不要被假象迷惑 網路安全的七大誤解

許多人對於自己的數據和網路目前有一種虛假的安全感;在邊界安裝了防火牆、在桌面上安裝了防病毒和防間諜軟體工具、使用加密技術發送和保存數據;此外,微軟及各大安全公司不斷增強安全工具和補丁程序……似乎可以鬆口氣了,但果真如此嗎?

以下是有關安全的七大誤解,不妨看看你的數據是否有你想像中的那麼安全。

誤解一、加密確保了數據得到保護

對數據進行加密是保護數據的一個重要環節,但不是絕無差錯。Jon Orbeton是開發ZoneAlarm防火牆軟體的Zone Labs的高級安全研究員,他支持加密技術,不過警告說:如今黑客採用嗅探器可是越來越完善,能夠截獲SSL和SSL交易信號,竊取經過加密的數據。雖然加密有助於保護遭到竊取的數據被人讀取,但加密標準卻存在著幾個漏洞。黑客只要擁有適當工具,就能夠鑽這些漏洞的空子。Orbeton說:「黑客在想方設法避開安全機制。」

誤解二、防火牆會讓系統固若金湯

SteveThornburg是開發半導體聯網解決方案的Mindspeed科技公司的工程師,他說:「許多人說:『我們裝有防火牆。』但防火牆功能再好,經過它們的IP數據痕跡照樣能夠被讀取。」黑客只要跟蹤內含系統網路地址的IP痕跡,就能瞭解伺服器及與它們相連的計算機的詳細信息,然後利用這些信息鑽網路漏洞的空子。

如此看來,僅有防火牆和加密顯然不夠。網路管理員不僅要確保自己運行的軟體版本最新、最安全,還要時時關注操作系統的漏洞報告,時時密切關注網路,尋找可疑活動的跡象。此外,他們還要對使用網路的最終用戶給出明確的指導,勸他們不要安裝沒有經過測試的新軟體,打開電子郵件的可執行附件,訪問文件共享站點、運行對等軟體,配置自己的遠程訪問程序和不安全的無線接入點,等等。

Thornburg說,問題在於,願意投入財力和人力來保持安全的公司寥寥無幾。他說:「它們知道這麼做不會受歡迎,因為這會降低工作效率。成本是主要的問題,因為這些公司都關注成本底線。」

誤解三、黑客不理睬老的軟體

一些人認為,如果運行老的系統,就不會成為黑客的攻擊目標,因為黑客只盯住使用較為廣泛的軟體,而這些軟體的版本要比我們自己正在用的來得新。

事實並非如此,Johannes Ullrich說。他是安全分析和預警服務機構--SANS因特網風暴中心的首席技術官,這家機構負責發布有關安全漏洞和錯誤的警告。他提醒,對黑客來說,最近沒有更新或者沒有打上補丁的Web伺服器是一個常見的攻擊點。「許多舊版本的Apache和IIS(因特網信息伺服器)會遭到緩衝器溢出攻擊。」

如果存儲空間處理不了太多信息,就會出現溢出,從而會發生緩衝器溢出問題。額外信息總會溢出到某個地方,這樣黑客就可以利用系統的漏洞,讓額外信息進入本不該進入的地方。雖然微軟和Apache.org在幾年前都發布瞭解決緩衝器溢出問題的補丁,但還有許多舊系統沒打上補丁。

誤解四、Mac機很安全

許多人還認為,自己的Mac系統跟老系統一樣,也不容易遭到黑客的攻擊。但是,許多Mac機運行微軟Office等Windows程序,或者與Windows機器聯網。這樣一來,Mac機同樣難免遇到Windows用戶面臨的漏洞。正如安全專家 Cigital公司的CTO Gary McGraw所說:出現針對Win32和OS X的跨平臺病毒「只是遲早的事」。

Mac OS X環境也容易受到攻擊,即便不是在運行Windows軟體。賽門鐵克公司最近發布的一份報告發現,2004年查明Mac OS X存在37種漏洞。該公司警告,這類漏洞可能會日漸成為黑客的目標,特別是因為Mac系統開始日漸流行。譬如在2004年10月,黑客編寫了名為 Opener的一款腳本病毒。該腳本可以讓Mac OS X防火牆失效、獲取個人信息和口令、開後門以便可以遠程式控制制Mac機,此外還可能會刪除數據。

誤解五、安全工具和軟體補丁讓每個人更安全

有些工具可以讓黑客對微軟通過其Windows Update服務發布的補丁進行「逆向工程」(reverse-engineer)。通過比較補丁出現的變化,黑客就能摸清補丁是如何解決某個漏洞的,然後查明怎樣利用補丁。

