安全天下事

（2009年02月）文/江海客

本月加沙战火纷飞，但网络世界相对平静，没有重大的漏洞和疫情出现，这让我们多少有些不太习惯。
微软继续为解决自己的安全问题而出招，关于微软免费杀毒软件 Morro的消息已经山雨欲来，对行业的压力甚至大于了Win7的发布。而Win7则在安全方面反而看不到更大的跨度，更多的似乎是纠正Vista在安全领域的矫枉过正，其在安全机理延续的情况下，对用户的骚扰大大减少。

知名的基础资源发布体系时候会被恶意代码发布者利用问题近期再次被提了出来，这次爆料来自McAfee的官方博客，而矛头则指向Google Code，说Google Code的缺陷让攻击者可以提供一种仿冒解码器的攻击。为此，Google声明其有有关的检查机制，同时大家也翻出了，微软Spaces网站类似问题的旧账，以及揪出了利用Google Code系统开发恶意代码的几个团伙。

实际上几乎多数提供交互发布服务的站点，往往都存在一些跨站攻击等的利用方法，但Google和微软相关服务必须被关注的另外一个原因是，很多网页保护工具是天生把这些大站置于白名单之中的，以避免可能的误报麻烦，但这种策略就在万一这些基础信息体系有问题的时候，酿成连锁反映。

1月，各个反病毒厂商新品迭出，一夜之间云安全、云计算就似乎如同解包、脱壳、虚拟机一样，成为反病毒软件的标配。只是大家强调的重点不同，有的强调其大规模集群计算能力，有的强调其参与体系，正当前者嘲笑后者不是云安全，而是人肉安全时。我们却听到ORCALE的疯子老总突然说，他不知道什么是云计算。或许我们看到的都是一串串酸葡萄而已。至少在AV领域，尽管我们有过很多创新，但谈不上有真正的革命，因为没有任何机理一抓就灵，最终还是考验团队的综合实力和整个业务体系的合理性。至少对国内厂商来说，春节长假则成为考验，在自动化和云计算已经被当作卖点反复号召的今天，不知道是否春节7天长假，还会不会有之前提前做好多个版本的库，放假后在一个一个发行的伪升级现象。

云还是气泡，一切需要用实战检验。

12月，辩证法之月

（2009年01月）文/江海客

12月微软IE7的一个0day漏洞不期而至，利用方法被迅速传播，恶意页面泛滥开来。
微软花了10天才发了一个补丁，而且根据微软的补丁说明，微软“没有信心”完全修补这个补丁，这显然比MS08-067被动的多。
在这个漏洞中，我们发现了一些辩证而有趣的现象，很多安全研究报告建议用户采用对所有进程启动DEP保护的方式来回避这个漏洞，但其结果让人理解为什么微软过去不敢以此作为默认策略，那就是IE和OFFICE都出现不稳定的情况，而且大量采用一些纯CLIB（比如用于支撑一些早期RFC标准的）的库的软件都无法使用，而且甚至不能添加到DEP的例外中去。要安全还是要稳定，成为一个真实的选择。
另外有趣的现象是，对这个漏洞防护表现最突出的居然是一个叫锐甲的免费小工具，这个只有2M的工具可以监控IE的异常行为从而拦截挂马。但这个小团队也花了一天时间修补与DEP完全打开带来的不稳定。看来安全工程师斗争的对象不仅是入侵也有微软的“神经代码”。事实上，Vista的PatchGuard、UAC等机制带给过我们很强的信心，DEP甚至让一些漏洞挖掘者十分悲观。但当微软也“没有信心”时，选择第三方安全还是等待微软的补丁也变得十分富有辩证味道。
本月，WiFi手机是否开放之争又打到了公众面前，很多人把禁止WiFi完全算到WAPI标准的帐上，包括中国移动WiFi覆盖进展的缓慢等等。也只认为这是WAPI惹得祸，或许这也并不公平，实际上大家可以想象，WAPI固然是一个原因，但如果运营商本身是坚决的，作为移动、联通这样的企业对决策的影响能力是很大的。可以简单试想，如果WiFi高度普及，那么更多人可能就会用Skype之类的语音通讯工具来节省高昂的移动话费。那么按照国内移动运营商的一贯思路，这种掘墓人式的操盘就算公众千呼万唤，也阻力重重。但从作为安全工作者则看到的是另外的问题，那就是百万台手机所带来的安全隐患，我们已经多次发现预装在“水货”手机中的后门和流氓软件了，因为身边很多人宁可用同版本的HTC而不用多普达的原因正是没有WiFi。这里真正担心的，不仅是对个人隐私和安全的威胁，而是类似设备的无孔不入所能达成的渗透效果，以及有可能的组成的“手机僵尸网络”的威胁。从安全策略，从中可以看到一种有趣的辩证法。
提升安全性目标-〉强制使用WAPI标准，禁止WiFi-〉无法满足既有的WiFi需求->大量购买手机-〉带来普遍安全隐患
由此我突然想到一个典型的播种龙种，收获跳蚤的案例，某些高校为加强BBS管理，强制执行BBS实名制，其结果确实校外出现了另外一个学生自发建立的BBS，原有站点则被学生称为“伪站”。结果这个新的BBS反而彻底的不受校方任何约束了。
管理废弛带来的固然是一片混乱，但如果管的过死，其结果反而则是失控，因此无论多么复杂，信息安全策略的“蝴蝶效应”后果都必须关注和预测。

