What is the most difficult thing about being a security specialist? The term "security specialist" is quite a broad term and can cover many fields w ithin security. Today security is becoming so complex that people have to specia lize in one or two fields, instead of taking them all on. For example, if you wa nt to implement and consult on wireless infrastructures, it is best if you under stand this technology, the various standards and all of the different vendor sol utions, because they are all different.. If you want to be a vulnerability and p enetration tester, then not only do you have to truly understand what your tool set can and cannot cover, but the best penetration tester is one who can stay ab reast of all of the new vulnerabilities. It can be a full time job just understa nding the computing environment's current vulnerabilities and the new ones that pop up every week. If you want to work with companies and help them build a security program that m akes them compliant, then you need to be a security generalist, because you have to understand a wide range of security issues from IDS types, VPN solutions, po ssibly identity management solutions, PKI, policies and more. On top of that, yo u need to understand the state and federal laws and the regulations that the com pany must be compliant with, and provide solutions that not only provide a secur e environment, but an environment that can meet all of the legal and regulation requirements. So, I think the most difficult thing about being a security professional is keep ing up with technology changes, new solutions, and the continual vulnerabilities . ================================================================ What is physical security? Physical security is the protection of personnel, hardware, programs, networks, and data from physical circumstances and events that could cause serious losses or damage to an enterprise, agency, or institution. This includes protection fro m fire, natural disasters, burglary, theft, vandalism, and terrorism. Physical security is often overlooked (and its importance underestimated) in fav or of more technical and dramatic issues such as hacking, viruses, Trojans, and spyware. However, breaches of physical security can be carried out with little o r no technical knowledge on the part of an attacker. Moreover, accidents and nat ural disasters are a part of everyday life, and in the long term, are inevitable . There are three main components to physical security. First, obstacles can be pl aced in the way of potential attackers and sites can be hardened against acciden ts and environmental disasters. Such measures can include multiple locks, fencin g, walls, fireproof safes, and water sprinklers. Second, surveillance and notifi cation systems can be put in place, such as lighting, heat sensors, smoke detect ors, intrusion detectors, alarms, and cameras. Third, methods can be implemented to apprehend attackers (preferably before any damage has been done) and to reco ver quickly from accidents, fires, or natural disasters. ===================================================================== Definition of Application blacklisting Application blacklisting, sometimes just referred to as blacklisting, is a netwo rk administration practice used to prevent the execution of undesirable programs . Such programs include not only those known to contain security threats or vul nerabilities but also those that are deemed inappropriate within a given organiz ation. Blacklisting is the method used by most antivirus programs, intrusion pre vention/detection systems and spam filters. Blacklisting works by maintaining a list of applications that are to be denied s
ystem access and preventing them from installing or running. However, because t he number, variety and complexity of threats are constantly increasing, a blackl ist can never be comprehensive -- and as a result is limited in its effectivenes s. The opposite approach to blacklisting is application whitelisting. In the whitel isting approach, a simple list of authorized applications is maintained. When an application tries to execute, it is automatically checked against the list. If its not on the list, it is not permitted to run. Some security experts argue that, although whitelisting is a more thorough solut ion to the problem, it is not practical because of the administrative resources required to create and maintain an effective whitelist. Other experts, however, insist that the blacklisting approach is simply too error-prone to be acceptable . Marcus Ranum, CSO of Tenable Network Security, explains the folly of blacklistin g: For a number of years - about twenty - I've been saying that default permit s ecurity is stupid. Basically, you're adopting the approach that everything is al lowed and then trying to identify the things that are known to be dangerous, in order to block them. We've seen this approach used in virtually every area of co mputer security, and it has been a failure every