Browse by Tags
All Tags »
Viewpoint - 观点视角
一直想写篇Windows 7对抗网页挂马的文章,纯白话式的,来转告普通用户,如果使用Windows 7,可以不用担心现在 国内病毒传播最疯狂的方式 ——网页挂马。诚云就写了这么篇文章,《 Windows 7安全和网页挂马 》,很好很有必要。只是不由自主就会想,在这个充斥着剽窃造假、作秀娱乐、五毛打手的环境里,普通用户甚至多数IT人士,会不会认为诚云的这篇文章是软文,而敲上五毛的印章。所以,对于写这样的文章,我就一直很为难,究竟站在怎样的角度,写成什么样的文章,才能把实话实说,写的真的像实话实说,让多数人看的明白,让严谨的人满意,让一目三行或者各怀目的的人跳不起来骂不出理。
Read More...
要下班了,这篇Blog单纯转载,贴出 周鸿祎对”Chrome不是浏览器”的评说 ,没看过的可以看看,提到的多数观点和角度基本和我一致。周这篇是去年9月写的,佩服——就事说事来说,在同一个大环境下,成功总是相似的,失败各有不同。不过这是题外话,打住。ChromeOS一旦击败门窗(Gates & Windows),软件行业的盈利模式将逐步彻底转变。但是,ChromeOS成不成功,都不重要,打乱竞争对手MS的手脚,转移微软在必应上的投入,Google这步刻意不低调的棋就已经成功了。 我看 开源、免费和服务
Read More...
凌晨发布了 Security Advisory 954462 ,还是面向IT Professional人士、关于防范SQL注入攻击的建议。这篇Blog昨天中午准备好了,不过看到SWI和诚云的Blog都提到了,就删除内容不再赘述。考虑到这是一个MS的SSIRP,因此每个Team都会发布相应信息,再加上很多网站已经深受注入挂马之扰,我这里做个体力劳动,把相关Links紧凑罗列一下,希望引起更多ASP Developer和IT人员注意做好安全防范。 IT: 检测 - 前端使用HP Scrawlr ( 下载
Read More...
自从Snort采用有偿Rule服务的形式以后,不知国内还有多少厂商和客户在“用”这个采用“较古老”的低效率规则匹配方式的轻量级IDS。昨天早上看到Snort VRT宣布发布了针对六月微软安全公告的Rules Update,其中包括针对 MS08-035 的检测( GID:3, SID: 13835 ),于是晚上搭了DC+Snort 2.8的平台尝试自定义一个Rule来匹配这个D.o.S Exploit Code。很不幸,测试下来我并不认为这个Exploitation code可以通过Snort的单条Rule实现有效检测,并且其误报率一定会很高,因为这样的攻击流程事实上是基于正常的LDAP访问(发现者也是
Read More...
上周六拜访了一位老朋友,看了他们基于开源的一些系统,有一个感觉越来越强烈:MS最大的对手始终是开源(Open Source)。尽管身在非开源的环境,但我始终对三种人表示理解:院士、砸蛋糕的和 扔鸡蛋的 ,对开源有深刻理解的人,至少在感情上的确是无法容忍微软一类非开源厂商的,做出一些举动、发表一些言论都可以理解。下面借着这个话题随便闲聊两句。 软件即服务(SaaS, Software as a service),对开源来说更是如此。大家都可以想象到,开源战胜MS的那一天,一定是以服务取胜的那一天,然而这一天不会那么快到来,经历了2000年左右那段时期尝试“开源安全工具(免费)+安全服务(有偿)”模式但都又因种种原因被迫放弃的人都有深刻的体会。在开源战胜MS之前,有一天会提早到来,那就是软件客户端完全免费,大家或许已经注意到最早的那种模式已经转变为“安全软件(免费)+安全服务(有偿)”,当然,如果继续把软件封装在工控机箱内就另当别论。在这种情况下,很显然企业发展依赖于是服务的完善,呵呵,然而不少安全人员,总是不自觉的习惯于PK技术,这本无可厚非,但放在针对个人用户的、并且已经初现同质化问题的桌面级安全软件产品上时,就显得过于书生意气、舍本逐末的了。做为桌面级安全产品面临的主要问题,以完善服务消除同质化的影响首当其冲。
Read More...
