如何看待信息安全—敦科尔克大撤退-敦克尔克大撤退意义

是时候承认失败了，我们所面对的信息安全现状是糟糕透顶的：大多数安全保护措施形同虚设;安全工程师们更乐于看到自己薪水以及地位的节节上升。或许这正是信息安全产业之所以还沾沾自喜且陶醉于其中的原因所在，尽管一切看上去都朝着失败的方向发展。

1 引言

温水煮青蛙

对青蛙而言，这是一个相当残忍的比喻。

虽然大多数引用这个比喻的人并不清楚青蛙在温水中是否真正不会跳出来而一直被煮成青蛙汤。

如果我们将现在的信息安全产业看作成为那只温水中的青蛙，我们又会发现什么?

难道那只青蛙真的要被困于那渐沸的锅中?不得不进行历史上最著名的敦科尔克大撤退么?

你不愿相信，我不愿相信，我们都不愿相信这一点。

互联网以及全球经济的迅猛发展很大程度上依赖于长久以来形成的信任与安全机制。然而每年在电子商务交易中损失的交易额数以数亿美金计算。美国司法部的一项针对成人在网络上的犯罪行为研究调查表明，倾向并热衷于在网络上进行犯罪行为的人比例三倍于传统现实中的犯罪。不仅如此，来自盖纳调查机构的一份报告显示，14%曾经使用在线银行服务的用户因为安全方面的因素而停止使用在线银行服务，另外有37%的人很少使用在线银行服务。很显然，互联网信任危机成为罪魁祸首。

正如那个经典的形容互联网的优点的例子一样，“在互联网上，没有人知道你是谁;哪怕电脑的对面是一只狗”。

我们应该开心抑或是悲哀，当信任危机严重的影响到我们生活、工作、学习的方方面面时，我们开始质疑：信息安全，你究竟路在何方?

2 失败

2.1 产品迷思

我们面对着琳琅满目的安全产品：

第四、五代的防火墙(UTM统一威胁管理网关、应用防火墙等)

基于行为的反间谍软件(Pestpatrol、Spybot、WebRoot等)

主机或者网络入侵检测(防护)系统(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)

动态身份认证(双因子、电子令牌、生物识别认证等)

高度自动化的漏洞评估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)

个人防火墙(Zonealarm、天网等)

基于特征的反病毒软件、硬件(Kaspersky、AVG、AntiyLabs等)

……

我们始终坚信这些无所不能的安全产品使我们可以免于恐惧，处于一种平和的状态之中。但拥有并部署这些安全产品我们就真的获得“安全”了么?

根据美国今日杂志的统计，2005年是计算机系统受到威胁并出现事故最多与后果最严重的“最糟糕年”。美国财政部技术处的统计表明在2004年，由于网络犯罪所造成的损失高达1050亿美金，远远超过毒品非法销售所得。2005年，FBI与CSI联合进行的一个关于计算机犯罪与安全的调查表明，至少有90%以上的交易在2004年受到计算机病毒、间谍软件或者是其它形式的在线攻击影响，而在2005年，这一比例仍有所上升;尽管已经部署了大量的安全设备、软件等来防止并降低来自于网络的威胁程度。FBI还发现，平均每天有超过27000人的身份数据、社会保险号等数据在网络上失窃。蓝色巨人IBM也在2006年初发布一项预警报告声明在2006年更具有目的性、更为精密、更具有危害性的攻击数量将进一步上升。

一定有某个地方出错了，但是错在哪里呢?

如果你随意打开一张报纸并浏览当期头条，我打赌十次有八次你可以看到有“银行诈骗案”、“网络交易欺诈”、“钓鱼攻击愈演愈烈”等类似标题出现。我们承认人们有时候是很粗心的，很容易犯这样那样的小错误;但是如果超过数千万人天天都在犯粗心错误的时候，那就不仅仅属于个人行为，而更进一步的衍变成为社会行为，并进而影响到那些几乎“全副武装到牙齿的”IT部门以及安全专家甚至巨额的安全预算。不是么?

2.2 究竟有多糟糕

大多数情况下，我们所声称的安全最佳实践事实上是完全失效的。

AvanteGarde近期进行了一项实验，其在网络中部署了一批具备缺省安全配置系统并对其进行详尽的分析，也就是我们所俗称的“蜜罐Honeypot”做为诱饵调查攻击者的行为。通过这一项目，可以在一定时间内进行对攻击、威胁数量、种类的抽样统计同时也可以计算从威胁到攻击成功成为“傀儡”机器所需要的时间窗进行统计。统计表明，一次针对计算机成功的入侵平均时间仅需要4分钟。

试想一下，我们可以购买更为昂贵、性能更为强大的电脑，然后加电、开机、接入网络，起身去冲一杯咖啡，……这一切，只需要四分钟。回来之后呢?木马程序已经接管你系统权限，新机器已经成为“僵尸网络”中的一分子，参与了发送垃圾邮件、钓鱼攻击、病毒传播以及分布式拒绝服务攻击等诸多攻击行为浪潮中去。

