網(wǎng)絡時代���,盡管外有殺毒廠商的日日監(jiān)測預警��,電腦自身也不乏安全軟件的實時防護����,但是我們反而更加地寢食難安��,因為層出不窮地攻擊事件意味著黑客們總能找到可攻克的大門�����。
究竟是誰將我們的電腦暴露給了黑客����?過去�����,我們是對操作系統(tǒng)又愛又恨�����,現(xiàn)在答案或許有了新解����。
5月29日,美國總統(tǒng)奧巴馬在公布的網(wǎng)絡安全評估報告中指出���,來自網(wǎng)絡空間的威脅已成為美國面臨的最嚴重的經(jīng)濟和軍事威脅之一���。此前���,奧巴馬在競選期間曾一直強調網(wǎng)絡安全對美國的重要性,在其就職不久�����,便要求對美國的網(wǎng)絡安全狀況展開為期60天的全面評估�����,以檢查聯(lián)邦政府部門保護機密信息和數(shù)據(jù)的措施�。作為全球科技發(fā)展的前沿國家,奧巴馬將網(wǎng)絡安全提上政府議程之舉再次表明全球網(wǎng)絡安全形勢已經(jīng)極為嚴峻��。
來自Sophos的《2009安全威脅報告》顯示����,每隔4.5秒就會有一個網(wǎng)頁遭病毒感染。
據(jù)了解��,一次成功的黑客攻擊基本包含搜索�����、掃描�、獲得權限、保持連接�����、消除痕跡五個步驟�。前期的搜索過程將是耗時最長的階段,通過各種途徑完成攻擊的準備階段���,之后對攻擊目標周邊和內部網(wǎng)絡設備進行掃描����,如開放的端口����、開放的應用服務、含操作系統(tǒng)在內的應用漏洞���、保護性較差的數(shù)據(jù)傳輸?shù)葘ふ覞撛诼┒����,以完成最終的攻擊���。
從上述攻擊路徑來看����,應用服務、操作系統(tǒng)在內的應用都成為用戶端面臨的最主要的攻擊途徑�。
此前,微軟于4月8日發(fā)布的最新安全研究報告(該報告每半年發(fā)布一次)指出��,2004年到2007年間�,絕大部分漏洞是來自于應用軟件,并呈快速上升趨勢(從88%增至94%)��,言外之意影響互聯(lián)網(wǎng)安全的主要是來自應用軟件��,而非操作系統(tǒng)�����。
安全廠商很無奈
事實上���,安全廠商也一直在積極做出技術和產品的改進���,可面對新的網(wǎng)絡環(huán)境,他們的努力卻沒有阻止安全問題的愈演愈烈之勢。國家計算機網(wǎng)絡應急技術處理協(xié)調中心監(jiān)測����,2008年接收到的網(wǎng)絡安全事件報告中����,拒絕服務攻擊事件、垃圾郵件事件和病毒����、蠕蟲或木馬問題尤為突出,與2007年相比��,漲幅分別為165%�、54.5%和20.6%。
對此����,全球網(wǎng)絡安全設備廠商美國飛塔(Fortinet)公司總裁謝青告訴《IT時代周刊》,早期的互聯(lián)網(wǎng)安全是屬于鏈接方面的安全����,防火墻只是為防止黑客連接到公司內部。他指出����,過去五到十年間���,網(wǎng)絡安全最大的威脅來自于病毒,來自于入侵檢測或垃圾郵件等不良信息���,而這些都是鏈接類防火墻擋不住的�����。此類防火墻只是為防止外面的鏈接����,但傳染的病毒和垃圾都是從用戶周圍的人傳入�����。
網(wǎng)絡攻擊方式的飛速變化讓整個網(wǎng)絡安全產業(yè)都在思考��,“八年前��,我們就在努力將網(wǎng)絡安全防護往更上層發(fā)展���,走向內容和應用層次����。”謝青如是說����。
