“我们正处于危险之中。计算机容易受到设计拙劣、质量控制不足、事故的影响,更令人担忧的是,还容易受到蓄意攻击。”--危险的计算机,计算机科学和电信委员会,国家研究委员会,1991年。
现在,18年过去了,我们仍然处于危险之中。我们的电脑仍然很脆弱。它们仍然受到设计不良和质量控制不足的影响。我们在IT安全上投入了巨额资金,但美国公司和个人每年却因网络犯罪损失数百亿美元。
1月,Heartland Idance Systems Inc.报告了可能是什么有史以来最大的数据盗窃。
该公司表示,一项“全球网络欺诈行动”窃取了1亿多信用卡持卡人的信息。有人在Heartland服务器的磁盘上植入了一个软件“嗅探器”,它显然在那里嗅探了好几个星期而没有被发现。
这些大型漏洞制作了大新闻,使他们的受害者大痛苦。但它们只是一个巨大的网络犯罪冰山一角。去年9月,Gartner Inc.发表一个关于宝洁公司(Procter & Gamble Co.)的令人毛骨悚然的案例研究。,这是一家以其在IT方面的成熟而闻名的企业,拥有强大的防火墙、入侵检测和防病毒软件工具部署。
P&G对其PC进行了六个月的全球审计,以了解任何由隐藏的软件机器人或机器人感染,可以连接到由外部各方秘密控制的僵尸网络。使用特殊传感器软件,P&G发现其8000只800,000件PC被僵尸网络客户感染。这些机器人试图与十几个遥控站点进行通信,其中约20%的尝试通过P&G安全措施。
但那并非全部。P&G通过重新成像PC进行扰乱违规机器人,删除和重新安装所有包括操作系统的软件的费力过程。然而,根据Gartner的说法,当包含隐藏可执行文件的备份用户数据恢复到重新成像的计算机时,立即重新加注许多PC。
在过去的18年里,IT的各个方面都有了惊人的进步——网络、处理器、内存、磁盘、语言、应用程序、开发方法和安全工具。然而,技术显然没有扭转与网络罪犯的战争潮流。
美国存托信托结算公司(The Depository Trust & Clearing Corp.)首席信息安全官吉姆•罗斯(Jim Routh)表示:“我们在网络安全领域的对手正在获胜,而且还将继续获胜。”“这场战争永远不会结束。”
卡内基梅隆大学(Carnegie Mellon University)计算机科学教授、软件安全和可靠性专家威廉•谢利斯(William Scherlis)表示,如今的攻击更加复杂、更加隐秘,而且比以往任何时候都要快得多。他指出,IT行业的三个趋势使问题变得更糟。
“它们是显而易见的,但他们已经爬上了我们,世界现在是完全不同的,”他说。
第一个是从功能系统筒仓到互联、企业和跨企业系统的巨大变化。一个地点的故障可能会影响或波及到时间、地理和功能上相距遥远的地方。
第二个是权力化的责任,其中一些是非它的人。“一个更改 - 例如管理员的访问权限简单变化,或者通过营销专家更改为业务规则 - 可以在全球企业中涟漪,”Scherlis说。
第三个因素,与另外两个相关,是行动——简单的错误和攻击——通过网络和系统传播的极端速度。“这三种变化都为企业带来了价值和灵活性,但它们也重塑了安全格局,”他说。
舍里斯说,几年前,一个组织会在其内部系统和外部网络之间设置一个“企业防火墙”。后来,当公司内部明显存在不良行为人或不良软件时,公司将转向部门防火墙,不久之后,转向个人计算机上的防火墙。然后,当这被证明是不够的时候,该公司就会开始在单个应用程序周围安装防护罩。
现在,Scherlis说,即使系统也不够,因为系统获得了越来越碎片但又互联。“现代应用程序包含来自不同来源的框架和图书馆,它们跨越多台计算机,”他说。“所以现在您需要在应用程序编程接口处考虑应用程序内的周长。”
即使是最简单的现代应用程序也可能包含来自多个来源的数千个独立的可执行组件。施耐德说:“这使得软件保证问题变得非常困难。”
把表
FRED SCHNEIDER,康奈尔大学的软件安全和可靠性专家进一步走得更远,说整个建筑防御性周长的概念 - 在任何一级 - 过时。
“今天,人们发现漏洞,因为有人在攻击中使用一个,然后他们修复它。他们在堤防中散步,并修补它们。这是追赶并让攻击者定义问题。这是一个固有的失败心态。”
但是,他建议,“如果我们扭转局势,使我们能够领先于攻击呢?”
