Oracle 公司的公司的首席安全官 Mary Ann Davidson 最近在抱怨开发人员没有安全意识: 不安全软件的问题就在于软件开发者在大学的时候没受到相关的培训(The problem of insecure software starts with how software developers are taught at universities), 当然, 说这话的目的并不是说 Oracle 的安全做得有多么好, 而是 Oracle 正在逐步改进软件存在的大量安全问题(自从 Oracle 任命了这个首席安全官之后,在业界更多的用户反而真的意识到 Oracle 的安全其实做得不怎么样) , 并透漏 Oracle 专门创建了一份长达 200 页的安全编码规范. 这份文档从对一个缓冲区溢出漏洞的解释而扩展开来, 是 Oracle 的 Chief Hacking Officer (首席黑客? 听起来很酷) 的工作成果. Ann 同时强调了这份标准的重要性 “reflect both “oral tradition” and actual history of coding at Oracle” . 而在此之外, Oracle 也引入了第 Fortify 公司的三方工具进行代码审查.
虽然 Oracle 在对第三方安全研究人员的傲慢与故作姿态引起安全社区很大不满, 但 Oracle 在安全方面的决心还是不容置疑的. 最近也获悉 Oracle Database Vault 这个产品将会与 Tripwire 进行合作. Oracle Database Vault 用于提高用户访问的控制能力. 这个东西加上 Label Security、10g 的TDE、VPD、Oracle Secure Backup, 已经是一套比较完整的安全框架了.
作出这么多动作的 Oracle 会把安全真的做到位么 ?
分类归档: Security
小心”网络钓鱼”邮件
今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照],要我更新的帐户信息,我在 eBay 的国际站没有帐户的,毫无疑问这是一封”钓鱼(Phishing)邮件”。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的”钓鱼邮件”。前不久,公司的邮件也收到一封”钓鱼”的邮件,伪造成公司的安全技术人员发出,要大家更改密码。虽然很逼真,但是稍加留意,还是能看出来那个 URL 其实是一幅图片。
随着这一两年国内电子商务如火如荼的展开,”网络钓客”们也活跃了起来,几乎是无孔不入。
什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义,网络钓鱼攻击者把社会工程和技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息。
如何有效的防范呢 ?
1. 提高安全意识,不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋:前一段公司厕所内居然贴了一幅宣传文章,说的就是这个事情。还真的能在人”聚精会神”的时候给以警醒 :)
2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户,还是尽量用可靠的邮件服务。
3. 可以考虑安装一些具有防”网络钓鱼”功能的工具条。找到的一些(不够完全):
- Yahoo! 助手,能够自动识别”钓鱼”网站,这是国内的第一款具备此功能的工具条。
- NetCraft 工具条 这是业界第一款专门防”钓鱼”的工具条。也支持 Firefox.
- 微软工具条插件
- EarthLink Toolbar 在国内名不见经传.
这些工具大部分都是针对 IE 浏览器的。小声的说,Firefox 曾经发现过一个钓鱼漏洞。其实,浏览器安全上,Firefox 也不是那么完美的。
更新:2009 年3月,支付宝携手雅虎推出电子邮件信任计划,相信从第一程度上能有效阻止钓鱼邮件的泛滥。
2005 年度使用的几个安全工具
今年到了新单位之后,一部分工作职责是和安全有关(到了岁末回顾一下整体安全问题做的并不尽人意呀)。所以,不可避免的要比以前多接触一些安全工具。这个 Top 75 Security Tools 列表是一个不错的起点,我应付的环境没有那么多的平台,没有那么复杂的环境,自己又不是专业安全技术人员,所以根本用不到那么多。
Nessus –安全漏洞扫瞄
国内很多安全公司的扫瞄工具都是用的 Nessus 的漏洞样本。有的甚至干脆就是把 Nessus 改头换面一下就当成自己的专有产品出来“乎悠”客户了。Nessus 可以的给出一个网络环境内的主机安全情况,。但是有的时候细节信息不那么全面,甚至会有误导。比如针对 Oracle DB 的一些漏洞扫瞄,发现了具备该漏洞的个别条件就判断漏洞的存在,稍有些武断。话虽然这么说,Nessus 目前仍是不可替代的。最近 Nessus 3 发布了,版权形式也有了变化。相信 很快就会有一些 Nessus 的GPL 版权下的 fork 软件出现。这个软件我用在 Linux 环境下。
Nmap — 端口扫瞄 / 其他安全工具的基础
虽然很多软件都号称自己是“瑞士军刀”,但在网络安全方面,Nmap 是当之无愧的的“瑞士军刀”。前面说的 Nessus 就是依赖于 Nmap 的。很多安全工具的扫瞄功能都是以 Nmap 的存在为前提。再做一些网络方面的 Trouble shooting 的时候,Nmap 会大派用场。Windows 下 和 Linux 下都是频繁用到。
Nessus 3 的变化
说起 Nessus ,熟悉网络安全的朋友恐怕都不会陌生.这个工具在 Top 75 Security Tools 兵器谱上排名第一.
Securityfocus.com 对 Tenable 公司的 CEO Ron Gula 进行了一次访谈.访谈主要围绕即将发布的 Nessus 3 展开.目前新版本的代码已经冻结。
Nessus 3 一个最大的变化就是见不再采用 GPL 版权发布.对此, Ron Gula 解释为:
这是客户的需要.他们需要一个免费(Free,free-of-charge)的产品,并且还可以得到商业支持.
付费用户可以立刻得到关于注册地的插件 Feed,而免费用户则可能在一周之后才可以下载 Feed. 同时,Ron Gula 也承诺,Nessus 2 将继续更新与维护. 相对 Nessus 2 来说,3 版本作了很多改进。 Nessus 3 的改进包括:
- 1 扫描速度的提升.最高可达17倍.扫描Windows可以提高5倍[主要是 NASL(Nessus Attack Scripting Language) 引擎的解释器]
- 打包(‘Packaged’)发布.用户可以不必为编译而费神
- 其他一些小改进以及启动时间的速度提升.