Antsight From Land

经过设置以后，中文好像出来了。但是还有很多问题

1. 网页内容由于使用了服务器地设置，不能正确查看中文。
2. Style.css 要重新设置，文档看上去太乱了。
3. 增加连接信息
4. 当前没有使用数据库，在数据进行迁移的时候可能会出问题。如果文字段落超长的话，显示不知道会不会有问题。如果文字段落超长的话，显示不知道会不会有问题。

目前不能通过NewsCrawler进行更新，也不能通过MTit进行更新，郁闷...

Slashdot上面的一个讨论，OpenBSD: Hackers meet soldiers.

可能包括的内容：

1. Microsoft Passport
2. URU
3. Visa
4. Verisign
5. 自由联盟发表网络认证架构, 中文概要， 自由联盟站点。

How Google Grows...and Grows...and Grows

... Its performance is the envy of executives and engineers around the world ... For techno-evangelists, Google is a marvel of Web brilliance ... For Wall Street, it may be the IPO that changes everything ( again ) ... But Google is also a case study in savvy management -- a company filled with cutting-edge ideas, rigorous accountability, and relentless attention to detail ... Here's a search for the growth secrets of one of the world's most exciting young companies -- a company from which every company can learn.

2003年初，根据在 30 多个国家/地区部署了1000 多个入侵检测系统和防火墙的 400 多家公司的抽样分析数据，赛门铁克公司公布了《2002年Internet 安全威胁报告》，总结了实际计算机攻击活动的主要趋势。为了帮助读者了解信息安全威胁的发展机制及其影响，本刊对此报告进行了摘要刊登。

原载：IT 经理世界

A response to Bruce Schneier on MS patch management and Sapphire

Full Discloure post from Jason Combs that warns of versions of M$ security scanning tools that retreive outdated patch information:Only admins who downloaded the updated HFNetChk (version 3.86) directly from Shavlik Technologies had a tool that automatically relied on Shavlik's XML file and could therefore detect the vulnerable ssnetlib.

ZDNet 深度报道：中国IT渠道腐败批判

如果说有买卖的地方就有利益，有利益就有腐败，有腐败就无法根治，无法根治就任其发展、“适者生存”，那么我们还奢谈什么进步或发展呢？所谓的渠道管理还有多少实际意义呢？

来自天天安全网

所谓网络战，是指为破坏敌方信息系统的使用效能和保障己方信息系统正常发挥效能而采取的综合性行动。广义的网络战是敌对双方在政治、经济、军事、科技领域运用网络技术，为争夺信息优势而进行的斗争。狭义网络战是指敌对双方在作战指挥、武器控制、战斗保障、后勤支援、军事训练、情报侦察、作战管理等方面，运用网络技术所进行的一系列网络侦察、网络进攻、网络防御和网络支援行动。事实上，广义网络战早已发生，时时刻刻都在我们身边进行，而狭义网络战，即军事意义上的网络战，严格地讲，还没有真正到来，但它潜伏在网络的后面，一旦时机成熟，它就将势不可挡地走上前台。

拷问伊拉克互联网
互联网安全漏洞急剧增长 中国篱笆没扎紧

Latest Windows 2000 patch can lock system, security bulletin MS03-007 is incompatible with 12 Win 2000 software fixes

2000的Webdev漏洞

没有想到 Windows 从1982年就开始了。

From Windows 1.0 to 2003 Server.

垃圾邮件和垃圾电话一直是让很多无辜的人感到烦恼万分的事情，可是杭州的警察却巧妙地利用了这个特点，让到处张贴非法垃圾广告的人投案自首。
据报道，中国杭州的警察局最近开始利用一种新的电脑系统，从马路上获得的到处张贴的广告中获得肇事者的电话号码。然后就开始每隔20秒钟向这些手机拨号，一旦接通就自动播放事先录制好的声音。告诫接听者，他们已经由于张贴非法广告而触犯了法律，赶快到警局去自首。
在中国的许多大城市里，马路边，电线杆，墙壁上到处都是的标语广告已经成为了一种很严重的视觉障碍，影响着城市的市容。而这些广告的发布者一直认为凭借着无线通讯的保护，他们可以不容易被抓住。现在警察的这个举动无疑于以毒攻毒，用狂轰烂炸的方法让坏人要么去警察局自首，要么更换手机。而一旦他们换了手机号码，不但会发生直接的费用，而且还会丢失原有的客户，包括这些广告上本身的价值。
普通的民众不用担心自己的手机也会被如此轰炸，因为警察局有着严格的审批流程，在采用这个极端的办法之前，会有高级领导事先过目。
利用垃圾来对付垃圾倒是有些创意，不过只可惜却不能适用于Email。手机号码能够唯一确定一部电话，而Email的来源地址却不能确定真正的来源。Email协议本身过于松散和开放，导致如此的“恶果”。是不是我们情愿有一个更加封闭合不方便使用的Email系统？

Redhat News.

O'Reilly Openbook Project

Over the years, O'Reilly & Associates has published a number of "Open Books"--books with various forms of "open" copyright. The reasons for "opening" copyright, as well as the specific license agreements under which they are opened, are as varied as our authors.

eWeek
Article in Full-Disclosure maillist

This tool is a high-speed brute-force password cracker for MySQL hashed passwords. It can break an 8-character password containing any printable ASCII characters in a matter of hours on an ordinary PC.

