May 2008 - Posts
上周六拜访了一位老朋友,看了他们基于开源的一些系统,有一个感觉越来越强烈:MS最大的对手始终是开源(Open Source)。尽管身在非开源的环境,但我始终对三种人表示理解:院士、砸蛋糕的和 扔鸡蛋的 ,对开源有深刻理解的人,至少在感情上的确是无法容忍微软一类非开源厂商的,做出一些举动、发表一些言论都可以理解。下面借着这个话题随便闲聊两句。 软件即服务(SaaS, Software as a service),对开源来说更是如此。大家都可以想象到,开源战胜MS的那一天,一定是以服务取胜的那一天,然而这一天不会那么快到来,经历了2000年左右那段时期尝试“开源安全工具(免费)+安全服务(有偿)”模式但都又因种种原因被迫放弃的人都有深刻的体会。在开源战胜MS之前,有一天会提早到来,那就是软件客户端完全免费,大家或许已经注意到最早的那种模式已经转变为“安全软件(免费)+安全服务(有偿)”,当然,如果继续把软件封装在工控机箱内就另当别论。在这种情况下,很显然企业发展依赖于是服务的完善,呵呵,然而不少安全人员,总是不自觉的习惯于PK技术,这本无可厚非,但放在针对个人用户的、并且已经初现同质化问题的桌面级安全软件产品上时,就显得过于书生意气、舍本逐末的了。做为桌面级安全产品面临的主要问题,以完善服务消除同质化的影响首当其冲。
Read More...
低调的“骇客”,闷声挂马赚大钱,但求无名,只为有利;低调的产品,闷声只会不赚钱,连盗版厂商都懒得理。 FCS 从beta版、发布到现在,对国内新的流氓软件和恶意代码反应一直比较快,但是,如果不是因为我差不多算是身在其中,可能连我都不知道。 和其他软件产品不同,安全产品的营销是以事件响应(Incident Response)为导向,而非版本发布(Release)为导向的。在这一点上,安全产品更加是服务产品,对热点事件能够做出最灵活、最快速、最准确反应、并且能够及时造势(这一点至关重要)的厂商,才可能取得市场的成功,因为当热点过后,没有人再会去关心你是否在“当时”是否够灵活、是否够快速、是否够准确了。不少人对一些厂商的小题大做式的宣传很反感,呵呵,但那是他们必须做的,因为对他们来说低调几乎等同于自杀。国内近两年有一个最灵活、最随需应变、最善于推广的典型成功安全厂商例子,是谁,大家应该都很清楚了。
Read More...
借助对 安全漏洞的定义 ,在这里杂谈一下: 为什么是“即使使用者在 合理配置 了产品……”而非“使用者 合理使用 了产品……” 原因是很简单的:在符合软件运行环境的条件下,使用者无论怎样使用产品,都是合理的行为,包括发送“精心构造”的数据报文。当然,当合理行为的结果超出了设计者预期并产生安全性破坏时,那就暴露出安全问题了。这就要求一个安全的软件产品,应该能够对所有不符合设计者预期并可造成安全威胁的操作,进行限制和规避。如果不能规避,例如高人的 新发现 :),那就需要我们进一步努力了 关于拒绝服务
Read More...
给老外拼读或解释一个拼音或单词时,可能会遇到对方不确定你说的是哪个字母,因此各有各的方法用自认为简单的词来表示,比如“D for Dog”,“A for Apple”,“N for NO”等等,然而这么表示我的名字实在是可笑。Culture & Communication Training上给了标准的字母对应表,如下。知道的太晚,仅作记录,随时可用。 A lpha B ravo C harlie D elta E cho F oxtrot G olf H otel I ndia J uliet
Read More...
昨晚看到一位新朋友说到标题里的话时,我第一反应是:高人,纵我等之辈再怎么防护,也曾遇到朋友U盘插入我的一台Windows 2003 旧IBM笔记本的瞬间,电脑属性被改为“ 南通军军笔记本专卖 ”。看来高人的确只在江湖而不在庙堂,后来才知,这位高人朋友一直用的是Apple专卖。 在Mac用户面前说自己使用Vista,就好像在*NIX大拿面前用鼠标一样,是非常惭愧乃至羞愧的,但我不能不用Vista。事实上,除了因为money不足等不可抗力而被迫使用预装Vista的传统电脑以外,我已经养成了有事没事就在Windows下点点点点…点出右键研究菜单消遣的习惯,这一点上Mac让我失去了很多乐趣,因为它居然只有一个键。当然如果我这么解释为什么用Vista的话,是会被人“嘁!”的。那Vista会不会比Mac更安全?这个问题本身就是有问题的,因为架构不同没有可比性,过去的比较总是以每年被发现的漏洞多少来作依据,这可能是唯一看似公道的比较方法,然而单纯比较漏洞的多少可以理解(实际上也不可行,因为都=N),如果比较“被发现”的,就明显把MS当成了软柿子。那么既然两个都存在Buffer
Read More...
攻击依然持续不断。Michael和Neil添加了关于这方面的blog,大家可以看看: Michael: How the SDL Addresses SQL injection Neil: SQL Injection Mitigation: Using Parameterized Queries 其他一些资源(Microsoft.com)供大家参考: Stop SQL Injection Attacks Before They Stop You How To - Protect from Injection
Read More...
