2007年09月21日

在网游市场透明化的今天,区域化运营吸引了很多拥有网络游戏产品运营能力的渠道商、资源提供商、甚至是网吧联盟、乃至异业经济实体甚至是有经济能力的个人。通常运营商和开发公司签署的都是国家范围的产品代理运营协议,早期的网络游戏市场都是由运营商来圈定范围,然后架设服务器和销售渠道,庞大的地区运营投入使得很多优秀的产品和运营商一度陷入困境,而一些获得阶段性成功的运营商把眼光瞄准更广大的全国市场时,也开始为带宽资源销售渠道推广渠道本地广告投放本地活动组织等等问题而头疼。我们所指的区域化运营是一种网游运营模式,由区域运营商向游戏运营商提出申请并获得在一定时间、一定区域、一定权限内的自主运营其产品的授权,同时获得相应的技术支持和约定的利润分成。由于本地化服务、推广、销售及服务器架设等内容的运营成本相对较低,利润空间相对较大,区域运营已逐渐得到一些大厂商和许多区域运营商的认可和青睐。而作为联结生产商和消费者之间的纽带,地域渠道已经成为整个市场不可或缺的重要组成部分,从某种意义上说,游戏运营商就是生产商,而区域运营商是运营中承上启下的重要环节,区域内的游戏玩家才最终消费者。所以,我们把与游戏运营商合作,作为区域运营商,利用我们自身的地域、资源、推广等优势进行区域化的游戏运营和推广,这种新的双向合作模式称区域运营。

2007年02月02日

CMD下的网络安全配置

自带的关于网络的命令行工具很多,比如大家熟悉的ping,tracert,ipconfig,telnet,ftp,tftp,netstat,还有不太熟悉的nbtstat,pathping,nslookup,finger,route,netsh……
这些命令又可分成三类:网络检测(如ping)、网络连接(如telnet)和网络配置(如netsh)。前面两种相对简单,本文只介绍两个网络配置工具。

netsh
在远程shell中使用netsh首先要解决一个交互方式的问题。前面说过,很多shell不能再次重定向输出输出,所以不能在这种环境下交互地使用ftp等命令行工具。解决的办法是,一般交互式的工具都允许使用脚本(或者叫应答文件)。比如ftp -s:filename。netsh也是这样:netsh -f filename。

netsh命令的功能非常多,可以配置IAS、DHCP、RAS、WINS、NAT服务器,TCP/IP协议,IPX协议,路由等。我们不是管理员,一般没必要了解这么多,只需用netsh来了解目标主机的网络配置信息。

1,TCP/IP配置

echo interface ip >s
echo show config >>s
netsh -f s
del s

由此你可以了解该主机有多个网卡和IP,是否是动态分配IP(DHCP),内网IP是多少(如果有的话)。
这个命令和ipconfig /all差不多。

注意,以下命令需要目标主机启动remoteaccess服务。如果它被禁用,请先通过导入注册表解禁,然后
net start remoteaccess

2,ARP

echo interface ip >s
echo show ipnet >>s
netsh -f s
del s

这个比arp -a命令多一点信息。

3,TCP/UDP连接

echo interface ip >s
echo show tcpconn >>s
echo show udpconn >>s
netsh -f s
del s

这组命令和netstat -an一样。

4,网卡信息
如果netsh命令都有其他命令可代替,那它还有什么存在的必要呢?下面这个就找不到代替的了。

echo interface ip >s
echo show interface >>s
netsh -f s
del s

netsh的其他功能,比如修改IP,一般没有必要使用(万一改了IP后连不上,就"叫天不应叫地不灵"了),所以全部略过。

IPSec
首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了。TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大。下面就说说如何在命令行下控制IPSec。

XP系统用ipseccmd,2000下用ipsecpol。遗憾的是,它们都不是系统自带的。ipseccmd在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,ipsecpol在2000 Resource Kit里。而且,要使用ipsecpol还必须带上另外两个文件:ipsecutil.dll和text2pol.dll。三个文件一共119KB。

IPSec可以通过组策略来控制,但我找遍MSDN,也没有找到相应的安全模板的语法。已经配置好的IPSec策略也不能被导出为模板。所以,组策略这条路走不通。IPSec的设置保存在注册表中(HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local),理论上可以通过修改注册表来配置IPSec。但很多信息以二进制形式存放,读取和修改都很困难。相比之下,上传命令行工具更方便。

关于ipsecpol和ipseccmd的资料,网上可以找到很多,因此本文就不细说了,只是列举一些实用的例子。
在设置IPSec策略方面,ipseccmd命令的语法和ipsecpol几乎完全一样,所以只以ipsecpol为例:

1,防御rpc-dcom攻击

ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x

这条命令关闭了本地主机的TCP135,139,445和udp135,137,138,445端口。
具体含义如下:
-p myfirewall 指定策略名为myfirewall
-r rpc-dcom 指定规则名为rpc-dcom
-f …… 建立7个筛选器。*表示任何地址(源);0表示本机地址(目标);+表示镜像(双向)筛选。详细语法见ipsecpol -?
-n BLOCK 指定筛选操作是"阻塞"。注意,BLOCK必须是大写。
-w reg 将配置写入注册表,重启后仍有效。
-x 立刻激活该策略。

2,防止被ping

ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x

如果名为myfirewall的策略已存在,则antiping规则将添加至其中。
注意,该规则同时也阻止了该主机ping别人。

3,对后门进行IP限制
假设你在某主机上安装了DameWare Mini Remote Control。为了保护它不被别人暴破密码或溢出,应该限制对其服务端口6129的访问。

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x

这样就只有123.45.67.89可以访问该主机的6129端口了。
如果你是动态IP,应该根据IP分配的范围设置规则。比如:

ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x

这样就允许123.45.67.1至123.45.67.254的IP访问6129端口。

在写规则的时候,应该特别小心,不要把自己也阻塞了。如果你不确定某个规则的效果是否和预想的一样,可以先用计划任务"留下后路"。例如:

c:\>net start schedule
Task Scheduler 服务正在启动 ..
Task Scheduler 服务已经启动成功。

c:\>time /t
12:34

c:\>at 12:39 ipsecpol -p myfw -y -w reg
新加了一项作业,其作业 ID = 1

然后,你有5分钟时间设置一个myfw策略并测试它。5分钟后计划任务将停止该策略。
如果测试结果不理想,就删除该策略。

c:\>ipsecpol -p myfw -o -w reg

注意,删除策略前必须先确保它已停止。不停止它的话,即使删除也会在一段时间内继续生效。持续时间取决于策略的刷新时间,默认是180分钟。

如果测试通过,那么就启用它。

c:\>ipsecpol -p myfw -x -w reg

最后说一下查看IPSec策略的办法。
对于XP很简单,一条命令搞定–ipseccmd show filters
而ipsecpol没有查询的功能。需要再用一个命令行工具netdiag。它位于2000系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中。(已经上传了三个文件,也就不在乎多一个了。^_^)

netdiag需要RemoteRegistry服务的支持。所以先启动该服务:

net start remoteregistry

不启动RemoteRegistry就会得到一个错误:

[FATAL] Failed to get system information of this machine.

netdiag这个工具功能十分强大,与网络有关的信息都可以获取!不过,输出的信息有时过于详细,超过命令行控制台cmd.exe的输出缓存,而不是每个远程cmd shell都可以用more命令来分页的。

查看ipsec策略的命令是:
netdiag /debug /test:ipsec

然后是一长串输出信息。IPSec策略位于最后。

软件安装
一个软件/工具的安装过程,一般来说只是做两件事:拷贝文件到特定目录和修改注册表。只要搞清楚具体的内容,那么就可以自己在命令行下实现了。(不考虑安装后需要注册激活等情况)

WinPcap是个很常用的工具,但必须在窗口界面下安装。在网上也可以找到不用GUI的版本(但还是有版权页),其实我们完全可以自己做一个。

以WinPcap 3.0a 为例。通过比较安装前后的文件系统和注册表快照,很容易了解整个安装过程。
除去反安装的部分,关键的文件有三个:wpcap.dll,packet.dll和npf.sys。前面两个文件位于system32目录下,第三个在system32\drivers下。而注册表的变化是增加了一个系统服务NPF。注意,是系统服务(即驱动)不是Win32服务。

作为系统服务,不但要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下增加主键,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root下也增加主键。而后者默认只有SYSTEM身份才可以修改。幸运的是,并不需要手动添加它,winpcap被调用时会自动搞定。甚至完全不用手动修改注册表,所有的事winpcap都会自己完成,只需要将三个文件复制到合适的位置就行了。

作为范例,还是演示一下如何修改注册表:利用前面说过的inf文件来实现。

[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=NPF,,winpcap_svr
[winpcap_svr]
DisplayName=Netgroup Packet Filter
ServiceType=0×1
StartType=3
ErrorControl=1
ServiceBinary=%12%\npf.sys

将上面这些内容保存为_wpcap_.inf文件。
再写一个批处理_wpcap_.bat:

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 %CD%\_wpcap_.inf
del _wpcap_.inf
if /i %CD%==%SYSTEMROOT%\system32 goto COPYDRV
copy packet.dll %SYSTEMROOT%\system32\
copy wpcap.dll %SYSTEMROOT%\system32\
del packet.dll
del wpcap.dll
:COPYDRV
if /i %CD%==%SYSTEMROOT%\system32\drivers goto END
copy npf.sys %SYSTEMROOT%\system32\drivers\
del npf.sys
:END
del %0

然后用winrar将所有文件(5个)打包为自解压的exe,并将『高级自解压选项』->『解压后运行』设置为_wpcap_.bat,命令行的winpcap安装包就制作完成了。

