是時(shí)候承認(rèn)失敗了，我們所面對(duì)的信息安全現(xiàn)狀是糟糕透頂?shù)模捍蠖鄶?shù)安全保護(hù)措施形同虛設(shè);安全工程師們更樂(lè)于看到自己薪水以及地位的節(jié)節(jié)上升?；蛟S這正是信息安全產(chǎn)業(yè)之所以還沾沾自喜且陶醉于其中的原因所在，盡管一切看上去都朝著失敗的方向發(fā)展。

1 引言

溫水煮青蛙

對(duì)青蛙而言，這是一個(gè)相當(dāng)殘忍的比喻。

雖然大多數(shù)引用這個(gè)比喻的人并不清楚青蛙在溫水中是否真正不會(huì)跳出來(lái)而一直被煮成青蛙湯。

如果我們將現(xiàn)在的信息安全產(chǎn)業(yè)看作成為那只溫水中的青蛙，我們又會(huì)發(fā)現(xiàn)什么?

難道那只青蛙真的要被困于那漸沸的鍋中?不得不進(jìn)行歷史上最著名的敦科爾克大撤退么?

你不愿相信，我不愿相信，我們都不愿相信這一點(diǎn)。

互聯(lián)網(wǎng)以及全球經(jīng)濟(jì)的迅猛發(fā)展很大程度上依賴于長(zhǎng)久以來(lái)形成的信任與安全機(jī)制。然而每年在電子商務(wù)交易中損失的交易額數(shù)以數(shù)億美金計(jì)算。美國(guó)司法部的一項(xiàng)針對(duì)成人在網(wǎng)絡(luò)上的犯罪行為研究調(diào)查表明，傾向并熱衷于在網(wǎng)絡(luò)上進(jìn)行犯罪行為的人比例三倍于傳統(tǒng)現(xiàn)實(shí)中的犯罪。不僅如此，來(lái)自蓋納調(diào)查機(jī)構(gòu)的一份報(bào)告顯示，14%曾經(jīng)使用在線銀行服務(wù)的用戶因?yàn)榘踩矫娴囊蛩囟Ｖ故褂迷诰€銀行服務(wù)，另外有37%的人很少使用在線銀行服務(wù)。很顯然，互聯(lián)網(wǎng)信任危機(jī)成為罪魁禍?zhǔn)住?/P>

正如那個(gè)經(jīng)典的形容互聯(lián)網(wǎng)的優(yōu)點(diǎn)的例子一樣，“在互聯(lián)網(wǎng)上，沒(méi)有人知道你是誰(shuí);哪怕電腦的對(duì)面是一只狗”。

我們應(yīng)該開心抑或是悲哀，當(dāng)信任危機(jī)嚴(yán)重的影響到我們生活、工作、學(xué)習(xí)的方方面面時(shí)，我們開始質(zhì)疑：信息安全，你究竟路在何方?

2 失敗

2.1 產(chǎn)品迷思

我們面對(duì)著琳瑯滿目的安全產(chǎn)品：

第四、五代的防火墻(UTM統(tǒng)一威脅管理網(wǎng)關(guān)、應(yīng)用防火墻等)

基于行為的反間諜軟件(Pestpatrol、Spybot、WebRoot等)

主機(jī)或者網(wǎng)絡(luò)入侵檢測(cè)(防護(hù))系統(tǒng)(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)

動(dòng)態(tài)身份認(rèn)證(雙因子、電子令牌、生物識(shí)別認(rèn)證等)

高度自動(dòng)化的漏洞評(píng)估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)

個(gè)人防火墻(Zonealarm、天網(wǎng)等)

基于特征的反病毒軟件、硬件(Kaspersky、AVG、AntiyLabs等)

……

我們始終堅(jiān)信這些無(wú)所不能的安全產(chǎn)品使我們可以免于恐懼，處于一種平和的狀態(tài)之中。但擁有并部署這些安全產(chǎn)品我們就真的獲得“安全”了么?

根據(jù)美國(guó)今日雜志的統(tǒng)計(jì)，2005年是計(jì)算機(jī)系統(tǒng)受到威脅并出現(xiàn)事故最多與后果最嚴(yán)重的“最糟糕年”。美國(guó)財(cái)政部技術(shù)處的統(tǒng)計(jì)表明在2004年，由于網(wǎng)絡(luò)犯罪所造成的損失高達(dá)1050億美金，遠(yuǎn)遠(yuǎn)超過(guò)毒品非法銷售所得。2005年，F(xiàn)BI與CSI聯(lián)合進(jìn)行的一個(gè)關(guān)于計(jì)算機(jī)犯罪與安全的調(diào)查表明，至少有90%以上的交易在2004年受到計(jì)算機(jī)病毒、間諜軟件或者是其它形式的在線攻擊影響，而在2005年，這一比例仍有所上升;盡管已經(jīng)部署了大量的安全設(shè)備、軟件等來(lái)防止并降低來(lái)自于網(wǎng)絡(luò)的威脅程度。FBI還發(fā)現(xiàn)，平均每天有超過(guò)27000人的身份數(shù)據(jù)、社會(huì)保險(xiǎn)號(hào)等數(shù)據(jù)在網(wǎng)絡(luò)上失竊。藍(lán)色巨人IBM也在2006年初發(fā)布一項(xiàng)預(yù)警報(bào)告聲明在2006年更具有目的性、更為精密、更具有危害性的攻擊數(shù)量將進(jìn)一步上升。

一定有某個(gè)地方出錯(cuò)了，但是錯(cuò)在哪里呢?

如果你隨意打開一張報(bào)紙并瀏覽當(dāng)期頭條，我打賭十次有八次你可以看到有“銀行詐騙案”、“網(wǎng)絡(luò)交易欺詐”、“釣魚攻擊愈演愈烈”等類似標(biāo)題出現(xiàn)。我們承認(rèn)人們有時(shí)候是很粗心的，很容易犯這樣那樣的小錯(cuò)誤;但是如果超過(guò)數(shù)千萬(wàn)人天天都在犯粗心錯(cuò)誤的時(shí)候，那就不僅僅屬于個(gè)人行為，而更進(jìn)一步的衍變成為社會(huì)行為，并進(jìn)而影響到那些幾乎“全副武裝到牙齒的”IT部門以及安全專家甚至巨額的安全預(yù)算。不是么?

2.2 究竟有多糟糕

大多數(shù)情況下，我們所聲稱的安全最佳實(shí)踐事實(shí)上是完全失效的。

AvanteGarde近期進(jìn)行了一項(xiàng)實(shí)驗(yàn)，其在網(wǎng)絡(luò)中部署了一批具備缺省安全配置系統(tǒng)并對(duì)其進(jìn)行詳盡的分析，也就是我們所俗稱的“蜜罐Honeypot”做為誘餌調(diào)查攻擊者的行為。通過(guò)這一項(xiàng)目，可以在一定時(shí)間內(nèi)進(jìn)行對(duì)攻擊、威脅數(shù)量、種類的抽樣統(tǒng)計(jì)同時(shí)也可以計(jì)算從威脅到攻擊成功成為“傀儡”機(jī)器所需要的時(shí)間窗進(jìn)行統(tǒng)計(jì)。統(tǒng)計(jì)表明，一次針對(duì)計(jì)算機(jī)成功的入侵平均時(shí)間僅需要4分鐘。

試想一下，我們可以購(gòu)買更為昂貴、性能更為強(qiáng)大的電腦，然后加電、開機(jī)、接入網(wǎng)絡(luò)，起身去沖一杯咖啡，……這一切，只需要四分鐘。回來(lái)之后呢?木馬程序已經(jīng)接管你系統(tǒng)權(quán)限，新機(jī)器已經(jīng)成為“僵尸網(wǎng)絡(luò)”中的一分子，參與了發(fā)送垃圾郵件、釣魚攻擊、病毒傳播以及分布式拒絕服務(wù)攻擊等諸多攻擊行為浪潮中去。

絕大多數(shù)消費(fèi)者都沒(méi)有足夠的安全意識(shí)，他們很少會(huì)在拿到一臺(tái)計(jì)算機(jī)并將其連接入網(wǎng)絡(luò)之前增加必要的安全措施，例如安裝系統(tǒng)補(bǔ)丁等。當(dāng)然，具備足夠安全意識(shí)的用戶會(huì)通過(guò)其它渠道按照SANS應(yīng)急響應(yīng)中心的建議并按照自己的操作系統(tǒng)種進(jìn)行初級(jí)的安全設(shè)置，譬如安裝系統(tǒng)補(bǔ)丁等。新問(wèn)題又出現(xiàn)了，微軟發(fā)布的Windows XP系統(tǒng)補(bǔ)丁小到70Mb，大到260Mb，你下載這些補(bǔ)丁所需要花費(fèi)的時(shí)間已經(jīng)大于4分鐘，于是很遺憾，您的計(jì)算機(jī)可能已經(jīng)被入侵者占據(jù)了。

