经过几十年的计算机安全工作的努力,一名研究人员对现有的互联网安全措施及相关安全厂商的工作提出了质疑–今天的计算机安全行业在保护计算机用户方面表现得差强人意,互联网对于那些不能更好地保护自己的一般人来说变得真的很危险。
最近在旧金山举行的Web2.0博览会上,软件安全公司ISEC Partners的共同创始人及合伙人Alex Stamos传达了这样一个消息。"互联网不能被正常人安全地使用,"他说,"大部分人没有决定是否需要学习如何安全使用互联网的必要技术。"
4月1日,互联网上到处充斥着Conficker蠕虫将会再次来袭的消息。Stamos却将这个网络计算机安全事件看成一个愚人节的玩笑,尤其是看到这样的标题:"一个职业妄想狂的黑暗感受"
研究发现:现有Web安全标准不够
应用安全公司Cenzic继前段时间所做的IT安全状况评估后最近又发布了关于Web安全趋势的报告,报告建议政府应该介入到网络安全问题中来,指导企业和个人如何进行自我保护。
Cenzic周二发布的《Web应用程序安全趋势报告》得出一个明显的结论,2008年第三季度和第四季度报告的漏洞数量增加了10%,达到2835个。Cenzic表示,令人吃惊的是,80%的bug都涉及到Web应用程序。
该报告确定了十个主要的Web漏洞,Microsoft、Mozilla、Adobe等均受到了影响,同时还确定了最常见的"漏洞类型",包括跨站点脚本漏洞、buffer溢出、孤儿帐户、不合格的session管理以及欠佳的应用程序配置管理。
在Sarbanes-Oxley, HIPAA以及Payment Card Industry (PCI)等安全标准下,大部分的这些漏洞中都应该被拦截在授权的管理层。但是,每个法规遵从标准都以一种或另一种的形式被人们批判。例如,在去年Hannaford Bros公司遭到一次安全攻击后在人们的批评声中发布的PCI。另一个案例是1月份受到攻击的Heartland Payment Systems公司。这两个组织都遵守了PCI标准,但却反而受到了攻击。
Cenzic首席市场官Mandeep Khera在一封电子邮件中表示,找到基于互联网的应用程序的弱点对黑客来说简直就像是发现了"金矿"。同时他还表示,之所以会遇到现在的局面,最大的问题是国家网络安全部门缺乏集中的监督。
"人们认为法规遵从机构的管理不够严格,加上缺乏使用法规遵从工具进行保护的意识,如今,Web应用程序漏洞对于许多组织来说变成了一个盲点。"Khera表示。
总部位于洛杉矶的安全厂商Lieberman Software的总裁Phil Lieberman同样觉得现有的安全环境需要更加统一的立法,让个体和组织在系统受到攻击的时候能够进行实时的反击。
"实际上,我们需要建立自我防御、法律观念以及概念意识,此外我们还需要相关法律能够约束那些企图进行破坏互联网商业和通信的不法分子。"他表示,"这应该就是能够约束所有互联网平民用户的法律。就像现在,平民没有权力采取任何行动制止攻击,ISP也是一样。我们都知道要购买和使用更好的防火墙、防病毒软件、防恶意软件工具、入侵检测设备,但我们这样做了后却还是一样要接受惩罚。"
Cenzic的调查结果发现,75%以上的安全攻击出现在Web上,80%以上的Web站点安全系数十分低,Khera补充道:"我们作为国人,必须质问我们的网络安全优先权在哪里。"
毕竟,安全行业的每一个人对征服这天空正在下坠的世界有着巨大的兴趣;这就是为什么那么多人投资并从事于安全事业了。
然而,Stamos没有赞扬安全行业而是否定了它存在的意义,或者说至少给了整个安全行业一记耳光。
"安全行业并不能保护你,"他补充说,安全行业"需要从自身寻找原因和问题所在"。
他说,经过了几十年的计算机安全工作,问题变得比原来更加糟糕。发现bug后将其广而告之给用户其实不见得能使人们使用互联网更安全。同时,那些致力于研究开源代码的免费静态代码分析器的安全研究人员,也没有借此对人们起到帮助作用。并且每个解决方案都变得十分昂贵,市场上的产品已经达到了50万美元的价格。
他怀疑计算机安全代码师是否值得被称为工程师。他说:"没有哪个工程技术专业允许出现那么多的失误。"他暗喻这些安全研究人员为"安全艺术家"。
他还敦促程序员停止编写那些不安全的语言,比如C和C++,除非他们将其用于编写操作系统的用途。"大部分人的聪明程度都不能编写安全的C语言。"他说。
他对那些正确使用计算机语言编写出安全程序的企业提出了赞扬:Adobe (NSDQ: ADBE), Google (NSDQ: GOOG), Microsoft (NSDQ: MSFT), Oracle (NSDQ: ORCL), IBM (NYSE: IBM)和Mozilla。但是他说,人们编写的多数软件都是为了企业内部使用,并没有足够严格的安全过程。
"软件的好转只反映了整个生态系统的一小部分,并没有说明整个行业的好转。"他说。
就像只有40%的计算机运行Windows XP系统一样,不是任何程序都有现成的补丁可用。他说,计算机行业应该向Google的Google Desktop学习:强迫用户进行更新。
根据最近华盛顿发布的消息,持这样的观点的不只Stamos一人。华盛顿邮报报告称,美参议院立法者正在通过立法建立政府和重要基础设施运营商私营部门的强制性的计算机安全标准。如果这一政策得到使用,人们将不必再遵守美国联邦对安全的规定。
在谈到最近在core Internet systems、协议(如DNS, BGP, SSL)以及新型攻击技术(如JavaScript heap spraying、Flash攻击和clickjacking)中发现的安全漏洞后,Stamos预测到了一个黑暗的未来。
他预测,随着大规模的数据破坏事件的发生,今年年初重压下的Heartland Payment Systems(HPY)公司将会崩溃。SHA-1加密将会很快被打破,而且当地的认识将导致悲剧缠身。
他还表示,在社交网络上双重认证对信息的保护能力十分有限,因为网络犯罪分子将可发现大量的个人隐私信息,比如你妈妈的婚前姓名,你的出生地等等。
他建议人们应该做好"后个人隐私"和"后安全社会"的准备。
"这是人们成为妄想狂的最好时机,"他得出结论,"这个社会没有能力捕获你。"