注意,批处理最后一行没有回车符。否则会因为正在运行而无法删除自己。

所有的软件安装,基本上可以套用这个思路。但也有例外的,那就是系统补丁的安装。
由于系统补丁有可能要替换正在被执行或访问的文件,所以用copy命令是不行的。
幸好,Windows补丁包支持命令行安装。
比如:

KB824146.exe -n -z -q

-n 不保留备份
-z 不重起
-q 安静模式

如果有一堆补丁要打,那么用RAR打包成自解压文件,外加一个批处理。

for %%f in (KB??????.exe) do %%f -n -z -q
for %%f in (KB??????.exe) do del %%f
del %0

Windows脚本
很多事用脚本来做是很简洁的。下面给出几个常用脚本的echo版。

1,显示系统版本

@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>ps.vbs
@echo wscript.echo ps.caption^&" "^&ps.version:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs

2,列举进程

@echo for each ps in getobject _ >ps.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>ps.vbs
@echo wscript.echo ps.handle^&vbtab^&ps.name^&vbtab^&ps.executablepath:next >>ps.vbs
cscript //nologo ps.vbs & del ps.vbs

3,终止进程

@echo for each ps in getobject _ >pk.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_process").instances_ >>pk.vbs
@echo if ps.handle=wscript.arguments(0) then wscript.echo ps.terminate:end if:next >>pk.vbs

要终止PID为123的进程,使用如下语法:
cscript pk.vbs 123

如果显示一个0,表示终止成功。

然后:
del pk.vbs

4,重启系统

@echo for each os in getobject _ >rb.vbs
@echo ("winmgmts:{(shutdown)}!\\.\root\cimv2:win32_operatingsystem").instances_ >>rb.vbs
@echo os.win32shutdown(2):next >>rb.vbs & cscript //nologo rb.vbs & del rb.vbs

5,列举自启动的服务

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.startmode="Auto" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs

6,列举正在运行的服务

@echo for each sc in getobject("winmgmts:\\.\root\cimv2:win32_service").instances_ >sc.vbs
@echo if sc.state="Running" then wscript.echo sc.name^&" - "^&sc.pathname >>sc.vbs
@echo next >>sc.vbs & cscript //nologo sc.vbs & del sc.vbs

7,显示系统最后一次启动的时间

@echo for each os in getobject _ >bt.vbs
@echo ("winmgmts:\\.\root\cimv2:win32_operatingsystem").instances_ >>bt.vbs
@echo wscript.echo os.lastbootuptime:next >>bt.vbs & cscript //nologo bt.vbs & del bt.vbs

2007年01月24日

SEO工具,站长必备

搜索引擎抓取内容模拟器

可以模拟蜘蛛抓取指定网页Text,Link,Keywords及Description信息
http://www.webconfs.com/search-engine-spider-simulator.php

相似页面检测工具

检验两个页面的相似度.如果相似度达80%以上,将可能受到惩罚
http://www.webconfs.com/similar-page-checker.php

Google Sitemaps 在线创建

在线创建 Google Sitemaps 网站地图文件

中文http://www.xinqj.com/sitemap/sitemap.asp

英文http://www.xml-sitemaps.com/

Google Sitemaps Builder .Net

Google Sitemaps 创建软件, 可以很方便的创建网站的Sitemaps
http://www.seobbs.net/read.php?tid=10620

综合查询工具

网站收录查询

同时查询Google,百度,Yahoo等8个搜索引擎的收录状况
http://tool.cndw.com/Shoulu/Index.asp

关键词排名查询
可以同时在3个搜索引擎中查询指定网页指定关键词的排名情况.
http://www.seores.com/search/keywordrank.asp

搜索引擎优化监视器(SEO Monitor)

一个仅321K的小软件,可以同时查询多个搜索引擎,多个关键词的排名情况.并自动记录历史排名情况.
http://www.seobbs.net/read.php?tid=2490

Google各服务器关键词排名查询

查询在Google各个服务器中,指定网页指定关键词的排名情况,可以作为一个升降的参考
http://tool.cndw.com/Rank/Index.asp

关键词工具

Google Adwords关键词工具

查询指定关键词的扩展匹配,搜索量,趋势和受欢迎度.
https://adwords.google.com/select/KeywordToolExternal

百度相关搜索

按热门程序排序,列出指定关键词相关的扩展匹配及热门程度
http://d.baidu.com/rs.php

关键词密度分析工具

分析指定关键词在指定页面中出现的次数,及相应的百分比密度

中文http://tool.cndw.com/Seo/Key_Density.asp

英文http://www.keyworddensity.com/

关键词热门排行及指数

百度排行榜http://top.baidu.com

百度指数http://index.baidu.com/

Yahoo排行榜http://misc.yahoo.com.cn/top_index.html

搜狗指数http://www.sogou.com/top/?IPLOC=CN1102

搜搜龙虎榜http://www.soso.com/lhb/s_i_sosolhb.shtml

Google工具

Google Sitemaps

Google推出的一项免费服务,一个杰出的SEO工具
http://www.google.com/webmasters/sitemaps/docs/zh_CN/about.html

Google Analytics

Google推出的免费分析服务.在市场营销和内容优化上提供很多专业报表.对搜索引擎营销有很大帮助.
http://www.google.com/analytics/zh-CN/

Google Dance 查询工具

不仅可以查询Dance情况,还可以通过E-mail及时获得每月google dance通知
http://www.seochat.com/googledance/

查看在GOOGLE各服务器上的PR值

利用这个工具,可以判断PR是否更新,预测更新后的PR值
http://www.seochat.com/seo-tools/future-pagerank

Google PR历史更新时间表

看看Google 2000看至今更新PR的具体时间和周期时长
http://www.seocompany.ca/pagerank/page-rank-update-list.html

链接工具

链接广泛度检测工具

反向链接查询工具.同时支持Google,百度,Yahoo等8个搜索引擎
http://tool.cndw.com/LinkIn/Index.asp

查询Google中链接的工具.可以抓取文本标题和链接.中文标题显示的是乱码
http://www.webconfs.com/google-backlink-checker.php

Yahoo新推出的链接检查工具,可以查询网站中所有被检索的页面以及反向链接情况
http://siteexplorer.search.yahoo.com/

同时查询Google,Yahoo,MSN中的链接数量
http://www.trafficzap.com/linkpopularity.php

无效链接检查工具

检查指定页面内的链接.包括链接有效性检查,链接文字,链接类型
http://www.seores.com/search/checkurl.asp

W3C GLink Checker
http://validator.w3.org/checklink

其他工具

国外主要搜索引擎和人工目录的关系表

一个Flash,解析国外主流搜索引擎与人工目录的关系,对海外推广很有帮助
http://www.seobbs.net/read.php?tid=911

网站历史查询工具

美国互联网档案馆(The Internet Archive)保存了自1996年开始,借助Alexa搜索引擎获取的网站资料
http://web.archive.org/collections/web/advanced.html

分类目录收录查询

检查网站是否登录多个重要分类目录
http://www.123promotion.co.uk/directory/index.php

Alexa世界排名查询
http://alexa.chinaz.com/Index.asp

2007年01月22日

GOOGLE 排名监测工具下载

http://www.cleverstat.com/google-monitor.htm

查询关键字使用频率工具

http://inventory.overture.com/d/searchinventory/suggestion

蜘蛛模似器

http://www.webconfs.com/search-engine-spider-simulator.php

关键词密度检查

http://www.seotoolkit.co.uk/keyword_density_analyser.asp

链接流行度 Link Popularity Checker

http://www.seotoolkit.co.uk/link_popularity_checker.asp

PR值查询工具

http://www.webrankinfo.com/english/tools/pagerank.php

检查Google Dance

http://www.webrankinfo.com/english/tools/googledance.php

Google链接广泛度检测器(Google Backlink Checker)

http://www.webconfs.com/Google-backlink-checker.php

搜索引擎抓取页面数量统计器(Search Engine Saturation)

http://www.marketleap.com/siteindex/

链接广泛度检测器(Link Popularity Check)

http://www.marketleap.com/publinkpop/

相似页面检测器(Similar Page Checker)

http://www.webconfs.com/similar-page-checker.php

AdWords关键字工具 查询特定关键词的常见查询及扩展匹配

https://adwords.google.com/select/KeywordSandbox

百度特定关键词的常见查询、扩展匹配及查询热度

http://www2.baidu.com/inquire/dsquery.php

关键字使用频率工具(英文)特定关键词的常见查询及被查询次数

http://inventory.overture.com/d/searchinventory/suggestion

网易关键字搜索热度

http://adpsearch.163.com/find_price.php

搜狐关键字搜索热度

http://db.sohu.com/regurl/pv_price/query_consumer.asp

域名批量查询

http://www.whois.sc

IP转换成域名

http://www.whois.sc/members/reverse-ip.html

2007年01月21日

社会工程学翻译资料

1 社会工程学的定义

       社会工程学是通过操纵合法用户获取机密信息的一种方法。一个社会工程学工程师通常使用电话、互联网来欺骗,让人们暴露敏感的信息或让他们做一些违反某些规定的事情。社会工程学工程师利用人们的自然倾向,信任他或她的话,通过这种方法,胜于利用计算机的安全漏洞。人们普遍同意,“用户是脆弱的一环”的说法,用户的脆弱使得社会工程学成为可能。

一个现代社会工程学攻击的例子是利用包含恶意程序(比如,利用被害者的计算机发送大量垃圾邮件)的电子邮件。恶意邮件的泛滥,使软件提供商关闭了自动执行邮件附件的功能。现在,用户必须明确,才能激活附件。然而许多用户,依然无视他们收到的是什么附件,而直接打开,因此攻击奏效了。

