作為安全研究人員��,他們將如何處置所揭露的安全弱點(diǎn)�?
在美國的一些大型企業(yè)和安全公司,一直有一種合法����,一些專業(yè)的"黑客"在進(jìn)行用作正當(dāng)用途的Ethical Hacking,用來幫助系統(tǒng)找出漏洞�����,發(fā)現(xiàn)漏洞及時通知公司���,采取防范手段避免或者減少損失��。類似Sun公司為了完善Java程序���,改進(jìn)安全性而采取的 SandBox計劃,這是一個尋找漏洞��,加強(qiáng)安全性的成功案例���。
對軟件廠商而言�,大部分的軟件在設(shè)計時�����,理論上和數(shù)字上證明是安全的,但編寫代碼的過程是由人為來完成的���,所以難免會產(chǎn)生安全漏洞�。
大部分病毒都是利用了操作系統(tǒng)的缺陷��,對個人用戶而言�,在防病毒技術(shù)上,我們要求更加堅固的操作系統(tǒng)和不停的升級系統(tǒng)����,但僅僅是這樣嗎?
這樣做絕對沒有錯�����,但是并不完全�,病毒進(jìn)入你的電腦并不是只有一條路徑,假如有人假冒你的朋友給你發(fā)來一封郵件����,你點(diǎn)擊打開了附件����,病毒也會通過這樣的途徑進(jìn)入到你的系統(tǒng)����,所以你一定要明白���,什么是你應(yīng)該做的��,什么是你不應(yīng)該做的�。
病毒經(jīng)常會附在郵件的附件里進(jìn)入用戶的電腦����,作為一個安全企業(yè)的代表,您怎樣看待《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》這樣一部法律對于垃圾郵件和惡意程序的控制的良性影響���。
對于國內(nèi)的法律我不是很了解����,立法對于垃圾郵件的防范有幫助����,但是網(wǎng)路無國界,這種約束很有限���。對于國外的垃圾郵件發(fā)送者���,并沒有約束力��。所以我認(rèn)為行政立法���,無法完全防范垃圾郵件。
假如一個黑客控制了一臺肉雞電腦或者僵尸網(wǎng)絡(luò)��,以此為跳板來發(fā)送垃圾郵件����,這其中的一臺電腦只是一個八歲的小孩子的,郵件是他所擁有的電腦發(fā)的��,但你可以把他怎樣處理���?無法找到真正的郵件發(fā)送者應(yīng)該怎樣處理��,這些都會是問題��。
您認(rèn)為國內(nèi)用戶和國外用戶在遇到的網(wǎng)絡(luò)安全問題上面�,有什么不同嗎����?
國內(nèi)的用戶安全觀念相對就比較淡薄。現(xiàn)在的網(wǎng)絡(luò)釣魚(Phishing)問題在美國很嚴(yán)重�,安全廠商和銀行金融機(jī)構(gòu)都把這個當(dāng)成一件非常重要的事來看。在美國的一些企業(yè)���,以及在趨勢科技內(nèi)部�����,我們都會進(jìn)行一些計算機(jī)安全教育�,或做一些安全測試��,來做一個公司內(nèi)部安全的審查審核(Audit)����,檢驗安全教育的成效。比如我們給公司所有人發(fā)一封郵件����,看誰不經(jīng)安全處理就直接打開附件,這樣公司內(nèi)部的安全部門會對他進(jìn)行一些教育��,如果下次這樣的測試他再犯的話����,就要進(jìn)行相應(yīng)的懲罰�。
一個優(yōu)秀的殺毒產(chǎn)品應(yīng)該具備什么樣的特點(diǎn)��?
一些基本的功能要具備����,當(dāng)然可用,易用�����,不需要用戶犧牲其他的一些東西來換取系統(tǒng)安全也是很重要的�。舉個例子來說,當(dāng)年防火墻產(chǎn)品剛推出的時候�,用戶感覺網(wǎng)絡(luò)非常緩慢,甚至到了無法忍受的地步��。所以產(chǎn)品一定要容易被使用�����,在不影響效能的前提下�����,一定要讓使用者的痛苦減少到最小。
2005年的一場關(guān)于殺毒廠商是過期藥的評論掀起了一場關(guān)于殺毒的激烈討論�����,您對這個"殺毒軟件是過期藥"的說法怎么看�?殺毒軟件廠商之間的病毒信息是彼此隔絕的嗎�?
一個病毒作者在寫一個病毒或者惡意軟件時,一定是會有意識的避免被現(xiàn)有的殺毒軟件抓到的��,所以��,這個是無法避免的����。在殺毒的廠商之間這種對于病毒信息的交換,交流是存在的��。病毒特征碼是和它的殺毒引擎配套的���,不可能拿過來就可以用的����。
對于企業(yè)和用戶�,您給他們的不同的安全建議是什么?
安全防范的手段取決于我們要保護(hù)的價值。
現(xiàn)在我們說的攻擊大致分兩種,一種是有針對性的攻擊���,另一種就是廣泛的攻擊�,類似于用軟件掃描"僵尸網(wǎng)絡(luò)"��,企業(yè)的防范重點(diǎn)是第一種���,企業(yè)面對的是有針對性的攻擊����,比如銀行系統(tǒng)�����,往往面對的是有技術(shù)�,有財力,有組織的犯罪�,并非無意識的進(jìn)攻。而需要保護(hù)的��,往往是高昂的價值�。就個人用戶而言,黑客攻擊的成本如果大于所取的價值的話����,他是不會做的�。一個小偷�����,在犯罪的時候����,假如看到有幾戶人家����,有的安裝了警鈴,他看到這些��,他還會不會下手��,一定會考慮���。所以說����,企業(yè)的安全方案是一層一層的層層防御的架構(gòu)�����。而個人用戶,你要考慮:1�、你要保護(hù)的價值多少?2�����、根據(jù)需求��,找到什么是合適你的方案���。
陳圣雄(Samuel Chen)
臺灣國立交通大學(xué)計算機(jī)工程系學(xué)士���、南加大計算機(jī)科學(xué)系碩士,曾任美國國民半導(dǎo)體資深軟件工程師���、SUN科技資深軟件工程師�,現(xiàn)任安維華技術(shù)開發(fā)副總工程師�����。IEEE�����、卡內(nèi)基美隆軟件工程協(xié)會成員。
陳圣雄先生在軟件開發(fā)領(lǐng)域有著長達(dá)15年之久的豐富經(jīng)驗�,在Anchiva項目中負(fù)責(zé)帶領(lǐng)軟件工程和網(wǎng)絡(luò)安全團(tuán)隊。在進(jìn)入Anchiva項目之前的八年多的時間里����,陳先生一直是趨勢科技的高層管理人員,負(fù)責(zé)管理趨勢科技的全球網(wǎng)絡(luò)病毒和互聯(lián)網(wǎng)內(nèi)容安全軟件服務(wù)領(lǐng)域���。在這期間���,他是負(fù)責(zé)趨勢科技全球軟件開發(fā)工程師和項目管理小組的全球副總裁�����。
陳圣雄先生進(jìn)入趨勢科技做的第一件事就是協(xié)助設(shè)計和實現(xiàn)了第一版的InterScan NT���,這一產(chǎn)品隨之成為趨勢科技的旗艦產(chǎn)品之一����,并且在業(yè)界取得了一致好評�。在進(jìn)入趨勢科技之前���,陳圣雄先生曾任SUN公司JAVA開發(fā)和美國國民半導(dǎo)體公司資深軟件工程師。
