Security 类别下的文章

今年到了新单位之后,一部分工作职责是和安全有关(到了岁末回顾一下整体安全问题做的并不尽人意呀)。所以,不可避免的要比以前多接触一些安全工具。这个 Top 75 Security Tools 列表是一个不错的起点,我应付的环境没有那么多的平台,没有那么复杂的环境,自己又不是专业安全技术人员,所以根本用不到那么多。

Nessus --安全漏洞扫瞄
国内很多安全公司的扫瞄工具都是用的 Nessus 的漏洞样本。有的甚至干脆就是把 Nessus 改头换面一下就当成自己的专有产品出来“乎悠”客户了。Nessus 可以的给出一个网络环境内的主机安全情况,。但是有的时候细节信息不那么全面,甚至会有误导。比如针对 Oracle DB 的一些漏洞扫瞄,发现了具备该漏洞的个别条件就判断漏洞的存在,稍有些武断。话虽然这么说,Nessus 目前仍是不可替代的。最近 Nessus 3 发布了,版权形式也有了变化。相信 很快就会有一些 Nessus 的GPL 版权下的 fork 软件出现。这个软件我用在 Linux 环境下。

Nmap -- 端口扫瞄 / 其他安全工具的基础
虽然很多软件都号称自己是“瑞士军刀”,但在网络安全方面,Nmap 是当之无愧的的“瑞士军刀”。前面说的 Nessus 就是依赖于 Nmap 的。很多安全工具的扫瞄功能都是以 Nmap 的存在为前提。再做一些网络方面的 Trouble shooting 的时候,Nmap 会大派用场。Windows 下 和 Linux 下都是频繁用到。

Nessus 3 的变化

说起 Nessus ,熟悉网络安全的朋友恐怕都不会陌生.这个工具在 Top 75 Security Tools 兵器谱上排名第一.

Securityfocus.comTenable 公司的 CEO Ron Gula 进行了一次访谈.访谈主要围绕即将发布的 Nessus 3 展开.目前新版本的代码已经冻结。

Nessus 3 一个最大的变化就是见不再采用 GPL 版权发布.对此, Ron Gula 解释为:

这是客户的需要.他们需要一个免费(Free,free-of-charge)的产品,并且还可以得到商业支持.

付费用户可以立刻得到关于注册地的插件 Feed,而免费用户则可能在一周之后才可以下载 Feed. 同时,Ron Gula 也承诺,Nessus 2 将继续更新与维护. 相对 Nessus 2 来说,3 版本作了很多改进。 Nessus 3 的改进包括:

  • 1 扫描速度的提升.最高可达17倍.扫描Windows可以提高5倍[主要是 NASL(Nessus Attack Scripting Language) 引擎的解释器]
  • 打包('Packaged')发布.用户可以不必为编译而费神
  • 其他一些小改进以及启动时间的速度提升.

Oracle Password HASH 算法评估

今天收到邮件通知.Oracle 针对最近的一篇安全论文 An Assessment of the Oracle Password Hashing Algorithm 作出了响应. 这篇给 Oracle 带来麻烦的论文的作者是 SANS 的Joshua Wright 与 伦敦 Royal Holloway College 的 Carlos Cid.SANS在安全领域有很大的影响力. Oracle也不得不头疼. 论文中提到的安全问题主要有以下三个:

  • 弱的密码"盐"(salt) 如果一个用户名字为 Crack, 密码为 password,另一个用户为 Crac , 密码为 kpassword, 通过检查数据字典可以发现,密码居然是一样的! 因为Oracle是在 Hash 之前对用户名字加上密码的整个字符串进行处理的 (我们例子中的用户名字和密码拼在一起是一样的字符串).这给密码带来了不稳定性.
  • 密码不区分大小写 这一点算不上什么发现.Oracle 的密码向来是不区分大小写的.不过这次和Oracle的其他问题一起提出来,是有一点分量的.应用了 Oracle 10g 的 Enterprise User Security 密码是区分大小写的.
  • 弱 Hash 算法 .这部分的信息可以参考此前我介绍过的 Oracle 密码加密方式.因为算法的脆弱性,使得遭受离线字典破解密码的可能性大大增加.

