作為安全研究人員,他們將如何處置所揭露的安全弱點?
在美國的一些大型企業(yè)和安全公司,一直有一種合法,一些專業(yè)的"黑客"在進(jìn)行用作正當(dāng)用途的Ethical Hacking,用來幫助系統(tǒng)找出漏洞,發(fā)現(xiàn)漏洞及時通知公司,采取防范手段避免或者減少損失。類似Sun公司為了完善Java程序,改進(jìn)安全性而采取的 SandBox計劃,這是一個尋找漏洞,加強安全性的成功案例。
對軟件廠商而言,大部分的軟件在設(shè)計時,理論上和數(shù)字上證明是安全的,但編寫代碼的過程是由人為來完成的,所以難免會產(chǎn)生安全漏洞。
大部分病毒都是利用了操作系統(tǒng)的缺陷,對個人用戶而言,在防病毒技術(shù)上,我們要求更加堅固的操作系統(tǒng)和不停的升級系統(tǒng),但僅僅是這樣嗎?
這樣做絕對沒有錯,但是并不完全,病毒進(jìn)入你的電腦并不是只有一條路徑,假如有人假冒你的朋友給你發(fā)來一封郵件,你點擊打開了附件,病毒也會通過這樣的途徑進(jìn)入到你的系統(tǒng),所以你一定要明白,什么是你應(yīng)該做的,什么是你不應(yīng)該做的。
病毒經(jīng)常會附在郵件的附件里進(jìn)入用戶的電腦,作為一個安全企業(yè)的代表,您怎樣看待《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》這樣一部法律對于垃圾郵件和惡意程序的控制的良性影響。
對于國內(nèi)的法律我不是很了解,立法對于垃圾郵件的防范有幫助,但是網(wǎng)路無國界,這種約束很有限。對于國外的垃圾郵件發(fā)送者,并沒有約束力。所以我認(rèn)為行政立法,無法完全防范垃圾郵件。
假如一個黑客控制了一臺肉雞電腦或者僵尸網(wǎng)絡(luò),以此為跳板來發(fā)送垃圾郵件,這其中的一臺電腦只是一個八歲的小孩子的,郵件是他所擁有的電腦發(fā)的,但你可以把他怎樣處理?無法找到真正的郵件發(fā)送者應(yīng)該怎樣處理,這些都會是問題。
您認(rèn)為國內(nèi)用戶和國外用戶在遇到的網(wǎng)絡(luò)安全問題上面,有什么不同嗎?
國內(nèi)的用戶安全觀念相對就比較淡薄?,F(xiàn)在的網(wǎng)絡(luò)釣魚(Phishing)問題在美國很嚴(yán)重,安全廠商和銀行金融機構(gòu)都把這個當(dāng)成一件非常重要的事來看。在美國的一些企業(yè),以及在趨勢科技內(nèi)部,我們都會進(jìn)行一些計算機安全教育,或做一些安全測試,來做一個公司內(nèi)部安全的審查審核(Audit),檢驗安全教育的成效。比如我們給公司所有人發(fā)一封郵件,看誰不經(jīng)安全處理就直接打開附件,這樣公司內(nèi)部的安全部門會對他進(jìn)行一些教育,如果下次這樣的測試他再犯的話,就要進(jìn)行相應(yīng)的懲罰。
一個優(yōu)秀的殺毒產(chǎn)品應(yīng)該具備什么樣的特點?
一些基本的功能要具備,當(dāng)然可用,易用,不需要用戶犧牲其他的一些東西來換取系統(tǒng)安全也是很重要的。舉個例子來說,當(dāng)年防火墻產(chǎn)品剛推出的時候,用戶感覺網(wǎng)絡(luò)非常緩慢,甚至到了無法忍受的地步。所以產(chǎn)品一定要容易被使用,在不影響效能的前提下,一定要讓使用者的痛苦減少到最小。
2005年的一場關(guān)于殺毒廠商是過期藥的評論掀起了一場關(guān)于殺毒的激烈討論,您對這個"殺毒軟件是過期藥"的說法怎么看?殺毒軟件廠商之間的病毒信息是彼此隔絕的嗎?
一個病毒作者在寫一個病毒或者惡意軟件時,一定是會有意識的避免被現(xiàn)有的殺毒軟件抓到的,所以,這個是無法避免的。在殺毒的廠商之間這種對于病毒信息的交換,交流是存在的。病毒特征碼是和它的殺毒引擎配套的,不可能拿過來就可以用的。
對于企業(yè)和用戶,您給他們的不同的安全建議是什么?
安全防范的手段取決于我們要保護(hù)的價值。
現(xiàn)在我們說的攻擊大致分兩種,一種是有針對性的攻擊,另一種就是廣泛的攻擊,類似于用軟件掃描"僵尸網(wǎng)絡(luò)",企業(yè)的防范重點是第一種,企業(yè)面對的是有針對性的攻擊,比如銀行系統(tǒng),往往面對的是有技術(shù),有財力,有組織的犯罪,并非無意識的進(jìn)攻。而需要保護(hù)的,往往是高昂的價值。就個人用戶而言,黑客攻擊的成本如果大于所取的價值的話,他是不會做的。一個小偷,在犯罪的時候,假如看到有幾戶人家,有的安裝了警鈴,他看到這些,他還會不會下手,一定會考慮。所以說,企業(yè)的安全方案是一層一層的層層防御的架構(gòu)。而個人用戶,你要考慮:1、你要保護(hù)的價值多少?2、根據(jù)需求,找到什么是合適你的方案。
陳圣雄(Samuel Chen)
臺灣國立交通大學(xué)計算機工程系學(xué)士、南加大計算機科學(xué)系碩士,曾任美國國民半導(dǎo)體資深軟件工程師、SUN科技資深軟件工程師,現(xiàn)任安維華技術(shù)開發(fā)副總工程師。IEEE、卡內(nèi)基美隆軟件工程協(xié)會成員。
陳圣雄先生在軟件開發(fā)領(lǐng)域有著長達(dá)15年之久的豐富經(jīng)驗,在Anchiva項目中負(fù)責(zé)帶領(lǐng)軟件工程和網(wǎng)絡(luò)安全團(tuán)隊。在進(jìn)入Anchiva項目之前的八年多的時間里,陳先生一直是趨勢科技的高層管理人員,負(fù)責(zé)管理趨勢科技的全球網(wǎng)絡(luò)病毒和互聯(lián)網(wǎng)內(nèi)容安全軟件服務(wù)領(lǐng)域。在這期間,他是負(fù)責(zé)趨勢科技全球軟件開發(fā)工程師和項目管理小組的全球副總裁。
陳圣雄先生進(jìn)入趨勢科技做的第一件事就是協(xié)助設(shè)計和實現(xiàn)了第一版的InterScan NT,這一產(chǎn)品隨之成為趨勢科技的旗艦產(chǎn)品之一,并且在業(yè)界取得了一致好評。在進(jìn)入趨勢科技之前,陳圣雄先生曾任SUN公司JAVA開發(fā)和美國國民半導(dǎo)體公司資深軟件工程師。