2010年12月_antiy_seak

原创《怪诞心理学》小评

《怪诞心理学》小评 江海客 周六上午，在一个小店等待营业员为我刚买的纪念品重找包装的时候，我随手拿起了一本《怪诞心理学》。几分钟后，当美女营业员告知我可以拿走买的东西时，我做出了把这本书买下的决定。 不想否认，最开始购买书籍的冲动是一次“求同”的结果——作者的有关研究戳穿了星象学等现代流行迷信的本质，这和我一贯反对迷信和神秘主义的观点基本一致。而在星象风水、奇门遁甲大行其道的世风中，我深感网络安全作为一门严谨的自然科学都不能独善其身。我曾听兄弟厂

2010-12-28 09:23:00 952

原创当免费模式遭遇安全价值观

当免费模式遭遇安全价值观 ——一个反病毒老兵的复盘与反思 文/江海客 一、一个关于物种起源的寓言 在互联网时代到来之前，操作系统草原上只奔跑着三类动物，那就是：应用软件、安全软件和恶意代码。请原谅我使用“恶意代码”这个偏学术的名称，因为它能更准确地统称传统感染式病毒、木马、蠕虫等这些有害的代码物种。 我依托如下的脉络，把这些动物进行聚类：应用软件的主要作用是创造应用价值；而恶意代码

2010-12-10 20:08:00 3382 1

原创 2010年11月《安全天下事之不对称的战争》

不对称的战争 (2010年11月) 文/江海客 10 月Stuxnet蠕虫成为各安全厂商和主管部门关注的焦点，卡巴斯基和赛门铁克等厂商都在VB大会上作了专题报告。这个蠕虫于7月份开始大规模爆发。近日，分析人员推测其攻击目标是伊朗核设施，并怀疑作者来自以色列，因而引发媒体和公众的广泛关注。该蠕虫在工业以太网中传播，最终对工业控制系统中的PLC（可编程逻辑控制器）发起攻击。此外，它的传播手段非常丰富，包括U盘（自动播放缺陷、MS10-046

2010-12-10 17:19:00 1770

原创 2010年10月《安全天下事之这是一个整合的季节》

这是一个整合的季节 （2010年10月）文/江海客 HP击败了两个竞争对手，最后以15亿美元的出价，摘下了ArcSight。从此前收购Fortify Software和3par来看，犹如收购组合拳，让人眼花缭乱。ArcSight是CIA的御用数据挖掘公司，与美国政府关系密切。其最大的长项是做数据挖掘，并逐渐成为专业的安全事件关联分析和数据挖掘公司。对于一个以SOC（安全管理中心）为主要产品的公司来说，相关的技术底蕴无疑是让人欣赏的。

2010-12-10 17:15:00 826

原创 2010年09月《安全天下事之大收购与大战略》

大收购与大战略 （2010年09月）文/江海客 8月19日，Intel宣布以每股48美元现金收购安全软件公司McAfee，交易总价值约76.8亿美金。从此安全市场传统三强的格局不复存在，而开始趋向走入寡头时代。 McAfee的买家是Intel，而不是类似HP、SUN这种集成、服务业务比较密集的厂商，这多少有些令人诧异，但如果考虑到此前Intel硬件DEP机制的引入，也可以看到Intel具有从底层和体系

2010-12-10 17:12:00 1481 1

原创 2010年08月《安全天下事》

安全天下事 （2010年8月）文/江海客 近期从事苹果相关系统漏洞挖掘的中国安全研究者吴石被媒体报道，他通过几年来的相关发现安全漏洞并通报给漏洞采集收购企业的工作，其获得了不菲的收益。 在这篇报道中，比较值得关注的是ZDI和iDefense等漏洞采集组织在漏洞挖掘者与软件厂商之间的枢纽作用。这样的组织让相关研究人员能找到一个非常合理合法的经济模式，也避免了一些孤高的企业与fuzzing者之间直接对话的尴尬。而从

2010-12-10 16:48:00 716

原创 2010年06月《安全天下事之安全的证书与证书体系的安全》

安全的证书与证书体系的安全 （2010年6月）主持人/江海客 马勇：网名 znsoft，驱动开发网创始人,铠信安全实验室高级合伙人。专注于数字防泄密，公钥基础设施PKI体系以及Windows 文件系统驱动在安全系统中的应用的研究与开发。 汪易：高级开发经理，资深C/C++程序员，毕业于哈尔滨工业大学，曾在多个著名安全公司就职，目前就职于美国某软件公司。 江海客： 2010年5月，一条没有见