Oracle 的众多漏洞有被更大范围恶意利用的倾向。10 月 31 日,有一个匿名者在 Full-disclosure(FD) 邮件列表里投递了一篇名为 Trick or treat Larry(很明显是对 Larry Ellison 的一个小玩笑) 的邮件。完全用 PL/SQL 写的蠕虫就这样出现了。专门研究 Oracle 技术安全的专家 Alex 对这个蠕虫结构进行了分析.这个完全用PL/SQL写的代码已经具有蠕虫的基本特征:

  • 1. 利用 utl_inaddr 包得到当前IP地址
  • 2. 查找相同地址段的所有网络地址
  • 3. 通过 utl_tcp 包向 1521 端口发送消息得到 Listener 状态
  • 4. 得到数据库 SID
  • 5. 利用默认密码构建 Database link
  • 6. 如果成功,则在远程数据库服务期创建一个数据对象 (或者其他有危害的操作)
  • 7. 继续第二步循环。尝试感染其它机器

这几天关于 Oracle 安全方面的消息很是令人震惊.

看来安全专家们是盯上了 Oracle. 随着对 Oracle 加密体系的研究不断深入,有人重新研究了 Oracle 的密码加密算法大致信息. 估计是为了引起 Oracle 技术圈子的注意,有好事者居然冒充 PSOUG 的 Daniel A. Morgan 在Google新闻组贴出了这篇文章.这篇文章先从 Oracle 的密码设计目标开始("反向工程"),然后说了加密的大致思路是这样的:

  • 用户名字和密码合并成一个字符串"s"
  • "s" 转换为unicode
  • DES 的ncbc mode模式加密.Key为 0x123456789abcdef, 初始化向量为 0
  • 同样的串用更新的初始化向量作为Key再次加密
  • 更新的初始化向量作为 Hash

Pete Finnigan 算是一个 Oracle 安全领域的技术专家了.因为他长期关注 Oracle 的安全技术而入选 OakTable .Pete 的 Blog 很精彩,我将他的Blog收录到我的 Lilina 中,每天早晨打开 IE 的时候就可以方便阅读. 或许是"专注观察天上的星星,而没有注意脚下的坑",前几天他的 Blog 和论坛居然被黑了! 不知道 Pete 当是什么感受... 当然,这次的危害并不是很大,Hack(或许是脚本小子)只是修改了他的 Blog 的 Index 页面.

加密传输 IM 信息

你的 IM 工具传送的消息是加密的么? 目前流行的个人 IM 工具我只知道 Skype 是加密传输信息的.其他的都不具备这样的功能.微软的 Live Communications 是有加密功能的,但是难觅芳踪.有的时候团队协作需要在网络上传送密码或者临时口令或是其他敏感数据,很不安全.

今天看到了赵柯写的用SimpPro来提高MSN Messenger即时通信的安全性, 测试了一下SimpPro /Simplite 这个工具.SimpPro 目前支持 MSN Messenger, Yahoo! Messenger, ICQ, AIM 等主流 IM 工具(除了Skype,或许是因为不需要吧,应该也不支持QQ). SimpPro 不是免费的,但是 Simplite 是免费的.简单易用,只需要双方都安装了这个工具就可以了.

最近关于数据库安全有个有趣的问题。Oracle 公司的CSO(chief security officer)写了一篇文章,When security researchers become the problem,首先这位 Davidson 不认为安全研究人员 "push vendors to work faster" 是个好事情; 更为可笑的是 Davidson 觉得这个安全研究人员其实都是为了谋利益而来的:

Many researchers think that the more vulnerabilities they disclose publicly, the more vendors will hire them as consultants.

这多少有点小人之心度君子之腹了.这篇文章一经发出,在安全届引起了不小的讨论.

1 2 3 4

关于归档

本页包含 Security 类别下的所有文章.

上一类别为 Review.

SiteLog 为下一类别.

回到 首页 查看最近发表的文章或者查看所有 归档文章.