 |
|
《安全月刊》2007年第三期 总第三十三期
出刊:2007年3月27日 |
 |
|
|
|
|
|
稿件内容:
我们没有固定的框框,只要您认为有价值,值得、可以拿出来跟大家分享,我们都欢迎,您可以:
写出你与网络安全产品打交道的经历;
漫谈您在使用网络安全产品过程中的体会;
谈谈您正在使用的安全产品的优势与不足;
与大家分享您在使用东软网络安全产品过程中悟出的小窍门,试出的小方法;
记述您遇到的印象比较深刻的网络安全事件及解决过程;
展望未来网络安全技术趋势及网络安全市场走向。
奖励办法:稿件一经录用刊登,根据文章内容评定稿费每篇200-500元;来稿未被刊登使用的,也会收到我们的纪念礼品。
|
|
|
|
|
|
|
|
 |
| |
|
2007 南京 UTM技术研讨会
|
近年来,信息安全界提出了“统一威胁管理”(Unifed Threat Management,简称UTM)的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理这一新类别。该概念一经提出便引起了业界的广泛关注,并推动了以整合式安全设备为代表的细分化市场的诞生。根据IDC预测,UTM产品市场在近几年将维持高速的增长态势,将占有整个信息安全市场的半壁江山。
虽然目前UTM市场正在以超乎我们预想的速度发展,但是对于许多企业和IT技术人员而言,UTM依然是一个陌生的词汇,甚至就连业界也没有形成一个统一的对UTM进行公正评价的标准。为了帮助企业IT部门的领导和技术人员深入了解目前的UTM产品、技术水平及应用 ,我们计划在4月份由南京优创科技有限公司承办、江苏省微型电脑应用协会联合业界知名厂商WATCHGUARD共同举办一次“2007 南京UTM技术研讨会”,通过对UTM产品的发展、技术、功能、性能、应用等方面的介绍和讨论,为企业/高校/机关的IT安全发展提供一些建设性的整合建议及方案。
有兴趣的用户朋友可以提前与优创会务组取得联系,我们将在四月初将正式邀请函发给您,并将为您预留座位及准备精美礼品。我们将真诚地期待您的参与!
会务组联系人:张花、李海艳
联系电话:025-84808848-821/826 |
| |
|
<<<< 回到本期导读 |
|
<<<<
回到本期导读
|
|
 |
|
在Windows Vista中找回旧版的驱动程序 |
| |
硬件厂商通常会定期更新设备的驱动程序,以修改旧版本驱动程序中存在的bug、改善驱动程序的兼容性等,一般而言,新版本的驱动程序往往意味着会带来更佳的性能更可靠的稳定性,这也是许多朋友在看到厂商发布新的驱动程序时,便立即在第一时间内更新系统内驱动的主要原因。
但是,我们也必须正视另一问题,那便是新版本的驱动程序往往也意味着不够成熟,未在大范围内各种硬件及应用条件下广泛测试而存在这样那样的问题,这固然与厂商的技术能力、责任感有关,但在很多情况下是难以避免的。其带来的影响则是直接降低系统的稳定性,特别在Windows Vista中——相对而言,Windows Vista对驱动程序的要求更为苛刻,不当的驱动程序往往是影响稳定性的最主要原因——在这种情况下,可行的解决方案便是将驱动程序回复到更新前的旧版本,毕竟,保证系统的稳定运行是第一位的要求。
那么,如果手头没有旧版本的驱动程序怎么办?是不是便无法回复到使用旧版驱动的状态了?