因此，我們陷入怪圈：一方面下載并安裝補(bǔ)丁是必須的，另一方面下載過(guò)程中即被入侵而導(dǎo)致下載回來(lái)補(bǔ)丁沒(méi)有任何意義。更有甚者，我們對(duì)于計(jì)算機(jī)的控制權(quán)限可能少到可憐的30秒鐘。

即便你通過(guò)離線方式獲得并安裝補(bǔ)丁確保系統(tǒng)安全性得以提升，這也僅僅是萬(wàn)里長(zhǎng)征的第一步——因?yàn)?，失敗無(wú)所不在。

2 失敗

2.1 產(chǎn)品迷思

我們面對(duì)著琳瑯滿目的安全產(chǎn)品：

第四、五代的防火墻(UTM統(tǒng)一威脅管理網(wǎng)關(guān)、應(yīng)用防火墻等)

基于行為的反間諜軟件(Pestpatrol、Spybot、WebRoot等)

主機(jī)或者網(wǎng)絡(luò)入侵檢測(cè)(防護(hù))系統(tǒng)(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)

動(dòng)態(tài)身份認(rèn)證(雙因子、電子令牌、生物識(shí)別認(rèn)證等)

高度自動(dòng)化的漏洞評(píng)估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)

個(gè)人防火墻(Zonealarm、天網(wǎng)等)

基于特征的反病毒軟件、硬件(Kaspersky、AVG、AntiyLabs等)

……

我們始終堅(jiān)信這些無(wú)所不能的安全產(chǎn)品使我們可以免于恐懼，處于一種平和的狀態(tài)之中。但擁有并部署這些安全產(chǎn)品我們就真的獲得“安全”了么?

根據(jù)美國(guó)今日雜志的統(tǒng)計(jì)，2005年是計(jì)算機(jī)系統(tǒng)受到威脅并出現(xiàn)事故最多與后果最嚴(yán)重的“最糟糕年”。美國(guó)財(cái)政部技術(shù)處的統(tǒng)計(jì)表明在2004年，由于網(wǎng)絡(luò)犯罪所造成的損失高達(dá)1050億美金，遠(yuǎn)遠(yuǎn)超過(guò)毒品非法銷售所得。2005年，F(xiàn)BI與CSI聯(lián)合進(jìn)行的一個(gè)關(guān)于計(jì)算機(jī)犯罪與安全的調(diào)查表明，至少有90%以上的交易在2004年受到計(jì)算機(jī)病毒、間諜軟件或者是其它形式的在線攻擊影響，而在2005年，這一比例仍有所上升;盡管已經(jīng)部署了大量的安全設(shè)備、軟件等來(lái)防止并降低來(lái)自于網(wǎng)絡(luò)的威脅程度。FBI還發(fā)現(xiàn)，平均每天有超過(guò)27000人的身份數(shù)據(jù)、社會(huì)保險(xiǎn)號(hào)等數(shù)據(jù)在網(wǎng)絡(luò)上失竊。藍(lán)色巨人IBM也在2006年初發(fā)布一項(xiàng)預(yù)警報(bào)告聲明在2006年更具有目的性、更為精密、更具有危害性的攻擊數(shù)量將進(jìn)一步上升。

一定有某個(gè)地方出錯(cuò)了，但是錯(cuò)在哪里呢?

如果你隨意打開一張報(bào)紙并瀏覽當(dāng)期頭條，我打賭十次有八次你可以看到有“銀行詐騙案”、“網(wǎng)絡(luò)交易欺詐”、“釣魚攻擊愈演愈烈”等類似標(biāo)題出現(xiàn)。我們承認(rèn)人們有時(shí)候是很粗心的，很容易犯這樣那樣的小錯(cuò)誤;但是如果超過(guò)數(shù)千萬(wàn)人天天都在犯粗心錯(cuò)誤的時(shí)候，那就不僅僅屬于個(gè)人行為，而更進(jìn)一步的衍變成為社會(huì)行為，并進(jìn)而影響到那些幾乎“全副武裝到牙齒的”IT部門以及安全專家甚至巨額的安全預(yù)算。不是么?

2.2 究竟有多糟糕

大多數(shù)情況下，我們所聲稱的安全最佳實(shí)踐事實(shí)上是完全失效的。

AvanteGarde近期進(jìn)行了一項(xiàng)實(shí)驗(yàn)，其在網(wǎng)絡(luò)中部署了一批具備缺省安全配置系統(tǒng)并對(duì)其進(jìn)行詳盡的分析，也就是我們所俗稱的“蜜罐Honeypot”做為誘餌調(diào)查攻擊者的行為。通過(guò)這一項(xiàng)目，可以在一定時(shí)間內(nèi)進(jìn)行對(duì)攻擊、威脅數(shù)量、種類的抽樣統(tǒng)計(jì)同時(shí)也可以計(jì)算從威脅到攻擊成功成為“傀儡”機(jī)器所需要的時(shí)間窗進(jìn)行統(tǒng)計(jì)。統(tǒng)計(jì)表明，一次針對(duì)計(jì)算機(jī)成功的入侵平均時(shí)間僅需要4分鐘。

試想一下，我們可以購(gòu)買更為昂貴、性能更為強(qiáng)大的電腦，然后加電、開機(jī)、接入網(wǎng)絡(luò)，起身去沖一杯咖啡，……這一切，只需要四分鐘。回來(lái)之后呢?木馬程序已經(jīng)接管你系統(tǒng)權(quán)限，新機(jī)器已經(jīng)成為“僵尸網(wǎng)絡(luò)”中的一分子，參與了發(fā)送垃圾郵件、釣魚攻擊、病毒傳播以及分布式拒絕服務(wù)攻擊等諸多攻擊行為浪潮中去。

絕大多數(shù)消費(fèi)者都沒(méi)有足夠的安全意識(shí)，他們很少會(huì)在拿到一臺(tái)計(jì)算機(jī)并將其連接入網(wǎng)絡(luò)之前增加必要的安全措施，例如安裝系統(tǒng)補(bǔ)丁等。當(dāng)然，具備足夠安全意識(shí)的用戶會(huì)通過(guò)其它渠道按照SANS應(yīng)急響應(yīng)中心的建議并按照自己的操作系統(tǒng)種進(jìn)行初級(jí)的安全設(shè)置，譬如安裝系統(tǒng)補(bǔ)丁等。新問(wèn)題又出現(xiàn)了，微軟發(fā)布的Windows XP系統(tǒng)補(bǔ)丁小到70Mb，大到260Mb，你下載這些補(bǔ)丁所需要花費(fèi)的時(shí)間已經(jīng)大于4分鐘，于是很遺憾，您的計(jì)算機(jī)可能已經(jīng)被入侵者占據(jù)了。

因此，我們陷入怪圈：一方面下載并安裝補(bǔ)丁是必須的，另一方面下載過(guò)程中即被入侵而導(dǎo)致下載回來(lái)補(bǔ)丁沒(méi)有任何意義。更有甚者，我們對(duì)于計(jì)算機(jī)的控制權(quán)限可能少到可憐的30秒鐘。

即便你通過(guò)離線方式獲得并安裝補(bǔ)丁確保系統(tǒng)安全性得以提升，這也僅僅是萬(wàn)里長(zhǎng)征的第一步——因?yàn)?，失敗無(wú)所不在。

2.3 失敗無(wú)所不在

雖然我們不愿意承認(rèn)現(xiàn)實(shí)的殘酷與嚴(yán)峻，但我們必須意識(shí)到：失敗確實(shí)無(wú)所不在。

間諜軟件

普通用戶的計(jì)算機(jī)經(jīng)常充斥著名目繁多的間諜軟件、流氓軟件或者彈出式廣告。根據(jù)NCSA一項(xiàng)研究表明91%以上的計(jì)算機(jī)系統(tǒng)內(nèi)都存在間諜軟件。根據(jù)Earthlink以及防間諜軟件提供商WebRoot Software聯(lián)合進(jìn)行的一項(xiàng)針對(duì)互聯(lián)網(wǎng)上超過(guò)100萬(wàn)臺(tái)計(jì)算機(jī)進(jìn)行的調(diào)查表明，每臺(tái)計(jì)算機(jī)內(nèi)平均運(yùn)行有超過(guò)28個(gè)間諜程序。間諜軟件更進(jìn)一步導(dǎo)致系統(tǒng)性能下降、資源被耗盡，同時(shí)也彈出式廣告以及瀏覽器劫持插件、身份信息竊賊程序(如社會(huì)保險(xiǎn)號(hào)、銀行卡號(hào)、財(cái)務(wù)數(shù)據(jù)等);不僅如此，間諜軟件還監(jiān)視并采集計(jì)算機(jī)系統(tǒng)的一舉一動(dòng)(如您的瀏覽歷史、個(gè)人習(xí)慣、愛(ài)好、隱私數(shù)據(jù)等);更有甚者，重定向或路由誘導(dǎo)未成年兒童訪問(wèn)色情站點(diǎn)從而牟取商業(yè)利益。

