在淘宝商城买了件商品,今天早上原本准备来查看订单状态,却不小心点击了自己的用户名。在“我的淘江湖”打开的那一瞬间,出于长期工作习惯原因而重视安全保护的我被吓了一跳,而且是很大的一跳!
对于一个交易不过5次、送货地址只有目前公司地址、同样的用户名信息从未在其他地方注册过、从未补充过其他个人信息等的普通账户,淘宝网非常神奇的帮我找到了我十多年前的高中同学!在右边排列的十多个“我可能认识”的名单里,除了一半真不认识以外,其他一半全是我的高中同班同学,而且大部分是N年疏于联系的!
在再次检查这个我唯一使用的在线交易账户所包含的个人信息后,淘宝网为什么如此神奇的谜底就快速被确认无疑了。这些的淘宝个人信息里,有手机、身份证和注册信箱,仅此三个。手机首先被排除,除了移动、银行和付费通以外,我几乎不主动留下这个信息,更何况手机号码我半个多月前才真正在移动实名认证,而且我和这些同学不在同一地方、互不知道手机号码;身份证更加不可能,如果淘宝可以通过身份证号码和我同学关联起来,我只能理解为在神武的邵警官带领下,支付宝曾经发起过人肉跨省侦察活动——因为我和同学们的祖籍出生地本就不在一个地方;最后只剩下注册信箱,这个我使用了超过十年的信箱,曾经于99年在中国同学录5460上使用注册过,这也是我唯一使用的同学录,上面有我唯一注册的班集体——高中同班同学共60多人……This is it。
自从2005年发生过5460信息泄露以后,我便抛弃了5460这个视用户隐私信息如草芥、门面三天一小变、五天一大变的网站,并彻底清空了个人资料。只是没想到,这些信息,如今又辗转到了淘宝江湖,对于这个已经和金钱(支付宝)进行唯一关联的江湖身份(信箱),想要从这里脱身,唯有自杀,然而“自杀”的选项在哪里呢……这个“江湖”二字,还真不是随便起得。
我把Ph4nt0m聚合上最近关于操作系统安全漏洞、安全开发生命周期SDL的Blog话题都做了标签,留做以后参考,这些好文把不少人都意识到的问题如“目前的安全对抗真的有效吗”终于挑开了,虽然袁哥真人还不便虎躯一颤抖落下些金银珠宝月光宝盒什么的,但如此讨论已实属难得,暗暗希望这样好的讨论碰撞冲突再激烈些,参与的朋友更多一些,讨论出未来安全漏洞的攻防到底是怎么样,有没有可能完成一套完善的、可以从根本上解决问题、不仅适用于操作系统而且适用于互联网服务的安全开发体系或者指导,这样的体系有没有可能市场化加以推广,技术和从业人的未来发展之路在哪里,如何突破现在的瓶颈等等。
呵呵,上面的期望可能过高,但这样的讨论太有必要——不光是对微软而言。云舒就写了自己对SDL的看法,让我们有机会了解了阿里巴巴SDL的很好的安全态度和意识,Tombkeeper似乎也马上也要做一个《安全漏洞下一个十年》的演讲,很期待看看PPT和演说词回放。微软人在这场漏洞攻防、SDL讨论里,已经有Flashsky和Chengyun随口开了题,如果Wushi、Sowhat也能从日理万机的赚美帝外快、搞国家公关等事务里抽空写一点心得体会出来,那就再好不过了,不过这两个被美金和丰富夜生活腐蚀的大侠,很有可能说的一句是:“没空。没钱途。搞这不如学Swan博士去做CXO、学Wordexp闷声享受生活、学……”,你看,其实他俩一不小心说的,就是更多如我现在般情形的灰白人员的尴尬情形。
嗯,下面把标记出来的blog以时间顺序汇聚一下吧,希望这个列表在各色圈子、同行如腾讯百度等等中继续扩展讨论下去。
- Chengyun: Windows 7安全和网页挂马
目前的网页挂马方式,没有一种可以绕过Windows 7安全特性……我也对在安全领域工作的几个朋友提及,要好好评估一下Win7对他们产品带来的影响。新的一轮的洗牌,也就会在这一两年内吧。
- Danielwa: Win7对抗网页挂马
目前Win7对抗网页挂马是一套组合的防范措施,并不针对某一漏洞,而是针对漏洞的利用方法,提升其实施的难度和降低利用后的危害……
- Yuange: 漏洞利用技术
说实话,一直认为微软没有真正的理解到安全的实质……SDL对安全也没有本质的提升。
- Tombkeeper: OLEAUT32.dll模块中处理类型库的相关函数可导致代码执...
