Cloud & Telecom Security

Last week, Symantec(NASDAQ:SYMC) acquired the security businesses of VeriSign (excluding iDefense). There have been tons of news reports and comments by market observers and analysts.  In general, given that both negative and positive comments are valid, the below chart gave a different perspective to evaluate the acquisition strategy of Symantec.

It’s a 5 year stock price chart of Symantec, with comparison against that of CA(NASDAQ:CA), McAfee(NYSE:MFE), and Nasdaq.

The overall changes in 5 years are:

• Symantec down by: -35.14%
• CA down by: -30.60%
• McAfee up by: +21.87%
• while Nasdaq up by: +9.67% Read more…

Symantec unveils top internet security trends in 2008 and outlook for 2009. According to the trends of 2008 and predictions for 2009, trends that Symantec has seen in 2008 include:

• New Malware Variants or Families of Threats,
• Fake and Misleading Applications, Web-based Attacks.

Besides the three key trends above, Symantec also observes the following security trends: Read more…

It’s reported that Rising damaged users‘ Outlook Express.

Rising is the largest anti-virus vendor based at China. It just began its globalization journey by tapping Japan market.

The incident was firstly report at Nov.7. The Rising anti-virus software – Kaka was found to kill the Outlook Express folders as virus files.

Rising has apologized to their users for this wrong operation and promised to correct this and help users to recover their files.

It’s another outstanding wrong operation of anti-virus vendors after Symantec at May.18, 2007.

NetworkAsia上有一篇Gregg Keizer的文章讲这次MS08-067与两年前，也就是2006年8月份的RPC漏洞MS06-040不是同一个原因。这句话援引的是微软公司的一个专家Michael Howard所述。这句话的下文是：所以大家并不应该对微软公司没有一起发现这个新的漏洞MS08-067感到惊讶。Howard最后还表示了他对于微软软件安全生命周期SDL(Security Development Lifecycle)的满意。坦白说，我对这位老兄的话还是也没有什么特别意见，软件吗，流程吗，测试吗，不可能完美，出个漏洞也不是什么新鲜事。

可是，这次MS08-067捅出的的篓子可不是一般漏洞可比。有一句话很准确地描述了其影响： 基本上指哪打哪！更为不幸的是，现在我们的桌面已经被Windows独占了，非关键应用也基本上跑在Windows服务器上，稍大型的企业都会有数百上千台Windows服务器。此类漏洞一出，基本上企业的IT基础设施都是“不设防”城市了。 Read more…

原来一直在传说，Symantec的SAV和Windows XP的SP3有冲突。但是我自己和一些同事都升级了SP3，却没有发现什么问题。Symantec官方原来也一直没有正式承认。但是下面这则新闻公布了Symantec和Windows冲突的地方，并且Symantec还发布了一个小工具SymRegFix来解决这个冲突。

冲突来自于Symantec用于保护软件自身不受恶意软件蠕虫等修改的模块SymProtect，它与微软的Fixccs.exe软件在修改注册表时会发生冲突。下面是新闻原文… Read more…

5/18早晨给我们留下了深刻的记忆，由于Symantec公司病毒代码库2007.5.17 rev 18的错误，sav将简体中文版Windows XP的两个关键的系统文件c:\windows\system32目录下的netapi32.dll和lsasrv.dll误报为 backdoor.haxdoor病毒, 并提示用户推荐删除该文件。用户当然服从命令听指挥，系统也就在重起时隔离这两个文件,导致无法正常重起,出现蓝屏。

这次看似简单的误杀，给安全经理们出了一道难题，甚至说将安全经理们放到了一个窘迫的境地。通常，我们都会努力引导用户提高安全防范意识，保证安装反病毒软件并及时升级代码库，遵从安全指令。可是，这次事故让最遵从安全策略、最具有安全意识的企业员工们无所适从。让执行效率越高的企业桌面信息系统承受越高的损失。

