是啊,搞技术的,研发除外。服务在国内都是贱卖阿! 产品才挣钱。 这个社会功利阿
On 5月15日, 下午1时33分, 大风 <[EMAIL PROTECTED]> wrote: > Axis小评: 一个礼拜前就看到的"旧闻",不过现在有中文版了,就转过来。说的还 > 是很中肯的。安全厂商大部分都是在忽悠和扯淡,包括产品和标准。厂商最喜欢做的事 > 情就是忽悠一个概念出来,然后又可以卖很多钱。我在webzine0x01中的《安全幻想 > 曲》就说了,安全是一个持续的过程,没有专人维护和跟进,要谈安全基本是扯淡。有 > 人持续维护安全这个过程,产品的意义就是其次了,仅仅是辅助,或是利用开源软件也 > 能完成全部工作了。最扯淡的就是啥hacksafe认证,siteadvisor也是商业味十足。PCI > 的认证最近也有些扯淡了。所以以后厂商过来忽悠的时候大家要把眼睛放亮了,概念可 > 以忽悠的天花乱坠,但还是务实点好。扯一百句淡不如做一件实事。 > > 新闻来源:墨者 > 在拉斯维加斯Interop会场上,一位安全专家告诫与会者:公司的IT负责人必须注意影 > 响到公司网络安全的七个安全产业内的小秘密。虽然IBM/ISS本身也是一个安全服务提 > 供商,其首席安全策略师Joshua Corman还是在会上说:"对于安全产品和服务提供商 > 试图想要告诉你的东西,最好是保持立度的怀疑。 > > 他沿用1960年代Ralph Nader针对汽车安全出版的书《任何速度都不安全》来作为他演 > 讲的标题:"任何速度都不安全,安全产业七个肮脏的秘密"。Nader讽刺汽车制造商 > 针对汽车安全所做的改造都是一些花拳绣腿,没有实质性的提高。 > > 安全厂商们时不时将其研发的投资用于管理界面而非更多的安全功能,他们更倾向于仅 > 在客户强烈要求时才增加这样的安全功能。Corman说道:"安全厂商的目的是赚钱,而 > 不是让用户更安全。"他说这是安全厂商的第零号肮脏的秘密。其他的七个分别为: > > 1、安全认证具有极强的误导性 > > 安全认证标准经常确认说相应的产品能够100%地阻挡所有的可复制恶意代码。然而被捕 > 获到的恶意代码中有75%是不可复制的,例如木马。当标准设定之后,Corman说:"不 > 可复制的恶意代码仅占恶意代码的5%"。认证意味着一个产品只能捕获100%恶意代码中 > 的25%. > > 2、没有安全世界 > > 厂商常说网络世界必须设置防御,但大部分数据丢失其实并非经由防火墙,一半的数据 > 丢失其实是经由丢失的笔记本电脑或其他移动设备。企业必须加强其商务流程的管理, > 如同他们加强其网络边界的管理一样。他说:"如果你继续相信网络世界,就像是你相 > 信圣诞老人一样。" > > 3、风险评估威胁到安全厂商 > > 安全厂商希望企业买他 们所卖的,这样他们能推动阻挡特定威胁的产品。例如,NAC能 > 解决一些实际的问题,但是如果此类问题对企业来说并不会对其主要业务产生大影响, > 那就根本不 需要予以考虑。Corman说:"风险评估应能确定改进业务流程或固化配置 > 是必须的,你需要了解所处的环境和大的优先级。" > > 4、弱的软件之新还有更多的风险 > > 安全厂商力推如何保护 和修复软件的漏洞,但是Cormen说这些问题仅占被成功利用的 > 漏洞的一部分。弱口令、弱配置,特别是缺省配置,以及易被社会工程突破的缺乏安全 > 意识的人 才是最大的问题。Cormen说:"即使软件是完美的,仍有病毒木马会肆虐, > 他们其实并不完全依赖于软件问题。" > > 5、安全规范威胁到安全 > > 安全规范本身并不是一 件坏东西,但是遵从政府制定的标准,例如:HIPAA或行业的标 > 准如PCI并不是以使你的网络更安全。问题在于政策法规制造了规范要求与网管认为对 > 业务来 说最需要做的事之间的落差,影响到预算和资源的投入。遵从这样的标准,同 > 时意味着可能引发针对此类相同防御的可能攻击能被实施。