2004年成黑客活动分水岭

　　安全厂商互联网安全系统公司的首席科学家罗伯特.格雷厄姆相信，2004 年将是黑客活动的分水岭。

　　格雷厄姆表示，许多黑客正在渐渐成为职业黑客，这种发展给企业安全带来了令人担心的影响。他说，在今年以前，我们看到只有一些年轻人在开玩笑或“展示自己的才华”，但今年，我们发现职业黑客出现了。

　　多年来，黑客一直满足于攻破其它系统的激动和看到的别人的秘密感到满意。据格雷厄姆称，黑客攻击的二种模式，攻击的动机都发生了变化。更重要的是，格雷厄姆发现了一种危险的意图：通过黑客活动获得经济利益。在最近接受采访时，格雷厄姆与CNETAsia谈到了这种发展的安全挑战。

　　问：黑客现在能够获得报酬吗？

　　答：他们为获得报酬实施黑客活动的不多，但确实从黑客活动中获取了经济利益。例如“网络钓鱼”攻击为例，通常情况是，挣到钱的人就是发动攻击的人，没有人付给他们报酬。

　　问：你如何定义职业黑客？

　　答：在今年以前，黑客都是开玩笑或“展示自己的才华”的年轻人。他们可能从互联网上下载黑客工具，但实际上他们很“笨”。他们相对而言技术不够高，也许在数以万计的计算机上运行工具后，他们才能够找到一台可供攻击的系统。更重要的是，他们都不是真正的犯罪分子，这对于黑客而言只是一种游戏。目前的情况是，尽管司法机构对该问题一直非常重视，但黑客对此并不重视。

　　今年情况发生了变化，从美国联邦调查局(FBI )的活动中可以发现黑客活动的身影。在今年FBI 执行的一次逮捕活动中，被逮捕者就是一个控制了数千台电脑发送垃圾邮件的垃圾邮件发送者。

　　问：这种职业化的趋势是否反映在了exploit 模式中？

　　答：是的，我发现越来越多的黑客都自己编写代码。过去，他们都使用一些有名的攻击软件。无论何时出现新缺陷，黑客们会竞相编写利用这些缺陷的代码，然后把它们发布到互联网上以及BugTraq 、Full-Disclosure 等邮件列表。然后，用户就会下载这些攻击软件，并盲目地运行它们。

　　目前，更多的黑客编写他们自己的恶意代码。他们为什么能够这样做呢？如果看一下全世界从学校毕业的年青人，他们对黑客活动的兴趣与12岁时一样，随着年龄的增长，他们的兴趣已经发展为一种熟练的技能，使他们能够编写自己的攻击代码。

　　问：说到新的恶意代码，你如何看待今年出现的蠕虫变种不断增多的现象？

　　答：过去，反病毒厂商们相互比着看谁能够更迅速地开发出病毒特征代码。但在Netsky和Bagle 这二种病毒上，我们看到了相反的情况。现在，病毒作者竞相升级他们的病毒代码，躲避反病毒软件的查杀，这也是出现如此多Netsky病毒变种的原因。

　　问：但为什么黑客突然对编写病毒变种有兴趣了？

　　答：以前的黑客的目的是，创建一种病毒，然后看看它的效果如何。目前，病毒作者的心理发生了变化，我们在Netsky和Bagle 这二种病毒上就看到了这种情况。有二个团队在比赛着开发这二种病毒，他们互相敌视。二种病毒变种的不断出新反映了他们之间的争斗。

　　问：我们应当为此担心吗？病毒在突然间就复杂多了？

　　答：与过去几年相比，目前的病毒并非更复杂了。事实上，Netsky和Bagle 并不复杂。作为专业安全人士，我们知道如何创建一种复杂的病毒，但真正编写病毒的黑客并没有这么聪明，他们关注的是自己看到的防御措施，然后再试图超越一步。因此我们很少能够看到黑客技术会出现巨大进步，而是渐进式的发展。大多数病毒作者只是试图领先一步，只是一步，而不是五步或十步。

　　问：目前最实用的防御措施仍然是防火墙，这种成熟技术的发展方向是什么？

　　答：防火墙将主要被入侵预防系统所取代。过去，只要关上门就足够了。但目前我们意识到，有些门是必须打开的，当门没有关上时，我们必须预防某些事情。就象是银行，如果门是开着的，强盗在某天会闯进来。问题不是你需要更好的锁锁住前门，因为你不能一直锁着门，需要让客户进来，而防火墙就是一道永远锁着的门。

　　另一方面，IPS (入侵预防系统)能够发现从大门进来的攻击。IPS 和防火墙很快会合并成一种产品，但就防火墙本身已经过时了。它已经成为一种大众化技术。

　　问：还有改进的余地吗？

　　答：防火墙已经不会再有更新的技术了。事实上，大量更复杂的防火墙功能能够降低安全性，而不是提高安全性。

　　问：为什么会这样？

　　答：更复杂的防火墙规则会给用户带来麻烦。需要记住的是，防火墙是用来阻止恶意流量的工具，它的效率取决于使用过程中的技能。更为复杂的是，它的功能越多，要正确使用它所需要的技能就越多。

　　一直有许多组织没有能够正确地使用它们的防火墙。例如，我们发现，尽管已经设定了阻止的规则，Slammer 病毒偶尔还是能够溜进来。原因非常多，有时是防火墙打开了它们不应该打开的端口；有时是用户删除了防火墙上的所有规则，而使用了缺省的将所有端口打开的规则，然后再重新设置新的规则，这中间可能只有数秒的时间，但这足以使Slammer 等病毒溜进来。系统越简单，用户就不大可能犯这样的错误。

　　问：应用防火墙在未来的重要性如何？

　　答：不会太重要。应用防火墙面向Web 应用，它们与代理HTML或HTTP有关。我们需要记住的是，所有Web 应用程序都有缺陷，有些甚至包含有黑客能够利用的恶意缺陷。应用防火墙能够解决其中的一些问题，但不能解决所有问题。

　　我讲一件我自己亲身经历的事。不久前，我在网上订购了一台等离子电视机，对方给了我一个六位数的送货号码。我错误地在网络送货跟踪网站上输入了一个比我的的送货号码大的六位数，于是我看到了另人的订货信息。发生这种问题的原因是，它们设置用户送货号码的方式存在问题。任何应用防火墙都解决不了这个问题。

　　问：安全技术的下一条战线在哪里？

　　答：VoIP和GPRS将引发最严重的安全问题。

　　问：有多严重？

　　答：数年前，我们对微软公司的远程过程调用(RPC )技术进行了调查，并向媒体表示，这将是不安全之源，“冲击波”、“震荡波”病毒的出现证明了这一点。VoIP和GPRS当年RPC 的情况非常相似。

　　问：VoIP的安全情况如何？

　　答：VoIP一点都不安全。在协议层，它没有采用加密和认证技术。我的意思是，我给你打电话，你没有办法验证我是谁。我可以给美国总统、中央情报局打电话，你无法知道我是谁。人们可以轻易地利用别人的caller ID ，冒充任意人。

　　问：GPRS呢？

　　答：手机运营商相互共享的GPRS系统是非常开放的，运营商们相信它们之间不会互相黑对方。尽管普通黑客无法访问这些系统，但手机运营商能。一旦攻破了一家运营商，就能够开始通过共享的骨干网络攻击其它运营商的网络。一旦黑客攻击了网关，他们就能够随意在手机运营商的网络上“玩儿”。