Web 2.0對常人來說很危險
經過幾十年的計算機安全工作的努力,一名研究人員對現有的互聯網安全措施及相關安全廠商的工作提出了質疑——今天的計算機安全行業在保護計算機用戶方面表現得差強人意,互聯網對于那些不能更好地保護自己的一般人來說變得真的很危險。
最近在舊金山舉行的Web2.0博覽會上,軟件安全公司ISEC Partners的共同創始人及合伙人Alex Stamos傳達了這樣一個消息。“互聯網不能被正常人安全地使用,”他說,“大部分人沒有決定是否需要學習如何安全使用互聯網的必要技術。”
4月1日,互聯網上到處充斥著Conficker蠕蟲將會再次來襲的消息。Stamos卻將這個網絡計算機安全事件看成一個愚人節的玩笑,尤其是看到這樣的標題:“一個職業妄想狂的黑暗感受”
研究發現:現有Web安全標準不夠
應用安全公司Cenzic繼前段時間所做的IT安全狀況評估后最近又發布了關于Web安全趨勢的報告,報告建議政府應該介入到網絡安全問題中來,指導企業和個人如何進行自我保護。
Cenzic周二發布的《Web應用程序安全趨勢報告》得出一個明顯的結論,2008年第三季度和第四季度報告的漏洞數量增加了10%,達到2835個。Cenzic表示,令人吃驚的是,80%的bug都涉及到Web應用程序。
該報告確定了十個主要的Web漏洞,Microsoft、Mozilla、Adobe等均受到了影響,同時還確定了最常見的“漏洞類型”,包括跨站點腳本漏洞、buffer溢出、孤兒帳戶、不合格的session管理以及欠佳的應用程序配置管理。
在Sarbanes-Oxley, HIPAA以及Payment Card Industry (PCI)等安全標準下,大部分的這些漏洞中都應該被攔截在授權的管理層。但是,每個法規遵從標準都以一種或另一種的形式被人們批判。例如,在去年Hannaford Bros公司遭到一次安全攻擊后在人們的批評聲中發布的PCI。另一個案例是1月份受到攻擊的Heartland Payment Systems公司。這兩個組織都遵守了PCI標準,但卻反而受到了攻擊。
Cenzic首席市場官Mandeep Khera在一封電子郵件中表示,找到基于互聯網的應用程序的弱點對黑客來說簡直就像是發現了“金礦”。同時他還表示,之所以會遇到現在的局面,最大的問題是國家網絡安全部門缺乏集中的監督。
“人們認為法規遵從機構的管理不夠嚴格,加上缺乏使用法規遵從工具進行保護的意識,如今,Web應用程序漏洞對于許多組織來說變成了一個盲點。”Khera表示。
總部位于洛杉磯的安全廠商Lieberman Software的總裁Phil Lieberman同樣覺得現有的安全環境需要更加統一的立法,讓個體和組織在系統受到攻擊的時候能夠進行實時的反擊。
“實際上,我們需要建立自我防御、法律觀念以及概念意識,此外我們還需要相關法律能夠約束那些企圖進行破壞互聯網商業和通信的不法分子。”他表示,“這應該就是能夠約束所有互聯網平民用戶的法律。就像現在,平民沒有權力采取任何行動制止攻擊,ISP也是一樣。我們都知道要購買和使用更好的防火墻、防病毒軟件、防惡意軟件工具、入侵檢測設備,但我們這樣做了后卻還是一樣要接受懲罰。”
Cenzic的調查結果發現,75%以上的安全攻擊出現在Web上,80%以上的Web站點安全系數十分低,Khera補充道:“我們作為國人,必須質問我們的網絡安全優先權在哪里。”
#p#
畢竟,安全行業的每一個人對征服這天空正在下墜的世界有著巨大的興趣;這就是為什么那么多人投資并從事于安全事業了。
然而,Stamos沒有贊揚安全行業而是否定了它存在的意義,或者說至少給了整個安全行業一記耳光。
“安全行業并不能保護你,”他補充說,安全行業“需要從自身尋找原因和問題所在”。
他說,經過了幾十年的計算機安全工作,問題變得比原來更加糟糕。發現bug后將其廣而告之給用戶其實不見得能使人們使用互聯網更安全。同時,那些致力于研究開源代碼的免費靜態代碼分析器的安全研究人員,也沒有借此對人們起到幫助作用。并且每個解決方案都變得十分昂貴,市場上的產品已經達到了50萬美元的價格。
他懷疑計算機安全代碼師是否值得被稱為工程師。他說:“沒有哪個工程技術專業允許出現那么多的失誤。”他暗喻這些安全研究人員為“安全藝術家”。
他還敦促程序員停止編寫那些不安全的語言,比如C和C++,除非他們將其用于編寫操作系統的用途。“大部分人的聰明程度都不能編寫安全的C語言。”他說。
他對那些正確使用計算機語言編寫出安全程序的企業提出了贊揚:Adobe (NSDQ: ADBE), Google (NSDQ: GOOG), Microsoft (NSDQ: MSFT), Oracle (NSDQ: ORCL), IBM (NYSE: IBM)和Mozilla。但是他說,人們編寫的多數軟件都是為了企業內部使用,并沒有足夠嚴格的安全過程。
“軟件的好轉只反映了整個生態系統的一小部分,并沒有說明整個行業的好轉。”他說。
就像只有40%的計算機運行Windows XP系統一樣,不是任何程序都有現成的補丁可用。他說,計算機行業應該向Google的Google Desktop學習:強迫用戶進行更新。
根據最近華盛頓發布的消息,持這樣的觀點的不只Stamos一人。華盛頓郵報報告稱,美參議院立法者正在通過立法建立政府和重要基礎設施運營商私營部門的強制性的計算機安全標準。如果這一政策得到使用,人們將不必再遵守美國聯邦對安全的規定。
在談到最近在core Internet systems、協議(如DNS, BGP, SSL)以及新型攻擊技術(如JavaScript heap spraying、Flash攻擊和clickjacking)中發現的安全漏洞后,Stamos預測到了一個黑暗的未來。
他預測,隨著大規模的數據破壞事件的發生,今年年初重壓下的Heartland Payment Systems(HPY)公司將會崩潰。SHA-1加密將會很快被打破,而且當地的認識將導致悲劇纏身。
他還表示,在社交網絡上雙重認證對信息的保護能力十分有限,因為網絡犯罪分子將可發現大量的個人隱私信息,比如你媽媽的婚前姓名,你的出生地等等。
他建議人們應該做好“后個人隱私”和“后安全社會”的準備。
“這是人們成為妄想狂的最好時機,”他得出結論,“這個社會沒有能力捕獲你。”
【編輯推薦】