Source Code

共分为6个部分，网上观看

Fizzer Virus果然出手惊人，5月8日出现，今天已经到达VirusEye的Top1。该病毒详细信息参见：F-Secure。

赛门铁克发布两款企业安全管理系统软件，和Symantec releases security tools，两则新闻对照来看，还是有些不一样的。

继前一段时间公布的关于安全的博客站点后，blogattic今天又新增了几个，总的列表参见：安全博客站点。

国务院：中华人民共和国计算机信息系统安全保护条例
国务院：计算机信息网络国际联网管理暂行规定
国务院：计算机信息网络国际联网管理暂行规定实施办法
公安部：计算机病毒防治管理办法
信息产业部：软件产品管理办法
山东省计算机信息系统安全管理办法
江苏省“网吧”管理办法

The National Strategy to Secure Cyberspace

美国司法部计算机犯罪主页
U.S. Information Security Law, Part One:
U.S. Information Security Law, Part Two
U.S. Information Security Law, Part Three

其它国家的相关法律参照：INFORMATION SECURITY LAW RESOURCES

Nmap的作者Floyd使用Nmap Maillist的用户做了一份调查问卷，要求列出8个自己最喜欢的安全工具。1854人作出了回答，调查结果报告为Top 75 Security Tools。

武汉大学计算机学院：魏为民

内容

1 引言
2 信息隐藏技术综述
3 彩色图像的BMP文件格式
4 基于彩色静止数字图像的信息隐藏算法
5 信息隐藏技术的研究动态和发展现状

文章

Bugtraq上有关于MT的Cross Site Scripting漏洞的讨论，主要是由于添加Comments的时候允许HTML功能。可以通过关闭该选项，避过这个漏洞。在Weblog Config->Preference->Allow HTML in comments? 后面不打勾。

NTBugtraq的管理者Russ Copper对Windows Update的可信性提出强烈批评。

Bruce Schneier, 著名的密码学专家，从政府的报告中推导出加密的电话对防止会话窃听无效。司法部门在遇到加密的情形时，可以轻松绕过。

Schneier的文章

Survey of financial firms finds 90 per cent of security breaches come
from outside.

Most security attacks on financial services organisations are coming
from outside the company - not from employees as widely thought.
Deloitte & Touche's 2003 Global Security Survey examined the security
at 80 Fortune 500 financial companies, and found that 90 per cent of
security attacks are coming from external sources.

Linux Productivity Magazine五月专题：IPTables。

Rootsecure.net 提供了一批安全新闻订阅链接，包括：Security Focus, GCN, SNP, eWeek, ZDNet, mi2g and notable digital attacks from Zone-H.

内容涉及到安全管理、VPN、入侵检测等。基于原有的设备和技术，CISCO在一些产品上将会有明显优势。

Cisco Extends Leadership in Integrated Network Security

快速安装和配置安全的Redhat Linux系统，文章来自IBM Developerworks。

Identity theft in Russia has got an epidemic character. And it is just the one of many threats related to information.

On statistics data in 2002 there were registered 3 371 cybercrimes in Russia.

Computer hacks are the most popular (about 90 %) among all registered computer crimes related to illegal information resources access.

Earlier the attention of hackers has been drown to the western firms, but now they are interested in Russian firms engaged in the sphere of e-commerce and banking. So, on January 30, 2003 in Tula's bank $19 000 have been stolen from the personal account through the Internet. According to Department of Internal Affairs of the Tula region, it is not the first case of hacking the bank computer networks.

It is already known the cases of use the secondary latent opportunities of modern technical means by criminals in their illegal activity: mini-automatic telephone system, cell-phones and the software. It can impact confidentiality, availability or integrity of the information.

The development of information technologies causes occurrence a lot of new problems, which should be fixed and be solved operatively by info-sec experts. So, it would be possible to guarantee non-failure operation of the automated control systems of businesses, governments and public organizations, etc.

computer crime research center

根据IDC的调查：四分之三的亚洲网站曾经被黑。

According to the firm's recent survey of over 1,000 companies across nine countries in Asia-Pacific, 72 percent of enterprises have experienced an Internet security breach while 39 percent felt their online threats have increased in the past year.

And while 97 percent of those surveyed have some form of Internet security in place, these tended to be off-the-shelf anti-virus products, said Nathan Midler, a senior analyst with IDC Asia-Pacific.

如此之多的用户，目前还没有一个比较流行的及时消息软件，很奇怪。这可能和即时信息软件一直免费提供有关。

但是现在人们经常在工作场合使用，很多时候传递的是敏感的信息，需要加以注意。以PGP的号召力，这个软件来得正及时。

ZDNet的新闻
PGP的历史

distCrypt - Is a toolkit for cracking DES/MD5 passwords. Uses distributed computing to bruteforce through the problem. Intended to use with large heterogeneous beowulf clusters. Compiles under Linux , Solaris , FreeBSD , HP/UX , Cygwin.

根据ComputerCop上的一篇匿名的文章，公布的测试结果总结如下：

. Kaspersky is the most efficient but difficult to set up.
. Avast and Panda run a close match with high performance but high demand.
. McAfee and Norton take back seat and are bloated.
. The rest do not scan as well, but usually have better speed and less demand

这和PC Magazine 4月份的测试结果大相径庭。

再看SC Magazine 2003 Awards, 用户选出的结果顺序是：

. Panda Antivirus Platinum 7.0
. eTrust Antivirus
. Kaspersky Anti-Virus Personal
. Symantec AntiVirus Enterprise Edition

委员会的顺序是：
. McAfee Active Client Security
. Symantec Client Security
. eTrust AntiVirus
. Trend Micro ScanMail for Microsoft Exchange

一头雾水，不看也罢，还是什么时候自己试试。

NetScreen 和 Trend Micro 联合推出紧密集合的网络安全解决方案。

来自CNET的文章。可能在搞笑吧，如果网站被黑的话，你的电脑数据在谁的手中。

Windows Users Knocked Off Net

Microsoft withdrew a security improvement for its flagship Windows XP software after it crippled Internet connections for some of the 600,000 users who installed it. Microsoft officials said Tuesday the update -- which had been available as an option since Friday on its "Windows Update" website -- apparently was incompatible with popular security software from other companies, such as Symantec.

Network Computing 评论文章，安全策略管理软件

如果警方和FBI都不能...