time. ========================================================================== Definition of Application whitelisting Application whitelisting is a computer administration practice used to prevent u nauthorized programs from running. The purpose is primarily to protect computers and networks from harmful applications, and, to a lesser extent, to prevent unn ecessary demand for resources. The whitelist is a simple list of applications that have been granted permission by the user or an administrator. When an application tries to execute, it is au tomatically checked against the list and, if found, allowed to run. An integrity check measure, such as hashing, is generally added to ensure that the applicati on is in fact the authorized program and not a malicious or otherwise inappropri ate one with the same name. Blacklisting, the opposite approach to whitelisting, is the method used by most antivirus, intrusion prevention/detection systems and spam filters. The blacklis ting approach involves maintaining a list of undesirable applications and preven ting them from running. However, the ever-increasing number and variety of thre ats in existence means that a blacklist could never be comprehensive, and as a r esult is limited in its effectiveness. There is no consensus among security experts over which technique is better. Pro ponents of blacklisting argue that application whitelisting is too complex and d ifficult to manage. Compiling the initial whitelist, for example, requires detai led information about all users' tasks and all the applications they need to per form those tasks. Maintaining the list is also demanding because of the increasi ng complexity and interconnections of business processes and applications. On th e other hand, proponents of whitelisting argue that it is better to put in the w ork to protect systems in the first place -- and save the resources required to deal with undesirable programs and the resulting problems that the blacklisting approach fails to prevent. =========================================================================== Trend Micro announcements aimed at data security protection Published: 17 Feb 2011 Trend Micro Inc. made a series of product and services announcements at the RSA
2011 conference. The new offerings include: - Trend Micro DLP Endpoint 5.5: Delivers updated administrative workflow man agement and malware detection tools. - Trend Micro Endpoint Encryption: Provides centrally managed encryption for desktops, laptops and smartphones. - Data Privacy and Encryption Module: Works with the Trend Micro InterScan V irtual appliance to add email encryption and regulatory compliance policies. - Trend Micro Worry Free Business Security 7: Enables small businesses to pr event accidental or deliberate loss of sensitive information through attacked d evices. ================================================================================ ======================== Man-in-the-middle attacks Before we can begin to understand the idea about a Fibre Channel man-in-the-midd le attack, let's first understand the concept using the IP protocol. An entity u sing IP, such as a switch or an operating system, will send out ARP requests whe n it is trying to communicate with other entities. For example, if server A want ed to communicate with server B, which has the IP address of 172.16.1.1 and the MAC address of 00-0A-CC-69-89-74, server A would send out an ARP request asking, "Who is 172.16.1.1?" Then the switch or the operating system would respond, rep lying with its MAC address, which is 00-0A-CC-69-89-74. The issue with ARP, whic h we will also address with Fibre Channel name servers, is that any malicious en tity could send out an ARP reply instead of the actual server. For example, if y ou stepped outside your home and yelled out, "What is the address of the post-of fice," a malicious neighbor could say, "I am the post-office; please send your m ail to me." If you believed this malicious neighbor without asking for proof, th en your mail would be compromised. This is how ARP works, without any authentica tion. A malicious user could send out ARP replies with the incorrect information . Since there is no authentication with ARP, similar to how there is no authentica tion with PLOGI in Fibre Channel fabrics, an entity receiving an ARP reply from an attacker would update their routing table with the incorrect information. Fur thermore, even if a node did not send out an ARP request, which would request th e MAC address of a specific IP address, it doesn't mean it won't receive an ARP reply and update its own routing table. For example, a malicious user could send out ARP replies to the entire network segment, telling each entity that the MAC address of the router, which is 172.16.1.1, is actually the MAC address of the malicious entity. When one node tries to communicate to any other node by going through the default router, it will actually be going to the malicious entity fi rst, since it is using the MAC