作为对国内用户的安抚，Symantec据说要在国内建设SRC，以提高对国内病毒样本的响应速度和查杀比例。另据说Symantec因为此次事故，还特意修改了内部流程，将原来全自动的病毒代码发布流程又改回到以前带有人工确认的环节。

零日攻击促使我们不断地加快补丁发布和安装速度，促使我们实现实时的病毒代码库升级，“作为欧洲领先企业安全软件提供商，提供世界最强杀毒引擎，拥有三十万级的病毒特征库，每隔一个小时自动更新病毒库。”这是市场上较为常见的宣传材料了，巨大的病毒库和快速自动更新显然是其中两个最招人惹眼的广告用语。

这样的快速和自动化带来了安全吗？还是带来了更多的风险？我们宁愿相信这次是Symantec的一次偶然事故。因为我们现在别无选择，只能将自己的企业网络的安全寄托在这几个厂家的可信度上，寄托在他们内部的流程成熟度上，期望他们内部的管控持久而有效，不会出现报复员工恶意植入后门逻辑炸弹… 作为一个企业，这样做事出无奈，然则可以接受。但是，从国家安全的层面，物种的多样性看来是安全进化的必要环境了。

This morning, Symantec’s worldwide customers found their computers failed to reboot, in the mean time the helpdesk was plunged into a hot pot. The rough root course is that Norton released wrong virus code definition by identifing a few system files(.exe and .dll) as virus and removing them. This will cause system reboot failure.

It’s a very severe incident from a global security perspective. One wrong operation might cause corruption of tens of millions of computer worldwide. In addition, security managers are put into a very embarrassed situation: whether or not you push users to install anti-virus software and keep virus code updated. It seems that both side will hurt you and the authority of security policy.

Till now, only Simplified Chinese version Windows XP SP2 system is reported to be impacted. Two system files under C:windowssystem32: netapi32.dll, and lsasrv.exe are identified wrongly as virus.

Users are prompted that these two files are infected by virus and need to be quarantined. If users follow the prompt, after reboot, the system corrupts…

At this moment, Symantec doesn’t release any news, notification, anslysis, solution, workaround on it officially.

[Tags]Security,Symantec,Anti-Virus[/Tags]

A few days ago, security giant Symantec acquired Altiris, a system management software vendor, striving adead to a one-stop system-security-storage management vendor, just as the “big four” – IBM, HP, CA and BMC do. In the meantime, EMC has acquired RSA for a similar approach. For more detailed report, please refer to the below report. Read more…

An interesting new at Forbes.com said that McAfee Still Leads Symantec In Worldwide ISP Security. That’s by far different at China, where, IMHO, Trendmicro and Symantec lead the anti-virus market at ISP security, while Symantec is competing against CA at other ISP security products.

Piper Jaffray senior research analyst Gene Munster said McAfee maintains the lead over Symantec in internet service provider security
relationships.

In the U.S., McAfee’s ISP relationships cover about 33.7 million subscribers, while Symantec’s cover about 8.5 million subscribers, according to the analyst. In Europe, McAfee’s relationships cover approximately 0.6 million subscribers, while Symantec (nasdaq: SYMC
- news  - people ) covers about 15 million subscribers.

“The trend of more ISPs offering free anti-virus, anti-spyware, and pop-up blocker software to customers has seemingly stabilized,” the analyst said in a report Tuesday.

All 16 ISPs that the analyst checked offer anti-virus or anti-spyware software or both. Recently, EarthLink (nasdaq: ELNK - news - people
) began offering free Symantec antivirus protection when it terminated its $3.95 fee.

Additionally, AT&T (nyse: T – news - people ) displaced Zone Labs with Webroot for anti-spyware protection and currently has no antivirus provision, according to Munster.

The research analyst maintained ratings of “outperform” on both McAfee (nyse: MFE - news - people ) and Symantec.