CNET新闻：Nullsoft发布WASTE一天之后，AOL迫使Nullsoft撤回了这个软件。

关于WASTE

WASTE源代码

By Scott A Crosby and Dan S Wallach

Abstract

We present a new class of low-bandwidth denial of service attacks that exploit algorithmic deficiencies in many common applications' data structures. Frequently used data structures have ``average-case'' expected running time that's far more efficient than the worst case. For example, both binary trees and hash tables can degenerate to linked lists with carefully chosen input. We show how an attacker can effectively compute such input, and we demonstrate attacks against the hash table implementations in two versions of Perl, the Squid web proxy, and the Bro intrusion detection system. Using bandwidth less than a typical dialup modem, we can bring a dedicated Bro server to its knees; after six minutes of carefully chosen packets, our Bro server was dropping as much as 71% of its traffic and consuming all of its CPU. We show how modern universal hashing techniques can yield performance comparable to commonplace hash functions while being provably secure against these attacks.

Slastdot 在5月12日发起了一个活动，任何人可以问NMap的作者Fyodor一个网络安全方面的问题，今天见到了他的回答，精彩之至。

VNUNET新闻：英国政府正在启动一个项目将各个安全部门的数据集中起来以协助反恐行动。这个高度机密的项目将使得9个政府部门和行动处可以共享数据，目前该项目正在招标过程中。

根据英国安全分析公司mi2g的一份研究报告，针对 Linux 的攻击事件自今年1月份以来呈不断上升趋势，到5月份达到了最高峰，超过了对Windows的攻击事件。Zone-H 的报告也支持这一观点。

DK Matai，mi2g的执行官分析，这种情况的发生对主要基于以下三个原因：

1. 配置管理问题。自动扫描漏洞的攻击工具越来越流行，在线系统的安全主要依赖于系统配置以及何时给系统打上最新的补丁。过时的系统和没有按时打补丁的系统都是很危险的。

2. 缺乏统一的可信计算的动力。由于开发源码的特性，针对在线服务器的管理和安全问题，没有统一的参考来指导用户该做什么和不该做什么。

3. 出于裁减预算的需求，Linux 近期被大量采用。

美国国土安全6月6日宣布成立新的网络安全分支机构。根据资料，新的机构60人，分为三个单元，提供“24 x 7 运作功能”。一个单元负责识别和降低政府自身系统、关键基础设施和电信网络的风险和漏洞。第二个单元称为网络安全跟踪、分析和响应中心，负责，主要关注因特网。负责对网络实践提供监测和响应，并和政府的的其他部门，外国政府和私有企业进行协调。第三个单元负责制定网络安全监控和检测程序。

新的机构是国土安全部信息分析和基础保护部门的一部分，3月份该部门合并了原有的大部分政府机构的网络安全部门。

Oracle 公司正在开发一些安全工具帮助用户发现漏洞和加固现有的产品。

根据SecurityFocus的记录，Oracle去年共发现了42个漏洞，今年时间未过半，已经有24个漏洞。作为企业核心应用的数据库厂家，早该如此了！

微软收购罗马尼亚防病毒厂商GeCAD Software的防病毒技术，作为可信计算技术的基础。

SecurityFocus文章：蠕虫对因特网的影响在过去5年中不断增大，尤其是像CodeRed II, NIMDA 和最近的SQL Slammer。影响不仅反映在被感染的端点，甚至是因特网的基础架构。在 CodeRed II 传播的高峰期，导致整个因特网的全局路由出现了不稳定的现象。

it is very cool.

信息安全杂志6月封面文章。

CERT上的文章，图文并茂。家庭安全的九部曲：

1 - 安装和使用防病毒软件
2 - 及时打补丁
3 - 谨慎对待有附件的电子邮件
4 - 安装和使用防火墙程序
5 - 备份重要的文件和目录
6 - 使用强健的口令
7 - 下载和安装外来程序时要特别小心
8 - 安装和使用硬件防火墙
9 - 安装和使用文件加密程序和访问控制

news.com.au：澳大利亚防卫限制网络大概有6万用户，和高度机密的隔离网络不同，该网络和因特忘相连。网络中使用了军方的加密标准，到目前为止还是安全的。为了应付日益发展的黑客技术，军方需要对该网络做进一步的安全增强，包括通信系统的安全增强和可视化的广域网异常监控。

GRAY-WORLD.NET: 讨论各种隧道（tunneling）, 隐秘通道（covert channels）和网络相关的隐藏方法。

◎CyberForge 提供了一个微软产品和技术的安全链接列表，以后如果要研究微软平台的安全问题，可以参考。

Application Security Inc. 最近发布了一个针对 MySQL 的安全扫描器，AppDetective
for MySQL，目前处于 Beta 测试阶段。

Artur Maj 在 SecurityFocus 的文章，前面还有一篇 Securing Apache: Step-by-Step，都是基于 FreeBSD 4.7 平台。

针对信用卡盗用愈演愈烈的情况，加州通过法律，迫使网站被黑的公司向客户披露事实。从7月1日开始，网络存在安全漏洞的公司必须警告加州的客户。如果在线零售商发现信用卡信息被盗，必须通过电子邮件向客户声明：“我们被黑了，黑客可能获取了您的信息卡信息。”

该法律可能在近期推广到全美。

Talks and Presentations，时间可以追溯到80年代，有不少好东西。

Knoppix-STD 是 Knoppix Live Linux CD 的定制发布版本，使用光盘启动。包括Linux kernel 2.4.2，KDE 3.1，强大的硬件检测能力和数百个应用，可以作为网络管理人员的百宝箱。

STD 侧重于信息安全和网络管理功能，提供的工具可以分为如下类别（详细的工具信息）：

. authentication
. encryption utilities
. firewalls
. penetration tools
. vulnerability assessment
. forensic tools
. honeypots
. intrusion detection
. packet sniffers and assemblers
. network utilities
. wireless tools
. password auditing (crackers)
. servers

Government Computer News： 美国国土安全部构建了一个网络平台，使得政府和行业用户足可以就因特网攻击和其他系统威胁交换信息。

The Cyber Warning and Information Network （CWIN）大约有30个政府部门和公司构成的节点。基于面向行业的用户组构架，由信息共享和分析中心连接而成。 CWIN在过去的两年中建成，目前准备接纳更多用户。

