信息安全新观点 敦科尔克大撤退

核心提示：AT&T的前首席技术官CTO Ed Amoroso在一次安全会议上表明了对于DDOS的忧虑，“我们所经历的DDOS次数已经使得我们开始觉得麻木了，信息安全新观点 敦科尔克大撤退(10)，”试想一下，如AT&T般的电信巨头也面临着DDOS所带来的挥之不尽的麻烦，甚至超过诸多商业密码恢复工具，更重要

AT&T的前首席技术官CTO Ed Amoroso在一次安全会议上表明了对于DDOS的忧虑，“我们所经历的DDOS次数已经使得我们开始觉得麻木了。”试想一下，如AT&T般的电信巨头也面临着DDOS所带来的挥之不尽的麻烦，更何况大量中小型公司更会深受其害，造成巨大的损失。SANS安全研究总监Alan Paller在调查中发现“超过6000以上的各种类型组织都为类似DDOS这样的攻击勒索支付数额不等的赎金，而几乎每个在线赌博站点都曾经有过类似经历。”

Active-X

Active-X是微软所开发的用于浏览器进行一些与系统交互以实施简单控制并增强用户体验的技术。从其刚开始推向市场，几乎大家都对其颇有微词，并发现其天生存在诸多安全缺陷。尽管如此，Active-X借助微软对于浏览器的影响力以及简单易用等优势得以大范围应用，并成长成为事实上的标准。Richard.M.Smith进行的一项调查表明所有安装Windows系统的计算机中有超过半数以上内存在一个或多个具有严重缺陷甚至可以导致攻击者控制并获得系统权限的Active-X插件。微软自2002年以来所建立的安全公告板已经发布数百个关于Active-X的漏洞与相关补丁。知名的研究机构Yankee集团曾在进行一项对于Active-X的调查之后做出“Active-X休矣”的论断。从本质上来说，这正说明Active-X的安全缺陷的重要性不容被忽视。

密码策略

绝大多数信息系统以及服务的认证大都沿用传统的单因子认证手段。而另一方面，更强大功能(基于时间窗-内存快照等)的密码破解工具层出不穷，其可以在现有的PC硬件性能基础上，大大缩短破解密码的长度并提高对更为复杂密码的破解成功率。从个人角度上而言，大家都已经习惯于采用“生日、12345、9999”等之类的密码设置策略，即使采用类似“Aq42WBp”之类貌似复杂的密码也由于密码破解工具的能力逐渐强大而变得不再安全。Cain、JohnTheRipper等诸多开源密码破解工具变得愈发强大，甚至超过诸多商业密码恢复工具，更重要的是它们是免费且随时随处可以获得。OphCrack可以在数十秒之内成功恢复几乎99,9%的Windows SAM帐户密码。