……对部分类型的漏洞来说,DEP+ALSR+SEHOP虽然还不能说完全是浮云,起码也是部分浮云了。
- Flashsky: 闲扯SDL与安全成本观
以YUANGE的技术,我相信他确实能在各种对抗中找到这些防护技术的缺陷……不过……SDL的理解有些误差……我一直认为,安全只是成本概念,没有绝对的安全
- Yuange: SDL与安全本质
SDL……从严密的数学思维角度来说,是没有解决问题的
- Yunshu: 闲聊SDL
可能是因为很多大牛一般都在乙方做漏洞挖掘漏洞研究做得比较多,精通各种奇妙的攻击方式而对一些整体性质的防御策略涉及偏少,所以对SDL的 理解不是特别的准确。SDL并不是一个简单的直接在编码过程中对照着编码的规范……
- Yuange: 完美和谐的溢出漏洞利用技术
其实对于单一每个技巧个人觉得都不是重要的,重要的是从开始就要设计一个框架一个目标……
- Flashsky: 安全漏洞的原因 安全漏洞的一些总结和心得(1) 安全漏洞的一些总结和心得(2) 思考:SDL之后,攻击技术的研究方向和出路
SDL作为一个工程方法引入到软件工程中,个人觉得是软件工程发展的一个里程碑……未来,攻方要想在这场与MS的攻防对抗中胜出,则必须在这些技术领域有新的进展和研究……
最后,介绍个MSRC Engineering实验类小东西,Enhanced Mitigation Evaluation Toolkit (EMET) V1.0.2——又是一个纯对抗、“非根本解决问题”的攻击缓解小工具。有兴趣的朋友,可以使用EMET来保护IE和Office,从而达到基本如《增强2K/XP/2K3的内存安全防护》一样、但更快捷稳定的安全保护效果。
Allyesno在上篇Blog的回复里,提出了一个Windows XP安全防护的组合,显然,那是针对XP防范网页挂马的推荐措施,并不能在XP和Win7的安全性上划上等号。这篇Blog,就顺着这个话题,给准备再继续使用几年Windows 2000、XP和2003 Server的用户推荐一个简单的保护措施,使老系统比较像Windows 7——当然不是指其他,而是指部分的内存安全防护,从而免受恶意代码攻击(病毒感染的前奏):不仅仅是防范网页挂马,也不同于沙盒Sandbox、防病毒和一般的入侵防护系统等。
本篇Blog提供的所有信息供普通用户参考:
- 第一步:为所有应用开启软件DEP保护;(不适用于Windows 2000)
目的简述:在XP SP2/SP3和2003 SP2上开启数据执行保护,配置完成后,最直接的效果是使堆喷射攻击(Heap Spray,目前被最广泛使用的网页挂马恶意代码编写方法)失效。
方法:右键“我的电脑”->属性->高级->性能-设置->数据执行保护,选择第二个选项;
- 第二步:安装开源安全软件WehnTrust;
目的简述:这是一个比较特殊的入侵防护系统HIPS,由Matt Miller(绕过Windows 硬件数据执行保护和防止SEH覆盖攻击的作者,流行攻击工具Metasploit开发者之一,目前任微软安全工程师)开发。安装完成后,2000/XP/2003系统可受地址空间随机化ASLR、类似于SEHOP的防止SEH覆写攻击技术和防止格式化字符串攻击等等内存安全技术的保护,从而提升内存攻击利用的难度。
