前些天体检检查眼睛辨色时,想起了十多年前高中时代痴迷过的三维立体画。上网搜了一下,发现有心人还不少,比如下面刘老师做的文字型3D画。
| 床前明月光床前明月光床前明月光床前明月光床前明月光床前明月光
疑是地上霜疑是地上霜疑地上霜疑疑地上霜疑地上霜疑霜地上霜疑霜
举头望明月举头望明月头望明月头望明望头望明望头望明举望头望明
低头思故乡低头思故低头思故低头思故低头思故低头思故低头头思故
床前明月光床前明月床前明月床前明月床前明月床前明月床前前明月
疑是地上霜疑是地上疑是地上疑是地上疑是地上疑是地上疑是是地上
举头望明月举头望明举头望明举头望明举头望明举头望明举头头望明
低头思故乡低头思故乡头思故乡头思故乡头思故乡头思故低乡头思故
床前明月光床前明月光前明月光前明月光前明月光前明月床光前明月
疑是地上霜疑是地上霜是地上霜是地上霜是地上霜是地上疑霜是地上
举头望明月举头望明月举望明月举望明月举望明月举望月明月举望月
低头思故乡低头思故乡低思故乡低思故乡低思故乡低思乡故乡低思乡
床前明月光床前明月光床前月光床前月光床前月光床月前月光床月前
疑是地上霜疑是地上霜疑是地霜疑是地霜疑是地霜地疑是地霜地疑是
举头望明月举头望明月举头望明月头望明月头举望明月头举望明月头
低头思故乡低头思故乡低头思故乡低思故乡乡低思故乡乡低思故乡乡
床前明月光床前明月光床前明月光床前明月光床前明月光床前明月光
疑是地上霜疑是地上霜疑是地上霜疑是地上霜疑是地上霜疑是地上霜 |
看出上面什么图形没?这里还有两张常见的3D图(
),看多了会晕。下面是VA发来的似乎是2010上海世博园的现场图,虽不是3D图,但也很有创意。
标题有点大。刚看到微软免费防病毒软件Morro(开发代码名称)截图被放到了网上,名字也被改为了Microsoft Security Essentials(MSE),据说今年年底会发布正式版。这个时间点应该是正确的,这和它为什么要从收费的Onecare变成现在免费的初衷是一致的:为正版Windows用户提供增值服务,就像过去正版用户可以下载个什么农历转换的小程序、Private Folder、屏保什么的,只是那些实在太寒碜。
从Morro就想到了同期发布的Win7。下半年发布Win7是一定的,如果到时候说服不了身边买新机的亲戚好友放弃从Win7降级为XP的念头的话,那就是我的失败。这些亲戚好友中,多数认为我在上海是专业攒电脑的,也有一些在听我说起工作和安全相关后,恍然大悟“那就是做361喽”,尽管如此,我还是偏执狂般、十分得瑟地碰到电脑就帮人点击Update、安装防病毒。经常会遇到反问,“我已经有了361,为什么你还要给我装防病毒?”,这个问题,真361的人自然不愿多解释,我这个假361在屡次给人解释无果后目前已经放弃解释:“装就装了,少废话”。
在XP时代,除了点击Update、安装防病毒以外,我还会专业攒机般熟练地帮人把管理员帐户设上强密码,然后设置自动登录,以免人觉得麻烦。最后是开启防火墙。做完这四步,基本上我舒坦了,亲朋懵懵然了。倘若几日后亲朋上网,突遇防病毒检测到病毒弹出的对话框,我就彻底做人失败了:“过去这电脑好好的,自从你弄过后,这病毒都来了”,即使是亲人间的信任感,也会被击的荡然无存。所以几次惨痛经历后,我加了第五步,就是设置防病毒永不弹出对话框:“杀就杀了,少废话”。
我对Win7的期待,不少程度上就是希望它不会像XP带来这样的麻烦。唯一的缺憾是,尽管Win7默认已经足够安全,因为众所周知的原因,简单而有效的防病毒保护还是需要的,最好它还是免费并且我信任的。Morro刚好充当了这样一个角色,从几年前被我严重BS,到现在对MSAV的查毒引擎相当信任,可以想见,今后至少两三年内,我只需用一句话就可以安全建议购买了预装Win7机器的朋友:“保持Win7默认,装上免费的MSE”,就可以很好做到个人用户信息安全保护。
一个操作系统,让一个普通用户难以操作,是失败,但如果把他“逼”成一个电脑专家,同样是彻头彻尾的失败:他为什么需要知道Win7究竟做了什么才有现在的安全?为什么他需要知道怎么配置注册表,还得了解防火墙、防病毒?见过用完两年空调的人会自己换氟利昂的吗?
