五千年(敝帚自珍)

主题:【原创】网络安全的故事(一) -- 代码ABC

共:💬219 🌺1998 🌵1
全看树展主题 · 分页首页 上页
/ 15
下页 末页
家园 我这里为了解决供应商访问公司erp系统的安全

只算安全硬件成本就300万,还不算其他费用,供应商目前只有不到10家。

继续
家园 继续

今天早上出去喝酒,回来已经晚上了,继续和up兄摆阵

1.sql注入只是我的举例,漏洞出现利用也是需要结合和看场景的。例如很多逻辑漏洞平常看起来无害但是一旦被利用很可怕却很难发现,比如我曾经遇见一个SSO系统每个用户登录都会生成一个唯一的sid,但是不幸的是居然sid是可以被猜测,导致黑客可以猜测任意用户,还有比如csrf,引诱管理员看一下,即可拿到某些权限。而且还有一个需要注意的地方企业IT部门一般不可能拿到补丁就立即下发的,而国内那帮黑客有渠道拿到微软MAPP最新发布的信息,几个小时内就能调试出可利用的漏洞,然后拿来攻击。

2.木马不一定打在服务器上,高价值用户也一样有可能,例如高级管理员,公司高层,对付他们比对付服务器更简单。

3.这个理论没问题,不过一般企业网络内最多只能用在一些服务器上,例如数据库。要是全面部署基本不大可能。

小弟也曾经道听途说多次入侵事件,有机会可以说来博大家一笑。

家园 很奇怪强力部门的作为

那么多网警,对于这样一个庞大的产业链就这样睁只眼闭只眼?只要把销售一个环节搞定,其他都自然废了嘛

继续
家园 几个具体措施

2.任何员工账户都只有普通用户权限。每位系统管理员有第二个账户,该账户有管理员权限,但在公司的Proxy服务器上禁止这些管理员帐号访问因特网。

总的来说,我认为系统安全是一个跨越多个层面的控制,监测,分析,反应的过程。各个层面之间语言不通是个比较大的问题。各种interface wrapper并不难写,但是量大,公司自己实现比较痛苦。这就给了市面上的安全公司做买卖的机会。语言通了之后分析和反应就可以交给business intelligence和workflow engine了。具体工作和云环境的管理有很多重合,或者干脆可以作为云的一部分功能。

家园 这个事情深入就不多说了

远不是掐断那么简单,牵扯太多方面了。而且销售环节已经算最下线了。

家园 我对安全的理解

安全应该是渗透每个环节,不仅仅是安全部门的事情,甚至连财务,行政,人力这些部分都要有明确的安全意识。木桶理论时时刻刻都在起效果的,安全部门必须拉起足够高的基线。

家园 有段时间我的口头禅是

没有人感兴趣的系统就是最安全的系统。那段时间被安全组的人烦得恨不得跟他们说把系统的网线统统拔掉然后锁进铁柜里面就最安全了,可惜这不现实。

其实绝对安全的系统是没有的,但有目的地针对特定的风险做出有效的防护措施,并定期备份扫描才是效率最高的。牺牲系统的可用性甚至是可管理性去追求高安全并不可取。

家园 Where did they get the tech?

Seems to be quite advanced. MBR level, bios level...where did they get the technology? Just curious, since surely it's very difficult to find such information on the Internet.

Sorry I cannot type Chinese, sigh.

家园 国内安全研究人员水平很高

因为语言限制了他们的交流,并不是他们能力不行,互联网公开的东西不会体现这些技术。

家园 Flower

So I guess ordinary people won't see those tech stuffs. Hope one day I can see.

