【大纪元2012年03月15日讯】(大纪元记者李清怡编译)艾伦‧帕勒尔(Alan Paller)是美国华府资讯安全机构SANS研究所的主任,在接受《福布斯》(Forbes)杂志采访中,帕勒尔回答了许多电脑安全问题,包括电脑是如何受到黑客攻击的,以及如何才能保护电脑安全。
让我们来逐步分析一下黑客针对特定人物的攻击,看看您的防护措施是如何被攻克的。
首先,他们得到您的电子邮箱地址。这一步,您基本没办法设防的,因为通常情况下,您需要收发邮件,也就是说,至少您需要让一些人知道您的邮箱地址。而且多数邮箱地址的用户名都是那么几种常见模式:名.姓@公司名.com,所以猜出这些并不是很难。
问题:等一下,用户名的模式有很多种,他们怎么知道是哪一个?
他们会用您的名字按不同的模式来编辑出几种可能的用户名,然后在GOOGLE上逐个搜索,直到找到别人给您的发信信息。或者,如果这样还是不行,他们还会向这些可能的用户名发送普通内容的邮件,哪一个试验信发送成功,没有被退回,那么那个地址就是正确的了。
接下来,我们继续谈下一步。他们的第二步就是,向您的一个重要的员工或同事发送一封伪装的邮件。这是一封带有病毒附件的邮件,但看起来却好像来自于您信任的朋友或客户。这时本来应该是防火墙或杀毒软件,或补丁升级后的操作系统发挥作用的时候,但实际上,它们没有发挥任何作用。防火墙不会阻止这封邮件,因为这封伪装的邮件看起来和您所收到的其它邮件没有什么不同。如果防火墙要阻止它,就意味着将阻止所有的邮件,那么您的工作就等于陷入瘫痪。防火墙也不会去删除病毒附件,因为这通常不是防火墙的工作,而是应由杀毒软件来完成。但是,现在那些越发高明的网络攻击者甚至可以使您的杀毒软件瘫痪。这是一个网络攻击者与杀毒软件开发者之间的军事竞赛,而且,攻击者们往往是赢家,他们写一段新的攻击程序,杀毒软件设计者再相应写一段防护程序。攻击者们还可对每个杀毒软件公司的产品反工程设计,从而避开所有的杀毒软件。
病毒附件就是这样越过防火墙并通过杀毒软件的。
问题:这是否意味着杀毒软件毫无意义,可以扔掉了?
还不是的。您还需要杀毒软件来防范一些旧的病毒。但是在一些查杀病毒的测试中显示,往往那些低成本不知名的杀毒软件,比高价位大品牌的软件性能更好,可以发现更多的病毒。
问题:为什么我们进行了自动补丁升级,仍然不能阻止病毒附件在系统上运行?
微软升级不能在这方面提供保护。因为大多数成功的病毒附件并不是针对微软产品的漏洞而设计的。他们往往是利用一些程序,比如Adobe Reader 或 Flash。而很多很多的人都不会去对这些程序进行升级。人们用Adobe Reader打开PDF 文件,用Flash观看视频和动态广告。在这类的程序上发现了大量的漏洞。
这就是真正的军事竞赛了。我们为WINDOWS操作系统打了补丁,黑客们开始攻击WORD和EXCEL。我们给WORD和EXCEL打了补丁,他们又转向攻击Adobe Reader 和Flash。
问题:有没有什么方法可以走出这个迷宫呢?
澳大利亚国防通讯处开发了一套方案,专门应对这些定向攻击。这套方案看起来效果非常好,似乎各种公司组织都能够适用。请查以下网址http://www.dsd.gov.au/publications/Top_4_Mitigation_Strategies_to_Protect_Your_ICT_System.pdf
微软视窗系统请查阅以下文件http://www.dsd.gov.au/publications/Implementing_Top_4_for_Windows.pdf
澳大利亚国防部长瓦特(Ian Watt),要求澳大利亚所有的政府机构都应用该计划。头两个完成该计划的机构发现,中低级的攻击都被成功阻止了,但是没有启用该计划的机构则不然。
问题:这个防范措施针对那些高级别的攻击效果如何呢?
一些国家愿意在技术上、情报采集方面不惜投入大量金钱,这样的国家能够攻破防范措施。所以,对于想要寻求自我保护的公司来说,聪明的策略是建立一个防护墙,这样,如果对方要想越过这道防护墙,首先要花费大量的金钱和精力。这样一来,对于攻击者而言,潜在的经济利益就变得不那么有吸引力了。
澳大利亚人把这称为“甜蜜陷阱”。您的公司要想使系统能够最大可能地抵挡攻击,需要采取四个步骤。
说说其中两个最为重要的步骤:一个是应用白名单(White listing),另一个是管理员权限最小化。应用白名单的意思是,只允许计算机运行名单上所列出的许可程序,把其余的任何程序都排除在外。这意味着攻击者即使控制了您的一个重要伙伴的或系统管理员的电脑时,也无法把收集和发送数据的软件放到您的电脑上去。
如果一切就这么简单,那么大多数的公司机构早就这么做了。最主要的问题是这些软件包是由程序员写的,而程序员通常忽略了一个事实,那就是在同一台电脑上,除了他们写的程序外,还有其它的程序也在同时运行。因此,当您在一般用户权限下,而不是在管理员权限下运行电脑时,有的程序就无法运行。
(责任编辑:白玉)
