不痛不癢的信息安全

人們常將信息安全形容為一場“正義”與“邪惡”之間的較量，然而就目前的形勢來看，所謂的“正義”之師多是處于一種疲于奔命的狀態(tài)。要知道，那些病毒和間諜軟件早已通過各種方式進(jìn)入到各種IT產(chǎn)品，PC、筆記本電腦、服務(wù)器、手機(jī)、PDA等等，都在危險的籠罩下。而現(xiàn)在，“邪惡”不但無處不在，而且更加聰明。

2004年初，一種利用Google引擎自動搜索網(wǎng)站漏洞的蠕蟲使上萬個疏于防范的論壇陷于癱瘓，而由于每臺登陸論壇的PC都可能是攻擊的發(fā)起者，安全公司至今也無法找到更好的防御方法。專門針對電子票務(wù)網(wǎng)站的光學(xué)字符Captcha和驗證碼破解軟件的出現(xiàn)，使票販子們在網(wǎng)上大量訂票，讓那些真正想看演出的觀眾根本無法在網(wǎng)上訂票。雖然經(jīng)測試，破解Captcha等標(biāo)碼的成功率僅有10%，但對于那些別有用心的人來講已經(jīng)足夠了。還有風(fēng)頭正勁的“釣魚軟件”，這些通過mp3下載、共享軟件、垃圾郵件等方式悄悄植入PC的黑客程序會在用戶向IE地址欄輸入銀行或金融服務(wù)網(wǎng)址時自動跳轉(zhuǎn)到黑客們的假冒網(wǎng)站。更可惡的還有鍵盤記錄程序，它們會一天24小時監(jiān)視PC鍵盤的一舉一動，從賬號密碼到電子文件全不放過。最近，又有一種名為Click-clack的監(jiān)視軟件，它們利用即時通訊中的音頻和視頻功能記錄下用戶敲擊鍵盤的聲音和圖像，然后自動破譯，成功率高達(dá)90%。讓人頭痛的遠(yuǎn)不止這些，像Cabir手機(jī)病毒已經(jīng)讓上萬部手機(jī)無法正常使用，而更厲害的Cardtrp手機(jī)蠕蟲會藏在手機(jī)鈴聲或圖片中，然后自動打開系統(tǒng)后門，竊取重要信息，無論是藍(lán)牙、紅外、Wi-Fi還是電信網(wǎng)絡(luò)都無一幸免。

一直扮演著美國政府堅實技術(shù)后盾的卡內(nèi)基梅隆大學(xué)CERT研究中心，多年來高調(diào)地保持著網(wǎng)絡(luò)安全數(shù)據(jù)的權(quán)威發(fā)布者身份。每年CERT都會統(tǒng)計一下PC用戶遭受網(wǎng)絡(luò)攻擊的次數(shù)，但從2004年開始，CERT放棄了數(shù)據(jù)統(tǒng)計，原因很簡單，由于各種類似用途的軟件大量出現(xiàn)，網(wǎng)絡(luò)系統(tǒng)受到攻擊已經(jīng)非常普遍，且每次攻擊都會涉及到成千上萬的PC和網(wǎng)站，單純統(tǒng)計攻擊的次數(shù)已毫無意義。

CERT的放棄統(tǒng)計只不過是冰山一角。隨著垃圾郵件的猖獗，理想化的安全將更加可望而不可及。

IT果真如此的脆弱，我們真的束手無策了嗎？答案取決于誰來回答。安全技術(shù)專家們會有很多所謂有效的建議，防火墻、防毒工具、殺毒服務(wù)、按時備份、及時升級、打補(bǔ)丁等等。當(dāng)然，也可以更主動一些，比如微軟推薦的可將數(shù)據(jù)和軟件分開處理的“虛擬化”（virtualzation）技術(shù)，開源支持者們的Linux/Windows雙系統(tǒng)，或是干脆采用法國人的做法，買上兩臺電腦，一臺用來進(jìn)行上網(wǎng)、下載、娛樂等高危操作，一臺用來處理重要信息和金融業(yè)務(wù)?？磥頌榱诵畔踩?，使用成本將越來越高。不過也有好消息，據(jù)說正在賽前熱身的Vista解決了許多安全問題，關(guān)于垃圾郵件、間諜軟件、網(wǎng)絡(luò)插件等的立法也小有成果。樂觀地看，形勢正在好轉(zhuǎn)，只要有希望，這一點點痛還是能夠忍受的。