凌晨发布的安全公告中,可能会引起比较多注意的是MS09-022中的CVE-2009-0228。这个问题对Windows Server 2000的影响很大,好在这么多年来很多安全服务公司,包括国密局,对Windows 2000的安全加固方案中都会对服务器版本建议禁用Print Spooler服务,希望这样加固的服务器多些,可以减少影响。据说一些特殊部门,将服务器系统日志实时打印在远端打印机上,确保纸质日志不存在被篡改、销毁的可能性,这种情况下该服务可能没有被禁用,就需要安装这个补丁了。另外需要注意的是,攻击者“首先需要设置受影响的系统可以访问的恶意打印服务器”,并不意味着这样的攻击是被动的,攻击者依然可以主动发起攻击。
MS09-019修复了Wushi、Ruder和Nils等发现的IE漏洞。去年致谢提到的问题,看似和其中的CVE-2009-1140类似实则不同,故不在此列,依然按计划放在IE的下个较大版本更新时修复,在此之前,请按照上面致谢链接提到的IE 7/8保护模式来缓解此类安全问题带来的影响。谢谢大家一直以来的支持。
Posted by Idler@China Security Response
这几天不太忙,更新了这几篇blog,几个月来没贴blog也就一直忽略访问统计,刚刚看了一下,发现每天都有从Baidu、Google搜索关键字“危险期 做”来到这里的。为了不让这些访客来此无功而返,想起了Flashsky转述的某位北京安全人士讲解安全时的名言,贴出共勉:“事前戴*,好过事后吃*”。
看来这张来访地域图并不能真实反映信息安全人士分布
六月安全公告数量较多(谢谢报告其中几个漏洞的ruder、bing、wushi等等——还有Nils),也涵盖了不少可能会让人跃跃欲试的关键字。任何人和组织都有发布、公开安全公告分析和PoC的权利,我们无意改变已有的习惯或规则,只希望那些不再需要证明自己实力、或者即使所在的组织企业默许Just for fun的白帽和灰帽朋友们,尽量能够帮助保护微软用户的安全,毕竟没有了你们的无私发布,不少黑帽的作品还是难以造成破坏的。
下面推荐MSRC Engineering近日的两篇Blog,明天大家应该可以在那里看到关于六月份公告的安全观点,建议感兴趣的朋友订阅MSRC Engineering的blog。我这里更新不多,想了解微软SDL等安全消息,或者最新鲜时尚的海外黑白帽消息,推荐参看“只代表个人”的Sowhat的Blog。
下面集中列出了一部分结案的cases,真诚谢谢各位协助我们保守秘密、负责任的报告者!希望确认为安全问题的报告者,继续协助我们不要公开所报告的问题细节,保护所有微软产品使用者的安全。也希望一些来访者,自重同时也尊重各位报告者,勿恶言,勿跨IP追捕或追讨。
致谢:剑心
- 报告反映问题
2008年下旬报告一个某服务器产品中存在的跨站脚本攻击问题。
- 分析结果
确认该问题属于安全缺陷。
- 响应说明
将在该服务器下一个GDR Release中修复。
致谢:剑心
- 报告反映问题
2008年下旬报告一个IE8 Beta版中的拒绝服务问题。
- 分析结果
该问题属于产品稳定性问题,不属于安全缺陷。
- 响应说明
IE8发布前修复了此产品Bug。
