不痛不痒的信息安全
来源:互联网周刊 更新时间:2012-04-13

  人们常将信息安全形容为一场“正义”与“邪恶”之间的较量,然而就目前的形势来看,所谓的“正义”之师多是处于一种疲于奔命的状态。要知道,那些病毒和间谍软件早已通过各种方式进入到各种IT产品,PC、笔记本电脑、服务器手机、PDA等等,都在危险的笼罩下。而现在,“邪恶”不但无处不在,而且更加聪明。

  2004年初,一种利用Google引擎自动
搜索网站漏洞的蠕虫使上万个疏于防范的论坛陷于瘫痪,而由于每台登陆论坛的PC都可能是攻击的发起者,安全公司至今也无法找到更好的防御方法。专门针对电子票务网站的光学字符Captcha和验证码破解软件的出现,使票贩子们在网上大量订票,让那些真正想看演出的观众根本无法在网上订票。虽然经测试,破解Captcha等标码的成功率仅有10%,但对于那些别有用心的人来讲已经足够了。还有风头正劲的“钓鱼软件”,这些通过mp3下载、共享软件、垃圾邮件等方式悄悄植入PC的黑客程序会在用户向IE地址栏输入银行或金融服务网址时自动跳转到黑客们的假冒网站。更可恶的还有键盘记录程序,它们会一天24小时监视PC键盘的一举一动,从账号密码到电子文件全不放过。最近,又有一种名为Click-clack的监视软件,它们利用即时通讯中的音频和视频功能记录下用户敲击键盘的声音和图像,然后自动破译,成功率高达90%。让人头痛的远不止这些,像Cabir手机病毒已经让上万部手机无法正常使用,而更厉害的Cardtrp手机蠕虫会藏在手机铃声或图片中,然后自动打开系统后门,窃取重要信息,无论是蓝牙、红外、Wi-Fi还是电信网络都无一幸免。

  一直扮演着美国政府坚实技术后盾的卡内基梅隆大学CERT研究中心,多年来高调地保持着网络安全数据的权威发布者身份。每年CERT都会统计一下PC用户遭受网络攻击的次数,但从2004年开始,CERT放弃了数据统计,原因很简单,由于各种类似用途的软件大量出现,网络系统受到攻击已经非常普遍,且每次攻击都会涉及到成千上万的PC和网站,单纯统计攻击的次数已毫无意义。

  CERT的放弃统计只不过是冰山一角。随着垃圾邮件的猖獗,理想化的安全将更加可望而不可及。

  IT果真如此的脆弱,我们真的束手无策了吗?答案取决于谁来回答。安全技术专家们会有很多所谓有效的建议,
防火墙、防毒工具、杀毒服务、按时备份、及时升级、打补丁等等。当然,也可以更主动一些,比如微软推荐的可将数据和软件分开处理的“虚拟化”(virtualzation)技术,开源支持者们的Linux/Windows双系统,或是干脆采用法国人的做法,买上两台电脑,一台用来进行上网、下载、娱乐等高危操作,一台用来处理重要信息和金融业务。看来为了信息安全,使用成本将越来越高。不过也有好消息,据说正在赛前热身的Vista解决了许多安全问题,关于垃圾邮件、间谍软件、网络插件等的立法也小有成果。乐观地看,形势正在好转,只要有希望,这一点点痛还是能够忍受的。