又近年末。每次年关将至,笔者总会被邀请写年末的综述,让我欢喜让我忧,喜的是我的粗浅文章承蒙朋友们不弃,忧的是每年老生长谈地将一年来的大小安全事件一列表权作文章交差的做法实在是没脸再干了。今年尝试着来点新意,用一些闲散地话作为综述。网络的使用者不仅有网管们、专家们,也有象笔者身边的同事、楼上的可爱女孩子、远方的父母这样的用户呢。于是乎,网络的安全,笔者觉得更应该是一个众人都关心的话题,用大家都有直观体验的方式来描述更适当一些呢。
首先絮叨一点题外知识。网络上的一些基础名词大家或许都是经常看到的,但都没有感性的认识,其实它们和一个公司保障自己的财产安全有着类似的思路。比如网关就象是大门,网关上的防火墙自然就是看门的警卫,网线/光纤就象是让我们通向各个地方的道路,交换机,路由器就象道路口的红绿灯,网内的IDS就象是安装在各个楼层的监控器,IPS呢就是在楼上到处巡逻的保安,咋们私人电脑上的防火墙呢,就象一个房间的门锁,而电脑上的文件,就象是各个柜子抽屉了,有的文档是加密的,那就是上了锁的,有的是没有上锁的,直接就可以打开,而至于有的需要严格保密,那么就是保险柜咯。恩,这段文字虽然对接下来的描述并无相关,不过朋友们在参看其他的文章时,理解起名词来可能更为直观一些。网络网络,先说说上网。
网络软件带来的安全威胁
上网四件事:看网页、收邮件、IM聊天、网络游戏。今年的IE还算比较安稳,只出了图形渲染漏洞、flash漏洞两个相关漏洞,及时打上补丁就好;邮件病毒还是依旧泛滥着,而本年度,随着一批QQ用户密码被盗的事件最后传出是腾讯离职员工与外人合作而为的惊人消息;网络游戏用户依然是被游戏木马所困扰。值得一提的是RSS 技术随着blog一起在国内被接受和传播,由此带来了RSS浏览器的迅速发展,因此也带来与web浏览器同样或更大的安全隐患。而对于P2P用户而言,2005年实在是以遗憾收场的一年,由于版权原因,众多基于P2P工作的软件站点已经关闭或者停止了受版权保护内容的下载,另一方面从魔兽世界以P2P的方式下载补丁,到电视观看软件使用P2P方式来加快速度,P2P技术得到的多样化应用。
提到P2P,不能不提一下组播/多播。简单地来说,大家可以把组播/多播想象成一个音乐厅。设置地好的音乐厅可以起到提高音效、增加声强、同一时间给予听众更好的音乐感受的效果;而设置不完善地音乐厅就象是住处旁边凌晨3点还在杀猪般鬼嚎的三流KTV,只能是扰民行为了。多播/组播设置得当,可以方便地做到一机发送,多机同时接受信息;而设置不得当,却经常造成整个网络内过大的流量传输,严重地时候甚至影响整个网络的正常数据传输。随着P2P类的电视软件的兴起,这类利用组播/多播的软件势必会成为网络管理员新的困惑。P2P类软件的初衷都是好的,但过分自私地占用网络带宽地做法,势必引起isp和网络管理员的反感,P2P软件能否良性地发展,更多地取决于软件在设计的时候是否能够考虑适当地而非过分贪婪地占用带宽。这就象找老婆了,找一个一点不会计划的固然麻烦,找一个太算计的也非明策,总之,适当就好。
除了上面的P2P软件,朋友们的电脑上都会有一些大众软件吧?毕竟大众的公选,有其令人信服之处,但对服务器而言,众人都使用着的服务软件未必安全,这话颇有些“众人皆浊我独清,众人皆醉我独醒”的意味。笔者曾经有位朋友,执意选择一些比较生僻的服务器软件来使用。比如在windows下大家都用xxxftp,而他却往往试着找个满足功能的其他ftp软件来用,疑惑之余问其原因,曰:智者多劳,宝刀先钝。功能强大的软件使用者众,进而也被攻击者垂青,若然一有漏洞,诸多攻击者必立即苦心研究针对它的攻击软件,吾服务器不保,饭碗亦难保也。且软件越是成熟,想有所发展,势必研究新奇功能,就如孔已己做学问研究茴字有4种写法。而软件漏洞大多也出在此类对我无用之新奇功能之上。此岂非于我之无用,受攻击者之喜也? 一席话如醍醐灌顶,令我茅塞顿开,难怪古之有诸葛亮娶丑妻也。不过所谓良药苦口,虽然明知道有的长的丑的姑娘是良药,无奈竟入不得口去。