据媒体报导，安全巨头Symantec昨日宣布购并即时消息管理软件公司IMLogic. IM/P2P对企业边界的影响非常深远，对企业网络边界的侵蚀是潜移默化的，逐步消融的，需要企业IT经理认真对待。Gartner的2005年6月份和7月份等的“Talking Technology”中诸位专家多次谈到IM/P2P的管理，这里不仅仅是安全管理，还有身份管理，流量管理、档案管理、符合性等多方面的考虑。

IMLogic和FaceTime, Akonix, SurfControl, BlueCoat, 等是当前业界主要的即时消息IM/P2P方面的管理和安全供应商。这次收购将会成为后面类似公司市场价值的标竿，并且可以预计将会“哄抬物价”，提高这一市场的进入门槛。
相信这次收购对CA/IBM/HP也会产生相当的触动。IM/P2P的管理，包括识别、控制、计费、质量等可能成为下一代信息系统管理四大家Big Four（IBM/HP/CA/BMC）的基础性构件。虽然当前这块市场不是很大，按照IDC的估计IM管理软件市场将会从2005年的3.15亿美元增加到2009年的7.36亿美元。但是具有战略意义，关乎各家的“比较优势”。

另外这次收购对于MaAfee/CA/TrendMicro等反病毒、反垃圾邮件等厂商也会有相当影响。前些时候已经出现了利用IM/P2P应用传播的蠕虫。预计后续收购行动将会很快出现。

Read more…

摘要：这篇文章写于2000年，就在那年我离开了工作了三年的中国电信数据局。当时提出安全自动化、与“整体安全”的概念，目的是探讨互联网日益险恶的攻击入侵，尤其是拒绝服务攻击。

1 前言

网络安全技术是当前最为活跃的研究领域之一，充满智慧和挑战，成千上万的INTERNET专家、学生都沉浸其中。当前的INTERNET已经从原来的学院研究、“美国人的高级玩具”彻底地转变为全球性的、有着亿万普通用户（包括家庭主妇、幼童、三教九流各种从业人员）的无所不包的“网上社会”。

今年年初分布式拒绝服务攻击（DDOS）肆虐，给网络界、甚至全球经济带来一场大地震。这场地震给业界的一个重要启示就是：绝对不可以将网络安全限制为某些关键网络、关键主机的特殊照顾，彻底消除DDOS攻击的根本还在于每个连入因特网的计算机的安全水平都大幅度提高，以防止其被攻击者利用来攻击第三方受害网络或主机。因特网需要“整体安全”。

网络安全可以划分为许多技术领域：系统主机安全、防火墙、风险评估、入侵探测、反病毒、加密等。它们往往都要求很高的专业技术以及资金、人力投入。网络安全和反病毒技术中的关键：攻击特征码、病毒特征库都需要及时的更新，才能有效。这些都妨碍了“整体安全”水平的提高。

为降低网络安全的成本、解决越来越快的安全技术更新带来的实施过程中的难题，当前的网络安全技术将表现出越来越多的自动化趋势，逐步减少对因特网用户的安全方面的专业要求和在产品更新方面花费的代价。本文下面尝试着从系统自动加固（hardening）技术和在线技术两个方面来阐述因特网安全技术发展的这种趋势。

2 系统自动加固技术

一个称职的系统管理员一定应该同时是一位安全专家。安装一个操作系统，在将它连入网络之前，要安装最新的补丁，还要对它进行安全加固，包括不需要服务的关闭、不必需帐号的删除、内核的网络参数设置、访问控制设置（tcpwrapper等）、X系统安全、系统日志的安全设置、文件签名（完整性检测 tripwire等）等等，这中间可能会碰到不少错误和失败，排除错误的过程是体现管理员水平的时候。

这样的过程对于全世界的系统管理员来说，日复一日，年复一年，不知道每天在世界各地会重复多少遍，高级的系统管理员也是在这样的一遍一遍的实践中成长起来的。但是，应该看到，这其中有许许多多重复的步骤。一方面，这些重复劳动浪费了许多优秀系统管理员的宝贵时间；另一方面，这些烦琐、复杂的配置过程也使一些系统管理员望而却步，阻碍了安全水平的普遍提高。