　　

　　圖：迷失的瀏覽器com:office:office" />

美國(guó)Illinois大學(xué)的一位著名的安全研究人員Eric Howes調(diào)查發(fā)現(xiàn)：絕大多數(shù)反間諜軟件都無(wú)法徹底清除受感染機(jī)器上的間諜軟件，甚至其中一些反間諜軟件對(duì)于由間諜程序所生成關(guān)鍵性的文件或者注冊(cè)表根本不予理睬，這一比例甚至曾搞達(dá)25%。微軟公司曾經(jīng)發(fā)表聲明，從系統(tǒng)中根除間諜軟件是一項(xiàng)“不可能任務(wù)Mission Impossible”。

釣魚攻擊

國(guó)際防釣魚攻擊聯(lián)盟從成立以來(lái)不遺余力的聯(lián)合各個(gè)國(guó)家共同采取措施來(lái)抑制釣魚攻擊的成長(zhǎng)并進(jìn)一步降低釣魚攻擊所帶來(lái)的巨大損失。調(diào)查表明：釣魚者每周嘗試發(fā)起的攻擊次數(shù)平均每周超過(guò)40000000次。Gartner蓋納集團(tuán)2004年6月的調(diào)查表明，在此前的12個(gè)月內(nèi)，北美洲的銀行業(yè)在電子交易過(guò)程中因?yàn)閻阂馄墼p行為損失了超過(guò)24億美金。預(yù)計(jì)有近2億人次在釣魚攻擊中從諸多知名在線服務(wù)提供商(如：eBay、PayPal、Visa、SouthTrustBank、AOL、Comcast、Verizon等)蒙受不同數(shù)額的損失。

　　

　　圖：惡意密碼竊取URL再創(chuàng)新高(Antiphishing.org)

安全專家George Ou同時(shí)發(fā)現(xiàn)許多大型金融機(jī)構(gòu)早期(如：Bank of America、American Express、KeyBank、US Bank等)在驗(yàn)證用戶的身份之時(shí)都沒(méi)有采用SSL協(xié)議對(duì)傳輸進(jìn)行加密。這使得釣魚攻擊者可以更輕松的劫持并偽造欺騙性頁(yè)面以誘導(dǎo)用戶乖乖告訴他們銀行帳戶、密碼。

木馬、病毒和蠕蟲

木馬、病毒和蠕蟲以及混合型的惡意代碼正在以每月數(shù)千種以上的速度繁衍，我們幾乎已無(wú)力應(yīng)對(duì)。做為防病毒廠商，以巨大的投資建立遍布全球的病毒監(jiān)測(cè)網(wǎng)絡(luò)并努力搜尋并抓獲新生的木馬、病毒和蠕蟲。在90年代，除了轟動(dòng)一時(shí)的計(jì)算機(jī)CIH病毒得到人們莫大的關(guān)注之外，其余均被人們僅僅當(dāng)作茶余飯后的談資。然而今日木馬、病毒與蠕蟲作者被不再簡(jiǎn)單的局限于娛樂(lè)、體驗(yàn)或者是炫耀自己高超的編程技巧，而更多的以牟取高額經(jīng)濟(jì)回報(bào)與利益為目的。因此，我們驚訝的發(fā)現(xiàn)90年代的病毒最多干一些刪除計(jì)算機(jī)文件的勾當(dāng)，如今我們的金錢卻深處于水深火熱中。

美國(guó)FBI于2005年對(duì)于2066個(gè)企業(yè)、機(jī)構(gòu)等進(jìn)行的調(diào)查表明此類計(jì)算機(jī)木馬、病毒以及蠕蟲的惡意行為對(duì)受調(diào)查對(duì)象中的84%以上遭受到不同程度破壞，同時(shí)損失金額保守估計(jì)僅2005年全年就高達(dá)620億美金。另一個(gè)數(shù)字來(lái)自微軟，微軟去年推出的“惡意軟件移除工具”2005年的下載次數(shù)超過(guò)20億次，這一數(shù)字再次表明惡意軟件已經(jīng)無(wú)所不在，深入我們的生活中。

惡意程序跟以往相比，危害更大，其攻擊能力也不斷增強(qiáng)。諸如Ransom.A.Trojan以及Zippo.A等新的加密型病毒不僅感染計(jì)算機(jī)并且對(duì)硬盤上的文件進(jìn)行加密;然后這些惡意程序勒索用戶要求其通過(guò)paypal等在線支付手段支付一筆小額費(fèi)用(10美金左右)到指定帳號(hào)，否則就不會(huì)為用戶提供打開密碼。這形成了一場(chǎng)赤裸裸的“敲詐”。

新一代的后門變得愈發(fā)難以檢測(cè)。微軟研究實(shí)驗(yàn)室創(chuàng)建了一個(gè)基于虛擬機(jī)的后門原型——SubVirt。SubVirt實(shí)現(xiàn)了在操作系統(tǒng)下底層構(gòu)建一個(gè)虛擬機(jī)監(jiān)視器，其可以使得木馬本體在宿主操作系統(tǒng)中不可能被發(fā)現(xiàn)，因?yàn)槠溥\(yùn)行狀態(tài)根本不可能進(jìn)入宿主操作系統(tǒng)的安全軟件監(jiān)控之中。

　　

　　圖：界面如此友好的木馬

軟件是盡最大可能利用現(xiàn)有防病毒軟件基于簽名、特征的檢測(cè)機(jī)制弱點(diǎn)進(jìn)行衍生與傳播，這是無(wú)法根除惡意軟件的原因之所在。從技術(shù)角度上而言，基于簽名的檢測(cè)機(jī)制首先要求能夠有能力以最快的速度維護(hù)并擴(kuò)充一個(gè)包含每一種新的惡意攻擊行為的信息庫(kù)。攻擊以及其傳播的速度遠(yuǎn)遠(yuǎn)超過(guò)補(bǔ)丁的發(fā)布與部署速度。2001年著名的“紅色代碼”蠕蟲每分鐘感染創(chuàng)記錄的2000臺(tái)電腦。加州伯克利分校的Nick Weaver曾經(jīng)提出過(guò)一種可以超高速進(jìn)行傳播的蠕蟲“Flash Worm”，其理論上可以實(shí)現(xiàn)15分鐘之內(nèi)感染互聯(lián)網(wǎng)上幾乎所有存在相應(yīng)漏洞的計(jì)算機(jī)，甚至構(gòu)造優(yōu)良的Flahs Worm其傳播速度可能以秒為數(shù)量級(jí)來(lái)計(jì)算。另一種繞過(guò)基于簽名的檢測(cè)機(jī)制的技術(shù)方法是類似Torjan.Mdropper.B以及Trojan.Riler.C這類針對(duì)一個(gè)特定公司或者行業(yè)的自定義的木馬程序，其利用到了尚未公開的一些漏洞以及底層核心技術(shù)，而輕松繞過(guò)防病毒軟件的檢測(cè)與監(jiān)控。這種方法也呈現(xiàn)出一定的增長(zhǎng)趨勢(shì)，必須要引起進(jìn)一步的重視。

垃圾郵件

地球上連續(xù)12年最富有的人——Bill Gates微軟首席軟件架構(gòu)師曾經(jīng)預(yù)測(cè)2006年Spam——垃圾郵件會(huì)消失，然而他錯(cuò)了。Postni從2002年元月起開始的一項(xiàng)調(diào)查表明，垃圾郵件的活躍程度增長(zhǎng)了65%，直至2006年4月份的報(bào)告顯示互聯(lián)網(wǎng)中70%以上的郵件：也就是說(shuō)每14封郵件中有10封屬于包含各種商業(yè)小廣告、色情內(nèi)容等的垃圾郵件。

　　