Flower
家园 这个可是不好说

因为很多技术已经是木马必备功能

家园 【原创】说点安全界八卦的事情

没想到西西河还有讲网络安全的事情,我们看你们在讨论技术问题,还人气很旺,真是不容易。凑个趣,讲讲安全界的趣闻和八卦。

讲之前先介绍下自己,标准工科男,做网络安全十几年了,算国内最早的那批人,方向是安全咨询服务,现在国内排名靠前的安全公司做高管,算是安全界的老油条了吧。

先讲一个黑客的故事吧。

还在01年的时候,我招过几个国内著名的黑客。有两个是国内第一批的,赫赫有名啊,每次去见客户时,都能遇到很多粉丝。今天说的是另一个黑客(后面称呼为N)的事情,他比较年轻,但名气更大,就是领导开展那个黑客大战的那个,反正很有号召力的。

我也很奇怪他怎么能号召那么多人去和国外的黑客对攻的,一度想研究一下的,对公司业务有好处。后来发现他的粉丝都是些学生啊,小黑客什么的,反正不是我们潜在的客户,就算了。N是个性格很古怪的人,当时很年轻,只有20岁,没有学历,好像上个大专也没毕业。黑客渗透水平不错,攻击时动作麻利,效率很高,但知识面不够宽,也不够深。反正,在我们看来水平一般,但名气很大,还上过电视呢,有偶像明星的感觉。

N平时干活还行,也不是很难管。就是脾气古怪,不愿意和客户沟通,所以干活前,你得把事情都安排好了,他就专心做黑客渗透的工作(属于公司安全风险评估服务业务里面的重要一项,而且很出彩的一项)。N平时在单位里面也不太和人说话,独往独来的那种。给我留下深刻印象的是他老是带着一个帽子,布的,象越南人带的那种,不管天多热都带着。后来我搞明白是他头发比较少,所以才天天带。

他在我手下干了一年,大家相处还比较愉快,他还算听话,也学到了很多东西,技术有长进。后来他觉得还是不能适应这种咨询顾问的要求。因为经常要穿西装,人模狗样的去给客户洗脑的那种,他觉得受不了。

他是广东人,辞职后就回了广东。后来听说他去了广东安安了组织的一个黑客队伍了(属于编外的,不是正式的安安,具体性质我也说不明白)。在MSN上就看不到了,联系就少了。解释一下,很多黑客的屁股都不是很干净,因为黑别人本来就违法的。所以很多黑客都和安安、公安的关系不错,那种介于违法和不违法之间的小事就免得被抓。原来这块法律很简单,违法与否也不是特别清晰。安安成立了一个黑客队伍,有几个认识的黑客都去了。有部分是自愿去的,有部分是犯事儿了被迫去的。他去的原因是两者都有。据说在安安里面比较忙,管的也比较严。好处就是,如果犯事儿了安安会捞你。

又过了一年,在03年吧,听说他赚了一大笔钱,立刻买了一辆宝马,天天招摇过市,很有鲜衣怒马的范儿。那时候我们都还没什么钱。可惜好景不长,被上海的公安给抓了。据说是因为他黑了一个上海本地很有名的游戏公司,偷了人家最新的游戏软件代码,那个游戏很有名。然后他把代码给卖掉了,卖了1百万吧。不知怎么露出来的,上海公安对当地的公司很重视,就把他抓回了上海。当然他肯定是坦白从宽了,公安也没有打他。他交代了事情后就说和安安的关系,找广东安安去捞他。

但是比较惨的是在上海的看守所里面。他在看守所里面住了半个月,因为广东的到上海捞人手续比较麻烦,案子也比较重大。在这半个月里,不知道怎么得罪了牢头,受到了残酷对待。可能是太嚣张了吧,可怜一个白面小书生啊,牙齿都被打掉了大半,反正就是很惨。

宝马和钱肯定被没收了。后来被捞回了广东,据说受此刺激,性格大变,老老实实的上班了。这几年没联系过,也没什么消息。现在每次看到黑客大战的新闻,我就会想起他,就会感慨一番,就会想起自己的青春年华,也不知道他最近好吗?

关键词(Tags): #网络安全(嘉英)#黑客(嘉英)元宝推荐:老马丁, 通宝推:潮起潮落,raindrops,duanjian,上古神兵,从头开始,老马丁,静思轩主人,Mtknr20,
家园 Any idea how to defend?
家园 张见识了,还真有这事儿
家园 安安这方面的生意做的很大啊

,具体可以参见《潜伏》里的谢若林。当然,他们不做卖国的事情,而且这门生意他们长期垄断,让人看着真是羡慕啊。尤其是你花了好几个月偷回来的文档,只能卖给他,给几个烧饼钱,他们转手就去换金条了

全看树展主题 · 分页首页 上页
/ 15
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河