致谢:Agin Sun
- 报告反映问题
2008年底报告一个开发游戏过程中发现的BSOD错误。
- 分析结果
该问题在微软历史错误报告中频繁出现,这次分析从安全角度出发进行评估,确认了该问题可能导致权限提升,属于安全缺陷。
- 响应说明
已分配CVE编号,相应安全公告会在09年下半年发布。
(大家也在开发过程中发现有BSOD问题,如果不确定是否是安全问题,也可以发邮件给我们)
致谢:清华大学李晓宁
- 报告反映问题
2009年初报告一个Windows DDK中的“拒绝服务并潜在远程代码执行”问题。
- 分析结果
导致问题的函数目前还是一个未完成的功能,MSDN文档明确指出不应该调用该函数。另外,该崩溃问题触发需要管理员权限,不存在提权和远程代码执行的条件。
- 响应说明
已通知Windows DDK开发组在下一步开发中注意此问题,不会发布相应的安全公告。
致谢:冷焰 kEvin1986
- 报告反映问题
2009年4月转发来一则MSN站点的SQL Injection问题报告。
- 分析结果
可导致信息泄露和进一步安全问题。
- 响应说明
该问题已由负责该站点运维的第三方厂商修复。
致谢:QZ
- 报告反映问题
2009年报告IE中存在一个违反同源策略的安全问题。
- 分析结果
我们将此问题提交给IE相关部门,经过IE设计人员慎重考虑,最终该问题被归为非安全类。
- 响应说明
该问题将在IE的下一个版本或者Service Pack的设计中考虑改进,不会发布相应的安全公告。
致谢:kEvin1986
- 报告反映问题
2009年报告一个Windows安全问题,可通过IIS触发引起危害。
- 分析结果
该问题触发需要一定前提,在和产品组充分沟通后,把此类问题归为安全类。
- 响应说明
会以安全公告形式修复。
致谢:DD5550
- 报告反映问题
2009年4月报告,Microsoft Office Word中可能存在缺陷导致远程代码执行。
- 分析结果
该问题属于稳定性问题,不具备远程代码执行条件。
- 响应说明
该问题会在Office的下一个版本或者Service Pack中得到修复,不会发布相应的安全公告。
这个季节应该是强对流天气多发季,一个多小时前上海下了10分钟左右平均蚕豆大小的冰雹,是我见过的冰雹中不太大、但最密集的,打在人身上估计不青也得红了吧,不知有无路人受伤。冰雹那会儿天还有些亮着,现在天已经完全黑了下来,电闪雷鸣。刚才围观窗外冰雹的时候,部门某位当年以状元身走出大别山、目前潜伏在美帝企业任劳任怨的兄台说了句:“为什么不是昨天下?”
左边是化掉一半的冰雹颗粒;右边是写着“怕上火”的今天自燃的成都公交
最后为近期杭州车祸、株洲高架、法航空难、成都公交自燃等等中逝去的人以及罗京,和他们的家人祈祷。灾害和疾病面前,才是人人平等。担心空难、高架有些过于杞人忧天,留意公交安全却是可以做到的,虽然自燃或爆炸瞬间引起的失明、缺氧、中毒使逃生不易,我们这些平时坐公交的依然可以养成有感觉到异味或异动尽量提前下车、尽量少坐封闭车、不坐最后排的习惯(把危险留给别人?)。前两年嘉年华,我还非剧烈刺激性运动不玩,现在胆量没变,却已经再没念头要玩了,因为不相信自己有侥幸:“凭什么你就是个SM(Super Man)?!”