或许最简单,但依然有效的攻击是欺骗用户,让用户以为是管理员,并且询问用户的密码来达到不同的目的。互联网用户经常收到一些信息,询问密码或信用卡信息,谎称是为了“设立他们的账户”或者“恢复操作”或者一些其他的良性操作。这叫做钓鱼攻击。应该尽早的、经常的提醒用户不要泄露敏感信息,密码等给声称是管理员的人。实际上,计算机系统的管理员很少需要知道用户的密码来完成管理任务。尽管如此,根据一个信息安全调查,仍有90%的办公人员用密码和一支笔作交换。

       社会工程也同样适用于面对面的实际接触,来获取接近计算机系统的机会。

培训用户学习安全策略规定并确保他们遵守之,是防范社会工程学攻击的主要办法。

Kevin Mitnick是当今最有名的社会工程学工程师之一。

2 社会工程学基础
第一部分:黑客的战术
一个真实的故事
几年前的一天早晨,一群陌生人步入一个大型船舶公司,然后拿着可以访问整个公司网络的密码走了出来。他们是如何做到的呢?他们只与少量的人有接触,从公司里不同员工那里一点一滴的获取信息。首先,他们在打算踏进公司大门之前,研究了这个公司两天。比如,他们打电话给人事部门,了解到了关键职员的名字。然后,他们装作丢失了钥匙来到正门,招待让他们进入。接着,他们进入第三层安全管制区,又“丢失”了身份牌,一个友善的员工为他们开了门。

这些陌生人知道,首席财政官出差了,他们因此能够进入他的办公室并从未上锁的计算机上获得财务数据。他们叫看门人搬了个垃圾桶过来,把所有文档放了进去,带着满满一垃圾桶数据离开了办公大楼。陌生人曾研究过了首席财政官的声音,所以他们能够打电话,假装首席财政官,说自己急需他接通网络的密码。至此,陌生人就可以使用通常的技术和黑客工具来获得访问系统的超级用户权限。

在这个例子中,陌生人是网络顾问公司的,他们进行的是其他员工不知道的,针对首席财政官的安全审计。在这之前,首席财政官没有给他们任何特别的信息,但他们却能通过社会工程学获得所有他们想要的访问权限。(这个故事是真实工作中的一个经历,是由Kapil Raina讲述的。他现在是Verisign的安全专家、《商业安全:初学者指南》的作者之一,)

定义
我所阅读的大多数讲社会工程学的书大多以对社会工程学的定义开始,比如“是一种让别人顺从你意愿的艺术和方法” (Bernz 2),“一个外部的黑客,为了得到他需要的信息来访问系统,而对计算机系统的合法用户使用心理骗局的方法” (Palumbo),或者是“从人那里获取需要信息(比如密码)胜过破解系统” (Berg)。实际上,根据你的观点,社会工程学可以是这些定义中的任何一个或者包含所有这些定义。有一件事大家似乎都同意,社会工程学是,黑客用智慧,操纵人们相信他人的这一天性。黑客的目的是获取信息,利用这些信息来获得对有价值系统和系统中的信息的未经授权的访问。

安全在于信任。信赖在于保护和真实性。一般大家对用户是安全链上最薄弱环节的看法一致,人天性相信别人的话,让我们易收到攻击。许多有经验的安全专家强调这个事实。不管有多少关于网络漏洞、补丁和防火墙的论文发布,我们只能减少一点点威胁。然后,在清算帐目时却由Maggie或者她的朋友作主。and then it’s up to Maggie in accounting or her friend, Will, dialing in from a remote site, to keep the corporate network secured.

目标和攻击
总的来说,社会工程学基本的目标和黑客技术是一样的:获得未经授权的到系统或者信息的访问,来欺诈,网络入侵、工业间谍、盗取客户身份资料或者只是破坏系统和网络。典型的目标包括电话公司、待客接电话服务、大型知名企业、金融机构、军事和政府部门,以及医院。互联网的爆炸发展The Internet boom had its share of industrial engineering attacks in start-ups as well, but attacks generally focus on larger entities.

找到合适的,现实的社会工程学攻击的例子很困难。目标机构,不是拒绝承认他们是牺牲品(毕竟,承认违背了基本的安全原则不仅仅是令人为难,还可能损害机构的名声)就是没有文件记录攻击,所以没有人能够真的确定是否曾遭到过社会工程学攻击。

至于为什么通过这种方式攻击目标机构,因为用社会工程学方法来获得违法访问往往比通过各种形式的技术破解更简单。既然是技术人员,事情就变得更简单了,常常只是拿起电话然后直接问某个人的密码。大多数情况下,这就是黑客们将做的。

社会工程学攻击发生在两个层面上:物理上的和精神上的。第一,我们要注意那些物理环境易受攻击:工作场所,电话,你的垃圾箱还有网络。在工作场所,黑客可以径直走进门,就像电影里的一样,并装作一个进入机构的维修工人或者顾问。然后,这个入侵者大摇大摆的穿过办公室直到他或她找到一些放在桌面上的密码,随后带着充足的信息离开这个办公大楼。晚上在家,黑客就可以开始探索这个公司的网络了。另一个方法更简单,只要站在那里,看一个健忘的职员如何输入他的密码就行了。

通过电话进行社会工程学攻击
最流行的社会工程学攻击方式是通过电话实施的。黑客会模仿某位领导或相关人员打电话,慢慢的将信息从用户口中套出来。咨询台特别易于受到这种攻击。黑客们可以假装是从公司内部电话交换网络上打来的玩笑电话或者是公司的电话接线员,所以来电者身份不并不一定是最好的防御措施。这里有一个由计算机安全研究院提供的经典电话交换网络欺诈:“嘿,我是美国电报电话公司业务推销,我在做一个调查。我需要你按一些键。”

这有一个更好的例子:“他们在午夜给你打电话,说:‘你在过去六小时之内打过电话到埃及吗?’‘没有啊。’然后他们会说:‘这个电话现在还在打,是从你的电话卡里打往埃及的,有人用你的卡消费了大约2000美元。你要对这2000美元负责,你必须付款……’他们继续说,‘我的工作就是在电话上为您取消这2000美元的费用。但是你需要读出你美国电报电话公司的卡号和个人身份号码,然后我会帮你取消这些收费。’接着,这个人中计。”。

因为咨询台的本职工作就是提供帮助,这一点可能被那些设法获得违法信息的人发现、利用,所以咨询台特别容易受到攻击。咨询台工作人员被训练成友善的,并且是毫无保留的告诉自己知道的,这简直就是社会工程学的金矿。大多数咨询台工作人员受过的安全方面教育极少,所以他们往往只是不断地回答问题,然后接听下一个电话。这会造成巨大的安全漏洞。

计算机安全研究院的主持人作了一个现场示范,演示咨询台是如何的易受攻击,他打电话到电话公司,经过转接,到达咨询台。“谁是今晚当班的?”“哦,是贝蒂。”“请贝蒂听电话。”[他的电话被转接给贝蒂]“你好贝蒂。倒霉的一天对不对?”“没有啊,为什么?”“你的系统崩溃了。”她说:“我的系统没有崩溃,我们一切正常。”他说:“你最好注销看看。”贝蒂注销了系统。他说,“现在登陆。”贝蒂再一次登陆了系统。他说,“我们这里一点显示都没有,我没看到你的状态有任何变化。再注销。”贝蒂又再一次的注销。“贝蒂,我必须用你的账号登陆,看看你的账号出了什么问题。把账号和密码告诉我。”接着,这个咨询台高级主管把账号和密码都告诉了他。

这个电话题材的变型是公用电话和自动取款机。黑客们确实是越过肩膀偷看,最后获得信用卡号和密码。(我的一个朋友在美国的一个大型机场就遇上了。)人们总是在机场里围着电话亭站成一圈,所以这个地方一定要倍加小心。

垃圾搜寻
垃圾搜寻也叫捡废品,是另一种流行的社会工程学攻击方式。从公司的垃圾袋里可以搜集到大量的信息。LAN Times列出了下面的这些东西,在我们的垃圾中他们是潜在的安全隐患:“公司电话簿,组织图,备忘录,公司保险手册,会议日历,时间和节假日,系统手册,打印出的敏感数据或者登陆名和密码,打印出的源代码,磁盘,磁带,公司信签,备忘录表,还有淘汰的硬件。”

对黑客来说,这些资源是提供丰富信息的宝藏。黑客可以从电话簿上了解到人的名字和电话号码,来确定目标或模仿对象。组织图包含在组织内谁是当权者的信息。备忘录里有增加可信度的小信息。规定手册向黑客展示该公司真正的有多安全(或者不安全)。日历就更好了,他们或许可以给黑客提供某一雇员在那个特殊的时间出差的信息。系统手册,敏感数据或者其他技术信息资源也许能够给黑客提供打开公司网络的准确秘匙。最后,淘汰的硬件,特别是硬盘,能够通过技术恢复数据并提供各种各样的有用信息。(我们将会在第二部分讨论如何处理所有这些东西;从碎纸机开始讲是最好的)

网上社会工程学
互联网对社会工程学工程师来说是一片收获密码的沃土。主要的弱点是许多用户常常是在某一个账户上重复使用相同的简单密码:雅虎,Travelocity ,Gap.com什么的。所以一旦黑客获得一个密码,他或她或许可以进入多个账号。其中黑客获取密码的一种方式是通过在线表格:他们可以发送一些有关你独得赌金的信息,并要求用户输入名字(包含电子邮件地址,她或许还能同时获得那个人的公司账户密码)和密码。这些表格可以通过电子邮件或者美国邮政发送。美国邮政从表面上看感觉更好,让你觉得发送邮件的像是大型企业。

在网上,黑客用来获取信息的另一个办法是假装成网络管理员,通过网络给用户发送邮件询问密码。这种社会工程学攻击一般不能成功,因为用户上网的时候更小心黑客,但是用户依然要注意。此外,黑客可以给用户安装程序,来弹出窗口。这些弹出窗口貌似网络的一部分,要求用户重新输入他的用户名或密码来修复某一问题。在这个时候,大多数用户应该知道不要以明文发送密码,但是系统管理员偶尔发出一些简单的安全措施,提醒用户还是应该的。要做得更好点,系统管理员可以警告他们的用户不管任何时候都不要泄露密码,除非是当面,与经授权的,可信赖的员工交谈。

