走出網絡安全的誤區(3)
為何其他網絡連接,自認為安全的誤區
對,連接INTERNET是要上網的,但是可以上網的獨立機器,與一臺商業網絡中心的機器相比,所使用的網絡協議仍然有一些甚至全部相同,而一臺商業網絡中心的機器還可能安裝了公共防火墻或者有專門負責安全的人員。與此形成強烈對比的是一些用于家庭、辦公室、小公司的個人用機確是門戶大開,完全沒有防范黑客的能力。這種威脅是很現實的:如果你使用了cablemodem或是DSL連接上網,而且在網上的時間很長,一天里也許就會有2-4個卑鄙的黑客企圖攻擊你。
使用撥號上網,自認為安全的誤區
每次當你開始撥號上網,你使用的IP地址都會不同,也就是動態IP,所以相比靜態IP的用戶而言。黑客是很難找到你,但是有一些黑客軟件已經發展到可以在1個小時以內逐個掃描上萬個IP地址的能力,所以只要黑客使用了這些工具,即使是撥號上網的用戶也可能受到攻擊。
使用了防病毒軟件,自認為安全的誤區
一個好的病毒軟件確實是在線安全不可或缺的部分,但是也是很小的一個部分。它能夠通過檢測病毒和類似的問題保護你,但是它們對防范黑客、對帶有惡意的“合法”程序卻無能為力。
使用了防火墻,自認為安全的誤區
防火墻是很有用處,但是如果你的機器總是采用一些不夠安全的方式接收和發送數據,而你又僅僅依靠一些附加的程序提供安全,這就等于把所有的蛋放在一個籃子里,一旦防火墻軟件出現bug或者有漏洞,那你很危險了。
另外,防火墻對于病毒一類的軟件完全沒有防范能力,尤其是那些帶有惡意的悄悄地向你的機器發送或提取數據的程序。最后,一些防火墻軟件還可能幫倒忙,因為它們的廠商在廣告中把產品的特點介紹出去,可能招致一些專門針對它們弱點的攻擊。
當我在幫朋友處理計算機安全問題的時候,總會遇到他們這樣問我:我的系統上已經安裝了防火墻和殺毒軟件,而且都是正版的,并且天天升級病毒庫,為什么還會感染木馬呢?
就目前來說,不只是普通網絡用戶存在這樣的問題,甚至一些中小企業用戶也存在同樣的困惑,明明已經按某種方式實施了安全防范策略,可還是會不斷出現系統或網絡被攻擊而引起業務中斷,以及企業內部的機密數據由于入侵而引起泄漏等安全事件的發現。經過對已發生的各類安全事件進行分析,從中不難發現之所以會造成這樣的局面,主要是我們在安全防范過程中還存在下列六個方面的誤區。
認為系統中安裝了殺毒軟件就應該很安全了的誤區
如果我試著問幾個計算機網絡用戶使用什么方法來防范木馬病毒,他們肯定會毫不猶豫地回答就是使用殺毒軟件。我還經常聽到人們在私下談論自己使用的是什么類型的殺毒軟件,以及它們殺毒的功效等,從他們說話的口氣中就可以猜出他們對殺毒軟件有多么的信任。可是,殺毒軟件就真如人們所期盼的這樣能防范所有的已知和未知木馬病毒嗎?
目前,通過特征碼查殺木馬仍然是最快和最有效的查殺方式,一直被所有的殺毒軟件所采用。利用木馬的特征碼來查殺它們,主要是利用木馬程序中的一段或幾段代碼來作為表明它身份的特征碼,或者通過將木馬程序執行后,駐留在系統內存中的某些特征來作為表明它身份的特征碼。
從特征碼的提取方式我們就可以知道要想查殺木馬,就必先獲得它們的相關特征碼,而這必需在木馬暴發后才能得到。因此,利用特征碼查殺木馬,只能對一些已經出現了的木馬有效。
可是,現在大部分的木馬,通過修改其編碼和執行方式,對其進行加密和加殼,以便能躲過殺毒軟件通過特征碼方式的查殺,由此,殺毒軟件開始使用一種叫作啟發式殺毒的技術來應對不斷出現的新木馬。
啟發式殺毒分為靜態和動態兩種方式,其中動態方式能預先構造一個虛擬環境讓可疑的程序運行,通過分析其行為特征,一旦發現可疑行為就被禁止。這種方式不依賴木馬的特征碼,對未知的木馬有一定的防范效果,但是,它仍然存在許多問題,例如漏報和誤報,以及會犧牲一部分系統性能作為代價,也就說啟發式殺毒也不可能完全防范未知的木馬病毒。
現在,一些主流的殺毒軟件廠商提出了“云安全”的查殺技術,通過了解其原理,主要是通過一個客戶端在用戶系統中運行,監控用戶系統是否感染了木馬,如果檢測到不正常活動,就會將這些內容提交給殺毒軟件的服務器端,然后殺毒軟件服務器端就會迅速對這些內容進行分析,提取木馬的特征碼,幾分鐘后就可以將特征碼返回客戶端進行查殺。
云安全雖然解決了用戶手工更新病毒庫的方式,并減輕了客戶端的計算量,但是,這種方式需要用戶已經連接到了因特網,另外,它的殺毒處理仍然會有一段時間的延遲,而且讓人懷疑云安全是否會泄漏用戶的隱私,這樣就有可能造成用戶的主機只是變成了殺毒軟件提供商的病毒庫來源,而真正起到的防病毒作用卻收效甚微。
從這里我們可以看出,殺毒軟件到目前為止是不可能防范所有的未知木馬的。而且,一些利用木馬進行攻擊的攻擊者還會利用殺毒軟件來麻痹用戶,例如當木馬在目標系統中運行后,只破壞殺毒軟件的查殺功能,而不停止它們的運行,讓用戶認為殺毒軟件仍在保護系統,這樣,當用戶發現時,一切都已經晚了。
因此,我們不能將保護系統安全的任務全部交給殺毒軟件,還要對系統進行其它方面的加固,例如停止不需要的服務,提高用戶權限管理,以及加強對自己網絡操作行為的管理,不去不安全的網站瀏覽,不打開垃圾郵件,不打開QQ等即時聊天軟件發過來的文件或圖片,使用安全的軟件等。
網絡安全誤區的更多分析請讀者閱讀:
【編輯推薦】