昨天看到Natal,除了再一次恍惚间反思“自己现在从事为什么不是如此令人激动的创造性工作”以外,也忽然意识到,原来,以“研发十五年后产品”为目标的MS Research不只是会对“很X很XX”的对联。
上面最后一句是说笑,很久以前看过MS研究院的一些项目,对其中的动态图像、语音提取分析和识别等印象还是很深刻的,比如在Windows中搜索“本来这件事是一个美好的事”,系统会把赵老师的音频文件给呈现出来等等。但这么些年过去了,一直没深刻的体会到实际的应用,反而同样的研究人员跳槽到了Google,就Earth、Chrome、WAVE ……不断地让人惊喜和震撼。于是这两天试用Bing,看到搜索安全公告号MS0X-0XX的结果仍然顽固地视自家Technet如无物时,更加地不由浮想:闭门造车,长此以往,积重难返,Windows会不会像悍马一样,将来也落户中国的民企?
这个浮想,答案是不确定的,但破产那天是一定会到来的。站在我一贯的、朴素的经济观角度来看,以成就客户为目标的企业,要比以“请消费我吧”为目标的企业,破产那一天要来得迟得多。这也是我为什么看好IBM、Google、Alibaba等等这些本质上是“帮助客户成功”的服务性公司的原因。对于MS,尽管其目前看起来似乎仍是一个纯粹倾销消费品、纯粹攫取利润的顽主,但其“Your Potential, Our Passion”表明的服务客户心态,还是给人信心相信这家公司还是可以延缓严冬的到来的,一个简单的例子,如我之前在Blog中请教大家Win7中Autorun该如何改进安全的问题,提交Bug给产品组时已接近RC版完成,按照“惯例”,此类功能改进请求不会再被接受,但Win7 Team还是重视了这个来自用户的反馈并及时完成了改进。
今天写的这Blog,依然是没有中心思想的“东扯西扯”,仅此而已。最后顺便记一下,关于交流:今天看MS研究院的安全小项目Nozzle的时候,偶然看到了作为MSDN对外交流平台的Channel9的原则,和我的观点一致,且措辞既不是刻板的“爱X……拥护……坚持……严禁……有权移交……”,话语也不啰嗦,直接而有趣,摘录如下:
频道 9 原则
- 对我们来说,频道 9 是让我们成为自己、介绍自己并了解客户是谁的地方。
- 通过倾听来了解。当客户讲话时,向他们学习。不要产生防御心理,不要为了争论而争论。倾听并将对你有益的东西牢记于心。
- 变得聪明点儿。在说话之前请三思,某些会话毫无益处,只能强化固有观点或造成负面情况。
- 营销在频道 9 毫无立足之地。我们在频道 9 上投资的目的是制造惊喜,而不是促销或宣传。
- 不要动摇这一体系。持续的改变只发生在初始阶段。
- 了解何时关闭 mic。谈论某些话题只能造成问题。这与审查制度无关,而与当今世界存在的现实工作体制有关。探讨法律或金融问题不会改变任何事情,只会动摇整个体系、吓到参与者并造成负面局面。
- 不要不合群。没人喜欢刻薄的人。
- 专心进行会话。不要只是因为忙碌就停止倾听。不要因为不赞成某人的意见就不再参与。关系不是一天形成的,要经过长期的努力才能建立,而我们作为一个行业都会从中受益。
关于DirectShow中存在缺陷的安全通报971778已于今天发布,也许会被挂马(与浏览器无关)或者P2P影音文件所恶意利用,需引起注意。
此缺陷MS内部之前已发现,也有其他外部渠道报告过。近日由国内安全厂商报告,有理由相信此缺陷自年初已在国内地下被利用,目前微软已启动SSIRP。相关补丁应该在6月份发布(修正:补丁发布日期请以MSRC官方Blog为准 :) )在此之前大家可参照诚云写的Blog采取缓解措施,或简单的使用Fix it:
相信安全或不安全群体里的很多人,都和我差不多,对网络上“信息安全”、“木马”、“肉鸡”这样的关键字会有些敏感,甚至因长期敏感已经麻木。不过昨天央视3.15晚会的“个人信息安全”部分,还是引起了我的兴趣,因为可以想见,被315曝光的“某年度十大病毒之一”的作者,一定会很郁闷:“3.15晚会怎么讨伐起我们专业窃贼了?!”