2008信息安全技术与产业大盘点

江海客

基础体系与产业环境
2008年安全产业似乎一切平稳，没有07年那样的高歌猛进，也没有颠覆性的技术和产品。一切都没有这一年从雪灾、地震、奥运、太空行走到经济危机的跌宕起伏感觉更深刻。
就如08奥运，带给安全厂商的则更多的是公益性的工作，只有启明等少数较大的厂商，有所获益。但之后，大家又共同面对经济危机的挑战。
但另外一个基础体系的挑战，就是我们必须审视微软。
终端安全上刚刚初步适应了Vista的安全厂商，无不忐忑等待Windows7的出现，因为不知道微软又会带来哪些麻烦。微软这种行进间开火的政策，确实让很多安全公司疲于奔命。至少windows7在减少安全提示，改善方面性的效果，会让刚刚在产品中接管windows安全消息体系的公司不爽，微软这种大包大揽，让产品的很多功能的生命周期都大大缩短。但对用户来说，这确是一件好事情。
微软的Onecare08年表现平平，装机量只有2%，能明显感到其与主流商用产品尚有差距， 也许对Onecare大家恐慌过渡了，也许对于Symantec和趋势来说，真正的损失不是市场份额，而是股价的损失。也许Morro的免费，对微软和各个厂商来说，反而各自是一种解脱。但国内反病毒厂商的营业额衰退明显，显然经济危机不是主要的，但如果都说成360搅局后的免费之战的影响，似乎也并不全面。
08年底，3G突然松动，对于安全是一个较大的新空间，08年内，手机流氓软件已经潜流横行，下一步手机僵尸网络的正式出现已经是必然。而PC所有经历过的威胁，手机必然还会经历一次，而且由于手机难于维护的特性，则更会让我们推理有关场景时，担心届时素手无策。
与此同时另外一个巨人悄然而至，这就是潜行于成都的华赛，尽管3500人的规模在华为体系中只是一个小兄弟，但落实到主流企业多数还是几百人规模的安全产业中则已经是庞然大物了。而且这个数字被华为开始设想的2000人的规模几乎多出了一倍。