2010-12-10 16:33:00 759

原创 2010年05月《安全天下事之缅怀中的反思》

缅怀中的反思 （2010年05月）主持人/江海客 “代码托管”一词本月再起争议波澜。在封闭、开源、还是托管之间，孰代表更安全，成为一个话题。但从目前主流产品庞大的代码规模来看，不必说托管的代码，就算开源的代码，也已经基本失去了审计价值，而现有的针对代码的自动化审计手段虽然对一些容易导致溢出的代码错误有一定的发现能力，但对主观为之的条件后门或者逻辑炸弹反而难以判断审计。更何况如果在其中通过条件组合而构造出一个比较巧妙的条件溢出，就更难

2010-12-10 16:20:00 983

原创 2010年04月《安全天下事之又到RSA Conference》

又到RSA Conference （2010年4月）主持人/江海客 嘉宾： 赵粮，绿盟科技首席战略官，博士，毕业于北京大学。曾任联想集团安全运营总监、在CA中国任首席顾问、在安氏互联网安全系统（中国）有限公司任首席战略官。 Billy，安天实验室副总工程师，北卡罗莱纳大学工学硕士。前安全技术研究团队蚂蚁公社创始人之一，中国信息安全专业人士俱乐部CCClub秘书长，ISO27001&ISO200

2010-12-10 16:12:00 1020

原创 2010年03月《安全天下事主机安全的系统资源代价之》

主机安全的系统资源代价 （2010年3月）主持人/江海客 嘉宾： 何公道：江民科技技术副总，资深程序员，中国通用软件史上知名的郑州七杰之一。 李德浩（Tony Lee）：微软公司恶意软件防护中心高级研发主管（Malware Raesearch Manager）。 在基本内存只有640K的时代，反病毒的先行者们谨慎的通过TSR程序摸索实时监控技术的雏形，那时每1K内存都被攥的发烫。而今天主机安全

2010-12-10 16:07:00 836

原创 2010年02月《安全天下事之谷歌和百度的安全交汇点》

谷歌和百度的安全交汇点 （2010年02月）主持人/江海客 嘉宾： 林康（化名）：大学信息安全专业教授。 Harry（化名），微软公司资深工程师。 Jack 王（化名）：百度公司资深工程师，资深C/C++程序员。 这是一个寒冷而纷乱的时间，所谓“百度被黑”和“谷歌退出”事件，共有的交汇点竟然是安全。前者各种防护、冗余和灾备机制，被一个意

2010-12-10 15:59:00 1031

原创 2010年01月《安全天下事之兼容还是冲突》

兼容还是冲突 （2010年01月）主持人/江海客 嘉宾： 何公道：江民科技技术副总，资深程序员，中国通用软件史上知名的郑州七杰之一。 托马斯：(化名，资深程序员，美国某知名反病毒公司高级技术经理，负责运营) 李德浩：微软公司恶意软件防护中心高级研发主管（Malware Raesearch Manager）。 杀毒软件相互之间的兼容性问题本月再被提到焦点话题上来，国内主导厂商瑞星再次明

2010-12-10 15:46:00 1276

原创 2009年12月《安全天下事之聚会的季节》

聚会的季节 （2009年12月）文/江海客 关于年底的评价，Cansecwest、EUSEC都在近期召开，而被甲流和国庆迟滞数月的CERT2009年会终于在长沙召开。会上还举行了国家安全漏洞共享平台签约仪式。并进行了反网络病毒的成果展览。而与会的中国信息安全的决策、管理者们，用数据和图表展示了他们的学术底蕴和高度严谨。 之后同样由博文视点承办的软件安全年会不再像其他很多的会议十分窄带的局限于漏洞挖掘和渗透，

2010-12-10 15:34:00 594

原创 2009年11月《安全天下事之角逐大战略》

角逐大战略 （2009年11月）文/江海客 10月16日，美国总统奥巴马在白宫网站发布讲话视频，呼吁公众加强安全意识，令人惊讶的是，这完全不是泛泛而谈，奥巴马讲话中直接向美国公众提出了升级反病毒软件、不打开来历不明的邮件、交流要了解对方身份、避免泄漏隐私和财务等非常具体的信息，这种对于公众个人安全细节的关注，释放出一种特定的信号。从在经过了与传统安全势力的纠缠，把认为可能泄密的黑莓手机终于带入白宫办公室，到关注每个公民的终端安全，新一届