他说:"如果PCI告诉他 们 > 防御重点在什么地方,那攻击者就能轻易绕开。" > > 6、厂商的盲点可能导致Storm类蠕虫病毒的再度爆发 > > 公司层的防御能利用行 为检测等技术锁定到僵尸网络,但是个人用户网络并未受到保 > 护。行为检测到技术或异常行为分析等在个人安全产品上的运用可以起到一定的保护作 > 用,然而一方面 由于此类技术仍存在技术不足和盲点,另外仍有大量未使用此类技术 > 的用户,Storm这样的蠕虫病毒仍然有爆发的可能。 > > 7、安全DIY已不再 > > 安全厂商力图使用户相信,安全由于其复杂性使得用户已不能独自面对,但是由于不同 > 业务的安全需求的不同特点,仅仅选择产品是不够的。Corman说:"仅有对的工具仍然 > 是不够的,还需要针对环境实行正确的安装配置。"所以需要IT的专业人员来完成这样 > 的工作是最好的。 > > 墨者安全专家认为:Corman作为一名资深的安全专家,他揭示的安全业的问题基本上是 > 忠恳的,但字里行间仍然有为IBM/ISS安全咨询服务推销的软文嫌疑,特别是第二、 > 三、五、七个秘密。所以说Corman也不免落于第零个秘密。 > > 对于安全认证,尤其是 所谓的国际安全认证,Corman确实说到了点子上。这其实是一 > 个安全行业的潜规则。例如近年来几乎被国内杀毒厂商神话了的VB100,认证其初衷是 > 为比 较各厂商的安全产品而设立的"不偏不倚"的独立评测组织,其每次测试的病毒 > 样本来源于另个独立组织Wildlist.org。然而随着商业利益的驱使,就 如同近年来常 > 见诸报道的各大国际标准组织一样,Wildlist.org、VirusBulletin以及ICSA等组织的 > 认证,目前都带有浓厚的商业味 道。是否是组织内部人士,甚至是否是组织内的核心 > 圈人士能直接影响到该次测试的样本集,从而直接影响到测试的结果。所以围绕这些组 > 织的公关是愈演愈烈。更 有甚者,目前Wildlist.org中的通信员是一个封闭的组织, > 其成员的选取程序目前未见任何公开的披露。他们个人及代表的公司的利益直接影响到 > 相关 评测的公正性。从某种意义上来说,只有立法公正,才能保证程序的公正,从而 > 保证结果的公正。 > > 而大家可以通过下面的图示来了解一下目前有的安全厂商提供的安全产品提供所谓的 > VB100权威认证是如何得到的,它是否有失公正和公平呢? > > 这些评测机构正是利用组织设立等一些不公开、不公正的地方,公开一些貌似公正的程 > 序来误导用户,从而谋取他们个人或者企业的利益。 > > [Ph4nt0m] <http://www.ph4nt0m.org/> > > [Ph4nt0m Security Team] > > <http://blog.ph4nt0m.org/> [EMAIL PROTECTED] > > Email: [EMAIL PROTECTED] > > PingMe: > <http://cn.pingme.messenger.yahoo.com/webchat/ajax_webchat.php?yid=han... > hq&sig=9ae1bbb1ae99009d8859e88e899ab2d1c2a17724> > > === V3ry G00d, V3ry Str0ng === > > === Ultim4te H4cking === > > === XPLOITZ ! === > > === #_# === > > #If you brave,there is nothing you cannot achieve.# > > image001.jpg > 105K查看下载 > > image002.gif > 5K查看下载 --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