在 Eric Cole 的文章中提到：

. 了解自己的系统
. 最小授权原则
. 深度防御
. 预防是目标，检测也是必须的

SNP：美国政府和一些个人技术专家在本周三发出警告，黑客计划进行一个松散组织的比赛，攻击数千个网络站点。一些和美国国土安全部合作的预警网络已通知相关公司，说他们已经获得关于计划中的攻击的确实信息，并且已经检测到黑客发起的先期尝试。

希望中国的网站早做部署，不要成为牺牲品。

Introduction to Reverse Engineering Software
by Mike Perry and Nasko Oskov

Table of Contents

1. Introduction
2. The Compilation Process
3. Gathering Info
4. Determining Program Behavior
5. Determining Interesting Functions
6. Understanding Assembly
7. Debugging
8. Executable formats
9. Understanding Copy Protection
10. Code Modification
11. Network Application Interception
12. TODO (Contribute!)
13. Extra Resources

Securityfocus的文章，Part1，Part2。

另外，这里也有不少好文章。

chkrootkit 是一个本地检查rootkit的工具，包括：

. chkrootkit: 检查rootkit可能修改的系统命令的Shell脚本。
. ifpromisc.c: 检查网卡是否处于混杂模式。
. chklastlog.c: 检查lastlog是否被删除。
. chkwtmp.c: 检查wtmp是否被删除。
. check_wtmpx.c: 检查wtmpx的记录是否被删除 (Solaris)。
. chkproc.c: 检查LKM木马。
. chkdirs.c: 检查LKM木马。
. strings.c: 快速串替换。

Kernel Rootkits Explained

媒体公司 TechTarget 日前收购了著名的信息安全杂志（Information Security Magazine）。信息安全杂志1997年由TrueSecure公司创建，是很受欢迎的一个开放的杂志，所有内容在网上免费发布，希望以后还能免费看到该杂志。

记得TechTarget在前年还收购了whatis.com，结果就是页面变得很混乱。倒不是对TechTarget有什么反感，就是页面提供的内容太混乱，想把所有的东西在一个页面推销给用户（换个角度来说，就是在浪费用户的时间），有点象一些国内的门户站点，也不想想用户能否消化。

口令是安全的基础，但是往往好的安全系统因为一个脆弱的口令而导致整个系统的崩溃。我们也见到很多关于口令的测试，根据这些测试结果，80%以上的人使用不安全的口令。ComputerWorld的文章给出了生成好口令的简单易用的方法，而且推荐了一个保存口令的工具：Password Safe。

SNP的文章，其来源是iDefense的研究报告，介绍了一类针对Windows消息系统的危险攻击，值得关注。

Cisco IOS Interface Blocked by IPv4。近来有些网站不能访问可能和这个漏洞有关，因特网上很多关键设备都来自Cisco，这下有得忙了。

以下是ChinaByte的报告（原信息来源于CNET）

ChinaByte 7月17日消息 据一家大型电信公司和熟悉问题的网络管理人员称，互联网服务提供商容易受到思科公司路由器一个缺陷的影响，该缺陷可能导致一些网站和服务器无法接入。

虽然还不知道缺陷详情，但它显然分布很广，并且影响到主要互联网服务提供商所使用的许多基础网络设施。思科是网络开关和引导网络数据路由器的主要提供商。

目前思科无法立刻表态，但是电信服务提供商Sprint公司已证实缺陷确实存在。Sprint公司发表声明称，公司意识到缺陷与思科有关。目前正在公司的骨干网上做调整，用户不用担心服务会中断。

有消息称，黑客可以利用这个缺陷使路由器瘫痪，从而阻塞网络信道。据一名了解缺陷的网络专家称，由于缺陷的本质，路由器看起来不会死机。为了解决这个问题，路由器必须重新启动或重置。

虽然Sprint公司发言人不能证实缺陷的详情，但他强调，网络上的任何流量消耗都可能影响用户的连接和用户登陆网站的能力。公司发言人还说，虽然我们正在采取适当措施来保护公司的骨干网络，但是问题可能来自其他受影响运营商的流量，如果这些运营商没有采取同样措施来保护网络。

其他的互联网服务提供商，包括Level 3和AT&T，都没有立刻评论缺陷问题。但一个网络管理员的邮件列表说，上述公司也在升级自己的网络。

著名网络安全专家和Counterpane网络安全公司技术总监Schneier说，这个缺陷是个问题吗？它可能是问题，如果是问题，本周还将宣布其他30多个缺陷。

【赛迪网讯】瑞士研究人员在本周二发表的一篇文章称，他们发现了一种可以快速破解由字母和数字组成的Windows密码的方法，使破戒密码的平均时间从1分钟41秒降低到了平均13.6秒。

这种方法是使用大型比对表格来对个人加密的原始密码进行比对，因此需要消耗一定时间。新的方法名为时间记忆交换，可以让拥有较大内存的攻击者大幅缩短破解密码的时间。

这项研究结果再度引起研究人员的担心，即微软的加密模式存在着某些缺陷。瑞士的洛桑科技学院(EPFL)密码与安全实验室的一名高级研究人员Philippe Oechslin表示，问题在于Windows密码中没有包含任何随机信息。

星期二在对这项技术的一次在线演示中，研究人员使用了一个1.4GB的查找表和一台拥有1.5GB内存、AMD 2500+处理器的计算机进行密码的破解。

Oechslin说，他在发表这篇文章之前没有通知微软公司，他说他研究的目的是为了开发更有效的时间记忆交换的方法，而不是为了破解微软的密码。

Zdnet新闻：If your passwords consist of letters and numbers, beware。

测试站点：Advanced Instant NT Password Cracker

相关论文：Making a Faster Cryptanalytic Time-Memory Trade-Off

针对LSD发现的Windows DCOM RPC溢出漏洞——该漏洞影响Windows ME外的所有版本，9天以后，中国的安全焦点研究小组发布了利用它的第一个破解代码，随后，Metasploit 的HD Moore基于XFocus的破解公布了更方便的代码。也许很快就会有利用该漏洞的蠕虫出现。