电子邮件可以被用来以更直接的手段进入系统。举个例子,发送包含有病毒,蠕虫或者密码的邮件。一个很好的例子是VIGILANTe记录的攻破美国在线的案子:“在那个案子里,黑客打电话到美国在线,寻求技术支持,他和支持工程师攀谈了一个多小时。在谈话中,黑客提到他的汽车要低价出售。这位技术支持对此非常感兴趣,于是黑客发送了一个带有‘汽车图片’附件的邮件。‘图片’附件执行,打开一个后门,并绕过美国在线的防火墙建立了一个连接。”

说服技巧
黑客们从心理学的观点学习社会工程学,强调如何创造利于攻击的完美心理环境。获得说服力包括下面的一些方法:模仿,迎合,从众,分散责任,还有老用户。不管使用哪种方法,主要目的是使用户相信这个社会工程学工程师是他们可以信赖的,并将敏感信息泄露给他。另一个诀窍是,永远不要一次询问过多的信息,同时为了保持表面上良好的关系,应从不同的人身上获得一点点信息。

模仿通常意味创造某个人并扮演这个角色。角色越简单越好。有时候,可能仅仅是打个电话,说:“嗨,我是管理信息系统的乔,我需要你的密码。”但并不是每次都能成功。有些时候,黑客会研究一个机构里真实存在的一个人,等待他出差,然后在电话上假扮他。据Bernz的书上说,一个黑客曾经曾仅写了很多关于黑客的事情,他们用一些小盒子来伪装自己的声音并学习被害人的语音模式和组织结构图。我认为,这种模仿攻击极少出现,因为需要大量的准备工作,但它确实发生。

在模仿攻击中使用的常见角色有:维修工,IT技术人员,经理,受信赖的第三方(比如,总裁执行秘书,他说总裁授权他来取某个文件),或是同事。在一个大公司里,这并不难做到。因为你没有办法认识所有人,而身份标志可以是假的。黑客扮演的这些角色大多属于那些我们想去讨好的那类人,比如领导。大多数雇员希望给老板留下深刻的印象,所以他们会拼命提供领导需要的信息。

       从众是基于群体的行为,但有时可以用在对个人用户,告诉他其它每个人都已将现在讯问他的这些信息提供给了黑客来让用户信服,例如如果黑客假扮IT经理。当黑客用这种方式攻击,降低员工的压力,分散给出密码时员工的责任感。

当对方产生怀疑的时候,在社会工程学攻击中最好的方法就是友善。这个观点基于一般用户都会信任电话里的这位同事并希望提供帮助,所以黑客真的只需要做得让人觉得基本可信就行了。另外,大多数职员都会礼貌的回应,特别是对女性。稍微奉承一下,或者一句玩笑话对软化目标雇员使之合作可能会有帮助,然而,聪明的黑客知道在雇员产生怀疑之前的什么时候,停止追问信息。如果面对面时,一个微笑或简单的一句“谢谢你”都能奏效。如果还不够,新用户常做的也经常奏效:“我好烦啊,(眨巴眼睛)你能帮我吗?”

逆向社会工程
最后,更高级的获取非法信息的方法叫做“反向社会工程”。这种方法是黑客创造一个在某方面是权威的角色,雇员会主动来问他问题,而不是相反。如果研究,安排并执行得很好,反向社会工程学攻击可能提供给黑客更好的机会从雇员那里获得有价值的信息;可是,这需要大量的准备,研究和攻击之前的踩点。

根据Rick Nelson写的《黑客方法:社会工程学》这本书:反向社会工程学攻击的三部分是破坏,宣告,协助。黑客破坏一个网络,引起一些故障。然后那个黑客宣称他是联系来修复问题的,然后,当他过来修复网络故障时,从雇员那里要走一些信息并达到他此行的真正目的。雇员们永远不会认为他是一个黑客,因为他们的网络故障排除了,每个人都很高兴。

结论
当然,如果一本讲社会工程学的书不提到凯文·米特尼克,那肯定不完整。所以,我会引用《安全焦点》这本书中的他的一篇文章来总结:“你可以花费大量的金钱来购置技术和服务……你的网络体系在过时的手段面前依然脆弱。”第二部分讲:防范策略,要讨论如何通过使用确认攻击,预防技术,培训和策略来防范。

第二部分:防范策略
完全进入
这是一共两章的社会工程学专题的第二部分。在第一部分里,我们定义了社会工程学是黑客用智慧,操纵人们相信他人的这一天性。黑客的目的是获取信息,利用这些信息来获得对有价值系统和系统中的信息的未经授权的访问。回顾一下:社会工程学最基本的目标与黑客活动一样,总的来说都是:为了制造欺诈,网络入侵,工业间谍,窃取身份或只是破坏系统和网络而去获得未经授权的到系统的访问。

我第一次尝试社会工程学是在了解这个术语的含义之前。在初中、高中时,我曾是我们学校所在区域的驾驶技术委员会学生代表。当我二年级的时候,这个行政区在准备组建跨越整个区的网络的前一年,想在我们学校测试这套计算机网络。他们招标并选择了建设网络的硬件和软件,我的工作是测试网络。一天,我注意到这些新机器和外围的设备都没有上锁,我就拿了一台显示器和一个鼠标,然后到楼下看有没有人注意到我。确实没人看到我。我决定把他们带出去。我成功的把东西带到了停车场的后面,后来我觉得这次试验已经成功,并把东西送还了回去。

事实上没有一个人注意到我,或者阻拦我。这让我重新思考网络安全到底意味着什么。我向负责人汇报了这次测试。第二年,在本区所有新电脑和设备都上了锁。我的经历说明,社会工程学攻击可以是如此的简单,直接而有效。至今,我都想知道因为没有防范社会工程学,学校和社区到底损失了多少计算机设备。接下来,本文会讨论一些帮助个人和组织机构防范社会工程学攻击的方法。我指的是反击社会工程学的策略。

从哪里开始呢?安全策略
社会工程学攻击包括两个不同的方面:一个是物理方面,即攻击地点,例如工作场所,通过电话,垃圾搜寻,网上;一个是心理方面,指的是实施攻击的方法,例如说服,模仿,迎合,从众和友善。因此,防范策略需要在物理和心理两个层面上都有所动作。雇员培训是必须的。很多公司犯的错误是只为物理层面的攻击作了应对计划。而从社会-心理学角度来看,确实门洞大开。所以在最初,管理层必须了解开发、实施完善的安全策略和规程的必要性。管理层必须认识到如果没有足够的防范社会工程学和反向社会工程学攻击,那么他们在软件升级,安全设备和审计上花的钱只是浪费 (Nelson) 。策略的一个优势是,它消除了雇员回应黑客要求的职责。如果黑客的要求是被策略禁止的,那么雇员除了拒绝黑客的请求,没有别的选择。

坚固的策略可以概括,也可以具体,而我建议最好不要太概括也不要太具体。这样,策略的实施者在未来的规程修改中就有更大的灵活性,同时限制全体雇员,在每日的工作中不能过于放松(见安全焦点的《安全策略导论》系列)。安全策略应该讲述信息访问控制,建立账号,获得批准和密码修改。永远也不要让公司内部网络获得到调制解调器访问。应该配置锁具,身份认证以及碎纸机。违反安全策略的人应该被曝光并强制改正。

防止物理攻击
理论上,优良的物理安全似乎就像一个木头人,但是为了真正防止商业机密离开公司大楼,额外的谨慎还是需要的。任何进入大楼的人的身份都应该被检查、核实。无一例外。一些文档需要被放在上锁的文件抽屉里或者安全的存储地点(同时,抽屉等的钥匙不要放在显而易见的地方)。其它文档可能需要切碎——特别是那些放在垃圾筒旁边的。同样的,所有的磁存储媒体都应该分别消磁,因为“数据可以从被格式化的磁盘或硬盘中找回来。” (Berg)。将锁好的垃圾箱存放在有保安监控的安全地方。

回到大楼内,应该说,在网络上所有的机器(包括远程系统)都要切实落实好密码保护。(你可以在安全聚焦的文章《密码黑客——确保你的密码安全中找到一些有用的提示》)推荐使用屏幕保护密码,可以用PGP和其他加密程序来加密硬盘上的文件以提供额外的保护。

电话和电话网络
一种常见的犯罪是通过机构的电话交换机,或者私人交换分机,机构内部的专用电话网非法拨打长途电话。黑客们可以拨入电话然后假扮成某人,要求电话转接到外线,花这个机构的钱,打电话到世界各地。可以通过制定不允许转接电话,控制海外和长途电话,以及跟踪可以电话的策略来预防。如果遇见谁打电话过来,说他们是电话技术员,需要获得密码,那他或她肯定在说谎。就拿Verizon通讯公司的资料来说,电话技术员开展测试不需要用户的协助,因此应该怀疑要求密码或其他认证的事情 (Verizon)。所有的员工都应注意这点,他们就不会再上当了。

就像第一部分所讲的那样,咨询台是社会工程学攻击的主要目标,因为他们的工作就是告诉客户有用的信息。保护咨询台免受社会工程学攻击的最好方法就是培训。没有授权时,咨询台应该完全的拒绝泄露密码。(实际上,他应该是组织策略绝不能通过电话或者电子邮件泄露密码;相反,它们只应该透露给信任的人,有授权的人)回拨电话,个人身份号码和密码也可以增加安全性。如果有疑问,应鼓励咨询台工作人员“当感觉电话有问题时,停止服务” (Berg)。换句话说,只需要说不。