方法:略。
WehnTrust: When you need to trust Windows
完成以上两步后,重启系统。万一出现BSOD,那就放弃这步卸载了吧。
- 第三步可选,是浏览器使用的建议
之所以再加这一步,是因为这些老系统没有Vista/7下IE7/8的保护模式,一些情况下内存保护可能被绕过,所以对IE用户再有3个建议:1) 使用Dropmyrights;2) 可以参考TK的一篇Blog,额外再加一个补充的安全设置;3) 勿养成在Windows 2000和2003的Server版本OS上钓鱼、偷菜、抢车位等等冲浪的习惯,如果你不希望看到同样有这些爱好的人进入你的服务器上的话。
一直想写篇Windows 7对抗网页挂马的文章,纯白话式的,来转告普通用户,如果使用Windows 7,可以不用担心现在国内病毒传播最疯狂的方式——网页挂马。诚云就写了这么篇文章,《Windows 7安全和网页挂马》,很好很有必要。只是不由自主就会想,在这个充斥着剽窃造假、作秀娱乐、五毛打手的环境里,普通用户甚至多数IT人士,会不会认为诚云的这篇文章是软文,而敲上五毛的印章。所以,对于写这样的文章,我就一直很为难,究竟站在怎样的角度,写成什么样的文章,才能把实话实说,写的真的像实话实说,让多数人看的明白,让严谨的人满意,让一目三行或者各怀目的的人跳不起来骂不出理。
把实话写的像实话,真诚,还只是原则之一。一想到可能面临的各种各样的问题,比如“XP/Vista发布时你们也这么说!”、“为了Win7就变脸彻底否认XP”、“等Win7被报告漏洞后,下场和XP一样!”,以及上周刚刚面临的一个质问:“我以15年的UNIX经验告诉你,UNIX遇到Buffer Overflow都是直接coredump,为什么你们的操作系统居然允许代码执行?!”时,刚放到键盘上的手只能转而揪头发,暂时性纠结了。每每遇此,就感叹获取信任感,靠速写几句话这条路是走不通的。
文章写不下去,多少是为了避免类似“蛮有涵养”的李海鹏在中产阶级餐桌上弥漫出的“拉夫烈茨基尴尬”。拉夫此君,“因为关心俄罗斯的前途而染上一种恼人的毛病:面对蠢话决不妥协,非得争个黑白不可。……这样一来,虽然他友善又容易沟通,还是被看作是狂热份子或者怪人。……他到处寻找和推广拯救祖国的妙方,内心受到无数的煎熬,最终怎么样呢?……俄罗斯人民不理解他,连他喜欢的姑娘都觉得他太古怪。以至于他的理想、悲悯、义愤等等……理所当然,屁用都没有”。严格来说,如果我写Win7安全的文章,初衷单纯而偏执——乐见技术改进的努力在现实中实现安全保护的价值——虽然远没有拉夫关心俄罗斯前途那么高尚,甚至Win7销量如何都根本不在我考虑之列,只要管保自己所说真实有效即可,但看到“XP装上Windows Defender+IE8就和Win7一样安全”的春二虫话时,还是几乎没有克制住不回复、并且顺便痛快地骂上微软市场人员几句:“让你们只知道、只宣传Windows和IE的防钓鱼、Windows Defender和家长控制!”