绝大多数消费者都没有足够的安全意识，他们很少会在拿到一台计算机并将其连接入网络之前增加必要的安全措施，例如安装系统补丁等。当然，具备足够安全意识的用户会通过其它渠道按照SANS应急响应中心的建议并按照自己的操作系统种进行初级的安全设置，譬如安装系统补丁等。新问题又出现了，微软发布的Windows XP系统补丁小到70Mb，大到260Mb，你下载这些补丁所需要花费的时间已经大于4分钟，于是很遗憾，您的计算机可能已经被入侵者占据了。

因此，我们陷入怪圈：一方面下载并安装补丁是必须的，另一方面下载过程中即被入侵而导致下载回来补丁没有任何意义。更有甚者，我们对于计算机的控制权限可能少到可怜的30秒钟。

即便你通过离线方式获得并安装补丁确保系统安全性得以提升，这也仅仅是万里长征的第一步——因为，失败无所不在。

2 失败

2.1 产品迷思

我们面对着琳琅满目的安全产品：

第四、五代的防火墙(UTM统一威胁管理网关、应用防火墙等)

基于行为的反间谍软件(Pestpatrol、Spybot、WebRoot等)

主机或者网络入侵检测(防护)系统(ISS BlackICE、HIDS、NIDS、IPS、NGSsoftware等)

动态身份认证(双因子、电子令牌、生物识别认证等)

高度自动化的漏洞评估工具(GFI、SSS、eEye retina、Core Impact、Skyscope等)

个人防火墙(Zonealarm、天网等)

基于特征的反病毒软件、硬件(Kaspersky、AVG、AntiyLabs等)

……

我们始终坚信这些无所不能的安全产品使我们可以免于恐惧，处于一种平和的状态之中。但拥有并部署这些安全产品我们就真的获得“安全”了么?

一定有某个地方出错了，但是错在哪里呢?

2.2 究竟有多糟糕

大多数情况下，我们所声称的安全最佳实践事实上是完全失效的。

即便你通过离线方式获得并安装补丁确保系统安全性得以提升，这也仅仅是万里长征的第一步——因为，失败无所不在。

2.3 失败无所不在

虽然我们不愿意承认现实的残酷与严峻，但我们必须意识到：失败确实无所不在。

间谍软件

普通用户的计算机经常充斥着名目繁多的间谍软件、流氓软件或者弹出式广告。根据NCSA一项研究表明91%以上的计算机系统内都存在间谍软件。根据Earthlink以及防间谍软件提供商WebRoot Software联合进行的一项针对互联网上超过100万台计算机进行的调查表明，每台计算机内平均运行有超过28个间谍程序。间谍软件更进一步导致系统性能下降、资源被耗尽，同时也弹出式广告以及浏览器劫持插件、身份信息窃贼程序(如社会保险号、银行卡号、财务数据等);不仅如此，间谍软件还监视并采集计算机系统的一举一动(如您的浏览历史、个人习惯、爱好、隐私数据等);更有甚者，重定向或路由诱导未成年儿童访问色情站点从而牟取商业利益。

　　图：迷失的浏览器com:office:office" />

美国Illinois大学的一位著名的安全研究人员Eric Howes调查发现：绝大多数反间谍软件都无法彻底清除受感染机器上的间谍软件，甚至其中一些反间谍软件对于由间谍程序所生成关键性的文件或者注册表根本不予理睬，这一比例甚至曾搞达25%。微软公司曾经发表声明，从系统中根除间谍软件是一项“不可能任务Mission Impossible”。

钓鱼攻击

国际防钓鱼攻击联盟从成立以来不遗余力的联合各个国家共同采取措施来抑制钓鱼攻击的成长并进一步降低钓鱼攻击所带来的巨大损失。调查表明：钓鱼者每周尝试发起的攻击次数平均每周超过40000000次。Gartner盖纳集团2004年6月的调查表明，在此前的12个月内，北美洲的银行业在电子交易过程中因为恶意欺诈行为损失了超过24亿美金。预计有近2亿人次在钓鱼攻击中从诸多知名在线服务提供商(如：eBay、PayPal、Visa、SouthTrustBank、AOL、Comcast、Verizon等)蒙受不同数额的损失。

　　图：恶意密码窃取URL再创新高(Antiphishing.org)

安全专家George Ou同时发现许多大型金融机构早期(如：Bank of America、American Express、KeyBank、US Bank等)在验证用户的身份之时都没有采用SSL协议对传输进行加密。这使得钓鱼攻击者可以更轻松的劫持并伪造欺骗性页面以诱导用户乖乖告诉他们银行帐户、密码。

木马、病毒和蠕虫

木马、病毒和蠕虫以及混合型的恶意代码正在以每月数千种以上的速度繁衍，我们几乎已无力应对。做为防病毒厂商，以巨大的投资建立遍布全球的病毒监测网络并努力搜寻并抓获新生的木马、病毒和蠕虫。在90年代，除了轰动一时的计算机CIH病毒得到人们莫大的关注之外，其余均被人们仅仅当作茶余饭后的谈资。然而今日木马、病毒与蠕虫作者被不再简单的局限于娱乐、体验或者是炫耀自己高超的编程技巧，而更多的以牟取高额经济回报与利益为目的。因此，我们惊讶的发现90年代的病毒最多干一些删除计算机文件的勾当，如今我们的金钱却深处于水深火热中。

