曹鹏：大家好，下面的20分钟时间交给我，在我开始介绍的时候，我一直很想问大家一个问题，这个问题也是近两年我不停问自己的，我想问的是，如果在座各位都是非常称职的信息安全管理员，我们可以想想在过去两年或者三年时间里面，作为对安全防守者这一方，我们也没有真正构建起一个真正了不起的安全框架、有一个特别了不起的安全产品、技术上的升级，帮助我们彻底解决了安全领域的某些问题。我经常在想在过去这些年里我们是不是真的做了很多了不起的事情，在安全领域的技术上有了特别大的飞跃？我觉得可能是没有做到这些，但是我们想给大家看看攻击者，我们的对手，他们过去做了哪些事情，他们有了哪些飞跃。

当我们做系统维护、升级的时候，大部分的用户口令我们是可以得到的，Windows系统口令是最长是14位的，最变态的口令如下是N73k-a7……，我们称之为这些口令是变态的，有人说这些口令也是变态的，他说正常的人怎么可能把这些人用脑子记下来，我说这是不可能有人把这些作为自己的开机口令。我做过一个调查，这种口令有多大的可能。Windows的口令是7位一段存放的，但是我后来发现为什么很重要的信息系统要每隔一段时间就换一换口令，是因为黑客也在努力的发展，破解口令的时间越来越短，在06年我们做了一个调查，最厉害的我们发现到花多少时间？只花5分钟，只花5分钟就可以把我们不可能想象的口令破解了。

另外更多的口令甚至连暴力破解都不再需要了，口令的本地HASH保护算法在过去几年遭受到了前所未有的破解实力冲击，安全隐患不断被发现和曝光。最近又有很多黑客公司也好、黑客团体也好，把2的4次方也好，5的6次方也好，他们只要10秒钟就可以完成这种破解，他们从11天到10秒钟，也仅仅是用了一年的时间。在操作系统之外，硬件设备的驱动HACK也逐渐被更多人认识到其中的可怕。所以我们说20年密码攻防战很可能是以安全一方失利来谢幕告终的。不知道大家认同不认同这些观点。

我想今天我们的网络银行还有很多单位都在选择SSL-VPN作为自己的主要应用防护的加密手段，当我们正在用SSL-VPN保护自己的同时，那我们来问，SSL-VPN真的安全吗？这个界面是我在上个星期出台的时候，我的朋友在另外一个房间上网，而我在自己的房间上网，他上网络银行所有的过程都被我监控下来，最后我可以做到马上登录中国银行，登上操作界面，进入转帐页面都非常顺利，我们可以看到他的帐户还有9000多块钱。

我经常在机场、酒店大堂、时尚的咖啡厅看到很多人很自在的她着笔记本电脑在享受网络冲浪访问。很多电信运营也在积极的推进无线AP，那么我们请问这些无线的AP都是安全的吗？器用安全的无线网络用嗅探的方式我们可以看到什么东西？我旁边的兄弟的所有行为，被我用嗅探的方式查到了。所以无线网络真的是我们想象的那么安全吗？我知道有很多电信运营商在全国城市里面覆盖无线热点，好象看起来很方便，但是安全性问题我们是不是需要来考虑？