Chinadu's Blog

一、关于工作与生活

我有个有趣的观察，外企公司多的是25-35岁的白领，40岁以上的员工很少，二三十岁的外企员工是意气风发的，但外企公司40岁附近的经理人是 很尴尬的。我见过的40岁附近的外企经理人大多在一直跳槽，最后大多跳到民企，比方说，唐骏。外企员工的成功很大程度上是公司的成功，并非个人的成功，西 门子的确比国美大，但并不代表西门子中国经理比国美的老板强，甚至可以说差得很远。而进外企的人往往并不能很早理解这一点，把自己的成功90％归功于自己 的能力，实际上，外企公司随便换个中国区总经理并不会给业绩带来什么了不起的影响。好了问题来了，当这些经理人40多岁了，他们的薪资要求变得很高，而他 们的才能其实又不是那么出众，作为外企公司的老板，你会怎么选择？有的是只要不高薪水的，要出位的精明强干精力冲沛的年轻人，有的是，为什么还要用你？
阅读全文...

28日早上，甲骨文的许多人面红耳赤，原因是甲骨文旗下的两个网站：MySQL.com和Sun.com在上周末被经验极其老道的亦正亦邪的罗马尼亚黑客TinKode和搭档Ne0h攻破了。这两个网站是一种来源尚未明确的"盲目"的SQL注入攻击手法的受害者--你以为，MySQL的开发人员和管理员们完全知道如何防范这种类型的攻击。很显然，你想错了。

下面是具体的经过：星期天一大早，Jackh4xor安全组织向Full Disclosure(全面披露)邮件列表发去一封邮件，解释MySQL.com"很容易遭到盲目的SQL注入攻击漏洞的袭击。"该邮件将MySQL.com客户浏览页面列为是目标网站。有人从MySQL.com网站窃取了一批数量惊人的数据库、表和字段，还有一小部分的用户名和密码，它们有的采用加密形式，有的没有加密。
阅读全文...

公安部网络安全保卫局有关负责人表示，近年来，国内黑客活动具有以下特点：
一是绝大多数黑客攻击破坏活动以牟利为目的。网络攻击者主要通过制作传播病毒盗窃网络银行账号、游戏装备等方式获利。
二是分工细化、形成利益链条。黑客攻击活动已形成了由制作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条。
三是被攻击的计算机信息系统涉及多个领域。
近年来，针对政府、金融、交通、电力、教育、科研等领域系统的攻击数量明显上升，社会危害性越来越大。这位负责人还表示，目前，公安机关打击黑客攻击破坏活动的难点，主要是违法犯罪分子多使用境外网络资源实施黑客攻击破坏活动，根据国家互联网应急中心发布的有关报告，上半年境外有12.7万多个ip作为木马控制器参与控制中国大陆地区的受害计算机，有4583个主机IP作为僵尸网络控制服务器控制我国境内僵尸网络受控主机。
公安部公布打击黑客典型案例
在公安部部署开展的集中打击黑客攻击破坏活动专项行动中，全国公安网络安全保卫部门对制作销售网络盗窃木马程序案件、组织僵尸网络案件、帮助他人实施拒绝服务攻击案件以及侵入政府网站案件进行了集中打击。11月30日，公安部公布了一批破获的打击黑客攻击破坏活动典型案例。
阅读全文...

内容很精彩.

ATM Hacking, GSM Hacking, SCADA Network ...

http://www.blackhat.com/html/bh-us-10/bh-us-10-archives.html

HTTPS(安全HTTP)和SSL/TLS(安全套接层/传输层安全)协议是Web安全和可信电子商务的核心,但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布,Web浏览器的基础架构中存在24个危险程度不同的安全漏洞.这些漏洞基本上使HTTPS和SSL能够提供的浏览器保 护荡然无存. HTTPS对HTTP协议进行了加密,以保护用户的页面请求和Web服务器返回的页面不被窃听.SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器.

Hansen和Sokol指出,攻击者要利用这些漏洞,首先需要发起中间人攻击.攻击者一旦劫持了浏览器会话,就可以利用这些漏洞中的大多数对会话进行重定向,从而窃取用户凭据或者从远程秘密执行代码.

然而,两位研究人员强调,中间人攻击并不是攻击者的终极目的.

