安全威胁面面观 系统安全指南

　　Internet犯罪：网络文明走向毁灭?(二)

　　网络大扫除：专家意见

　　要想提高网络安全水平，可以采用的措施非常多，但是大多数措施都会影响到网络价值的发挥，包括知识、商业和娱乐价值。关键在于，网络安全的起点必须公平。保障安全的措施应当提高网络用户进行掌控的能力，而不是削弱这种能力。

　　——Whitfield Diffie，Sun公司首席安全官，同时是公钥加密体系的先驱者

　　开发者不能指望用户自己进行安全防护，开发者必须负起保障用户网络安全的责任。

　　——Blake Ross，Mozilla Firefox浏览器创始人之一

　　网络安全相关的社会团体必须提供信息和必要的激励帮助用户改变网络使用习惯。具体来说，就是要教育网络用户、开发者以及机构正确地使用网络;对犯罪行为进行认定和惩处;让用户对使用非安全的软件和未受保护的系统以及不恰当地处置敏感信息等行为负起责任。

　　——Art Manion，Internet安全分析师，来自US-CERT(美国计算机应急处理组织)

　　所有的人都是好人，而且通情达理——那样的时代远未到来，在那样的时代到来之前，我们仍然需要依靠立法和司法机构，至少要把他们带到网络世界中来。

　　——Patrick M. Kolla，Spybot Search &Destroy的开发者

　　发布那种用户无法控制的软件的行为必须禁绝，也就是那种非自由的并且不尊重用户自由的软件。

　　——Richard M. Stallman，自由软件运动奠基人

　　最重要的事情就是要教育最终用户。但是你要问了，谁来教育他们?我觉得这是开发商的责任，一个有用、有趣、安全的网络不仅符合最终用户的利益，更符合开发商的利益。关键的问题是，如何才能让这种教育既有趣又易懂，而不是令人厌烦和恐惧。另外，开发商还应当向最终用户提供进行自我保护的工具，因为网络安全不仅仅是技术问题，而且也是谁更值得信任的问题。

　　——Esther Dyson，CNet Networks’ Release 1.0的编写者，这是一篇关于正在涌现的数字技术的新闻通讯。

　　信息经纪公司：使隐私处在危险中(一)

　　盗取身份信息的窃贼将手伸向了大型消费者数据库，这些被盗取的消费者个人信息可能不仅仅被用来销售，甚至有可能用来进行犯罪。

　　我知道你的名字;我知道你住在哪里;我知道你曾经生活过的地方;我知道你什么时间在哪里出生;我知道你有几张信用卡;我知道你使用信用卡的情况;我知道你的所有保险理赔信息;我知道你的工作经历以及是不是有犯罪记录。

　　甚至，我会把这些隐私信息以及其他更多敏感的个人信息公开出来。我要做的就是给那些个人信息经纪公司支付10美元到50美元，比如Intelius和ZabaSearch或者像Acxiom和ChoicePoint这样的大公司。只需要15分钟的时间，我们就能获得大量关于你的个人信息，数量之多可能连我自己都不敢想象。

　　有了名字、地址、身份证号码，一个人可以借款、开设信用卡帐号、出租公寓，甚至犯罪，他会用你的名义干这些事情。所有这些事情和你自己做的事情会混成一团，你会莫名其妙地收到账单，更为糟糕的是，你可能被警察逮捕。用户数据上网大大提高了这些信息被窃取和滥用的风险。

　　信息经纪公司搜集的信息不仅仅限于信用记录，而且还有大量其他个人信息。这些信息的收集渠道多种多样，包括私营公司、政府机构。得到这些信息后，他们会将信息卖给企业、执法机构，甚至卖给个人，只要那些人能够提供给他们觉得合法的依据。目前法律对信息交易的限制非常宽松，而且使用范围很窄，因此大多数信息经纪公司会自行其是，自己炮制相关标准。