答案是否定的,在Windows Vista——也包括Windows XP——中,系统在应用新版本的驱动程序前都会自动备份旧版的驱动,以备出现问题时可以让用户简单地切换回原来可正常使用的驱动程序。下面以Windows Vista为例介绍具体的操作步骤。
在Windows Vista中切换回旧版的驱动程序
- 以管理员或具有管理员权限的用户登录Windows Vista;
- 在桌面的“计算机”图标中单击右键,选择“属性”,在属性窗口的任务列表中选择“设备管理器”;
当然,您也可以通过控制面板或其他方式进入设备管理器。
期间会弹出相应的UAC提示窗口,点击“继续”
- 根据具体需要,在设备管理器中找到相应的设备,对折叠项可通过点击旁边的“+”展开,
- 在欲切换回旧版驱动程序的设备项上右键单击,选择“属性”;
- 点击“驱动程序”标签页;
- 在这里即可看到“回滚驱动程序”的按钮,点击并在弹出询问窗口时确认,即可将该设备使用的驱动程序切换到旧版的驱动程序,即让Windows Vista重新安装旧版的驱动程序。
如果登录用户不具有管理员权限,或该设备驱动并未更新仍然使用初始的驱动程序,则“回滚驱动程序”按钮显示为灰色的不可选状态
|
 |
这样,即可让Windows Vista卸载更新的驱动程序而仍然使用稳定性更佳的旧版驱动了。
注:正如上文所言,本方法也适用于Windows XP,只不过在Windows XP中,相应按钮的标识为“返回驱动程序(R)”而非“回滚驱动程序(R)”,这又是一个微软中文化翻译过程中的不一致,尽管在英文Windows中都是使用“Roll Back Driver”。 |
| |
<<<< 回到本期导读 |
 |
| |
|
病毒警报 |
国家计算机病毒应急处理中心通过互联网监测发现,近期一些局域网中的计算机系统受到一种“地址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序的入侵破坏,严重影响了局域网中用户计算机系统的正常运行。
如果进行“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统,那么该计算机系统就会试图通过“ARP 欺骗”手段截获所在局域网络内其它计算机系统的通信信息,导致该局域网出现突然掉线,过一段时间后又会恢复正常的现象。同时,网内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断网、IE浏览器频繁出错,以及一些系统内常用软件出现故障等现象。
由于进行“ARP欺骗”的恶意木马程序的危害性比较大,特别是对各类校园网、小区网、企业网以及网吧等局域网都会有不同程度的破坏行为,最终可能导致局域网的瘫痪。因此,在局域网中的每一个计算机用户要提高警惕,做好防范工作,杜绝此类现象的发生。
专家提醒:
针对上述情况,我们建议广大局域网络中的计算机用户采取如下方法进行防范:
1、给计算机系统及时安装系统漏洞补丁程序;
2、经常升级计算机系统中防毒软件和防火墙。还可以在局域网中安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵;
3、计算机用户不要随意点击打开QQ 、MSN 等聊天工具上发来的地址链接或是其他数据信息,更不要随意打开或运行陌生、可疑的文件和程序;
4、将局域网系统管理员帐户的密码的位数设置复杂一点;
5、关闭一些不需要的网络服务,也可以关闭一些没有必要的网络共享。 |
|
|
<<<< 回到本期导读 |
|
 |
| 在Symantec Client Security 二级服务器的安装过程中,经常会发生找不到一级服务器组的情况。具体表现在在系统控制中心中,可以找到一级服务器组和一级服务器。(如图1) |
|
|
但是在安装二级服务器的过程中,进行到选取择一级服务器组的时候,发现无法找到一级服务器。(如图2) |
|
造成这一现像的原因是因为二级服务器与一级服务器不在同一个网段,中间是通过路由器连接的,而Symantec Client Security 服务器之间的通信都是以机器名为基础的。这就造成了二级服务器无法找到一级服务器的机器名,通信不正常的情况。
具体的解决方法是:
当安装二级服务器的过程中,进行到图2的步骤时,哪果找不到一级服务器组,则点击下一步继续进行安装,会新建一个新的服务器组。默认的名称为Syamntec AntiVirus 1。完成后查看系统控制中心,会出现如下情况。(如图3) |
|
在系统控制中心中,可以看到有两个服务组,二级服务器就挂在新建的Syamntec AntiVirus 1 组下面。
用鼠标拖动二级服务器,将二级服务器拖动到一级服务器组中。会出现如下提示: |
|
选择是,然后等一段时间后,二级服务器就会出现在一级服务器组中 |
|
| 然后删除掉新建的Syamntec AntiVirus 1 组及可。 |
| |
工程师:杨诗磊
工程师信箱:yshl@ultratech.com.cn 欢迎大家与我一起交流技术方面的问题。
<<<< 回到本期导读 |
使用电话进行的社会工程学攻击