晓得某些软件已经够己之用,偏生见不得华丽奇巧之物,依然是瞻桂树慕花魁。如果各位看客依然有所犹豫,不若搜索看看 word/excel 2003的加密保护如何被轻易绕过的文章吧?原本挺不错的一个安全功能,却因为office 2003的生成xml的新功能的疏忽,造成了安全漏洞。看来软件如老婆,娶个太漂亮的不一定省心,娶个不漂亮的又不甘心。天下事何其相似也。
提到了软件,不得不谈到的一类软件就是目前俗称的流氓软件了。随着流氓软件出现越来越多的商机,于是出现了更多捆绑了第3方软件的流氓软件。其实就笔者个人的看法,这类软件与其被称作流氓软件,不如称作毒品软件更好一些。因为实在是和毒品很象嘛——毒品贩子为了自己的利益,用各种方式先拉你下水,下水之初你曾觉得很high很爽,之后发现身体被慢慢地掏空想戒掉的时候却百般艰难。好不容易通过各种途径去掉了,可能过几天又“复发”了。“爱惜生命,远离毒品”这句警惕换为“爱惜电脑,远离毒软”亦非不可。如果已经上了贼船的朋友,可以下载最近已经免费的魔法兔仔软件进行修复和删除,并及时使用免疫程序,避免下次再次“中毒”。
相关链接:网络行业协会点名十大流氓软件 责令整改
杀毒软件的发展
在笔者即将发文前,又看到一个有意思的消息,微软即将在明年推出自己的杀毒系统OneCare Live 这个工具是Windows Live的一部分。在安装它的时候,得把目前机器上的某些软件都删除掉才可以顺利安装,大名鼎鼎的比如诺顿、McAfee、趋势等大厂商的安全软件都榜上有名,不知道这些公司看到后,会不会指控微软进行变相垄断呢? 目前测试版本已经放出(http://www.windowsonecare.com/Default.aspx),有兴趣的朋友可以试试,相信笔者此文发表出来的时候,相关的评测文章也已经出来了。做操作系统的软件厂商自己做安全软件,也算是一种讽刺了。至于2005年里,国内的杀毒软件表现也能用平平来形容,而江民公司在大肆进行产品宣传的时候,没想到竟然后院起火,自己主页被人给干掉了。
国内各厂商从去年开始炒作地相当厉害的“查杀未知病毒”、“特征判断杀毒”的技术,一年以来的事实证明并没有多大用处,出现的新病毒/木马,该中招还是照样中招。静下心来想想,病毒的发展日新月异,攻击的手段/利用的漏洞也在不断变化,在黑客领域的宗旨中,进行攻击奉行的规则就是:没有规则!任何一个协议/漏洞/权限错误的服务都有可能被利用。好比在医药界,想用某种疫苗防御未来的传染病一般,是不够现实的。目前病毒厂商欠缺的,不是对”未知病毒“的查杀,而是需要尽量快速地将网络上新出的流行病毒尽快分析/找出特征码以及杀除方法。根据笔者的经验,一般来说,我在网络上看到有人中某中新病毒时,经常3天左右后病毒公司才会升级病毒数据库和解决方案。顺便给越做越花哨的病毒软件提个醒:中毒的机器可能在cpu/内存/io读写方面被大量占用,因此系统相应会相当缓慢,此时病毒软件花哨的界面,以及什么agent助手这类中看不中用的绣花枕头功能对cpu/内存的占用简直就是雪上加霜。笔者推荐个人用户在其他功能相当的情况下,尽量使用界面朴素简单的。软件强大与否不是看界面,是看搜索速度和查杀准确度的,不要被外表所蒙蔽了。倚天屠龙记》中,殷素素死时对张无忌说“漂亮女人说的话不可相信”,笔者则说:”漂亮的杀毒软件同样不可太相信。“