美国FBI于2005年对于2066个企业、机构等进行的调查表明此类计算机木马、病毒以及蠕虫的恶意行为对受调查对象中的84%以上遭受到不同程度破坏，同时损失金额保守估计仅2005年全年就高达620亿美金。另一个数字来自微软，微软去年推出的“恶意软件移除工具”2005年的下载次数超过20亿次，这一数字再次表明恶意软件已经无所不在，深入我们的生活中。

恶意程序跟以往相比，危害更大，其攻击能力也不断增强。诸如Ransom.A.Trojan以及Zippo.A等新的加密型病毒不仅感染计算机并且对硬盘上的文件进行加密;然后这些恶意程序勒索用户要求其通过paypal等在线支付手段支付一笔小额费用(10美金左右)到指定帐号，否则就不会为用户提供打开密码。这形成了一场赤裸裸的“敲诈”。

新一代的后门变得愈发难以检测。微软研究实验室创建了一个基于虚拟机的后门原型——SubVirt。SubVirt实现了在操作系统下底层构建一个虚拟机监视器，其可以使得木马本体在宿主操作系统中不可能被发现，因为其运行状态根本不可能进入宿主操作系统的安全软件监控之中。

　　图：界面如此友好的木马

软件是尽最大可能利用现有防病毒软件基于签名、特征的检测机制弱点进行衍生与传播，这是无法根除恶意软件的原因之所在。从技术角度上而言，基于签名的检测机制首先要求能够有能力以最快的速度维护并扩充一个包含每一种新的恶意攻击行为的信息库。攻击以及其传播的速度远远超过补丁的发布与部署速度。2001年著名的“红色代码”蠕虫每分钟感染创记录的2000台电脑。加州伯克利分校的Nick Weaver曾经提出过一种可以超高速进行传播的蠕虫“Flash Worm”，其理论上可以实现15分钟之内感染互联网上几乎所有存在相应漏洞的计算机，甚至构造优良的Flahs Worm其传播速度可能以秒为数量级来计算。另一种绕过基于签名的检测机制的技术方法是类似Torjan.Mdropper.B以及Trojan.Riler.C这类针对一个特定公司或者行业的自定义的木马程序，其利用到了尚未公开的一些漏洞以及底层核心技术，而轻松绕过防病毒软件的检测与监控。这种方法也呈现出一定的增长趋势，必须要引起进一步的重视。

垃圾邮件

地球上连续12年最富有的人——Bill Gates微软首席软件架构师曾经预测2006年Spam——垃圾邮件会消失，然而他错了。Postni从2002年元月起开始的一项调查表明，垃圾邮件的活跃程度增长了65%，直至2006年4月份的报告显示互联网中70%以上的邮件：也就是说每14封邮件中有10封属于包含各种商业小广告、色情内容等的垃圾邮件。

　　图：垃圾邮件示例

这一点也不出人意料，垃圾邮件确实越发猖狂。2006年在德国汉堡举行的欧洲计算机反病毒研究会议上，John Aycock以及来自Calgary大学的Nathan曾经发表过一篇关于垃圾邮件如何绕过形形色色的过滤器(其中包含微软大力推行的防止垃圾邮件的发件人ID验证SPF框架)并且如何成功欺骗那些对处理可疑垃圾邮件有丰富经验的IT专业人员。这些新的技巧更多的表现在新一代的垃圾邮件“傀儡”实时监控受感染机器上的每一封邮件活动，然后记录地址并自动伪造邮件转发至相应关联其它邮件地址。因此，我们在今后收到的垃圾邮件很有可能来自我们的同学、家人、同事甚至各种朋友(只要你曾经和他们发生过邮件往来并被垃圾邮件记录到)，甚至我们惊奇的发现发件人缩写也是他们的姓名。因此我们丝毫不会怀疑邮件的真实性而去点击其中的链接或者打开相应的附件。

僵尸网络

美国司法部对网络犯罪进行调查时发现了一个很具有戏剧性的事实，六成以上的垃圾邮件来自他们根本预料不到的计算机网络：美国国防部数以百计的超级计算机。这些超级计算机大都被黑客入侵而成为“傀儡”，黑客远程控制这些超级计算机而利用其强大的计算能力发送垃圾邮件或者进行分布式拒绝服务攻击DDOS。以往数据表明，超过10万、20万节点的僵尸网络是十分罕见的。然而，最近的一项调查表明，虚拟的网络世界中甚至存在一个超过150万节点的僵尸网络。

　　图：“僵尸”军团

PandaLabs在2005年所进行的一项调查表明，其监测到有超过1万个形形色色的僵尸网络，相对2004年其增幅高达175%。僵尸网络的传播源——控制程序的种类也占了2005年全年检测到的恶意程序的20%以上，而且每种控制程序又衍生出上千种变体，远不是基于签名或特征的检测与防护机制所能够防范的。例如Gaobot系列病毒仅2005年一年就衍生出超过6000种变体。