最流行的社会工程学手段是通过电话进行的。黑客可以冒充一个权利很大或是很重要的人物的身份打电话从其他用户那里获得信息。一般机构的咨询台容易成为这类攻击的目标。黑客可以伪装成是从该机构的内部打电话来欺骗PBX或是公司的管理员,所以说依赖于对打电话的人身份的确认并不是很安全的做法。以下就是一个Computer Security Institute曾经提到的典型PBX伎俩:“嗨,我是你的AT&T维修员,我现在正在工作,但是需要你帮我按几个键。”
还有更聪明一些的手段,他们会在半夜打电话给你:“六小时之前你是不是打过电话到埃及去了?”“没有啊。”然后他们会说,“我们现在查询到刚才发生的一次有效呼叫,使用的是你的电话卡并且该电话是打往埃及的。所以你得支付$2000的电话费帐单虽然可能如你所说这实际上是别人使用的费用记到了你的账上”他们接着会说,“我现在可以帮你把这$2000的电话帐单消除,但是需要你告诉我你的AT&T卡号和密码。”然后大多数人都会落入这个圈套中。 (Computer Security Institute)。
咨询台之所以容易受到社会工程学的攻击是因为他们所处的位置就是为他人提供帮助的,因此就可能被人利用来获取非法信息。咨询台人员一般接受的训练都是要求他们待人友善并能够提供别人所需要的信息,所以这就成为了社会工程学家们的金矿。大多数的咨询台人员所接受的安全领域的培训与教育很少,这就造成了很大的安全隐患。
一名在计算机安全机构中工作的专家曾经做过这样的实验来揭示咨询台所隐藏的安全漏洞。他打电话到一家公司的前台。“请问今晚值班负责人是谁?”“是Betty。”“我有事情需要和Betty讲。”[他的电话被转接到了Betty那里]“嗨,Betty,今天很倒霉是吧?”“不啊,为什么这样说呢?”“你的系统停掉了。”“我的系统没有关闭啊,运行情况很好啊。”他说:“你最好退出登录一下。”她退出登录。然后他说,“现在重新登录。”她重新登录。“可是我这里一点变化也没有啊。”他说“再重新退出看看。”她还是很听话的照做了。“Betty,看来我得从这里将你直接登录来看看究竟你的帐号出了什么问题。现在把你的帐号和密码都告诉我。”然后Betty就会通过咨询台把自己的帐号和密码告诉他。
另一种黑客的电话攻击的战术是通过站在付费电话或ATM机旁边偷看实现的。黑客可以简单的通过这种方式获得信用卡号和密码。(恰好我的一个朋友在一个大机场就遇到了这种情况)在机场里面很多人都站在电话的旁边,所以在这种公共地方你应该特别小心。
进入垃圾堆
翻垃圾是另一种常用的社会工程学手段。因为企业的垃圾堆里面往往包含了大量的信息。The LAN Times列出了下列可能在垃圾堆中找出的危害安全的信息:“公司的电话本,机构表格,备忘录,公司的规定手册,会议时间安排表,事件和假期,系统手册,打印的敏感信息或是登录名和密码,打印出来的源代码,磁盘和磁带,公司的信件头格式以及备忘录的格式,以及废旧的硬件。
这些资源可以向黑客提供大量的信息。电话本可以向黑客提供员工的姓名与电话号码来作为目标和冒充的对象。机构的表格包含着信息可以让他知道机构中的高级员工的姓名。备忘录中的信息可以让他们一点点的获得有用信息来帮助他们扮演可信任的身份。企业的规定可以让他们了解机构的安全情况如何。日期安排表更是重要,黑客可以知道在某一时间有哪些员工出差不在公司。系统手册,敏感信息,还有其他的技术资料可以帮助黑客闯入机构的计算机网络。最后是关于废旧硬件的问题,特别是硬盘:黑客可以对它进行恢复来获取有用信息。
在线的社会工程学
国际互连网是使用社会工程学来获取密码的乐园。这主要是因为许多用户都把自己所有账号的密码设置为同样的一个:Yahoo, Travelocity, Gap.com…………。所以一旦黑客拥有了其中的一个密码以后,他(或者是她)就获得了多个账号的使用权。黑客所常用的一种手段是通过在线表格进行社会工程学攻击。他可以发送某种彩票中奖的消息给用户然后要求用户输入姓名(以及电子邮件地址——这样他甚至可以获得用户在机构内部使用的帐户名)以及密码。这种表格不光可以以在线表格的方式发送,同样可以使用普通邮件进行发送。况且如果是使用普通信件这种方式的话这些表格看上去就会更加像是从合法的机构中发出的,欺骗的可能性也就更大了。
黑客在线获得信息的另一种方法是冒充为该网络的管理员通过电子邮件向用户索要密码。这种方法并不是十分有效,因为用户在线的时候对黑客的警觉性比不在线时要高,但是该方法仍然是值得考虑的。进一步来说,黑客也有可能放置弹出窗口并让它看起来像是整个网站的一部分,声称是用来解决某些问题,诱使用户重新输入账号与密码。这时用户一般会知道不应当通过明文来传输密码,但是即使如此管理员也应当定期的提醒用户防范这种类型的欺骗。如果想做到进一步的安全的话,系统管理员应当警告用户任何时候除非是与合法可信网络工作员工进行面对面交谈的情况下才能公开自己的密码。
电子邮件同样可以被用来作为更直截获取系统访问权限的手段。例如,从某位有信任关系的人发来的电子邮件附件中可能携带病毒,蠕虫或者是木马。一个很好的案例是VIGILANTe提到的对于AOL的攻击:“在这个案例中,黑客打电话给AOL的技术支持中心,并与技术支持人员进行了近一个小时的谈话。在谈话中黑客提到他有意低价出售他的汽车。那名技术支持人员对此很感兴趣,于是黑客就发送了一篇带有表明为“汽车照片”附件的电子邮件给他。但是实际上,那不是什么汽车的照片,邮件执行了一个后门程序让黑客可以透过AOL的防火墙建立连接。
|
谭博士信箱:txy@ultratech.com.cn 欢迎大家与我共同探讨安全问题。
<<<< 回到本期导读 |
| |
 |
|
|
本期导读:
