Posts for: #Security

用Tor实现有效和安全的互联网访问

一、为什么写?

google以很有创意的推广方式推出gmail后,在国内很是热闹了一段时间,但随即大家发现,gmail似乎不如传说中的那么好用,虽然号称容量上G,但总是动不动就弹出个对话框:“Oops…unable to reach Gmail. Please check your internet connection and try again.",什么操作都是不灵光的。“什么google,骗人罢了……“很多朋友可能会这样想。

其实,google又何尝不想快?只是,很多事情,想是没有用的。本文仅从技术角度说明一种可以有效访问gmail的方法,供拥有gmail帐号但却难以正常连接的朋友参考。

二、什么是Tor?

Tor的全称是"The Onion Router"号称是"An anonymous Internet communicaton system”,主页在:http://tor.eff.org 。

它针对现阶段大量存在的流量过滤、嗅探分析等工具,在JAP之类软件基础上改进的,支持Socks5,并且支持动态代理链(通过Tor访问一个地址时,所经过的节点在Tor节点群中随机挑选,动态变化,由于兼顾速度与安全性,节点数目通常为2-5个),因此难于追踪,有效地保证了安全性。另一方面,Tor的分布式服务器可以自动获取,因此省却了搜寻代理服务器的精力。

下图是一个简单的Tor安全访问与危险访问的区别示意图:

Tor工作原理

三、如何安装与使用Tor

3.1 Debian上的安装与使用

3.1.1 安装Tor及相关工具

/etc/apt/sources.list 中增加如下两行:

deb http://mirror.noreply.org/pub/tor stable main
deb-src http://mirror.noreply.org/pub/tor stable main

然后运行:

apt-get update && apt-get install tor tsocks

安装完毕后系统会创建Debian-tor的用户,并且以该用户的身份启动tor,开机自动起动,可以在 /etc/rc2.d/ 下进行调整。

3.1.2 编辑相关配置文件

需要编辑的文件其实只有一份,即 /etc/tsocks.conf,只需要三行即可:

server = 127.0.0.1
server_type = 5
server_port = 9050

要用Tor进行代理的程序,以tsocks启动,比如,希望用Tor代理所有web访问,则可以运行:

$ tsocks firefox

3.2 Windows上的安装与使用

在Windows上的使用要更为简单些,可以参考 http://tor.eff.org/cvs/tor/doc/tor-doc-win32.html 上的详细图形介绍。

[阅读全文]

2004・网络安全圈

走进2005,我们回头看看,一年来网络安全圈内的风风雨雨,哪些我们只是听了个响?哪些是我们真切地触摸和感受的?

圈里圈外,安全已经完全融入我们的生活……

一、网络安全圈・趋势

1.1 更多网络犯罪直接以经济利益为目的

最吸引国人眼球的应该是腾讯,2004年两次QQ大规模无法使用,尤其是此后影影绰绰的勒索传言,有人惊呼:中国网络恐怖主义诞生了。

传言毕竟只是传言,相比之下,一群巴西网络银行骇客的落网或许更能让你真切感受到网络犯罪离你多近,仅仅一年多的时间,他们从银行中窃取了大约2758万美元……

我们依稀能看见商业间谍、军事间谍或者是一群仅仅为了钱彻夜不眠地攻击攻击再攻击的人们……

xfocus点评:无庸置疑,我们所能看到的,仅仅是冰山一角。技术进步加上道德感的缺失,骇客们开始看清自己要的东西。

1.2 拒绝服务攻击泛滥

我们所看到的拒绝服务已经不仅仅是一台或几台机器发起的了,攻击者们控制成百上千的僵尸电脑(Zombie),甚至由蠕虫来进行传播和攻击。DoS凭借它的便捷有效,吸引了大量热衷者,互联网上因此充斥这类垃圾流量。

xfocus点评:除了常规的拒绝服务攻击、DoS讹诈之外,我们面临的各种有意无意的DoS越来越多,例如,邮件蠕虫发送邮件,产生的大量DNS查询报文,对DNS服务器产生事实上的DoS等等,事件日渐频发。