　　圖：垃圾郵件示例

這一點(diǎn)也不出人意料，垃圾郵件確實(shí)越發(fā)猖狂。2006年在德國(guó)漢堡舉行的歐洲計(jì)算機(jī)反病毒研究會(huì)議上，John Aycock以及來(lái)自Calgary大學(xué)的Nathan曾經(jīng)發(fā)表過(guò)一篇關(guān)于垃圾郵件如何繞過(guò)形形色色的過(guò)濾器(其中包含微軟大力推行的防止垃圾郵件的發(fā)件人ID驗(yàn)證SPF框架)并且如何成功欺騙那些對(duì)處理可疑垃圾郵件有豐富經(jīng)驗(yàn)的IT專業(yè)人員。這些新的技巧更多的表現(xiàn)在新一代的垃圾郵件“傀儡”實(shí)時(shí)監(jiān)控受感染機(jī)器上的每一封郵件活動(dòng)，然后記錄地址并自動(dòng)偽造郵件轉(zhuǎn)發(fā)至相應(yīng)關(guān)聯(lián)其它郵件地址。因此，我們?cè)诮窈笫盏降睦]件很有可能來(lái)自我們的同學(xué)、家人、同事甚至各種朋友(只要你曾經(jīng)和他們發(fā)生過(guò)郵件往來(lái)并被垃圾郵件記錄到)，甚至我們驚奇的發(fā)現(xiàn)發(fā)件人縮寫也是他們的姓名。因此我們絲毫不會(huì)懷疑郵件的真實(shí)性而去點(diǎn)擊其中的鏈接或者打開相應(yīng)的附件。

僵尸網(wǎng)絡(luò)

美國(guó)司法部對(duì)網(wǎng)絡(luò)犯罪進(jìn)行調(diào)查時(shí)發(fā)現(xiàn)了一個(gè)很具有戲劇性的事實(shí)，六成以上的垃圾郵件來(lái)自他們根本預(yù)料不到的計(jì)算機(jī)網(wǎng)絡(luò)：美國(guó)國(guó)防部數(shù)以百計(jì)的超級(jí)計(jì)算機(jī)。這些超級(jí)計(jì)算機(jī)大都被黑客入侵而成為“傀儡”，黑客遠(yuǎn)程控制這些超級(jí)計(jì)算機(jī)而利用其強(qiáng)大的計(jì)算能力發(fā)送垃圾郵件或者進(jìn)行分布式拒絕服務(wù)攻擊DDOS。以往數(shù)據(jù)表明，超過(guò)10萬(wàn)、20萬(wàn)節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)是十分罕見(jiàn)的。然而，最近的一項(xiàng)調(diào)查表明，虛擬的網(wǎng)絡(luò)世界中甚至存在一個(gè)超過(guò)150萬(wàn)節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)。

　　

　　圖：“僵尸”軍團(tuán)

PandaLabs在2005年所進(jìn)行的一項(xiàng)調(diào)查表明，其監(jiān)測(cè)到有超過(guò)1萬(wàn)個(gè)形形色色的僵尸網(wǎng)絡(luò)，相對(duì)2004年其增幅高達(dá)175%。僵尸網(wǎng)絡(luò)的傳播源——控制程序的種類也占了2005年全年檢測(cè)到的惡意程序的20%以上，而且每種控制程序又衍生出上千種變體，遠(yuǎn)不是基于簽名或特征的檢測(cè)與防護(hù)機(jī)制所能夠防范的。例如Gaobot系列病毒僅2005年一年就衍生出超過(guò)6000種變體。

Web應(yīng)用漏洞

梅賽德斯-奔馳、富士、松下、美國(guó)軍方、Microsoft、Google、Stanford大學(xué)、SANS安全研究學(xué)院、賽門鐵客、麥當(dāng)勞、NASA、CIA、新浪、網(wǎng)易、Tom、搜狐、新華網(wǎng)、CCTV……這些耳熟能詳?shù)闹?、機(jī)構(gòu)其Web服務(wù)都蒙受過(guò)不同程度的損失，甚至嚴(yán)重到種種入侵行為。

Zone-h.org致力于保存互聯(lián)網(wǎng)上世界范圍內(nèi)針對(duì)企業(yè)、組織、機(jī)構(gòu)以及公司的入侵所修改的網(wǎng)頁(yè)快照記錄并進(jìn)行分析。統(tǒng)計(jì)表明其中19.4%來(lái)自于利用管理配置錯(cuò)誤，而利用已知的一個(gè)系統(tǒng)漏洞(尚未安裝補(bǔ)丁)入侵成功的占到了15.3%。與此同時(shí)，2005-2006年間，來(lái)自google、Yahoo、Microsoft以及eBay等著名互聯(lián)網(wǎng)公司或者提供Web服務(wù)的軟件公司都出現(xiàn)了不同程度的漏洞且都被成功的加以利用。

1. 2005年10月，Gmail在進(jìn)行帳號(hào)驗(yàn)證以及會(huì)話管理的過(guò)程中出現(xiàn)一個(gè)致命的漏洞，這一漏洞導(dǎo)致攻擊者可以無(wú)須獲得它人帳號(hào)而進(jìn)入其郵箱查看其電子郵件;

2. 2006年2月，微軟公司的Hotmail郵件服務(wù)被曝存在一個(gè)中風(fēng)險(xiǎn)級(jí)別的允許進(jìn)行跨站腳本攻擊的漏洞;同期，eBay也出現(xiàn)類似漏洞

3. 2006年4月，Yahoo公司郵件服務(wù)中出現(xiàn)一個(gè)可以被利用進(jìn)行釣魚攻擊的漏洞;同期微軟MSN Space以及Myspace均出現(xiàn)可以被利用在站點(diǎn)中增加并執(zhí)行惡意腳本的漏洞。

html1\01\clip_image001.png">而這一切才只是冰山下的一角，來(lái)自O(shè)WASP(一個(gè)開放的Web應(yīng)用安全研究組織)所發(fā)布的“十大漏洞”每年都會(huì)有新的種類衍生，Web應(yīng)用愈發(fā)讓我們喪失信任。安全管理員始終不能確保所實(shí)施的安全解決方案能否保障Web應(yīng)用按照預(yù)期正常安全運(yùn)行;同時(shí)，Web開發(fā)人員也不清楚如何將安全措施貫徹到Web代碼開發(fā)過(guò)程中去，這里就形成了一個(gè)難于被逾越的鴻溝。

Web應(yīng)用的復(fù)雜性、擴(kuò)展性以及趨于更為復(fù)雜的特性三位一體，使得原本就脆弱的Web應(yīng)用安全性進(jìn)一步受到損害。因此，Zone-h.org的數(shù)據(jù)庫(kù)愈發(fā)龐大，我們都會(huì)為此而感到恐懼，因?yàn)槲覀儾⒉磺宄骋惶熳约旱腤eb網(wǎng)站會(huì)被其列入到它的“黑”名單中去。

分布式拒絕服務(wù)攻擊DDOS

分布式拒絕服務(wù)攻擊其表現(xiàn)形式在于使用大量被入侵并控制的計(jì)算機(jī)對(duì)某一個(gè)特定的目標(biāo)發(fā)起各種類型請(qǐng)求以盡可能消耗信息系統(tǒng)所有資源(如：帶寬、磁盤空間、CPU時(shí)間)，從而導(dǎo)致合法用戶無(wú)法獲得正常服務(wù)。互聯(lián)網(wǎng)上受控制并用于發(fā)動(dòng)DDOS攻擊的計(jì)算機(jī)數(shù)量從早期的數(shù)百臺(tái)、數(shù)千臺(tái)已經(jīng)成長(zhǎng)為數(shù)以萬(wàn)計(jì)、百萬(wàn)計(jì)的龐大的“僵尸網(wǎng)絡(luò)”，無(wú)孔不入的計(jì)算機(jī)病毒、蠕蟲、木馬使得控制者隱藏在世界上任何一個(gè)角落遠(yuǎn)程控制并發(fā)起相應(yīng)攻擊。2004年10月。騰訊、新浪臺(tái)灣、娛樂(lè)站點(diǎn)等數(shù)個(gè)站點(diǎn)被DDOS攻擊并導(dǎo)致正常服務(wù)被迫中止。而早在2004年4月，俄羅斯黑手黨也控制大量的“僵尸網(wǎng)絡(luò)”并DDOS英國(guó)數(shù)家賭博公司的在線服務(wù)站點(diǎn)，并聲稱“一手交錢，一手開閘”。

于是，我們開始意識(shí)到，分布式拒絕服務(wù)攻擊DDOS從單純的娛樂(lè)或者是簡(jiǎn)單的個(gè)人惡意報(bào)復(fù)衍變成為集團(tuán)化、有預(yù)謀的犯罪行為，“一切以經(jīng)濟(jì)利益為根本出發(fā)點(diǎn)”。

