(这条文章已经被阅读了 122 次) 时间:2000-08-29 14:22:12 来源:培华 (培华) 原创-IT
http://www.sina.com.cn 2000/08/28 09:45 eNet硅谷动力
话题的起因
2000年8月24日下午,海信公司主页被一署名为黑妹的黑客所篡改,听闻者估计马上联想到的现象是,此前海信宣布悬赏50万,以所谓8341防火墙挑战全球黑客的新闻。的确,从黑客留言来看此次攻击,的确是由这次“挑战”引发的。
一些网友可能会想到五十万的归属问题,事实上,海信所提出的攻击成功条件并不是指攻入海信集团的WEB服务器,而是那台特定防火墙后保护的主机。海信公布的防火墙地址为210.12.114.58,而海信WEB服务器的主机IP为202.102.161.195不属于同一个地址段,海信WEB SERVER显然并非在这台防火墙的保护之下。同时即使这台WEB SERVER也是靠同型号的FIREWALL来保护的话,WEB WERVER的安全也并不能仅仅依靠防火墙,因此还没有道理由此推断海信防火墙是否可靠。此外,所谓PING不通的问题,也反映了这个黑妹对网络协议了解不够深入,只要关闭了ICMP的回应,当然是ping不通的,这对基于其他协议的主要网络服务并没有影响。
但不得不承认,海信策划的这次挑战黑客的活动从效果上已经形成了一种负效应,不仅没有达到预期目的,而且企业的声誉事实上无疑受到损害。或许对于中国信息产业的大景观来说,这个插曲也许只是一片落叶,将很快为人淡忘,但我期望的却是通过这一片落叶,看到一点中国信息安全产业的火热和繁荣背后的萧煞。
因此,本文的话题,只是由海信WEB被黑事件引发,所审视的则是整个中国信息安全产业的另一个层面。因此,有些延伸的话题可能与海信无关。
反思之一:类似活动是否有技术价值
首先说明的是,一般防火墙的漏洞往往需要靠长期的使用积累去发现,不过海信并不是类似活动的始作俑者,国内外一些企业也搞过类似的活动,据说微软也提出以win2000挑战黑客,但据说活动还没开始,服务器已经崩溃了,成为一时的笑谈,这件事情本身真伪难辩,不过就我所知道的国外安全企业的一些公开测试活动,与海信这次有很大不同。
首先,本次测试防火墙的实际应用环境和挑战环境并不相同,防火墙决不是物理隔离产品,有防火墙的根本起因是不同网络间即要保证需要的数据交换和相互访问,又要防御恶意或非法的访问。而无论从包过滤技术还是从代理技术来说,其关键的都在于使数据有选择的通过,而不是彻底的把数据隔离。
因此,国外的一些相关企业在搞类似活动时,一般向攻击者公开更多的信息,特别是内网的一些情况,而海信提供的攻击测试则比较苛刻,相关信息也少的多,这样的环境对防火墙安全的要求,要比实际应用中低的多,换句话说,本次测试中防火墙所保护的并不是一个与实际工作环境很类似的网段。
另外,海信中途因有人进行DDoS攻击,而修改了防火墙配置,使该IP成为所谓的ICMP黑洞,PING不通虽然是正常的,不过觉得海信此举有有修改游戏规则的嫌疑。我觉得,公开网上测试的安全产品,应该在配置完毕后在无人值守状态下接受测试比较合理。否则,产品的测试结果中就混杂了非技术因素。举个类似的例子,我们测试一个WEB防篡改产品,假定我们派人24小时监护,一旦发现类似黑客入侵后把防篡改的进程杀掉,并修改了页面的话,就手工把网页COPY回来,这就失去了测试的意义。
何况防火墙产品本身受到不同攻击后,可能产生多种结果,一般来说,无论产生了诸如包过滤机制失效使所有包均能通过,或者是造成所有包均不能通过的情况,一般都说明防火墙的机制或者配置有问题。
反思之二:正常与不正常
黑客事件后,焦点之一就是很多网友抨击海信的炒做,其实我觉得海信所组织的测试相对还是一个比较正常的行为,只不过一时成为了用户批评国内安全产业浮躁气氛的突破口。浮躁——这是一个个体问题还是一个群体问题,个性问题还是共性问题。需要我们系统分析一下——
让我们看一看,国内安全产业的一些不和谐的声音:
某两个比较大的国内计算机企业都声称他们推出了“硬件防火墙”,我听到产品具体情况后不仅哑然失笑,事实上2台都无非是双网卡的正常X86机器而已,一个OS是LINUX,一个是solaris,定制了一个特殊的机箱,就摇身一变成了“硬件防火墙”。同时,特别需要指出的是,在LINUX下开发一个能实现基本功能的防火墙并不是技术含量很高的事情,而且还有大量公开的源码。
某“数学家家”称自己发明了XX加密算法,著书立说,四处演讲,也拿到了不少资助,甚至自称解决了著名的NP问题,但事实上,很多数学家都指出,他根本就不懂什么是NP问题。
某大型安全公司自称有自主知识产权的加密算法,当有人要求看看他们产品的白皮书的时候,他们就提供一篇某密码学家的论文,我在北京见到该密码学家问他此事,他声明,这家公司与我没有关系。两个国内企业到中央部委申请同一个项目,结果两个公司的高级科学家竟然写的是同一个人。国内安全界冒用他人名义和挂名不做工作的事情其实非常普遍。
