安全失责谁之过

谈到信息安全,人们的无知毫无疑问是最让人担忧的,但是有时懂得太多的人也让人感到害怕。正当你认为你的安全小组已经控制了所有的软件漏洞之时,来了一位名叫甘特奥尔曼(Gunter Ollmann)的人,他是国际商业机器公司(IBM)旗下互联网安全系统公司(ISS)的安全战略总监。奥尔曼在他的网络日志(Blog)中指出,去年总共公布了7,247项软件安全漏洞,而这些只是实际数字的5%。想象一下,剩下的这95%对你来说,在现实中意味着什么?

当然,IBM的观点并不一定完全公正,因为他们自己也是这个游戏的玩家之一。奥尔曼表示,该公司的"抢占式防护引擎"可以防护那些不符合已知安全签名的软件漏洞。但是即使是这样,该估计的可信度有多高?而我们对付这些黑客部落的胜算又有多大?

仅仅依赖已知的信息,是很难有所作为的。在最近的"周二例行补丁"中,微软公司(Microsoft)发布了7项安全建议,所有都被定义为关键更新。这些补丁修正了19项安全漏洞,其影响范围覆盖了视窗(Windows)操作系统、IE浏览器、Office办公软件、Exchange软件,当然还有他们的Capicom ActiveX控件和BizTalk业务流程管理服务器。甲骨文公司(Oracle)4月的安全通告也公布了37项安全补丁,涉及公司的数据库、应用服务器以及商业应用套件。这些补丁中有9项可以让攻击者在没有合法用户名和密码的情况下获取进入系统的权限。

同样是在不久前,eEye数字安全公司(eEye Digital Security,下称eEye公司)推出了一份咨询报告,揭示了CA公司客户端备份软件的10项关键性安全漏洞。这些漏洞可以让攻击者通过正在使用该软件的一个IP地址,远程控制一台联网计算机。
就在eEye公司发现了CA ARCServe笔记本和PC备份软件的第一个软件漏洞之后,eEye公司的首席技术官(CTO)马克麦弗雷(Marc Maiffret)向《InformationWeek》的莎伦戈丹(Sharon Gaudin)形容道:"其影响如山崩地裂,影响范围不停地扩大,扩大,再扩大。这软件真的是糟糕透了。"

同时,奥尔曼也强调不是所有的软件安全漏洞都需要公诸于众。有些问题软件厂商会在内部发现后,悄无声息地填补。他表示有些程序"臭虫"(Bug)危害大到了不能公开的地步。

在最近的高德纳公司(Gartner)IT安全峰会上,来自安全公司的演讲者表示,他们采用了不同的手段来解决他们发现的软件漏洞。Errata安全公司(Errata Security)的CTO大卫梅纳尔(David Maynor)表示,他会在公布软件漏洞之前,给软件厂商一个月的时间修补软件漏洞。Matasano安全公司(Matasano Security)的主管托马斯普塔克(Thomas Ptacek)则表示,他会等待厂商自行发布软件漏洞报告。其他安全研究公司则会毫不顾忌地立刻公布他们发现的漏洞。

但是,也许我们之前把太多的精力放在了信息传递者及其所传递的信息上,我们缺乏关注的其实是真正的"主角"-软件开发人员,他们不停地制造软件,而这些软件充满安全漏洞,让黑客乐此不疲地寻找可乘之机。

其实早有人提出让软件开发者承担安全漏洞带来的法律责任。某种程度上,厂商会被迫延长他们的开发周期,推迟一些功能的开发,同时把时间和精力投入在安全开发流程上,以满足商业生存的大前提。如果潜在的立法手段还不足以让开发者重视安全问题,那么他们也许可以接着考虑一下切身相关的成本问题:据Veracode公司CTO克里斯沃斯帕尔(Chris Wysopal)表示,修正一个正在使用中的应用软件的漏洞,代价之巨大达到了在开发中修正同样漏洞的100倍之多。

当然,最后我们也不能忘了这些真正的罪犯-这些制造安全威胁,制造病毒,然后发动攻击的恶棍。让这些人受到应有的惩处,以示后人。