　　大多数信息经纪公司都没有全力保护用户的信息——被诈骗、将用户信息卖给可疑的人、数据库被黑客入侵这样的事情屡见不鲜。一些广为公众所知的事件涉及最大的个人信息经纪公司，比如Acxiom、ChoicePoint和LexisNexis。2005年早些时候，ChoicePoint披露，他们销售了来自全国各地的145,000位消费者的个人信息。据报道，这笔信息交易被认为是合法的，但买主其实是一个尼日利亚有组织犯罪团伙的成员。ChoicePoint表示，大约有750份消费者个人信息被人试图用于非法活动。LexisNexis宣布，他们在两年时间内总共发现了59起入侵事件，非法之徒入侵了该公司的个人信息数据库，涉及31万份来自美国的个人信息。

　　Mickey Martinez是耶鲁大学法法律专业的学生，他是一起涉及信息经纪公司ChoicePoint的团体诉讼案中的原告，他收到了来自信息经纪公司的警告邮件，通知他个人信息被盗。“这是非常严重的行为。作为个人，不管我们多么谨慎小心都是不够的，那些信息经纪公司的粗枝大叶足以让我们的个人信息处在危险之中。”

　　他还补充说，他非常小心，特意提供了内容简短的个人说明文档，要求信用卡公司不要发送信用卡交易通知书，而且从不在无线网络中使用金融业务，但是他的个人信息还是被泄漏了。ChoicePoint提供了为期一年的信用监视服务，但他认为这还不够。“至少他们应该提供时间更长的信用监视，并且应该提供某种形式的责任申明：如果出现了问题，他们必须承担赔偿责任，并且要解决问题，”他说。

　　就个人信息保护不力而言，信息经纪公司并不是唯一的根源。在写作这篇文章的时候，隐私权利咨讯交流中心(www.privacyrights.org)列出了自二月份以来出现的80次信息泄露事件，涉及人数达到5000万。其中最严重的事件是，信用卡公司CardSystems出现的信息被盗。CardSystem对这次事件一直讳莫如深，但最终还是透露有4000万客户信息受到威胁。另外，CitiGroup未加密的备份磁带在通过联合包裹服务公司(United Parcel Service)运输时丢失，这些磁带中存放了390万份用户资料。

　　不仅如此，信息经纪公司最近遭到了最严厉的批评。“类似ChoicePoint的事故是非常严重的，因为如果有组织的犯罪团伙购买这些信息，他们将会滥用这些信息，” RelyData公司(www.relydata.com)总裁Garnet Steen说，这家公司提供信用信息盗窃的恢复服务。“这种事情的后果和某所州立大学的数据库被入侵不可同日而语，因为那可能只不过是学习计算机的学生想放松一下神经。”

　　如果你想要在一个国家工作、生活、购物，那么让商业机构获得和使用你的个人信息是不可避免的。问题的关键并不在于是否应该让信息经纪公司使用个人信息，而在于他们(而不是你)是否能够完全控制哪些人能看到你的信息。

　　信息经纪公司：使隐私处在危险中(二)

　　那个人不是我!

　　出售个人信息的公司所面临的问题不仅仅是信息泄露。就如同信用报告机构一样，数据中出现错误是非常常见的现象，而且一些错误是合理的。

　　我通过Intelius.com订购了一份关于我自己的背景资料，价格为50美元，如果其他人对我进行调查，也将获得同样的资料。我发现加利福尼亚有个人和我同名同姓，他受到了小额索偿法院的判决。更糟糕的是，我得到的资料中列出了几个和我同名同姓的重罪犯，其中一个来自北卡莱诺娜州，他甚至中名首字母(不是整个中名)和我也一样。这些信息不是错的。但他们和我并不是一个人，重名是比较麻烦的事情。我只希望那些订购了同样信息的人能够进行区别。