Web应用漏洞

梅赛德斯-奔驰、富士、松下、美国军方、Microsoft、Google、Stanford大学、SANS安全研究学院、赛门铁客、麦当劳、NASA、CIA、新浪、网易、Tom、搜狐、新华网、CCTV……这些耳熟能详的知名公司、机构其Web服务都蒙受过不同程度的损失，甚至严重到种种入侵行为。

Zone-h.org致力于保存互联网上世界范围内针对企业、组织、机构以及公司的入侵所修改的网页快照记录并进行分析。统计表明其中19.4%来自于利用管理配置错误，而利用已知的一个系统漏洞(尚未安装补丁)入侵成功的占到了15.3%。与此同时，2005-2006年间，来自google、Yahoo、Microsoft以及eBay等著名互联网公司或者提供Web服务的软件公司都出现了不同程度的漏洞且都被成功的加以利用。

1. 2005年10月，Gmail在进行帐号验证以及会话管理的过程中出现一个致命的漏洞，这一漏洞导致攻击者可以无须获得它人帐号而进入其邮箱查看其电子邮件;

2. 2006年2月，微软公司的Hotmail邮件服务被曝存在一个中风险级别的允许进行跨站脚本攻击的漏洞;同期，eBay也出现类似漏洞

3. 2006年4月，Yahoo公司邮件服务中出现一个可以被利用进行钓鱼攻击的漏洞;同期微软MSN Space以及Myspace均出现可以被利用在站点中增加并执行恶意脚本的漏洞。

html1\01\clip_image001.png">而这一切才只是冰山下的一角，来自OWASP(一个开放的Web应用安全研究组织)所发布的“十大漏洞”每年都会有新的种类衍生，Web应用愈发让我们丧失信任。安全管理员始终不能确保所实施的安全解决方案能否保障Web应用按照预期正常安全运行;同时，Web开发人员也不清楚如何将安全措施贯彻到Web代码开发过程中去，这里就形成了一个难于被逾越的鸿沟。

Web应用的复杂性、扩展性以及趋于更为复杂的特性三位一体，使得原本就脆弱的Web应用安全性进一步受到损害。因此，Zone-h.org的数据库愈发庞大，我们都会为此而感到恐惧，因为我们并不清楚某一天自己的Web网站会被其列入到它的“黑”名单中去。

分布式拒绝服务攻击DDOS

分布式拒绝服务攻击其表现形式在于使用大量被入侵并控制的计算机对某一个特定的目标发起各种类型请求以尽可能消耗信息系统所有资源(如：带宽、磁盘空间、CPU时间)，从而导致合法用户无法获得正常服务。互联网上受控制并用于发动DDOS攻击的计算机数量从早期的数百台、数千台已经成长为数以万计、百万计的庞大的“僵尸网络”，无孔不入的计算机病毒、蠕虫、木马使得控制者隐藏在世界上任何一个角落远程控制并发起相应攻击。2004年10月。腾讯、新浪台湾、娱乐站点等数个站点被DDOS攻击并导致正常服务被迫中止。而早在2004年4月，俄罗斯黑手党也控制大量的“僵尸网络”并DDOS英国数家赌博公司的在线服务站点，并声称“一手交钱，一手开闸”。

于是，我们开始意识到，分布式拒绝服务攻击DDOS从单纯的娱乐或者是简单的个人恶意报复衍变成为集团化、有预谋的犯罪行为，“一切以经济利益为根本出发点”。

AT&T的前首席技术官CTO Ed Amoroso在一次安全会议上表明了对于DDOS的忧虑，“我们所经历的DDOS次数已经使得我们开始觉得麻木了。”试想一下，如AT&T般的电信巨头也面临着DDOS所带来的挥之不尽的麻烦，更何况大量中小型公司更会深受其害，造成巨大的损失。SANS安全研究总监Alan Paller在调查中发现“超过6000以上的各种类型组织都为类似DDOS这样的攻击勒索支付数额不等的赎金，而几乎每个在线赌博站点都曾经有过类似经历。”

Active-X

Active-X是微软所开发的用于浏览器进行一些与系统交互以实施简单控制并增强用户体验的技术。从其刚开始推向市场，几乎大家都对其颇有微词，并发现其天生存在诸多安全缺陷。尽管如此，Active-X借助微软对于浏览器的影响力以及简单易用等优势得以大范围应用，并成长成为事实上的标准。Richard.M.Smith进行的一项调查表明所有安装Windows系统的计算机中有超过半数以上内存在一个或多个具有严重缺陷甚至可以导致攻击者控制并获得系统权限的Active-X插件。微软自2002年以来所建立的安全公告板已经发布数百个关于Active-X的漏洞与相关补丁。知名的研究机构Yankee集团曾在进行一项对于Active-X的调查之后做出“Active-X休矣”的论断。从本质上来说，这正说明Active-X的安全缺陷的重要性不容被忽视。