AT&T的前首席技術(shù)官CTO Ed Amoroso在一次安全會(huì)議上表明了對(duì)于DDOS的憂慮，“我們所經(jīng)歷的DDOS次數(shù)已經(jīng)使得我們開始覺(jué)得麻木了。”試想一下，如AT&T般的電信巨頭也面臨著DDOS所帶來(lái)的揮之不盡的麻煩，更何況大量中小型公司更會(huì)深受其害，造成巨大的損失。SANS安全研究總監(jiān)Alan Paller在調(diào)查中發(fā)現(xiàn)“超過(guò)6000以上的各種類型組織都為類似DDOS這樣的攻擊勒索支付數(shù)額不等的贖金，而幾乎每個(gè)在線賭博站點(diǎn)都曾經(jīng)有過(guò)類似經(jīng)歷?！?/P>

Active-X

Active-X是微軟所開發(fā)的用于瀏覽器進(jìn)行一些與系統(tǒng)交互以實(shí)施簡(jiǎn)單控制并增強(qiáng)用戶體驗(yàn)的技術(shù)。從其剛開始推向市場(chǎng)，幾乎大家都對(duì)其頗有微詞，并發(fā)現(xiàn)其天生存在諸多安全缺陷。盡管如此，Active-X借助微軟對(duì)于瀏覽器的影響力以及簡(jiǎn)單易用等優(yōu)勢(shì)得以大范圍應(yīng)用，并成長(zhǎng)成為事實(shí)上的標(biāo)準(zhǔn)。Richard.M.Smith進(jìn)行的一項(xiàng)調(diào)查表明所有安裝Windows系統(tǒng)的計(jì)算機(jī)中有超過(guò)半數(shù)以上內(nèi)存在一個(gè)或多個(gè)具有嚴(yán)重缺陷甚至可以導(dǎo)致攻擊者控制并獲得系統(tǒng)權(quán)限的Active-X插件。微軟自2002年以來(lái)所建立的安全公告板已經(jīng)發(fā)布數(shù)百個(gè)關(guān)于Active-X的漏洞與相關(guān)補(bǔ)丁。知名的研究機(jī)構(gòu)Yankee集團(tuán)曾在進(jìn)行一項(xiàng)對(duì)于Active-X的調(diào)查之后做出“Active-X休矣”的論斷。從本質(zhì)上來(lái)說(shuō)，這正說(shuō)明Active-X的安全缺陷的重要性不容被忽視。

密碼策略

絕大多數(shù)信息系統(tǒng)以及服務(wù)的認(rèn)證大都沿用傳統(tǒng)的單因子認(rèn)證手段。而另一方面，更強(qiáng)大功能(基于時(shí)間窗-內(nèi)存快照等)的密碼破解工具層出不窮，其可以在現(xiàn)有的PC硬件性能基礎(chǔ)上，大大縮短破解密碼的長(zhǎng)度并提高對(duì)更為復(fù)雜密碼的破解成功率。從個(gè)人角度上而言，大家都已經(jīng)習(xí)慣于采用“生日、12345、9999”等之類的密碼設(shè)置策略，即使采用類似“Aq42WBp”之類貌似復(fù)雜的密碼也由于密碼破解工具的能力逐漸強(qiáng)大而變得不再安全。Cain、JohnTheRipper等諸多開源密碼破解工具變得愈發(fā)強(qiáng)大，甚至超過(guò)諸多商業(yè)密碼恢復(fù)工具，更重要的是它們是免費(fèi)且隨時(shí)隨處可以獲得。OphCrack可以在數(shù)十秒之內(nèi)成功恢復(fù)幾乎99,9%的Windows SAM帳戶密碼。

新型的身份認(rèn)證技術(shù)(如：雙因子身份認(rèn)證、生物識(shí)別技術(shù)、識(shí)別卡等)一定程度上抑制了釣魚攻擊、特權(quán)濫用等攻擊威脅，但他們會(huì)是身份認(rèn)證的救世主么?答案：不是。攻擊者正在采用更為精妙的攻擊手段與方法試圖超越身份認(rèn)證技術(shù)所構(gòu)建的強(qiáng)大“馬其諾防線”。

譬如中國(guó)最知名的網(wǎng)絡(luò)游戲公司盛大網(wǎng)絡(luò)所推出的雙因子動(dòng)態(tài)認(rèn)證技術(shù)——盛大密寶，其采用動(dòng)態(tài)電子令牌為用戶提供必要的身份認(rèn)證。然而這種基于時(shí)間(每60秒變化一次)的認(rèn)證機(jī)制有著潛在的機(jī)制缺陷。其首先要與認(rèn)證服務(wù)器本身進(jìn)行時(shí)間同步服務(wù)，而每次同步并更新認(rèn)證信息的時(shí)間窗可能長(zhǎng)達(dá)一至數(shù)分鐘。一個(gè)攻擊者通過(guò)簡(jiǎn)單的“中間人”攻擊手法截獲一次認(rèn)證會(huì)話，并將其人為修改成為一次失敗認(rèn)證會(huì)話狀態(tài)返回給用戶;但盛大認(rèn)證服務(wù)器會(huì)將其標(biāo)記為一次成功認(rèn)證過(guò)程，那么中間攻擊者只需要在下一次認(rèn)證服務(wù)器發(fā)現(xiàn)其來(lái)源并不可靠并進(jìn)行同步更換之前獲得合法用戶帳號(hào)、密碼就可以實(shí)現(xiàn)其最直接的目的——竊取帳號(hào)、密碼。事實(shí)上，來(lái)自蘭州的一個(gè)攻擊者正是這么去做的。其設(shè)計(jì)了木馬并將其通過(guò)各種手段傳播到數(shù)萬(wàn)臺(tái)計(jì)算機(jī)上，并在此過(guò)程中插入所需要的信息返回狀態(tài)，從而達(dá)到獲利數(shù)百萬(wàn)的經(jīng)濟(jì)目的。除此之外，攻擊者還可以在用戶成功進(jìn)行認(rèn)證并登陸入在線銀行、服務(wù)等之后，竊取相關(guān)信息(即使采用SSL加密)并進(jìn)行破解恢復(fù)。

補(bǔ)丁管理

軟件供應(yīng)商的產(chǎn)品出現(xiàn)了大量的漏洞因此也導(dǎo)致其發(fā)布了數(shù)以千計(jì)的補(bǔ)丁來(lái)修復(fù)Bug或嚴(yán)重缺陷。通常情況下，安裝補(bǔ)丁以前，我們的信息系統(tǒng)始終處于危險(xiǎn)之中。即使是號(hào)稱“安全第一，牢不可破”的Oracle在近兩年以來(lái)也花費(fèi)了大量的精力與開銷發(fā)布補(bǔ)丁以修復(fù)產(chǎn)品缺陷。更具有諷刺意味的是，當(dāng)Oracle聲稱其產(chǎn)品“牢不可破”之后，擅長(zhǎng)于漏洞挖掘的安全專家David以及Mark Litchfield就發(fā)現(xiàn)了24個(gè)Oracle產(chǎn)品家族中的漏洞或者缺陷。而微軟公司對(duì)其Windows 2000服務(wù)器以及Windows 2003服務(wù)器在在發(fā)布之后同樣時(shí)間段內(nèi)所出現(xiàn)的嚴(yán)重漏洞數(shù)目進(jìn)行了對(duì)比性統(tǒng)計(jì)，結(jié)果表明：在635天內(nèi)，前者出現(xiàn)的嚴(yán)重漏洞數(shù)目高達(dá)64個(gè)，而后者卻有所改善，下降到27個(gè);微軟Office產(chǎn)品在調(diào)查過(guò)程中也出現(xiàn)類似結(jié)論。

　　

　　圖：Windows&Office補(bǔ)丁管理與漏洞改善方面的顯著成效

這一調(diào)查結(jié)果表明一方面微軟通過(guò)數(shù)年的努力而建成的補(bǔ)丁管理機(jī)制初見(jiàn)成效，另一方面其在2002年開始制定并加以貫徹的“安全開發(fā)生命周期模型Security Development Lifecycle”起到了最根本的因素。令人遺憾的是，并不是所有的公司都會(huì)像微軟、Oracle等花費(fèi)巨大的投入從流程、方法、人員等不同角度去改善并提高產(chǎn)品質(zhì)量。

總而言之，補(bǔ)丁問(wèn)題將愈發(fā)成為信息系統(tǒng)業(yè)務(wù)連續(xù)性的最嚴(yán)重的隱患所在，其從根本上是無(wú)法解決的。畢竟，一個(gè)“天下無(wú)賊”的信息系統(tǒng)“烏托邦”是不可能存在的。

Zero­-Day攻擊

2005年12月27日，Windows Metafile(.WMF)文件中的一個(gè)嚴(yán)重缺陷被曝光，其導(dǎo)致幾乎所有的Windows 2003 Web服務(wù)器以及Windows XP操作系統(tǒng)用戶無(wú)論是通過(guò)瀏覽器、抑或是電子郵件、即時(shí)通訊工具瀏覽一個(gè)特定的圖片之后即可導(dǎo)致系統(tǒng)被入侵。因?yàn)槠淅玫搅薟indows Graphics Rendering Engine(WGRE)一個(gè)圖像渲染引擎方面的漏洞，所以幾乎所有的Windows應(yīng)用程序都不可避免(如：Internet Explorer、Outlook電子郵件、Windows圖片和傳真查看器等凡是可以可用于處理WMF文件的軟件)的成為傳播渠道。剛開始的幾個(gè)小時(shí)小時(shí)之內(nèi)，數(shù)以百計(jì)的站點(diǎn)利用此漏洞分發(fā)各種惡意代碼;四天之后，第一個(gè)利用即時(shí)通訊IM工具傳播該漏洞的蠕蟲病毒被發(fā)現(xiàn)。接下來(lái)呢?我們都想知道接下來(lái)發(fā)生了什么?

