Web 2.0對常人來說很危險
經(jīng)過幾十年的計算機安全工作的努力,一名研究人員對現(xiàn)有的互聯(lián)網(wǎng)安全措施及相關安全廠商的工作提出了質(zhì)疑——今天的計算機安全行業(yè)在保護計算機用戶方面表現(xiàn)得差強人意,互聯(lián)網(wǎng)對于那些不能更好地保護自己的一般人來說變得真的很危險。
最近在舊金山舉行的Web2.0博覽會上,軟件安全公司ISEC Partners的共同創(chuàng)始人及合伙人Alex Stamos傳達了這樣一個消息。“互聯(lián)網(wǎng)不能被正常人安全地使用,”他說,“大部分人沒有決定是否需要學習如何安全使用互聯(lián)網(wǎng)的必要技術。”
4月1日,互聯(lián)網(wǎng)上到處充斥著Conficker蠕蟲將會再次來襲的消息。Stamos卻將這個網(wǎng)絡計算機安全事件看成一個愚人節(jié)的玩笑,尤其是看到這樣的標題:“一個職業(yè)妄想狂的黑暗感受”
研究發(fā)現(xiàn):現(xiàn)有Web安全標準不夠
應用安全公司Cenzic繼前段時間所做的IT安全狀況評估后最近又發(fā)布了關于Web安全趨勢的報告,報告建議政府應該介入到網(wǎng)絡安全問題中來,指導企業(yè)和個人如何進行自我保護。
Cenzic周二發(fā)布的《Web應用程序安全趨勢報告》得出一個明顯的結(jié)論,2008年第三季度和第四季度報告的漏洞數(shù)量增加了10%,達到2835個。Cenzic表示,令人吃驚的是,80%的bug都涉及到Web應用程序。
該報告確定了十個主要的Web漏洞,Microsoft、Mozilla、Adobe等均受到了影響,同時還確定了最常見的“漏洞類型”,包括跨站點腳本漏洞、buffer溢出、孤兒帳戶、不合格的session管理以及欠佳的應用程序配置管理。
在Sarbanes-Oxley, HIPAA以及Payment Card Industry (PCI)等安全標準下,大部分的這些漏洞中都應該被攔截在授權的管理層。但是,每個法規(guī)遵從標準都以一種或另一種的形式被人們批判。例如,在去年Hannaford Bros公司遭到一次安全攻擊后在人們的批評聲中發(fā)布的PCI。另一個案例是1月份受到攻擊的Heartland Payment Systems公司。這兩個組織都遵守了PCI標準,但卻反而受到了攻擊。
Cenzic首席市場官Mandeep Khera在一封電子郵件中表示,找到基于互聯(lián)網(wǎng)的應用程序的弱點對黑客來說簡直就像是發(fā)現(xiàn)了“金礦”。同時他還表示,之所以會遇到現(xiàn)在的局面,最大的問題是國家網(wǎng)絡安全部門缺乏集中的監(jiān)督。
“人們認為法規(guī)遵從機構的管理不夠嚴格,加上缺乏使用法規(guī)遵從工具進行保護的意識,如今,Web應用程序漏洞對于許多組織來說變成了一個盲點。”Khera表示。
總部位于洛杉磯的安全廠商Lieberman Software的總裁Phil Lieberman同樣覺得現(xiàn)有的安全環(huán)境需要更加統(tǒng)一的立法,讓個體和組織在系統(tǒng)受到攻擊的時候能夠進行實時的反擊。
“實際上,我們需要建立自我防御、法律觀念以及概念意識,此外我們還需要相關法律能夠約束那些企圖進行破壞互聯(lián)網(wǎng)商業(yè)和通信的不法分子。”他表示,“這應該就是能夠約束所有互聯(lián)網(wǎng)平民用戶的法律。就像現(xiàn)在,平民沒有權力采取任何行動制止攻擊,ISP也是一樣。我們都知道要購買和使用更好的防火墻、防病毒軟件、防惡意軟件工具、入侵檢測設備,但我們這樣做了后卻還是一樣要接受懲罰。”