但是,分析人士指出����,包括Cisco����、Juniper這些知名廠商在內,若將網(wǎng)絡安全往更高層做�����,最需要解決的技術問題是如何將防火墻的處理速度盡量接近網(wǎng)絡的速度��,同時將功能盡量集中在同一個產品上�����,使用戶及其管理更為方便��。據(jù)悉,一般做鏈接式防火墻���,大概需5~10倍的數(shù)據(jù)處理量��。而如果將安全做到更高層�����,做到內容����,做到防病毒����,做到垃圾郵件等,實際上所處理的數(shù)據(jù)量���,要比處理鏈接式防火墻的要求更高��,一般需要20倍~50倍的處理能力�,才能趕上路由器和交換機的處理速度��。
不過����,謝青告訴記者���,從整個網(wǎng)絡安全市場來看,統(tǒng)一威脅管理(UTM)正在快速取代防火墻���,僅2008年全球UTM的銷量就已經(jīng)超過了防火墻���。他認為,相比國外很多互聯(lián)網(wǎng)應用較為廣泛�、比較先進的國家,中國市場其實還相對滯后��,特別是防火墻市場比UTM市場還大許多���。據(jù)悉,UTM較之防火墻的優(yōu)勢�,就是它可以將病毒去掉,可以將入侵者去掉����!安荒100%隔離��,但對各類應用軟件的防護至少可以做到60%以上����!敝x青坦言。
操作系統(tǒng)非罪魁禍首
談及操作系統(tǒng)的安全性�,微軟的Windows操作系統(tǒng)可謂飽受質疑。
2008年10月24日微軟系統(tǒng)爆出的年度最大安全漏洞 (Microsoft 安全公告 MS08-067)讓人記憶猶新����。該問題涉及Windows2000/XP/Vista等桌面操作系統(tǒng)的絕大多數(shù)版本。借此漏洞�,黑客可發(fā)動大規(guī)模遠程攻擊,實際效果可與“沖擊波”��、“震蕩波”等病毒類似��。微軟當即也緊急發(fā)布了安全更新����。據(jù)了解,因此漏洞存在于操作系統(tǒng)的遠程過程調用模塊(RPC)�����,如用戶的電腦收到了特制的RPC請求�����,則攻擊者可繞過系統(tǒng)認證遠程運行任意代碼,很可能造成大規(guī)模蠕蟲攻擊����。
本刊記者發(fā)現(xiàn),依照微軟的每月補丁周期(通常在每月第二周周二發(fā)布安全補����。﹣砜矗衲3月份至5月份的安全公告數(shù)分別為3個��、8個��、1個��,按照微軟安全漏洞四級標準劃分��,嚴重級別的過半�����。
微軟在“盡自己所能在安全方面做出努力”��,也及時地發(fā)布安全漏洞公告和補丁�����,但絕大多數(shù)電腦用戶對這位桌面霸主的舉動并不領情���,“出了任何事情第一反應就是微軟系統(tǒng)不安全”一位媒體同行如是說��。甚至連安全廠商卡巴斯基實驗室創(chuàng)始人尤金·卡巴斯基都如此斷言:目前的電腦操作系統(tǒng)整體設計含有不安全的因素�����,使得惡意軟件侵入操作系統(tǒng)變得非常容易�。
“其實微軟也是受害者�。” 微軟大中華區(qū)戰(zhàn)略安全架構師裔云天感慨地說���。分析人士指出�����,其實每個軟件都有漏洞����,有些是要在使用過程中才能被發(fā)現(xiàn),故有“補丁”一說����。而操作系統(tǒng)因其使用人群范圍廣泛,即便不提開發(fā)時潛在的漏洞�����,黑客為攻擊計算機也會不停尋找系統(tǒng)漏洞���,以期乘虛而入���。微軟報告也表明,從2004年開始到2007年�����,操作系統(tǒng)的安全漏洞正在逐年下降���,從12%降至6%���。
裔云天告訴《IT時代周刊》�����,“如果網(wǎng)絡攻擊是針對某款軟件本身漏洞的,那么防火墻和殺毒軟件都是無效的”��,在他看來“其實防火墻和殺毒軟件只能抵御一般攻擊”����,因為很多軟件是特定的應用,防火墻并不能判別針對特定應用的攻擊是采用哪一種����。頻頻出現(xiàn)的安全廠商“誤殺誤報”事件恰巧也印證了微軟的這個說法。
既然防火墻和安全軟件都不完全“靠譜”�����,操作系統(tǒng)也非罪魁禍首���,黑客是從哪里乘虛而入的呢���?
