如何看待信息安全：敦科尔克大撤退

　　3 来吧!水温刚刚好!

　　毫无疑问，危机四伏的信息世界正在摧残着我们脆弱的脑神经，尤其是执着于信息安全的从业者们。我们所处的信息系统已经过了温度上升的阶段——锅已经开始沸腾了!

　　然而，事实真如我们所设想的那样么?我们寻找安全“温度计”时，却发现了以下的事实：

　　表：貌似公正的“安全温度计”

　　世界安全一片“绿”，网络山河未曾“红”。原来我们的网络运行如此健康!我们每天应该可以“开门揖盗”了。当数以万计的“Zero­-Days攻击”、10万以上节点的僵尸网络、日行三恶的病毒攻击、垃圾邮件的充斥、有组织且有预谋的大规模犯罪、身份大盗等等对我们普通人来说，已经耳熟能详时，研究机构、安全厂商告诉我们：唔，我可以很负责任的告诉大家，一切是正常的。

　　呜呼!我很负责任的告诉安全厂商，消费者很生气，后果很严重。

　　4为什么失败

　　4.1 充满着敌意的生存环境

　　首先虚拟网络世界是一个战场，尽管它不如《地球杀场》那么血腥，但暴力、欺诈、破坏、偷窃等仍无所不在。入侵者只需要找到一个可以利用的漏洞就可以闯入系统，而安全专家需要寻找出尽可能多的漏洞并在最短的时间内寻找并进行修正。其次，网络与生惧来的自由、隐私、匿名、开放等特性使得网络上充斥着大量的恶意行径而几乎很难被绳之以法。攻击者大可以逃之夭夭，逍遥法外。

　　4.2 暗处的攻击者们更懂得致胜之道

　　很显然，安全与破坏安全的入侵者们一直进行着卫“道”士与石地“魔”的较量。他们之间此消彼长，在进行一场没有终点的拉力赛。攻击者们善于挖掘并利用任何一个潜在的可能脆弱性并真正威胁到信息世界的完整性、可用性与保密性，而进一步超越合法用户获得控制权。微软曾经推出Windows Genuine Advantage正版增值计划对其补丁下载并安装增加了验证机制，然而不到24小时，该机制即被破解。SONY耗资数百万美金开发了名为key2audio的数字版权管理技术以保护其音乐CD不接受未经授权的复制或者音轨抓取行为。而在此类CD摆上WalMart超市柜台不超过12小时，网络上就提供了相应破解服务，成本仅需要不到1美金。更为常用的一些防护措施更是形同虚设，譬如Yahoo、PayPal以及Hotmail等服务在登陆帐户时都不同程度的要求输入页面上的随机生产的图形验证码以确保其登陆会话的唯一性。然而，来自SAM.zoy.org的一个项目PWNTCHA的成果使得攻击者可以使用该工具几乎可以百分之百正确识别出大量的图形验证码。

　　图：百分百“识别”

　　4.3 人是罪恶的根源

　　主啊!请以你的宝血洗涤我所犯下的种种罪恶吧!……然而人们对于触手可及的诱惑总是缺乏足够的抵制力。做为掌握一定计算机知识的爱好者们，尤其是那些远超常人的计算机天才更是有可能成为攻击者与破坏者阵营中的主力成员。随着技术的演化，入侵抑或是破坏已经不需要掌握高深的计算机技巧，最新计算机漏洞公告榜、病毒生成器、自动化、分布式、智能的攻击工具已经使得入侵者破坏者无所不在。

　　俄罗斯黑客站点上以不到100人民币的价格打包出售“Web攻击工具套装”，从针对浏览器Web页面的漏洞检测、入侵以及植入后门并清除日志痕迹等你只需要简单到指定目标URL并点击Start按钮即可实现你的骇客梦想。一切安全措施似乎都形同虚设。

　　统计表明，2006年全球PC数量在6.6-6.7亿台之间，而预计到2010年，会达到甚至超过10亿台。随着互联网的进一步扩张，网络“破坏者“的数量与攻击的类型将日趋增加。

　　4.4 安全永不可达

　　Gartner集团安全分析师John Pescatore在对AT&T以及MCI进行的一项调查中发现，诸如此类的电信运营商部署了大量的Anti-DDOS设备以确保其业务的连续性不受影响，其开支高达每月平均12000美金。现实情况是，绝大多数企业并没有足够的时间、精力以及预算支出用于确保并改善安全现状，他们只能听之任之，使安全处于一种放任自流的失控状态之中。消费者更是对此大多一无所知，他们更不懂得如何规避互联网中的各种安全风险，也许，他们只会问一个问题：

　　我，上网安全么?

　　一个令所有安全厂商、安全专家、安全工程师难于回答的一个问题，然后我们或许该问自己一个问题：

　　我，尽力了么?

　　4.5 安全的敌人

　　信息系统的复杂性、扩展性以及互连接特性等进一步使得我们虚拟世界中的信息系统变得不再成为一个个的“信息孤岛”，其提升了我们对于信息系统的管理效能但同时也为安全提出了更为严峻的挑战。

　　图：信息系统复杂“云”图

　　举例来说，我们的网络打印机大都支持数种协议与连接方式(如：SNMP、Telnet、SMTP、SNMP、蓝牙、1394、USB、COM等)，也许我们所面临到的最大威胁就是网络打印机因为一个远程溢出漏洞而成为威胁源，进而成为危及全网的根源。

　　5 我们该如何改善

　　这是一个难于回答的问题，无论从技术角度、从管理角度我们都找不出彻底改善并逃脱困境的“银弹”。因此，我们只有再次低头的问自己：

　　你，尽力了么?

　　或许还应该加上一个问题：

　　你，做对了么?

　　6 结语

　　此为信息安全产业三部曲之敦科尔克大撤退，第二部正在筹划中，欢迎邮件批评指教。