所有Windows的用户请根据微软提供的建议尽快完成补丁工作，不要成为无谓的牺牲品。

ComputerCops的文章从系统管理员、公司和个人三个角度阐述了可能发生的人为错误形式，并提供了很好的建议。

系统管理员
. 缺少个人安全策略
. 将错误配置的机器连上了因特网
. 依赖于工具
. 不能对日志进行监控
. 运行额外和不需要的服务

公司
. 雇佣未经培训和没有经验的专家
. 对攻击的后果缺乏足够的认识
. 在信息安全方面不能提供足够的资金
. 仅仅依赖于商业工具和产品
. 认为安全是一次性投资

个人
. 违反公司的安全策略
. 将敏感的数据发送到家庭计算机上
. 将帐户数据记录在本子上或者其他地方
. 从不可信的站点下载程序
. 对物理安全认识不够

CERT准备在它们的网络安全信息共享项目中采用ArcSight 公司的安全事件管理程序自动完成事件的采集工作，从而加快现有的事件报告程序。ArcSight采用IDMEF和IODEF进行数据交换，CERT的专家可以对采集的数据进行相关分析。该项目有利于CERT对大规模的攻击事件进行预警，并且，参与该项目的学校可以对相似事件进行比较，从而得出一个可行的方案。

所有的讲座PPT在三周内提供，现在已经有不少了，:)

News.com: GEWIS 将成为DHS的网络安全监控中心，从今年10月开始运作，由SRI提供。

日程安排，很多内容可以从这里下载。

The Register文章的标题，太搞笑了，haha...

Hackers coven puts computer security in peril, 这篇文章的标题又太恐怖了点。

通过精心构造的查询命令，获取后台系统中的敏感信息，参见这篇文档。

微软的产品安全官员说发现漏洞“有史以来最安全”的操作系统（指Server 2003）对公司有益。几天以前，就是在Micorsoft.com遭受攻击后，微软的发言人说“仅仅是拒绝服务攻击”，和最新发布的漏洞无关。真是欲盖弥彰，如果不是因为漏洞，哪来那么多肉机发起拒绝服务攻击。Nimda和Codered蠕虫都给因特网造成了几十亿美金的损失，这次DCOM RPC的漏洞引起的综合损失也不会少（厉害的蠕虫在后面，绝大多数机器还没有打补丁）。如果这些受害的用户都来告微软，我看他是要吃不了兜着走了。

Securityfocus的文章：Part1, Part2，里面提到很多安全方面的Blog，希望能带动整个网络安全界在Blog方面的发展。至少多提供一些RSS，节省我的阅读时间。Isaac今天提到：“所以拜托，如果有可能，请让你的RSS支持完整的内容”，如果大家听得进就更好了。

Nomad Mobile Research Centre，1995年由Simple Nomad创建，目前有14个研究者。最著名的是他们的NDS扫描工具Pandora以及Hack FAQ。本次Blackhat和Defcon大会，他们又发布了Ncovert/Ncrypt和NmrcOS。

Handlers日记的最新两篇（1, 2）都是和利用RPC漏洞的sdbot变体蠕虫有关，看样子该蠕虫已经传播的很厉害了。从趋势来看，针对135端口的扫描也在急剧增加中。不知道国内的网管员对该漏洞的重视情况如何，据说不是很乐观。如果已经被感染，可以参考第二篇中的方法进行诊断。

Joat 给他的老板做了一个关于Blaster蠕虫的PPT，简单明了。是不是也可以给我的老板看，:P 。

Zone-H：韩国警方本周警告计算机犯罪的趋势愈演愈烈。目前为止，共有40000起报告的事件，比2002年同期增长了18%。超过22000起事件和网络游戏站点相关。

国内这方面的犯罪好像也是不少，但是作为可用人民币兑换的网络虚拟货币被窃取，目前还没有一个明确的处理办法。

从Riptech出的因特网威胁报告来看，2001年韩国是遭受互联网攻击最多的国家，2002年上升为发起攻击第二的国家（第一是美国），韩国在这方面的发展速度惊人。

Sensepost 的技术总监 Roelof Temmingh 在blackhat大会的报告中（PPT, 论文）说，DDOS和远程入侵并不能对一个国家产生大的影响，我们要提防Email病毒的危害。

不过有一个方面他没有提到，单一化才是最大的危害，每次Windows病毒一出，世界都会给 Microsoft 买单。

Roelof Temmingh的其他论文：

Worst Fears II / Workings of a Worm

Phrack 杂志昨天出第61期。

又一款 Knoppix 衍生品，专注于网络安全方面，现在最高版本是0.4a。

Lance Spitzner 在 Security Focus 发表的文章，介绍Honeypot的部署技巧。

Securityfocus消息：鉴于恶意软件不断增长的趋势，NSA网络安全长官呼吁国会建立一个国家软件保障中心，致力于检测大型应用软件中的后门和逻辑炸弹。

ATM machines rigged，手法够高的，好像以前听过这个故事。

Netsec: Dave Meltzer 关于“Good Worms”的PPT，这类蠕虫目前为止只能是添乱，Blaster.D也可以加到这些样例中。

最新一期的 Crypto-Gram 中，介绍了他的新书“Beyond Fear”，期待一读。

This isn't a book about computer security; it's a book about security in general. In it I cover the entire spectrum of security, from the personal issues we face at home and in the office to the broad public policies implemented as part of the worldwide war on terrorism. With examples and anecdotes from history, sports, natural science, movies, and the evening news, I explain how security really works, how it fails, and how to make it effective.

If I can name one overarching goal of the book, it's to explain how we all can make ourselves safer by thinking of security not in absolutes, but in terms of trade-offs -- the inevitable expenses, inconveniences, and diminished freedoms we accept (or have forced on us) in the name of enhanced security. Only after we accept the inevitability of trade-offs and learn to negotiate accordingly will we have a truly realistic sense of how to deal with risks and threats.

This is a book for everyone. I believe that security, as a topic, is something we all can understand. And even more importantly, I believe that the subject is just too critical, too integral a part of our everyday lives, to be left exclusively in the hands of experts. By demystifying security, I hope to encourage all of us to think more sensibly about the topic, to contribute to what should be an open and informed public discussion of security, and to participate vocally in ongoing security negotiations in our civic, professional, and personal lives.