六天以后，歐洲著名的安全廠商Panda檢測(cè)到一個(gè)“WMF生成器”工具，非常簡(jiǎn)單易用使得任何一個(gè)稍微具有計(jì)算機(jī)知識(shí)的人通過(guò)鼠標(biāo)的點(diǎn)擊即可生成包含自定義惡意代碼的WMF圖片。

毫無(wú)疑問(wèn)，WMF缺陷成為信息安全產(chǎn)業(yè)的“夢(mèng)魘”，也成為網(wǎng)絡(luò)犯罪的“阿拉丁神燈”。WMF漏洞使得攻擊者以最為輕松的方式(瀏覽一張網(wǎng)頁(yè)、郵件圖片)獲得大多數(shù)計(jì)算機(jī)系統(tǒng)(幾乎所有的Windows系統(tǒng))的管理權(quán)限。而到第九天，針對(duì)此WMF的補(bǔ)丁才姍姍來(lái)遲。比較有趣的是，早在此一漏洞所帶來(lái)的攻擊大規(guī)模傳播一個(gè)月以前這一漏洞就被放到eBay上進(jìn)行拍賣，一口價(jià)4000美金;而在拍賣消息得出之后兩周，防病毒廠商才注意到該漏洞但仍未得到足夠重視;直至其大規(guī)模傳播爆發(fā)之后，微軟才開始著手調(diào)查并發(fā)布相應(yīng)補(bǔ)丁。

這是第一個(gè)WMF漏洞;那么誰(shuí)能保證我們沒(méi)有下一個(gè)“WMF漏洞”呢?

無(wú)線AP缺陷

　　世界范圍內(nèi)部署了數(shù)以億萬(wàn)計(jì)的WAP。FBI的一項(xiàng)實(shí)驗(yàn)調(diào)查表明，在ISSA(一個(gè)國(guó)際性的信息安全組織)2005年Los Angeles會(huì)議之時(shí)，會(huì)議現(xiàn)場(chǎng)中70%以上的WAP沒(méi)有任何保護(hù)措施，其允許任何用戶都隨意訪問(wèn)。而剩下的27%采用了傳統(tǒng)的802.11 中所制定的具有嚴(yán)重缺陷的WAP加密協(xié)議，只有3%采取了改良的、具有增強(qiáng)安全特性的WPA標(biāo)準(zhǔn)來(lái)進(jìn)行加密防護(hù)。

　　攻擊者可以利用類似SiVus之類的無(wú)線AP漏洞掃描工具輕松構(gòu)造特定的數(shù)據(jù)包并在數(shù)分鐘之內(nèi)破解128位的WEP密鑰。之所以WPA標(biāo)準(zhǔn)還沒(méi)有被正式加以普及，其根源在于設(shè)備制造商仍然大量并銷售僅支持基于WAP加密協(xié)議的無(wú)線AP設(shè)備。因此我們?cè)跓o(wú)線的網(wǎng)絡(luò)世界中仍舊危機(jī)四伏。

　　來(lái)自內(nèi)部的攻擊

　　美國(guó)商務(wù)部統(tǒng)計(jì)表明，2002-2005年間，平均每年由于公司、組織或者機(jī)構(gòu)內(nèi)部人員、管理等方面的威脅以及缺陷所造成的直接或間接損失高達(dá)4000億美金，而這一數(shù)字仍然呈進(jìn)一步上升趨勢(shì)，而其中3480億損失則與那些具有特權(quán)的管理者密切相關(guān)。2005年Global Security Survey的調(diào)查表明，在全球Top 100的金融機(jī)構(gòu)中，來(lái)自內(nèi)部的威脅與攻擊所造成的危害遠(yuǎn)遠(yuǎn)超過(guò)外部威脅(黑客、木馬、蠕蟲病毒等)所造成的危害。

　　因此，對(duì)于內(nèi)部IT信息資產(chǎn)、用戶、權(quán)限、流程等方面的管理就成為重中之重，BS7799/ISO27001等信息安全管理標(biāo)準(zhǔn)就逐漸成為管理者眼中的“救世主”。我們首先承認(rèn)標(biāo)準(zhǔn)是科學(xué)的、是被實(shí)踐證明行之有效的，然而在建設(shè)信息安全管理體系的過(guò)程中，諸多環(huán)節(jié)由于直接或者間接的人為因素而導(dǎo)致標(biāo)準(zhǔn)在每個(gè)執(zhí)行的環(huán)節(jié)都大打折扣，而這些就導(dǎo)致標(biāo)準(zhǔn)無(wú)法真正落到實(shí)處。一方面，我們希望借助標(biāo)準(zhǔn)建立完善的PDCA(Plan、Do、Check、Action)流程，另一方面Plan方針的不確定性(取決于管理者的管理思想、管理文化、甚至性格等諸多因素)、Do行為的不可靠性(取決于各個(gè)部門的配合程度、責(zé)權(quán)利的分工明確與否等)、Check復(fù)查的有效性(取決于審計(jì)者的獨(dú)立性、客觀性、公證性以及檢查方法的科學(xué)性與否)、Act執(zhí)行(取決于人、財(cái)、物等是否有足夠的預(yù)算、配置管理、影響業(yè)務(wù)連續(xù)性的致命因素等)，以上四者導(dǎo)致PDCA流程在很多企業(yè)內(nèi)部管理中無(wú)法真正得以實(shí)現(xiàn)。

　　

　　圖：PDCA實(shí)施起來(lái)是相當(dāng)艱難的

　　安全產(chǎn)品自身缺陷

　　琳瑯滿目的安全產(chǎn)品(軟件、硬件)大行其道，從傳統(tǒng)的“三大件”(防火墻、防病毒、入侵檢測(cè)系統(tǒng))隨著技術(shù)以及需求的進(jìn)一步發(fā)展而衍生出來(lái)數(shù)十種安全產(chǎn)品，其中除上述產(chǎn)品之外，還包括內(nèi)容過(guò)濾產(chǎn)品(如：郵件過(guò)濾、員工上網(wǎng)行為管理等)、加密類產(chǎn)品(如：雙因子動(dòng)態(tài)身份認(rèn)證、CA、PKI、生物識(shí)別、VPN等)、訪問(wèn)控制類產(chǎn)品(如：入侵防護(hù)系統(tǒng)IPS、統(tǒng)一威脅網(wǎng)關(guān)UTM、內(nèi)網(wǎng)終端控制、物理隔離系統(tǒng)等)、安全管理類產(chǎn)品(如：內(nèi)網(wǎng)資產(chǎn)管理、安全運(yùn)維管理、內(nèi)網(wǎng)行為管理等)、風(fēng)險(xiǎn)評(píng)估類產(chǎn)品(如：漏洞掃描器、滲透測(cè)試產(chǎn)品、自動(dòng)化加固產(chǎn)品等)等數(shù)十類共上百種產(chǎn)品類別。

