游侠安全网

　　【赛迪网讯】1月22日消息，据国外媒体报道，微软星期三晚上发布了关于上个星期事件的第二个安全公告。微软警告用户称，在所有32位版Windows的内核中有一个存在了17年的安全漏洞。黑客利用这个安全漏洞能够劫持用户的PC。
　　这个存在于Windows DOS虚拟机（VDM）子系统中的安全漏洞是谷歌工程师Tavis Ormandy星期二在“全面披露”安全邮件列表中披露的。碰巧的是Ormandy因为报告微软上个星期在例行性的补丁星期二修复的一个安全漏洞而受到了称赞。
　　这个VDM子系统是在1993年发布Windows NT的时候增加到Windows中的。那是微软的第一个完全32位的操作系统。VDM允许Windows NT和以后版本的Windows运行DOS和16位的Windows软件。
...

下文内容来自信息与网络安全从业者QQ群53651293
内容有整理，不一定是原话，但游侠尽量保持原汁原味

1、关于IM软件：
我不用MSN，一帮自以为是的小白领们以为用这个好、牛逼，却不知道这东西一点都不安全
他们只以为用MSN就高贵，实际上却不知道这是个明文传输信息的烂货。
如果用MSN，必须用套（指的是可以加密传输的MsnShell）
--------------------------
游侠：隐私保护很重要，请慎选IM软件

2、针对桌面管理：
你装完客户端，所有人都会抱怨，他的机器慢了，他的网慢了，他什么什么不对了，他手机不震动了，他老婆跑了……都来找你
我们当年做一个2000点的桌管，结果三个工程师走了俩。至今都没验收，快3年了
一开始是一X通，后来换一个什么来的，也很有名的，好像名字里带个北的，再然后又上了XX防水墙
反正那个集成项目坐下来，集成商跑了俩工程师，中X跑了一个，天X信跑了一个，大洗牌
--------------------------
游侠：桌面管理系统问题多多，切记多测试，很多桌面管理项目实施失败的主要原因是客户只看厂家宣传，贪图那些花哨的功能，并且未经严格、长时间测试

3、关于安全加固：
A：靠，刚做过一个1200台的服务器加固，也是做死人的项目
B：加固可以用脚本来做，然后再用组策略去派，不久好了
C：这么多，累吐血。只是跑也够累的
A：脚本我们用了，16种系统……2个月不到，20个人，基本上扒了一层皮

4、关于牢骚和郁闷：
A：桌管，加固，兄弟们能别碰就别碰
B：小的可以碰，O(∩_∩)O哈哈~
C：加固打死不碰，否则没打死也给累死。
D：加固还好，还有一个最要命的，服务器万一挂了出事故，加固完了，搞运维的啥问题都往你身上推。你问他们，这个账户干吗的？能不能删？——不知道！这个端口是什么服务，需要吗？——不知道！
E：没给你句知道还要你们来做什么就不错了

5、关于WEB扫描：
公司的WEB扫描出了点问题——负责开发的老大一看这个有前途，自己跑去开公司了……我们研发就耽误了一下
--------------------------
游侠：汗……自己跑去做了

以上内容来自信息与网络安全从业者QQ群53651293，转载请包含本声明。

　　目前网络协议分析类产品火爆的很，游侠（www.youxia.org）其实在几年前就在关注这个市场，目前应该说已经做的如火如荼，但是貌似依然有很多人对这类产品认识有偏差，简单说几句：
　　网络协议分析类产品基本上就是三类：

