Tag Archives: Security

小心”网络钓鱼”邮件

今天打开 Gmail ,收到一封标题显示来自 eBay 的邮件[立此存照],要我更新的帐户信息,我在 eBay 的国际站没有帐户的,毫无疑问这是一封”钓鱼(Phishing)邮件”。Gmail 也给出了相关的警告。提醒我地址可能是伪造的。这还是我用 Gmail 第一次收到类似的”钓鱼邮件”。前不久,公司的邮件也收到一封”钓鱼”的邮件,伪造成公司的安全技术人员发出,要大家更改密码。虽然很逼真,但是稍加留意,还是能看出来那个 URL 其实是一幅图片。
随着这一两年国内电子商务如火如荼的展开,”网络钓客”们也活跃了起来,几乎是无孔不入。
什么是网络钓鱼(Phishing)? 根据 Anti-Phishing Working Group 的定义,网络钓鱼攻击者把社会工程技术手段兼而用之,偷取消费者个人身份信息和财务帐户信息。
如何有效的防范呢 ?
1. 提高安全意识,不要随意点击邮件中的一些不明的 URL ,尽量不要在公用电脑上进行安全性要求比较高的操作。苍蝇不叮无缝的蛋:前一段公司厕所内居然贴了一幅宣传文章,说的就是这个事情。还真的能在人”聚精会神”的时候给以警醒 :)
2. 选用高可靠的的邮件服务。如我用的 Gmail 和 Outlook 都可以给出足以令用户注意的警告信息。而国内的一些免费邮件提供商似乎没有这样的服务。如果申请 支付宝 这样的电子支付工具帐户,还是尽量用可靠的邮件服务。
3. 可以考虑安装一些具有防”网络钓鱼”功能的工具条。找到的一些(不够完全):

  • Yahoo! 助手,能够自动识别”钓鱼”网站,这是国内的第一款具备此功能的工具条。
  • NetCraft 工具条 这是业界第一款专门防”钓鱼”的工具条。也支持 Firefox.
  • 微软工具条插件
  • EarthLink Toolbar 在国内名不见经传.

这些工具大部分都是针对 IE 浏览器的。小声的说,Firefox 曾经发现过一个钓鱼漏洞。其实,浏览器安全上,Firefox 也不是那么完美的。


更新:2009 年3月,支付宝携手雅虎推出电子邮件信任计划,相信从第一程度上能有效阻止钓鱼邮件的泛滥。

2005 年度使用的几个安全工具

今年到了新单位之后,一部分工作职责是和安全有关(到了岁末回顾一下整体安全问题做的并不尽人意呀)。所以,不可避免的要比以前多接触一些安全工具。这个 Top 75 Security Tools 列表是一个不错的起点,我应付的环境没有那么多的平台,没有那么复杂的环境,自己又不是专业安全技术人员,所以根本用不到那么多。

Nessus –安全漏洞扫瞄
国内很多安全公司的扫瞄工具都是用的 Nessus 的漏洞样本。有的甚至干脆就是把 Nessus 改头换面一下就当成自己的专有产品出来“乎悠”客户了。Nessus 可以的给出一个网络环境内的主机安全情况,。但是有的时候细节信息不那么全面,甚至会有误导。比如针对 Oracle DB 的一些漏洞扫瞄,发现了具备该漏洞的个别条件就判断漏洞的存在,稍有些武断。话虽然这么说,Nessus 目前仍是不可替代的。最近 Nessus 3 发布了,版权形式也有了变化。相信 很快就会有一些 Nessus 的GPL 版权下的 fork 软件出现。这个软件我用在 Linux 环境下。

Nmap — 端口扫瞄 / 其他安全工具的基础
虽然很多软件都号称自己是“瑞士军刀”,但在网络安全方面,Nmap 是当之无愧的的“瑞士军刀”。前面说的 Nessus 就是依赖于 Nmap 的。很多安全工具的扫瞄功能都是以 Nmap 的存在为前提。再做一些网络方面的 Trouble shooting 的时候,Nmap 会大派用场。Windows 下 和 Linux 下都是频繁用到。

继续阅读

免费杀毒软件与防火墙

杀毒工具与软件防火墙也有免费的午餐.一般来说,如果不想用盗版,可以用如下几个方式得到免费的工具:

  • 著名杀毒厂商的测试版.比如 Kaspersky 的 6.0 Beta 测试版.适用期可以到 2006 年 1 月.因为是测试版本,可能稍稍有点不稳定.
  • 免费的个人版杀毒工具.这类工具还是不少的.比如 AntiVir Personal Edition ,还有 AVG Free Edition 这一类的工具实际上和商业版对比起来都有一定的功能限制.
  • OpenSource 产品.这一类的产品也有,但是真的比较少,ClamWin 是一个. 看上去界面有些原始了,更新速度不慢.

继续阅读

Oracle 密码破解易如反掌 ?

这几天关于 Oracle 安全方面的消息很是令人震惊.

看来安全专家们是盯上了 Oracle. 随着对 Oracle 加密体系的研究不断深入,有人重新研究了 Oracle 的密码加密算法大致信息. 估计是为了引起 Oracle 技术圈子的注意,有好事者居然冒充 PSOUG 的 Daniel A. Morgan 在Google新闻组贴出了这篇文章.这篇文章先从 Oracle 的密码设计目标开始(“反向工程”),然后说了加密的大致思路是这样的:

  • 用户名字和密码合并成一个字符串”s”
  • “s” 转换为unicode
  • 用 DES 的ncbc mode模式加密.Key为 0x123456789abcdef, 初始化向量为 0
  • 同样的串用更新的初始化向量作为Key再次加密
  • 更新的初始化向量作为 Hash

继续阅读