觀點

大師眼中的資安2018

2009 / 01 / 13
iseditor
大師眼中的資安2018
無論是在家裡或是工作場所,安全往往是麻煩而且吃力不討好的工作。

10年之後,我們所認知的資訊安全可能已不存在。它將不再是一個獨立產品,只是內嵌到所有東西的一部分。或者,企業可能利用網路服務(Web services)來實施安全,取代自己建置。
我們採訪了業界幾位足智多謀的重要人物,從他們眼中來看資安的未來,結果預言眾說紛紜:從透過組織網路,利用加密(encryption)技術和殭屍化(zombification)偽裝,從事各種愈來愈厲害的攻擊;一直到個人聲望技術(personal reputation technology)的嶄露,談及的範圍相當廣泛。有些人預估將會有根本性的改變,有些則認為大多會維持不變。繼續往下看,一賭眾家資安大師的先見。
今天,當我們談到一個公司正安全地使用電腦,通常是指,這公司正在它自己的電腦上運算,而且是以任何適切的方法,去保護那些運算結果。如果10年後,較大型的商業運算,還在這個觀念下繼續運作的話,就不會是安全的了。現在,每個開發者、經理人或市場負責人,每天至少要用Google十幾次。10年後,會有上千個像Google這樣的網路服務,幫你完成你無法自己完成的事。當這天來臨時,今天我們所謂的安全,將永遠消失。 
「弱點的皮條客」—不好意思!是「安全研究人員」—將持續發行有瑕疵的軟體,並且聲稱,那是提升它的過程中最困難的部分。既然,這過程已經歷經了過去整整10年,而軟體始終沒有更好,那麼,未來可能也不會好到哪兒去。同時,弱點皮條客將會持續購買弱點,再賣掉它,然後再拿它們來當作他們顧問服務的行銷工具。
在下一個10年內,網路的主要焦點將從西方轉移至東方:亞洲的網路使用人數將遠遠超過美洲及歐洲,達10:1比例。因此,在這樣的局面下,英語網站將變成又少又無足輕重;大部分的活動將會轉換戰場。這也表示,幾年後上億個新電腦,將會在中國、印度和其他亞洲地區上線。而這些電腦會被保護得多好?
網路存取變得很普及,就像電力一樣,不需要特別去注意它的存在。大家都會認定所有裝置設備都是有所連結的,包括電話、MP3播放器、汽車、冰箱、手錶…,當然,它將會帶來另一個新的安全問題。
無線傳輸攻擊,可能會形成另一個頭痛問題。想像一下Wi-Fi Windows病毒,從一個筆記型電腦跳到另一個,只是因為它們分佈的太緊密。因為鄰近的關係,只要繞過共同的防火牆和其它防護措施,這種Wi-Fi蠕蟲就可以在辦公大樓之間散播感染。而且,透過人們帶著筆電旅行,它們將會像生物病毒一樣,全球性的散播, 
接下來的3年,我們將會看到一連串的轉變,從軟性的安全(soft security)技能,例如制定政策、撰寫程式、教育訓練等,轉變到硬性的安全(hard security)技術,如攻擊行為、入侵偵測、隔離、區段分割等。這位在華盛頓數一數二的安全顧問公司總指揮,把遠景描繪的最為嚴厲,他說,「我們80%的員工是擁有軟性安全技能,僅有20%擁有硬性安全技術;假如我們不把這個對比顛倒過來,兩年後我們將會被市場淘汰,」必須改變的理由是,攻擊者已找出擊敗目前防禦措施的方法。而防禦對策則是來自於諸多執行長官的質疑—「我們必須採取什麼行動,來阻止這些滲透活動?」愈來愈多的答案是,「用硬性技術取代軟性技能,你的人才能真正的找出攻擊行為、將它們清除,並且阻止它們再生。」 
眼前較嚴重的安全問題有:第一,優良的軟體工程實踐,和可信賴的系統架構(包括安全、可信賴性、人類安全、面對現實困境的生存能力、網路作業、軟體和設備間的互通性、發展能力、擁有操作知識等等),愈來愈深遠地影響系統發展。第二,所有小型應用系統和作業系統,以及應用程式元件,將來會變成大系統當中的小組建,並且可為特定需求特製,被用來發展可信賴系統。例如,可信賴的特定目的伺服器,像是檔案伺服器和網路伺服器,可能從其它方面看起來,就像是一般用途系統的子系統。 第三,密碼使用,將被安全而且可預期地嵌入可信賴系統。 第四,如何使建立可信賴系統的教育訓練更加普及。 
電腦安全,它讓一個重要的轉變做好事先準備:從一個客戶產品轉換到一個產業產品。當電腦和網路演變成一個基礎架構時,無論是個人使用者或是組織,他們比較關心的,純粹是它發揮的效用如何,而不是它的安全作用問題。安全將會被內嵌至所有設備中,不再是獨立產品。這並不是說安全將喪失它的重要性,差太遠了!我的意思是說,安全市場的環境,將會更類似其它產業的市場環境,例如,新汽車科技。