产品与技术
08年无论如何都让我们这些学院派感觉乏味，无论是反病毒还是UTM，产品形态都没有本质变化。用户对于厂商的宣传策略也尽显疲态。
如果说，一定要列举出亮点：
我首先反而想到的是被传统反病毒厂商认为没有核心技术的360安全卫士，360称，应用软件补丁是360对信息安全领域的最大贡献，很多人嗤之以鼻。我觉得这种鄙夷有失偏颇，技术的根本价值不在于其架构、机理和算法的高深，而在于用户价值，对于类似Flash漏洞这样的格式溢出狂潮。这种第三方补丁检查机制辅助大量的撞击量，效果还是不言而喻的。
另一个，给我留下深刻印象的安全工具是锐甲，这是一个只有2M的免费小工具，只做一件事情，就是阻断IE挂马，其在IE7 0Day漏洞所表现的良好效果，和其安全浏览带毒网页的设计理念，让人感觉非常不错。
Rootkit检测我一直认为会成为08年的一项亮点，但事实不是，独立的反病毒软件评测机构AV-test.org发布的最新评测报告表明：包括Symantec、Sophos、McAfee等在内的30款反病毒软件在检测和清除Rootkit类恶意软件方面的能力仍然较弱。即使专业用户在碰到此类Rootkit时，往往也需要借助第三方Gmer、Sysinternals、atools等类似工具结合专业知识方可有效清除。但反Rootkit技术和Rootkit技术往往有一种微妙的关联，其中往往应用了一些未公开的数据结构和调用，并使用了一些可能影响系统稳定性的方法，这可能在长期稳定性上被用户批判的反病毒厂商非常慎重。
安全的开发方法在08年成为热点，针对第三方通用软件的攻击愈演愈烈，暴风影音、Web迅雷等普及率较广的软件均称为黑客的首要目标，并屡屡得手，而对于需要保持7*24小时在线的C/S类型软件来说，在软件已开发并交付之后对其进行任何微小的变更都将可能碰到无法预知的风险。因此微软倡导的SDL安全开发模型，其关注于软件开发生命周期全过程的安全，注重于对设计阶段的安全威胁建模分析，依赖于编码阶段的安全意识与技巧，仰仗于安全测试阶段的各类安全性测试等，最终的安全评审方能确保交付之后软件中的严重风险能尽可能的得以以最小成本来管控，就有了一定的价值。
对于炙手可热的云计算和云安全的方向，我不否认这是一种趋势，但我觉得，还需要查其言观其行，效果才是硬道理。

免费、开源和工具
如果让我评选全年的明星安全工具，那我会列举这些 。

Russix - LiveCD Linux Distro for Wireless Penetration Testing & WEP Cracking
简介：用于无线渗透测试及WEP破解的LiveCD安全工具包
http://www.russix.com/

PHPIDS
简介：用于对基于PHP开发的Web应用进行入侵检测的安全中间件，简单易用。
http://php-ids.org/

Goolag - GUI Tool for Google Hacking
简介：一个用于Google Hacking的GUI工具，同类工具可参考Apollo v3.0，GHDB等
www.goolag.org

Goolag - GUI Tool for Google Hacking
简介：一个用于对大多数通用网络设备的配置文件进行安全审计的工具，版本号0.11.5
http://nipper.titania.co.uk/

WSGW Web Security Gateway for Secure Apache
简介：针对Apache服务器的一个安全中间件。
http://wsgw.sourceforge.net/

SIPVicious v0.2.3 - VoIP/SIP Auditing Toolkit
简介：一个可用于对基于SIP软交换协议的VoIP系统安全性进行审计的工具集。
http://sipvicious.googlecode.com/

Xprobe2 - Active OS Fingerprinting Tool
简介：一个可与著名安全扫描枪Nmap相媲美的强大的主动操作系统指纹识别工具。
http://xprobe.sourceforge.net

FWAuto v1.1 - Firewall Auditing & Ruleset Analyzer Tool
简介：一个可对Cisco PIX防火墙进行审计、规则集进行分析的Perl脚本集。
http://sourceforge.net/projects/fwauto

ratproxy - Passive Web Application Security Audit Tool
简介：一个半自动化的、被动web应用安全审计工具。
http://code.google.com/p/ratproxy/wiki/RatproxyDoc

PuttyHijack V1.0 - Hijack SSH/PuTTY Connections on Windows
简介：一个通过将一个特定dll注入到PuTTY进程中从而劫持现有及即将创建的连接的攻击工具。
http://www.insomniasec.com/releases/tools

raWPacket HeX - Network Security Monitoring & Analysis LiveCD
简介：一个可用于简化网络安全监控及分析流程与工作流逻辑的可光盘引导的LiveCD。
http://www.rawpacket.org/projects/hex