　　從本質(zhì)上而言，所有的軟件產(chǎn)品與硬件產(chǎn)品都會(huì)存在或多或少、或影響嚴(yán)重或輕微的bug，而對(duì)于安全產(chǎn)品來(lái)說(shuō)，其大多處于網(wǎng)絡(luò)的邊界、終端的第一道門戶以及系統(tǒng)的最底層防線，因此一旦缺陷被攻擊者利用到(譬如對(duì)于個(gè)人計(jì)算機(jī)使用的防火墻，其本質(zhì)在于重構(gòu)TCP/IP協(xié)議棧以達(dá)到控制的目的，如果攻擊者采用通信隱藏于http隧道技術(shù)進(jìn)行協(xié)議交互與通訊，就可以輕松繞過(guò)防火墻監(jiān)督;另外個(gè)人防火墻對(duì)應(yīng)用程序的控制機(jī)制大多以程序進(jìn)程名以及端口進(jìn)行鑒別，倘若修改某一特定批處理文件以合法名稱加以執(zhí)行，同樣也會(huì)為攻擊者造成可乘之機(jī))就會(huì)造成非常嚴(yán)重的影響。Norton AntiVirus 8.0版本有多個(gè)溢出漏洞可使攻擊者輕松繞過(guò)其防護(hù)機(jī)制，而針對(duì)運(yùn)行于虛擬機(jī)狀態(tài)下的新型病毒VM.Virus更是以現(xiàn)有的基于簽名、特征進(jìn)行檢測(cè)的防病毒技術(shù)所無(wú)法解決的問(wèn)題。

　　手機(jī)病毒

　　手機(jī)正在成為人們最為重要的通訊與交流工具之一，而遍布世界每一個(gè)角落的移動(dòng)網(wǎng)絡(luò)更是為病毒、木馬以及蠕蟲病毒的傳播創(chuàng)造了最佳的途徑。由于手機(jī)操作系統(tǒng)的相對(duì)封閉性，手機(jī)病毒一向處于原型與研究階段。然而當(dāng)智能手機(jī)(以Symbian、Windows Mobile、Palm以及Linux為首)成為一種潮流與時(shí)尚之時(shí)，我們驚奇的發(fā)現(xiàn)自己的手機(jī)會(huì)用藍(lán)牙搜索范圍內(nèi)所有手機(jī)并對(duì)其進(jìn)行拒絕服務(wù)攻擊，同時(shí)在收到一條特殊的“短信息”之后我們的手機(jī)的電池已在幾秒之內(nèi)耗盡所有電量，甚至手機(jī)病毒還使得我們的智能手機(jī)成為未來(lái)“手機(jī)僵尸網(wǎng)絡(luò)”的一分子，從而成為移動(dòng)網(wǎng)絡(luò)潛在的威脅來(lái)源。

　　從技術(shù)角度上來(lái)講，我們目前還沒(méi)有完整的針對(duì)手機(jī)病毒的免疫機(jī)制。針對(duì)Symbian以及Windows Mobile的手機(jī)病毒已經(jīng)多到數(shù)以百計(jì)(盡管其中大多數(shù)僅僅屬于惡作劇性質(zhì))，但對(duì)于病毒“玩客”們來(lái)說(shuō)，制作出攻擊更為復(fù)雜的病毒僅僅是一個(gè)時(shí)間問(wèn)題。因此，在一個(gè)“手機(jī)僵尸網(wǎng)絡(luò)”中，控制者可以發(fā)出指令使得受控制手機(jī)在同一時(shí)間段同時(shí)隱蔽撥叫某一電話號(hào)碼從而形成手機(jī)DDOS攻擊，并進(jìn)而謀求一定的經(jīng)濟(jì)利益，這正是某些不法之徒所希望干到的事情。我想，他們十分期待并關(guān)注著此類手機(jī)病毒的發(fā)展?fàn)顩r。

　　音樂(lè)CD獵手

　　音樂(lè)CD一向是音樂(lè)愛(ài)好者的必備品，他們會(huì)收藏大量的CD并跟隨潮流的發(fā)展延續(xù)著對(duì)不同流行歌星的迷戀。我不屬于流行一族，但對(duì)于經(jīng)典的歌曲CD卻仍是愛(ài)不釋手。2005年10月31日，美國(guó)著名的安全軟件公司Sysinternal的安全專家Mark Russinovich在進(jìn)行一次安全測(cè)試時(shí)意外的發(fā)現(xiàn)SONY出品的一款具有DRM數(shù)字版權(quán)管理功能的音樂(lè)CD竟然隱藏有木馬程序。一旦你將CD放入計(jì)算機(jī)，木馬將自動(dòng)在后臺(tái)運(yùn)行并復(fù)制自身到系統(tǒng)內(nèi)部。木馬程序創(chuàng)建了一個(gè)極為罕見(jiàn)的隱藏進(jìn)程，其在你毫不知情的時(shí)候?qū)⒛愕碾[私信息發(fā)送回SONY?！疤炷?SONY，你偷走了我的名字!”我會(huì)這樣想，也許我們中的很多人都會(huì)這樣想。病毒作者們對(duì)于SONY創(chuàng)建這一隱藏進(jìn)程的技術(shù)很感興趣，因?yàn)檫@可以讓他們將病毒藏在絲毫不起眼的地方。

　　SONY在媒體曝光其安全惡劣行徑之后，并未正式道歉并給出補(bǔ)救解決方案。這更令人感到氣憤，數(shù)日之后，SONY終于發(fā)布了“卸載”程序。然而，這一卸載程序并沒(méi)有起到卸載的作用，其僅僅將其進(jìn)程隱藏通訊的特性關(guān)閉，反而多了另外一個(gè)漏洞：運(yùn)行該“卸載”程序的電腦將允許控制者瀏覽你所訪問(wèn)過(guò)的任何網(wǎng)頁(yè)，并且在你的電腦上運(yùn)行任何代碼。大約超過(guò)50萬(wàn)臺(tái)電腦(包括軍方、政府、商業(yè)、廣告等諸多行業(yè))其在運(yùn)行這一“卸載”程序之后被感染，甚至美國(guó)國(guó)防部的電腦上也檢測(cè)到了這一木馬程序。

　　密碼的夢(mèng)魘

　　《風(fēng)語(yǔ)者》中的尼古拉斯.凱奇依舊帥得一塌糊涂，他的任務(wù)只有兩個(gè)：第一，盡一切可能保護(hù)密碼戰(zhàn)士Password Warrior;第二：上述任務(wù)無(wú)法完成時(shí)就消滅密碼戰(zhàn)士。我們的密碼技術(shù)自古時(shí)“結(jié)繩記事”到現(xiàn)在先進(jìn)的密碼技術(shù)可以說(shuō)取得了很大的成就。然而破解密碼的的技術(shù)與理論也絲毫沒(méi)有停止過(guò)他們的腳步，因?yàn)槿祟愂秦澙返摹⒏呛闷娴摹?/P>

　　1999年，一些密碼研究人員開發(fā)了一個(gè)小工具“DES 破解者”，其能夠在56個(gè)小時(shí)以內(nèi)進(jìn)行2的56次方運(yùn)算過(guò)程，其不僅可以在同等硬件配置下比其它同類型工具有超越若干個(gè)數(shù)量級(jí)的運(yùn)算速度，這一點(diǎn)在破解方面是十分重要的。2004年，來(lái)自以色列技術(shù)學(xué)院的密碼專家Eli Biham以及Rafi Chen聲稱其使用“碰撞破解”機(jī)制成功的破解了MD5以及SHA，甚至建設(shè)了一個(gè)網(wǎng)頁(yè)入口可以從網(wǎng)頁(yè)提交受限的密文而進(jìn)一步獲得明文數(shù)據(jù)。2005年1月，來(lái)自中國(guó)山東大學(xué)數(shù)學(xué)系杰出的數(shù)學(xué)家王小云、于洪波等設(shè)計(jì)了針對(duì)SHA以及MD5的“碰撞破解”優(yōu)化算法其可以大大降低暴力破解的難度與工作量并盡可能快的還原密文。

　　這一切對(duì)我們來(lái)說(shuō)，意味著什么?PGP是安全的么?

　　數(shù)學(xué)家、密碼學(xué)家用自己的專有語(yǔ)言描述著密碼的不安全性，他們很少會(huì)關(guān)注普通用戶對(duì)于密碼的擔(dān)心與觀察角度。顯而易見(jiàn)的是，他們的算法將進(jìn)一步影響到加密與破解兩大陣營(yíng)的平衡之道。

　　換而言之，我們沒(méi)有看到房間中的火苗，甚至也沒(méi)有看到煙霧，但是我們耳邊卻警種長(zhǎng)鳴，我們必須離開，但是請(qǐng)排好隊(duì)，千萬(wàn)不要跑!因?yàn)檫@樣會(huì)造成更大的恐慌與損失。

　　即便撤退也該是如此的……

3 來(lái)吧!水溫剛剛好!

　　毫無(wú)疑問(wèn)，危機(jī)四伏的信息世界正在摧殘著我們脆弱的腦神經(jīng)，尤其是執(zhí)著于信息安全的從業(yè)者們。我們所處的信息系統(tǒng)已經(jīng)過(guò)了溫度上升的階段——鍋已經(jīng)開始沸騰了!

