作為安全研究人員,他們將如何處置所揭露的安全弱點(diǎn)����?
在美國(guó)的一些大型企業(yè)和安全公司,一直有一種合法����,一些專業(yè)的"黑客"在進(jìn)行用作正當(dāng)用途的Ethical Hacking��,用來幫助系統(tǒng)找出漏洞��,發(fā)現(xiàn)漏洞及時(shí)通知公司����,采取防范手段避免或者減少損失�����。類似Sun公司為了完善Java程序��,改進(jìn)安全性而采取的 SandBox計(jì)劃�����,這是一個(gè)尋找漏洞�����,加強(qiáng)安全性的成功案例����。
對(duì)軟件廠商而言��,大部分的軟件在設(shè)計(jì)時(shí)�����,理論上和數(shù)字上證明是安全的����,但編寫代碼的過程是由人為來完成的����,所以難免會(huì)產(chǎn)生安全漏洞。
大部分病毒都是利用了操作系統(tǒng)的缺陷�����,對(duì)個(gè)人用戶而言�,在防病毒技術(shù)上�����,我們要求更加堅(jiān)固的操作系統(tǒng)和不停的升級(jí)系統(tǒng)����,但僅僅是這樣嗎?
這樣做絕對(duì)沒有錯(cuò),但是并不完全�,病毒進(jìn)入你的電腦并不是只有一條路徑,假如有人假冒你的朋友給你發(fā)來一封郵件�,你點(diǎn)擊打開了附件,病毒也會(huì)通過這樣的途徑進(jìn)入到你的系統(tǒng)�����,所以你一定要明白��,什么是你應(yīng)該做的����,什么是你不應(yīng)該做的。
病毒經(jīng)常會(huì)附在郵件的附件里進(jìn)入用戶的電腦��,作為一個(gè)安全企業(yè)的代表��,您怎樣看待《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》這樣一部法律對(duì)于垃圾郵件和惡意程序的控制的良性影響�。
對(duì)于國(guó)內(nèi)的法律我不是很了解,立法對(duì)于垃圾郵件的防范有幫助����,但是網(wǎng)路無國(guó)界,這種約束很有限�����。對(duì)于國(guó)外的垃圾郵件發(fā)送者,并沒有約束力����。所以我認(rèn)為行政立法,無法完全防范垃圾郵件�。
假如一個(gè)黑客控制了一臺(tái)肉雞電腦或者僵尸網(wǎng)絡(luò),以此為跳板來發(fā)送垃圾郵件�,這其中的一臺(tái)電腦只是一個(gè)八歲的小孩子的,郵件是他所擁有的電腦發(fā)的��,但你可以把他怎樣處理�?無法找到真正的郵件發(fā)送者應(yīng)該怎樣處理,這些都會(huì)是問題�。
您認(rèn)為國(guó)內(nèi)用戶和國(guó)外用戶在遇到的網(wǎng)絡(luò)安全問題上面,有什么不同嗎�����?
國(guó)內(nèi)的用戶安全觀念相對(duì)就比較淡薄?����,F(xiàn)在的網(wǎng)絡(luò)釣魚(Phishing)問題在美國(guó)很嚴(yán)重�����,安全廠商和銀行金融機(jī)構(gòu)都把這個(gè)當(dāng)成一件非常重要的事來看���。在美國(guó)的一些企業(yè)��,以及在趨勢(shì)科技內(nèi)部����,我們都會(huì)進(jìn)行一些計(jì)算機(jī)安全教育�,或做一些安全測(cè)試,來做一個(gè)公司內(nèi)部安全的審查審核(Audit)�����,檢驗(yàn)安全教育的成效�。比如我們給公司所有人發(fā)一封郵件,看誰不經(jīng)安全處理就直接打開附件�,這樣公司內(nèi)部的安全部門會(huì)對(duì)他進(jìn)行一些教育,如果下次這樣的測(cè)試他再犯的話���,就要進(jìn)行相應(yīng)的懲罰����。
一個(gè)優(yōu)秀的殺毒產(chǎn)品應(yīng)該具備什么樣的特點(diǎn)?