漏洞、安全事件与总结
恶意代码急剧膨胀：
07年盘点时，恶意代码比06年翻了一番，而很多厂商08年年底点数数据令人大吃一惊，全年捕获样本数量在07的十倍以上，呈现出非常明显的几何级数增长的趋势。卡巴斯基的病毒名称总数已经超过了100万，而去年年底这个数字还在30万以内。另外，值得关注的是，在这个几何增长过程中，从8月开始有一个明显的下行趋势，而这个趋势既不来自反病毒软件的基础突破，当然更不来自病毒作者的良心发现。而来自中国公安、信产等部门打击恶意代码和地下经济体系的专项行动。可见，对于安全威胁源头的“肉体隔离”往往比技术对抗有效的多。

安全软件误杀门：
08年反病毒软件误查误报问题再次被关注起来，只是这次的主角从Symantec换成了瑞星，其卡卡插件会删除outlook express的邮箱文件，在每日十万甚至百万量级的上报事件的背景下，反病毒厂商如何规避误查误报的噩梦，是越来越艰难的课题。

微软黑屏：
微软黑屏是一场"经学家见易，道学家见淫"的大事件，中国的有线电视台可以公然的在新闻联播下面插入江湖游医的广告而不受惩罚，而微软的一个“你可能是盗版软件受害者”的提示却引发国内版权专家“入室涂鸦”的批判，很有鲜明的对比意义。

RPC漏洞：
微软手忙脚乱了一次，因为这是一个货真价实的0Day漏洞，在微软尚未发布补丁的时候，原型蠕虫就已经产生。微软14个月来第一次，打破了固定发放补丁的规律，而单独发放了此漏洞的补丁。不过随之而来却看到有关蠕虫并为大规模出现，网上捕获到的溢出包基本都是所谓“狼牙抓鸡器”之类的远程投放工具的使用。0Day基本上被可控的利用，这个趋势十分鲜明。

IE7 0DAY漏洞：
08年恶意代码的传播方式以挂马和U盘为主，所以当IE7的一个0Day暴露出来时，很快就出现了大量的相关利用页面，而很多安全插件对此反应迟缓。

值得关注的威胁趋势与挑战
1.用于高速公路的电子收费系统入侵研究
安全研究人员Nate Lawson对旧金山湾区的电子收费系统在一次开车路过后，产生了浓厚的兴趣，通过对RFID技术的研究，其成功的逆向工程分析了FasTrak标签，并发现了诸如无加密之类的安全漏洞，可以实现嗅探Sniffering、克隆Cloning以及对驾驶司机的轨迹进行隐秘跟踪。当然，Nate Lawson也成功的免费通过了所有该区域的收费关卡。

2.精神黑客入侵事件
大多数人往往会认为黑客入侵仅针对有形的物质世界，如接入网络的交换机、路由器以及各类电子设备，来自安永的一位高级经理Nitesh Dhanjani并不这么认为，他认为“很多情况下，我只想入侵你本人，而并不是你的各类应用”。这是下一代的黑客技巧的应用方式之一。Nitesh Dhanjani所领导的项目小组成功的开发出一个Emotion Dashboard的原型系统，用于收集某一用户的在线状态，并可由此统计出该用户的思维方式，推断出该用户的下一个行为有可能是什么。其最基本的原理就是对该用户的社交网络SNS、博客、Flickr、BBS中的踪迹进行统一收集，并纳入Dashboard之中，寻找在线活动与发布信息之中的内在脉络。在他们的实验中，成功的识别出了某一用户在过去6个月中的在线活动，并且判断出其悲伤、喜悦、愤怒，甚至怀疑、不确定、畏惧等情感发生期及一定程度的预测能力。
3.iPhone？攻击工具？
乔布斯总是在全世界的苹果迷们苦苦等待快要失去耐心之时，不失时机的抛出一个让苹果迷们为之疯狂的小玩意，大把大把的掏空你的口袋。Robert Graham以及David Maynor却成功的将带有WiFi功能的iPhone改造成为了攻击者手中的攻击利器，利用TCPDump以及NMAP等将对网络的审计变成了一种随处可用的行为，大大提升了效率。他们的iPhone可以收集WiFi网络中的安全数据、加密信息等，甚至支持可通过SSH通道以命令行方式执行更多的安全操作，例如WiFi Fuzzing Test。