所有质疑《Win7可对抗网页挂马》的声音里,有一句不得不妥协:“道高一尺魔高一丈,你们难道不知道吗?!”因为不得不承认,未来依然可能有新的攻击方法出来,就比如HeapSpray最早的提出者(目前任微软安全工程师)当时只是把它当作一个资源耗尽的D.o.S报告给微软一样,新的利用方法现在不是没有被发掘,而是可能还没被发觉。但有必要说的是,目前Win7对抗网页挂马是一套组合的防范措施,并不针对某一漏洞,而是针对漏洞的利用方法,提升其实施的难度和降低利用后的危害,“等IE有新漏洞,Win7安全就失效”的说法显然不对。所以魔再高——即使无视了DEP+ASLR+SEHOP,但缺少了威胁系统所必须的高权限和高完整性级别,危害也就基本不存在了。XP SP2/3在这些方面近乎裸奔,而Win7比Vista安全,则是因为Vista由于兼容性问题,IE的DEP + SEHOP (SP1)两个保护默认没有被启用,而这是防范网页挂马最最重要的措施。
说到这里,这篇文章对“Win7对抗网页挂马”似乎非但没解释,还极不尊重地认为一些微软产品使用者“说蠢话”,好吧,就当我是莫口难辨在此发发牢骚吧,就此打住,万不可当真。最后给使用Windows 7的普通用户朋友们一个简单的检查步骤,如果全部符合或修改完成,恭喜你,你的系统对网页挂马免疫了。
-
-
第一步,打开IE,查看状态栏右下角,确认
IE保护模式启用(Win7默认启用,同时意味着用户帐户控制UAC也处于启用状态);
-
第二步,打开IE菜单->工具->Internet选项-> 高级,查看
内存保护DEP被启用(Win7下IE8默认启用);
以上两步,可参考截图:
-
第三步,把下面保存至扩展名为reg的文件,导入注册表,启用IE8的
SEHOP:
|
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe]
"DisableExceptionChainValidation"=dword:00000000 |
- 最后一步可选:微软免费杀毒程序Microsoft Security Essentials (MSE)中文测试版18号提供下载了,以我实际使用体验来看,效果很好,推荐使用。测试的朋友们注意了,MSE会把发现的同一类病毒统一汇总报告,比如扫描100个文件,发现20类共100个病毒,产生的报告会只显示“20”——这不意味着查杀率为20%
Team以遥遥领先的票数夺得内部Kickoff Show一等奖,再次捍卫了Team“不恶搞,毋宁死”的微软WS风向标的地位,立存此照。
实习生MM Lucine写的周报提醒了我,今天是纯洁如白雪的“Blaster”的六岁生日,也差不多是MSRC的生日、几乎一半MS员工被安排接听求助热线的周年纪念日——写出GetMachineName那段代码的兄弟(链接所指的博主可不是此兄弟 :))自然也在其中,而且是“被自愿”调任为首席接线员。快六年过去了,当初那个拼错China、“Love wife & baby、sorry zhongli”、行侠仗义却ICMP echo过火的****同志,是不是也可以放心现身了?
这个Timeline上,第3个时间点左右应该还有个”邪恶”的“商铺天空.COM”
最近30天里,MS03-026的攻击仍存在,应该多是由*Bot产生
2003年3月发送这份漏洞报告的几个LSD-PL成员,Blaster后便在MS工作至今
在这里回复上上篇Blog的留言:Killbit的确不能算是补丁。之所以采用Killbit来解决MsVidCtl的问题,是因为”we identified that none of the ActiveX Control Objects hosted by msvidctl.dll are meant to be used in IE. Therefore, we recommend to kill-bit all of these controls as a defense-in-depth practice”(From Chengyun)。
发布Killbit后,并不意味着两个结果:Binary不会被修复;缺陷不可能再被触发。关于第二个结果,并非MS明知而无作为,此话题这个月在国外已多有猜测讨论,接下来几天可能会被更广泛讨论,某些集团人士或许更感兴趣。至于如何防范,举例MsVidCtl Killbit可能引起的第二种结果来说,抵御攻击的简单缓解方法是,开启DEP,而根本解决方法则是安装“Killbit+北京时间明天凌晨1点发布的OOB(Out-of-band, 提前紧急)补丁”。
关于这两个OOB,提前说几点(这里只简单提醒,OOB发布同时官方还会发布一个安全通报,详细介绍注意事项和Q&A,请关注MSRC/SRD Blog):
- 使用Visual Studio的开发人员,需要留意公告之一中提供的说明、例子,鉴别是否需要进一步采取措施;
- 上面提到了MsVidCtl,但OOB中另一个IE公告,并不修复MsVidCtl的Binary,该修复和MsVidCtl无直接关系。建议安装此补丁,杜绝Killbit后仍可能被利用的风险。对于普通用户来说,安装第二个公告中的补丁即可;
- IE公告中,修复的几个CVE和本次为什么OOB无关,需要关注的是CVE以外的安全加固措施;
- IE公告的末尾致谢,恐怕会让某人想起伤心郁闷的旧事~
OWC10/11 0day最近被广泛散播,特别是国内教育类网站,建议所有版本Office的用户,使用
知识库973472的Fixit,进行Killbit处理,该缓解措施无负面影响。
FS开博的第二篇,就回答了为什么推荐使用二进制而非Killbit的补丁,观点我赞同。但同时想到了一个近来很担心的问题:三天后的7月份微软补丁,很可能会被不少人BS——“这也算是补丁吗?”……具体原因,如果没人解释,我再非官方啰嗦吧。
今后我的Blog朝着Twitter方向发展,尽可能不啰嗦。今日也不啰嗦,先赞一句“安全百度”的创意真不错,然后衷心祝福这些国内创业的正直、智慧、勇敢的安全人!你们的成功才是证明China Security真是有前途!