2010-12-10 15:16:00 565

原创 2009年09月《安全天下事之多事之秋》、2009年10月《安全天下事之聚合与离散》

多事之秋 （2009年09月）文/江海客 常言说“多事之秋”，立秋前后，一度平静的网络世界再起波澜。先是瑞星站点沦陷，之后则有搜狐、天涯、阿里巴巴等一线站点也先后被安全公司发现挂马。这一切都让人对网络世界信心进一步丧失，而江湖传言近期有一批0Day在流传，其中包含一个3389远程管理和一个IIS6的严重漏洞。 与上述顶风作大案者相异，近期监控到整体挂马事件数量略有下降趋势，这可能与公安部近期打掉一个涉案金额高

2010-12-10 15:11:00 728

原创 2009年08月《安全天下事之有连接的注入与无连接的获取》

有连接的注入与无连接的获取 （2009年08月）文/江海客 7月，国内引发一定关注的主要安全事件是DirectShow 漏洞引发的大量挂马事件，这个漏洞一直是被安全工作者所关注的，其机理是使用JS构造超大数组，以此存储shellcode并分配于堆上，利用非gif文件引发该控件解析数据过程中发生异常时会发生溢出覆盖异常链的情况，导致shellcode被执行。随着有关的exploit7月4日在国外被公开，6日有关攻击方法和示例脚本已经贴编国内

2010-12-10 15:03:00 532

原创 2009年07月《安全天下事之安全并不孤立》

安全并不孤立 （2009年07月）文/江海客 当中国电信的网络崩盘于一个DNSPod遭到DDoS-〉暴风影音客户端DNS解析失败->重复查询导致DNS失去响应的时候，我们不得不反思，经历了从90年代末至今的10多年大规模的基础投入，整个的网络体系依然十分脆弱。 而同时，当我们怀着习惯性的思维，把安全审视依旧放置于操作系统等底层环节的时候，却发现，随着互联网的发展，日益崛起的大装机量的互联网客户端和传统的主流安全软件，

2010-12-10 14:59:00 673

原创 2009年06月《安全天下事之大事件小安全》

大事件小安全 （2009年06月）文/江海客 本月，《Wired》杂志称，美国空军因经济危机而无法大量采购新操作系统，因此希望微软单独延长对他们Windows XP系统的“保鲜期”，继续提供补丁升级与操作系统安全定制。美国空军只是美国国家安全体系和作为商业垄断公司微软的接口人，而空军定制版Windows XP是一块已经开花的试验田，最终其会在整个美国政府和官方IT采购上结出果实，并很可能为微软新增数亿美元乃至更多的商业机会。事实上微

2010-12-10 14:52:00 814

原创 2009年05月《安全天下事之互联网巨头引发的隐私恐惧》

互联网巨头引发的隐私恐惧 （2009年05月）文/江海客 4月1日，关于“谷歌”建立了一支由携带探测器的“谷鸽”组成的探测网络的消息在Google首页上公布，消息中说大量带有信息采集器的鸽子，组成了一个谷歌山寨信息网。当然，这是一个愚人节玩笑。但其反应非常连锁，很多人立即联想到一种毛骨悚然的寒意。事实上，最近两个月，Google的街景服务就已经引发了个人隐私的争议，已经因此争议删除了数百张图片，因为大家在街景服务中清晰的看到了诸

2010-12-10 14:50:00 480

原创 2009年04月《安全天下事之聚焦浏览器》

聚焦浏览器 （2009年04月）文/江海客 如果让安全研究者评选在客户端方面最火热的攻防焦点，至少有1/3以上的人会选择浏览器。而3月则颇有一些火上浇油的味道。 本月微软IE8终于发布了，但似乎对其新特性的关注并不热烈，中国用户并不关注IE与Windows Live的整合，以及微软越来越多的潜藏的雄心。 而微软提供的In Private Browsing（私人浏览）模式，很有可能重挫搜索引擎的广告

2010-12-10 14:44:00 492

原创 2009年03月《安全天下事之希望与忧伤》

希望与忧伤 （2009年03月）文/江海客 新年伊始，无论是安全厂商抑或是躲在暗处的黑客们都没能松懈，伴随着利用MS08-067漏洞大肆传播的Confickr蠕虫不断的升级控制指令，并伪造随机域名进行多重验证以混淆真实的控制端指令下达地址，对抗这一蠕虫病毒也不再是法国空军、法国海军、微软单独的事情了。当中国、美国的部分互联网管理机构以及研究人员通过与运营商的协作尽可能切断升级控制指令这一蠕虫的控制链条时，威胁才趋于缓和。值得一提的是微软