密码策略

绝大多数信息系统以及服务的认证大都沿用传统的单因子认证手段。而另一方面，更强大功能(基于时间窗-内存快照等)的密码破解工具层出不穷，其可以在现有的PC硬件性能基础上，大大缩短破解密码的长度并提高对更为复杂密码的破解成功率。从个人角度上而言，大家都已经习惯于采用“生日、12345、9999”等之类的密码设置策略，即使采用类似“Aq42WBp”之类貌似复杂的密码也由于密码破解工具的能力逐渐强大而变得不再安全。Cain、JohnTheRipper等诸多开源密码破解工具变得愈发强大，甚至超过诸多商业密码恢复工具，更重要的是它们是免费且随时随处可以获得。OphCrack可以在数十秒之内成功恢复几乎99,9%的Windows SAM帐户密码。

新型的身份认证技术(如：双因子身份认证、生物识别技术、识别卡等)一定程度上抑制了钓鱼攻击、特权滥用等攻击威胁，但他们会是身份认证的救世主么?答案：不是。攻击者正在采用更为精妙的攻击手段与方法试图超越身份认证技术所构建的强大“马其诺防线”。

譬如中国最知名的网络游戏公司盛大网络所推出的双因子动态认证技术——盛大密宝，其采用动态电子令牌为用户提供必要的身份认证。然而这种基于时间(每60秒变化一次)的认证机制有着潜在的机制缺陷。其首先要与认证服务器本身进行时间同步服务，而每次同步并更新认证信息的时间窗可能长达一至数分钟。一个攻击者通过简单的“中间人”攻击手法截获一次认证会话，并将其人为修改成为一次失败认证会话状态返回给用户;但盛大认证服务器会将其标记为一次成功认证过程，那么中间攻击者只需要在下一次认证服务器发现其来源并不可靠并进行同步更换之前获得合法用户帐号、密码就可以实现其最直接的目的——窃取帐号、密码。事实上，来自兰州的一个攻击者正是这么去做的。其设计了木马并将其通过各种手段传播到数万台计算机上，并在此过程中插入所需要的信息返回状态，从而达到获利数百万的经济目的。除此之外，攻击者还可以在用户成功进行认证并登陆入在线银行、服务等之后，窃取相关信息(即使采用SSL加密)并进行破解恢复。

补丁管理

软件供应商的产品出现了大量的漏洞因此也导致其发布了数以千计的补丁来修复Bug或严重缺陷。通常情况下，安装补丁以前，我们的信息系统始终处于危险之中。即使是号称“安全第一，牢不可破”的Oracle在近两年以来也花费了大量的精力与开销发布补丁以修复产品缺陷。更具有讽刺意味的是，当Oracle声称其产品“牢不可破”之后，擅长于漏洞挖掘的安全专家David以及Mark Litchfield就发现了24个Oracle产品家族中的漏洞或者缺陷。而微软公司对其Windows 2000服务器以及Windows 2003服务器在在发布之后同样时间段内所出现的严重漏洞数目进行了对比性统计，结果表明：在635天内，前者出现的严重漏洞数目高达64个，而后者却有所改善，下降到27个;微软Office产品在调查过程中也出现类似结论。

　　图：Windows&Office补丁管理与漏洞改善方面的显著成效

这一调查结果表明一方面微软通过数年的努力而建成的补丁管理机制初见成效，另一方面其在2002年开始制定并加以贯彻的“安全开发生命周期模型Security Development Lifecycle”起到了最根本的因素。令人遗憾的是，并不是所有的公司都会像微软、Oracle等花费巨大的投入从流程、方法、人员等不同角度去改善并提高产品质量。

总而言之，补丁问题将愈发成为信息系统业务连续性的最严重的隐患所在，其从根本上是无法解决的。毕竟，一个“天下无贼”的信息系统“乌托邦”是不可能存在的。

Zero-Day攻击

2005年12月27日，Windows Metafile(.WMF)文件中的一个严重缺陷被曝光，其导致几乎所有的Windows 2003 Web服务器以及Windows XP操作系统用户无论是通过浏览器、抑或是电子邮件、即时通讯工具浏览一个特定的图片之后即可导致系统被入侵。因为其利用到了Windows Graphics Rendering Engine(WGRE)一个图像渲染引擎方面的漏洞，所以几乎所有的Windows应用程序都不可避免(如：Internet Explorer、Outlook电子邮件、Windows图片和传真查看器等凡是可以可用于处理WMF文件的软件)的成为传播渠道。刚开始的几个小时小时之内，数以百计的站点利用此漏洞分发各种恶意代码;四天之后，第一个利用即时通讯IM工具传播该漏洞的蠕虫病毒被发现。接下来呢?我们都想知道接下来发生了什么?