I am very pleased with this book. I started writing it in June 2002, and continued writing it through spring 2003. It has been a lot of work, and I think it's paid off. It's a good book.

Beyond Fear lists for $25, and the publisher is Copernicus Books. It's on Amazon at a 30% discount, with free shipping if you order something else as well. (And they have a really good package deal with my previous book, Practical Cryptography.)

And finally, I have a favor to ask. I'd like to see if I can subvert the Amazon bestseller system and get to #1. My previous big book, "Secrets and Lies," made it to #4. (Harry Potter was #1, #2, #3, and #5.) If everyone who plans on buying this book on Amazon waits until 12:15 PM Pacific time (that's 2:15 PM Central Time, 3:15 PM Eastern time, 8:15 PM UK Time, and 9:15 PM Western European time) on Friday, August 15, and all does it together, I might make #1. Don't worry if you can't do this, but I would appreciate it if you can. Thanks.

NSA 信息保障主管 Daniel G. Wolf 在网络安全、科学和研发小组会上的综述。

A Work in Progress by Abe Usher.

OSSTMM From Institute for Security and Open Methodologies。

This manual is a combination of ambition, study, and years of experience. The individual tests themselves are not particularly revolutionary, but the methodology as a whole does represent the benchmark for the security testing profession. And through the thoroughness of its application you will find a revolutionary approach to testing security.

This manual is a professional standard for security testing in any environment from the outside to the inside. As a professional standard, it includes the rules of engagement, the ethics for the professional tester, the legalities of security testing, and a comprehensive set of the tests themselves. As security testing continues to evolve into being a valid, respected profession, the OSSTMM intends to be the professional’s handbook.

Joat 的怀疑得到证实，冲击波病毒导致了美加地区的大停电。

FBI 这么努力的查病毒来源是否也与此相关呢？

另外，中日韩计划合作开发操作系统似乎也与此相关。该报导不会是空穴来风，但是真正要合作开发成本将会极高。如果政府愿意投资，操作系统的开发还需要3个国家来合作吗？

Reuters: 以色列科学家星期三声称发现破解GSM通话的安全性的方法。利用该技术，窃听者可以随意窃听移动通话，并可以获取通话者的移动标识。GSM协会声称，GSM移动电话目前在197个国家有8亿6千万用户，修补该漏洞将会非常复杂和昂贵。

通过这一事件我们可以比较电信厂商和软件厂商针对漏洞的不同处理态度。不过据说国内的手机由于出口限制采用了较弱的加密算法或者干脆屏蔽了加密功能，所以对国内用户影响不大。

安全电话不能防止被窃听，我们是否能得到一些另外的启示。

另外一条关于手机的消息来自新浪：国产手机巨量库存惊醒市场崩盘。

SecurityFocus: 微软周三报告了5个安全漏洞补丁，包括一个严重安全漏洞，这些漏洞中有4个和Office软件有关（嘿嘿，又来了）。严重漏洞可以导致攻击这读取用户文件，运行程序直至控制用户计算机。

以电子邮件病毒的影响趋势来看，大部分用户的附件的警觉性并不高，况且这次是Office文件。估计伴随该漏洞又会出现一批恶性邮件蠕虫。

天天安全网的公告

Goverment Computer News: 国土安全部9月2日公布了一个增强各州和本地政府（local authorities，翻译可能有错）恐怖信息共享的计划，作为重组安全功能的一个环节。

CWIN 的延续？好像是独立的网络，主要是政府部门使用。在建中的项目还有GEWIS，三者应该是相互作用。DHS确实投入了不少。

一个很好的文件完整性检查工具，目前版本为2.0，可媲美Tripwire企业版，开放源码。

出差回来，各大安全站点都在拿微软新的RPC漏洞说事，真无聊：

绿盟：Windows RPC DCOM 接口多个堆缓冲区溢出漏洞
天天：专家称Windows新漏洞可引发新一轮网络攻击
ISC：Microsoft Windows RPCSS Vulnerability Update
CERT® Advisory CA-2003-23 RPCSS Vulnerabilities in Microsoft Windows
...

还是这条新闻有意思一点：天天：Windows系统频遭攻击 美国用户考虑起诉微软（原消息由新浪译自华盛顿邮报）。Windows 用户是该讨个说法了。前一段时间看到的一个笑话，说近期要切换到Windows系统，好向微软取得赔偿。

笑话归笑话，这一次的漏洞还是得认真对待，赶快打补丁。还有就是grc.com提供了一个测试和禁止DCOM RPC的工具：DCOMbobulator。

NWFusion: Symantec 本周宣布一个集成的安全设备些列，使得用户可以采用单一的设备解决多样化的网络安全问题。

Symantec 网关安全设备5400型组合了网关防火墙、防病毒、Web内容过滤、垃圾邮件防护、入侵检测和入侵防护技术，支持200M bit/秒的速度和65,000 并发用户链接。5420型可以达到1.8G每秒，200,000 并发用户。

Symantec 对该产品的介绍。其他厂商：NetScreen，Crossbeam，ISS，TippingPoint。

Sombria (葡萄牙语"阴影"的意思) 是一个在日本东京建立的蜜罐系统，用于网络监管研究。该系统包括一个Web服务器，一个防火墙和一个入侵检测系统。Sombria 采用了一些列的监管技术来实时观察入侵者的行为。入侵检测系统用于在入侵者尝试入侵和进入的时候报警。同时所有入侵者执行的命令采用键盘记录程序记录下来，用于事后分析。防火墙用于防止入侵者利用 Sombria 对其它系统发起进一步的攻击。

可以看出，该系统的设计参照了Honeynet项目，但是更加简单。报告提供了今年5月到7月间的统计信息和一些具体的案例。下载PDF格式的报告。

PISCATAWAY, N.J.--(BUSINESS WIRE)--Sept. 11, 2003--The ability to enhance security in information systems and networks is limited by the operating systems that underpin them. Recognizing this, the Institute of Electrical and Electronics Engineers (IEEE) has begun work on a standard to formulate consistent baseline security requirements for general-purpose (GP), commercial, off-the-shelf (COTS) operating systems.

