大牛蛙 da'niel'wa@secure

安全漏洞和SDL的讨论，及EMET

2009-11-07T16:29:00Z

我把 Ph4nt0m聚合上最近关于操作系统安全漏洞、安全开发生命周期SDL的Blog话题都做了标签，留做以后参考，这些好文把不少人都意识到的问题如“目前的安全对抗真的有效吗”终于挑开了，虽然袁哥真人还不便虎躯一颤抖落下些金银珠宝月光宝盒什么的，但如此讨论已实属难得，暗暗希望这样好的讨论碰撞冲突再激烈些，参与的朋友更多一些，讨论出未来安全漏洞的攻防到底是怎么样，有没有可能完成一套完善的、可以从根本上解决问题、不仅适用于操作系统而且适用于互联网服务的安全开发体系或者指导，这样的体系有没有可能市场化加以推广，技术和从业人的未来发展之路在哪里，如何突破现在的瓶颈等等。呵呵，上面的期望可能过高，但这样的讨论太有必要——不光是对微软而言。云舒就写了自己对SDL的看法，让我们有机会了解了阿里巴巴SDL的很好的安全态度和意识， Tombkeeper 似乎也马上也要做一个《安全漏洞下一个十年》的演讲，很期待看看PPT和演说词回放。微软人在这场漏洞攻防、SDL讨论里，已经有 Flashsky 和 Chengyun 随口开了题，如果 Wushi 、 Sowhat 也能从日理万机的赚美帝外快、搞国家公关等事务里抽空写一点心得体会出来，那就再好不过了，不过这两个被美金和丰富夜生活腐蚀的大侠，很有可能说的一句是：“没空。没钱途。搞这不如学...(read more)

增强2K/XP/2K3的内存安全防护

2009-09-25T12:38:00Z

Allyesno在上篇Blog的回复里，提出了一个Windows XP安全防护的组合，显然，那是针对XP防范网页挂马的推荐措施，并不能在XP和Win7的安全性上划上等号。这篇Blog，就顺着这个话题，给准备再继续使用几年Windows 2000、XP和2003 Server的用户推荐一个简单的保护措施，使老系统比较像Windows 7——当然不是指其他，而是指部分的内存安全防护，从而免受恶意代码攻击（病毒感染的前奏）：不仅仅是防范网页挂马，也不同于沙盒Sandbox、防病毒和一般的入侵防护系统等。本篇Blog提供的所有信息供普通用户参考：第一步：为所有应用开启软件DEP保护；（不适用于Windows 2000）目的简述：在XP SP2/SP3和2003 SP2上开启数据执行保护，配置完成后，最直接的效果是使堆喷射攻击（ Heap Spray ，目前被最广泛使用的网页挂马恶意代码编写方法）失效。方法：右键“我的电脑”->属性->高级->性能-设置->数据执行保护，选择第二个选项；第二步：安装开源安全软件 WehnTrust ；目的简述...(read more)

Win7对抗网页挂马

2009-09-18T11:09:00Z

一直想写篇Windows 7对抗网页挂马的文章，纯白话式的，来转告普通用户，如果使用Windows 7，可以不用担心现在国内病毒传播最疯狂的方式 ——网页挂马。诚云就写了这么篇文章，《 Windows 7安全和网页挂马》，很好很有必要。只是不由自主就会想，在这个充斥着剽窃造假、作秀娱乐、五毛打手的环境里，普通用户甚至多数IT人士，会不会认为诚云的这篇文章是软文，而敲上五毛的印章。所以，对于写这样的文章，我就一直很为难，究竟站在怎样的角度，写成什么样的文章，才能把实话实说，写的真的像实话实说，让多数人看的明白，让严谨的人满意，让一目三行或者各怀目的的人跳不起来骂不出理。把实话写的像实话，真诚，还只是原则之一。一想到可能面临的各种各样的问题，比如“ XP/Vista发布时你们也这么说！ ”、“ 为了Win7就变脸彻底否认XP ”、“ 等Win7被报告漏洞后，下场和XP一样！ ”，以及上周刚刚面临的一个质问：“ 我以15年的UNIX经验告诉你，UNIX遇到Buffer Overflow都是直接coredump，为什么你们的操作系统居然允许代码执行？！ ”时，刚放到键盘上的手只能转而揪头发，暂时性纠结了。每每遇此，就感叹获取信任感，靠速写几句话这条路是走不通的。...(read more)

因为我们所以安全

2009-08-12T13:16:00Z

Team以遥遥领先的票数夺得内部Kickoff Show一等奖，再次捍卫了Team“不恶搞，毋宁死”的微软WS风向标的地位，立存此照。...(read more)