Cenzic的調(diào)查結(jié)果發(fā)現(xiàn),75%以上的安全攻擊出現(xiàn)在Web上,80%以上的Web站點安全系數(shù)十分低,Khera補充道:“我們作為國人,必須質(zhì)問我們的網(wǎng)絡安全優(yōu)先權在哪里。”
#p#
畢竟,安全行業(yè)的每一個人對征服這天空正在下墜的世界有著巨大的興趣;這就是為什么那么多人投資并從事于安全事業(yè)了。
然而,Stamos沒有贊揚安全行業(yè)而是否定了它存在的意義,或者說至少給了整個安全行業(yè)一記耳光。
“安全行業(yè)并不能保護你,”他補充說,安全行業(yè)“需要從自身尋找原因和問題所在”。
他說,經(jīng)過了幾十年的計算機安全工作,問題變得比原來更加糟糕。發(fā)現(xiàn)bug后將其廣而告之給用戶其實不見得能使人們使用互聯(lián)網(wǎng)更安全。同時,那些致力于研究開源代碼的免費靜態(tài)代碼分析器的安全研究人員,也沒有借此對人們起到幫助作用。并且每個解決方案都變得十分昂貴,市場上的產(chǎn)品已經(jīng)達到了50萬美元的價格。
他懷疑計算機安全代碼師是否值得被稱為工程師。他說:“沒有哪個工程技術專業(yè)允許出現(xiàn)那么多的失誤。”他暗喻這些安全研究人員為“安全藝術家”。
他還敦促程序員停止編寫那些不安全的語言,比如C和C++,除非他們將其用于編寫操作系統(tǒng)的用途。“大部分人的聰明程度都不能編寫安全的C語言。”他說。
他對那些正確使用計算機語言編寫出安全程序的企業(yè)提出了贊揚:Adobe (NSDQ: ADBE), Google (NSDQ: GOOG), Microsoft (NSDQ: MSFT), Oracle (NSDQ: ORCL), IBM (NYSE: IBM)和Mozilla。但是他說,人們編寫的多數(shù)軟件都是為了企業(yè)內(nèi)部使用,并沒有足夠嚴格的安全過程。
“軟件的好轉(zhuǎn)只反映了整個生態(tài)系統(tǒng)的一小部分,并沒有說明整個行業(yè)的好轉(zhuǎn)。”他說。
就像只有40%的計算機運行Windows XP系統(tǒng)一樣,不是任何程序都有現(xiàn)成的補丁可用。他說,計算機行業(yè)應該向Google的Google Desktop學習:強迫用戶進行更新。
根據(jù)最近華盛頓發(fā)布的消息,持這樣的觀點的不只Stamos一人。華盛頓郵報報告稱,美參議院立法者正在通過立法建立政府和重要基礎設施運營商私營部門的強制性的計算機安全標準。如果這一政策得到使用,人們將不必再遵守美國聯(lián)邦對安全的規(guī)定。
在談到最近在core Internet systems、協(xié)議(如DNS, BGP, SSL)以及新型攻擊技術(如JavaScript heap spraying、Flash攻擊和clickjacking)中發(fā)現(xiàn)的安全漏洞后,Stamos預測到了一個黑暗的未來。
他預測,隨著大規(guī)模的數(shù)據(jù)破壞事件的發(fā)生,今年年初重壓下的Heartland Payment Systems(HPY)公司將會崩潰。SHA-1加密將會很快被打破,而且當?shù)氐恼J識將導致悲劇纏身。
他還表示,在社交網(wǎng)絡上雙重認證對信息的保護能力十分有限,因為網(wǎng)絡犯罪分子將可發(fā)現(xiàn)大量的個人隱私信息,比如你媽媽的婚前姓名,你的出生地等等。
他建議人們應該做好“后個人隱私”和“后安全社會”的準備。
“這是人們成為妄想狂的最好時機,”他得出結(jié)論,“這個社會沒有能力捕獲你。”
【編輯推薦】