培训,培训,再培训
培训员工的重要性延伸到咨询台之外,横跨整个机构。根据企业机密信息专家,Pro-Tec Data公司总裁兼首席行政官Naomi Fine的资料,员工必须接受“如何鉴别应被考虑为机密的信息,并对自己保护它们安全的职责有清醒的认识” (Pro-Tec Data)。为了成功,机构必须将计算机安全作为所有工作的一部分,不管员工是否使用计算机(Harl)。机构里的每一个人都要明确的知道为什么这些指定的机密信息至关重要;因此,机构因为有了保护网络安全的责任感而获益。(Stevens)

所有的员工都应该接受如何安全的保存机密信息方面的培训。让他们参与安全策略(Harl)。请所有新员工参加安全讲座。每年为员工提供最新的资料。另一种被Fine女士推荐的方式是通过发行月刊增加员工的参与。就拿Pro-Tec Data公司来说,月刊包含真实的安全事故案例,以及这些事故可以如何防范。这使员工认识到放松安全意识潜藏着风险。根据SANS的记录,机构使用“下面的一些组合:视频,杂志,手册,标记,海报,咖啡杯,钢笔和铅笔,印有字的鼠标垫,屏幕保护,登陆横幅,记事本,桌面物品,T恤和不干胶” (Arthurs)。哇啊,我能生动的描述呆伯特在他的小卧室里的所有东西。然而,重要的是,这些观点经常变更,雇员们会忽略他们的意思,把它当作耳边风。。

识别社会工程学攻击
显然,为了对付攻击,能够分辨出攻击是很有用的。计算机安全研究院记录有许多可以用于分辨社会工程学攻击的征兆:拒绝提供联系资料,急匆匆地,借他人名声,胁迫,犯小错误(拼写错误,用词不当,古怪的问题),以及询问禁止泄漏的资料。“不能自圆其说。”试着想象你就是一名黑客。Bernz建议人们去熟悉一下这些作品,比如夏洛克.福尔摩斯故事系列,如何交朋友和影响他人,心理学书籍,甚至《宋飞传》(宋飞和乔治确实在编造故事方面很有一套)(Bernz)。要想了解敌人,就要学会换位思考。

公司可以不断地开展一些有关安全意识的活动来确保安全。公司的内部网络是实施这些方法的宝贵资源,特别是如果包含有在线通讯,电子邮件提醒,游戏训练,和严格的密码修改需求。最大的问题是,员工也许会变得得意洋洋而忘记安全。获得持续不断的保护的关键是在整个机构中不断地提醒注意安全——有些机构甚至创造了一些安全意识的节目,如上述发给员工的小玩意儿。

反击社会工程学攻击
如果员工察觉有可疑事情,他或她需要按程序报案。应有一个人负责追踪这个事情——最好是事故应急小组的成员,如果机构中有这个部门。同时,这位员工应该给其他相同职位的同事通报,因为他们也可能受到攻击。事故应急小组或者管理追踪此事的人(安全小组的成员和/或系统管理员)可以调整对事件做出适当的回应。

凯文·米特尼克曾在他的文章“我参加的第一次密码学会议”记录了一个有趣的事。米特尼克说,会议组织者决定不召开社会工程学会议是一个错误,他说:“你可以在这次展会,演说者和赞助商处花大价钱购买技术和服务,但是你的网络基础设施依然很容易受到过时的骗术的攻击。”这事是很重要的。提高认识,更多的安全机构应该在他们的程序和会议中优先考虑社会工程学。同时,机构、公司应该经常开展安全审计,这样他们的安全就不会变味。

下表列出了一些常见的入侵伎俩和防范策略:

危险区
黑客的伎俩
防治策略

电话(咨询台)
模仿和说服
培训雇员,咨询台永远不要在电话上泄露密码或任何机密信息

大楼入口
未经授权进入
严格的胸牌检查,员工培训,安全人员坐镇、

办公室
偷看
不要在有其他人在的情况下键入密码(如果必须,那就快速击键)

电话(咨询台)
模仿打到咨询台的电话
所有员工都应该分配有个人身份号码已获得服务台的支持

办公室
在大厅里徘徊寻找打开的办公室
所有的访客都应该有公司职员陪同

收发室
插入伪造的备忘录
监视,锁上收发室

机房/电话柜
尝试进入,偷走设备,附加协议分析器来夺取机密信息
保证电话柜、存放服务器的房间等地方是锁上的,并随时更新设备清单

电话和专用电话交换机
窃取电话费
控制海外和长途电话,跟踪电话,拒绝转接

垃圾箱
垃圾搜寻
保证所有垃圾都放在手监视的安全区域,对此记录媒体消磁。

企业内部网和互联网
在企业内部网和互联网上创造、安插间谍软件偷取密码
持续关注系统和网络的变化,对密码使用进行培训

办公室
偷取机密文档
在文档上标记机密的符号,而且应该对这些文档上锁

心理
模仿和说服
通过持续不断的提高员工的意识和培训

切实的防御
是的,现实中的防御是一项是人畏缩的任务。让我们现实一点,大多数公司没有财力和人力来完成以上列表中的所有项目。然而,有些用于防堵网络漏洞的钱可以调整一下。虽然不像网络漏洞般明显,但威胁是现实存在的;不过,我们也不希望制造一些草木皆兵的咨询台工作人员。只需要聪明和合理。保持士气高昂,并在不牺牲安全的条件下有一个宽松的企业文化是有可能的。对游戏规则稍作修改,入侵者就没有机会了

2007年01月07日

一、程序下载

安装版下载:

http://wap.chinaz.com/x/xplorer/xplorer_1.2.0_Setup.exe
http://www.xsf.com/files/xplorer_1.2.0_Setup.exe

绿色版下载:

http://wap.chinaz.com/x/xplorer/xplorer_1.2.0.rar
http://www.xsf.com/files/xplorer_1.2.0.rar

MD5校验和:
6b9c0eb6c71bb39fedd6c7b6d4dada9a xplorer_1.2.0_Setup.exe
e7e3580d06f657a88f3113725d698f07 xplorer_1.2.0.rar

二、软件介绍

软件名称:X浏览器
软件版本:V 1.2.0
软件作者:XPower Lab
作者邮件:secyou@gmail.com
网站名称:XPower::做最安全的客户端
网站地址:http://www.secyou.cn
语言版本:简体中文
授权形式:免费软件
应用平台:Win9x/WinME/Win2000/WinXP/Win2003

X浏览器是一款真正好用又安全的浏览器,安全上网首选。

基本特征

1. X浏览器在Mozilla FireFox的基础上开发,使用IE Tab扩展实现FireFox 和 IE 双内核支持,自由切换。兼顾安全性与可操作性。
2. 强大的安全性,有效杜绝木马程序和恶意插件。
3. 不捆绑任何流氓软件,真正绿色环保软件。
4. 强大的广告过滤能力,完全屏蔽弹出窗口,有效杜绝浏览过程的视觉污染,并极大提高网页打开速度。

增强特性

1. 集成 RSS 订阅能力
2. 集成网络文章采集管理能力
3. 地址拦输入搜索,拖拽式搜索能力
4. 多语言翻译能力
5. 可以灵活结合迅雷,十倍速提升下载速度
6. 常用网址导航

三、版本更新

V 1.2.0 版本更新

主程序升级
优化插件,提高启动速度。
修改了Firefox原有的某些菜单项,令其更符合国人的使用习惯。

扩展更新:

更新:AdBlock Plus、All-in-one Gestures、Fasterfox、FlashGot、gTranslate、IE Tab、MediaWrap、Sage、ScrapBook、Table Repairer、Undo Closed Tabs Button、Grag de Go、CuteMenus
新增:Tab Mix Plus、Thunder Extension、Pearl Crescent Page Saver Basic
删除:Tab Mix Lite CE、Fission

主题更新:

更新:Doodle Plastik主题

新增功能:

通过Tab Mix Plus扩展,X浏览器提供了比原先使用Tab Mix Lite CE时更多的标签页功能。
Thunder Extension扩展使您无需进行任何设定,就可以使用迅雷下载网上资源。
Pearl Crescent Page Saver Basic是一个将网页保存为图片的扩展。在X浏览器中,您只需要按下F12,网页就被保存为了图片文件。

科技时代_专访美国黑客学院校长:学生来自FBI及NASA
芝加哥黑客学院教室

  领先黑客一步的黑客学院

  首个用“黑客”来冠名的芝加哥黑客学院,就是一所提供防御黑客攻击课程的学院。FBI 属下的特别部门、美国航空航天局(NASA) 的雇员、独立咨询师和公司里的IT部总监们,都是这所学院的学生。

  文/丁晓蕾

  就在拨通芝加哥黑客学院(The Hacker Academy) 校长阿朗·柯亨(Aaron Cohen)的电话那一刻,记者也没有停止把电话那头的他想象成霍格沃茨校长邓布利多的模样:戴着半月形的眼镜,乱蓬蓬的银白色胡子长到可以塞进腰带里。事实上,尽管电话那头的阿朗·柯亨正患重感冒,可任谁也听得出他是个沉稳的美国年轻人—31岁,犹太裔美国人,在商业领域工作多年,跟邓布利多没有半点关系。

  “黑魔法”防御术

  全民皆网的时代,我们用MSN与朋友聊天,在淘宝上买新款运动鞋,用付费通支付水电费—总之,只要你乐意,你就可以只靠一台电脑、一根网线、一张可在网上支付的

银行卡生活下去。这样的生活虽然方便惬意,但是也很容易被黑客盯上,造成损失。

  调查报告显示,有目的的黑客活动、合作间谍及数据窃取活动在急剧增加。这些活动更隐蔽,更有组织性,且目标明确,被专家称为“专业性的恶意攻击”。黑客活动已不再只是为了好玩,现在,他们从事这类活动是为了谋生。有些地方甚至发展出了“收保护费”的情况,黑客们侵入一家公司的网络终端,然后勒索钱财,“不给钱就搞垮你”。黑客袭击的类型多样,大到几年前曾在全球范围内大爆发、导致上百亿美元损失的“我爱你”病毒,小到商业间谍从银行、信托公司或个人那里窃取机密信息数据的各种行为,应有尽有。

