网络黑客越来越职业 防火墙功能会降低安全性

　　安全公司Internet Security Systems(ISS)的首席科学家相信，2004年对黑客来说是一个分水岭。

　　Robert Graham表示，许多黑客逐渐变为职业化──这样的发展对企业安全来说将带来隐忧。

　　「在今年之前，我们真的看到的只有小朋友装大人来证明自己的才华洋溢。」早期在入侵预防系统的开发上担任要角的Graham表示，「但今年开始，我们看到职业黑客带来的危机。」

　　多年来，黑客只要侵入系统就感到很刺激而满足了，或者只要发动个攻击可以在黑客圈里提高自己的地位就好。但现在不仅如此，根据Graham表示，不管是黑客的攻击模式，还是攻击的动机，都已经在改变。黑客现在更加团结合作，而且不再只是靠一些抄袭而来的工具或是随机的攻击。更糟的，Graham调查到，黑客背后有很危险的图利动机。他最近与CNETAsia谈到了信息安全的相关挑战。

　　问：黑客现在有薪水可领吗？

　　答：很少有领薪水而去攻击的，但是他们真的靠当黑客赚钱。例如「网钓」(phishing)攻击：经常他们都是自己执行这类攻击来赚钱，但没有人付薪水请他们这么做。

　　你如何定义「职业黑客」(pro hacker)？

　　今年之前，我们真的看到的黑客都像是小孩子装大人来证明自己才华洋溢。他们可能从网络上下载黑客工具，但是事实上他们什么都不懂。而且相较之下他们没什么才华…而且往往他们要在成千上万台计算机上执行工具之后，才有办法找到一台来进攻。更重要的是，他们没有什么犯罪的本事。过去以来，对黑客来说这大部份都只是个游戏。尽管执法单位一直把这场游戏看得很严重──因为黑客觉得并不严重。

　　但今年以来，事情在改变了，而且今年你也可以看到美国FBI的行动。像FBI所逮捕的一个黑客，他是一个垃圾虫，手下控制了数以千计的计算机用来帮他转寄垃圾信。

　　攻击模式是否反映了「职业」的心态？

　　是的，我们看到有越来越多的黑客，现在都自己撰写攻击程序。过去，他们只会使用众所皆知的攻击。以前，只要有新的臭虫，他们彼此之间就会开始比赛看谁先写好这只臭虫的攻击程序，然后把它贴到网站上，并且以BugTraq(臭虫追踪)及Full-Disclosuer(完全公开)等名单寄出。然后就全部的人去下载这些攻击程序，接着就是毫无目的的攻击。

　　现在有越来越多的人自己撰写攻击程序，但为什么他们做得到？如果你看看全世界从学校刚毕业的那些小朋友，在1990年代中期，大概在12岁左右就对当黑客有兴趣了。但随着时间过去，他们的兴趣也随着长大成人而变成一技之长，自己也有能力去撰写攻击程序。

　　谈到新的攻击程序，你怎么解释今年以来病毒变种越来越多的情况？

　　过去，防毒软件厂商都在比赛，看谁能够最快写出每只新病毒的定义文件。但是随着Netsky及Bagle病毒的出现，我们看到情况在逆转。现在是病毒作者在比赛，看谁能够以最快速度更新病毒来「防防毒软件」的定义文件。这也就是我们看到会有Netsky a、b、c、d等等的原因。

　　黑客为何对病毒变种越来越有兴趣？

　　之前的病毒作者，他们的目标只是要写出病毒，然后看看它是不是真的有毒。然后，这些病毒作者没有了。现在病毒作者的心态可能开始在改变。你可以在Netsky及Bagle上看得出来。有两组人马在彼此竞争。Netsky的人痛恨Bagle的人，Bagle的人痛恨Netsky的人。看起来好像两方人马有深仇大恨似的。

　　情况有多紧急呢？病毒很快就会变得越来越聪明吗？

　　不会的。现在的病毒绝不会比几年前的还要来得聪明。事实上，Netsky和Bagle一点都不聪明。以我们安全专家来看，我们知道要怎样设计出聪明的病毒。实际上，撰写病毒的黑客不见得很聪明。他们比较专心的是他们所想要做的攻击。他们会试图想要跨出一步。但我们看不出黑客技术有什么大的进步，反而，我们看到的是黑客的增加。大部份的病毒作者都只是想要跨出第一步，而且只有这么一步，没有第五步或第十步的。

　　防火墙是目前还算可靠的防御措施，这种成熟的技术如何从这里发展？

　　防火墙基本上已经被入侵预防系统所取代。过去，它刚好可以用来锁好大门。但是近来，我们了解到有些门必需打开，而且我们必需防患有门未锁好时该怎么办。问题并不在于如何找到更强的大门锁，因为基本上你无法一直让大门深锁，你总是必需让客户可以进来。这就是防火墙──基本上就是锁着的大门。

　　另一方面，IPS(入侵预防系统)能够找出串门子的攻击。IPS和防火墙很可能马上就会整合成为一种产品。但是防火墙技术，就它本身来看，已经结束了，它已经成为日用的商品了。

　　已经完全没有改进的空间了吗？

　　对防火墙来说，真的没有什么新意了。事实上，许多「更复杂」的防火墙功能反而会降低安全性，而不是提高。

　　怎会这样？

　　没错，更复杂的防火墙规则可能让使用者处处碰壁。但要记住，防火墙是用来阻止不肖流量的工具。而它的效益取决于你使用防火墙的技巧。更复杂或者功能更多的东西，表示你要有更多的教育和学习才能够用得上手。

　　而我们看到的是，公司企业并没有正确的使用防火墙。例如，我们发现到，有时候Slammer会走进防火墙，虽然在规则里说要把它拦截在外。原因很多，有时候是因为有人进入防火墙打开不能打开的通讯端口。有时候只是移除了防火墙全部的组态然后重设为出厂设定的「打开」状态，就让所有的东西都可以进入了。他们只要几秒钟的时间就可以这样重设政策，但这就够让Slammer进来了。而像这一类情况的发生，部份是因为现在的防火墙太复杂了。如果系统很简单，你就比较不会犯这些错。

　　应用防火墙未来的发展重不重要？

　　不是很重要。应用防火墙(application firewall)只是锁定在网络应用上而已。这类防火墙和代理HTML或HTTP有关。我们要注意的是，没有那一种网络应用是没有臭虫的。有些还有众所皆知的臭虫。应用防火墙或可解决部份问题，但并不是全部。

　　安全技术的下一战线在那里？

　　VoIP及GPRS会是下一个最大的安全议题。

　　有多大？

　　几年前，我们在研究微软的远程程续呼叫(RPC)，然后告诉媒体，这会是下一件大事，我们过去所看到的所有蠕虫都将无法和RPC上所看到的相比。当然的，Blaster及Sasser出现之后就真的发生了。现在在VoIP及GPRS上，我们也是处于这个阶段。

　　实情到底如何，关于VoIP？

　　VoIP没安全可言。就协议(protocol)的层次来看，没有加密和认证。我意思是说，当我打电话给你时，没有方法让你来验证我是谁。我可以用美国总统，或是CIA的caller ID(发话者身份)发话给你，可是你不知道我是谁。黑客可以轻易攻击caller ID然后要说他是谁都行。

　　GPRS呢?

　　有了GPRS之后，行动电话服务业者之间彼此的系统洞开，现在他们彼此信任相互之间不会互骇。虽然一般的网络上的黑客没有办法进入这个系统，但是行动电话业者可以。然而，一旦你进入某一家行动电话业者的系统里，就可以开始透过他们共享的骨干网络攻击其它厂商。