“冲击波”六周年

2009-08-12T09:19:00Z

实习生MM Lucine写的周报提醒了我，今天是纯洁如白雪的“ Blaster ”的六岁生日，也差不多是MSRC的生日、几乎一半MS员工被安排接听求助热线的周年纪念日——写出 GetMachineName 那段代码的兄弟（链接所指的博主可不是此兄弟 :)）自然也在其中，而且是“被自愿”调任为首席接线员。快六年过去了，当初那个拼错China 、“Love wife & baby、sorry zhongli”、行侠仗义却ICMP echo过火的****同志，是不是也可以放心现身了？这个Timeline上，第3个时间点左右应该还有个”邪恶”的“ 商铺天空 .COM ” 最近30天里，MS03-026的攻击仍存在，应该多是由*Bot产生 2003年3月发送这份漏洞报告的几个LSD-PL成员，Blaster后便在MS工作至今...(read more)

Killbit是不是补丁，及OOB预告

2009-07-28T04:49:00Z

在这里回复上上篇Blog 的留言：Killbit的确不能算是补丁。之所以采用Killbit来解决MsVidCtl的问题，是因为” we identified that none of the ActiveX Control Objects hosted by msvidctl.dll are meant to be used in IE. Therefore, we recommend to kill-bit all of these controls as a defense-in-depth practice ”(From Chengyun)。发布Killbit后，并不意味着两个结果：Binary不会被修复；缺陷不可能再被触发。关于第二个结果，并非MS明知而无作为，此话题这个月在国外已多有猜测讨论，接下来几天可能会被更广泛讨论，某些集团人士或许更感兴趣。至于如何防范，举例MsVidCtl Killbit可能引起的第二种结果来说，抵御攻击的简单缓解方法是，开启DEP ，而根本解决方法则是安装“ Killbit ＋北京时间明天凌晨1点发布的 OOB (Out-of-band, 提前紧急)补丁”。...(read more)

安全通报973472发布

2009-07-13T18:43:00Z

OWC10/11 0day最近被广泛散播，特别是国内教育类网站，建议所有版本Office的用户，使用知识库973472的Fixit ，进行Killbit处理，该缓解措施无负面影响。...(read more)

也是关于补丁

2009-07-11T19:06:00Z

FS开博的第二篇，就回答了为什么推荐使用二进制而非Killbit的补丁，观点我赞同。但同时想到了一个近来很担心的问题：三天后的7月份微软补丁，很可能会被不少人BS——“这也算是补丁吗？”……具体原因，如果没人解释，我再非官方啰嗦吧。今后我的Blog朝着Twitter方向发展，尽可能不啰嗦。今日也不啰嗦，先赞一句“ 安全百度 ”的创意真不错，然后衷心祝福这些国内创业的正直、智慧、勇敢的安全人！你们的成功才是证明China Security真是有前途！备注：以上两条新闻线索均来自人见必称MS(闷骚)的 Sowhat的Blog 。...(read more)

门窗，ChromeOS来了

2009-07-08T11:07:00Z

要下班了，这篇Blog单纯转载，贴出周鸿祎对”Chrome不是浏览器”的评说，没看过的可以看看，提到的多数观点和角度基本和我一致。周这篇是去年9月写的，佩服——就事说事来说，在同一个大环境下，成功总是相似的，失败各有不同。不过这是题外话，打住。ChromeOS一旦击败门窗(Gates & Windows)，软件行业的盈利模式将逐步彻底转变。但是，ChromeOS成不成功，都不重要，打乱竞争对手MS的手脚，转移微软在必应上的投入，Google这步刻意不低调的棋就已经成功了。我看开源、免费和服务 Mac vs Windows 软件向谁收费...(read more)

随手贴

2009-07-02T10:30:32Z

前些天体检检查眼睛辨色时，想起了十多年前高中时代痴迷过的三维立体画。上网搜了一下，发现有心人还不少，比如下面刘老师做的文字型3D画。床前明月光床前明月光床前明月光床前明月光床前明月光床前明月光疑是地上霜疑是地上霜疑地上霜疑疑地上霜疑地上霜疑霜地上霜疑霜举头望明月举头望明月头望明月头望明望头望明望头望明举望头望明低头思故乡低头思故低头思故低头思故低头思故低头思故低头头思故床前明月光床前明月床前明月床前明月床前明月床前明月床前前明月疑是地上霜疑是地上疑是地上疑是地上疑是地上疑是地上疑是是地上举头望明月举头望明举头望明举头望明举头望明举头望明举头头望明低头思故乡低头思故乡头思故乡头思故乡头思故乡头思故低乡头思故床前明月光床前明月光前明月光前明月光前明月光前明月床光前明月疑是地上霜疑是地上霜是地上霜是地上霜是地上霜是地上疑霜是地上举头望明月举头望明月举望明月举望明月举望明月举望月明月举望月低头思故乡低头思故乡低思故乡低思故乡低思故乡低思乡故乡低思乡床前明月光床前明月光床前月光床前月光床前月光床月前月光床月前疑是地上霜疑是地上霜疑是地霜疑是地霜疑是地霜地疑是地霜地疑是...(read more)

