Cloud & Telecom Security

以下内容来自于<Stefan Frei>的演讲材料Dynamics of Insecurity – 关于不安全的动力学。原文可以在下面的链接下载到：http://www.techzoom.net/risk

Risk exposure
􀂃 Black Risk (exogenous)
􀂃 Time from discovery to disclosure
􀂃 Only a closed group is aware of the vulnerability. This group could be anyone from hackers, organized crime or responsible security researchers/vendors
在黑色风险区，只有发现者周围的很小的圈子了解这个漏洞和可能的利用方法，它的破坏力很难估测，这段时间，作为一般性的组织和企业来说，很难了解，就更不用说管理了。
􀂃 Gray Risk (exogenous)
􀂃 Time from disclosure to patch
􀂃 User waits for the vendor to issue a patch. Public is aware of this risk but has not yet received remediation from vendor
Read more…

NetworkAsia上有一篇Gregg Keizer的文章讲这次MS08-067与两年前，也就是2006年8月份的RPC漏洞MS06-040不是同一个原因。这句话援引的是微软公司的一个专家Michael Howard所述。这句话的下文是：所以大家并不应该对微软公司没有一起发现这个新的漏洞MS08-067感到惊讶。Howard最后还表示了他对于微软软件安全生命周期SDL(Security Development Lifecycle)的满意。坦白说，我对这位老兄的话还是也没有什么特别意见，软件吗，流程吗，测试吗，不可能完美，出个漏洞也不是什么新鲜事。

可是，这次MS08-067捅出的的篓子可不是一般漏洞可比。有一句话很准确地描述了其影响： 基本上指哪打哪！更为不幸的是，现在我们的桌面已经被Windows独占了，非关键应用也基本上跑在Windows服务器上，稍大型的企业都会有数百上千台Windows服务器。此类漏洞一出，基本上企业的IT基础设施都是“不设防”城市了。 Read more…

针对这次紧急的MS08-067, 我们在周五一早，就开始向管理层汇报，并动员了所有的安全团队和服务器、应用运行团队的服务器管理员：
1 在周末对Windows服务器打MS08-067补丁
2 另外，紧急更新了全球所有的病毒服务器代码，保证可以查杀相关蠕虫
3 加入了新的LANDesk对客户端的补丁auto-fix分发
4 重新检测全球所有的防火墙系统，内网隔离系统，确保封锁135/139/445端口
5 启动紧急响应流程，要求SOC保证监视和通知，相关人员保持24小时可联系。
至今，非常感谢各个团队的理解和辛苦工作，艰苦努力，进展良好。接下来的一周非常关键，我们还需努力。也祝各位同行同仁都能顺利过关。

2008年10月24日, 微软发补丁修危急漏洞 影响所有Windows版本。微软在MS08-067号安全公告（“KB958644”）中警告称，这一缺陷存在于Server服务中，黑客可以利用一个经过特别设计的远程过程调用请求执行任意代码。

建议大家迅速行动，在Windows服务器、各个版本桌面机的补丁系统、反病毒、防火墙和IPS系统等做好紧急处理。 Read more…

美国国家标准局（ANSI）和互联网安全联盟（ISA）日前联合发布了一片白皮书 – 网络风险产生的财务影响 -每个CFO都应该问的50个问题。白皮书强调了网络空间的安全对于美国国家和社会经济组织的重大意义。文中认为如何评估认识安全空间的安全风险在组织的财务上面的影响是一个又挑战性的工作。这本白皮书用以帮助CFO来了解和沟通网络空间安全的财务影响。

下面是白皮书中的50个问题，分别针对首席律师(Chief Legal Counsel), 合规性官员(compliance officer), 业务运营和技术团队，外部沟通和危机管理团队，以及公司保险的风险经理。如果对全文感兴趣，请留邮件。 Read more…

Maltego 不是一个黑客工具 – 而是用来对来自互联网的信息进行收集、组织、可视化的工具。 它可以收集某个人的在线数据信息 – 包括电子邮件地址、博客、Facebook中的朋友，个人爱好、地理位置、工作描述，然后可以一种更为有用、全面的形式展现出来。Peterva公司的创始人Temmingh说：“我们在开发这个工具时，我就相信所有这些信息都可能会以这样那样的方式互相关联着。这个工具就是用来证明这个信念。”

下载试用地址：http://www.paterva.com/malv2/MaltegoInstaller-v2-210-CE.exe
Read more…

The problem is that security’s effectiveness can be extremely hard to measure. Most of the time, we hear about security only when it fails.

