发信人: b1a2()
整理人: (2000-02-24 12:40:30), 站内信件
|
中国青年报 China Youth Daily 「动感网络」 2000年2月24日 星期四
我是黑客但我并不可怕
作者 Frankie
①黑客的二重准则
黑客技术,简单地说,是发现计算机系统和网络的缺陷和漏洞,
这里说的缺陷,包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷
和人为的失误。
很显然,黑客技术对网络具有破坏能力。近段时间,一个很普通
的黑客攻击手段把世界上一些顶级的大网站轮流考验了一遍,结果证
明,即使是如Yahoo这样以技术起家的顶级网站也挡不住顶级黑客。在
一定程度上,黑客损害了人们对互联网安全和电子商务的信心,这更
引起了人们对黑客的关注和对黑客技术的思考。
黑客技术属于计算机技术的一种,是互联网上的一个客观存在,
对此我们无需讳言。和国防科学技术一样,黑客技术既有攻击性,也
有防护的作用。黑客技术不断地促使计算机和网络产品供应商不断地
改善他们的产品,从另一个方面对整个互联网的稳定发展起着推动作
用。就像我们不能因为原子弹具有强大的破坏力而否认原子弹是高科
技一样,我们也不能因为黑客技术具有对网络的破坏力而将其摒弃于
科学技术的大门之外。
黑客对个人对计算机和网络非常精通,他们发现并证实一个计算
机系统漏洞可能需要做大量测试、分析大量代码、用很长时间编写程
序,这和科学家在实验室中埋头苦干没有太大的区别。一个国家可以
立法禁止民间组织和个人拥有枪支,却不能禁止个人拥有黑客技术。
国外著名的黑客事件大多有一个善意的开端。有过一个例子:某
黑客在测试一个程序时,发现存在有不正常的现象,于是他开始对这
个程序进行分析。经过分析、反编译和跟踪测试等多种技术手段,黑
客发现该程序的确存在漏洞,于是针对该漏洞编写了一个能获取系统
最高控制权的攻击程序,证实该漏洞的确存在。随后,这位黑客向微
软写信通知其漏洞细节,并附上了攻击程序,要求微软修补该漏洞。
因为一个黑客的影响力是非常有限的,商业公司一般不愿意向社
会公开自己软件的问题。微软开始可能会不予答复。黑客就在其网站
上公布了该漏洞,并提供攻击程序给访问者测试。顿时互联网上的网
络安全论坛都开始谈论此事,社会影响剧增。这时微软马上组织人力
对这个问题进行分析,随后公布有关的安全公告,并提供解决方案和
补丁程序下载。
这就是一个典型的黑客推动网络安全发展的例子。当然其中涉及
到各国法律的不同,情况可能不太一样。
利用黑客技术从事非法活动为自己谋取私利,理所当然是遭人唾
弃的行为。但是一个国家却不能缺少一批能够把精力放在对系统缺陷
的发现研究与修补上的人。尤其是目前,几乎100%的系统软件来自国
外公司,网络安全就会成为一个重大主题。
②互联网天生脆弱
网络的基础是脆弱的,可以说永远存在致命漏洞。互联网的基础
是TCP/IP协议、网络设备和具有联网能力的操作系统。TCP/IP协议
有一些先天的设计漏洞,即使最新的版本很多漏洞仍然存在。有的漏
洞是和互联网的开放特性有关的,攻击美国8大网站的程序,就是利用
互联网的开放特性和TCP/IP协议的漏洞。
以目前的技术而论,没有可能完全避免漏洞。以占市场份额70%
以上的Cisco产品而论,其已知的漏洞有30多条。各种操作系统也存在
先天缺陷和由于不断增加新功能带来的漏洞。Unix操作系统就是一个
很好的例子。大多数Unix操作系统的源代码都是公开的,30多年来,
各种各样的人不断地为Unix开发操作系统和应用程序,这种协作方式
是松散的。早期这些程序多是以学生完成课题的方式或由研究室的软
件开发者突击完成的,它们构成了Unix的框架,这个框架当初没有经
过严密的论证,直到今天,商业Unix操作系统如Solaris和SCOUnix都
还是构建在这个基础之上的,除非重新改变设计思想,推翻30年来的
Unix系统基础,否则以后还必须遵循这个标准。这种情况导致了