Microsoft Security Essentials

2009-06-24T05:16:00Z

试用建议或意见可回复在这里。...(read more)

预装Win7个人用户信息安全保护

2009-06-18T09:30:00Z

标题有点大。刚看到微软免费防病毒软件Morro（开发代码名称）截图被放到了网上，名字也被改为了Microsoft Security Essentials（MSE），据说今年年底会发布正式版。这个时间点应该是正确的，这和它为什么要从收费的Onecare变成现在免费的初衷是一致的：为正版Windows用户提供增值服务，就像过去正版用户可以下载个什么农历转换的小程序、Private Folder、屏保什么的，只是那些实在太寒碜。从Morro就想到了同期发布的Win7。下半年发布Win7是一定的，如果到时候说服不了身边买新机的亲戚好友放弃从Win7降级为XP的念头的话，那就是我的失败。这些亲戚好友中，多数认为我在上海是专业攒电脑的，也有一些在听我说起工作和安全相关后，恍然大悟“ 那就是做361喽 ”，尽管如此，我还是偏执狂般、十分得瑟地碰到电脑就帮人点击Update、安装防病毒。经常会遇到反问，“ 我已经有了361，为什么你还要给我装防病毒？ ”，这个问题，真361的人自然不愿多解释，我这个假361在屡次给人解释无果后目前已经放弃解释：“ 装就装了，少废话 ”。在XP时代，除了点击Update、安装防病毒以外，我还会专业攒机般熟练地帮人把管理员帐户设上强密码，然后设置自动登录，以免人觉得麻烦。最后是开启防火墙。做完这四步，基本上我舒坦了，亲朋懵懵然了。倘若几日后亲朋上网，突遇防病毒检测到病毒弹出的对话框，我就彻底做人失败了：“...(read more)

MS09-022 & MS09-019

2009-06-10T09:18:00Z

凌晨发布的安全公告中，可能会引起比较多注意的是 MS09-022 中的CVE-2009-0228。这个问题对Windows Server 2000的影响很大，好在这么多年来很多安全服务公司，包括国密局，对Windows 2000的安全加固方案中都会对服务器版本建议禁用Print Spooler服务，希望这样加固的服务器多些，可以减少影响。据说一些特殊部门，将服务器系统日志实时打印在远端打印机上，确保纸质日志不存在被篡改、销毁的可能性，这种情况下该服务可能没有被禁用，就需要安装这个补丁了。另外需要注意的是，攻击者“ 首先需要设置受影响的系统可以访问的恶意打印服务器 ”，并不意味着这样的攻击是被动的，攻击者依然可以主动发起攻击。 MS09-019 修复了Wushi、Ruder和 Nils 等发现的IE漏洞。去年致谢提到的问题，看似和其中的CVE-2009-1140类似实则不同，故不在此列，依然按计划放在IE的下个较大版本更新时修复，在此之前，请按照上面致谢链接提到的 IE 7/8保护模式来缓解此类安全问题带来的影响。谢谢大家一直以来的支持。 Posted by Idler@China...(read more)

不小心污染了搜索结果

2009-06-09T13:01:00Z

这几天不太忙，更新了这几篇blog，几个月来没贴blog也就一直忽略访问统计，刚刚看了一下，发现每天都有从 Baidu 、Google搜索关键字“ 危险期做 ”来到这里的。为了不让这些访客来此无功而返，想起了Flashsky转述的某位北京安全人士讲解安全时的名言，贴出共勉：“ 事前戴*，好过事后吃* ”。看来这张来访地域图并不能真实反映信息安全人士分布...(read more)

六月安全公告

2009-06-09T09:18:00Z

六月安全公告数量较多（谢谢报告其中几个漏洞的ruder、bing、wushi等等——还有 Nils ），也涵盖了不少可能会让人跃跃欲试的关键字。任何人和组织都有发布、公开安全公告分析和PoC的权利，我们无意改变已有的习惯或规则，只希望那些不再需要证明自己实力、或者即使所在的组织企业默许Just for fun的白帽和灰帽朋友们，尽量能够帮助保护微软用户的安全，毕竟没有了你们的无私发布，不少黑帽的作品还是难以造成破坏的。下面推荐MSRC Engineering近日的两篇Blog，明天大家应该可以在那里看到关于六月份公告的安全观点，建议感兴趣的朋友订阅 MSRC Engineering的blog 。我这里更新不多，想了解微软SDL等安全消息，或者最新鲜时尚的海外黑白帽消息，推荐参看“只代表个人”的 Sowhat的Blog 。用Windbg !exploitable扩展分析Shellcode 更方便解码shellcode和找到真实的API名称理解DEP(Part 1) 关于DEP的文章在MS网站有很多，这篇Part 1简单的回顾了一下补充推荐： Pretty-Bad-Proxy:...(read more)