防火墙的安全就是关注细节,Marcus J. Ranum是IT安全领域全球知名的专家和创新者,在行业内备受赞誉。二十年前,他设计并创建了 Digital Equipment Corporation's (DEC) Secure External Access Link,即很多人所认识的第一款商业防火墙产品。
他曾经担任过多家知名企业的首席安全主管,并曾经负责管理白宫的电子邮件系统。他曾经为财富500强中的多家企业提供过安全咨询服务。Ranum目前居住在宾夕法尼亚州的一个远离城市和宽带网络的农场里。他很希望看到IT安全领域的战争结束,即使这意味着安全行业消失。
您为什么会加入信息安全行业?您最感兴趣的是什么?
其实我进入这个行业是很偶然的,那时候我在DEC的老板Fred Avolio让我负责公司的一个互联网网关,并让我“建立一个像Brian Reid 和 Bill Cheswick那样的防火墙”。20年后的今天,我觉得我还是在继续这个项目。老实说,我没在计算机安全行业发现什么有趣的事情,一旦你理解了策略的问题,剩下的就是花大量精力关注细节。
我在安全领域发现的最有趣的事情,大概就是有关于人们面对安全问题时的反应:他们总是想尽量安全的去做那些很危险的事情,而当你告诉他们这样做不可以的时候,他们通常都很愤怒。所以在我看来,整个行业就是一面是希望和努力,另一面是愤世嫉俗和无知,这两者之间的博弈。
您认为目前信息安全领域最普遍的问题是什么?该怎么解决呢?
信息安全领域最常见的一个问题也是我们从来没有去过多关注的,就是在终端系统上实现可靠的软件(安全性也是属于可靠性的)。这包含了操作系统设计和编码的可靠性,目前这两个方面的趋势是反向发展的。因此,也就出现了目前流行的“云计算”,即将主框架虚拟化:承认了目前终端设备具有很差的管理性能以及不可靠性,将数据和处理过程交由更好的数据维护机构去维护和管理,确保数据的可靠性,并降低IT部门的成本。
当然,这只是痴人说梦。为什么呢,因为令我们的终端系统出现不可靠性的因素同样出现在建立云服务的过程中。
那么该怎么去解决这个问题呢?重申一下,这个趋势的发展方向是错误的,而解决之道需要先进的技术管理模式,通过适度的投标需求,良好的软件工程,以及严谨的工作态度,而不是只考虑投标价格最低的供应商。这样整个趋势才可能自己修复。
我们需要做的就是全力关注可靠性,即包括品质在内的各种内容。
您并不赞赏黑名单模式,但是业界很多公司都在经营基于黑名单的安全产品,并且相当成功。您能解释一下您为什么不看好黑名单模式,以及您是否认为未来白名单将占统治地位?如果白名单成为主流,那么安全行业的收入状况将发生什么样的变化?
不是这样的,我本人是黑名单模式的大粉丝!这是一个非常重要的技术!只不过这个技术并没有回答广大用户的一个疑问,即“这个软件到底好不好?”。黑名单是用来鉴定某个内容的最佳技术,因为它不但可以回答“这货是坏的吗?”这个问题,还能告诉我们“这货到底是神马?”这非常符合人性的特点,即想对自己接触到的东西进行确认。这就是基于特征码的入侵检测/预防系统以及基于特征码的杀毒软件能得到广大用户支持的原因。这个技术很好理解,实现起来也很容易,并且可以持续不断的销售升级版本的特征库。
当你听说像Symantec这样的大公司都说黑名单不灵光的时候,我觉得这就是一个很重要的信号了,而目前安全软件行业的大部分厂商还是停留在有盈利就万事OK的阶段。目前行业中存在一个趋势,即建立一个基于云的完全混合的黑名单,这似乎是可以得到不少用户的信赖和认可,但是从长远看,这种动态黑名单也不会比现在的静态黑名单强多少。这里我所述的强弱是指“帮助客户解决恶意软件问题”,如果你的意思是指“帮助杀毒软件厂商解决他们自身的财务问题”,那我肯定会说,这个动态黑名单非常有效,并且在相当长一段时间内都会让这些厂商眉开眼笑。
