Security 类别下的文章

刚才查看用户搜索本站的日志,发现有用户查询 "prfldsvc" 关键词。非常巧的是,前两天我也顺手查了一下这个进程的信息。一句话就可以说明白:

prfldsvc(prfldsvc.exe)是 Microsoft Private Folder 的服务进程

更多阅读:Microsoft Private Folder 的"拒绝访问"

另外,站内搜索已经启用了 Google API:

Google API 与 MovableType 的搜索集成.png

搜索不到的时候会给你 Google 内的结果。

两位 DBA 的站点被黑

今天收到消息, eygle.com 被黑了。anysql.net 的内容也放在 eygle 的服务器上,一起遭殃。入侵者删除了所有数据。eygle 与 anysql 都是国内 Oracle DBA 圈子知名人士,想不到。

说起这个事情, eygle 很是黯然:

被黑客攻击了,数据全被删除,eygle.com 宣布无限期关闭。

刚才去看,已经恢复了部分内容。不过据说是没有最近的备份,只能恢复到三月份的状态。损失可谓惨重。

不知道是不是"专注观察天上的星星,而没有注意脚下的坑",个人站点的备份也是需要时刻注意做的啊。

eygle 的站点我记得很久以前就曾经有过安全问题,留言版可以进行脚本攻击。后来改进了许多。不知道这次是不是被跨站脚本攻击(XSS),被取得 MySQL 登陆用户,进而提升到 root 。重新开放后,他的留言板还在使用,要当心。

Updated: 2006/08/04 据说又被攻击了, 这次是 DDos.

出品 Nmap 的著名安全站点 Insecure.Org 发布了 Top 100 Network Security Tools 2006 版。相比 2003 版来说,新增加了 5 种图标指示, 看起来更加一目了然。

前四名的位置都没有变化。分别是 Nessus(现在不开源了,但依旧免费)、 Wireshark(Ethereal 更换门庭)、SnortNetCat。值得一提的是漏洞利用和测试平台 Metasploit Framework,第五,窜升的非常快。

万能的 Google 上榜。排名 34。看来 Google 的漏洞搜索能力赢得很多人喜爱。

排名 37 的 Tripwire 下降了 22 位。个人认为 Tripwire 商业版与普通用户很难拉近距离,而开源替代工具(AIDE,integrit 等)又没有什么优秀的。所以完整性检验工具排名大大下降。

匿名浏览工具 Tor 榜上有名,排名 59 。因为网络审查逐渐严格,这一类工具市场很大。还有一个 跨平台的 Tor实现:Vidalia

安全相关的操作系统类值得注意的是 Knoppix 上榜,60。排在了 OpenBSD 的前面 :) 不过排名更好的是 BackTrack 。这个工具有时间要研究一下。

Nagios 第一次上榜。第 67 位。这个工具目前在国内应用也比较广泛,下一次应该还可以靠前一些。

有些莫名其妙的是 VMware 也在榜上,89。 如果把这个东西当作安全测试工具,似乎也说得过去。

第 100 名是 MBSA (Microsoft Baseline Security Analyzer), 终于有了一件微软土生土长的产品,不容易啊。(最近微软收购了 Sysinternals,排在 24 位)

整个兵器谱看下来,最多的一类是 Packet Sniffers ,共有 11 款工具。 Web Vulnerability Scanners 与 Password Crackers 次之,各有 10款。此外这两年随着无线网络的普及,关于无线网络安全de工具也有增多。

这个结果是 3243 Nmap 用户投票选出来的,权威性应该不容置疑。如果有疑问,那就是: Nmap 应该排在什么位置?

注:此文请勿转载!

文件系统完整性检查是安全中的重要一环。类 Unix 操作系统环境下文件系统完整性检查工具最负盛名的要数 Tripwire 了。 虽然 Tripwire 虽然很早就商业化了,但并不是独一份, AIDE 是一个不那么好用的可选的替代品,而 integrit 则是另外一个 Tripwire 的替代工具。尝试用了一下,觉得如下几个特点不错:

  • 安装、配置、使用都简单便捷
  • 占用资源较少,
  • 使用最新的加密算法

从 integrit 站点下载文件后,解压.

# ./configure && make && make install 

首先需要创建一个配置文件:

# cat /opt/oracle/software/integrit.conf
current=/opt/oracle/software/integrit.cdb
known=/opt/oracle/software/integritKnown.cdb
root=/opt/oracle/oradata

第一行设定当前的加密资料库. 第二行指的已知的加密资料库(使用的是 cdb)。第三行代表需要检查的系统目录。最基本配置的只需要这三行就可以了。

如何删除 IE-Bar 变种

很多人都曾经一不小心中过 IE-Bar 的暗算,也有不少朋友删除 IE-Bar 的心得。最近这东西据说有新的变种出来。

网上找到一个还算管用的手工删除方法:

步骤一 启动计算机按 F8 键进入安全模式, 然后删除掉这三个文件:

C:\%Windows\%system32\VIPTray.exe
C:\%Windows\%system32\WinDefendor.dll
C:\%Windows\%system32\friendly.exe