2010-12-10 14:40:00 1032

原创 2009年02月《安全天下事》、2009年02月《安全天下事之12月，辩证法之月》、《2008信息安全技术与产业大盘点》

安全天下事 （2009年02月）文/江海客 本月加沙战火纷飞，但网络世界相对平静，没有重大的漏洞和疫情出现，这让我们多少有些不太习惯。 微软继续为解决自己的安全问题而出招，关于微软免费杀毒软件 Morro的消息已经山雨欲来，对行业的压力甚至大于了Win7的发布。而Win7则在安全方面反而看不到更大的跨度，更多的似乎是纠正Vista在安全领域的矫枉过正，其在安全机理延续的情况下，对用户的骚扰大大减少。

2010-12-10 14:34:00 1943

原创 2008年12月《安全天下事》

安全天下事 （2008年12月）文/江海客 本月微软黑屏事件成为了仁者见仁，智者见智的问题，但经调查发现，多数人其实是对传言的心理恐慌，而并不知道微软只是换掉了桌面背景，但无论如何这再次展现了垄断厂商所能形成的巨大的社会影响力。尽管网上对微软骂声一片，但也没有一家国内主流安全企业，推出反黑屏的解决方案，毕竟版权保护同样是安全软件厂商自己需要面对的挑战和需要尊重的道德。 面对黑屏的影响，一些人给出了关闭微软自动更新的解

2010-12-10 14:25:00 637

原创 2008年11月《安全天下事》

安全天下事 （2008年11月）文/江海客 本月值得关注的是一种新的浏览器攻击手法“点击劫持Clickjacking”被两位安全研究人员Robert Hansen 与 Jeremiah Grossman所公布，虽然并未公布全部细节内容，却也已经引起一定震动。其基本原理是在页面A中的iframe中通过src链接到另一个域的页面B，设置这个iframe的CSS样式透明度为0（具有隐蔽性），z-index设置为大于A页面中的其它元素，然后在A

2010-12-10 14:21:00 451

原创 2008年10月《安全天下事之社交网络SNS的病毒》

社交网络SNS的病毒 （2008年10月）文/江海客 社交网络SNS的“病毒”式营销对于广大用户并不陌生，几年前，一个叫 “中国缘”网站是其作俑者，而近期则有泛滥趋势，在过去的这两周内，一个同事的信箱内竟然收到了上百封来自同一家社交网络SNS新贵的邀请邮件，当然邮件邀请者都在他联络人名单之内。而一个以看看是否有人盗用你的MSN为名义，让你输入用户名、口令，在利用这一信息去登陆，然后向你的好友传播自身URL的恶意网站，就是一个这样简单的社

2010-12-10 14:15:00 679

原创 2008年09月《安全天下事之体系的穿透》

体系的穿透 （2008年09月）文/江海客 在过去的数年中，微软已经采取了大量的内存保护机制以防止Windows平台上常用软件的漏洞被恶意利用，虽然诸如/GS（Visual Studio编译选项）、SafeSEH、DEP（数据执行保护）以及ASLR（地址随机化）等使得漏洞被成功利用的可能性大大降低，但并不等于就可一劳永逸。恰恰就在本月召开的位于美国赌城拉斯维加斯的黑帽Blackhat安全大会上，两位安全研究人员（来自IBM公司的互联网安

2010-12-10 14:09:00 652

原创 2008年07月《安全天下事之莫须有的敌人与看得到的威胁》、2008年08月《安全天下事之七月流火》

莫须有的敌人与看得到的威胁 （2008年07月）文/江海客 震后西方媒体旧态复萌，继续用莫须有的网络安全事件抹黑中国，一件诬称美国商务部部长访华期间，被中方获取了笔记本电脑上的数据，并以此进一步攻击美方网络，而更有人想起了今年2月26日的佛罗里达大停电，声称这是中国“军方”黑客所为。著名黑客Kevin.Paulson在Wired magazine(连线)网站上撰文说，根据FRCC（佛罗里达安全合作协会）所发布的报告显示，大停电是人工操作

2010-12-10 14:03:00 798

原创 2008年06月《安全天下事之警惕网络设备中的幽灵》

警惕网络设备中的幽灵 （2008年06月）文/江海客 本月22日，在伦敦的一场安全会议上，一个名为Sebasiian Muniz的安全研究者，会介绍其编写的Cisco路由器Rootkit。 表面上，这个程序无需让大家感到恐慌，因为这并非是针对IOS缺陷的远程溢出代码，其能做的事情只是一旦被安装后能在IOS环境中静默的运行。但其确实揭示了Rootkit的方法面前，所有OS一律平等。即使是专用硬件和嵌入式系统，仍然有其