许多网络攻击都是通过欺骗进行的;你收到一条声称来自花旗银行的信息,但它不是,而且它包含一些恶意软件。他说:“假设互联网上的每一条信息都能归因于发送者?”“然后,当有人发动袭击时,你可以找出是谁发出的,并逮捕他们。”
他说这将改变预防一个问责制之一的思维。人们会表现得不到,因为他们的不端行为被阻止,而是因为他们可以被抓住并持有责任。
施耐德说:“目前的预防意识的问题是你必须保护一切,但攻击者只需在盔甲上找到一个缝隙。”
虽然没有微不足道,但在互联网上实施此类责任在技术上是可行的。但是,施耐德承认,有两大障碍使其发生。
一个是对许多用户不轻视放弃的匿名性的期望。另一个是当地法律和习俗的变幻莫测可能会使美国以外的攻击者造成难以提起账户。
“我们需要在问责制和匿名之间取得平衡,”施奈德说,“我们需要国际协议。”
至少有一家主要的软件制造商可能已经领会到了这一点。在一个去年发布的文件微软公司(Microsoft Corp.)的斯科特·查尼(Scott Charney)概述了该公司自2002年以来所采取的步骤,当时比尔·盖茨创建了现在由查尼领导的可信计算计划。他指出,该公司在增强产品抗攻击能力方面取得了“重大进展”,但他承认,改进任何特定的软件都是不够的。
查尼认为,我们必须从根本上“改变游戏”,要做到这一点,需要两个要素。首先是建立一个“可信栈”,在每一层——硬件、软件、人员和数据——都有强大的身份验证,微软称之为端到端信任。第二个方案将实施施耐德关于事件可审计性的规定,以提供责任。
然而,在短期内,用户必须尽其所能利用现有技术,信息安全教育公司SANS研究所的研究主任Alan Paller说。他说,利用软件进行攻击的网络威胁有三种类型:利用错误编码留下的漏洞的网络威胁,利用错误设计中的逻辑错误的网络威胁,以及欺骗用户做他们不应该做的事情的社会工程威胁,如泄露密码。
Paller说:“最强大的新攻击技术是在社会工程领域,他们正在对要攻击的人进行更深入的分析。”。但其中一部分是纯技术,他说,“因为一旦你让这个家伙进来,他仍然需要打破一些东西。”
这意味着系统内部需要防御技术,例如,如果用户点击了某个恶意软件,攻击者就不能在他的机器中插入击键记录器或其他恶意软件。
用户不无助
因此,用户似乎处于等待模式。他们正在等待软件供应商加强单个产品,这是他们多年来一直在缓慢做的事情;他们正在等待IT公司大规模推广信任技术;他们正在等待政府和社会就问责措施达成一致。与此同时,像Heartland和P&G这样的公司只能依靠自己。
但Scherlis说,用户可以也应该做一些事情。“关键是‘配置管理’,”他说。
人们低估了这一点的重要性,因为它听起来沉闷乏味——就像清点存货一样。但很少有组织或用户知道他们的电脑上运行的是什么。“你甚至不知道它的传统是什么,”他说。
Scherlis说,一个典型的桌面可以有5000或更多的可执行文件,其中许多文件来源不确定。此外,还有隐藏文件和对文件的动态修改。“这相当可怕,”他总结道。
Scherlis说,“参加了您的软件的出处”,并“绝对严格地对配置管理和配置完整性,在开发期间和在运营期间不断。”
与此同时,他说,一个新兴的想法是让软件的建设者提供证据,证明他们的代码符合一定的标准。他说,开发人员可以通过提供测试用例、模型、链接文档(如Javadoc)、开发/配置日志、bug/问题日志和分析结果,帮助购买者和用户评估软件。
但是,Telcordia Technologies Inc.的研究副总裁罗伯特·拉基(Robert Lucky)说,即使是最好的保护措施也无法完全发挥作用。拉基在2006年主持了美国国防部的一个特别工作组,该工作组调查了在国外开发的美国软件中秘密插入恶意代码的威胁。
他的报告详细说明了可以采取的一些措施,以帮助防止此类破坏,但他最近告诉计算机世界,他认为网络犯罪问题“难以解决”
“对我来说,最重要的是风险评估,”他说。“你不可能花无限多的钱。你必须做出明智的权衡,并接受风险。”
最好的方法是幸运的建议,是识别那些关键和敏感的系统组件,并“花费大型雄鹿”。但他承认,在大型复杂系统中列出所有关键组件并不容易。
无论用户和供应商所做的,康奈尔的施耐德都反对自满。施奈德曾担任安全外部咨询委员会的施耐德说:“这是清楚的[微软]软件比五年前更安全 - 毫无疑问。”
但他说,软件是否更安全并不是应该问的问题,“因为威胁也变了。”
事实上,软件变得更好是件好事,他说,“但是软件变得越来越复杂,攻击成功率似乎也在增加。”
今天的挑战是更全面地处理这个问题。施耐德说,我们最好快一点,因为坏人的知识远没有他们可能掌握的那么多。
“他们尚未使用的攻击方法有很多更复杂的攻击方法,”他说。“我们的软件可能会变得更好,他们仍然有很多技巧。”
下一个:网格:互联网战中的新地面零
了解有关此主题的更多信息
这个故事,“软件:无休止的网络浪琴中的永恒战场”最初发表计算机世界 。