低调的“骇客”,闷声挂马赚大钱,但求无名,只为有利;低调的产品,闷声只会不赚钱,连盗版厂商都懒得理。 FCS 从beta版、发布到现在,对国内新的流氓软件和恶意代码反应一直比较快,但是,如果不是因为我差不多算是身在其中,可能连我都不知道。 和其他软件产品不同,安全产品的营销是以事件响应(Incident Response)为导向,而非版本发布(Release)为导向的。在这一点上,安全产品更加是服务产品,对热点事件能够做出最灵活、最快速、最准确反应、并且能够及时造势(这一点至关重要)的厂商,才可能取得市场的成功,因为当热点过后,没有人再会去关心你是否在“当时”是否够灵活、是否够快速、是否够准确了。不少人对一些厂商的小题大做式的宣传很反感,呵呵,但那是他们必须做的,因为对他们来说低调几乎等同于自杀。国内近两年有一个最灵活、最随需应变、最善于推广的典型成功安全厂商例子,是谁,大家应该都很清楚了。
Read More...
昨晚看到一位新朋友说到标题里的话时,我第一反应是:高人,纵我等之辈再怎么防护,也曾遇到朋友U盘插入我的一台Windows 2003 旧IBM笔记本的瞬间,电脑属性被改为“ 南通军军笔记本专卖 ”。看来高人的确只在江湖而不在庙堂,后来才知,这位高人朋友一直用的是Apple专卖。 在Mac用户面前说自己使用Vista,就好像在*NIX大拿面前用鼠标一样,是非常惭愧乃至羞愧的,但我不能不用Vista。事实上,除了因为money不足等不可抗力而被迫使用预装Vista的传统电脑以外,我已经养成了有事没事就在Windows下点点点点…点出右键研究菜单消遣的习惯,这一点上Mac让我失去了很多乐趣,因为它居然只有一个键。当然如果我这么解释为什么用Vista的话,是会被人“嘁!”的。那Vista会不会比Mac更安全?这个问题本身就是有问题的,因为架构不同没有可比性,过去的比较总是以每年被发现的漏洞多少来作依据,这可能是唯一看似公道的比较方法,然而单纯比较漏洞的多少可以理解(实际上也不可行,因为都=N),如果比较“被发现”的,就明显把MS当成了软柿子。那么既然两个都存在Buffer
Read More...
这几天,每每同事朋友们谈起那位用身体成功保护了三个月大的儿子并留下短信的遇难母亲时,我总会在大家的眼里读出一个白岩松式的句子:有一种感动,叫夺眶而出。 这会是一位怎样美丽的母亲?你会在头脑里如何勾勒出这位母亲写下短信时的神情?山区的母亲,可能还很年轻,从年龄上来说,也许是新词语中的“80后”或许还可能接近“90后”,然而我并不想用这样的字眼来关联这位伟大的母亲,特别是当我看到太多太多的“个性?0后”在镜头前、IM/blog上展现近乎人性泯灭的 冷酷 时。 “大难兴邦”,这些极个别的镜头前“个性的?0后”多少会让人对这句话失去一点点信心,多一些些隐忧。然而,当想起那位被埋时在手臂上写下“我欠某某某3000块”、至死都要恪守自己道德的工人时,当想起那个被救出时坚强地向解放军叔叔敬礼、懂得感恩的孩子,以及太多太多的人性美的故事时,隐忧便完全不复存在。
Read More...
大学里,我的编程起步,差不多是和接触安全同时开始的。于是思考有局限的我,在很长的一段时间里,“优美”一词和我的代码几乎无关,简单、粗暴、自以为是的小技巧,是我代码的全部特征——不知优化,不懂用户体验,不在乎软件工程规范,更不关心最终目标是否有积极意义,从未意识到应从优秀程序员那里学习经验。当几年后我修复好旧硬盘,再次看到那时的代码时,我仿佛看到的是一堆PoC的简陋组合:每个片段代码仅以出奇制胜、自我成就感为唯一目标。 单就技术思维本身而言,安全人员在逻辑、推理、统筹、数理甚至单一技术点的深度和延展度方面并不比其他领域的研究人员更加高明,但狭义上的安全实质上是与人对抗,这更易让初涉其中的人产生狂热和成就感,以及对其他研究人员包括普通程序员的居高临下的俯视感,这种天生而来的特点难以避免地让我们有时看到安全行业比其他行业更为明显的浮躁(或许只是因为身在其中感觉更加明显),一个典型特征便是偶尔可见的“莫名其妙的个性张扬或内敛”。
Read More...