  因此,越来越多的公司和政府机构需要有人来教他们如何防范日益升级的黑客攻击,他们不得不相应地调整预算、防御策略和管理方针,掏钱送IT 部门的员工去学习防御黑客袭击的技术。很多网络安全公司应运而生,为客户提供防黑客攻击的课程。

  身为商人的阿朗·柯亨看到了这一点,2006年11月,他在芝加哥开了一所自己的黑客学院,学院所教授的内容在我们一般人看来简直像黑魔法一样可怕: phishing schemes、ping sweep、蠕虫病毒、木马病毒、防火墙攻击和一些类似Google 搜索的先进技术⋯⋯在黑客学院教授“黑魔法防御术”的罗福·伊克麦迪(Ralph Echemendia) 是阿朗·柯亨多年前认识的朋友,也是美国乃至全世界数一数二的信息安全专家,曾为众多机构提供过相关的技术培训,被CNN、FOX新闻、

福布斯杂志、今日美国甚至“动物星球”等诸多媒体报道过。很多学生就是冲着他的名声,才选择了黑客学院。

  喜欢戴棒球帽的Echemendia虽然是个资深的“有道德的黑客”,但却与现实中的黑客团体保持着密切的联系,甚至还是一些黑客活动的组织者。照他的话说,只有这样,才能“跟得上形势”。

  “像黑客一样思考”

  “黑客学院并不是第一家提供这种课程的地方,但是我们是第一个用‘黑客’来冠名,第一家完全提供防御黑客攻击课程的学院。”阿朗·柯亨说。

  学院不是教授学生如何成为黑客,而是教他们如何“像黑客一样思考”或者说,如何领先黑客一步。阿朗·柯亨说:“我希望人们不再会一听到‘黑客’这个词就害怕,如果你能像黑客一样思考,你知道他们将要搞的把戏,你就可以防止一些黑客袭击。”在黑客学院的招生名单里,有FBI属下的特别部门、美国航空航天局(NASA) 的雇员、独立咨询师和公司里的IT部总监们等等。

  阿朗·柯亨主要负责学院的商业运营,而课程的内容则由Ralph Echemendia来负责。“我们提供大量的现实案例供学生实践学习,跟很多学校不同的是,我们提供实体教学和网络教学两种教学方式,学生可以自由选择。”学校提供两种5 日制的课程,分别是认证网络分析员课程和认证道德黑客课程,学成的学员将被分别颁发ECSA(

电子商务安全分析员) 证书和CEH( 认证道德黑客证书),两者皆由电子商务咨询国际委员会颁发,尤其是后者,正越来越被各大公司和政府机构看重,成为新的求职砝码。

  除此之外,学校还为那些没有时间参加全日课程或者无力支付昂贵学费的人在网上开设了“午夜黑客”的课程,连续两个整晚由指导老师在网络上教授一些最实用的技巧,学费是一人695美元,相对全日制课程几千美元的价格实惠许多,但没有认证证书。

 

  新华网北京1月5日电 (记者 李京华) 北京市第二中级人民法院日前对涉及“恶意软件”的不正当竞争纠纷案的北京阿里巴巴信息技术有限公司诉北京三际无限网络科技有限公司侵犯著作权及不正当竞争纠纷一案作出一审判决,判令三际无限公司赔偿阿里巴巴公司经济损失3万元及诉讼合理支出4万余元。

  据法院介绍,阿里巴巴公司的起诉称:三际无限公司向公众提供“奇虎安全卫士”(又名“360安全卫士”)软件,同时通过其他网站和免费工具软件进行捆绑传播。“奇虎安全卫士”软件将雅虎助手和雅虎Widget软件列为所谓恶意软件,导致用户无法正常使用雅虎助手和雅虎Widget软件。

  阿里巴巴公司认为,雅虎助手和雅虎Widget软件并非三际无限公司所称的恶意软件,而是由用户自主选择、可以彻底卸载、不损害用户任何权益的正常软件。三际无限公司的上述行为侵犯了阿里巴巴公司对雅虎助手和雅虎Widget软件享有的著作权,损害了阿里巴巴公司的商誉,构成不正当竞争。

  二中院审理认为,三际无限公司在“奇虎安全卫士”软件中将雅虎助手软件描述为:“软件类别:有潜在风险的;恶意表现:强制安装、干扰其他软件运行、浏览器劫持;危险级别:中”,并将雅虎助手软件默认选中为清除,还在媒体上宣传雅虎助手软件是恶意软件。三际无限公司的上述行为缺乏法律依据。

  审理法官说,将同业竞争者的产品称为“危险”应当具有充分的事实和法律依据。三际无限公司在“奇虎安全卫士”软件中将雅虎Widget软件标注为“危险”,并将雅虎Widget软件默认选中为清除,上述行为构成不正当竞争,应当承担停止侵害、赔偿损失的法律责任。

2007年01月04日

Acrobat Reader缺陷触发跨站点脚本攻击

 CNET科技资讯网 1月4日国际报道 Acrobat Reader软件中的一个安全缺陷对于网络诈骗犯罪分子而言可能是个福音。

  赛门铁克和VeriSign iDefense表示,Acrobat Reader浏览器插件中的一个错误使网络诈骗犯罪分子指定一个托管有恶意Adobe PDF文件的网站的地址。

  犯罪分子可以构造一个似乎是值得信赖的链接,并增添在链接被点击后就会运行的恶意JavaScript代码。

  VeriSign iDefense快速响应团队的主管敦汉姆说,例如,犯罪分子可以在一个空白网站上找到一个PDF文件,然后创建指向该文件和恶意JavaScript代码的链接。

  敦汉姆表示,这一缺陷使得系统可能出现跨站点脚本(XSS)攻击,窃取cookie、对话信息,甚至黑客可能开发XSS蠕虫。

  赛门铁克表示,Adobe软件中的这一缺陷可能会刺激XSS攻击的增长。过去,这类攻击都需要利用网站中的安全缺陷,Adobe Reader中的这一缺陷首次使得客户端应用软件成为跨站点脚本攻击的帮凶。

  赛门铁克警告称,这一缺陷可能会极大地改变传统的跨站点脚本攻击的格局。

  Adobe在一份电子邮件声明中说,为了减轻这种威胁,用户可以升级到上个月发布的Adobe Reader 8。Adobe还表示,正在开发以前版本的Adobe Reader补丁软件。

  赛门铁克还表示,用户还可以强制PDF文件只能在Acrobat客户端软件而不能在浏览器插件中打开。

2006年12月10日

中国××公司

2006年03 月30 日

文档控制

拟 制:  
审 核:  
标准化:  
读 者:  

版本控制

版本   提交日期   相关组织和人员   版本描述
V1.0   2005-12-08    
V1.1   2006.03.30    

目 录
1   概述   1
1.1   适用范围   1
1.2   实施   1
1.3   例外条款   1
1.4   检查和维护   1
2   适用版本   2
3   业务使用警告   2
4   用户帐户设置   2
4.1   UID-用户ID基本要求   2
4.2   UNIX中Root安全标准   3
4.3   默认系统帐户安全标准   3
4.4   密码要求   5
4.5   密码保护   7
4.6   限制登陆失败次数   7
4.7   GID-组ID的基本要求   7
5   网络设置   8
5.1   IP协议栈的安全设置   8
5.1.1   套接字队列长度定义用来防护SYN攻击   8
5.1.2   重定向   8
5.1.3   源站路由   9
5.1.4   TIME_WAIT设置   9
5.1.5   ECHO回应广播   9
5.1.6   地址掩码查询和时间戳广播   10
5.2   /etc/hosts.equiv, .rhosts和.netrc配置文件   10
5.3   X Window系统   11
5.4   其他网络服务安全设置标准:   11
5.5   /etc/hosts.deny和/etc/hosts.allow的配置规范   12
6   权限控制   13
6.1   用户文件和HOME目录属性   13
6.2   操作系统资源   13
7   操作系统补丁管理   14
8   审计策略   14
8.1   系统访问日志   14
8.2   日志记录保存期限   14
8.3   Sudo日志记录   14
9   附则   15
9.1   文档信息   15
9.2   其他信息   15

1   概述
安全配置标准提供中国××公司(下简称“中国××公司”)UNIX操作系统应当遵循的安全性设置的标准,本文档旨在帮助系统管理人员,利用UNIX操作系统内建的安全配置,以建立一个更为安全的环境。
1.1   适用范围
本规范的使用者包括:
主机系统管理员、应用管理员、网络安全管理员。
本规范适用的范围包括:
支持中国××公司运行的AIX,Solaris和Linux(Redhat Linux)主机系统。
1.2   实施
本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准一经颁布,即为生效。
1.3   例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。
1.4   检查和维护
根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。
任何变更草案将由中国××公司IT管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。
2   适用版本
AIX 版本5.1, 5.2, 5.3;
Solaris 7,8,9
Redhat Linux 7.2, 7.3

3   业务使用警告
要求设置业务使用提示警告:
系统值/参数   内容
/etc/motd   中国××公司内部生产系统只能因中国××公司业务需要而使用,经由管理层授权。中国××公司管理层将随时监测此系统的使用。

SinoPEC production server can only be used for business purpose, with appropriate manager team’s authorization. SinoPEC manager team will monitor the usage of this system.