备注:以上两条新闻线索均来自人见必称MS(闷骚)的Sowhat的Blog。
要下班了,这篇Blog单纯转载,贴出周鸿祎对”Chrome不是浏览器”的评说,没看过的可以看看,提到的多数观点和角度基本和我一致。周这篇是去年9月写的,佩服——就事说事来说,在同一个大环境下,成功总是相似的,失败各有不同。不过这是题外话,打住。ChromeOS一旦击败门窗(Gates & Windows),软件行业的盈利模式将逐步彻底转变。但是,ChromeOS成不成功,都不重要,打乱竞争对手MS的手脚,转移微软在必应上的投入,Google这步刻意不低调的棋就已经成功了。
前些天体检检查眼睛辨色时,想起了十多年前高中时代痴迷过的三维立体画。上网搜了一下,发现有心人还不少,比如下面刘老师做的文字型3D画。
| 床前明月光床前明月光床前明月光床前明月光床前明月光床前明月光
疑是地上霜疑是地上霜疑地上霜疑疑地上霜疑地上霜疑霜地上霜疑霜
举头望明月举头望明月头望明月头望明望头望明望头望明举望头望明
低头思故乡低头思故低头思故低头思故低头思故低头思故低头头思故
床前明月光床前明月床前明月床前明月床前明月床前明月床前前明月
疑是地上霜疑是地上疑是地上疑是地上疑是地上疑是地上疑是是地上
举头望明月举头望明举头望明举头望明举头望明举头望明举头头望明
低头思故乡低头思故乡头思故乡头思故乡头思故乡头思故低乡头思故
床前明月光床前明月光前明月光前明月光前明月光前明月床光前明月
疑是地上霜疑是地上霜是地上霜是地上霜是地上霜是地上疑霜是地上
举头望明月举头望明月举望明月举望明月举望明月举望月明月举望月
低头思故乡低头思故乡低思故乡低思故乡低思故乡低思乡故乡低思乡
床前明月光床前明月光床前月光床前月光床前月光床月前月光床月前
疑是地上霜疑是地上霜疑是地霜疑是地霜疑是地霜地疑是地霜地疑是
举头望明月举头望明月举头望明月头望明月头举望明月头举望明月头
低头思故乡低头思故乡低头思故乡低思故乡乡低思故乡乡低思故乡乡
床前明月光床前明月光床前明月光床前明月光床前明月光床前明月光
疑是地上霜疑是地上霜疑是地上霜疑是地上霜疑是地上霜疑是地上霜 |
看出上面什么图形没?这里还有两张常见的3D图(
),看多了会晕。下面是VA发来的似乎是2010上海世博园的现场图,虽不是3D图,但也很有创意。
标题有点大。刚看到微软免费防病毒软件Morro(开发代码名称)截图被放到了网上,名字也被改为了Microsoft Security Essentials(MSE),据说今年年底会发布正式版。这个时间点应该是正确的,这和它为什么要从收费的Onecare变成现在免费的初衷是一致的:为正版Windows用户提供增值服务,就像过去正版用户可以下载个什么农历转换的小程序、Private Folder、屏保什么的,只是那些实在太寒碜。
从Morro就想到了同期发布的Win7。下半年发布Win7是一定的,如果到时候说服不了身边买新机的亲戚好友放弃从Win7降级为XP的念头的话,那就是我的失败。这些亲戚好友中,多数认为我在上海是专业攒电脑的,也有一些在听我说起工作和安全相关后,恍然大悟“那就是做361喽”,尽管如此,我还是偏执狂般、十分得瑟地碰到电脑就帮人点击Update、安装防病毒。经常会遇到反问,“我已经有了361,为什么你还要给我装防病毒?”,这个问题,真361的人自然不愿多解释,我这个假361在屡次给人解释无果后目前已经放弃解释:“装就装了,少废话”。
