安全观察再探安全性的十个永恒定律,第 3 部分
Jesper M. Johansson
“安全性的十个永恒定律”对您来说也许并不陌生。这篇关于安全性的文章大约在 8 年前发表,至今仍然广受推崇与重视。尽管如此,过去 8 年来所发生的变化也不容小觑,因此我把这十个永恒定律重新审视了一番,看看它们是否仍然适用于今日。我在《安全观察》专栏的前两篇系列文章中已经讨论了前七条。
尽管近几年来安全性和连接性飞速发展,但到目前为止,前七条定律仍然非常经得起考验。虽然有少数几条定律现在的解释有些差别,而且其中一两条甚至不如以往绝对,但是它们仍然具有足够的权威。它们仍然非常适用于制定信息安全性策略,而且在一般的定律系统中,我们希望定律与我们一起成长、与时俱进。
本月我将讨论最后三条定律,并针对环境将如何变化和创造这些定律都无法解释的新领域而发表一下见解。如果您尚未看过原始文章,可以在 TechNet 找到。
定律 #8:病毒扫描程序过期,比完全没有病毒扫描程序好不到哪里去。
在所有定律中,这是最能看出年代的一条。这并不意味着已经没有任何病毒了 — 其实恰恰相反。现在的防病毒软件供应商宣称它们每年都会添加成千上百个传播媒介。Symantec 在 2008 年 4 月份发表的《Symantec Global Internet Security Threat Report》中,宣布它现在可以检测到 100 多万个不同的威胁。
第 8 条定律之所以会泄露它的年代,是因为它指定了病毒扫描程序。虽然 20 世纪 90 年代末期是闻毒色变的年代,但是,与 Microsoft Word 宏病毒做斗争的时代已经一去不复返了。现在,我们担心的是病毒、蠕虫、间谍软件、广告软件、击键记录器、Rootkit、仿冒网站、垃圾邮件以及机器人。如果这些仍不足以让您保持警惕,那么还有假反恶意软件。
与我们要应付的所有其他邪恶事物相比,病毒是一种相当古怪的技术。如果您的防病毒软件已经过期,或者您只剩下检测病毒的软件,是否会出问题?当然会出问题。实际上,现在已经没有只能检测病毒的反恶意软件了,因此,这条针对病毒扫描程序的法律才会透露它的年代。反恶意软件解决方案所能检测到的不光是病毒,它的用处很大。
正如我在由三部分组成的系列文章的最后一部分《密码和信用卡》中指出,这已经演变成一个复选框体系了。在该系统中,各个安全性软件供应商争相互竞争,看谁能够填写更多复选框。其中一种填写复选框的方法就是防止各种不同类型的恶意软件。
大多数反恶意软件都以套件形式推出,其中这些套件不仅能执行反恶意软件的功能,还包含管理所有功能的控制台。图 1 展示了 Microsoft Windows Live OneCare 提供的控制台,其中包括防病毒、防间谍软件以及备份功能;可以跟踪 Internet Explorer 中内置的仿冒筛选器,另外还随附一个不是以 Windows 内置防火墙为基础的防火墙(安全性套件中常见的备份)。目前,防病毒软件通常都会附带更多东西,是名符其实的反恶意软件。
图 1 Live OneCare 控制台是当前常见的安全性套件(单击图像以查看大图)
这是因为恶意软件比以前更多了,而且编写恶意软件的不法分子更加擅长将其伪装成合法软件,这些所谓的“合法软件”简直就是集木马软件和其他恶意软件的大全。
一般用户根本很难辨别合法软件和恶意软件,并且许多恶意软件通常以广告的形式通过合法网站或曾经是合法网站提供。有的甚至无需访问网站,也无需用户交互,就能自动发动攻击。
反恶意软件可以帮助检测一些这样的恶意软件。将此类犯罪降低到最小程度的最好方法是使用反恶意软件和谨慎操作计算机,二者双管齐下。有些人可能认为只需谨慎操作就足够了,但是这得依靠明智的判断和常识 — 而这两种能力都不是一般人所能拥有的。
或者考虑一下另一种情况:孩子使用计算机。孩子没有相关的经验可以参考;而且许多父母甚至对计算机安全性认识不够,因此无法告诉孩子们安全性的重要;此外,大人根本不可能时时刻刻都监督孩子使用计算机。
这时候,反恶意软件至少可以提供部分安全网,但同时也迫使不法份子更加精益求精。最后演变成恶性循环,当恶意软件变得更加厉害时,当然对它也就更加退避三舍了。