address of the malicious entity for layer 2 routi ng. ================================================================================ == Definition of Authentication Authentication is the process of determining whether someone or something is, in fact, who or what it is declared to be. In private and public computer networks (including the Internet), authentication is commonly done through the use of lo gon passwords. Knowledge of the password is assumed to guarantee that the user i s authentic. Each user registers initially (or is registered by someone else), u sing an assigned or self-declared password. On each subsequent use, the user must know and use the previously declared passw ord. The weakness in this system for transactions that are significant (such as the exchange of money) is that passwords can often be stolen, accidentally revea led, or forgotten. For this reason, Internet business and many other transactions require a more st
ringent authentication process. The use of digital certificates issued and verif ied by a Certificate Authority (CA) as part of a public key infrastructure is co nsidered likely to become the standard way to perform authentication on the Inte rnet. Logically, authentication precedes authorization (although they may often seem t o be combined). ================================================================================ == What company created the OSI model? The International Organization for Standardization (ISO) created the Open System s Interconnection (OSI) reference model as a framework for defining standards fo r connecting computers. Released in 1984, the model was an attempt to get the en tire world to think about computer networking in same way, and was to act as a f irst step towards standardizing the actual protocols that people used to communi cate via computers. ================================================= What is a privilege escalation attack? A privilege escalation attack is a type of network intrusion that takes advantag e of programming errors or design flaws to grant the attacker elevated access to the network and its associated data and applications. Not every system hack will initially provide an unauthorized user with full acce ss to the targeted system. In those circumstances privilege escalation is requir ed. There are two kinds of privilege escalation: vertical and horizontal. Vertical privilege escalation requires the attacker to grant himself higher priv ileges. This is typically achieved by performing kernel-level operations that al low the attacker to run unauthorized code. Horizontal privilege escalation requires the attacker to use the same level of p rivileges he already has been granted, but assume the identity of another user w ith similar privileges. For example, someone gaining access to another person's online banking account would constitute horizontal privilege escalation. ======================================================= An AV storm is the demand on computing resources that occurs when antivirus soft ware simultaneously scans multiple guest virtual machines on a single physical h ost. In this context, the word "storm" means a bombardment or blitz. The result is degradation of service. Many antivirus programs are still written the same way they were before virtuali zation: they require an application agent to reside on each guest virtual machin e (VM). The application agent makes sure that antivirus software is installed on each guest and verifies that the latest antivirus definition files have been up dated and applied. The presence of these agents, however, can slow performance -- particularly when regularly scheduled activities take place on multiple guests at the same time. If you had 100 virtual machines running on the same host, for instance, you wou ld also have 100 application agents running concurrently. This is what cases th e degradation of service, affecting the performance of server applications and v irtual desktops and creating an AV storm. Trend Micro has worked with VMware to prevent AV storms by replacing multiple in dividual agents with a single light-weight driver located within the physical ho sts VMware kernel. Other antivirus vendors are also addressing the problem and a re expected to follow suit. ============================================================
10 dòng lệnh hay nhất chạy trong Windows
Đối với nhiểu người dùng Microsoft Windows, các công cụ chạy bằng dòng lệnh (command li tí nào bởi lẽ để được sử dụng chúng, bạn phải nhớ chính xác cú pháp và các tham số có liên trong một cửa sổ chỉ với màu đen chữ trắng trông thật buồn tẻ! Tuy nhiên, đối với dân quản lệnh lại là những viên ngọc vô giá, bởi tính năng sẵn sàng đáp ứng và các tùy chọn cao cấp theo cách chuyên nghiệp, bạn cũng nên biết ít ra là 10 dòng lệnh dưới đây.
Để chạy được chúng, trước tiên bạn cần chuyển sang làm việc với chế độ dòng lệnh. Từ mà Run…. Nhập vào câu lệnh cmd trong ô Open của hộp thoại Run rồi gõ phím Enter. Cửa sổ Comma sàng chờ bạn nhập lệnh.