为此，许多网络安全专家开始开发自动加固软件，将上面提到的系统加固过程自动化，以此来解放管理员的劳动，推广系统安全技术。当前较为成熟的软件主要包括下面几种，它们是工作于SOLARIS之上的TITAN、YASSP，以及工作于LINUX之上的BASTILLE项目。注意，这里提到的系统加固并不是指一些操作系统的安全版本（例如Trusted Solaris）,或者将C级操作系统加固以提升安全等级的商业软件（例如CA公司的SeOS），昂贵的价格以及美国政府的出口限制注定这些软件不可能对因特网的整体安全水平产生帮助。下面分别简要介绍一下这几种自动加固软件。

* YASSP：http://yassp.parc.xerox.com，当前的版本是5.0beta#5，支持Solaris2.6、2.7平台，对Solaris8的支持正在开发中。其主要工作包括：关闭服务、改变所有者、访问权限等属性、打开日志、调节网络堆栈参数、改变系统参数等。在“主题”或“内容”中添入“subscribe”向下面地址发送电子邮件可以申请加入其邮件列表，以获得其最新的开发动态： secure-sol-request@parc.xerox.com.
* BASTILLE：工作于LINUX平台之上。可以从 http://sourceforge.net/download.php/bastille-linux/Bastille-1.0.4.tar.gz。并且，在安全焦点网页 http://focus.silversand.net/可以找到其简单的中文说明。
* TITAN：其主页位于http://www.fish.com/security/titan.html。当前的最新版本号为3.7。

3 在线技术

由于当前各种安全漏洞层出不穷，而反病毒软件、入侵探测、风险评估软件的根本是对病毒特征码、入侵攻击特征、漏洞的表现特征库等。所以，传统的更新手段，例如到专卖店更新软盘、邮寄更新库、甚至INTERNET下载更新的方式都已经不能很好的为客户服务。因为，从管理的角度讲，没有办法能够确保企业网用户都有足够的警觉来自觉地、及时地去相应的网址去下载。这种需求环境促使安全厂家纷纷推出了更为易于使用、更加快捷的在线更新方式，简单列举一下：

* X-Press（业界领先的入侵探测和风险评估厂商ISS）
* LiveUpdate（安全反病毒厂家Symentec）
* BackWeb（加密和反病毒厂家F-Secure安防讯基）
* 等

另外，越来越多的网站开始推出在线杀毒、在线安全扫描等服务。例如ATT为用户提供免费的垃圾邮件和病毒防火墙服务、国内天网安全公司推出在线安全评估服务、263首都在线推出在线邮件杀毒服务等等。

4 结束语

有关自动和在线的安全技术不能一一列出，应该看到，这些技术代表了INTERNET软件的一种发展趋势，一种能够改变因特网“整体安全”水平的趋势。未来的安全软件将走向在线销售、更新、甚至租赁，尤其是桌面级安全产品，因为面对的大部分用户属于对网络安全技术知之甚少的网络服务使用者，这样，只有简单易用的软硬件和服务才有可能真正地提高因特网的“整体安全”水平。

当然，这种在线技术向计算机安全提出了新的挑战，也同时引入了新的安全风险。例如，网络在线扫描存在的合法性、以及技术的可靠性都有值得怀疑之处，而在线更新技术也在用户参与交互的程度方面难于取舍，自动加固技术在操作系统平台和生产运行环境适应性及智能性方面还有很长的路要走。

总之，网络安全技术在整个互联网的发展中已经成为越来越重要的影响因素，脆弱的网络安全水平是整个互联网走向商业化、社会化的制约瓶颈。互联网中不存在“安全孤岛”，只有聚集整个社会的智慧和力量，在法律、教育、社会意识、安全技术等领域进行大量的艰苦的努力后，才有可能看到一个安全的、值得信赖的互联网。