在XP时代,除了点击Update、安装防病毒以外,我还会专业攒机般熟练地帮人把管理员帐户设上强密码,然后设置自动登录,以免人觉得麻烦。最后是开启防火墙。做完这四步,基本上我舒坦了,亲朋懵懵然了。倘若几日后亲朋上网,突遇防病毒检测到病毒弹出的对话框,我就彻底做人失败了:“过去这电脑好好的,自从你弄过后,这病毒都来了”,即使是亲人间的信任感,也会被击的荡然无存。所以几次惨痛经历后,我加了第五步,就是设置防病毒永不弹出对话框:“杀就杀了,少废话”。
我对Win7的期待,不少程度上就是希望它不会像XP带来这样的麻烦。唯一的缺憾是,尽管Win7默认已经足够安全,因为众所周知的原因,简单而有效的防病毒保护还是需要的,最好它还是免费并且我信任的。Morro刚好充当了这样一个角色,从几年前被我严重BS,到现在对MSAV的查毒引擎相当信任,可以想见,今后至少两三年内,我只需用一句话就可以安全建议购买了预装Win7机器的朋友:“保持Win7默认,装上免费的MSE”,就可以很好做到个人用户信息安全保护。
一个操作系统,让一个普通用户难以操作,是失败,但如果把他“逼”成一个电脑专家,同样是彻头彻尾的失败:他为什么需要知道Win7究竟做了什么才有现在的安全?为什么他需要知道怎么配置注册表,还得了解防火墙、防病毒?见过用完两年空调的人会自己换氟利昂的吗?
凌晨发布的安全公告中,可能会引起比较多注意的是MS09-022中的CVE-2009-0228。这个问题对Windows Server 2000的影响很大,好在这么多年来很多安全服务公司,包括国密局,对Windows 2000的安全加固方案中都会对服务器版本建议禁用Print Spooler服务,希望这样加固的服务器多些,可以减少影响。据说一些特殊部门,将服务器系统日志实时打印在远端打印机上,确保纸质日志不存在被篡改、销毁的可能性,这种情况下该服务可能没有被禁用,就需要安装这个补丁了。另外需要注意的是,攻击者“首先需要设置受影响的系统可以访问的恶意打印服务器”,并不意味着这样的攻击是被动的,攻击者依然可以主动发起攻击。
MS09-019修复了Wushi、Ruder和Nils等发现的IE漏洞。去年致谢提到的问题,看似和其中的CVE-2009-1140类似实则不同,故不在此列,依然按计划放在IE的下个较大版本更新时修复,在此之前,请按照上面致谢链接提到的IE 7/8保护模式来缓解此类安全问题带来的影响。谢谢大家一直以来的支持。
Posted by Idler@China Security Response
这几天不太忙,更新了这几篇blog,几个月来没贴blog也就一直忽略访问统计,刚刚看了一下,发现每天都有从Baidu、Google搜索关键字“危险期 做”来到这里的。为了不让这些访客来此无功而返,想起了Flashsky转述的某位北京安全人士讲解安全时的名言,贴出共勉:“事前戴*,好过事后吃*”。
看来这张来访地域图并不能真实反映信息安全人士分布