The standard, IEEE P2200(TM), "Base Operating System Security (BOSS(TM))," will address external threats and intrinsic flaws arising from software design and engineering practices. Anyone with expertise in software engineering, metrics for software, cyber security, operating system development and related areas is invited to participate. Plans call for the standard to be completed on an accelerated schedule by the end of 2004.

ZDNet 消息：US-CERT 昨日成立。

US-CERT是美国国家网络安全部（NCSD）和位于卡来基.梅隆大学的CERT-CC机构的联系枢纽。US-CERT将和NCSD一起工作，阻止和减轻网络攻击，并减少网络漏洞。该机构成立的初衷是借助CERT-CC的能力加速美国对网络事件的响应。

分别针对 RPCSS, OpenSSH 和 Sendmail，很不寻常。ISC 的状态目前还是绿色，也许不久就会有变化吧。

Security Focus 介绍 Nessus 的文章，Part1 － Part2。在Fyodor TOP75的安全工具评选中，名列第一。NeWT(Nessus Windows Technology)是Nessus在Windows下的商用版本。

itsecurity.com，又一个信息安全门户站点，号称是计算机安全百科全书，相当于一个网上展览。主要栏目有展示（厂商）、新闻、论文、诊所、评论、字典、产品。商业化气氛很浓，主要是产品和厂商的介绍，还没有细看，不过好像没有看到中国的公司。已经很好了，同类的站点目前是第一个。

SecurityFocus 文章，第一部分（系统工具），第二部分（文件系统工具）。第三部分尚未发表，将介绍网络和其它工具。

From The Worm Information Center —— Networm.org。

ftrace - 快速 Win32 Traceroute 工具。

NetworkActiv PIAFCTM 1.5.2, 可以工作在两种模式：Packet模式，显示数据包和其中的数据，对数据包进行字符串搜索；File模式，将HTTP传输的内容用文件保存下来，可以根据IP、端口和文件大小保存在不同的目录。

ntsecurity.nu，包括很多Windows下的免费安全工具。

CIS，包括一些列的安全基准测试工具。

Splint，轻量级的代码安全检测工具。

ThePacketMaster, 又一个基于CD的安全审计工具，加上PHLAK, Knoppix STD, Local Area Security Knoppix, Trinux, Penguin Sleuth Bootable CD, 还有很多吧。

Cansecwest/core Archives，不过好像少了这一篇：Gary Golomb - Defeating Forensic Analysis。

微软从本月起推出安全通讯，每月一期，可以订阅。本期一篇有意思的文章是 Security At Microsoft。

A time/space trade-off method to crack Unix crypt() based passwd, paper.

OSSIM 号称可以将网络监控、安全、相关分析等集成在一起，它组合了Snort, Acid, MRTG, NTOP, OpenNMS, nmap, nessus, 和 rrdtool 等多种工具，为用户提供一个全面控制的网络安全环境。WOW，俺要试一下！

共计收集了68款产品，真不少。其中取证产品共有4款，两个网络监控产品，两个主机监控产品，太少啦。严格来说都不能说是取证产品，只能说是审计和监控产品。

TechWeb：The worldwide market for security server appliances grew by 22 percent in the third quarter, and is expected to continue increasing next year, a market research firm said Thursday.

Revenue from high-tech systems used to protect corporate networks reached $379.1 million, compared to $311.02 million during the same period last year, International Data Corp. said.

Within the overall market, the intrusion detection appliance segment posted an 89 percent growth rate, but the firewall and virtual private network market remained the largest segment, with $317.7 million in factory revenues in the quarter.

GCN: Homeland Security secretary Tom Ridge said the government will combine about a dozen terrorist watch lists into one next year.

Ridge said that the interagency Terrorist Screening Center, run by the FBI, now is carrying out the watch list function. Officials from several agencies at the center check numerous databases to determine if an individual appears on a terrorist watch list.

LURHQ：本文讨论对错误配置的HTTP代理服务器的滥用情况，详细描述了流经这些地下服务器的流量情况。同时还讨论了"honeyproxy"的使用，一个设计成误配置的HTTP代理，使用这个工具可以检测因特网地下使用情况，而不需设置蜜罐。

来自微软Knowledge Base文章：帮助您识别欺骗性（冒牌）Web 站点和防范这类站点侵害的方法

当您在 Microsoft Internet Explorer、Microsoft Outlook Express 或 Microsoft Outlook 中指向某个超链接时，相应的 Web 站点的地址通常显示在窗口底部的状态栏中。当您单击的链接在 Internet Explorer 中打开后，相应 Web 站点的地址通常显示在 Internet Explorer 的地址栏中，同时相应 Web 页的标题通常显示在窗口的标题栏中。

然而，恶意用户可能会创建一个指向欺骗性（冒牌）Web 站点的链接，并让该链接在状态栏、地址栏和标题栏中显示合法 Web 站点的地址或 URL。本文介绍您可以采用哪些方法减轻此问题造成的影响以及采用哪些方法识别欺骗性（冒牌）Web 站点或 URL。

文中提到最有效的防范超链接的方法：

最有效的防范超链接的方法是不单击这类超链接，而在地址栏中亲自键入您的预定目标的 URL。通过手动在地址栏中键入 URL，您可以验证 Internet Explorer 访问目标 Web 站点时将使用的信息。为此，请在地址栏中键入 URL，然后按 Enter。

注意 如果未启用地址栏，则地址栏不显示。要启用地址栏，请单击“查看”，指向“工具栏”，然后单击选中“地址栏”。

大家可要步步小心了。

SecurityFocus焦点文章，针对各种个人防火墙的进行了详细的比较，对家庭用户个人防火墙的选择有参考价值。

在这篇报告（Kazaa Delivers More Than Tunes）中，TruSecure 的分析人员称从 Kazza 下载的 45% 的可执行文件包含病毒或者恶意代码，是不是多了点，感觉上到处都是病毒了。文中分析病毒来源主要有三种方式：

