Chrome OS將成為史上最安全的操作系統?
最近,有許多對日復一日的系統與軟件修補更新感到厭倦的信息安全工作者及IT系統管理員都詢問我,新的操作系統(例如Google Chrome)是否能夠動搖Microsoft在微機操作系統的獨霸地位,而信息安全的問題在五年之后是否會有所改善?
事實上,這是一個很難回答的問題。五年之后,IT產業當然會出現更多突破性的技術。因此,回答這類問題最保險的方式就是,回顧一下當前的現況。
很清楚地,我們正在進行一場網絡大戰。攻擊的一方是透過惡意程序、破解手法以及其他惡意活動獲取暴利而不斷壯大的網絡犯罪者。這些人之所以能夠得逞,就是因為微機基本上是由單一操作系統所壟斷。如果您是一位黑客,您只要專門鎖定Microsoft的平臺,就能找到足夠的受害者,讓您口袋滿滿。這是很單純的經濟規模效應。隨著其他操作系統(如 Mac OS)開始受到歡迎、市占率逐漸成長,其對應的惡意程序也開始隨之成長。這一點也不令人訝異。
但是,如果是非常小的操作系統,而且采用開放原始碼呢?如果將所有的資料和應用程序都儲存在云,就像Chrome操作系統作法呢?這樣會不會比較安全?
理論上,會。當操作系統小一點,軟件錯誤(俗稱臭蟲)自然就會少一點(因為可能出錯的程序碼變少),此外,由于操作系統不像現在這么強大,因此,像目前這樣用途廣泛的惡意程序很可能就無法存在。我個人并不認為,開放原始碼就會讓黑客更容易找出系統的弱點因而更加危險(這一點是我們經常聽到的說詞)。透過隱瞞的方式來提高安全性,從來就不太有用!
即使如此,有些攻擊策略或許還是可行:
掌控到云的連線。只要稍微對操作系統動一點手腳,例如修改一下DNS記錄,就能讓使用者在連上網頁應用程序時,先轉往地下惡意網站,然后才到達自己的網頁應用程序頁面。只要是無法完全封鎖通訊管道,使用者的資料就可能完全曝光。即使有IP V6、加密、憑證等保護措施,這還是一個可能的攻擊方式。
攻擊云本身。如果云式應用程序以及云操作系統成為主流,那么99.999%的可用性有多重要?非常重要:如果無法存取主機上的信息和應用程序,您的電腦就等于廢物。如果攻擊者利用標準的Bot網絡(未來十年之內應該還會看到采用多用途標準操作系統的Bot感染電腦)來讓云基礎架構上的主機超載而癱瘓呢?若是黑客要求業者必須給予小額“樂捐“才能讓已經癱瘓的云主機恢復營運呢?對黑客來說,想必這是一樁利潤豐厚的生意。聽起來有點像科幻小說?一點也不!這樣的情況事實上已經發生,只是規模不大而已。但是,一旦黑客目前的手法(先讓微機感染惡意程序然后再用于非法用途) 經濟誘因不再(無法再找到足夠的受害者),自然會有另外一種取而代之的方法出現。
直接從云(因為資料已經移到云)擷取有價值的資料,例如:信用卡、身分證號碼、登入帳號等等。云服務業者必須確保資料不會遭到非法存取,不會輕易讓黑客復制數百萬筆使用者資料、登入帳號密碼、網絡銀行資料、帳務資料、交易記錄等等。簡單的說,就是必須防止資料外泄,針對這一點,我抱持著懷疑的態度。
總歸一句話,我不想去揣測Chrome操作系統是否會成功,我不希望預測未來五年之后哪一個操作系統將成為主流。不過,有一件事情是確定的,那就是:信息安全產業不會因此消失,而是會針對新的攻擊方式發展出新的防御方法。
到時候可能再也不必在本機上安裝龐大的病毒碼文件,而是仰賴云的網頁、電子郵件與文件信譽評等服務。此外,當然也需要漏洞評估、防護、加密等完整的防護措施來確保數位信息交換的安全性。
【編輯推薦】