　　值得关注的是，Intelius还向客户提供了身份监视服务。这项服务会对某个人的信用记录、股票交易、电话记录以及地址变更等情况进行监视，它的价格是每年95美元。

　　法律行动

　　大多数用户信息泄露都是在离线状态下发生的——有人偷了你的邮件，或者从收银的POS机上拷贝你的信用卡号码。网络上出现的身份资料泄露事件促使人们重新思考身份资料窃贼们的所作所为。“大多数人搞不清楚自己的信息是如何被盗的，”来自RelyData的Steen说，“许许多多原因不明的个人信息泄露就是通过Internet、通过电子化的方式、通过入侵实现的。”

　　因此，立法者正在加紧这方面的立法工作，主要涉及三项基本的内容：个人信息的使用将受到限制，尤其是身份证号码;出现入侵时进行通报;对信用记录的访问进行限制。

　　十年前，欧盟制定了一份影响深远的隐私纲要。这份纲要规定，收集数据必须有明确的目的，一旦目的达到，收集到的数据就不能继续保存。它还规定，数据必须准确而且是最新的，在未征得数据相关人允许的情况下，向第三方提供数据的行为必须受到限制。此外，进行数据提供时，如果接受数据方所在国家没有提供足够得力的隐私保护措施(比如美国)，这份纲要对此类行为进行了规范。

　　美国在2005年的Specter-Leahy个人数据隐私和安全法案包含了一些和欧洲的隐私纲要相仿的内容。这份法案对公司使用社会安全号码的行为进行了限制。它规定，一旦出现入侵事件，公司必须通知执法部门、消费者以及信用报告机构。另外它还规定，信息经纪公司必须建立相应机制，允许个人访问和修改数据。

　　既要保护个人权利，又要满足那些合法数据使用者的需要，这是一件非常困难的事情。但是消费者应当对他们自己的个人信息有足够的控制权和使用权，现在这些权利得不到保障。

　　广告软件：隐蔽的“财路”(一)

　　广告软件用广告塞满你的计算机，影响其正常运行，其实这些广告软件背后正是一些知名的大公司。

　　史密斯先生是美国阿肯色州Conway市的一位注册会计师，他永远不会忘记不久前发生的事情。

　　史密斯当时正在网上寻找免费的剪贴画，突然发现了一个看起来不错的网站。还没有等他下载自己需要的内容，他的计算机已经被安装了广告软件。

　　“突然之间，我的计算机中被塞满了弹出广告，” 史密斯说，“哗、哗、哗——IE窗口接二连三地打开，我的计算机很快就完全瘫痪了。”

　　史密斯看到许多广告上面都附了开发商的“名片”：这个广告程序的名字叫Aurora，由位于纽约的Direct Revenue公司开发。

　　Smith启动另外一台计算机，用Google查询关于“Aurora”的资料。她尝试使用反间谍软件清理这个广告软件，但是没有成功，于是又启动Windows任务管理器试图关闭程序，也没有奏效，最后她不得不请了一位计算机技术人员花了三天时间(每个小时50美元)来解决这个问题。她说，每次删除这个软件后，它都会换个名字重新安装。

　　Smith表示，算上修复系统的花费和因为不能上网而耽误的时间，她在此次广告软件灾难中的损失将近5000美元。“令我感到非常震惊的是，这个广告软件来自名声很好人所共知的公司，”她说。“合法的商业机构使用这种手段做广告令我感到非常愤怒。”

　　Smith的经历并非罕见，许多公司的产品和服务都是通过广告软件进行推广的，这种软件在用户的计算机中运行并显示广告，而且它们会根据用户在网上的活动选择广告的内容。我们在进行测试的计算机上安装了来自很多知名的公司的各种广告软件，比如美国克莱斯勒、Expedia、Microsoft,、Priceline以及Travelocity。

　　Direct Revenue首席执行官Jean-Phillipe Maheu并不否认史密斯的计算机中安装了Aurora，但是他表示Aurora并不会弹出Smith所说的那么多广告窗口。他认为，Smith的计算机中可能存在不止一种广告软件。Maheu说，他的公司不会容忍“强制安装”的行为，也就是在不对用户进行警告的情况安装广告软件。他还表示，如果Direct Revenue发现合作伙伴采用这种手段，将会终止与其合作。

　　一份全球安全调查报告显示，31%的商业机构认为，间谍软件明年将会发展成一大众要的安全威胁

　　无赖软件：CoolWebSearch会在你所访问的所有页面上添加广告链接，网站的拥有者也无法控制这些链接。

　　广告软件：隐蔽的“财路”(二)

　　广告软件是间谍软件吗?