當主要的短期安全威脅持續地出現,以殭屍網路發送垃圾郵件方式,入侵總部系統,散播惡意程式和分散式阻斷服務攻擊(DDoS),這些問題將逐漸地在組織環境中浮出檯面。
2007年初時,發生的Viagra(威而剛)垃圾信件,是最具代表性的案例,它從Pfizer(輝瑞製藥)已殭屍化的桌上電腦,透過公司網路被寄到網路上的系統(很諷刺地,它正是威而剛的製造廠)。基於網路的動態性(dynamic nature),網路系統並沒有嚴謹的防禦措施保護,網路在管控存取時,愈來愈常發現自己被設定為攻擊目標,成為潛藏非自願的殭屍網路(botnet)的一員。我所看到的趨勢是,被販售的最新軟體安全瑕疵、零時差(zero-day)攻擊的犯罪元素,它讓殭屍化(zombification) 的整體過程,在企業網路中前所未有的獲取更大利益。 
未來5到10年的趨勢—資安專業認證將會愈來愈重要…形形色色的訓練養成,像是安全應用發展與管理議題。我們也將看到IT專家不需要像安全人員一樣,必須拿相同種類的認證,那基本上是為安全人員所設計推出的。
資料生命週期,是我們必須努力的問題—資料產生是有特定的生命期限,例如,在哪一個點是最佳,且時間已充分可以發行一張信用卡,而且之後會自我銷毀…整個的資料管理問題,也就是如何找出資料和保存資料。在下個5到10年,加密問題是一件重要事項。
最後,我們要奮戰的是整個身分管理的觀念。這的確是個全球性的問題…我們需要開發一個新世界系統,它基本上可提供我們管控自己的身分,因此,要賦予我們有保護它的能力,而且能確保它是否已受害;當發生很糟糕的事情時,我們可以在相對非常短的時間內修復它,不需要仰賴世界上任何其他人來保護我們。 
威脅將會繼續增加,而且變得愈來愈精密複雜。相對地,如何預先定義那些威脅,也將日漸困難。
攻擊者,將比以前更全神貫注在末端主機(end hosts)上,做為存取關鍵伺服器的其一手段,那是很難被察覺的。同時,加密也會被運用的更多更頻繁,以掩飾任何蓄意攻擊形式。
未來,防禦者必須依靠更多密集的安全意識訓練,以了解他們正在保護的操作環境,以及通報安全事件的環境之改變。同時,他們也需要更大量的自動化,來做環境的資料結果分析,當安全事件發生時,在時間範圍內可以採取相關行動。
隨著弱點程式攻擊快速地發展,主機型的防禦措施(host-based defense)將變得非常重要;客戶端的攻擊和普遍的加密技術,聯合限制了入侵防禦系統、防火牆,以及內容分析系統所能發揮的效用。 
無疑地,今年虛擬世界已經到了成熟階段—《第二人生》(Second Life)、《魔獸世界》(World of Warcraft)、《無盡的任務》(EverQuest)…罪犯已經開始注意線上遊戲這塊肥肉,尤其是中國的網路罪犯已意識到,可以在那個綺麗世界撈它一筆…零時差(Zero-day)攻擊—之前,算是一個燙手山芋,現在已經有點趨緩,但是我不認為它們會真正的離開。第一個粉墨登場的最引人關注,但是隨之而至的不只是弱點,而是弱點程式攻擊。
駭客攻擊新型態的裝置設備(像是iPhone),是一個成長中的威脅,過去已有很多實際案例顯示。因為那是專利的、不公開的技術,所以對第一個破解的人而言,很有獵殺的快感,讓他可以得意的說:「我已經破解了這個封閉性的產品」。年輕的孩子想要透過損毀一個網站,或是破壞一個微軟的應用程式揚名世界—不過才前一年而已…青少年和未滿13歲的孩子,當他們到達法定年齡,青少年的叛逆心態便開始作祟,破壞之前一直在使用的東西,而它們在使用的有簡訊傳輸、即時通訊還有手提裝置…微軟對修補更新週期已經非常老練,但是,你可以想像手機、iPod、iPhone和藍芽(Bluetooth)等裝置,要更新會有多困難嗎?這些小巧的機器,又即將支配未來幾年嗎?
配備有藍芽裝置的高檔車款已到來,而且會持續地深入到更多的一般車款…有了藍芽裝置,你可以有很多的便利性,但也會替你招致很多不安全。光是一個藍芽的普通弱點就會很危險…黑莓機(BlackBerry)服務曾中斷一天(2007年初)。我們可以預見,那對我們的社會將造成多嚴重的破壞;將有人必須在藍芽或黑莓機中,找出一個普通的弱點,而且那可是導致服務中斷,不單是竊取或詐騙的弱點爾爾。 

