Tag Archives: Security

SSL 2.0 真的不是很安全

前几天用 Nessus 扫描自己用的笔记本, 报告有安全漏洞:

The remote service accepts connections encrypted using SSL 2.0, which reportedly suffers from several cryptographic flaws and has been
deprecated for several years. An attacker may be able to exploit these
issues to conduct man-in-the-middle attacks or decrypt communications
between the affected service and clients

阅读了一下推荐的文档 Analysis of the SSL 3.0 protocol, SSL 2.0 果然存在不少问题.

其中一个问题是 SSL 2.0 容易受到密码组回滚攻击(CipherSuite Rollback attack). 关于 ciphersuite rollback attack:

An attack against how Secure Socket Layer version 2 (SSL v2) negotiates the cipher suite. The aim is to convince Alice and Bob to use much weaker encryption than they are capable of using.

该攻击方法通过恶意编辑在 hello 报文中发送的所支持密码组的明文列表而使得使用者被动选择弱化的出口加密算法.这几乎是 SSL 2.0 的致命缺陷.

另外一个问题是由于美国安全产品出口法的限制: 只能使用不超过 40 位的 MAC( 报文验证码, message authentication codes). SSl 2.0 使用 MAC 后添加字节的块加密模式,但是添加的长度字段是未经验证的,这给了主动攻击者会删除最后的内容的可能.

对于 SSL V2 也可能存在中间人攻击(man-in-the-middle attack). 虽然 Diffie-Hellman 是目前最为完美的公钥算法.但是在 SSL V2 的缺陷使得供给者能够巧妙伪造一个数字证书, 让客户以为他是和真正的服务器通讯. 在 SSL V3 中则对该缺陷进行了改进.

推荐文档:SSL技术详细说明

一直对 SSL 的安全性比较模糊. 唉

 

Nessus 3.03 开始支持 Windows

Nessus 3 的变化 中我提到 Nessus 3 服务器端将会很快支持 Windows . 这不, 新推出的 Nessus 3.0.3 就提供了 Windows 平台的 测试版本. 这个版本也提供了对 Solaris 平台的支持.
目前在 Windows 平台上支持 Windows 2000、 XP and 2003 (32 bits), Solaris 平台则支持 Solaris 9/10 (sparc).
Windows 平台上的 Nessus 安装、使用都极为简单。界面也较为清新 [见图] .
安装后尝试对我的笔记本进行扫描,三分钟左右的时间扫描完毕并报告给我一个安全漏洞. 经过核对分析,的确可以算做漏洞。
这个结果我很满意. 越来越商业的 Nessus 反而让人越来越满意.

Oracle 安全编码标准

Oracle 公司的公司的首席安全官 Mary Ann Davidson 最近在抱怨开发人员没有安全意识: 不安全软件的问题就在于软件开发者在大学的时候没受到相关的培训(The problem of insecure software starts with how software developers are taught at universities), 当然, 说这话的目的并不是说 Oracle 的安全做得有多么好, 而是 Oracle 正在逐步改进软件存在的大量安全问题(自从 Oracle 任命了这个首席安全官之后,在业界更多的用户反而真的意识到 Oracle 的安全其实做得不怎么样) , 并透漏 Oracle 专门创建了一份长达 200 页的安全编码规范. 这份文档从对一个缓冲区溢出漏洞的解释而扩展开来, 是 Oracle 的 Chief Hacking Officer (首席黑客? 听起来很酷) 的工作成果. Ann 同时强调了这份标准的重要性 “reflect both “oral tradition” and actual history of coding at Oracle” . 而在此之外, Oracle 也引入了第 Fortify 公司的三方工具进行代码审查.
虽然 Oracle 在对第三方安全研究人员的傲慢与故作姿态引起安全社区很大不满, 但 Oracle 在安全方面的决心还是不容置疑的. 最近也获悉 Oracle Database Vault 这个产品将会与 Tripwire 进行合作. Oracle Database Vault 用于提高用户访问的控制能力. 这个东西加上 Label Security、10g 的TDE、VPD、Oracle Secure Backup, 已经是一套比较完整的安全框架了.
作出这么多动作的 Oracle 会把安全真的做到位么 ?

用 Logwatch 工具监控 Linux 系统 Log 日志

如果要想迅速的得到 Linux 环境中的日志报告信息, Logwatch 是一个很好的工具.
一般的 Linux 系统中可能都默认安装了这个工具.几乎不需要额外的配置就可以简单的用起来.

# logwatch --print

这条命令将会把昨天的日志信息简要的打印出来. 比如用户登录失败信息、SSH 登录信息、磁盘空间使用等.
单独查看某个服务,比如 SSH 登录信息:

# logwatch --service sshd --print

这条命令可以查看使用说明:

# logwatch --help

最新版本的 LogWatch 默认有 70 多种 Log 的配置信息. 如果要对自己的特殊 Log 做监控, 定制也是比较容易的。简单记录一下:

继续阅读