六天以后，欧洲著名的安全厂商Panda检测到一个“WMF生成器”工具，非常简单易用使得任何一个稍微具有计算机知识的人通过鼠标的点击即可生成包含自定义恶意代码的WMF图片。

毫无疑问，WMF缺陷成为信息安全产业的“梦魇”，也成为网络犯罪的“阿拉丁神灯”。WMF漏洞使得攻击者以最为轻松的方式(浏览一张网页、邮件图片)获得大多数计算机系统(几乎所有的Windows系统)的管理权限。而到第九天，针对此WMF的补丁才姗姗来迟。比较有趣的是，早在此一漏洞所带来的攻击大规模传播一个月以前这一漏洞就被放到eBay上进行拍卖，一口价4000美金;而在拍卖消息得出之后两周，防病毒厂商才注意到该漏洞但仍未得到足够重视;直至其大规模传播爆发之后，微软才开始着手调查并发布相应补丁。

这是第一个WMF漏洞;那么谁能保证我们没有下一个“WMF漏洞”呢?

无线AP缺陷

　　世界范围内部署了数以亿万计的WAP。FBI的一项实验调查表明，在ISSA(一个国际性的信息安全组织)2005年Los Angeles会议之时，会议现场中70%以上的WAP没有任何保护措施，其允许任何用户都随意访问。而剩下的27%采用了传统的802.11 中所制定的具有严重缺陷的WAP加密协议，只有3%采取了改良的、具有增强安全特性的WPA标准来进行加密防护。

　　攻击者可以利用类似SiVus之类的无线AP漏洞扫描工具轻松构造特定的数据包并在数分钟之内破解128位的WEP密钥。之所以WPA标准还没有被正式加以普及，其根源在于设备制造商仍然大量并销售仅支持基于WAP加密协议的无线AP设备。因此我们在无线的网络世界中仍旧危机四伏。

　　来自内部的攻击

　　美国商务部统计表明，2002-2005年间，平均每年由于公司、组织或者机构内部人员、管理等方面的威胁以及缺陷所造成的直接或间接损失高达4000亿美金，而这一数字仍然呈进一步上升趋势，而其中3480亿损失则与那些具有特权的管理者密切相关。2005年Global Security Survey的调查表明，在全球Top 100的金融机构中，来自内部的威胁与攻击所造成的危害远远超过外部威胁(黑客、木马、蠕虫病毒等)所造成的危害。

　　因此，对于内部IT信息资产、用户、权限、流程等方面的管理就成为重中之重，BS7799/ISO27001等信息安全管理标准就逐渐成为管理者眼中的“救世主”。我们首先承认标准是科学的、是被实践证明行之有效的，然而在建设信息安全管理体系的过程中，诸多环节由于直接或者间接的人为因素而导致标准在每个执行的环节都大打折扣，而这些就导致标准无法真正落到实处。一方面，我们希望借助标准建立完善的PDCA(Plan、Do、Check、Action)流程，另一方面Plan方针的不确定性(取决于管理者的管理思想、管理文化、甚至性格等诸多因素)、Do行为的不可靠性(取决于各个部门的配合程度、责权利的分工明确与否等)、Check复查的有效性(取决于审计者的独立性、客观性、公证性以及检查方法的科学性与否)、Act执行(取决于人、财、物等是否有足够的预算、配置管理、影响业务连续性的致命因素等)，以上四者导致PDCA流程在很多企业内部管理中无法真正得以实现。

　　图：PDCA实施起来是相当艰难的

　　安全产品自身缺陷

　　琳琅满目的安全产品(软件、硬件)大行其道，从传统的“三大件”(防火墙、防病毒、入侵检测系统)随着技术以及需求的进一步发展而衍生出来数十种安全产品，其中除上述产品之外，还包括内容过滤产品(如：邮件过滤、员工上网行为管理等)、加密类产品(如：双因子动态身份认证、CA、PKI、生物识别、VPN等)、访问控制类产品(如：入侵防护系统IPS、统一威胁网关UTM、内网终端控制、物理隔离系统等)、安全管理类产品(如：内网资产管理、安全运维管理、内网行为管理等)、风险评估类产品(如：漏洞扫描器、渗透测试产品、自动化加固产品等)等数十类共上百种产品类别。

　　从本质上而言，所有的软件产品与硬件产品都会存在或多或少、或影响严重或轻微的bug，而对于安全产品来说，其大多处于网络的边界、终端的第一道门户以及系统的最底层防线，因此一旦缺陷被攻击者利用到(譬如对于个人计算机使用的防火墙，其本质在于重构TCP/IP协议栈以达到控制的目的，如果攻击者采用通信隐藏于http隧道技术进行协议交互与通讯，就可以轻松绕过防火墙监督;另外个人防火墙对应用程序的控制机制大多以程序进程名以及端口进行鉴别，倘若修改某一特定批处理文件以合法名称加以执行，同样也会为攻击者造成可乘之机)就会造成非常严重的影响。Norton AntiVirus 8.0版本有多个溢出漏洞可使攻击者轻松绕过其防护机制，而针对运行于虚拟机状态下的新型病毒VM.Virus更是以现有的基于签名、特征进行检测的防病毒技术所无法解决的问题。