Unix系统存在很多致命的漏洞。最新的版本虽然改进了以往发现的安
全问题,但是随着新功能的增加,又给系统带来了新的漏洞。用户日
新月异的需求和硬件的飞速发展,使生产商不可能也没有时间对每一
个新产品做圆满的安全测试,一些正式的软件工业标准有利于改善这
种局面,但就算生产商按照这些工业标准开发测试,也难以保证十全
十美。处于温室中的作物无法适应自然环境的洗礼,目前脆弱的网络
必须经历磨难,付出代价。
③中国网络安全研究明显不足
如果从整个社会的文明来看,黑客技术并非尖端科技,充其量只
能说是互联网的基础课题。发现漏洞并不要求太多底层的知识,但计
算机产品供应商对其一直讳莫如深。这导致当今世上黑客组织和黑客
技术研究都呈无序状态。现在世界上还没有哪一个国家真正投入人力
和物力研究黑客技术。对于一个黑客来说,要制造一个令媒体关注的
新闻是一件很容易的事情。这也是网络安全令世人担忧的原因之一。
目前国际上很多从事网络安全业务的公司纷纷雇请黑客从事网络
安全检测与产品开发,甚至一些政府部门也不惜重金招纳黑客为其服
务。但是国内的网站基本上是由一些“业余水平”的网络管理员负责
的,没有专业人员测试,许多网络的安全性堪忧。
去年,中国大陆的一个网络安全小组对日本、台湾地区和美国的
网络安全状况进行了分析和调查,并与中国大陆的网络安全状况做了
对比,调查显示:
日本和中国台湾的网络安全水平和中国大陆相似。从人员和研究
力度上看,日本网络安全和黑客技术水平比我国大陆明显要弱,但在
硬件设置和安全产品方面,日本对重要站点的保护措施和资金投入比
中国做得充足,安全检测产品和防火墙使用较为普遍,很多网站都有
防火墙,虽然管理不善,但这些措施对网络安全的保护起到了一定的
作用。相比之下,我国大陆网络安全投入不大,虽然网络管理的素质
稍微好一些,但是整体效果并没有提高。
美国的网络安全状况比中国大陆和日本都强许多,这和遍布美国
的黑客组织和大量的网络安全产品供应商有关。另外美国出品的操作
系统产品和软件在市场上占有领先地位,这有利于黑客技术的发展。
在黑客技术的研究和网络安全产品的开发上,美国都是做得最好的。
美国网络受到攻击的报道很多,这只能说明美国研究网络安全的人和
技术都比较高,我国黑客攻击的案例比较少,并不能说明我们的问题
少。这中间隐藏着更大的危险。
从信息国防安全的高度而言,黑客技术的发展更有利于国防建设
的大局。它是客观存在的,如果我们不去了解和研究它,则会受制于
它。中国更需要开发自己的网络安全产品来为信息产业保驾护航,更
需要本领高强的黑客参与网络安全产品的研究开发和测试,这样产品
的质量才上得去。
黑客对Yahoo的攻击已经说明,未来的战争将会是基于代码的数据
流攻击,而不是导弹或者电流。
④国内网站安全现状
据估计,国内电子商务站点的网络管理人员有90%以上没有受过
正规的网络安全培训。这几年中国的互联网处于发展建设阶段,大部
分的ISP和其他从事信息产业的公司都没有精力在网络安全上进行必要
的人力和物力投入。很多重要站点的管理员都是互联网的新手,一些
操作系统如Unix,在那些有经验的系统管理员的管理下尚且有缺陷,
在这些新手那里更是漏洞百出。一些公司对网络安全问题非常轻视。
他们认为,他们的服务器上没有重要数据,也没有资金往来,如果有
人入侵他们的系统,最多是篡改一下首页而已,谈不上大的危害。
电脑病毒让计算机用户都为它付出了沉重的代价,重要的数据会
消失得无影无踪。但多年来经过几代人与计算机病毒的斗争,我国对
病毒的研究和反病毒技术已经走在了世界的前列。法律制裁恶意的黑
客是正确的,但是法律保障也会使人们忽略自己保护系统的责任。法
律打击的对象应该是那些利用黑客研究成果从事破坏活动的人(这些
人往往水平一般),而不是网络安全研究本身。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.106.48.86]
|
|