　　然而，事實(shí)真如我們所設(shè)想的那樣么?我們尋找安全“溫度計(jì)”時(shí)，卻發(fā)現(xiàn)了以下的事實(shí)：

　　表：貌似公正的“安全溫度計(jì)”

　　世界安全一片“綠”，網(wǎng)絡(luò)山河未曾“紅”。原來(lái)我們的網(wǎng)絡(luò)運(yùn)行如此健康!我們每天應(yīng)該可以“開門揖盜”了。當(dāng)數(shù)以萬(wàn)計(jì)的“Zero­-Days攻擊”、10萬(wàn)以上節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)、日行三惡的病毒攻擊、垃圾郵件的充斥、有組織且有預(yù)謀的大規(guī)模犯罪、身份大盜等等對(duì)我們普通人來(lái)說(shuō)，已經(jīng)耳熟能詳時(shí)，研究機(jī)構(gòu)、安全廠商告訴我們：唔，我可以很負(fù)責(zé)任的告訴大家，一切是正常的。

　　嗚呼!我很負(fù)責(zé)任的告訴安全廠商，消費(fèi)者很生氣，后果很嚴(yán)重。

　　4為什么失敗

　　4.1 充滿著敵意的生存環(huán)境

　　首先虛擬網(wǎng)絡(luò)世界是一個(gè)戰(zhàn)場(chǎng)，盡管它不如《地球殺場(chǎng)》那么血腥，但暴力、欺詐、破壞、偷竊等仍無(wú)所不在。入侵者只需要找到一個(gè)可以利用的漏洞就可以闖入系統(tǒng)，而安全專家需要尋找出盡可能多的漏洞并在最短的時(shí)間內(nèi)尋找并進(jìn)行修正。其次，網(wǎng)絡(luò)與生懼來(lái)的自由、隱私、匿名、開放等特性使得網(wǎng)絡(luò)上充斥著大量的惡意行徑而幾乎很難被繩之以法。攻擊者大可以逃之夭夭，逍遙法外。

　　4.2 暗處的攻擊者們更懂得致勝之道

　　很顯然，安全與破壞安全的入侵者們一直進(jìn)行著衛(wèi)“道”士與石地“魔”的較量。他們之間此消彼長(zhǎng)，在進(jìn)行一場(chǎng)沒(méi)有終點(diǎn)的拉力賽。攻擊者們善于挖掘并利用任何一個(gè)潛在的可能脆弱性并真正威脅到信息世界的完整性、可用性與保密性，而進(jìn)一步超越合法用戶獲得控制權(quán)。微軟曾經(jīng)推出Windows Genuine Advantage正版增值計(jì)劃對(duì)其補(bǔ)丁下載并安裝增加了驗(yàn)證機(jī)制，然而不到24小時(shí)，該機(jī)制即被破解。SONY耗資數(shù)百萬(wàn)美金開發(fā)了名為key2audio的數(shù)字版權(quán)管理技術(shù)以保護(hù)其音樂(lè)CD不接受未經(jīng)授權(quán)的復(fù)制或者音軌抓取行為。而在此類CD擺上WalMart超市柜臺(tái)不超過(guò)12小時(shí)，網(wǎng)絡(luò)上就提供了相應(yīng)破解服務(wù)，成本僅需要不到1美金。更為常用的一些防護(hù)措施更是形同虛設(shè)，譬如Yahoo、PayPal以及Hotmail等服務(wù)在登陸帳戶時(shí)都不同程度的要求輸入頁(yè)面上的隨機(jī)生產(chǎn)的圖形驗(yàn)證碼以確保其登陸會(huì)話的唯一性。然而，來(lái)自SAM.zoy.org的一個(gè)項(xiàng)目PWNTCHA的成果使得攻擊者可以使用該工具幾乎可以百分之百正確識(shí)別出大量的圖形驗(yàn)證碼。

　　

　　圖：百分百“識(shí)別”

　　4.3 人是罪惡的根源

　　主啊!請(qǐng)以你的寶血洗滌我所犯下的種種罪惡吧!……然而人們對(duì)于觸手可及的誘惑總是缺乏足夠的抵制力。做為掌握一定計(jì)算機(jī)知識(shí)的愛(ài)好者們，尤其是那些遠(yuǎn)超常人的計(jì)算機(jī)天才更是有可能成為攻擊者與破壞者陣營(yíng)中的主力成員。隨著技術(shù)的演化，入侵抑或是破壞已經(jīng)不需要掌握高深的計(jì)算機(jī)技巧，最新計(jì)算機(jī)漏洞公告榜、病毒生成器、自動(dòng)化、分布式、智能的攻擊工具已經(jīng)使得入侵者破壞者無(wú)所不在。

　　俄羅斯黑客站點(diǎn)上以不到100人民幣的價(jià)格打包出售“Web攻擊工具套裝”，從針對(duì)瀏覽器Web頁(yè)面的漏洞檢測(cè)、入侵以及植入后門并清除日志痕跡等你只需要簡(jiǎn)單到指定目標(biāo)URL并點(diǎn)擊Start按鈕即可實(shí)現(xiàn)你的駭客夢(mèng)想。一切安全措施似乎都形同虛設(shè)。

　　統(tǒng)計(jì)表明，2006年全球PC數(shù)量在6.6-6.7億臺(tái)之間，而預(yù)計(jì)到2010年，會(huì)達(dá)到甚至超過(guò)10億臺(tái)。隨著互聯(lián)網(wǎng)的進(jìn)一步擴(kuò)張，網(wǎng)絡(luò)“破壞者“的數(shù)量與攻擊的類型將日趨增加。

　　4.4 安全永不可達(dá)

　　Gartner集團(tuán)安全分析師John Pescatore在對(duì)AT&T以及MCI進(jìn)行的一項(xiàng)調(diào)查中發(fā)現(xiàn)，諸如此類的電信運(yùn)營(yíng)商部署了大量的Anti-DDOS設(shè)備以確保其業(yè)務(wù)的連續(xù)性不受影響，其開支高達(dá)每月平均12000美金?，F(xiàn)實(shí)情況是，絕大多數(shù)企業(yè)并沒(méi)有足夠的時(shí)間、精力以及預(yù)算支出用于確保并改善安全現(xiàn)狀，他們只能聽之任之，使安全處于一種放任自流的失控狀態(tài)之中。消費(fèi)者更是對(duì)此大多一無(wú)所知，他們更不懂得如何規(guī)避互聯(lián)網(wǎng)中的各種安全風(fēng)險(xiǎn)，也許，他們只會(huì)問(wèn)一個(gè)問(wèn)題：

　　我，上網(wǎng)安全么?

　　一個(gè)令所有安全廠商、安全專家、安全工程師難于回答的一個(gè)問(wèn)題，然后我們或許該問(wèn)自己一個(gè)問(wèn)題：

　　我，盡力了么?

　　4.5 安全的敵人

　　信息系統(tǒng)的復(fù)雜性、擴(kuò)展性以及互連接特性等進(jìn)一步使得我們虛擬世界中的信息系統(tǒng)變得不再成為一個(gè)個(gè)的“信息孤島”，其提升了我們對(duì)于信息系統(tǒng)的管理效能但同時(shí)也為安全提出了更為嚴(yán)峻的挑戰(zhàn)。

　　

　　圖：信息系統(tǒng)復(fù)雜“云”圖

　　舉例來(lái)說(shuō)，我們的網(wǎng)絡(luò)打印機(jī)大都支持?jǐn)?shù)種協(xié)議與連接方式(如：SNMP、Telnet、SMTP、SNMP、藍(lán)牙、1394、USB、COM等)，也許我們所面臨到的最大威脅就是網(wǎng)絡(luò)打印機(jī)因?yàn)橐粋€(gè)遠(yuǎn)程溢出漏洞而成為威脅源，進(jìn)而成為危及全網(wǎng)的根源。

5 我們?cè)撊绾胃纳?/STRONG>

　　這是一個(gè)難于回答的問(wèn)題，無(wú)論從技術(shù)角度、從管理角度我們都找不出徹底改善并逃脫困境的“銀彈”。因此，我們只有再次低頭的問(wèn)自己：

　　你，盡力了么?

　　或許還應(yīng)該加上一個(gè)問(wèn)題：

　　你，做對(duì)了么?

6 結(jié)語(yǔ)

　　此為信息安全產(chǎn)業(yè)三部曲之敦科爾克大撤退，第二部正在籌劃中，歡迎郵件批評(píng)指教。