1.3 垃圾邮件与反垃圾邮件之间的斗争愈演愈烈

网民及各界人士对垃圾邮件造成的问题日益关注,网络服务商和邮件运营商们纷纷提出了自己的技术方案:雅虎的"DomainKeys",它利用公/私钥加密技术为每个电子邮件地址生成一个唯一的签名,实现对邮件发送者的身份验证;微软的"电子邮票"有偿发送邮件方案;AOL正在试验一种名为"Sender permitted From"(SPF)的新电子邮件协议,禁止通过修改域名系统(DNS)伪造电子邮件地址……

垃圾邮件发送者并不是坐以待毙,而是主动出击,对反垃圾邮件网站进行拒绝服务攻击。

绝的是Lycos,他们推出了一款屏保,当屏保启动时,便对垃圾邮件发送者的地址发送数据包,屏保的使用者越多,垃圾邮件服务器就越难过。但是……还有更绝的,就是这款反垃圾邮件屏保,居然也遇上了李鬼:有一种病毒会伪装成个屏保,但该病毒会监测到击键过程以窃取密码和银行帐户资料等个人信息。

xfocus点评:道高一尺,魔高一丈,世界永远在此消彼长中发展,2003年,反垃圾邮件市场波澜不惊,到了2004年底,通过公安部认证的反垃圾邮件厂商已经超过40家了,垃圾邮件厂商与反垃圾邮件厂商,究竟是一起赚钱,或者能拼出个高下,尚无从得知,但能明确的是2005年,反垃圾邮件市场会很热闹。

1.4 蠕虫、病毒、间谍软件横行,网络钓鱼事件频发

MYDOOM/Netsky/Bagle/震荡波/SCO炸弹/QQ尾巴/MSN射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。

根据调查,平均每台家用PC藏28个间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料,大家还记得网银大盗吗?

至于网络钓鱼,且不谈受到多年困扰的ebay,只看网络钓客以"假网站"试钓中国银行、工商银行用户,就可以想见其猖獗程度了。

xfocus点评:以前也有蠕虫,但没有今年这么多,这么频繁,尤其是新出现的利用即时通讯工具如QQ、MSN来传播的病毒,让人更加不敢相信网络。以前也有间谍软件,但没有今年这么直奔银行卡而来……以前也有网络钓鱼,但不象今年这么遍地开花……

1.5 对非PC设备(例如手机)的威胁增加

2004年5月,赛门铁克安全响应中心分析发现了第一个攻击手机的蠕虫病毒–EPOC Cabir,EPOC.Cabir通过诺基亚60系列手机进行自身复制。受到感染的手机会向它搜索到的第一个蓝牙设备重复地发送这一蠕虫病毒。7月16日,据位于罗马尼亚的BitDefender公司称,该公司发现了一款被称之为WinCE4.Dust的可以感染Windows CE操作系统的病毒,虽说是一个概念病毒,但是病毒的关键技术都已经具备,包括API的搜索,文件的传染。缺的只是道德的底线,如果用KernelIoControl把系统引导入BootLoader模式,对于大部分PDA用户来说就只能送修了。

另外,WinCE4.Dust和Cabir的源代码都已经公开,所以功能更强大和道德底线更低的病毒即将出现。

xfocus点评:2002年,xfocus研究人员对手机的漏洞进行过研究,但手机病毒从没有象今年距离我们这样近过,2005我们或许能看到手机蠕虫的大规模传播。

二、网络安全圈・事件・中国

2.1 国家加强信息安全保障,颁布系列文件

在中办27号文件后,国家日益重视信息安全,2004年1月,召开了《全国信息安全保障工作会》,强度了极防御、综合防范的安全方针。开始在国内实施等级保护法。

xfocus点评:此后围绕这这个进行了一系列的标准和技术的研讨,直接引发了安全市场的积极响应,这无疑是整个信息安全行业的东风。

2.2 WAPI认证

2003年12月1日,国家认证认可监督管理委员会发布2003年第113号公告,2004年6月1日起,对无线局域网产品实施强制性认证。但是由于国外厂商的反对,经过一段时间的博弈,最终WAPI被无限制延期。

xfocus点评:虽然是2003年提出的公告,但是此后围绕这这个进行了一系列的斗争,其风波甚至到了国家领导人的层面,导致了国际政治层面的博弈。影响力何其深远,早已超过了信息安全行业甚至是IT行业的范畴,因此值得大书一笔。

2.3 电子签名法

《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,现予公布,自2005年4月1日起施行。

xfocus点评:该法被认为是中国首部真正电子商务意义上的立法。大大促进了电子商务和电子政务的发展,可以说是业内外人士期盼已久的举措,叫好声一片。

2.4 网络打黄专项行动

中国掀起一场围剿色情网站的人民战争,违法和不良信息举报中心网站于6月10日正式面向社会。以开通举报中心网站为契机,党中央、国务院及时决定开展打击淫秽色情网站专项行动。到目前为止,已接到各类公众举报95000多件次。根据举报中心转交的公众举报,国家执法和行政机关依法关闭违法网站1287个,其中淫秽色情网站1129个,提供赌博渠道、从事迷信活动、宣扬邪教的网站114个。

xfocus点评:以人民战争的形式来塑造安全,这是一种新的思路。这次专项行动同时也开拓了无限商机——至少内容过滤厂商尝到了甜头。

2.5 MD5安全露破绽

2004年9月,在美国召开的2004国际密码学大会上,山东大学教授王小云关于成功破解MD5的报告引起国际密码界轰动。据称她的研究成果作为密码学领域的重大发现宣告了世界通行密码标准MD5受到严重挑战。

xfocus点评:信息安全的核心技术的突破。她获得了国际密码学会议Crypto'2004的全场掌声,最重要的是,这条消息给了我们信心,让我们向这些国内的扎扎实实进行安全的基础研究的学者致敬。

2.6 网络金融服务的安全问题

网银大盗I、网银大盗II、证券大盗等一系列目的性非常鲜明的病毒出现,证明了以金融犯罪为唯一目的病毒开始大规模出现在公众视野。

xfocus点评:典型的信息化带来的问题,此类木马等已经成为一种非常有效的通过软件技术和网络进行的金融犯罪现象。

三、网络安全圈・事件・世界

3.1 多家国际大公司产品源代码泄露

2月12日,微软在互联网上发现了非法传播的一部分不完整的Windows2000和WindowsNT4产品代码,经过调查发现泄漏的部分Windows 2000源代码并非源自微软,而是微软的长期合作伙伴Mainsoft。5月,一个俄罗斯安全网站报道 Cisco IOS 12.3 操作系统的源代码被盗。据报道,一些恶意分子进入了 Cisco 的内部网络并盗取了至少800M的源代码,而且盗取者不久后在 IRC 上公布了2.5MB的概览。而去年《半条命2》源码被骇客利用微软漏洞偷窃一案也告破,FBI最终抓了骇客。

[阅读全文]

利用google进行入侵与渗透

在google已经成为搜索引擎代名词的今天,聪明的人们不断发掘google的新用途,2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为 You found that on google ? 和 google attacks 的主题演讲。个人觉得颇为精彩,因此编译整理,简单介绍,不求甚解,只是希望能够引起大家的重视。

1. 观点

google及类似的搜索引擎在为人们提供大量便捷的同时,也带来了一定潜在风险。

  • 网络中的"有心人士"数目众多;
  • 利用搜索引擎能够快速查找存在脆弱性的主机及其它设备;
  • 利用搜索引擎能够快速查找包含敏感数据的信息;
  • 利用搜索引擎的"扫描"极其隐蔽,并且由于其具有archive、cache等功能,往往数据量更大。

因此,需要人们提高警觉性,在善用搜索引擎的同时,也善于保护自己。

2. 案例

2.1 基础

所谓"工欲善其事,必先利其器",要用google来进行"渗透测试",首先当然要深入了解google了,建议对google不甚了解的人先参考 Google搜索从入门到精通。

而后简单了解google的一些操作符,如:site、inurl、filetype、intitle等……

2.2 演示

要做的演示并不复杂,渗透测试人员在实施攻击之前,往往会先进行信息搜集工作,而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是:通过google查找被人安装了php webshell后门的主机,并测试能否使用。

我们在google的搜索框中填入:

intitle:"php shell*" "Enable stderr" filetype:php

搜索结果中,或许你能找到一两够直接在机器上执行命令的web shell来。

这是类似黑客工具的操作方式。在 You found that on google ? 中,你会看到大量的实际案例,google找到了大量的密码、信用卡帐号、网络管理信息等等……

2.3 工具

对攻与防两边来说,自动化的工具都是可以提高效率的,这里介绍几款工具:

  • gooscan:用来处理搜索结果的一个小命令行程序,能够一定程度上减轻查询google时的"体力劳动"负担。
  • sitedigger:这是FoundStone出品的一款免费软件,代用了google的api接口,使用者需要先到 google api 网站注册帐号获取一个许可字串后,才可以正常使用。使用前建议先自动连接到网络更新规则库,SiteDigger的规则库包含了七大类规则,分类详细,是一款相当不错的小产品。
  • athena:与SiteDigger类似,是一款借助搜索引擎来查找信息被误用或滥用的工具,支持多搜索引擎。

3. 解决

3.1 我们该如何做?

我们的资料如此容易被人所获取,那该采用什么方式来避开这种攻击或数据搜集呢?

  • 信息发布的严格审核与责任追查;
  • 利用相关工具进行在互联网进行搜索,如果有信息被滥用,到 google 提交你希望删除的信息;
  • 控制robots.txt,控制搜索引擎的机器人的查询。

3.2 总结

还是以一幅FreeMind绘制的图片来结束这则短短的介绍吧:

Google Hacking 总结

[阅读全文]

一个信息安全研究团队的五年——我们的网络安全焦点

2004年8月26日,是网络安全焦点的五岁生日,祝她生日快乐,并回忆从她出生起的点点滴滴……

1. 网站这些年

1999年8月26日,出于个人的兴趣,xundi建起了一个个人网站,取名为安全焦点。

1999年的安全焦点

以这个小小的站点为中心,几个对网络安全有一定兴趣的朋友便聚到了一起。聊天、学习,并且把自己的心得体会写下来,当时主要能做的仅仅是将国外的安全技术编译整理,并在网站上发表,临近2000年的时候,由于xundi所在的单位处理"千年虫",因此他将网站的管理权限交给了quack和casper,由他们进行了一段时间的维护。到了2000年1月1日,站点改版。风格简单得不能再简单,实用——这是大家都欣赏的。在这段时间里,大家认识了很多新朋友,stardust、isno、glacier等兄弟都聚到了一起,很开心。

2000年的安全焦点

2001年1月1日,站点再次改版,将stardust搜集了很长时间的漏洞利用程序搜索引擎加入站点,整个主页由perl驱动。

2001年Perl驱动版

2001年3月17日,许多兄弟都混在北京了,这时san的加入很大程度上推进了这一版的站点改版,由php+mysql驱动。加入论坛、CVS项目、IRC、知识问答等,并把漏洞利用程序搜索引擎替换为在功能定义上更为完善的漏洞数据库。这次改版从形式到内容,都是一个比较大的飞跃,站点有了很强的可扩展性。与国内同类网站相比,我们希望有更好的文档和工具分类,更深入的归纳整理,更强大的检索功能,成为文档和工具中心可能是我们的发展方向之一。这一阶段中,我们的团队也趋于稳定,更多的技术爱好者加入进来了,alert7、benjurry、blackhole、eyas、flashsky、funnywei、refdom、tombkeeper、watercloud、wollf等大批兄弟们也因为共同的爱好,越走越近。

为了让国外的安全界的朋友们对国内安全现状有一个基本的了解,2001年11月10日,英文网站正式发布,使用 http://xfocus.org 的域名,原来的中文网站域名改为 http://xfocus.net 。英文站点上纯粹放自己的代码、程序以及心得体会。虽然在这之前,我们的一些漏洞利用代码、程序也陆续能够在securityfocus、packetstorm、securiteam等网站被转载,但这时总算有了一个自己对外的发布窗口了。

英文网站

时至今日,网络安全焦点的网站已经进一步改版,并有了很大的扩展了。我们所组织的"信息安全焦点峰会"即xcon,也在国际上有了一定的影响。

中文网站:

中文网站2004

英文网站:

英文网站2004

Blog网站:

Blog网站

Xcon网站:

Xcon网站

2. 我们的声音

2.1 比较

用alexa对xfocus和国内外安全领域的站点作了比较,结果不能说明什么,一切都将从头开始。

xfocus.net与nsfocus.net的比较:

xfocus vs nsfocus

xfocus.net与securityfocus.com的比较:

xfocus vs securityfocus

2.2 声音

国外的黑客对中国信息安全领域取得的成就是有一定程度认可的,其中包含了很多商业与非商业组织的努力,xfocus的技术研究,是否也在国外得到了认同呢?

