大會議程與講師介紹
2008年7月4日 星期五
講師的訪問 第二回:世界越來越安全,還是不安全?
原始問題:With so many experiences and years in security research, where do you see security, in general, is heading today? Are we getting more secure, or insecure?
Adam Laurie:
很遺憾的,我必須說我們越來越不安全。這一方面是單純從量來看,現在我們接觸的科技(technology)太多了,每一種新的科技都會帶來新的資安問題;另一方面則是這些科技被商業上採用的速度。由於需要很快在商場上使用,每每資安的環節變成是最不重要的考量,常常是最後時刻才加上去的,也常常沒有經過仔細的思考,而事實上,資安機制應該是設計私人資訊系統(personal information systems)或付費系統時最重要的考量。
Internet上執法困難,每天高量的攻擊,數不完的弱點,跨管轄區域的不法行為,政府贊助的駭客團體,botnets以及靠botnets所支撐的地下經濟,SPAM,病毒,惡意程式,身份竊盜,釣魚,信用卡偽造,以及電子恐怖(cyber terrorism)對於基礎建設所帶來的威脅,再再都顯示,未來的危險重重。
除非我們目前偵測與防範資安問題的作法有超大幅的改變,我看不出情勢會有好轉的可能。
另一個嚴重的問題是,法律目前被扭曲以便讓有爛資安產品(poor security products)的廠商能夠獲利。另外,用法律禁止「逆向工程」(reverse-engineering)、駭客(hacking)、以及弱點的公布(disclosure)等,最後只會讓情勢惡化,而不會有任和幫助。因為這些法律,只會讓合法的資安研究員害怕去研究目前科技的漏洞,也害怕去公開這些漏洞,這樣的結果,就是這些漏洞會一直存在,讓那些台面下的不法份子持續利用。
Matt Conover (shok):
哈,這是一個很棒的問題。這個世界現在比以前都依賴電腦和Internet了。當然這確保我們資安研究員都會有飯吃(資安研究永遠需要),但是其實這有很負面的影響。今天我看到兩個極端負面的現象:
一、越來越多的駭客行為的動機是源自於利益。Internet已經變成一個非常恐怖的世界了。一般的Internet使用者,隨時都被釣魚或其他詐騙手法轟炸,要偷他們的銀行、eBay、或PayPal帳號。同樣嚴重的事,使用者被暴露在充滿惡意網站的環境,惡意的網站,惡意的廣告,或者原本合法善意的網站,但是被駭入並植入了惡意的網馬(掛馬)。
這些被植入的網站,會悄悄地設法在訪客的系統中安裝惡意程式,偷竊個人資料或把訪客的電腦變成僵屍網路的成員。駭客越來越先進了,有錢能使鬼推磨,所以我覺得資安界還有很長的路要走。
二、資安研究越來越被泛政治化。我們這行的一些行為現在竟然被認為是違法的了(美國的DMCA,在德國攜帶攻擊程式屬犯法,在法國使用加密軟體犯法...)。國與國之間常常控告對方國家執行駭客攻擊行為(俄羅斯 vs. 愛沙尼亞,中國 vs. 美國/德國...)。我擔心在網路世界(cyberspace)裡會開始發展出冷戰效應。對於我這個從青少年就因為純興趣而開始入行的資安研究員來說,這些改變讓我心寒。
Rich Smith:
資安範圍很大,這個問題不容易做整體性的回答。但是隨著我們日益依賴科技,科技濫用所導致的危險也隨之提升。無可置疑的,對於科技所帶來的危險,今天我們比往前要了解得多。只要我們保有開放的資安議題討論環境可以讓我們很公開的、真實的討論資安的種種議題(例如SyScan),那我覺得我們就會一直有進步。科技進步多快速,相對的資安問題的產生也就會有多快速,因為資安問題與新的科技是結合在一起的。所以我們越快知道一個科技的弱點,我們就能夠越早停止向現在這樣,把資安當作是事後彌補的事情,而在設計階段就加入資安的考量。
這是我看到目前我們面臨的最大挑戰,我們必須認識,資安是發展科技所必須付出的代價,資安不是我們事後靠一些解決方案就可以很便宜的彌補的。
Fyodor Yarochkin:
我對於整個資安大環境並不是很樂觀。隨著越來越多新的科技產生,而越來越少人真的懂資安,整個情勢一定是越來越糟的。尤其是大公司的目的不見得是「讓明天會更好」,加上龐大(龐...
大!!)的地下經濟的起飛:攻擊程式的買賣,惡意程式植入服務,僵屍網路的租賃服務...等等。
我個人意見,目前資安世界很有趣,可是說是兩個極端的面向。一方面,我們有光鮮亮麗的資安產業,有著好多漂亮的防火牆,入侵偵測系統,生物識別系統等等,但是另一方面,我們有著黑暗的地下面--使用者都是僵屍網路的一員,在他們的電腦上執行著僵屍或惡意程式;市場上什麼都可以用錢買到,政府的監控,非法的資安研究...;被入侵的企業打死不會承認...
SyScan 前瞻資安技術年會 2010
|
Copyright. Armorize Technologies, Inc. 2008. |
沒有留言:
張貼留言