1. 发布软件的人有意在其中嵌入了恶意代码；
2. P2P的蠕虫在网络中扫描并感染下载目录中的文件；
3. 文件在下载的过程中被感染。

我是从来不会从P2P网络中下载软件的，Kazza 的主要用途还是用来分享音乐和视频吧。

几大顶尖软件和安全厂商聚集在一起发起了这个“个人防火墙日”宣传站点。现在信息还不是很多，像个广告站点。但是活动的创新立异是不言而喻的，对于家庭用户来说，个人防火墙是必须的防护措施。企业环境中的用户也需要使用个人防火墙，作为企业深度防御的一部分。

From joatBlog：网络监控工具列表，此列表来源于SLAC的因特网监控项目。

安全是由4P组成的：人员（People）、策略（Policy）、流程（Process）和产品（Product）。信息安全杂志2003年12月号封面文章是关于最佳的4P，所谓最佳往往是一家之言，但是看看还是很有意思的。顺着文中的信息Google一下，可以找到不少好东西咧。

Knoppix STD 0.1 是发布的第一个稳定版本，参见0.1B版的发布信息。

受 Google Zeitgeist 的启发，Abraham Usher 通过对安全相关的邮件列表进行统计，得出2003信息安全发展趋势。下面是安全公告的发布趋势：

1月28日 DHS 通过 US-CERT 发布 National Cyber Alert System （国家网络报警系统），该系统向订阅者（分为技术人员和非技术人员两类）发布及时的消息和行动指南。虽然说 SecurityFocus 等安全机构已经做了类似的工作，但是从政府的角度出发来做这件事还是第一次，其感召力不言而喻。

雅虎新闻报道，有组织的网络犯罪分子正在勒索赌博站点，付保护费或者就会遭受攻击，攻击的手段是恶劣的DoS攻击。宣称的攻击将在美式足球的超级杯之夜开始，一些网站很难承担这个巨大的业务风险而选择了妥协。这种敲诈方式已经和传统的黑社会没什么两样了，由于网络的无国界性，各国只有联合起来，才能对这种网络犯罪活动进行有效地遏制。

关于安全有很多说法：

. 安全来自管理；
. 安全是人员，流程，策略和产品综合管理和运行的结果；
. 安全是我们可以承担风险的上限；
. 安全是一种折衷，是我们投入精力、物力，放弃便利性换来的；
...

securityworks.com 11月号时事通讯的标题：安全不是技术的问题，是业务的问题。 很有说服力。

目前的组织中对网络安全已经比较注重，申请一笔资金进行安全设施的部署并不需要多长时间。但是安全事件的发生是无法避免的，在事件发生以后采取怎样的流程来处理才能最大的保护组织资产呢？Martin McKeay的文章“CERT ... or is it CIRT ... or CSIRT”，提到这几个词其实都是TEAM的意思，也就是需要专门的队伍来处理事件。真是一语中的，构建组织的应急响应策略并建设专门的队伍才是有效之策。

NEWS.Com: 根据FBI的新提议，所有的宽带服务提供商，包括cable modem和DSL公司，必须在15个月内重新部署他们的网络，从而为警方提供方便的窃听手段。

FBI targets Net phoning
Feds step up push to wiretap VoIP calls

NWFusion的文章，对黑客的几种行为动机进行了分析（"MEECES" - for money, ego, entertainment, cause, entrance to social groups and status）。好玩的是最后结论，竟然将Cracker和连环杀手相提并论：

Tafoya contends that serial computer crackers' M.O.s are the same as that of serial murderers and rapists, meaning:

• They're creatures of habit.
• They repeat what works.
• They repeat what feels good.
• They operate up to their abilities.

大部分人不都是这样吗？

今天从F-Secure Blog看到，MSN Mesenger 8的Beta版还没有发布，网上流传的只是伪装的病毒。这个病毒会通过MSN的联系人进行传播，而且感染的机器会变成botnet的一员。前一段时间MSN Messenger不稳定，现在切换到GAIM 2.0Beta，感觉真不错，竟然可以学习聊天对方的表情字符，:D。

看到大家在列出自己的使用的Firefox扩展，也下载ListZilla，展出一下。我是经常给同事和朋友推荐Firefox的，有人说我偏执，自己喜欢的东西就要别人使用。IE在他们的眼里是所有网站都可以美观显示，我这个人网站看得不多，经常看的那些在Firefox中都有很好的表现，而且喜欢把字体调的较大，这一点只有Firefox可以做到。其实我用Firefox主要是为了安全（参见这篇报告），这一点可能真有点偏执，不是信任的网站基本不允许Script运行。

Adblock Plus 0.5.10
Add N Edit Cookies 0.2.1.0
AJAX Yahoo! Mail [Viamatic WebMail++] 0.5
Coralize 0.5
CustomizeGoogle 0.40
del.icio.us 1.0.2
Download Statusbar 0.9.4
FlashGot 0.5.9.99
IE Tab 1.0.6.4
LinkChecker 0.4.5
ListZilla 0.7
Live HTTP Headers 0.11
NoScript 1.1.3.5
PDF Download 0.5.1.2
Performancing 1.0.1
ScrapBook 0.18.3
Talkback 1.5
Tamper Data 0.93
Web Developer 1.0
xyzproxy 1.12

翻译自ISC WMF FAQ英文版。

为什么这个问题很重要？

微软提前发布针对WMF漏洞的补丁程序，命名为MS06-001。用户可以通过Windows更新程序安装该补丁，也可以到该地址下载安装。

微软曾经预告是在习惯性的星期二（1月10日）发布该补丁的。这次提前发布，微软的公开说明是：“首先是我们相信这个更新的质量，团队工作地非常努力，我们关注的所有情况都已经测试通过。第二是因为虽然还没有紧迫的威胁，一些用户已经通过防病毒软件，入侵检测系统和入侵预防系统发现了入侵企图”。从实际角度来看，ISC 的安全级别一直设定为黄色告警，以及非官方补丁的流行对微软的声誉产生了极大的影响。