　　从功能上来说，网络协议分析类产品基本上要做到：WHO、WHEN、WHERE、WHAT。不明白？看图就明白了：

　　1、行为管理
　　上网行为管理大家应该不陌生了，功能上来说：按照时间策略进行网络管理、按照IP/MAC策略进行网络管理、按照帐号策略进行网络管理，现在某些厂家大力推广其“千万级”URL分类库，相当有派头。
　　应用场景：
　　游侠是某公司网络管理员，某日BOSS说：N多人上班时间炒股票、玩游戏，200人每天浪费1小时就是200小时啊！我给他们发工资，这都是我的血汗，立刻把这些干掉！于是，于是……于是我只能祭出网络行为管理产品，让所有的人在上班时间无法登录股票网站、无法炒股软件、无法打开游戏网站、无法玩网络游戏……BOSS于是满意了……脸上洋溢着得意的笑容！
　　上网行为管理产品的难度也就在于URL分类库，即使是上面说到的千万级（可都是中文呢！）URL分类库，也经常有问题，如某误分类等。游侠在测试某上网行为管理产品的时候，发现我的www.youxia.org是属于“生活类”网站。
　　典型产品：网康、深信服、瑞达时代、网际思安、金盾、绿盟、陕西电信天御五行（本处只是随手举例，和市场份额无关、和厂家名气无关、和其人品无关……等等。比较谦虚，自家产品放在最后，有意者可以和游侠本人联系）
　　2、流量控制
　　流量控制产品在企业中也是需求非常多的，特别运营商、大学、大型企业，你在10M光纤的时候，上网很卡，升级到100M，发现快了十天半月之后又是很卡！于是BOSS开始发飙：网关！你丫花老子钱，一年十几万，为何比10M的时候快了一点点？！给哥解释！神啊，最见不得BOSS发飙了……
　　为什么10M到100M速率上×10，但是实际用的时候只感觉×2呢？——因为10M的时候他在土豆网掘土豆卡，100M的时候不卡了，并且普清换高清了；因为以前在单位下电影只有100K，在家下电影120K，他都在家下电影，现在公司100M，所以都在公司下周了；因为……啥？为何有十天半月的“蜜月期”？因为那些电影狂人还没买来新的1TB的超大移动硬盘！
　　网络流量控制难点在于应用协议分析，请注意我这里说的是“应用协议”分析，而不是“网络协议”分析。迅雷、eMule、百度下吧……等都是应用协议，而不是网络协议。并且这些都在一直变换、升级，如迅雷就有完整版、mini版、WEB迅雷等版本，都需要控制，并且会不定时更新。
　　典型产品：Allot、Cisco、L7、AceNet、QQSG、不得不说的NB产品Panabit……
　　3、协议审计
　　这里说的协议是彻底的网络协议，如：HTTP、FTP、SMTP、POP3、ARP、ICMP、UDP、ARP等。要做的事情是什么呢？当然HTTP、SMTP、POP3这块基本上和本文第一部分“行为管理”部分是很相似的。但是一般来说并不要求控制，仅要求审计。但……
　　大家知道，对于航空、航天、兵器、政府能纯内网而言，FTP等也是相当重要的部分，很多场景下需要对文件服务器操作进行审计，那么就需要FTP协议的审计；内网ARP病毒泛滥的时候，ARP协议审计就派上了用场！分级、等级保护等要求对邮件流向做控制，那就需要对SMTP、POP3协议做审计……
　　还有一些是比较偏门的，如管理员需要通过SecureCRT、SSH等管理Unix、Linux服务器，那么需要对SSH操作进行审计——什么？SSH加密？目前通过Cain就可以抓到SSH v1的内容，当然SSH v2还是比较保险的，但是如果需要操作审计，也是有办法进行审计的。另外管理员通过telnet管理交换机，也可以进行审计。
　　典型产品：启明星辰、绿盟、汉邦、天融信、联想网御、网御神州、帕拉迪、奇智……
　　其实目前很多产品都是综合型的，有些产品覆盖了上述1、2、3的所有部分功能，有的则是术业有专攻，大家可以根据自己的需求进行选择。另外请大家谨记：记录电子邮件内容、记录IM聊天内容等涉及个人隐私的“监控”行为（注意我用的是“监控”而不是“审计”）是与我国法律相悖的。
　　补充一下：
　　有些产品现在往往只注重一个功能，衍生出了产品，如：发帖审计系统、数据库审计系统、邮件审计系统等。另外本文只分析了硬件产品，软件产品没有分析。
　　版权声明：张百川（网路游侠）https://www.youxia.org
　　信息与网络安全从业者QQ群：53651293，可容纳500名专业网安从业者的超级QQ群欢迎您的加入！

　　目前IE零日漏洞攻击的目标是IE 6的用户，微软上周日的更新中向用户表示：IE 6属于老版本的浏览器，它不包含最新的安全性能。

　　微软可信赖计算安全组织（Microsoft's Trustworthy Computing Security organization）的总经理George Stathakopoulos说：“基于对多个源头的严密分析，目前我们还没有发现针对IE7和IE8的成

　　新京报1月19日报道 近期我国网络安全势态严峻，记者昨日从工信部获悉，1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%。
　　此消息的依据是国家互联网应急中心监测结果，工信部称，对这段时间互联网网络安全整体评价为差。
　　中国计算机学会理事吕京建认为，当前我国政府网站大多很脆弱，易受攻击。对于政府网站的攻击者，吕京建认为有几种可能性，一种是有组织的恐怖组织；一种是个别网络黑客得不到引导恶作剧；还有可能是民间的网络部队认为自己没得到重视，借以攻击政府网站希望被注意。
...

　　1月18日，百度正式宣布，李一男因个人原因提出辞职，即日起不再担任首席技术官的职务。这是继十天前，百度COO叶朋离任后，百度再次发生的高层震荡。李一男在回复给记者的短信中表示：“百度是一个简单可依赖的环境，有着优越的商业模式和创新宽松的企业文化，我也觉得过去和其他同事工作得非常开心。”
　　但李一男没有针对离职真正原因，做出实质性表述。对此，百度方面也不愿做更多解释，“李一男本人希望保持低调。”在官方的声明中，百度方面仅表示，“感谢他在职期间为百度做出的贡献，并祝愿他的未来更加美好。”
　　据记者了解，李一男从百度辞职后，将出任北京讯奇公司首席执行官。资料显示，无限讯奇是中国移动12580综合信息服务门户的独家合作伙伴，承建中国移动12580综合信息服务门户及运营支撑平台。
...