4.永久性拒绝服务攻击
你是否可以在不物理接触硬件的情况下破坏它们呢？
HP系统安全实验室的研究人员Rich Smith成功的描述并实现了一种PDOS（Permanent Denial-of-service），与常见的DDOS攻击有所不同，PDOS是对硬件的蓄意破坏。Smith开发了自己的fuzzing测试工具PhlashDance，用于对固件中的PDOS可利用漏洞进行安全检测，尤其是大部分支持固件在线升级的嵌入式设备均存在类似的风险，同时缺少足够的认证机制。
大多数随身电子设备应该都具备固件在线升级以及空中下载功能，有必要重新考虑一下是否禁止此类功能了。

5.Gecko：智能楼宇控制系统入侵
利用你的貌似安全的指纹以及智能卡片每天上下班出入大楼，可能就等同于为入侵者留下敞开的大门。一位英国的研究人员Zac Franken利用楼宇控制系统中的漏洞以及可编程智能控制芯片技术成功的开发出了一套名为Gecko的设备，用于和智能卡及门禁等系统进行交互，其部署位置可处于扫描器及后端访问控制系统之间，能够捕获、记录、回放，甚至禁用指定用户的受信凭证。当然，这才只是开始，Zac Franken还计划为其增加更多功能，例如支持蓝牙指纹欺骗技术、多ID闪存记录技术，以及GSM接口将记录信息通过移动网络发送回指定接收位置等。
智能卡，也是有风险的。

结束语
08年中国安全厂商普遍感受到了5.12地震后的安全预算减少、奥运封网带来的项目推进迟缓、以及年底的经济危机影响。08年已经过去，也许09年将是关键的一年，有新生、有发展、有死亡，但最关键的是我们还拥有希望。

2009年02月《安全天下事》、2009年02月《安全天下事之12月，辩证法之月》、《2008信息安全技术与产业大盘点》...相关推荐

1. 【12亿】微信月活11.12亿，抖音年赚200亿？中国最受欢迎五大社交平台

   在互联网行业,社交一直都是巨头们的兵家必争之地.从QQ到微信,从微博到抖音,新的社交平台在不断出现和崛起,用户也从90后延伸到了00后,而社交时代的风云变幻,也映射了互联网发展趋势以及网友社交方式的变 ...

2. 2012年6月9日于上海举办华东运维技术大会：演讲主题、演讲嘉宾等信息

   会议名称:华东运维技术大会 参会形式:免费报名制(注释:须事先报名,场地有限) 会议定位:企业运维技术的最佳实践 会议主题:运维自动化.Web服务器的优化与架构.云计算.虚拟化技术 会议目标人群: 1 ...

3. 【管理心得之一】不要用“可有可无”的事，挑战他人对这件事的原则和底线...

   场景再现 ======================== 男:下班了,我可以来接你吗?吃过晚饭,一起去滨海路走走,只是羡慕恋人般的月下罢了. 女:对不起,我可能和其他女孩不一样,夜里不想到处逗留,不 ...

4. python语言入门教程-菜鸟学Python入门教程大盘点|7个多月的心血总结

   原标题:菜鸟学Python入门教程大盘点|7个多月的心血总结 阅读本文大概需要5分钟 菜鸟学python已经写了70几篇,入门的教程已经快写完了,我把入门的文章整理了一下,下面是入门篇的一些总结,也是 ...

5. AI：2020年6月23日北京智源大会演讲分享之AI创业专题论坛——10:00-10:30张亚勤教授《智能产业新浪潮》

   AI:2020年6月23日北京智源大会演讲分享之AI创业专题论坛--10:00-10:30张亚勤教授<智能产业新浪潮> 导读:首先感谢北京智源大会进行主题演讲的各领域顶级教授,博主受益匪浅 ...

