十大安全性防护守则(上)
每年微软安全响应中心(Microsoft Security Response Center)调查的安全报告数以千计。在部分案例中,一旦发现其中一份报告指出某个安全性的弱点肇因于某项产品的缺陷,微软就会尽快开发修补程序以修正错误 (请参阅浏览Microsoft Security Response Center)。在其它的案例中,报告的问题不过是在使用产品时人为错误所致。还有很多的案例是介于两者之间,探讨的是真正的安全性问题,但往往并非由产品缺陷所引起。几年以来,微软开发出类似这些问题的清单,称为“十个不变的安全性法则”。
别费神等待防止以下所讨论之问题发生的修补程序上市。Microsoft 或其它软件厂商不可能完全修补这些问题,因为这些问题是因计算机的运作方式而产生。但也别完全绝望,明智的判断力是防止这些问题在您身上发生的关键。如果 您牢记这些法则,便可以显著的改善您系统的安全性。
法则1:如果动机不良的人能够说服您在自己计算机上执行他的程序,那么该计算机便不再属于您。
这是计算机科学不幸的事实:当计算机程序执行时,不管该程序是否有害,它会遵照程序指示作业。当您选择执行一个程序时,这个决定便把计算机的控制权 托付给该程序。一旦程序开始执行,可能会做任何事情,但不会超越您在计算机上所能做的事。程序可以监视您的按键输入并传送到网站、打开计算机上的每一个文 件,并将所有文件中的「会」这个字变更为「不会」、传送粗鲁无礼的电子邮件给您所有的朋友、安装病毒、建立「后门」让他人远程控制您的计算机、拨接到尼泊 尔加德满都的 ISP,或者把您的硬盘重新格式化。
所以这点非常重要:永远不要从不能信任的资源执行甚至下载程序,而「资源」所指的是写程序而不是给您程序的人。执行程序与吃三明治是很好的模拟:如 果有个陌生人走到您面前,给您一块三明治,您会吃吗?恐怕不会吧;如果是您最好的朋友给您三明治呢?您可能会吃,也可能不会吃,得看她是自己做的还是在路 上捡到的。将三明治情境中使用的判断思考应用到程序上,您多半会很安全。
法则2:如果动机不良的人能够在您的计算机上变更操作系统,那么该计算机便不再属于您。
操作系统最终不过是一系列的 0 与 1,被处理器解译时,会引发计算机做特定的事件,而 0 与 1 改变时,会完成不同的事件。0 与 1 储存在哪里呢?就是与其它东西共同存在计算机上!它们只是文件,但如果其它使用计算机的人可以变更这些文件,那就不妙了。
要了解原因,就要把操作系统文件,想象成计算机中最能够信任的文件,且通常是以系统层次的特殊权限执行,也就是说它们可以做任何的事情。此外,可以 信任它们管理使用者账户、处理密码变更,以及执行谁可以做什么的支配规则。如果一个动机不良的人变更这些文件,这些文件就变得无法信任,并且会做此人叫它 们做的事,因此没有什么他办不到的事。他可以窃取密码,让他自己成为计算机的系统管理员,或是新增全新的功能到操作系统。为预防这类型的攻击,请确定系统 文件 (与登录文件) 的保护周全 (在 Microsoft Security 网站上的安全检查清单,会帮助您做到这点)。
法则3:如果动机不良的人能够无限制地实体存取您的计算机,那么该计算机便不再属于您。
如果一个动机不良的人能够使用您的计算机,他可以做的事情不少。这里列出从石器时代到太空时代的取样:
他可以发动技术性极低的拒绝服务攻击,并用大锤砸烂您的计算机。
·他可以把计算机的插座拔掉,把它运到大楼外面,然后以它要挟赎金。
·他可以用磁盘开机,重新格式化您的硬盘。但是等一等,您说:「计算机开机时,计算机上的 BIOS 有设定提示输入密码。」这没什么难的,他大可打开计算机机壳,变更系统硬件,更换 BIOS 的芯片 (其实,还有很多更容易的方式)。
·他可以把您的硬盘从您的计算机移除,然后把它安装到他的计算机并阅读里面的东西。
·他可以复制您的硬盘然后带回他的窝。在那里,他有足够的时间进行暴力攻击,例如尝试所有可能的登入密码。有可用的程序自动化这个工作,假如时间足够,毫无疑问的他会成功。成功后,前述的法则 1 与法则 2 就派上用场了。
·他可以将您的键盘替换成装有无线发报机的键盘,监视您输入的所有讯息,包括您的密码。
要永远确定计算机实体的保护与其价值成正比,并记住计算机的价值不是只有硬件的部分,还包括其中的数据以及动机不良之人得以存取您网络的价值。商业关键性 的机器,至少要放在上锁的机房,只让系统管理员或维修人员存取。但是您可能也要考虑保护其它的计算机,并可能使用额外的保护措施。
如果您带着笔记型计算机旅行,对它的保护绝对很重要。体积小、重量轻等让笔记型计算机成为旅行良伴的特性,也是让它们非常容易遭窃的原因。目前有笔 记型计算机可用的锁与警铃,有的计算机还能让您取下硬盘并随身携带。您也可以使用像是 Windows 2000 加密文件系统的功能,有人成功窃取计算机时可以减轻损害。但是可以让您完全确定文件数据安全与硬件未被变动的唯一方式,就是在旅行时永远将笔记型计算机随身携带。
网友评论