4   用户帐户设置
4.1   UID-用户ID基本要求
系统值/参数   描述   设置要求
UID   适用于所有的UID   每个UID必须只能用一次,并唯一对应一个操作系统用户帐号。

4.2   UNIX中Root安全标准
对于系统Root帐户必须满足以下要求:
Root帐户的UID必须是唯一的0;
Root帐户是root组的唯一用户;
Root帐户必须在每个系统本地有相关定义;
Root帐户和目录下不能存在/root/.rhosts或/root/.netrc文件,如果存在也必须为空,而且文件所有者和所有组必须为root和root组。其相关权限为r——-;
Root的登录脚本中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。
Root的cron jobs中不能使用到非root帐户拥有的文件或拥有全局读写权限的文件。
对于root所运行的命令必须使用全路径. (例如. /bin/su),或对于root的$PATH环境变量中不能含有相对当前目录(.), 相对子目录(./)和相对父目录(..)定义;
root 帐号不允许进行远程登录操作,远程需要root的访问需求,必须要求使用普通个人用户帐号进行登录后通过SU命令切换到root帐号。
REDHAT: 可以通过在/etc/securetty配置文件实现root的登录控制,/etc/securetty文件中包含了所有的可供root登录的TTY端口,这个配置文件在默认的状态下只包括了物理终端console TTY
必须有相应的日志记录来跟踪成功或失败的su尝试。这个功能可以通过使用pam_wheel模块来实现。在/etc/pam.d/su添加如下auth required /lib/security/pam_wheel.so debug group=sinoadmin配置信息来确保只有在sinoadmin系统组的成员帐号才可以使用/bin/su命令切换到root。要添加一个用户到这个系统组,可以使用如下命令来实现:
#usermod -G sinoadmin userid (userid=the userid)

SOLARIS: 对于root的物理终端console登录限制可以通过在/etc/default/login配置文件中添加CONSOLE=/dev/console配置行来实现。

AIX:在/etc/security/user配置文件中的root帐号的配置段落必须存在rlogin = false的配置定义,以此来实现Root的物理终端console登录限制。
4.3   默认系统帐户安全标准
对于UID从1到99必须保留给默认系统帐号或应用系统帐号使用,通常对于这些用户不需要登录访问,故此可以通过在/etc/shadow (REDHAT or SOLARIS) 或/etc/security/passwd (AIX) 文件相关的口令字段中设置“*”号来实现。

REDHAT: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)。
nfsnobody
games
rpc
postgres
nscd
news
gopher
named
rpcuser

SOLARIS: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)。
lp
uucp
nuucp
listen
smtp
对于默认的系统帐号只能是使用如下的UID:
root:0
bin:2
adm:4
noaccess:60002
daemon:1
sys:3
nobody:60001
nobody4:65534
如下的默认系统帐号已经被通过在/etc/shadow文件中的NP – No Password 或 *LK* – Locked的定义来限制其相关的登录访问权限。
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
nobody:NP:6445::::::
noaccess:NP:6445::::::
nobody4:NP:6445::::::

AIX: 对于安装过程会建立许多通常不需要使用的系统帐号。对于下列的系统用户帐号可以锁定或删除(如没有相关的使用需求)
Guest
UUCP
Nuucp
Lpd
Nobody
下列系统用户和组必须采用以下的UID和GIDs
Userids   Groupids
root:0   system:0
daemon:1   security:7
bin:2   bin:2
sys:3   sys:3
adm:4   adm:4
uucp:5   uucp:5
nuucp:6   mail:6
lpd:9   printq:9
imnadm (no assigned UID)   cron:8
ipsec (no assigned UID)   audit:10
ldap (no assigned UID)   shutdown:21
lp (no assigned UID)   ecs:28
snapp (no assigned UID)   imnadm (no assigned GID)

ipsec (no assigned GID)

ldap (no assigned GID)

lp (no assigned GID)

haemrm (no assigned GID)

snapp (no assigned GID)

4.4   密码要求
密码的强度要求,Solaris系统的具体要求如下:相关配置文件/etc/default/passwd。
系统值/参数   描述   设置要求
MAXWEEKS   密码有效期限的最大周数
(Maximum number of weeks that can pass before a password must be changed.)   13
WARNWEEKS   在密码过期前的警告信息显示
(Number of weeks show warning message before the password expired.)   2
MINWEEKS   密码有效期限的最少周数
(Minimum number of weeks that must pass before a password can be changed)   0
PASSLENGTH   密码长度
(Password length)   8

AIX系统的具体要求如下:相关配置文件/etc/security/user。
系统值/参数   描述   设置要求
maxage   密码有效期限的最大周数
(Maximum number of weeks that can pass before a password must be changed.)   13
maxrepeats   可重复的连续字符数
(Number of repeating consecutive characters)   2
minage   密码有效期限的最少周数
(Minimum number of weeks that must pass before a password can be changed)   0
minalpha   最少字母数
(Minimum number of alphabetic characters)   1
mindiff   与前一次密码的最少不同字符数
(Number of characters not found in last password)   1
minother   最少的非字母数
(Number of non-alphabetic characters)   1
minlen   密码最小长度
(Minimum password length)   8
histsize   禁止重复使用密码次数
(Number of previous password that can not be used)   2
flags=NOCHECK   参数在/etc/security/passwd。
(Option in   /etc/security/passwd)   不允许任何需要密码的用户帐号设置NOCHECK。

Redhat Linux系统的具体要求如下:相关配置文件/etc/login.defs。
系统值/参数   描述   设置要求
PASS_MAX_DAYS   密码有效期限的最大天数
(Maximum number of days that can pass before a password must be changed.)   91
PASS_MIN_DAYS   密码有效期限的最少天数
(Minimum number of days that must pass before a password can be changed)   0
PASS_MIN_LEN   密码最小长度
(Minimum password length)   8
PASS_WARN_AGE   在密码过期前的显示警告信息
(Number of weeks show warning message before the password expired.)   14
N/A   禁止重复使用密码次数
(Number of previous password that can not be used)
在/etc/pam.d/system-auth,/etc/pam.d/passwd和/etc/pam.d/login,添加如下定义
password required /lib/security/pam_unix.so nullok remember=4 use_authtok md5 shadow

password sufficient /lib/security/pam_unix.so nullok remember=4 use_authtok md5 shadow
之后要运行如下命令:
# touch /etc/security/opasswd   4

4.5   密码保护
对于AIX系统有如下要求:
系统值/参数   描述   设置要求
/etc/passwd   包含userid, uid, gid, 和misc   必须不能包含密码
/etc/security/passwd   包含有经过加密保护的密码信息   此文件和其相关的拷贝文件只能由所有者root拥有读或写的权限。

对于Solaris和Redhat Linux系统有如下要求:
系统值/参数   描述   设置要求
/etc/passwd   包含userid, uid, gid, 和misc   必须不能包含密码
/etc/shadow   包含有经过加密保护的密码信息   此文件和其相关的拷贝文件只能由所有者root拥有读或写的权限。

4.6   限制登陆失败次数
AIX系统具体要求:
系统值/参数   描述   设置要求
loginretries     帐号被锁住之前登陆失败的次数   除root之外其他帐号的值设为5

Redhat Linux系统具体要求:
系统值/参数   描述   设置要求
N/A     可以通过/etc/pam.d/system-auth配置文件中添加"auth required /lib/security/pam_tally.so onerr=fail no_magic_root"
"account required /lib/security/pam_tally.so deny=5 reset no_magic_root per_user"来实现。   5

4.7   GID-组ID的基本要求
系统值/参数   描述   设置要求
GID   适用于所有的GID   每个GID必须只能用一次,并唯一对应一个操作系统用户组。
0-99 GID的使用   使用于0-99的GID   保留给默认系统组或应用程序组使用,

5   网络设置
5.1   IP协议栈的安全设置
5.1.1   套接字队列长度定义用来防护SYN攻击
现在有一种流行的攻击方式是SYN洪水攻击,攻击者通过使用大量伪造的连接请求信息来填满被攻击服务器的套接字队列。要防止这种方式的攻击,可以通过增加套接字队列的大小和数量来进行防护,分流入站的套接字连接请求,例如,有两个队列,一个针对半打开套接字(SYN收到, SYN|ACK已经发送), 另一个队列对于已打开套接字等待从应用程序发出的accept()请求。通过这些设置来减轻SYN攻击造成的影响,从而提高了系统的稳定性和可靠性。

通过以下命令或配置来增加套接字队列的大小:
REDHAT Linux:在/etc/sysctl.conf文件中添加net.ipv4.tcp_max_syn_backlog=1280定义,增大套接字队列的大小;
SOLARIS: 在/etc/init.d/inetinit或/etc/init.d/secure_ndd文件中添加/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024定义,增大套接字队列的大小和数量,q套接字队列将单独等待从应用程序发出的accept()请求;
AIX: 在/etc/rc.net文件中添加/usr/sbin/no -o clean_partial_conns=1定义,使得系统内核随机地删除在对了q0中的半打开套接字请求。

5.1.2   重定向
IP重定向通常用来修改远程主机的路由表信息,必须禁止发送和接收重定向信息。
REDHAT:在/etc/sysctl.conf文件中添加如下配置定义:
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
SOLARIS:在/etc/init.d/inetinit中添加如下配置定义:
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0
AIX: 在/etc/rc.net添加如下配置定义:
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0

5.1.3   源站路由
利用源站路由,攻击者可以尝试到达内部IP地址,所以必须禁止接受源站路由数据包来防止对于内部网络的侦测。
REDHAT: 在/etc/sysctl.conf文件中添加如下配置来丢弃所有的源站路由数据包,
net.ipv4.conf.all.accept_source_route=0
下列配置用来禁止转发相关的源站路由数据包。
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.mc_forwarding=0
对于内核版本2.4以上:在/etc/sysctl.conf添加如下配置。
net.ipv4.ip_forward=0
net.ipv4.conf.default.rp_filter=1
SOLARIS:在/etc/init.d/inetinit文件中添加如下配置来禁止转发相关的源站路由数据包,
/usr/sbin/ndd -set /dev/ip ip_forward_src_routed 0
AIX: 在/etc/rc.net文件中添加如下配置来丢弃所有的源站路由数据包,
/usr/sbin/no -o ipsrcroutesend=0
下列配置用来禁止转发相关的源站路由数据包。
/usr/sbin/no -o ipsrcrouteforward=0