10組資安研究專家的觀察簡報

Dino Dai Zovi
Dino Dai Zovi幾乎不會從事「駭客任務」,除非在某一作業平台上,出現了真的很讓人惱怒的狀況—比如說問題出在Mac的作業系統X Platform。Dino曾在@Stake(已被賽門鐵克收購) 以及位於紐約的Matasano安全資訊公司擔任資安研究員,他以研發專門獵殺虛擬惡意Rootkit軟體的Vitriol檢測工具,而聞名於資安業界。他的Vitriol則是專門對抗Mac OS X Kernel以及KARMA等無線資訊安全檢測軟體。

Joanna Rutkowska

這位波蘭的著名研究人員Joanna Rutkowska,她著名的虛擬惡意rootkit軟體程序的簡報,因特別搭配她的研究發現:藍色藥丸-她語不驚人地號稱的這強大的「藍色藥丸」甚至在64位元的Vista系統中完全無法被檢測到,而曾兩度被黑帽簡報會議(Black Hat Briefings)名為資安之星。今年,Rutkowska則是提出了「藍色藥丸」有可能在以硬體為基礎的記憶體執行擷取動作時被發現的論證。

Billy Hoffman
惠普併購了資訊安全專業公司SPI Dynamics後,也一併將其最冰雪聰明的網路資安應用駭客網羅至旗下企業體中。首席工程師Billy Hoffman則在以下以他為中心的產品研發中,扮演最前線也最核心的角色,其中包括Java和瀏覽器資安產品,以及他的Jikto工具,專門對付跨站指令碼(Cross-Site Scripting, XSS)的漏洞,這項研究今年可真是讓眾多資安人大大開了眼界。
Nate Lawson
Nate Lawson最近在設備組態嵌入式安全解決應用的研究,為資安業界帶來了長遠的影響。Lawson在今年曾退居幕後協助RealSecure入侵檢測系統的產品設計,他並設計出藍光光碟Blue-Ray discs,因其具有版權管理機制,為DRM系統帶來新契機。

Adrian Perrig
Adrian Perrig是卡內基美隆大學數位研究室眾多絕頂聰明天才的其中之一。身為電子與電腦工程助理教授,Perring正在從事研究如何將資安系統嵌入至重新設計的網際網路中。他也是一群研發反釣魚工具的「釣魚預防Phoolproof Phishing」小組成員之一,這項工具是通過利用第三方認證器,也就是移動設備(如手機或PDA)以確認使用者和伺服器的認證和權限。

David Maynor與Robert Grahmam
兩位ISS資安前輩,David Maynor與Robert Grahmam,目前經營一家顧問公司,Errata Security。不過,如同 Dai Zovi一般,他們必須利用公餘時間,維持供應商的良好信用狀態。Maynor以Mac Book Wi-Fi的駭客演示,兩年前在黑帽大會引發爭議。而Graham則在次年的黑帽大會上,示範了如何利用現場的無線網路,在網路郵件程式和交友等社交網站當中,進行會話劫持,凸顯了網路安全的弱點。


Dan Kaminsky
Dan Kaminsky在黑帽大會中的Black Ops,已經是黑帽大會中行之有年絕對必看的簡報。他網路涵蓋廣泛的研究調查激發了許多獨創的發現,有助於DNS的改進、SSL的掃瞄、以及CAPTCHA 識別安全的分析。Kaminsky是一位支持網路中立性的公正代言人。

Vern Paxson
Vern Paxson是網路蠕蟲以及蠕蟲行為模型分析的權威人士。他最新的研究觀察:由於目前Paxson是國家科學基金會的網路望遠鏡專案的成員之一,這也代表了該組織有針對蠕蟲活動有及早警示的系統部署。

Jeremiah Grossman
以一位網路應用方案安全的權威人士而言,Jeremiah Grossman大概可說是對於網站以及瀏覽器多重易受攻擊弱點,具有最佳與最深入瞭解與認識的專家。Grossman目前是白帽安全協會的創辦人兼技術長,同時也是前任雅虎資訊安全長。


Jose Nazario
Jose Nazario是Arbor網路的首席網路安全研究員之一,同時也是蠕蟲與蠕蟲偵測、殭屍網路以及分散式阻斷攻擊的想法領袖。Nazario已經研發出自動追蹤殭屍網路、以及惡意勒索軟體分析工具,同時他還負責6個CVE弱點管理。