专业窃贼没上法治在线,却上了3.15晚会,有理由郁闷,而且还被拿来和毫无技术含量的业余窃贼——兜售和滥用用户信息的移动公司、往三聚氰胺里兑牛奶的厂商相提并论,这更是耻辱:我们是坑害消费者的无良经营者吗?如果非要说我们的木马案例和消费者一词扯上关系,也只有那些免费下载木马的二级窃贼是消费者,但我们一没收钱二没损害三没人投诉,还有什么好说的?
一个揭黑无良商家的晚会,就这样讲了一个入室盗窃的警匪故事。移动公司若非被记者用摄像头记录,恐怕有了一个绝好的机会开脱:“我们从没倒卖个人信息,全是黑客干的”,有过被盗窃账号密码经历的观众,也可能突然不知所措了:“我该拨打12315还是110?”,如果观众继续较真儿,甚至是个急需出位的律师,恐怕还会让很多厂商毛骨悚然:“我是谁的消费者,该投诉谁?投诉微软产品太不安全?投诉防病毒没有用?那网银、支付宝、QQ、Adobe、联众、迅雷呢?……”
一个很有影响力的平台,就这样举了一个不太切合主题的案例,尽管如此,覆盖着地下安全经济的黑幕被撕开一个小角,还是安保人员希望看到的。不过,晚会只是晚会,听闻毕竟不等同体会,很多人记住了“顶狐结巴”兜售“400元1G数据”,却不一定会立刻开启系统安全更新、安装防病毒程序、谨慎对待隐私数据:“丢了就丢了嘛,他们要这些数据有什么用?”——出演蝙蝠侠的人、就读于新民高中的人毕竟是少数。
即使不切合主题也罢,希望电视媒体上,这样语言通俗、突出损失的信息安全节目更多一些,让更多的人警醒起来,像警惕苏丹红地沟油过期药那样注意个人信息安全。昨天看晚会的过程中,曾经有念头一闪而过:“不会有地下安全经济产业的人,坐在幕墙后面揭黑幕吧?”很快便念头打消。
微软个人安全用户主页还介绍了如何安全删除文件,可惜,当初有人不会
很久没上Blog,今天下班前发一篇,以表达对项目组的衷心感谢!感谢大家几个月来牺牲了不少晚上、周末甚至春节时间,开发和完善我们的项目。
感谢点名不分先后顺序:温柔漂亮的万能MM Jessica,喝高后偏爱“高深”的二位数字运算的“邪恶”Liang少,沙滩一(偷)拍成名的著名狗仔Chao,苦等萝莉群长大、各方面都很迅猛的Idler,年纪最轻却不失沉稳的Danny,悟性不错但站姿永远“曼妙”的Wei,谢谢你们!没有大家高效高质的努力,就不会有今天观摩者发出的“Incredible!” 和“overwhelm” 声声惊叹!
一个人之所以优秀,是因为够独立;一个人之所以成功,是因为善合作,这两点项目组每个成员在现阶段都完美做到了,接下来,是作为团体凸现独立和善合作,逐步实现收益最大化的时候了。研究的投入与收益比过小、模式和成果不可被复制放大、依赖激情持续无私付出,是我这种安全实用主义者难以容忍的。Keep Walking~ 近期外出游玩去先!
“再过两天,我的庄稼就要收割了……你们的愿望一定会实现!”