5.1.4   TIME_WAIT设置
对于繁忙的Web服务器,许多套接字会处于一个TIME_WAIT状态。这是由于客户端应用程序没有完全的关闭一个套接字连接所造成的。这个可以被攻击者所利用来进行DOS或DDOS攻击。故此建议对于任何停留在TIME_WAIT状态的套接字的等待时间不能超过60秒。
REDHAT 6.2: 在/etc/sysctl.conf文件中添加如下配置行
net.ipv4.vs.timeout_timewait=60
任何的套接字不会在TIME_WAIT状态等待超过60秒。
REDHAT 7或以上版本:在/etc/sysctl.conf文件中添加如下配置行
net.ipv4.tcp_fin_timeout=60
SOLARIS:在/etc/init.d/inetinit文件中添加如下配置行
/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000
对于Solaris 7, 这个参数名为tcp_close_wait_interval.
AIX: 无

5.1.5   ECHO回应广播
攻击者可以通过一个伪造的IP地址来发送ICMP (ECHO REQUEST)信息,一些IP协议栈会对于这些信息进行回应。这将造成大量网络资源被无端消耗,因此要禁止对于直接的广播信息进行回应。
REDHAT: 在/etc/sysctl.conf文件中添加如下配置行:
net.ipv4.icmp_echo_ignore_broadcasts=1
对于直接的广播信息不作回应。
SOLARIS:在/etc/init.d/inetinit文件中添加如下配置行:
/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0
对于直接的广播信息不作回应。
/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0
不转发直接的广播信息。
AIX:在/etc/rc.net文件中添加如下配置行:
/usr/sbin/no -o directed_broadcast=0
对于直接的广播信息不作回应。

5.1.6   地址掩码查询和时间戳广播
地址掩码查询通常被用来映射netblock大小和进一步系统侦测,时间戳通常被用来映射和查询识别主机的另一种方式。
REDHAT: 在/etc/sysctl.conf文件中添加如下配置行:
net.ipv4.tcp_timestamps=0
来禁用对于TCP时间戳的支持。
SOLARIS: 在/etc/init.d/inetinit文件中添加如下配置行:
/usr/sbin/ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
防止地址掩码查询。
/usr/sbin/ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
禁用对于时间戳广播查询的响应。
AIX:在etc/rc.net文件中添加如下配置行:
/usr/sbin/no -o icmpaddressmask=0
防止地址掩码查询。

5.2   /etc/hosts.equiv, .rhosts和.netrc配置文件
   /etc/hosts.equiv 和 /etc/hosts.lpd不能出现在任何一台UNIX服务器上,因为在这些文件中出现的服务器被认为是可以信任的,故此在从这些服务器通过Berkeley r系列命令进行登录操作是是不需要进行密码的。这要就导致了安全隐患。
   .rhosts不能出现在任何一台UNIX服务器上,因为此文件存在安全漏洞而且对于每个用户都可以单独进行修改;
   .netrc 文件不能存在于任何一台UNIX服务器上,因为为了给多个网络应用如ftp,ncftp和curl提供服务可能会包含明码口令,从而造成一个安全漏洞。

5.3   X Window系统
以下的相关设置必须在所有运行X Window系统的UNIX平台上实施。
   所有的X-Window的通讯必须被加密,例如可以使用Secure Shell (ssh)工具;
   /tmp目录的访问权限必须设置为1777,粘置位必须设置以确保只有所有者才可以删除X-server套接字文件, /tmp/.X11-unix/X0;
   所有者必须是root,所有组ID必须为0或system;
   X magic cookie机制MIT-MAGIC-COOKIE-1必须被启用,通过编辑xdm-config文件并将DisplayManager*authorize属性设置为true来实现xdm登录控制;
   不得使用低于X11 release 6版本;
   使用xauth命令实现访问授权控制;
   . 删除系统范围内所有的Xsession,用户.xsession或任何使用到X Window的应用程序/脚本文件中的xhost +命令;

5.4   其他网络服务安全设置标准:
系统值/参数   设置要求
Anonymous FTP
通常情况下,如果应用没有要求,应不允许Anonymous FTP访问   etc/anonymousftp文件不存在。
对于root和默认系统帐号不能使用FTP服务。   通过在/etc/ftpusers或/etc/vsftpd.ftpusers文件中列举相关的root和默认系统帐号名来实现。
Trivial File Transfer Protocol (TFTP) 系统设置
通常情况下,如果应用没有要求,TFTP应该禁止。   禁止TFTP
如果一定要使用TFTP,应符合以下配置要求
TFTP访问控制   通常情况下,如果应用没有要求,TFTP应该禁止。
当TFTP运行时,/etc/tftpaccess.ctl必须存在。
/etc/tftpaccess.ctl file   必须仅包含“allow”语句

远程登录的使用(telnet、ssh)
telnet除特殊要求,一般禁止使用   AIX为例,其它UNIX可参考相关资料
1,   修改/etc/inetd.conf 在telnet前面加#注释
2,   修改/etc/services 在telnet前面加#注释
3,   停inetd服务:stopsrc –s inetd
4,   启动inetd服务:startsrc –s inetd
ssh如果需要远程登录,可使用ssh   AIX为例,其它UNIX可参考相关资料
1,   先从AIX安装介质的LUNIX盘中安装 OPENSSL
2,   从网上下载openssh-4.1p1_53.tar,并解压安装

Network File System (NFS) 设置
通常情况下,如果应用没有要求,NFS应该禁止。   禁用NFS
如果一定要使用NFS,应符合以下配置要求
/etc/exports   当NFS运行时,该文件必须存在,属性为644

“r” 命令服务
如果应用没有要求,建议停用‘r’服务   rsh,rlogin,rexec
.rhosts, .netrc,/etc/hosts.equiv   不能存在

Remote Execution Daemon (rexd) 设置
Rexd daemon   必须禁止

Line Printer Daemon (lpd)设置
Lpd   禁止

Post Office Protocol (POP) 设置
POP服务   禁止

iFOR/LS 系统设置
/var/ifor/i4ls.ini   需要做如下设置
DisableRemoteAdmin = yes
DisableRemoteNdlAdmin = yes
防止DoS攻击的系统设置
如果没有要求,这些服务必须被禁止   ECHO, CHARGEN, RSTAT, TFTP, RWALLD, RUSERSD, DISCARD, DAYTIME, BOOTPS, FINGER, SPRAYD, PCNFSD, REXD, SYSTAT, NETSTAT, RWHOD,UUCP
SNMP 服务   如果SNMP 服务运行,Community names ‘public’ and ‘private" 不允许使用
Network Information Services (NIS) 设置
NIS   不安装NIS相关文件。如果安装,删除NIS相关文件
yppasswd daemon   禁止
ypupdated daemon   禁止
5.5   /etc/hosts.deny和/etc/hosts.allow的配置规范
在/etc/hosts.deny文件的最后必须包含有如下配置行:
ALL:ALL

在/etc/hosts.allow的最后包含有如下配置行:
ALL:ALL:DENY

6   权限控制
6.1   用户文件和HOME目录属性
系统值/参数   描述   设置要求
系统默认UMASK   用户文件创建时缺省值
  至少X27或027;
建议使用下x77或077。
Redhat Linux: 添加umask=027到/root/.bash_profile文件;
Solaris:添加umask=027到/.profile;
AIX:添加秒拾=027到/etc/security/user文件root相关配置段。
$HOME   除root用户之外, 用户缺省的home目录   x00或700

6.2   操作系统资源
系统值/参数   描述   设置要求
/etc
/bin
/usr/sbin
/usr/bin
/usr/etc   操作系统资源   通常的所有者为root并属于系统组。
可执行
*.a
*.o
*.so
*.cf
*.conf
*.cfg   操作系统资源文件类型   Other必须设置为r-x或更严格
AIX中/etc/security/   操作系统资源目录   必须设置为xx0
/tmp和/var/tmp   临时空间   (t) Sticky 位必须设置
(缺省)
/etc/snmpd.conf   SNMP配置文件   必须设置为640或更严格
/etc/services   服务设置文件   必须设置为644

例外情况:
系统值/参数   设置要求
/etc/locks   该目录下可以包含world-writeable 文件
•   socket (s)
•   named pipe (p)
•   block special file (b)
•   character special file (c)
•   symbolic links (l)   可以是world-writeable 文件

7   操作系统补丁管理
具体操作可以参阅相关的补丁管理规范和流程。

8   审计策略
8.1   系统访问日志
必须启用syslog进程来记录任何成功或失败的访问行为,特别是对于用户认证。在/etc/syslog.conf配置文件中必须定义记录优先级为“info”或高于其的相关信息。

8.2   日志记录保存期限
对于所UNIX服务器的日志记录必须保存至少60天。

8.3   Sudo日志记录
对于所有UNIX服务器中的Sudo命令的运行必须有相应的日志记录。可以通过在/etc/syslog.conf文件中添加如下配置行来实现。
REDHAT: authpriv.debug /var/log/messages
SOLARIS: local2.debug /var/adm/messages
AIX: local2.debug /var/adm/logs/syslog or /var/adm/messages
注意: 必须通过重新启动syslog进程来使得相关配置生效。

9   附则
9.1   文档信息
第一条   本策略由公司信息安全办公室制定,并负责解释和修订。由公司信息安全工作组讨论通过,发布执行。
第二条   本策略自发布之日起执行。
9.2   其他信息