另外,我还问过很多IT经理相同的问题:“你为什么要给客户一台电脑?如果你知道客户为什么想要一台电脑,为什么你不将电脑设置成只能执行客户所需的那几种功能,而其它功能一概不能执行。”这里所说的其它功能,包括比如“加入僵尸网络散发垃圾邮件”。我一直很困惑,为什么很多IT经理都说很难知道客户的电脑中到底运行了多少软件。我认为这是IT部门分内的事情。如果我的公司给我配了一台电脑,让我能够收发电邮,编辑公司的文档,那么应该很清楚的知道我电脑里应该会有一些文本编辑工具或办公套件,以及一个电子邮件客户端程序,能让我顺利收发电子邮件,除此以外,应该就不会有别的程序了。有一段时间,我觉得那些强大的智能手机上运行的软件商店是一个很不错的实现软件管理的方式,完全可用于桌面电脑系统,帮助提高系统的安全水平。但是后来我发现软件店成为了黑客的首选目标,软件店里的软件成为了黑客散布病毒的最佳载体。
因此,你还是需要一个黑名单系统,这样你就可以告诉某人:“你刚刚要安装的那个软件叫做 Stuxnet”,这很不错,而且很有用。但是你更需要的是白名单,因为这样才能体现出你到底想要你的电脑做些什么。我们可以拿一个防火墙策略来说明这个问题,传统的策略无非是默认拒绝和默认通过这两种。安全意识高的用户一般选择默认拒绝,而那些选择默认通过的用户,就要花很多时间来处理各种意外情况。二者的差别相当明显。
至于安全行业收入的问题,谁又会在意呢?就好像没有人会在意内燃机的出现对蒸汽机行业的冲击一样。事实上,我觉得如果有一天我们都能从安全威胁中解放出来,把安全工具扔到一边说“没问题了,我们编个游戏玩吧!”,那简直就太好了。不管你信不信,在防火墙行业刚起步的时候,我还打算把全部安全所需的产品开发出来呢,那时候觉得无外乎就是基于策略的访问控制,离线认证,点到点加密以及提高这些软件的品质。而到了90年代末期,疯子掌管了疯人院,于是结果就不言自明了。#p#
企业针对移动设备的安全策略
你曾经说现在的企业没有毅力控制个人设备进入企业。真的是这样吗?目前企业平台的安全性不足以确保员工自己的设备的安全吗?
让我来反问你一下,好吗?你觉得如果美国政府宣布,核导弹系统的控制软件已经移植到iPad上了,并且导弹部队的官兵可以用自己的iPad来运行和管理导弹系统,从而大大降低了导弹系统的管理成本。你觉得这事儿靠谱么?
这是视情况而定的:取决于事情的危机程度,对象的可替代程度,还有就是一旦出现问题,能否及时清除问题,以及你是否真的希望出现问题。只要是采访过公司数据泄漏,银行信用卡信息泄漏之类新闻的记者,都不会问你这个问题。
你问我的问题应该是:为什么企业能容忍制作的这么糙,这么难以管理的系统和软件存在,以至于他们都不知道该拿这些系统和软件怎么办了。但是他们还是让用户通过这些软件和系统登录自己的银行账户。他们这是不是脑残啊?这不可避免的带来了诸如不良的配置管理或不良的系统管理问题,或者说企业根本不懂IT。
没错,我就是在痛斥如今IT管理领域的一些趋势。
你还认为入侵测试和打补丁同样会让软件越来越安全吗?软件厂商会改变他们对于安全问题的态度吗?
是的。对于雕刻家来说,他可以一开始面对一块大理石,逐步去掉所有不像天使的部分,最后展现给人们一个天使雕塑,但是对于软件来说就不是这样了。你不可能一开始就把一个设计的垃圾一样的产品归入企业级软件的行列,然后不断的推出补丁进行修补,慢慢让它符合企业软件的标准。不管你怎么修饰,它还是垃圾。
软件行业现在基本上认识到了这一点,偶尔你还能看到某个软件重新编写了内核,因为最初的版本太局限。随着软件越来越复杂,功能越来越多,开发人员一般都开始使用源代码版本控制工具,单元测试工具,回归测试工具等进行管理。
问题在于,现在的软件行业是一个以上市时间为首要目标的行业,因为上市时间决定了回报大小,要他们做一些会影响到上市时间的工作,就好像在逼它们成为失败者一样。有时候可以通过一种模式来改变这一现状,即“先开发一个测试版,放到市场上吸引用户,如果成功了,就吸取其中的经验,在稍后开发一套正式版本”,但是我怕很多厂商会把第一个测试版的内核拿过来作为产品未来十年的内核用。实际上我们见到的很多软件都是这样的,最终结果并不好。
你曾经预测6-10年内黑客将不再是很酷的称号,对非技术人员的安全培训将毫无成果。您现在怎么看?