Hansen指出,“利用中间人攻击,攻击者还可以实现许多更加容易的攻击.你不得不'执行'中间人攻击,并被迫成为一个十分坚定的攻击者……然而,这还不是最坏的情况.对于电子商务应用来说,这些攻击简直是毁灭性的灾难.”
阅读全文...

财富500强中的一些企业需要升级自己的浏览器。虽然他们在这样做，但是，在内部进行一些社交工程培训也是一个好主意。社交工程黑客能够欺骗员工做或者说他们不应该做或者不应该说的事情。社交工程黑客星期五(7月30日)在Defcon大会开展的比赛中对财富500强企业进行了试验攻击，展示了如何轻而易举地让人们讲话，只要你会说恰当的谎言。

参赛者让包括微软、思科、苹果和Shell在内的大公司的IT人员透露了能够用于计算机攻击的各类信息，包括他们正在使用什么浏览器和哪一个版本的 浏览器(星期五打电话联系的前两家公司使用的是IE6)、他们使用什么软件打开PDF文件、他们的操作系统和服务包号、他们的电子邮件客户端软件、他们使 用的杀毒软件、甚至还有他们本地无线网络的名称。

前两个参赛者使这个事情看起来非常容易。
阅读全文...

拉斯维加斯黑帽大会上，Lookout的安全人员指出，一个伪装成Android手机壁纸应用的偷窃个人信息程序已经被下载了百万次，它会收集您的个人资料，并将其发送到一个来自中国深圳的神秘网站imnet.us中。安全人员估计这款程序Kevin MaHaffey是由正常的壁纸应用修改而来，黑客将其上传到Android Market，希望装饰自己手机的用户因此而中招。

泄漏的数据包括浏览历史记录，短信，手机的SIM卡号码，用户识别号，语音邮件，甚至是密码，他警告称每个人都应该警惕来自手机上的威胁。

要预测本周举行的两大顶级黑客大会Black Hat和Defcon会出现什么重大新闻可不容易，因为最刺激的一幕往往发生在最后一刻，Black Hat和Defcon每年都会在赌城拉斯维加斯举办一次，前后不过相差一两天时间，因此人们称之为姊妹会议，今年的Black Hat会议定于周三和周四，Defcon大会定于周五和周六举行。纵观今年拟定的演讲主题，今年的两会将主要有以下五大看点。

1、终结者2现实版，让ATM自动吐钞

今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack，Jack过去数年一直从事ATM(自动取款机)安全研究，本次大会他将会精彩呈现他发现的部分漏洞，ATM目前是漏洞研究的绿地。

Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究，当时发现了投票系统的严重漏洞，迫使许多政府机构重新考虑他们的电子投票方式。

Jack的演讲备受争议，大会收到了多家ATM厂商的严正警告，在去年的Black Hat大会，直到最后一分钟瞻博才决定让Jack上，今年情况不同了，Jack已经离开瞻博到了IOActive，他打算在今年的大会上展示几种新型 ATM攻击方法，包括远程攻击，根据大会主办方的活动说明，Jack还会透露所谓的“跨平台ATM Rootkit”。

Jack在他的摘要中写道：“我喜欢终结者2中的场景，John Connor走到ATM前，将他的Atari连接到读卡器，然后ATM就自动吐出现金，我已经让它变成了现实”。

(译者乱评：这和前不久前在国内出现的山寨ATM机完全不是一回事，Jack可以让任何一家银行的真实ATM自动吐钱，技术含量谁高谁低?)

阅读全文...

Mozilla公司宣布用户报告火狐漏洞，最高将获得3000美元奖励。

最初Mozilla设置的奖励金额为500美元，这也是谷歌为其Chrome浏览器设置的奖励金额，也是谷歌奖励过的最高1，337美元的两倍。Mozilla和谷歌是业界唯一会向报告漏洞的用户提供奖励的浏览器生产商。

“六年来，Mozilla的奖励计划做了不少的调整。我们相信，最好的保证用户浏览安全的方法就是引入奖励机制，”Mozilla的安全设计部门总监 Lucas Adamski说。从2004年8月开始，Mozilla就推出了报告漏洞奖励计划。

只有那些被Mozilla列为“严重” 和“高危”的漏洞可以得到奖励。在Mozilla的分级制度里，严重的漏洞是那些会导致遥控代码执行的，换句话说，会导致黑客完全控制电脑的漏洞。高危漏 洞是那些会暴露用户关键信息，如用户名，密码和信用卡号码的漏洞。“拒绝服务“漏洞不符合奖励计划。
阅读全文...