相对于杀毒软件,关于网络安全,对于个人用户而言,最关键的是使用一款合适的防火墙。有了防火墙,也不见得安全。今年里的病毒越来越有把防火墙/杀毒软件作为突破口的趋势,比如大名鼎鼎的norton就几成帮凶。秦始皇修长城阻拦了匈奴,吴三桂却从长城放清兵入关。到底防火墙是防寇之栋,还是防民之篱?选择一款合适的防火墙也殊为重要。其实自从windows 2000开始,在windows系统里已经内置了一个相当强大的防火墙,就是 ip 安全策略,不过使用起来的确存在着上手比较难的缺点。由于sygate被诺顿公司收购,导致sygate的防火墙已成绝响。相对于功能差不多的几款商业个人防火墙而言,笔者向各位推荐我目前有在使用的一款防火墙--费尔防火墙(http://www.filseclab.com/ 免费软件)。值得一提的是,笔者推荐它,并不是因为它是免费的,而是其功能的确相当出色。而且监视台那里能实时地将目前的流入数据报文情况反映出来,方便比较熟悉网络的中高级用户进行合理配置策略。
相关链接:软件大比拼 九款流行杀毒软件评测报告
无线网络的安全威胁
2005年里,无线网络的发展相当快速。由于无线网络本身是用无线信号传播的,与目前有线网络需要固定端口进行信息交流物理上存在本质差异,在信号覆盖范围内,每一台机器事实上都能接受/发送信号,对于用户的认证/身份确认,主要就需要靠加密认证进行。不过目前的无线网络应用中,虽然不少地方成功地实施了无线网络的架设,但有很多的地方使用wep这种简单加密甚至根本就不进行加密,在安全上存在很多的隐患,更容易造成内部信息泄露,以及身份假冒等安全问题。相信在2006年里,随着无线网络的进一步应用推广,这类安全问题将更加被暴露和重视。比如在http://biz.chinabyte.com/159/2027659.shtml 这里,就详尽地介绍了怎样一步步地破解wep加密,因此推荐无线网络的使用朋友敦促管理员使用802.1x/EAP一类认证方式来提高安全性,由于笔者本人到目前为止没有实施过无线网络的安全加固,各位朋友可以参考我一位朋友的文档进行进行实施。(文档地址:http://blog.chinaunix.net/index.php?blogId=12)。
除了办公,如火如荼的网络游戏热潮逐渐从电脑朝无线领域转移,不论是盛大下属的ez推出的psp类游戏机,还是日渐火暴的手机java在线游戏。大家都知道,当程序语言对机器的硬件可进行访问的时候,权限越大,就越有可能开发出功能强大的软件,也越容易造成越权破坏。随着手机程序对手机上存储卡访问,硬件访问的提升,手机木马/病毒的出现就越来越频繁,种类也会越来越广泛。我们完全有理由怀疑,2006年中可能出现针对手机网络游戏的木马,或者其他破坏程序。
从全球第一个计算机病毒出现以来,电脑病毒往往不带任何商业目的,大多数是为了炫耀技术或为了出名。但是现在电脑病毒的发展趋势已经有了一定的变化,黑客对用户的网上帐号、密码和数字证书越来越感兴趣。赛门铁克在2005年上半年发表的《互联网安全威胁报告》中称,由于黑客在编写恶意代码时使用了新工具和日益复杂的技术,攻击Windows 用户的新病毒数量达到了近11000 个,较去年同期增长了48%。在前50种恶意代码中,能够泄露机密信息的恶意代码占了四分之三。