1. SYSTEMINFO Bạn muốn xem nhanh cấu hình chi tiết của cả phần cứng lẫn phần mềm trên máy tính? Vậy t cụ mà bạn có thể tin dùng. Ngoài ra, bạn cũng chạy câu lệnh nói trên ngay từ trước khi làm vận hành PC một cách chủ động, thông minh và hiệu quả hơn. Để khai thác công cụ này trên máy tính cục bộ (Local machine), từ dấu nhắc DOS của cửa vào câu lệnh với cú pháp systeminfo rồi gõ phím enter. Nếu muốn xem thông tin hệ thống của machine), thì bạn sử dụng câu lệnh này với tham số là /s tên hệ thống, và/u tên người dùng: Kết thúc quá trình phân tích, bạn sẽ biết ngay những thông tin hữu ích có liên quan đến tính (Host name), tên hệ điều hành (OS name), phiên bản (OS version), tên hãng phần mềm (OS ), cấu hình hệ điều hành (OS configuration), loại (OS build type), tên người dùng đã được c red Owner), tên tổ chức đã được cấp phép hệ điều hành (Registered Organization), chứng thực gày giờ cài đặt lần đầu tiên (Original Install date), thời gian hoạt động của máy tính được me), tên nhà chế tạo bộ vi xử lí (System manufacturer), mẫu sản phẩm (System model), loại ( ), tổng số bộ vi xử lí của máy tính và các thông số kĩ thuật có liên quan (Processor ), phi Windows (Windows directory), thư mục hệ thống (System directory), thiết bị khởi động máy ( ice), thiết lập bản địa hóa (System locale và Input locale), múi giờ (Time zone), tổng dung (bộ nhớ ram) (Total Physical memory), dung lượng bộ nhớ còn trống (Available physical memor ung lượng cực đại của bộ nhớ ảo (Virtual memory: Max size), dung lượng còn trống của bộ nhớ ailable), dung lượng hiện dùng của bộ nhớ ảo (Virtual memory: in use), thư mục lữu trữ tập ge file lacation ), tên miền (mạng máy tính) (domain), máy chủ đăng nhập (logon sever), các hững thông tin có liên quan (hotfix ) và tổng số card mạng và các thông số kỹ thuật (networ
2. IPCONFIG Đây có lẽ chính là công cụ hữu dụng nhất để phát hiện và giải quyết mọi sự cố có liên q làm mới địa chỉ Internet; hiển thị và xóa sạch bộ nhớ tạm của hệ thống tên miền –DNS, tái h Microsoft Windows Vista và một số phiên bản dành cho máy chủ, ipconfig còn hỗ trợ giao th Bạn có thể sử dụng công cụ nói trên để xem nhanh mọi thông tin về giao thức TCP/IP (nhấ dùng của máy tính, địa chỉ mạng cấp dưới (subnet mask), cổng nối mặc định (default gateway cấu hình host động DHCP và địa chỉ máy chủ DNS (nhập câu lệnh với cú pháp và tham số là ipc cục bộ bao gồm danh sách các trang web mà bạn vừa mở và địa chỉ IP của chúng (nhập câu lệnh displaydns), để xóa toàn bộ nội dung trong bộ nhớ tạm của DNS cục bộ (nhập câu lệnh với cú ushdns).
3. TASKLIST và TASKILL Trình quản lý tác vụ Windows Task Manager (kích hoạt bằng cách bấm tổ hợp phím Ctrl + A dụng phổ biến, giúp bạn xem nhanh mọi tiến trình (process) đang mở trên mọi máy tính để có trình mà bạn tình nghi là phần mềm độc hại (mailware). Đây là một tiện ích có giao diện đồ có 2 công cụ chạy bằng dòng lệnh với tính năng tương đương đó là tasklist và taskill. So v list và Taskill tỏ ra nhỉnh hơn một chút ở khả năng “cưỡng chế” một tiến trình bất kỳ buộc Với công cụ Tasklist, bạn sẽ biết nhanh mọi thông tin hữu ích về các tiến trình đang mở h (Image name) chứng thực tiến trình (PID) và dung lượng bộ nhớ hiện dùng (menu usage). Để kết thúc nhanh một tiến trình dạng mở, bạn hãy sử dụng công cụ Taskkill với cú pháp chứng thực tiến trình cần được kết thúc, chẳng hạn như taskkill /F /PID 1516 hoặc taskkill được kết thúc, chẳng hạn như taskkill /F /IM ymsr_tray.exe.