- Bruce Schneier, <<Beyond fear thinking sensibly about security>>

There is no security on this earth, only opportunity

- Douglas MacArthur (1880-1964)

Security is, I would say, our top priority because for all the exciting things you will be able to do with computers – organizing your lives, staying in touch with people, being creative. If we don’t solve these security problems, then people will hold back. Businesses will be afraid to put their critical information on it because it will be exposed.
- Bill Gates

读到下面这则Gartner发布的分析报告，一丝凉意从心里悄悄地弥漫到周围。金融风暴之IT冬天要来了吗？中国的IT会怎么样？IT安全有会怎样？从新闻上来，华为在国内超低价拿下中国电信C网大合同，又刚刚在北美加拿大斩获无线大单，而中兴也在海外收颇丰。联想作为中国公司全球化的先锋，最近负面消息不断 – 股价下跌，分析公司下调预期，裁员，不一而足。从数字上看似乎已经在开始体会金融风暴的冷风，但是CFO也讲了，这也正是业务拓展的机会啊，该出手时还是要出手。

扯远了，回来说Gartner和IT。 Read more…

2008年10月16日，Gartner如期推出了今年对于2009年前十位最重要的战略性技术的瞻望和预测。以下是我的不算翻译的一个翻译，希望方便大家的阅读分享。

1 虚拟化 Virtualization。 虚拟化这个词已经流行了较长一段时间了，还有更早些的按需(On-demand)计算。大概五年前，我刚刚加入CA后一个月，还特地赶到CA在美国的总部，参加了一次管理按需计算的Workshop和培训。时光荏苒，白驹过隙，当下服务器厂商已经将虚拟化功能技术特色作为重要的售前方案元素来推荐和比较。
2 云计算 Cloud Computing。按照Gartner的描述，云计算具有以下几个关键特征：a 将容量能力按照服务交付；b 服务的交付高度可扩展并充满弹性；c 使用互联网技术和技巧来开发和交付服务；d 用以对外部客户交付服务的设计。可以认为，设计之初就具备的高度弹性和扩展性是“云计算”能够带来的最大收益。 Read more…

In a recent survey by RSA, a fact was discovered that insiders dodge security for productivity. I agree that it’s very common at a company that workers and employees share a computer or share some accounts. It might be a not-bad compromise for a non-critical and non-sensitive IT environment in order to cost saving. Anyway, in most cases, it violate best practice and should be corrected.

SecurityFocus报道了一种新型的基于web的攻击方式 – clickjacking。简单说是一种通过web显示与用户实际看到的内容不一致的浏览器缺陷，来引导用户点击或者输入攻击者想要的动作或内容。像按钮、图像、表单、链接等都可能被用来实施这种攻击。通过巧妙地设计，攻击者可以通过点击劫持，可以操控被害者的摄像头和麦克风。并且根据报道，当前的集中主流的浏览器，像IE, Chrome, Safari, Opera等都不能幸免。而当前Firefox3.0上的一个插件 – NoScript可以帮助保护避免这种攻击。

发明者Hansen and Grossman给这种攻击方式取了这个名字Clickjacking – 点击劫持，也很形象，一种欺骗性的hijacking。它比简单的基于域名欺骗的网络钓鱼更有隐蔽性和欺骗性。

Google到毒霸博客上有一篇很好的报道。下面是一些摘录：

简单的说Clickjacking是一种攻击，是一种新型的WEB方式攻击。上面所涉及到的“Flash Player漏洞”，其实只是Clickjacking安全漏洞一种表现形式。

Clickjacking翻译可以将他拆成click-jacking来理解，click是点击的意思（鼠标点击），jacking应该是劫持的意思（hijacking的缩写？不得而知）。联起来翻译就是“点击劫持”。这里也涉及到了Clickjacking的说法，他们把“Clickjacking”叫做“UI redress vulnerabilities（界面伪装漏洞 ）”，这个解释也许更能描述清楚这个漏洞的情况。

在一个已经公布clickjacking的Demo演示程序中我们不难发现clickjacking的内涵。

在 你可控制的页面A内有一个iframe，iframe的src链接到另一个域的页面B。设置这个iframe的CSS样式的透明度为0，并设置其 CSS样式的z-index比页面A的其他元素的z-index大。这个iframe的width与height值都设置为足以保证用户可以点击到其中内 容（页面B的内容）的大小。然后在页面A上放置一些按钮、链接等可以欺骗用户点击的元素，这些元素在iframe之下（z-index值决定），并恰好与 iframe的页面B内的关键元素在同一个位置。于是当用户被欺骗去点击页面A内的这些元素时，实际上点击了页面B内的关键元素。至于页面B内的关键元素 是什么，大家想想便知，比如：删除按钮、添加按钮、单选框、请求链接等等。再加上一些社工技巧，这类攻击方式可以进行得非常巧妙。这种攻击基于DHTML 技术，用到了iframe，而且这样的攻击方式不一定需要JS。

