作為安全研究人員,他們將如何處置所揭露的安全弱點����?
在美國的一些大型企業(yè)和安全公司,一直有一種合法����,一些專業(yè)的"黑客"在進(jìn)行用作正當(dāng)用途的Ethical Hacking,用來幫助系統(tǒng)找出漏洞�,發(fā)現(xiàn)漏洞及時通知公司,采取防范手段避免或者減少損失�����。類似Sun公司為了完善Java程序����,改進(jìn)安全性而采取的 SandBox計劃,這是一個尋找漏洞�,加強安全性的成功案例。
對軟件廠商而言���,大部分的軟件在設(shè)計時���,理論上和數(shù)字上證明是安全的�����,但編寫代碼的過程是由人為來完成的���,所以難免會產(chǎn)生安全漏洞。
大部分病毒都是利用了操作系統(tǒng)的缺陷����,對個人用戶而言,在防病毒技術(shù)上���,我們要求更加堅固的操作系統(tǒng)和不停的升級系統(tǒng)��,但僅僅是這樣嗎?
這樣做絕對沒有錯�����,但是并不完全����,病毒進(jìn)入你的電腦并不是只有一條路徑,假如有人假冒你的朋友給你發(fā)來一封郵件����,你點擊打開了附件���,病毒也會通過這樣的途徑進(jìn)入到你的系統(tǒng),所以你一定要明白�����,什么是你應(yīng)該做的���,什么是你不應(yīng)該做的���。
病毒經(jīng)常會附在郵件的附件里進(jìn)入用戶的電腦,作為一個安全企業(yè)的代表���,您怎樣看待《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》這樣一部法律對于垃圾郵件和惡意程序的控制的良性影響���。
對于國內(nèi)的法律我不是很了解,立法對于垃圾郵件的防范有幫助�����,但是網(wǎng)路無國界�,這種約束很有限�。對于國外的垃圾郵件發(fā)送者�,并沒有約束力。所以我認(rèn)為行政立法�����,無法完全防范垃圾郵件��。
假如一個黑客控制了一臺肉雞電腦或者僵尸網(wǎng)絡(luò)����,以此為跳板來發(fā)送垃圾郵件,這其中的一臺電腦只是一個八歲的小孩子的��,郵件是他所擁有的電腦發(fā)的�����,但你可以把他怎樣處理���?無法找到真正的郵件發(fā)送者應(yīng)該怎樣處理,這些都會是問題����。
您認(rèn)為國內(nèi)用戶和國外用戶在遇到的網(wǎng)絡(luò)安全問題上面����,有什么不同嗎��?
國內(nèi)的用戶安全觀念相對就比較淡薄?��,F(xiàn)在的網(wǎng)絡(luò)釣魚(Phishing)問題在美國很嚴(yán)重�����,安全廠商和銀行金融機構(gòu)都把這個當(dāng)成一件非常重要的事來看�����。在美國的一些企業(yè)�����,以及在趨勢科技內(nèi)部��,我們都會進(jìn)行一些計算機安全教育��,或做一些安全測試����,來做一個公司內(nèi)部安全的審查審核(Audit),檢驗安全教育的成效��。比如我們給公司所有人發(fā)一封郵件����,看誰不經(jīng)安全處理就直接打開附件,這樣公司內(nèi)部的安全部門會對他進(jìn)行一些教育�����,如果下次這樣的測試他再犯的話�,就要進(jìn)行相應(yīng)的懲罰。
一個優(yōu)秀的殺毒產(chǎn)品應(yīng)該具備什么樣的特點�����?
一些基本的功能要具備����,當(dāng)然可用,易用����,不需要用戶犧牲其他的一些東西來換取系統(tǒng)安全也是很重要的��。舉個例子來說,當(dāng)年防火墻產(chǎn)品剛推出的時候��,用戶感覺網(wǎng)絡(luò)非常緩慢��,甚至到了無法忍受的地步�����。所以產(chǎn)品一定要容易被使用�����,在不影響效能的前提下����,一定要讓使用者的痛苦減少到最小。
2005年的一場關(guān)于殺毒廠商是過期藥的評論掀起了一場關(guān)于殺毒的激烈討論��,您對這個"殺毒軟件是過期藥"的說法怎么看�����?殺毒軟件廠商之間的病毒信息是彼此隔絕的嗎��?
一個病毒作者在寫一個病毒或者惡意軟件時,一定是會有意識的避免被現(xiàn)有的殺毒軟件抓到的����,所以,這個是無法避免的�。在殺毒的廠商之間這種對于病毒信息的交換,交流是存在的���。病毒特征碼是和它的殺毒引擎配套的����,不可能拿過來就可以用的����。
對于企業(yè)和用戶,您給他們的不同的安全建議是什么?
安全防范的手段取決于我們要保護(hù)的價值��。
現(xiàn)在我們說的攻擊大致分兩種�,一種是有針對性的攻擊,另一種就是廣泛的攻擊��,類似于用軟件掃描"僵尸網(wǎng)絡(luò)"��,企業(yè)的防范重點是第一種��,企業(yè)面對的是有針對性的攻擊,比如銀行系統(tǒng)���,往往面對的是有技術(shù),有財力����,有組織的犯罪,并非無意識的進(jìn)攻���。而需要保護(hù)的��,往往是高昂的價值�。就個人用戶而言���,黑客攻擊的成本如果大于所取的價值的話�,他是不會做的��。一個小偷����,在犯罪的時候,假如看到有幾戶人家����,有的安裝了警鈴�,他看到這些�����,他還會不會下手��,一定會考慮����。所以說,企業(yè)的安全方案是一層一層的層層防御的架構(gòu)����。而個人用戶,你要考慮:1�����、你要保護(hù)的價值多少���?2�、根據(jù)需求��,找到什么是合適你的方案。
陳圣雄(Samuel Chen)
臺灣國立交通大學(xué)計算機工程系學(xué)士�、南加大計算機科學(xué)系碩士,曾任美國國民半導(dǎo)體資深軟件工程師��、SUN科技資深軟件工程師�,現(xiàn)任安維華技術(shù)開發(fā)副總工程師。IEEE���、卡內(nèi)基美隆軟件工程協(xié)會成員。
陳圣雄先生在軟件開發(fā)領(lǐng)域有著長達(dá)15年之久的豐富經(jīng)驗�,在Anchiva項目中負(fù)責(zé)帶領(lǐng)軟件工程和網(wǎng)絡(luò)安全團(tuán)隊。在進(jìn)入Anchiva項目之前的八年多的時間里��,陳先生一直是趨勢科技的高層管理人員����,負(fù)責(zé)管理趨勢科技的全球網(wǎng)絡(luò)病毒和互聯(lián)網(wǎng)內(nèi)容安全軟件服務(wù)領(lǐng)域。在這期間�,他是負(fù)責(zé)趨勢科技全球軟件開發(fā)工程師和項目管理小組的全球副總裁。
陳圣雄先生進(jìn)入趨勢科技做的第一件事就是協(xié)助設(shè)計和實現(xiàn)了第一版的InterScan NT�����,這一產(chǎn)品隨之成為趨勢科技的旗艦產(chǎn)品之一��,并且在業(yè)界取得了一致好評。在進(jìn)入趨勢科技之前�����,陳圣雄先生曾任SUN公司JAVA開發(fā)和美國國民半導(dǎo)體公司資深軟件工程師����。