  • ZDnet、News.com等网站曾经报导过xfocus成员所进行的漏洞研究和利用程序开发;
  • xfocus成员开发的安全工具与利用程序、文章多次被如SecurityFocus、PacketStorm、SecuriTeam等网站转载;
  • xfocus成员发现的安全漏洞涉及Windows、AIX、HPUX、ORACLE、MSSQL甚至手机等多种不同平台和应用;
  • xfocus组织的信息安全焦点峰会xcon到今年将是第三届,有国内外安全界高手的支持与参与;
  • ……

我们仍在不断努力!

3. 一些记忆

有些事,不写下来,可能很快会忘却,这里是我记忆中的零星碎片,关于xfocus,关于xfocus的成员的。

3.1 xfocus的服务器

五年来,我们的网站都放在哪里呢?

最初的个人网站,没有自己的服务器,只是申请了碧海银沙的一个免费空间,网址是:http://focus.silversand.net ,在使用了stardust的Perl脚本后,网站搬到了万网,当时已经采用了域名 http://www.xfocus.org 了,租用了一个小小的空间,BSDi的服务器,有shell,有perl的执行权限。

访问量渐渐增大,网站的安全性也更大程度引起关注的时候,我们希望有自己的服务器了,这时在eist的帮助下,我们在黑龙江电信找了台Linux机器。再以后,spp提供的一台Solaris、Zlee提供的一台FreeBSD都为我们解决了当时很紧张的服务器和带宽问题。(这段时间内时不时遭受的拒绝服务攻击,曾经给我们和我们的朋友带来不少困扰)。

终于在2002年底,xfocus的成员决定每人每年为网站提供一笔捐款,规定了上限,没有下限。利用这笔钱,我们购买了一台服务器,并且在IDC租用了网络带宽,以往不断搬迁终于成为历史。

3.2 xfocus的一些伙伴

这段时间内,还有不少好朋友也加入过我们的团队,后来因为工作等种种原因又离开了,lzp、lhyx、vcat等人都是如此,走在一起的感觉很好 :)

用自由软件构建中小企业弱点评估系统

版本控制

v0.8 04/18/2004 文档创建
v0.9 04/24/2004 在第三部份中加入分布式扫描和多用户管理的描述

1. 准备工作

1.1 了解你需要什么

在确定要投入精力来配置系统之前,你或许希望了解它能为你带来什么。这么说吧,如果你现在:

  • 负责企业内部的企业安全,希望有一套比较适合企业应用的漏洞扫描系统;
  • 自己的网络和系统管理水平较好,不需要太多的所谓专家顾问支持;
  • 公司在这方面的预算相当有限,你的钱必须花在上级已经定好的几个项目和产品上了。

这里所说的比较适合企业应用,简单说来,我想至少包括下面几点:

  • 漏报、误报率较低,或者至少自己能够对报警的真实性进行调整后再统计;
  • 对漏洞升级的快速反应,重大事件三天内应该有相应扫描模块升级;
  • 能够出具比较美观的报表,对企业内部安全状况进行分析;
  • 尽量简单易用,或者配置后就能自动运转,减少系统管理员的维护工作量。

那么,恭喜你,Inprotect具备了上述的所有功能,如果你有一定的编程能力,那么你还可以对它进行定制,使之更适合你的特定网络环境需求。

1.2 环境准备

安装配置支持php、mysql和gd的apache服务器,并且顺手将nmap、nessus和nikto这些扫描工具全装齐。

apt-get install apache php4 php4-gd2 php4-mysql mysql-server mysql-client nmap nessus nessusd nikto

配置apache,直接编辑 /etc/apache/httpd.conf,将:

DirectoryIndex index.html index.htm index.shtml index.cgi
#AddType application/x-httpd-php .php
#AddType application/x-httpd-php-source .phps
AddDefaultCharset on

改成:

DirectoryIndex index.php index.php3 index.html index.htm index.shtml index.cgi
AddType application/x-httpd-php .php .php3
AddType application/x-httpd-php-source .phps
AddDefaultCharset gb2312

运行下面的命令给mysql加上密码:

mysqladmin password xxxxxx

如果希望mysql启动时带上更好的中文支持,则可以编辑 /etc/init.d/mysql 文件,把 /usr/bin/mysqld_safe > /dev/null 2>&1 & 改成:

[阅读全文]