其实这样的欺骗很早就有了，同样这里罗列出了三种(onMouseUpJacking，FormJacking，SubmitJacking)点击劫持的方法。

如果黑客精心设计clickjacking攻击页面，网页访客进行常规的鼠标点击行为或者无意间的鼠标点击行为，都会有可能点击会激发背后的隐形身影，而这隐形身影包括下载木马或者其他等行为（打开摄像头等）。

There is a good job opportunity in our organization. If you are interested or have friends to recommend, please don’t hasitate to contact me by sending the CV/resume to my email address (richard.zhaol at gmail dot com)

Job Discription:

This is a senior technical position of Global Infrastructure Department, under CIO organizations. This is an individual contributor, direct report to Director of Architect and Security Operations.

1. Lead the global roadmap and technology innovations related to server, storage, virtualization.
2. Lead the design the overall architecture and standards for global server and storage
3. Communicate with global business users and collect, analyze their requirements
4. Design the solution to meet the business requirements, with support from SME (subject matter expert) from operation towers
5. Lead the design and define of technical manuals and templates used for operational enhancements and changes.

Requirements:

1. Bachelor  degree majored in Computer Sciences or Electrical Engineering with very good academic performances (Master/PhD a plus)
2. Minimum 10 Years working experience as IT Operation/Consulting engineer/architect, minimum 5 years IT system design experience, minimum 3 years large scale server and storage system design experience
3. Strong technical background in related fields, ie. networking, telecom and security technologies (Experience at ITIL is a plus)
4. Good communication skill. Good written/spoken English, be able to give technical talks/presentation both in English.

俄国公司ElcomSoft Co. Ltd研究成功使用nVidia视频卡GPU破解WPA/WPA2提速100倍。这个报道引起了很多安全人士的兴趣。

之前，由于WEP的安全问题，很多公司和安全标准都对WiFi网络进行了升级，建议使用WPA/WPA2，包括PCI-DSS。虽然，使用更多的计算资源和定制的优化算法对加密算法破解并不是新闻，可是针对WPA/WPA2的攻击、以及利用较为廉价的图像处理芯片来达成这一目的，相当于使的破解成本答复下降。

这些破解技术的发展使用单纯使用WPA/WPA2也不再是安全的，而是根据安全需要使用更为复杂的密码，或者使用更高级的认证方法.

The new version 2.0 of ZdStatistics is released at Oct.14. I upgraded this plugin this morning and found a lot of fantastic new features!

This is a major release. The below is from its official blog:

All charts are now using Google Vizualisation instead of OpenFlashChart. Why did I decide to do that kind of change ? Mainly because of compatibility issues and the “ajaxy” part of the chart that led to “undefined” data. – see these screenshots

Better spam detection, using spamhaus.org (or any other provider as it’s an option). This will prevent the system to record known spammers as visitors.

Blacklist of IPs is now much more human readable. btw, if you want to be sure it works, empty all textarea fields, then reactivate the plugin, it will reset to default values.

Outgoing links ! Yes you’re not misunderstanding, it now records all outgoing links. Track where your readers are going while reading your blog.

Geolocalization will now display Google maps with visible points for location visiting your blog.

CSV Export of any page

Further, at the Key words tab, Chinese words are displayed normally, not %E4%F5, blah blah. It’s a great improvement for Chinese wordpress bloggers.

在我们国庆节期间，2008年10月1日，PCI安全标准委员会PCI-SSC在其官方网站发布了最新数据安全标准PCI-DSS版本v1.2.  PCI-DSS的官方网页目前可以下载到最新的1.2版本的PDF和DOC文件。目前官方网站只有英文版可以下载，联系组织者Shawn说，简体中文版在翻译中，应该很快可以发布，和大家见面。

另外同时发布还有1.2版本相对于1.1版本的更改。按照官方网站的消息，v1.1版本还将继续有效至今年年底，也就是2008年12月31日。

总体来说，新版本变化不是很大。下面是12个要求的主要变化总结，希望对大家有所帮助。

要求1：Install and maintain a firewall configuration to protect cardholder data
主要变化是对于防火墙和路由器的内审周期从每个季度调整为至少每六个月，以方便企业组织定制。

要求2：Do not use vendor-supplied defaults for system passwords and other security parameters
主要变化是删除了关于“禁止SSID广播”的描述。将其留给企业组织自己决定。事实上不少企业组织使用广播SSID来提供Guest VLAN等服务。
Read more…