　　漏洞扫描可以执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测，识别能被入侵者利用来进入网络的漏洞。网络漏洞扫描系统把极为繁琐的手工安全检测，通过程序来自动完成，这不仅减轻管理者的工作，而且缩短了检测时间，使安全问题更早被发现。通过漏洞扫描系统，可以把安全专家积累的安全评估知识和评估能力转移给系统管理员，让系统管理员轻松地了解网络的不安全因素、操作系统的安全漏洞、主机是否被安装了窃听程序、防火墙是否存在配置错误等等。及时发现网络漏洞，并在网络攻击者扫描和利用漏洞之前予以修补，有效提高网络的安全性。

产品特色
　　超强的扫描能力：支持Nessue的脚本库，支持超过12000种的网络安全隐患的探测能力

　　趋势内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，并且趋势内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程，大大丰富了内控审计的功能。趋势内控堡垒主机能够在自身记录审计信息的同时在外部某台计算机上做存储备份，可以大大增强审计信息的安全性，保证审计人员有据可查。

Bugtraq ID: 37815
Class: Unknown
CVE: CVE-2010-0249

Remote: Yes
Local: No
Published: Jan 14 2010 12:00AM
Updated: Jan 15 2010 10:51PM
Credit: This issue was discovered in the wild.
Vulnerable: Microsoft Internet Explorer 8
Microsoft Internet Explorer 7.0
...

　　网易科技讯 1月18日消息，据媒体报道，CNNIC计划重新开放针对个人用户CN域名注册申请，目前的最新进展为正在研究起草个人注册域名开放方案，并推进修订《域名注册实施细则》的相关条款。

　　2009年12月，CNNIC发布《关于进一步加强域名注册信息审核工作的公告》，该公告实施后个人注册CN域名的活动被叫停。此前虽然在《中国互联网络信息中心域名注册实施细则》中规定，依法登记并且能够独立承担民事责任的组织才可申请CN域名，但对个人注册CN域名的活动并未做出明确限制，个人可以通过代理机构进行CN域名的注册，但在《公告》发布后，各大域名注册机构随即停止了个人用户注册CN域名的服务。
...

　　近年来，随着科学技术的不断进步，越来越多的涉密信息以数据的形式保存在计算机和服务器中， 这种存储方式大大提高了工作效率，但也增加了泄密的危险，网络、笔记本、U盘等移动存储介质的普及更让这种风险雪上加霜。面对严峻的安全形势，如何保证涉密信息安全，并有效防止泄密事件的发生，成为摆在每个网络管理人员面前的难题。俗话说：知己知彼，百战不殆，下面就让我们来分析一下涉密文件都存在哪几种泄密途径，从而找出相应的对策。

　　一、涉密存储介质管理失控：

　　2007年11月，英国税务及海关总署丢失两张重要数据光盘

　　【1月17日更新】

　　McAfee CTO George Kurtz在发表了新的博客文章，称之前提到的极光行动中使用的针对IE漏洞的恶意代码已经在网上发布，但他没有说明是哪个网站。

　　稍早前媒体报道，Yahoo应该在Google受攻击之前就遭到了攻击，但它没有公开，只是自己加强了安全防范。

　　【1月16日7:30重要更新】

　　《连线》杂志文章给出了大量攻击细节，

　　早上起来上网，Zwell发给我一篇文章，看地址是HP安全产品的博客，地址是：http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/01/15/china-google-and-web-security.aspx，英文好的自己看，英文不好的听我说大意……嘿嘿
　　文中首先说Google、Yahoo、S

转载业界大牛SuperHei的一篇文章，原文地址在http://hi.baidu.com/hi_heige/blog/item/7144a8a0746b1680471064af.html

看来有竞争的地方就有口水啊，国内是这样，国外也差不多....

最近china google aurora等关键词语很火，老外还是很善于走8挂路线的，随便点什么事情都可以策到一起抄做一把，且不说‘aurora’这个0day的效果怎么样？有没有那么大的威力？我们先看看hp的安全频道的一个blog：http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/01/15/china-google-and-web-security.aspx 其实这个事情和hp根本就没什么联系，但是hp成功的利用了这个事件....
...

不止在一个地方看到说安装了Nessus 4.2.0后，能ping通Server，但用浏览器却连不上的情况。昨天游侠（www.youxia.org）也遇到了……开启服务后，能ping通服务器，就是浏览器连不上。