国内某公司推出了安全检测系统,并且说明,完全自主开发,用户惊讶的发现,该产品除了界面汉化以外,内核与国外某产品完全相同。前些年听说,国内有公司把走私来的国外外设产品贴上自己商标,声明是自主知识产权产品。而现在也确实有国外安全公司在国内商密保护条例等规定颁布后,试图走这种“曲线入侵”策略。
国内的“安全热”使一些中学生不学习文化知识,专门搜集“黑客工具”做网站,几个孩子做了网站卖了几十万后,竟然分钱不均造成散伙。而做同样类型网站的另一个孩子可以被媒体追捧为高手,甚至被某安全公司聘请为“CEO”。国内黑客迷不少,给我的基本感觉就是多数毫无数学基础,不了解网络协议,编程功底很差,但黑客工具收集的非常全,侃起黑客来眉飞色舞。而我们的媒体却在乐呵呵的描述着英雄出少年的故事。
类似的例子还有很多… …
有人警告过我言多必失,我回敬的是,我知道的比你听到我说的多的多。事实上,我无意揭发任何内幕。英雄都是时势造就,企业都依照现实生存,对此我甚至十分理解。如果说有了好的技术和产品却没有运做推广的意识是企业的自身问题,但反之,如果技术落后产品可以轻易的通过炒做和欺骗对技术出色的产品进行负淘汰的话,则完全是整个业界机制的问题。如果欺骗只是特例,那么一两个何祚庥院士似的勇士就足以戳穿骗局,以警效尤,,但如果欺骗已经成为IT公司生存和发展的必须,那就说明我们IT产业的肌体必须全面的正本清源。有时候,与其教化每一个IT从业者都保持高尚的道德,不如造就一个真正意义上优胜劣汰的竞争循环。
反思之四:网络恐怖主义与网络黑社会
在媒体狂炒红客的过程中,我每每感觉愈发沉重,当黑客行为已经被抬举到可以与法律效力、外交努力、政治斗争比翼的时候,我耳边想起了林肯总统的话“今天我们以正义的目的处死了一个罪犯,明天我们就可能以正义的借口处死一个无辜者”,这篇演讲的主旨是“暴民统治是对法制的破坏”。
当有人为攻击了海信网站喊爽的时候,我不仅想起了数日前ISS中文主页被黑的事件,且不说虚拟主机被黑的事件是否可以说明ISS的产品本身质量不佳。但黑客的留言明显透露着在国内外安全产品竞争中的倾向性色彩,可以说,这违背了最基本的黑客道德。
在国内的一些网络安全工作者的接触过程中,觉得其中少数人优越感过于强烈,不客气的批评一句,甚至有一种严重的大国沙文主义色彩。我看不惯的,我批评,是我的权利;我看不惯,我黑他,则是网络恐怖主义。
另外,国内有个别安全公司,有一些不健康的发展倾向,扫描完别人的网站,然后发信告知对方有安全问题,但不告诉人家漏洞在哪里,明摆着就是来收安全顾问费。如果说以此类比旧社会时黑社会收保护费过于夸张,但对安全咨询、扫描测试必须立法和规范,否则,真的造就出网络黑社会也并非天方夜潭。
反思之五:民族牌还能打多久
我不是一个民族虚无主义者,民族主义也不是中国的专利。如果韩国人没有倡导国货的民意基础,韩国的汽车业不会如此发展迅猛;如果法国人不保持对迪斯尼、好莱坞的警惕,法国也未必会执着的保持文化的独立。
但民族的也好,自己的也罢,应该是我们IT人自强的动力,奋发的理由,而不应该仅仅成为镀金的招牌。以民族的名义,激发我们追赶先进水平的决心,是高尚;以民族的名义,让用户购买“made in china”的产品或者也可称为聪明;以民族的名义让用户购买劣质的产品,那就是卑鄙,是对民族二字的亵渎。
安全产品同样如此,一个产品的安全性,并不取决于民族性;同样保护民族产品的目的,也不是给落后产品架上所谓民族保护伞。脆弱的民族信息安全产业并非不需要保护,但这种保护应当首先是创造优胜劣汰的机制、对恶意炒做的抑制加上对民族产品的有限倾斜。
中国反病毒产品,制造过“中国病毒用中国产品杀的”的童话,说过达到国际先进水平的大话,但近来《PC COMPUTING》和《计算机应用文摘》的两次反病毒测试和此前的多次民间测试,将国内产品与国外的差距揭示无余。
方兴未艾的中国网络安全产品和密码产品,不能再重蹈反病毒产品的覆辙,应该健康的走一条自己的道路。
中国的信息安全产业已经像当年的赫拉克勒司面对着欲望和美德一样需要抉择,一边是需要正视现实、负重前行、默默耕耘,造就一份千秋的基业;一边是强庄恶炒,做假拉台,在人们信心彻底崩溃前制造出一个“垃圾股井喷行情”。任何小气候都基于大气候而存在,因此中国整体的信息产业何尝不是如此呢。
我们都为某反病毒产品横空出世,打破官方垄断叫好过,但也都为其逻辑炸弹事件激怒过;我们都曾被血狮的广告创意感动过,但也都被其低劣的质量伤心过;假如热心热血只能换来冷酷的现实,假如虔诚与祈祷只能接受被欺骗和愚弄的结果,那么,谁还会相信中国信息产业的明天。作为一个普通的安全技术人员,我既可以做一个参与者,或者一个观察者,当然也可以耸身一摇,偏安一角,无关是非。消沉的无非是一个个体,而对那些真挚而热忱的计算机用户和更多关心着中国IT的的人们来说,他们将会真挚和热忱依旧,因此让我们这些从业者们在做出抉择的时候,应当想到他们热切的期望、他们关注的目光,他们的心灵,不该受到更多的欺骗和伤害。(江海客)
可以更犀利一些! - 孟子 - 2000-08-29 19:37:16