　　手机病毒

　　手机正在成为人们最为重要的通讯与交流工具之一，而遍布世界每一个角落的移动网络更是为病毒、木马以及蠕虫病毒的传播创造了最佳的途径。由于手机操作系统的相对封闭性，手机病毒一向处于原型与研究阶段。然而当智能手机(以Symbian、Windows Mobile、Palm以及Linux为首)成为一种潮流与时尚之时，我们惊奇的发现自己的手机会用蓝牙搜索范围内所有手机并对其进行拒绝服务攻击，同时在收到一条特殊的“短信息”之后我们的手机的电池已在几秒之内耗尽所有电量，甚至手机病毒还使得我们的智能手机成为未来“手机僵尸网络”的一分子，从而成为移动网络潜在的威胁来源。

　　从技术角度上来讲，我们目前还没有完整的针对手机病毒的免疫机制。针对Symbian以及Windows Mobile的手机病毒已经多到数以百计(尽管其中大多数仅仅属于恶作剧性质)，但对于病毒“玩客”们来说，制作出攻击更为复杂的病毒仅仅是一个时间问题。因此，在一个“手机僵尸网络”中，控制者可以发出指令使得受控制手机在同一时间段同时隐蔽拨叫某一电话号码从而形成手机DDOS攻击，并进而谋求一定的经济利益，这正是某些不法之徒所希望干到的事情。我想，他们十分期待并关注着此类手机病毒的发展状况。

　　音乐CD猎手

　　音乐CD一向是音乐爱好者的必备品，他们会收藏大量的CD并跟随潮流的发展延续着对不同流行歌星的迷恋。我不属于流行一族，但对于经典的歌曲CD却仍是爱不释手。2005年10月31日，美国著名的安全软件公司Sysinternal的安全专家Mark Russinovich在进行一次安全测试时意外的发现SONY出品的一款具有DRM数字版权管理功能的音乐CD竟然隐藏有木马程序。一旦你将CD放入计算机，木马将自动在后台运行并复制自身到系统内部。木马程序创建了一个极为罕见的隐藏进程，其在你毫不知情的时候将你的隐私信息发送回SONY。“天哪!SONY，你偷走了我的名字!”我会这样想，也许我们中的很多人都会这样想。病毒作者们对于SONY创建这一隐藏进程的技术很感兴趣，因为这可以让他们将病毒藏在丝毫不起眼的地方。

　　SONY在媒体曝光其安全恶劣行径之后，并未正式道歉并给出补救解决方案。这更令人感到气愤，数日之后，SONY终于发布了“卸载”程序。然而，这一卸载程序并没有起到卸载的作用，其仅仅将其进程隐藏通讯的特性关闭，反而多了另外一个漏洞：运行该“卸载”程序的电脑将允许控制者浏览你所访问过的任何网页，并且在你的电脑上运行任何代码。大约超过50万台电脑(包括军方、政府、商业、广告等诸多行业)其在运行这一“卸载”程序之后被感染，甚至美国国防部的电脑上也检测到了这一木马程序。

　　密码的梦魇

　　《风语者》中的尼古拉斯.凯奇依旧帅得一塌糊涂，他的任务只有两个：第一，尽一切可能保护密码战士Password Warrior;第二：上述任务无法完成时就消灭密码战士。我们的密码技术自古时“结绳记事”到现在先进的密码技术可以说取得了很大的成就。然而破解密码的的技术与理论也丝毫没有停止过他们的脚步，因为人类是贪婪的、更是好奇的。

　　1999年，一些密码研究人员开发了一个小工具“DES 破解者”，其能够在56个小时以内进行2的56次方运算过程，其不仅可以在同等硬件配置下比其它同类型工具有超越若干个数量级的运算速度，这一点在破解方面是十分重要的。2004年，来自以色列技术学院的密码专家Eli Biham以及Rafi Chen声称其使用“碰撞破解”机制成功的破解了MD5以及SHA，甚至建设了一个网页入口可以从网页提交受限的密文而进一步获得明文数据。2005年1月，来自中国山东大学数学系杰出的数学家王小云、于洪波等设计了针对SHA以及MD5的“碰撞破解”优化算法其可以大大降低暴力破解的难度与工作量并尽可能快的还原密文。

　　这一切对我们来说，意味着什么?PGP是安全的么?

　　数学家、密码学家用自己的专有语言描述着密码的不安全性，他们很少会关注普通用户对于密码的担心与观察角度。显而易见的是，他们的算法将进一步影响到加密与破解两大阵营的平衡之道。

　　换而言之，我们没有看到房间中的火苗，甚至也没有看到烟雾，但是我们耳边却警种长鸣，我们必须离开，但是请排好队，千万不要跑!因为这样会造成更大的恐慌与损失。

　　即便撤退也该是如此的……

3 来吧!水温刚刚好!

　　毫无疑问，危机四伏的信息世界正在摧残着我们脆弱的脑神经，尤其是执着于信息安全的从业者们。我们所处的信息系统已经过了温度上升的阶段——锅已经开始沸腾了!