步骤二 修复注册表键值(修改之前请务必备份注册表)

1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

修改键值 System 为 空(即将键值 System 指向的数值数据删除)

2)删除注册表中与 WinDefendor.dll 相关的键值。

步骤三 重新启动计算机

如果嫌麻烦,不妨试试看超级兔子。这个工具对付流氓软件还是很热心的。另外 Windows Defender 原来也不错,只是不知道是否能与时俱进、是否适合中国国情。

最后说一句,上网浏览其实是个挺危险地事情,需要时刻保持警惕。一些不明网站、乱糟糟的小网站弹出来的窗口尽量别点击。"上网诚可贵,安全价更高"

--Updated: 有人反映使用超级兔子后 IE 无效。请慎用。

Copy+Paste我的文章请注明作者、出处!

SSL 2.0 真的不是很安全

前几天用 Nessus 扫描自己用的笔记本, 报告有安全漏洞:

The remote service accepts connections encrypted using SSL 2.0, which reportedly suffers from several cryptographic flaws and has been deprecated for several years. An attacker may be able to exploit these issues to conduct man-in-the-middle attacks or decrypt communications between the affected service and clients

阅读了一下推荐的文档 Analysis of the SSL 3.0 protocol, SSL 2.0 果然存在不少问题.

其中一个问题是 SSL 2.0 容易受到密码组回滚攻击(CipherSuite Rollback attack). 关于 ciphersuite rollback attack:

An attack against how Secure Socket Layer version 2 (SSL v2) negotiates the cipher suite. The aim is to convince Alice and Bob to use much weaker encryption than they are capable of using.

该攻击方法通过恶意编辑在 hello 报文中发送的所支持密码组的明文列表而使得使用者被动选择弱化的出口加密算法.这几乎是 SSL 2.0 的致命缺陷.

另外一个问题是由于美国安全产品出口法的限制: 只能使用不超过 40 位的 MAC( 报文验证码, message authentication codes). SSl 2.0 使用 MAC 后添加字节的块加密模式,但是添加的长度字段是未经验证的,这给了主动攻击者会删除最后的内容的可能.

对于 SSL V2 也可能存在中间人攻击(man-in-the-middle attack). 虽然 Diffie-Hellman 是目前最为完美的公钥算法.但是在 SSL V2 的缺陷使得供给者能够巧妙伪造一个数字证书, 让客户以为他是和真正的服务器通讯. 在 SSL V3 中则对该缺陷进行了改进.

推荐文档:SSL技术详细说明

一直对 SSL 的安全性比较模糊. 唉

 

Nessus 3 的变化 中我提到 Nessus 3 服务器端将会很快支持 Windows . 这不, 新推出的 Nessus 3.0.3 就提供了 Windows 平台的 测试版本. 这个版本也提供了对 Solaris 平台的支持.

目前在 Windows 平台上支持 Windows 2000、 XP and 2003 (32 bits), Solaris 平台则支持 Solaris 9/10 (sparc).

Windows 平台上的 Nessus 安装、使用都极为简单。界面也较为清新 [见图] .

安装后尝试对我的笔记本进行扫描,三分钟左右的时间扫描完毕并报告给我一个安全漏洞. 经过核对分析,的确可以算做漏洞。

这个结果我很满意. 越来越商业的 Nessus 反而让人越来越满意.

Oracle 安全编码标准

Oracle 公司的公司的首席安全官 Mary Ann Davidson 最近在抱怨开发人员没有安全意识: 不安全软件的问题就在于软件开发者在大学的时候没受到相关的培训(The problem of insecure software starts with how software developers are taught at universities), 当然, 说这话的目的并不是说 Oracle 的安全做得有多么好, 而是 Oracle 正在逐步改进软件存在的大量安全问题(自从 Oracle 任命了这个首席安全官之后,在业界更多的用户反而真的意识到 Oracle 的安全其实做得不怎么样) , 并透漏 Oracle 专门创建了一份长达 200 页的安全编码规范. 这份文档从对一个缓冲区溢出漏洞的解释而扩展开来, 是 Oracle 的 Chief Hacking Officer (首席黑客? 听起来很酷) 的工作成果. Ann 同时强调了这份标准的重要性 "reflect both "oral tradition" and actual history of coding at Oracle" . 而在此之外, Oracle 也引入了第 Fortify 公司的三方工具进行代码审查.

虽然 Oracle 在对第三方安全研究人员的傲慢与故作姿态引起安全社区很大不满, 但 Oracle 在安全方面的决心还是不容置疑的. 最近也获悉 Oracle Database Vault 这个产品将会与 Tripwire 进行合作. Oracle Database Vault 用于提高用户访问的控制能力. 这个东西加上 Label Security、10g 的TDE、VPD、Oracle Secure Backup, 已经是一套比较完整的安全框架了.

作出这么多动作的 Oracle 会把安全真的做到位么 ?

1 2 3 4

关于归档

本页包含 Security 类别下的所有文章.

上一类别为 Review.

SiteLog 为下一类别.

回到 首页 查看最近发表的文章或者查看所有 归档文章.