“禍起”第三方軟件
一份來自IBM安全組織的報告指出,前5大IT廠商�,包括微軟、IBM��、思科、Oracle和Apple�����,總共的系統(tǒng)漏洞只占了所有漏洞的14%���,而其他中小廠商出品的應用軟件則占了86%��。應用軟件的安全性著實堪憂��!
“因為第三方軟件在開發(fā)過程中只考慮功能本身���,并沒有把安全考慮進去,所以漏洞百出�。”裔云天直言不諱�。他指出,之所以漏洞百出還有客觀的外在因素��,中國很多中小型軟件開發(fā)商�����,本身生存就非常困難���,也很難將自己的開發(fā)人員輸出進行安全培訓�,且國內也很少有開發(fā)方面的安全培訓���。
事實也確如此�����,對大多數(shù)軟件廠商而言�����,最大目的就是完成所開發(fā)軟件的功能����,其開發(fā)人員也沒有安全方面的培訓��,即只是開發(fā)軟件功能�,而不是開發(fā)一個安全的軟件。比如ERP財務軟件����,設計之初,鮮有開發(fā)者會考慮到����,當輸入一個字串時�,它是不是要檢查是否有效��,如百分比等等���,因為黑客會對這個進行攻擊���;還有對輸入長度進行檢查,許多開發(fā)者并不會考慮這點�����,所以當他調用時就會產生安全隱患�����,但他并不知情�����。
前文微軟報告還顯示��,在基于瀏覽器漏洞的攻擊中��,使用中文簡體版本瀏覽器的用戶位列被攻擊對象的第二位,占25.6%�;從2008年下半年開始,每月被Live Search檢測到的掛馬網(wǎng)頁數(shù)量超過一百萬��,.CN 域名網(wǎng)站中有超過1%的網(wǎng)站被掛馬��。且冒牌安全軟件呈現(xiàn)爆發(fā)趨勢�����。所謂冒牌安全軟件�,是指在木馬病毒盛行的情況下���,用戶會自主搜索一些免費的“安全軟件”��,而此時搜索引擎所列廠商很多都是偽裝的安全廠商�����,自稱安裝后不會再有病毒侵入���,以免費三個月等期限為誘餌,實際他們本身就是木馬����,欺騙用戶安裝����。
鑒于互聯(lián)網(wǎng)安全趨勢正從操作系統(tǒng)轉向應用軟件�,為在軟件開發(fā)過程中確保其安全性和可靠性,微軟耗費近7年時間建立起一套安全方法論“軟件安全開發(fā)生命周期(SDL)”��。從安全教育�����、安全設計��、到安全響應�����,在軟件開發(fā)的每一個階段都嚴把安全關����,有效地降低安全漏洞和隱私問題的數(shù)量,以及殘留漏洞的嚴重性�����。微軟所開發(fā)的所有軟件都必須經(jīng)過這一方法論的監(jiān)測,如果安全狀況達不到標準�����,無論功能多么完備都不會被發(fā)布����。據(jù)悉,SDL流程還將被用于幫助我國政府�、合作伙伴�����、軟件開發(fā)商改進第三方軟件�����,最終建立端到端安全可信的互聯(lián)網(wǎng)環(huán)境�����。
一方面系統(tǒng)提供商在為安全積極改進��,同時�����,微軟也認為,用戶也要增強自我保護的習慣和知識�����,堅持使用正版軟件��,開啟操作系統(tǒng)自動更新�����,便于他們第一時間發(fā)現(xiàn)問題自動幫助用戶修復�����。
|