4. NETSTAT Bạn muốn biết dữ liệu có ai đó hoặc website nào đó đang âm thầm kết nối với máy tính mì Nó sẽ cung cấp đến bạn mọi thông tin quý giá có liên quan đến tất cả các kết nối và các cổn
Với câu lệnh và tham số là netstat-a bạn sẽ được xem tất cả những thông tin trên. Nếu m , thì bạn sử dụng tham số -n. Còn như muốn xem cả tên các chương trình đang khai thác các k b.
5. TYPE Đối với những ai không thật sự “mặn nồng” với command line, thì công cụ này nghe có vẻ trị thì type lại là một ứng dụng tuyệt vời để đọc các tập tin văn bản toàn chữ (text file). chưa biết về type, đó là khả năng mở cùng lúc hơn một tập tin .txt ví dụ: để mở đồng thời 2 C:/list_2.txt, bạn hãy sử dụng câu lệnh với tham số là type list_1.txt list_2.txt.
6. NET Không chỉ dừng lại ở chức năng của một công cụ command line thuần túy, net còn được xem ang hầu như mọi bí ẩn có liên quan đến network, chẳng hạn như cập nhật, sửa lỗi hoặc giám s Ứng dụng phổ biến nhất của net có lẽ chính là việc dùng để xem nhanh những dịch vụ đang s), tắt hoặc tái khởi động chúng. Để khai thác tính năng này, bạn hãy sử dụng câu lệnh với một số dịch vụ bất kì đang mở, thì bạn hãy sử dụng tham số net stop tên dịch vụ cần tắt, c . Còn như muốn khởi động lại dịch vụ này, bạn chỉ cần nhập vào câu lệnh net start workstati Khi cần kết nối (ánh xạ) hoặc tắt kết nối với các ổ đĩa mạng đang chia sẽ (shares netwo net use. Những tính năng khác cũng khá hay của công cụ net, đó là để quản lý các tài khoản ) quản lý in ấn, (sử dụng với tham số print), kiểm soát mọi thiết bị đang được chia sẽ (sử tất cả các tính năng cùa công cụ net, bạn hãy nhập vào câu lệnh với tham số net help use.
7. NSLOOKUP Đối với Internet, hệ thống tên miền DNS là một bộ phận trọng yếu, giúp bạn có thể sử dụ thiện hơn khi lướt web (chẳng hạn như http://www.blogtinhoc.net), thay vì là những địa chỉ hư 210.2445.124.143) nhưng khi phải gặp những rắc rối có liên quan đến Internet, thì công c giá hơn bao giở hết. Công cụ nói trên có thể được thực thi ở 2 chế độ, đó là tương tác (noninteractive) và p tác chỉ hữu dụng khi chỉ có một mẫu nhỏ dữ liệu được trả về trong suốt quá trình truy vấn em nhanh mọi thông tin có liên quan đến quá trình giải tên miền hoặc một địa chỉ IP nào đấy m số là set ds. Hãy nhập vào câu lệnh exit rồi gõ phím Enter để kết thúc chế độ tương tác.
8. PING và TRACERT Hai công cụ này có thể vận dụng mỗi khi bạn muốn chuẩn đoán hiện trạng kết nối mạng. Pi t) nào đấy liệu có tiếp cận được một mạng IP hay không. Còn tracert thì dùng để xác định lộ IP. Để ping một hệ thống, bạn chỉ cần sử dụng câu lệnh với cú pháp và tham số là ping địa c inhoc.net). Ở chế độ mặc định, ping sẽ gửi đi 4 yêu cầu ICMP (giao thức tạo thông điệp điều và lắng nghe tiếng vang phản hồi về. kết quả này sẽ giúp bạn biết được hiện trạng và chất l (trace route) một địa chỉ cụ thể, bạn hãy sử dụng câu lệnh với cú pháp và tham số là trace ert www.blogtinhoc.net) kết quả trả về sẽ giúp bạn biết được toàn bộ lộ trình của các gói d website www.blogtinhoc.net).