一些基本的功能要具備�����,當(dāng)然可用���,易用�����,不需要用戶犧牲其他的一些東西來?yè)Q取系統(tǒng)安全也是很重要的����。舉個(gè)例子來說����,當(dāng)年防火墻產(chǎn)品剛推出的時(shí)候,用戶感覺網(wǎng)絡(luò)非常緩慢��,甚至到了無法忍受的地步��。所以產(chǎn)品一定要容易被使用�,在不影響效能的前提下���,一定要讓使用者的痛苦減少到最小��。
2005年的一場(chǎng)關(guān)于殺毒廠商是過期藥的評(píng)論掀起了一場(chǎng)關(guān)于殺毒的激烈討論���,您對(duì)這個(gè)"殺毒軟件是過期藥"的說法怎么看���?殺毒軟件廠商之間的病毒信息是彼此隔絕的嗎?
一個(gè)病毒作者在寫一個(gè)病毒或者惡意軟件時(shí)��,一定是會(huì)有意識(shí)的避免被現(xiàn)有的殺毒軟件抓到的��,所以����,這個(gè)是無法避免的。在殺毒的廠商之間這種對(duì)于病毒信息的交換����,交流是存在的。病毒特征碼是和它的殺毒引擎配套的����,不可能拿過來就可以用的。
對(duì)于企業(yè)和用戶����,您給他們的不同的安全建議是什么?
安全防范的手段取決于我們要保護(hù)的價(jià)值���。
現(xiàn)在我們說的攻擊大致分兩種,一種是有針對(duì)性的攻擊���,另一種就是廣泛的攻擊����,類似于用軟件掃描"僵尸網(wǎng)絡(luò)"�,企業(yè)的防范重點(diǎn)是第一種,企業(yè)面對(duì)的是有針對(duì)性的攻擊���,比如銀行系統(tǒng)����,往往面對(duì)的是有技術(shù)�,有財(cái)力,有組織的犯罪���,并非無意識(shí)的進(jìn)攻�。而需要保護(hù)的,往往是高昂的價(jià)值���。就個(gè)人用戶而言,黑客攻擊的成本如果大于所取的價(jià)值的話���,他是不會(huì)做的����。一個(gè)小偷�,在犯罪的時(shí)候,假如看到有幾戶人家�,有的安裝了警鈴,他看到這些�����,他還會(huì)不會(huì)下手��,一定會(huì)考慮��。所以說�����,企業(yè)的安全方案是一層一層的層層防御的架構(gòu)。而個(gè)人用戶�����,你要考慮:1����、你要保護(hù)的價(jià)值多少?2����、根據(jù)需求,找到什么是合適你的方案��。
陳圣雄(Samuel Chen)
臺(tái)灣國(guó)立交通大學(xué)計(jì)算機(jī)工程系學(xué)士���、南加大計(jì)算機(jī)科學(xué)系碩士����,曾任美國(guó)國(guó)民半導(dǎo)體資深軟件工程師��、SUN科技資深軟件工程師����,現(xiàn)任安維華技術(shù)開發(fā)副總工程師����。IEEE���、卡內(nèi)基美隆軟件工程協(xié)會(huì)成員��。
陳圣雄先生在軟件開發(fā)領(lǐng)域有著長(zhǎng)達(dá)15年之久的豐富經(jīng)驗(yàn),在Anchiva項(xiàng)目中負(fù)責(zé)帶領(lǐng)軟件工程和網(wǎng)絡(luò)安全團(tuán)隊(duì)�����。在進(jìn)入Anchiva項(xiàng)目之前的八年多的時(shí)間里�����,陳先生一直是趨勢(shì)科技的高層管理人員��,負(fù)責(zé)管理趨勢(shì)科技的全球網(wǎng)絡(luò)病毒和互聯(lián)網(wǎng)內(nèi)容安全軟件服務(wù)領(lǐng)域���。在這期間���,他是負(fù)責(zé)趨勢(shì)科技全球軟件開發(fā)工程師和項(xiàng)目管理小組的全球副總裁。
陳圣雄先生進(jìn)入趨勢(shì)科技做的第一件事就是協(xié)助設(shè)計(jì)和實(shí)現(xiàn)了第一版的InterScan NT����,這一產(chǎn)品隨之成為趨勢(shì)科技的旗艦產(chǎn)品之一����,并且在業(yè)界取得了一致好評(píng)�。在進(jìn)入趨勢(shì)科技之前,陳圣雄先生曾任SUN公司JAVA開發(fā)和美國(guó)國(guó)民半導(dǎo)體公司資深軟件工程師��。