Marty Lindner是卡內基梅隆大學軟體工程研究所計算機緊急響應小組協調中心的事件處理小組負責人,他說:「如今開發的新工具都圍繞同一個基本主題:掃瞄尋找漏洞。對因特網進行掃瞄,詳細列出易受攻擊的機器。所開發的工具假定每臺機器都容易遭到某個漏洞的攻擊,然後只需運行工具就是了。每個系統都有漏洞;沒有什麼是百分之百安全的。」

黑客普遍使用的工具當中就有Google,它能夠搜索並找到諸多網站的漏洞,譬如默認狀態下的伺服器登錄頁面。有人利用Google尋找不安全的網路攝像頭、網路漏洞評估報告、口令、信用卡賬戶及其他敏感信息。Santy蠕蟲和MyDoom的新變種最近就利用了Google的黑客功能(Google hacking)。甚至已經開始湧現出了Johnny.IHackStuff.com這樣的網站,它們提供鏈接到介紹越來越多的Google黑客手法的地方。

今年早些時候,McAfee公司發布了SiteDigger 2.0工具的更新版,它有一些新特性,譬如可以查明某個站點是不是容易受到Google黑客攻擊。雖然這款工具的目的是供管理員測試各自的網路,但黑客也有可能利用該軟體尋找任何站點存在的漏洞。

誤解六、只要企業網路的安全沒有被突破,黑客就奈何不了你

有些IT部門拚命防護企業網路,卻不料因為用戶把公司的攜帶型電腦接到家裡或者Wi-Fi熱點地區等未受保護的網路連接,結果企業網安全遭到危及。黑客甚至可以在熱點地區附近未授權的Wi-Fi接入點,誘騙用戶登錄到網路。一旦惡意用戶控制了某臺計算機,就可以植入擊鍵記錄程序,竊取企業VPN軟體的口令,然後利用竊取的口令隨意訪問網路。

有時候,單單恐嚇要搞破壞也會迫使公司就範,黑客甚至揚言要破壞網站、刪除重要文件,或者把幼兒色情圖片放到公司計算機上,從而對受害者進行敲詐。這已有過先例,據說,因黑客揚言要發動拒絕服務攻擊敲詐錢財,英國有許多網上賭博站點一直在出錢消災。

誤解七、如果你為安全公司工作,數據就安然無恙

連據認為最安全的組織也有可能發現自己容易受到黑客的攻擊。位於弗吉尼亞州費爾法克斯的喬治梅森大學是安全信息系統中心的所在地,向來不乏安全專家。但這個工作場所最近發現,黑客攻擊了這所大學的主ID伺服器、往伺服器中安裝了搜尋其他大學的系統的工具後,32000多名學生和教職員工的姓名、社會保障號碼以及照片在黑客面前暴露無遺。黑客可能通過沒有防火牆保護的計算機潛入進來,然後植入了掃瞄工具,尋找闖入其他系統的口令。

這家大學立即採取了對策,關閉了伺服器中的部分系統,用不同的ID號取代了學生們的社會保障號碼,防範身份失竊。校方還在允許計算機連接到其網路之前,先使用軟體進行掃瞄;建立較小的子網,隔離存放有敏感數據的計算機;更加密切地監控整個網路的活動。

連一些國家的國防部門也不能倖免。它們只好不斷部署新軟體以防範新出現的漏洞,並且堅持採用經過實踐證明可靠的安全方法。譬如說,加拿大國防部就使用Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3,保護所用的IBM eServer zSeries大型機。這款軟體包括採用雙令牌的用戶驗證機制,可以同IBM用於z/OS的資源訪問控制工具(RACF)配合使用。

加拿大國防部的RACF中心管理員George Mitchell說,他總是保持高度警惕,以防未授權用戶獲得訪問系統的機會。除了使用監控工具外,他還要運用常識。「我會讓某人打電話告訴大致情況。如果某人想更改口令,我會問幾個問題,通過加密的電子郵件對該人進行答覆。」

歸根結蒂是需要始終保持謹慎。前不久,社會名流帕麗斯希爾頓(Paris Hilton)儲存在T-Mobile Sidekick手機的資料被黑客公布到網上;ChoicePoint和LexisNexis兩家公司為顧客保存的機密的信用信號被人竊取,這些事件表明,黑客採用的伎倆越來越五花八門。黑客在利用不斷增多的漏洞時,手法越來越新奇,所以我們的任務就是隨時關注最新工具和技巧,採取相應的措施自我保護。

本文留言

近期讀者推薦