2010-12-10 13:57:00 619

原创 2008年04月《安全天下事之关于文件格式溢出》

关于文件格式溢出 （2008年04月）文/江海客 本月值得关注的是MS修补的漏洞列表中有几个Office相关漏洞，所以把这件事作为本月的关注重心,是因为微软在3月11日修复这些漏洞的，但至少在2月28日，已经有反病毒公司捕获了使用相关漏洞能造成excel 2003溢出的xls文件样本，可谓货真价实的0day。其中值得关注的社交工程手段是用2008年奥运会议程表作为内容掩护。 静态溢出由于是一种反客为主的攻击方式，其

2010-12-10 13:52:00 846

原创 2008年03月《安全天下事》

安全天下事 （2008年03月）文/江海客 根据美方的消息,2月4号,一个完全采用P2P机制的僵尸网络在网络上形成规模，并据说已经渗透了很多大型企业、教育机构和服务商。 这个软件模仿成Adobe Reader的形式进行传播，这个僵尸网络采用浏览器劫持等方式连接，以使其可以通过安全网关的过滤。其还使用了多种P2P通讯方式，包括使用ICMP协议进行密文的通讯。到了5日，有关的程序还不能被反病毒软件检测。

2010-12-10 13:44:00 804

原创 2007年12月《安全天下事》

安全天下事 （2007年12月）文/江海客 本月,Gmail的一个0-day的漏洞被曝光，这是一个可构基于XSS的脚本攻击，根据有关消息，这个漏洞在11月8日被公开的同时，旋即被google修复，体现出了Google快速的响应能力，但不容易判定此前这个漏洞是否被地下使用了较长时间，但这也说明，在当前如此庞大的入侵攻击者群体的寻猎面前，很难有哪一块网络空间绝对高枕无忧。 在WEB 2.0的热潮中，更是潜流浮动，大量丰

2010-12-10 13:34:00 516

原创 2007年11月《安全天下事》

安全天下事 （2007年11月）文/江海客 9月底，风险评估有关的一系列国家标准颁布，包括《信息安全风险评估规范》、《信息安全事件管理指南》、《信息安全事件分类分级指南》等，由国家信息中心的范红博士、和吴亚非老师领衔编写，国内多家主管部门和有关安全企业也参与了相关编写工作。从这个标准征求意见期间，就得到的国内安全界的广泛关注，这个标准的正式颁布也意味着国内的风险评估将走向体系化和定性定量化。 9月一个概念也被人关注，面

2010-12-10 13:29:00 918

原创 2007年09月《安全天下事》

安全天下事 （2007年09月）文/江海客 8月8号，又一个民间安全人士心目中的传奇人物，电话飞客的开山之祖Joybubbles离开了这个世界，作为先天的盲童，声音是他的全部世界，因此他很早就发现了用叉簧和口哨带盗打电话的方法。虽然据说其在1957年就成功的破解了BELL的系统，但1971年的被捕将其推动到了飞客领袖的地位。 就像为这位伟大的电话飞客的默哀，著名的网络电话和服务商SKYPE在次日出现长时间无法登

2010-12-10 13:14:00 488

原创 2007年08月《安全天下事》

安全天下事 （2007年08月）文/江海客 我真的不知道一个安全栏该如何开篇，因为我心中对安全二字同样充满了恐惧。1994年，一个兄弟发现教研室机器有病毒，祭出debug数分钟轻松搞定，上周作为一名资深驱动程序员的他，喃喃地打电话给我，无限羞赧地说：“我家里感染了一个流氓软件，花了1个多小时没搞定。”1997年，一个兄弟无比热心地一次次在网上对电子邮件病毒的传言进行反驳和澄清，而昨天他打电话给我，让我警惕一个新的某电子邮件客户端溢出漏洞

2010-12-07 09:23:00 811 1

原创为什么要建安全天下事（全本）

为什么要建安全天下事（全本） 2007年8月程序员改版开设天下事栏目，作为一个安全工作者，很高兴看到安全技术和产业被重视，安全天下事占据了一个版面。 这个栏目基本上是由我主持的，想来本人一向懈怠懒散，每期往往都是编辑多次催促的结果，回想起来也深感不安。 几年间对口的编辑老师换了几位，但我还霸占这个栏目，有时感觉有些惭愧，而我还不免有些狂悖，曾经为删去的一两句话而兴师问罪。 因为

2010-12-07 01:56:00 1639

江海客每月安全天下事（全本）