Carnegie Mellon University的学生发表了一篇论文《 Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications》。如此全民皆兵的大形势下,要快速对付0day,软件厂商是不是得研究另一种技术了:Automatic PoC-Based Patch Generation?:) BTW:文中用到了eEye的Bindiff做辅助分析,第二作者是个华裔MM(也是第一作者的Advisor)
Read More...
听到报警器发出一声长嘀,我乖乖地走向那个十公分高的圆台,站了上去,很自觉地抬起双臂做欲飞翔的什么人状,等待着左前方穿着制服正和人说话的女孩儿的扫描。一秒钟后女孩儿手持着设备回头看到我,皱起了眉头: “完了!” “嗯!?……”,我一时没反应过来。 “完了呀!走啊?!” 我不敢再做懵然无知状,赶快下了圆台拿了外套往前走,突然发现前面的一个人穿着和我几乎一模一样的衬衫和裤子——这个身高发型和我差不多的兄弟刚刚在我前面过了这个女孩儿的安检……
Read More...
关于微软学习消化吸收来的 ASLR ,我被问到最多的问题是在Vista下为什么随机化的地址只有256?为什么不像引入了ASLR的多数*NIX那样更加随机化? 这是不是应了不少人说的“MS一贯抄也抄不好”呢?:),其实何止随机数量少,如果和其他OS相比,Vista下的ASLR优势真的不多,比如很多人发现Vista不像某些OS那样重启一次进程,进程和动态库的基地址便被重新随机设置。不过今天我不是在这里说Vista的不是,只是想说一下微软在设计Vista下ASLR时考虑的一些因素。
Read More...
看到报道 腾讯网络安全技术峰会 上 TK 提到了“在中国仅此一家”的 腾讯安全中心 ,想起很久没有留意过了,于是搜索到了腾讯的安全中心页面,呵呵才注意到 luoluo , Wushi , Yunshu , Failwest 都曾经报过QQ的漏洞。尽管公告不是很详细,不过能够作为“仅此一家”,足以看出腾讯对安全的重视了。 十年前的微软安全公告 ,不也是简陋到让令人咬牙切齿吗? 《 The First Step on the Road to More Secure Software is admitting
Read More...
CVE-2008-1092 (Buffer overflow in msjet40.dll 4.0.9505.0)也许该称之为0-Year了,这次是新的利用方法,重要的部分类似于 ruder的PoC 。如果说05年时对 不安全文件类型 的定义还可以用Office等的安全改进保护措施进行解释,以至于影响了对VR的处理策略的话,那么这条策略也许需要变通灵活了:“假定有害”时积极预防无可厚非,“确定有害”时则需要及时治疗了。如果您在国内发现(可能性较大,不是吗?:) )了疑似 这里描述的事件(Security
Read More...
叶老师的最后一节课,谢谢叶老师、助教和各位同事。很意外得到了同事评选的最佳学员---“从其身上学到最多”,大概是谈了一些可能大家在年轻时都会忽略的问题让一些同事有所同感,倒不是因为我假装老成,而是亲身体会,总之谢谢各位了! 与机器打交道时间久了,培训中惊叹于“同理心”在人与人之间交流运用时的奇妙:撇开理性的思考,放弃自以为是的疑问,对此印象很深刻,很受教。值得一提的是,在培训中对80后的同事们,特别是80后MM们的自信和梦想,我的印象也很深刻,但隐隐感到这些自信背后的一些单纯,于是很想和他们说一点自己的感悟:成熟的标志,是学会感恩,最终这句话没有说,但可以肯定,他们以后会像我一样慢慢明白的。
Read More...