原文出处：http://blog.sina.com.cn/s/blog_63c803f00100iz5v.html

周总：

当你在5月29日的2010第五届中国互联网站长年会上说“没有360，卡巴斯基在中国根本就没有机会”时，我正在布里斯班参加卡巴斯基在澳大利亚的渠道大会。包括我所负责的亚太区在内，卡巴斯基在过去十年获得了全球性的持续增长。迄今为止，卡巴斯基已成为全球第四大安全厂商。在全球性的互联网公司里，卡巴斯基的增长速度在2009年仅次于Google。尤其是在个人安全领域，卡巴斯基更是取得了令人称奇的全球性增长，继在德国、法国稳居第一之后，2010年第一季度，卡巴斯基在美国市场也取得第一。这意味着即使在传统安全软件厂商垄断多年的美国市场，卡巴斯基也成为最受消费者喜爱的品牌。

在你所熟悉并仰赖的中国市场，卡巴斯基作为专业安全软件的领跑者，每一天都在为数百万中国企业、学校、政府及金融机构提供专业的网络安全服务，包括网易邮箱、QQ邮箱在内的中国主流邮箱均由卡巴斯基反病毒引擎提供保护，享受卡巴斯基专业安全服务的互联网用户数以亿计。
阅读全文...

5月5日，由ICANN，美国政府和Verisign领导的全球13台根域名服务器将会迎来DNSSEC（Domain Name System Security Extensions，域名系统安全扩展）升级，DNSSEC升级将会在反馈给互联网用户的DNS请求响应中插入数字签名，确保返回的域名地址是未经篡改的。

DNSSEC是为阻止中间人攻击而设计的，利用中间人攻击，黑客可以劫持DNS请求，并返回一个假地址给请求方，这种攻击手段类似于正常的DNS重定向，人们在不知不觉中被转到另一个URL。（实际上域名劫持技术和DNS缓存投毒攻击相当广泛，这也是互联网最大的漏洞——DNS缓存漏洞造成的，DNSSEC可以解决这类问题，今年年初，百度事件就是因为DNS服务器被攻击造成的。）

据Melbourne IT首席战略官，ICANN董事Bruce Tonkin说，本次升级将会给那些毫无准备的网络管理员一个措手不及，响应标准DNS请求往往只有一个单一的数据包（UDP协议），大小一般不会超过521字节，在某些较旧的网络设备中，比这个大的请求将会被出厂默认配置阻止掉，它会认为超过这个大小的数据包是异常的。
阅读全文...

把合适的人员吸引到自己的信息安全职业关系网中并不是一件容易的事情，你需要付出很多努力，而且需要另辟蹊径。

你越是努力地为你的关系网选择合适的成员，你的关系网就能越有效地帮助你实现自己的最终目标，即实现你的信息安全职业目标。比如，吸引一个从事相同 信息安全工作的同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中，我们将提供一些关于接近这几种人的方法。

去那些可以让自己显得独特的地方

作为一个群体，信息安全职业人员大都倾向于跟他们的同行进行沟通。这样做虽然很容易，但效果却并不好。虽然可以跟那些具有类似职位以及面临类似挑战 的同行们愉快地交流“战争故事（war stories）”，但他们并不会给你的职业关系网增加多少独到的见解。

在一开始的时候，你可以寻找那些你能够提供特殊知识的群体、组织或者社会环境，并且那里的人们也对你的独特视角感兴趣。这些听众通常有很多是高层人 士，他们急切的想了解信息安全知识。比如，如果你是一个侧重于卫生医疗方面的信息安全职业人员，那么你应该加入一个由医院管理人员、医院CFO和CIO构 成的组织。通过与这些人分享你的观点，你能够跟那些欣赏你的观点并且需要你帮助的人发展可信赖关系。如果他们需要你的知识，那么你就可以要求他们以自己的 专业知识作为回报。

非专业群体也可以提供帮助。这些群体包括慈善机构、宗教团体或者特殊利益团体等。这些外部群体里有许多处于不同的生活阶段和事业阶段的人，在很多情 况下你会发现这些人中会有人给你的职业关系网提供独特的价值，并且愿意帮助你事业的发展。
阅读全文...