《角斗士》于古罗马与日耳曼部落战斗前夕 乔榛配音
本着对一些不谙世事的小朋友,如“牛掰”的J.Y的爱护,出于对极其嚣张的网络欺诈案的愤慨,鉴于此时受害者仍在增加中,且遭遇基本相同,现将三日前成功骗走J.Y1600元的团伙所使用的帐户进行公示,以方便那些谨慎稳重的人,在向可疑帐户付款前可以通过搜索引擎至此,进行参考:
诈骗活动主要集中在09年1月,通过恶意软件或其他方法,获取QQ密码,并观察本地聊天记录,后在山西临汾IP段登录(或代理登录)盗来的QQ,以“自己无法支付”为由,说服被盗QQ的在线“不差钱”的好友,向名为聂立奇的“淘宝商家”账号(跳板账户?)付款。首付款通常为1200元,之后依据对方特点决定是否多次行骗。通常被骗方付款成功后,会被要求发送付款成功的截图,如下J.Y的汇单截图。
人不牛掰,钱不太少,速来
考虑到很多不可抗力的因素,比如拍脑袋拍出来的司法定义和立案标准、以及平平安安都很忙等现实因素,这里请明天和朋友一起去报案的J.Y摆平心态,开心过年,不要郁闷,没事了,我借给过你钱吗?没有吧。
给各位拜个早年,祝大家一家人一切顺心、顺意、顺利!
09年是全身心投入Security职业工作的第9年,接触Security的第11个年头,不长也不短,偶尔回头来看职业和观察思考整个行业及从业者后,只有一句话继续自省:积极掌握自己命运(职业发展、生活进步)的主动权,感恩。
Keep Walking!
还是从Conficker说起,Liang拿到并分析了其中一个变种的样本,该蠕虫为了提升传播的效率,修改了TcpNumConnections值,释放了一个驱动来修改TCPIP.SYS内存镜像中的“连接数”。其实我们在一些下载软件中,也可以看到类似的修改,例如迅雷,然而,这样的修改会不会提升下载的效率呢?和Idler闲谈过后,决定写一篇Blog。
先说TcpNumConnections,这个决定系统“TCP并发连接总量”的键值自NT系统以来就存在,在2000以后的Windows版本中,该键值默认即为最大值0xfffffe,无论客户端还是服务器,都无需变更默认配置,因此对于蠕虫,其实没有修改的必要。
TCPIP.SYS,可能是误解最多的地方,常见的理解有:
- “XP SP2下,限制了Windows的网络并发连接数量,最大不超过10”;
- “因此,一些端口扫描器无法在XP SP2下无法使用”;
- “必须增加10到256以上,才可以完全利用带宽网络下载文件”
因此我们看到很多软件提供了XP网络优化的功能,其中加入了对TCPIP.SYS的修改。XP SP2中的TCPIP.SYS的确出于对网络安全如蠕虫的考虑,有一个“10”的限制,但这个限制的正确表述应该是:“每秒钟内同一进程建立TCP连接初始化(半连接)的最大值”,拿XP SP2下使用网络下载来说,我们下载10个HTTP文件,每个文件配置5个下载线程,下载启动(1秒钟的行为)后,XP最多允许初始化10个半开连接(占满Queue),其余45个下载线程处于standby状态,当第1个TCP建立成功后,1个资源在queue中即被释放,1个standby的线程进入TCP初始化状态,周而复始,直至50个下载线程完全进入“TCP连接建立成功”的状态(如果前面线程还未结束),你会看到,这其中没有10个连接的限制,更没有包的丢弃,网络带宽依然可以完全利用。
相对于蠕虫常用的遍历IP攻击、Bot的DDoS造成的危害来说,普通网络下载时半连接初始化等待的时间是值得的、可以忽略的性能牺牲。修改TCPIP.SYS的半连接数,更适合于BT用户,更快地Ping到可用的Peer,可以缩短排队的时间,一定程度上加快了下载完成,对于下载速度并无直接影响。需要注意的是,不当的修改可能导致BSOD或网络不可用,使用Windows Update下载安装最新的安全补丁例如DNS的补丁,就可以恢复该文件。至于一些端口扫描器如NMAP在XP SP2下无法使用,则是SP2因同样对蠕虫的考虑禁止了Raw Socket的使用,与此限制无关。