反恶意软件至少可以将最基本的恶意软件驱离该体系,以便使安全性专业人员专心对付更复杂的攻击。如果该系统没有反恶意软件,那很可能连不太复杂的恶意软件都可以肆无忌惮的欺负我们。到时候问题可能比现在要严重好几百倍。
然而,以上内容都没有回答“定律 8 是否仍然成立?”的问题。显然,这取决于怎样解释。从最单纯的角度来看,这条定律陈述的是,过期的防病毒软件,似乎比完全没有防病毒软件好不到哪儿去。但是,以恶意软件突变的速度来看,我们很容易发现过期的防病毒软件完全没有任何用处。这也许有点夸张,但并不是完全没有根据。
对于定律 8 更实际的方法,就是针对如今的环境将它重新解读。因此,我将把它重申为“必须使用且随时更新反恶意软件”。如果我们从更实用的角度来看待定律 8,那么这条定律肯定仍然成立。毕竟,就连反恶意软件最坚决的反对者,都无法断言应该将它从安全体系中完全删除。
我个人倾向于从公平的角度看待这几条的定律,我认为定律 8 仍然成立。但是我还要加上一点,就是从恶意软件的突变速度来看,随时更新反恶意软件绝对至关重要。
定律 #9:绝对匿名在现实生活和 Web 上都不切实际。
每当思考这条定律时,我就忍不住想嘲讽一下我们的政府和大企业,他们是如何信誓旦旦地向我们保证根本没有匿名。美国政府和 The TJX Companies 共同表示,美国约半数人口的个人信息已经输入地下犯罪组织的文档中。我倒是很乐意想象真的有匿名这种东西存在,事实上,当今世界根本不存在匿名(除非您愿意完全与社会脱节、放弃您的银行帐户、搬到无人的荒岛上以及彻底从人间蒸发)。
关于我们所有人的信息这么多,以至于我们可以故意扔掉一些,或者从彼此之间的交流中收集一些。社交网站共同确认使用 Internet 的大部分成人和许多儿童都会公开大量的个人信息。其中的许多信息可能并不一定是我们希望别人可以访问的。有的信息会对我们或其他人带来麻烦。(别忘了,您将来的雇主可能会看到您的指控照片)。
有的信息无疑是有害信息。电话号码、地址、财务状况以及任何个人信息都应该被视为机密信息。例如,有位用户想出一个好方法来跟踪用于进行银行业务、管理信用卡等事务的所有 Internet 站点。他创建了一个自定义主页,里面列了所有他需要的链接。为了方便记住所有所需的信息,他还扫描了自己所有的重要文档,包括印有银行帐号的支票、信用卡(正反两面)、驾照、护照,甚至还包括社会保障卡。
如果他把网页放在安全的地方,那当然很方便。遗憾的是,托管在他的 ISP 上的个人主页并不隐密。在从他的页面点进去的每页上,访客字符串都会显示 URL。只要沿着那个 URL 找回去,就会找到在犯罪市场值好几千美元的个人信息。这个例子虽然有点极端,不过它提出的重点相当有用,即一定要小心管理您允许发布上网的个人信息。
虽然社交网站通常提供详尽的隐私选项,但默认情况下并不启用这些选项。图 2 显示了 Facebook 的隐私控件,但这并不是其默认设置。重点在于,虽然您无法预测会绝对匿名,但只要小心行事,仍然可以保留一定程度的匿名。
图 2 更改默认值就可以限制 Facebook 上的隐私设置(单击图像以查看大图)
与现实生活一样,Internet 上的隐私多半取决于您的管理方式。即使政府机构或企业对您的个人信息管理不善,您也无能为力,但是您可以减轻这个漏洞所造成的影响。您可以尽量避免透露太多不是绝对必要的信息。
控制个人信息一个非常有用的办法是,向主要的信用报告机构申请诈骗警告。遗憾的是,经过信用报告机构持续锲而不舍的游说,才终于批准他们获得这些诈骗警告,但非常麻烦。代价是每家机构 6 美元到 12 美元不等,每三个月一期,而且通常必须手动更新。另外还有一个更好的选择,就是采用第三方服务,例如 Debix (debix.com),请他们为您建立诈骗警告。
如果不需要取得信用贷款,您可以建立信贷冻结,防止任何人取得您的信贷报告。但是信用报告机构已经确认信贷冻结在大部分的情况下都属于非法,而且很多时候只限于个人信息已被窃取的人才能使用。另外,信贷冻结的费用较高,而且常常必须通过认证的邮件才能安装。(奇怪的是,通常只需一通电话就能撤销。)
另一个控制个人信息的方法就是限制获取信息的对象。不要将信息交给不需要这些信息的组织,尽量与您信任的组织合作,并且不要光顾那些过去对您的保护漠不关心的组织。获得基本数据不必建立帐户和提供证书。如果必须在网站注册才能访问产品手册,请不要使用此产品,或者使用假信息注册。如果需要填写电子邮件地址,请使用免费的 Web 邮件服务来设置临时的假帐户。
