不痛不癢的信息安全

人們常將信息安全形容為一場“正義”與“邪惡”之間的較量，然而就目前的形勢來看，所謂的“正義”之師多是處于一種疲于奔命的狀態。要知道，那些病毒和間諜軟件早已通過各種方式進入到各種IT產品，PC、筆記本電腦、服務器、手機、PDA等等，都在危險的籠罩下。而現在，“邪惡”不但無處不在，而且更加聰明。

2004年初，一種利用Google引擎自動搜索網站漏洞的蠕蟲使上萬個疏于防范的論壇陷于癱瘓，而由于每臺登陸論壇的PC都可能是攻擊的發起者，安全公司至今也無法找到更好的防御方法。專門針對電子票務網站的光學字符Captcha和驗證碼破解軟件的出現，使票販子們在網上大量訂票，讓那些真正想看演出的觀眾根本無法在網上訂票。雖然經測試，破解Captcha等標碼的成功率僅有10%，但對于那些別有用心的人來講已經足夠了。還有風頭正勁的“釣魚軟件”，這些通過mp3下載、共享軟件、垃圾郵件等方式悄悄植入PC的黑客程序會在用戶向IE地址欄輸入銀行或金融服務網址時自動跳轉到黑客們的假冒網站。更可惡的還有鍵盤記錄程序，它們會一天24小時監視PC鍵盤的一舉一動，從賬號密碼到電子文件全不放過。最近，又有一種名為Click-clack的監視軟件，它們利用即時通訊中的音頻和視頻功能記錄下用戶敲擊鍵盤的聲音和圖像，然后自動破譯，成功率高達90%。讓人頭痛的遠不止這些，像Cabir手機病毒已經讓上萬部手機無法正常使用，而更厲害的Cardtrp手機蠕蟲會藏在手機鈴聲或圖片中，然后自動打開系統后門，竊取重要信息，無論是藍牙、紅外、Wi-Fi還是電信網絡都無一幸免。

一直扮演著美國政府堅實技術后盾的卡內基梅隆大學CERT研究中心，多年來高調地保持著網絡安全數據的權威發布者身份。每年CERT都會統計一下PC用戶遭受網絡攻擊的次數，但從2004年開始，CERT放棄了數據統計，原因很簡單，由于各種類似用途的軟件大量出現，網絡系統受到攻擊已經非常普遍，且每次攻擊都會涉及到成千上萬的PC和網站，單純統計攻擊的次數已毫無意義。

CERT的放棄統計只不過是冰山一角。隨著垃圾郵件的猖獗，理想化的安全將更加可望而不可及。

IT果真如此的脆弱，我們真的束手無策了嗎？答案取決于誰來回答。安全技術專家們會有很多所謂有效的建議，防火墻、防毒工具、殺毒服務、按時備份、及時升級、打補丁等等。當然，也可以更主動一些，比如微軟推薦的可將數據和軟件分開處理的“虛擬化”（virtualzation）技術，開源支持者們的Linux/Windows雙系統，或是干脆采用法國人的做法，買上兩臺電腦，一臺用來進行上網、下載、娛樂等高危操作，一臺用來處理重要信息和金融業務。看來為了信息安全，使用成本將越來越高。不過也有好消息，據說正在賽前熱身的Vista解決了許多安全問題，關于垃圾郵件、間諜軟件、網絡插件等的立法也小有成果。樂觀地看，形勢正在好轉，只要有希望，這一點點痛還是能夠忍受的。