　　史密斯遭遇的是间谍软件还是广告软件?不同的专家对这个问题的回答可能不尽相同，因为他们对间谍软件的判断标准不同。

　　狭义的标准认为，只有那些盗窃密码或者其他个人数据的软件才是间谍软件。但是根据广义的标准，只要广告软件在未征得用户许可甚至不知情的情况下擅自安装，那么它就成为了间谍软件。因此，根据安装过程的不同，同一个软件既有可能被当成间谍软件也有可能被当成广告软件。

　　几乎没有人可以确切地知道广告软件行业每年的收入有多少。据估计，其年利润在2亿美元到20亿美元之间。如果把投资的因素也考虑进来，这个行业可以说正在蓬勃发展。

　　美国的风险投资公司非常看好广告软件业，包括Direct Revenue、WhenU和180solutions。根据美国证券交易所档案，Technology Investment Capital去年向Direct Revenue投资670万美元，今年又追加了440万美元。Trident Capital今年夏天为WhenU提供了1500万美元资金。另外，去年180solutions得到了来自Spectrum Equity 的4000万美元投资。

　　广告软件公司开发的软件会监视用户上网习惯，对于向这样的公司进行投资的举措，风险投资公司是如何解释的呢?“广告软件是即成事实” Trident Capital的一位经理Venetia Kontogouris说，“保护Internet消费者隐私的努力将会失败。”

　　广告软件开发商和他们背后的资助者仅仅是这个新产业的组成部分之一，广告客户以及为这些广告客户工作的中间商也投入了大量资金。这些人还会向搜索引擎公司提供资金(在搜索网站上添加广告)，将广告软件打包到其他软件中进行发布，并通过庞大的网络机构进行推广。

　　漫长崎岖的道路

　　有的广告软件会使用卑鄙的手段入侵用户的计算机。许多中间商也参与其中，从中渔利。

　　通常的做法是，广告客户雇佣中间商或者代理商，出售广告空间。于是中间商或代理商从广告软件公司(比如Claria或者WhenU)那里购买了空间。

　　广告软件开发商为了将广告软件装到用户的计算机上，想出了各种各样的办法。用户可能在不知情的情况下从广告软件开发商那里下载应用软件，比如屏幕保护程序，这些免费软件就会夹杂广告软件。有时候，用户要想使用一些Web游戏或者其他在线服务，必须安装广告软件，比如Zango.com就使用了这种模式，这个网站的运营商就是180solutions。

　　许多广告软件公司还通过网站联盟帮助他们发布和推广广告软件。一些联盟成员会将广告软件和其他应用程序捆绑起来达到推广广告软件的目的。例如，如果用户安装文件共享程序BearShare，同时也会安装WhenU的广告软件Save。网站联盟成员也会从事广告软件的推广工作，例如他们会购买搜索引擎的关键字广告或者普通网站上的条幅广告。

　　一些广告软件公司表示，他们禁止合伙伙伴以及网站联盟成员使用“无赖”手段在用户的计算机中“强制安装”广告软件。但是网站联盟成员受到的监督并不严格，在利益的驱使下仍然会采用一些“无赖”做法，在用户的计算机中秘密安装广告软件。来自Direct Revenue的Maheu说，网站联盟成员的活动是“最容易出问题的环节”。

　　在本文中，我们将介绍上述计算机用户面临的新威胁，并且告诉您如何防患未然。此外，我们还对最新的反间谍软件进行了评测。