在2005年里,针对经济领域的破坏不断地增加着,美国发生了涉及大量信用卡数据被窃就说明这个问题的严重性,大量的用户资料失窃可能给信用卡公司带来巨大的经济损失。11月又爆出一起英国银行被从网络上偷钱的新闻。方式依然是内外结合的联合作案,虽然老调了点,但是非常管用。不管在什么领域,只要存在利益,就一定会导致攻击与安全。这就象光与影的依存。网络已经从最早的学术研究用途变成了一个巨大的商业/媒体平台,每个人既是信息的接受者,也是信息的发布者。经济利益推动着网络技术的进步,同时也推动着攻击技术的提高,而攻击技术的提高又促使安全技术理论的提升,安全的提升成为了网络技术的性能瓶颈后,又进一步促使对网络设备性能的提升,在网络设备性能提升后又促进了网络文化与信息的繁荣,文化信息交流的繁荣直接决定了经济的多样性。因此,就象“失败是成功之母”一样,网络的攻击与安全对抗,也是在客观上对网络的进步或者说进化起到了重要作用,就象生态环境中的食物链一样,缺一不可。
今年在中国举行的第八届国际反病毒大会上一位网络安全专家称,网络罪犯们逐渐将重点放在了攻击那些有可能获利的目标上,他们并没有掀起大规模的网络病毒攻击的浪潮,但每次只攻击一到两个公司,但是相应的报酬却可能是巨大的。
总结
这一次,笔者的希望是各大媒体能踏实地教授读者一些由浅入深的网络知识,而不是上很多以“安全”为幌子行破坏之实的文章。这样的文章,和教唆人吸毒无异的。对广大初学朋友的建议是:踏实地从基础开始学习。其实安全/攻击本是对所学知识的两面运用,不管是学习安全维护也好,网络攻击也好,都是对协议,工具的运用或者逆反应用,只要踏实地学下去终究会有所进步。
给广大网友的建议是:不要再盲目崇拜黑客,真正能称的上这个名号的人在中国并不多,多数都是假借此名的破坏者,不过是些入室抢劫,拦路行凶的有一点技术含量强盗土匪罢了。对待软件,够用就好,没有必要一味地追求华丽和功能众多,只选择自己需要的。对笔者自己的期望是:做网管时间长了,总习惯了用最坏的角度来看待事情,这样很容易导致悲观的情绪;写文章总是带着一副教训人的腔调,却没思考过自己有否此资格。
同时,希望可以静心地看一些有关心理学,文学,美学,音乐类的作品,毕竟真正的学习,并不拘泥于行业内的技术或者代码实现,综合判断理解分析的能力也殊为重要。越学得深入,越觉得好象许多行业的经验/行为都是可以相通和相互转换的。
因此呢,从事各个行业的朋友,不妨也把网络安全当作是自己所在工作的行业来看待,试试找到一些共同点,这样处理安全问题起来更有感性认识也更为得心应手一些呢。在靠近文末的时候,谈一些我个人几年以来管理网络的小小安全心得:安全是全方位和立体的,想要单独在某一个环节进行安全部署就能实施安全防护的想法本身就相当地危险;安全实施中,最重要的决定因素是人,需要网络管理员,系统管理员,线路维护人员,以及终端用户的彼此理解合作;安全是一个持续性的过程,并不是一劳永逸的,网络结构在变化,攻击在变化,服务器的软件/程序在变化 都会造成原有安全部署的失效;安全与破坏是维持着一种微妙的平衡关系的,随时可能由于个中原因导致被破坏,尽量把安全实施投入到重点保护对象身上;最后一条,永远不要相信有绝对保证安全的网络安全产品存在。
网络安全,谁能说清,阴阳互济的两面里,哪一面是黑,哪一面是白呢?协议就是协议,代码就是代码,分析就是分析,心理就是心理,每个环节综合起来,如果是与人为善,就是安全;与人为恶,就是攻击。因为,保护到自己网络安全的核心重点,并不是一则教导安全/破坏的文章,也不是专家意见,更不是一个软件,而是那份要保护自己所珍爱事物的心情。