6. 江西省2019计算机二级报名日期,2020年3月江西计算机等级报名时间、报名入口【2019年12月18日-27日】...

   [导语]<2020年3月江西全国计算机等级考试工作通知>现已发布.2020年3月江西计算机等级报名时间:2019年12月18日-27日,考试时间:2020年3月28日-30日,小编现将报考 ...

7. python入门教程(非常详细)-菜鸟学Python入门教程大盘点|7个多月的心血总结

   原标题:菜鸟学Python入门教程大盘点|7个多月的心血总结 阅读本文大概需要5分钟 菜鸟学python已经写了70几篇,入门的教程已经快写完了,我把入门的文章整理了一下,下面是入门篇的一些总结,也是 ...

8. 计算该年该月该日天数 一年中有 12 个月，而每个月的天数是不一样的。其中大月 31 天，分别为 1,3,5,7,8,10,12 月，小月 30 天，分别 为 4,6,9,11 月。

   一年中有 12 个月,而每个月的天数是不一样的.其中大月 31 天,分别为 1,3,5,7,8,10,12 月,小月 30 天,分别 为 4,6,9,11 月.还有二月比较特殊,平 年的二月只有 28 ...

9. c++ 线程进度条_AMD R9 5900X 跑分曝光，单线程性能大幅提升;天猫“官宣”苹果iPhone 12：暗示10月16日开启预定...

   2020.10.1数码资讯 微软发布 Surface Pro X:搭载 SQ2 处理器 微软今天更新了搭载 Arm 处理器的 Surface Pro X 平板,搭载了 SQ2 处理器,增加了铂金色配色 ...

10. C语言/打印日历，用户输入年分和月份两个变量，系统计算该月份的1号是星期几，并计算该月有多少天。最后打印出该日历。已知：1900年1月1日是星期一

    打印日历,用户输入年分和月份两个变量,系统计算该月份的1号是星期几,并计算该月有多少天.最后打印出该日历.已知:1900年1月1日是星期一 C语言 #define _CRT_SECURE_NO_WAR ...

最新文章

1. QQ web api
2. 远控免杀专题(20)-GreatSCT免杀
3. linux sz rz 下载与上传命令
4. 程序员加班一周休病假，犯了小错误遭开除，老板怒斥程序员不中用
5. ORACLE虚拟索引(Virtual Index)
6. fhq-treap模板
7. java 异常抛出_Java 如何抛出异常、自定义异常、手动或主动抛出异常
8. Adobe reader 的书签问题
9. 计算机文化第15版快速测试答案,《计算机文化基》第1次作业及答案.doc
10. 如果你想学好Py thon，我这里有几本电子书想送你
11. 微软打击盗版的“三部曲”
12. License授权方案
13. 【免费扩容onedrive】
14. Java：通过读取文件头来得到文件真实类型
15. char *那些事儿
16. Qt之使用GraphicsView框架实现思维导图功能
17. 如何在win7下装ubuntu（硬盘版安装）
18. 建筑安全检查标准怎么计算机,建筑施工安全检查标准评分 怎么算
19. HiMobileCam SDK安装使用说明（Hi3559V200）（海思）
20. java for mac 10.7_java for mac|苹果java 7(jre7) u40 64位版 - 软件下载 - 绿茶软件园|33LC.com...

热门文章

1. 射频微波芯片设计3：射频微波芯片设计基础知识
2. 2017年10月、11月 windows 用360 打最新补丁导致的问题
3. 面试必备项目之从零开发大众点评后端（SSM）
4. python numpy官方文档_[ Numpy中文文档 ] 介绍 - pytorch中文网
5. 积分简明笔记-第二类曲线积分的类型
6. Java光影教程_Minecraft SEUS PTGI 光影使用教程
7. SSH三大框架的工作原理及流程
8. c语言中32位整数用谁标识,int占几个字节
9. 菜鸟学习oracle一看就会
10. 微服务框架自带uuid生成器