这些做法就是定律 9 仍然成立的明证。在网络和现实生活保有隐私,就算在近几年不会获得什么好处,至少也不会有什么坏处。事实上,自从原始定律发布以来,所有数据已经全部联机,现在 Internet 已被用作使用个人信息的大量业务的运输通道了。
因此,现在跟踪您的个人信息比以往更加重要。如果一定要修改定律 9,那就是将其重写为“Web 上不可能有绝对匿名存在,但是您可以控制自己的匿名程度”。
定律 #10:科技不是万灵丹。
定律 10 其实就是万法归宗。它的意思是,世界上根本没有什么“快来救我”蓝色大按钮,就算有也没有用。只靠科技根本无法减轻我们的安全性顾虑。这是一个很严重的问题,因为太多安全性产业一直努力说服大家科技实际就是灵丹妙药。重复的消息是您只需拥有最新版、最适合的安全性套件,就不必担心其他任何事了。
其实这并不是 Scott Culp 当初撰写定律 10 的初衷,他的本意是定律 10 应该与所有伟大的定律一样,不断与时俱进。他的原始意图指出科技本身并非牢不可破,即使真的牢不可破,攻击者也会绕道而行。当初撰写十大定律时,科技安全性记录还不是主流。当 Microsoft 遭到围攻时,定律 10 在某些方面是帮助 Microsoft 解释其安全性记录的方式。
不过,从很多方面来看,定律 10 也颇有先见之明。它其实也暗示如果提高攻击安全性技术的成本和难度,不法份子就会把注意力从科技转向用户。
事实也是如此。虽然科技很难攻破,但是人心却恰恰相反。所以,不法份子才会使用各种社交工程和仿冒技术来攻击人类。在不安全性也能货币化的世界里,这就是万物自然的发展。
定律 10 不仅成立,而且在当时还非常先进 — 先进到虽然法则在今天仍然适用,但是解释却似乎有些过时了。也许是因为该定律在当初撰写时的内涵不同于今日吧。现在它仍然成立,只是意义已经改变,所以解读的方式也必须随之发展。我们必须超越科技,从人类的利益出发,侧重于安全性的进程部分。若要成功,必须思考如何保护此体系的这些部分。
接下来讨论什么?
十大定律具有惊人的生命力已是不容置疑的事实。它们在经过八年之后依然屹立不倒,其中有些(尤其是定律 10)甚至已经随着时代成长,就如同昨天才撰写的一样。作为万法归宗的最后一条定律其实相当具有远见(至少结果是这样)。它似乎预见到未来会出现一条新的软性安全道路,而这正是成就健康体系的关键所在。
科技不是万灵丹。只有先了解真相,才能制定这些定律。只有相信科技并不完美,才能真正领会所有其他定律。事实上,如果您从定律 1 条仔细读到定律 9,就会了解它们所讲的都是软性安全和程序。内容主要包括配置错误、遗漏修补程序、人类造成的漏洞,或是不恰当地使用它所保护的系统或数据等等。
我在着手撰写这个包括三部分的系列报导时,原本想要加上几条自己构想的定律,但是在分析这些定律的过程中,逐渐发现其实没有这个必要,因为定律 10 已经涵盖了所有其他的定律(包括我原本要说的在内)。事实上,与其加入新定律,不如将定律 10 改写为“科技并非万灵丹,只有超越这种误解才能确保安全性”。
别忘了当初撰写这些定律时,正是 IT 环境从 Y2K 转移到审核专业人员世界的过渡时期,而现在安全性已经攻占所有的认同感了。
为什么会这样?主要是由于犯罪集团骇人的成长率。许多不法之徒都选择在法律保护薄弱的国家公开横行,因为他们知道松散的计算机安全性可以货币化。其范围扩及毒品交易、前东欧集团 (Eastern Bloc) 的黑手党以及恐怖份子集团等等。
目前驱使计算机犯罪的因素全部出于下列三种:贪婪、意识形态以及民族优越感。.要对抗这三种新的攻击,必须在永恒定律的架构内进行。同时也必须做出难以决定的取舍,不过这个部分我将在以后的专栏中讨论。
Jesper M. Johansson 是著名的财富 200 强企业的首席安全架构师,也是《TechNet 杂志》的特约编辑。他拥有管理信息系统 (MIS) 的博士学位,研究安全性长达 20 多年,是 Microsoft 在企业安全性领域的最有价值专家 (MVP)。他的最新著作是《Windows Server 2008 安全资源工具包》。