　　然而，事实真如我们所设想的那样么?我们寻找安全“温度计”时，却发现了以下的事实：

　　表：貌似公正的“安全温度计”

　　世界安全一片“绿”，网络山河未曾“红”。原来我们的网络运行如此健康!我们每天应该可以“开门揖盗”了。当数以万计的“Zero-Days攻击”、10万以上节点的僵尸网络、日行三恶的病毒攻击、垃圾邮件的充斥、有组织且有预谋的大规模犯罪、身份大盗等等对我们普通人来说，已经耳熟能详时，研究机构、安全厂商告诉我们：唔，我可以很负责任的告诉大家，一切是正常的。

　　呜呼!我很负责任的告诉安全厂商，消费者很生气，后果很严重。

　　4为什么失败

　　4.1 充满着敌意的生存环境

　　首先虚拟网络世界是一个战场，尽管它不如《地球杀场》那么血腥，但暴力、欺诈、破坏、偷窃等仍无所不在。入侵者只需要找到一个可以利用的漏洞就可以闯入系统，而安全专家需要寻找出尽可能多的漏洞并在最短的时间内寻找并进行修正。其次，网络与生惧来的自由、隐私、匿名、开放等特性使得网络上充斥着大量的恶意行径而几乎很难被绳之以法。攻击者大可以逃之夭夭，逍遥法外。

　　4.2 暗处的攻击者们更懂得致胜之道

　　很显然，安全与破坏安全的入侵者们一直进行着卫“道”士与石地“魔”的较量。他们之间此消彼长，在进行一场没有终点的拉力赛。攻击者们善于挖掘并利用任何一个潜在的可能脆弱性并真正威胁到信息世界的完整性、可用性与保密性，而进一步超越合法用户获得控制权。微软曾经推出Windows Genuine Advantage正版增值计划对其补丁下载并安装增加了验证机制，然而不到24小时，该机制即被破解。SONY耗资数百万美金开发了名为key2audio的数字版权管理技术以保护其音乐CD不接受未经授权的复制或者音轨抓取行为。而在此类CD摆上WalMart超市柜台不超过12小时，网络上就提供了相应破解服务，成本仅需要不到1美金。更为常用的一些防护措施更是形同虚设，譬如Yahoo、PayPal以及Hotmail等服务在登陆帐户时都不同程度的要求输入页面上的随机生产的图形验证码以确保其登陆会话的唯一性。然而，来自SAM.zoy.org的一个项目PWNTCHA的成果使得攻击者可以使用该工具几乎可以百分之百正确识别出大量的图形验证码。

　　图：百分百“识别”

　　4.3 人是罪恶的根源

　　主啊!请以你的宝血洗涤我所犯下的种种罪恶吧!……然而人们对于触手可及的诱惑总是缺乏足够的抵制力。做为掌握一定计算机知识的爱好者们，尤其是那些远超常人的计算机天才更是有可能成为攻击者与破坏者阵营中的主力成员。随着技术的演化，入侵抑或是破坏已经不需要掌握高深的计算机技巧，最新计算机漏洞公告榜、病毒生成器、自动化、分布式、智能的攻击工具已经使得入侵者破坏者无所不在。

　　俄罗斯黑客站点上以不到100人民币的价格打包出售“Web攻击工具套装”，从针对浏览器Web页面的漏洞检测、入侵以及植入后门并清除日志痕迹等你只需要简单到指定目标URL并点击Start按钮即可实现你的骇客梦想。一切安全措施似乎都形同虚设。

　　统计表明，2006年全球PC数量在6.6-6.7亿台之间，而预计到2010年，会达到甚至超过10亿台。随着互联网的进一步扩张，网络“破坏者“的数量与攻击的类型将日趋增加。

　　4.4 安全永不可达

　　Gartner集团安全分析师John Pescatore在对AT&T以及MCI进行的一项调查中发现，诸如此类的电信运营商部署了大量的Anti-DDOS设备以确保其业务的连续性不受影响，其开支高达每月平均12000美金。现实情况是，绝大多数企业并没有足够的时间、精力以及预算支出用于确保并改善安全现状，他们只能听之任之，使安全处于一种放任自流的失控状态之中。消费者更是对此大多一无所知，他们更不懂得如何规避互联网中的各种安全风险，也许，他们只会问一个问题：

　　我，上网安全么?

　　一个令所有安全厂商、安全专家、安全工程师难于回答的一个问题，然后我们或许该问自己一个问题：

　　我，尽力了么?

　　4.5 安全的敌人

　　信息系统的复杂性、扩展性以及互连接特性等进一步使得我们虚拟世界中的信息系统变得不再成为一个个的“信息孤岛”，其提升了我们对于信息系统的管理效能但同时也为安全提出了更为严峻的挑战。

　　图：信息系统复杂“云”图

　　举例来说，我们的网络打印机大都支持数种协议与连接方式(如：SNMP、Telnet、SMTP、SNMP、蓝牙、1394、USB、COM等)，也许我们所面临到的最大威胁就是网络打印机因为一个远程溢出漏洞而成为威胁源，进而成为危及全网的根源。

5 我们该如何改善

　　这是一个难于回答的问题，无论从技术角度、从管理角度我们都找不出彻底改善并逃脱困境的“银弹”。因此，我们只有再次低头的问自己：

　　你，尽力了么?

　　或许还应该加上一个问题：

　　你，做对了么?

6 结语

　　此为信息安全产业三部曲之敦科尔克大撤退，第二部正在筹划中，欢迎邮件批评指教。