这几天,每每同事朋友们谈起那位用身体成功保护了三个月大的儿子并留下短信的遇难母亲时,我总会在大家的眼里读出一个白岩松式的句子:有一种感动,叫夺眶而出。 这会是一位怎样美丽的母亲?你会在头脑里如何勾勒出这位母亲写下短信时的神情?山区的母亲,可能还很年轻,从年龄上来说,也许是新词语中的“80后”或许还可能接近“90后”,然而我并不想用这样的字眼来关联这位伟大的母亲,特别是当我看到太多太多的“个性?0后”在镜头前、IM/blog上展现近乎人性泯灭的 冷酷 时。 “大难兴邦”,这些极个别的镜头前“个性的?0后”多少会让人对这句话失去一点点信心,多一些些隐忧。然而,当想起那位被埋时在手臂上写下“我欠某某某3000块”、至死都要恪守自己道德的工人时,当想起那个被救出时坚强地向解放军叔叔敬礼、懂得感恩的孩子,以及太多太多的人性美的故事时,隐忧便完全不复存在。
Read More...
央视提到的灾后心理干预“五说五不说”原则,我认为很好,并不仅仅适用于灾后的心理干预。记录如下: 五说 : 这不是你的错 你现在的感觉和反应是正常的。任何经历了这样事情的人,都会有这样的反应 你现在安全了(如果这个人此刻确实是安全的) 经历了这样的事情,一定令人很痛苦 你现在不要克制、回避恐惧、悲伤的感受,可以把这些感受表达出来 五不说 :(Updated on 05/19) 我很理解你的感受 你能活下来就是幸运的了 你还年轻,可以有新的生活 你要振作起来,时间会治疗一切的创伤 你应该感到安慰,至少不用再受苦了
Read More...
用图表看起来会更直观一些。 昨晚两次没控制住泪流,一次是在贴吧看到图片里几个5岁左右的孩子蜷缩在石板下,一次是看到央视的 赵普直播时几度哽咽 天佑我同胞!今天全家人再次追捐,微薄之力,盼安!!! (Updated at 23:29 05/15 : 现在地震已过去81个小时,不敢想象会有多少仍在希望里坚持等待救援的同胞将在接下来的时间里……)
Read More...
刚刚一不小心注意到,someone极其低调地、几乎无人知晓地兑现了两年前的承诺,留下"Someone's Last Day at Microsoft",投身另一项伟大事业中去了。 老B,知道你不懂中文,但依然要送一首我很喜欢的词给你,也很适合你: 杨慎 《临江仙》 滚滚长江东逝水,浪花淘尽英雄。是非成败转头空。青山依旧在,几度夕阳红。 白发渔樵江渚上,惯看秋月春风。一壶浊酒喜相逢。古今多少事,都付笑谈中。
Read More...
起初以为心脏病犯了,从未有过的眩晕,晕的几乎要吐。现在已回到办公室。希望大家平安无事,特别是四川的同胞们!在楼下的时候突然想起前几天百万蟾蜍过桥的新闻… 在大家都下楼避险的时候,Richard居然一直坚持和客户做Live Meeting!如果不是对这位美罗第一气质男的人品有深入了解,我严重怀疑他买了20份意外保险。 (Updated on 05/13: A. 右下图中SC省地震局的“以谎辟谣”,一定不是他们隐瞒了自己的预测---有这个技术能力吗,我的推测是他们严重蔑视了群众的土预测方法并且虚构为村干部误听---群众误听为地震灾害就会引起恐慌吗
Read More...
Milw0rm于5月2日发布了针对前一段时间被广泛提到的 IE6&7 0day (最初是 WkImgSrv.dll DoS )的 Remote BOF Exploit ,也许很多人已经在本地成功测试过这个代码,但事实上这并非一个可远程利用(RCE)的缺陷。网站挂马者,特别是叫卖30W RMB的,先读一下 Safe Initialization and Scripting for ActiveX Controls ,然后可以考虑放弃这个exploitation了。(注: 依旧是非官方澄清)
Read More...
再过几天,也就是下周二,五月份的安全更新将要发布。几乎清一色的Reported from China。谢谢几位勤劳+专注+Smart的reporter buddies! BTW: 最近稍不安宁,大家多注意小孩儿的健康保护和自己的出行安全!
Read More...
早上起来吓一大跳,过敏了两周的身上一夜之间起了十多个硬币大小的红圈,中间不肿,手指肿且僵硬,难道这一时刻终究还是来了:我要变身金钱豹?好在家里从来不缺医生,及时破除了封建迷信,病毒性过敏,吃药即可:开瑞坦+六神丸+西咪替丁+病毒灵。只是很好奇,这Virus是怎么inject的,0 day? 今天是我农历生日,一直以来只过农历不过公历,完全“破除四旧”是不可能了:和过去一样,亲爱的老娘一早就站在河边,对买来的小鱼泥鳅虾念念有词,然后放生,而且今天不让吃荤。感谢家人! “如果在外地的你,每年回家看望一次母亲,算一下,这辈子你还可以见她几次
Read More...
