接到 VPN 网络。

   外部的 SharePoint 站点

    另一个会使用到 VPN 网络连接的通常原因是需要处理那些来自于企业内部网络的文件。当仅仅只有极少数的用户需要访问到这些文件,或是这些文件非常机密的时候,这样做是非常合情合理的。但是,假如不是这样的话,假如这些文件不是那么的“敏感”,并且有许多远程工作的用户都需要使用到这些文件的的,比如说“微软公司对于计   
算机术语所制定的内部术语表”,那么此时还使用 VPN 进行连接的话,显然就没有什么必要了。

    为了满足此类需求,微软公司的 IT 部门建立起了数个 SharePoint 分享站点,作为受到密码保护的保密的企业外延网。更精确地说,微软公司的IT部门所作的是,授权公司雇员根据自己面向的对象和涉及材料的敏感性,相应地建立起他们自己的 SharePoint 分享站点,作为自己内部网络或外延网络,并在其上面发布自己的内容。

   从而,比如说,那些为微软公司项目工作的文章作者们,可以一方面从专门管理此类写作项目的微软团队所维护的外部网络站点上下载自己所需要的 Word 文档模板,另外一方面同时又可以从微软公司法律部门所维护的另外一个外部站点上下在到最新的版权协议和商标列表。

    “不久之前,我们总部所在的地区遭受到了一次严重的暴风雪袭击,我们估计当时有超过四分之三的微软公司西雅图地区工作人员,被迫在自己的家中检查自己的电子邮件,并完成其他的工作内容。”微软公司的 CIO Stuart Scott 回忆到。“我们的网络和 Exchange 环境在保证了极高的安全性和机密性的前提下,经受住了如此巨大的需求考验。”

from:http://news.cnd8.com/news/7995.htm

, ,

搞安全的改行装自行车

Apr 17th

作者:假装纯情 分类:浓咖啡 | 251 views

1 评论

昨天去改车。跟老板攀谈起来。

—————————————

老板1号:你是做什么工作的?

我讲:IT。

老板1号:IT的哪方面呢?

我讲:安全。

老板1号:噢。我们原来是同行。你在哪家公司?

我讲:XX。

老板1号:XX是好公司呀。我在XXXX。上个月才辞的职,现在跟朋友开店。

我讲:我知道这家公司,去年的一起国内安全公司的收购案,挺多人都关注这个事情。

老板1号:XX收购XX主要是几个原因……未来会……

老板1号一边拧螺丝,一边噼里啪啦狂侃。我也收获不少。老板2号看着我们聊得火热。也插了进来。

老板2号:我知道,你们开发流光。

我讲,噢,不是。

老板2号:那我知道了,是X-SCAN!

我讲,不是诶……(做企业级安全,知名度还真是弱点)

—————————————————————————

老板1号,2号都是在安全行业里有点经历的人。现在都选择了离开。投入了一个全新的行业(在居民楼里改装自行车)。

我身边有几个朋友情况跟他们类似。认为安全行业看不到希望,有很多抱怨。如今已经不做安全了。

想想,坚持下来也不容易。尤其是年轻人。

from:http://hi.baidu.com/wongbin%5Fsecurity/blog/item/06b1ea39a8dde52b97ddd822.html

,

看到一句话

Mar 12th

作者:假装纯情 分类:技术专题 | 209 views

没有评论

WEB安全始终应该是最明显的,但是却被传统安全厂商所遗忘:
在他们吹嘘防火墙、入侵检测的时候
“地下黑客”们却在流传如何绕过IDS等的议题

,

解析:09年刑法修正案(七)对安全界的影响

Mar 1st

作者:假装纯情 分类:挨踢消息 | 180 views

没有评论

十一届全国人大常委会,第七次会议 2月28日上午,十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会,以161票赞成、4票弃权表决通过《中华人民共和国刑法修正案(七)》。令人关注的是,对于惩治网络“黑客”的违法犯罪行为,刑法增加了相关条款。这意味着,今后惩处网络“黑客”有法可依

一、背景

十一届全国人大常委会,第七次会议 2月28日上午,十一届全国人大常委会第七次会议在北京人民大会堂举行闭幕会,以161票赞成、4票弃权表决通过《中华人民共和国刑法修正案(七)》。会议经表决,通过了食品安全法、刑法修正案(七)和修订后的保险法,国家主席胡锦涛分别签署并予以公布。刑法修正案(七)自公布之日起施行。令人关注的是,对于惩治网络“黑客”的违法犯罪行为,刑法增加了相关条款。这意味着,今后惩处网络“黑客”有法可依

二、分析

    此前,刑法第285条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。(详见备注)

1、问题   

    近年来,计算机犯罪的特点已经超越了刑法285286标注的范围。主要是通过,技术手段非法侵入法律规定以外的计算机信息系统,窃取他人账号、密码、虚拟财产(如 游戏装备)等信息,或者对大范围的他人计算机实施非法控制(如 僵尸网络)。

这些犯罪行为,都超出了285和286条管辖的范围,刑法原有的规定使司法机关在打击“黑客”犯罪时面临法律困扰。

 
2、解决

    鉴于上述情况,刑法修正案(七)在刑法第285条中增加两款(第二款、第三款):

“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”

“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”

总结

此次修订带来的变化如下。

1、范畴变化。对于军事、金融、政府以外的计算机系统,发生的计算机犯罪进行了界定,尤其是明确刑罚的内容。对于保护商业企业的计算机信息系统,尤为重要

2、刑罚变化。对于计算机犯罪的惩处量刑出现变化,比以前实施更大的惩罚力度(……处三年以上七年以下有期徒刑……)

3、内容变化。

    A、在内容上与时俱进,兼顾了对新型计算机犯罪行为的界定和内容描述。(如 增加非法控制他人计算机的部分)。关注点从以前的关注入侵(“……对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统……”),转到新型犯罪行为的描述(……获取该计算机信息系统中存储、处理或者传输的数据……,此处对虚拟财产犯罪行为的定罪,有非常积极的意义)。

     B、对提供黑客工具,编写黑客工具行为,界定为违法行为。(“……提供程序、工具,情节严重的,依照前款的规定处罚。……”)

总体看这次刑法的变更,解决了长期以来“计算机(互联网)犯罪成本”的问题,为行政司法处罚提供了依据。

当然这不仅仅对黑客产业造成影响,这种犯罪成本的变化,必然会带来挂马、盗号等产业链的规模性变化。相信对于安全公司、互联网企业的工作内容和范畴,都会带来深远影响。

 

三、备注

计算机犯罪涉及到刑罚的法律,主要是中华人民共和国刑法285-287条。

(1979年7月1日第五届全国人民代表大会第二次会议通过 1997年3月14日第八届全国人民代表大会第五次会议修订 自1997年10月1日起施行)

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

第二百八十七条 利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

from:http://www.cnbeta.com/articles/78229.htm

,

近来江湖多凶险,有线无线都危险

Nov 19th

作者:假装纯情 分类:技术专题 | 190 views

没有评论

加固保安全,改改更健康:

1、打开secpol.msc,把“网络安全:LAN Manager 身份验证级别”修改为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”:
title

2、打开你的AP的配置界面,修改WPA的加密方式为AES(大多数AP默认都是TKIP):

title
欢迎转贴,广结善缘。文明转贴,注明出处。
from:http://hi.baidu.com/tombkeeper/blog/item/d48412e9d5120f38b80e2dcb.html