最近,有許多對(duì)日復(fù)一日的系統(tǒng)與軟件修補(bǔ)更新感到厭倦的首席信息官(CIO)以及 IT 系統(tǒng)管理員都向詢問(wèn)我,新的操作系統(tǒng) (例如 GoogleChrome) 是否能夠動(dòng)搖微軟在桌上型計(jì)算機(jī)操作系統(tǒng)的獨(dú)霸地位,而信息安全的問(wèn)題在五年之后是否會(huì)有所改善?
事實(shí)上,這是一個(gè)很難回答的問(wèn)題。五年之后,IT 產(chǎn)業(yè)當(dāng)然會(huì)出現(xiàn)更多突破性的技術(shù)。因此,回答這類問(wèn)題最保險(xiǎn)的方式就是,回顧一下當(dāng)前的現(xiàn)況。
很清楚,我們正在進(jìn)行一場(chǎng)網(wǎng)絡(luò)大戰(zhàn)。攻擊的一方是通過(guò)惡意程序、破解手法以及其它惡意活動(dòng)獲取暴利而不斷壯大的網(wǎng)絡(luò)犯罪者。這些人之所以能夠得逞,就是因?yàn)樽郎闲陀?jì)算機(jī)基本上是由單一操作系統(tǒng)所壟斷。如果您是一位黑客,您只要專門鎖定微軟的平臺(tái),就能找到足夠的受害者,讓您口袋滿滿。這是很單純的經(jīng)濟(jì)規(guī)模效應(yīng)。隨著其它操作系統(tǒng) (如 Mac OS) 開(kāi)始受到歡迎、市占率逐漸成長(zhǎng),其對(duì)應(yīng)的惡意程序也開(kāi)始隨之成長(zhǎng)。這一點(diǎn)也不令人訝異。
但是,如果是非常小的操作系統(tǒng),而且采用開(kāi)放原始碼呢?如果將所有的數(shù)據(jù)和應(yīng)用程序都儲(chǔ)存在云中,就像 Chrome 操作系統(tǒng)作法呢?這樣會(huì)不會(huì)非常不安全?
理論上,會(huì)。當(dāng)操作系統(tǒng)小一點(diǎn),軟件錯(cuò)誤 (俗稱臭蟲) 自然就會(huì)少一點(diǎn) (因?yàn)榭赡艹鲥e(cuò)的程序代碼變少),此外,由于操作系統(tǒng)不像現(xiàn)在這么強(qiáng)大,因此,像目前這樣用途廣泛的惡意程序很可能就無(wú)法存在。我個(gè)人并不認(rèn)為,開(kāi)放原代碼就會(huì)讓黑客更容易找出系統(tǒng)的弱點(diǎn)因而更加危險(xiǎn) (這一點(diǎn)是我們經(jīng)常聽(tīng)到的說(shuō)詞)。通過(guò)隱瞞的方式來(lái)提高安全性,從來(lái)就不太有用!
即使如此,有些攻擊策略或許還是可行:
1.掌握通往云的聯(lián)機(jī)。
只要稍微對(duì)操作系統(tǒng)動(dòng)一點(diǎn)手腳,例如修改一下 DNS 記錄,就能讓使用者在連上網(wǎng)頁(yè)應(yīng)用程序時(shí),先轉(zhuǎn)往地下惡意網(wǎng)站,然后才到達(dá)自己的網(wǎng)頁(yè)應(yīng)用程序頁(yè)面。只要是無(wú)法完全封鎖通訊管道,使用者的數(shù)據(jù)就可能完全曝光。即使有 IP V6、加密、憑證等保護(hù)措施,這還是一個(gè)可能的攻擊方式。
2.攻擊云本身。
如果云應(yīng)用程序以及云操作系統(tǒng)成為主流,那么 99.999% 的可用性有多重要?非常重要:如果無(wú)法存取主機(jī)上的信息和應(yīng)用程序,您的計(jì)算機(jī)就等于廢物。如果攻擊者利用標(biāo)準(zhǔn)的 Bot 網(wǎng)絡(luò) (未來(lái)十年之內(nèi)應(yīng)該還會(huì)看到采用多用途標(biāo)準(zhǔn)操作系統(tǒng)的 Bot 感染計(jì)算機(jī)) 來(lái)讓云基礎(chǔ)架構(gòu)上的主機(jī)超載而癱瘓呢?若是黑客要求業(yè)者必須給予小額“樂(lè)捐”才能讓已經(jīng)癱瘓的云主機(jī)恢復(fù)運(yùn)行呢?對(duì)黑客來(lái)說(shuō),想必這是一樁利潤(rùn)豐厚的生意。聽(tīng)起來(lái)有點(diǎn)像科幻小說(shuō)?一點(diǎn)也不!這樣的情況事實(shí)上已經(jīng)發(fā)生,只是規(guī)模不大而已。但是,一旦黑客目前的手法 (先讓桌上型計(jì)算機(jī)感染惡意程序然后再用于非法用途) 經(jīng)濟(jì)誘因不再 (無(wú)法再找到足夠的受害者),自然會(huì)有另外一種取而代之的方法出現(xiàn)。
3.直接從云 (因?yàn)閿?shù)據(jù)已經(jīng)移到云中) 擷取有價(jià)值的數(shù)據(jù),例如:信用卡、身分證號(hào)碼、登陸賬號(hào)等等。
云服務(wù)提供商必須確保數(shù)據(jù)不會(huì)遭到非法存取,不會(huì)輕易讓黑客復(fù)制數(shù)百萬(wàn)筆使用者數(shù)據(jù)、登陸賬號(hào)密碼、網(wǎng)絡(luò)銀行數(shù)據(jù)、帳務(wù)數(shù)據(jù)、交易記錄等等。簡(jiǎn)單的說(shuō),就是必須防止數(shù)據(jù)外泄,針對(duì)這一點(diǎn),我抱持著懷疑的態(tài)度。
總歸一句話,我不想去揣測(cè) Chrome 操作系統(tǒng)是否會(huì)成功, 我不希望預(yù)測(cè)未來(lái)五年之后哪一個(gè)操作系統(tǒng)將成為主流。不過(guò),有一件事情是確定的,那就是:信息安全產(chǎn)業(yè)不會(huì)因此消失,而是會(huì)針對(duì)新的攻擊方式發(fā)展出新的防御方法。
到時(shí)候可能再也不必在本機(jī)上安裝龐大的病毒碼檔案,而是仰賴云網(wǎng)頁(yè)、電子郵件與檔案信譽(yù)評(píng)等服務(wù)。此外,當(dāng)然也需要漏洞評(píng)估、防護(hù)、加密等完整的防護(hù)措施來(lái)確保數(shù)字信息交換的安全性。
進(jìn)入論壇>>聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
作家棉棉狀告谷歌案明日開(kāi)庭 作協(xié)發(fā)公開(kāi)信支持
本周二,作家棉棉狀告谷歌侵權(quán)案將進(jìn)行第一次開(kāi)庭。這是中國(guó)作家第一次以個(gè)人身份狀告谷歌。就在此當(dāng)口,中國(guó)作家協(xié)會(huì)也發(fā)表公開(kāi)信表示支持。記者昨天獨(dú)家專訪了棉棉的代理律師孫景偉。 本周二,作家棉棉狀告谷歌侵權(quán)>>>詳細(xì)閱讀
本文標(biāo)題:谷歌Chrome:“天使”還是“魔鬼”?
地址:http://m.sdlzkt.com/a/01/20111231/255833.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示