9. GPRESULT Công cụ này thường được sử dụng trong những môi trường mà các chính sách về nhóm làm vi sẽ xác thực mọi thiết lập về Group Policy trên một máy tính cụ thể. Để khai thác tính năng lt.
10. NETSH Chắc chắn đây chính là công cụ command line hùng mạnh nhất của hệ điều hành windowns. N g để cấu hình và quản lý mạng máy tính ngay từ dấu nhắc MS DOS. Nó có thể giúp bạn thiết lậ thiết lập các bộ lọc, cấu hình bộ định tuyến, xác lập hành vi của các bộ định tuyến ở xa sử Những ứng dụng tiêu biểu có thể kể ra đây của công cụ này là: - Cho phép bạn bật hay tắt tường lửa của Windows: sử dụng câu lệnh với cú pháp và tham opmode enable hoặc netsh firewall set opmode disable. - Bật hay tắt giao thức ICMP vốn được sử dụng khi ping: sử dụng câu lệnh với cú pháp và set icmp setting 8 enable hoặc netsh firewall set icmp setting 8 disable. - Cấu hình tính năng tự động cấp địa chỉ IP cho máy tính: sử dụng câu lệnh với cú pháp t address “local area connection” dhcp (local area connection là tên NIC mặc định của mạng sử dụng câu lệnh với cú pháp và tham số là netsh interface ip show config để kiểm tra lại
Đừng quên sử dụng tham số /? (chẳng hạn như systeminfo /?) để biết được tất cả những th ================================================================= Secure cryptoprocessor A secure cryptoprocessor is a dedicated computer on a chip or microprocessor for carrying out cryptographic operations, embedded in a packaging with multiple ph ysical security measures, which give it a degree of tamper resistance. The purpose of a secure cryptoprocessor is to act as the keystone of a security sub-system, eliminating the need to protect the rest of the sub-system with phys ical security measures. ================================================================== Hardware security module A hardware security module (often abbreviated to HSM) is a type of secure crypto processor targeted at managing digital keys, accelerating cryptoprocesses in ter ms of digital signings/second and for providing strong authentication to access critical keys for server applications. These modules are physical devices that t raditionally come in the form of a plug-in card or an external TCP/IP security d evice that can be attached directly to the server or general purpose computer. The goals of an HSM are (a) onboard secure generation, (b) onboard secure storag e, (c) use of cryptographic and sensitive data material, (d) offloading applicat ion servers for complete asymmetric and symmetric cryptography. HSMs provide bot h logical and physical protection of these materials from non-authorized use and potential adversaries. In short, they protect high-value cryptographic keys. The cryptographic material handled by most HSMs are asymmetric key pairs (and ce rtificates) used in public-key cryptography. Some HSMs can also handle symmetric keys and other arbitrary data. Many HSM systems have means to securely backup the keys they handle either in a wrapped form via the computer's operating system or externally using a smartcard or some other security token. HSMs should never allow for secrets' exportation in plaintext form, even when migrating between HSMs or performing backup operati ons. Some HSM systems are also hardware cryptographic accelerators. They usually cann ot beat the performance of software-only solutions for symmetric key operations. However, with performances ranges from 1 to 7,000 1024-bit RSA signs/second, HS M's can provide significant CPU offload for asymmetric key operations. Since NIS T is recommending the use of 2,048 bit RSA keys from year 2010 [1], performance at longer key sizes is becoming increasingly important. Because HSMs are often part of a mission-critical infrastructure such as a publi c key infrastructure or online banking application, HSMs can typically be cluste red for high availability. Some HSMs feature dual power supplies to enable busin ess continuity. A few of the HSMs available in the market have the ability to execute specially developed execution modules within the HSM's secure enclosure[citation needed]. Such ability is useful, for example, in cases where special algorithms or busine ss logic has to be executed in a secured and controlled environment. The executi on modules can be developed in native C language, in .NET, Java or other program ming languages. While providing the benefit securing application-specific code, these execution engines confuse the status of an HSM's FIPS or Common Criteria v alidation status. ================================================================