我想,至少我要感谢一下恶意软件和僵尸网络,以及职业化的网络罪犯,正因为他们,很多“正常人”都已经对黑客文化没什么印象了。而人们对于“灰帽子”社团的网络盈利模式也已经很清楚了,因此我觉得黑客社团应该想办法处理一些名誉的问题了。
至于对非技术人员的安全培训问题,我可能是预测错误了。我的错误不在于说培训没用,而是错在了我觉得新一代的领导层能更好的重视安全问题。而且在我看来好像更糟糕了。
哪种手机平台,或者您希望哪种手机平台会最终胜出,是开源的安卓,非开源的苹果系统还是黑莓。
我希望他们都完蛋,当然,从长远看,这是必然的。有一首歌叫做"Every OS Sucks" 很好的总结了我的观点。我透露一点:我买了个iPad,因为它放电影不错,而且不会被当做是手机。我真的挺喜欢“软件店”这种软件交付模式,它比让用户自己寻找软件,下载软件,再安装软件的方式好多了,既方便了用户,又能确保用户手机里不会装太多乱七八糟的东西。但是我还是担心软件的代码品质。
隐私保护的神马都是浮云
您曾经告诉我隐私就是个神话,是少数特权者持有的东西。现在您还是这么认为吗,您认为未来隐私保护的发展会是什么样的?
我想我之前说过的隐私问题更多的是针对富人和权力者的。而我们最近能看到,这种虚伪的保护隐私的面具已经被揭开了:美国政府继续保持它惯有的对隐私的践踏,并且不断的在为自己和其走狗的犯罪行为进行开脱。比如说,如果你阅读了Sarah Palin(阿拉斯加州州长)的邮件,你会给自己惹上麻烦,但是如你读了Joe Average的邮件,你就是FBI了。隐私权是特权者的权利,因为特权者需要借助隐私权的名义防止人们知道自己利用权利获得了什么好处。
另外,现在地球人好像都热衷于加入社交网站。社交网站本身就是一个收集并转售市场营销信息,同时将广告直接贴到用户脸上的大型信息贩卖中心。而当用户发现自己的信息遭到泄漏和贩卖时,反而还责怪社交网站,殊不知人家建立网站的初衷就在于此,你还能指望什么呢?实际上,我自己并不在意隐私问题,几年前,我就开始采用一种相对开放的生活方式。只要你愿意,你可以很方便的得到我的各种信息,姓名、住址、邮箱地址、我饭量多大、喜欢听什么音乐,甚至我晚上跟谁睡觉你都能知道。但是有一些小的隐私问题确实让我很恼火,而这基本都是跟愚蠢的商业行为挂钩的。比如在过去15年,我每月都会从同一家银行收到信用卡申请单,我曾经不止一次的告诉他们我不需要申请信用卡,但是他们还是照常寄送。还好我有个大垃圾桶,既然他们不介意成本浪费,我也就只好满足他们了。
我读过您的“六个最愚蠢的观点”一文,除此以外您还对哪些观点有不同意见呢?
那个文章最初列出的愚蠢观点稍多于六个,第七个应该是写“忽略信任传递”。当时写这篇稿子的时候我正被困在法兰克福机场,我太累了,所以具体的解释内容就变得心有余而力不足了。另外,如果我够胆,我还会告诉喜欢进行项目外包的企业和云计算粉丝们,“现在的成本节约就是永远的节约”这个想法是多么愚蠢。
能简短的解释一下为什么您将网络战争说成是头脑风暴么?
我这么说有很多原因:技术,策略,和逻辑。这都是头脑风暴的特点。推动网络战争言论的人基本上要么是危言耸听(说国家将遭受巨大经济损失)或者根本就不明白战争实际上是局部地域的,而网络战争只是个闪亮而不切实际的玩具而已。不幸的是,由于有大量利益涉及其中,很多人已经顾不得理会合理的反对意见了,或者是被有些人描绘的城市陷入火海的画面吓到了,出于本能的恐惧而站到了支持方。
有个最短小的理由可以来驳斥那些预言发生网络战争的人:只有那些确信自己能打赢任何常规战争的国家,才有可能发动网络战争。因为那些能力不足以打赢常规战争的国家,如果对美国发动网络战争,必然会引发常规战争,而对于美国这个全球部署战斗力的国家来说,常规战争的胜利是必然的。网络战争的鼓吹者们经常把网络战争和网络犯罪,网络间谍,网络恐怖活动等混在一起,统称为网络战争,而实际上,这些活动各不相同,有些还是互斥的。
【编辑推荐】
