logo资料库

网络信息安全的真相(中文文字版).pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:1.61M 资料格式:pdf 举报 版权申诉
第1页 / 共211页
第2页 / 共211页
第3页 / 共211页
第4页 / 共211页
第5页 / 共211页
第6页 / 共211页
第7页 / 共211页
第8页 / 共211页
资料共211页,剩余部分请下载后查看
    网络信息安全 网络信息安全 第 1 章 引言 在 2000 年的 3 月间,我记录了来自各种消息源的安全事件。以下是新闻摘要: 某人闯入了 SalesGate.com 的 BZB(business-to-business)网站,窃取了约 3000 客 户的记录,其中包括信用卡号以及其他个人信息。此人还在互联网上张贴了其中一些人的资 料。 数年来,个人信息一直被从网站(如 Intuit)上泄露给广告商(如 DoubleClick)。当 访问者在 Intuit 网站上使用各种财务计算器时,网站程序中的一个小的设计差错就会把用户 输人的信息传送给 DoubleClick。这种情况是在用户不知情或者未经用户同意时发生的,而 且(更加令人感到吃惊)Intuint 对此也同样是不知情或者未经过它的同意。 被判犯罪的黑客 Kevin Mitnick 在立法机关面前服法。他告诉他们,社会工程是一个主 要的安全薄弱环节:他经常只需假装成其他人进行询问,就会得到密码及其他的秘密。 GalluP(盖洛普)民意调查表明,三分之一的在线客户表示受到了最近发生的计算机安 全事件的影响,他们有可能不愿意从网站购物。 从索尼公司(Sony)网站订购 Playstation 2 客户的个人资料曾被意外地泄露给其他的 客户(实际上这是所有网站都不能控制的问题。人们在结账时,却会看到另一位网络客户的 信息内容)。 Amazon.com 为第三方网站提供的转荐服务支付佣金。某人发现的一种破坏管理此操作程 序的方法,能够让任何人将信息传送给各种人。Amazon 是否将此视为问题还不得而知。 美国中央情报局的主管否认美国涉嫌经济间谍活动,不过并未继续否认名为 ECHELON 的 大规模情报收集系统的存在。 22 岁的 Pierre-Guy Lavoie 因闯人数台加拿大和美国政府的计算机,而在魁北克被定 罪。他将在监狱服刑 12 个月。 日本国防机构在发现奥姆真理教的狂热分子已开发出相关软件之后,推迟布署一种新型 的计算机防御系统。 一种名为 Pretty Park 的新型电子邮件蠕虫在互联网上广为蔓延。它只是对去年出现的 同类病毒进行了微小的改动。它通过把自己传送给用户的 Outlook Express 程序的地址表中 的所有地址,自动进行传播。 Novell 和 Microsoft 继续就利用 Windows 2000 的现有活动目录的一个可疑的安全臭虫 展开针尖对麦芒式的交锋。这是否成为一个真正的问题取决于你从你的目录中所期待的安全 属性(我认为这是 Windows 中的一个设计缺陷,而不是一个臭虫)。 在西西里岛的两个人(Giuseppe Russo 和他的妻子 Sandra Elazar)因在互联网上偷盗 了约 1500 个信用卡号,并用它们购买奢侈品及彩票而被捕。 名为“Coli。” 的黑客(实际上是一个令人讨厌的青少年)否认在 2000 年 2 月里发起了 1/211
    网络信息安全 大规模的拒绝接人服务型的攻击。他承认在过去曾破坏性闯人过约 100 个网站,其中包括长 于加密的 RSA 安全公司,以及属于美国国务院的一家口站。 攻击者针对 Microsoft 的以色列网站发起了一次拒绝接受服务型的攻击。 别名为“The Gatsby”的 Jonathan Bosanac 因破坏性闯入三家电话公司的网站,而被 判刑 18 个月。 以下是 2000 年 3 月期间,关于某些软件的缺陷报告: 有报告称 Microsoft Internet Explorer 5.0(在 Windows 95、98、NT4.0 以及 2000 里都有)中的缺陷允许攻击者建立一个网页,并可执行访问者计算机中的任何程序。 通过修改 URL(统一资源定位符),攻击者可以完全避开保护 Axis StarPoint CD-ROM 服务器的远程管理屏的鉴别机制。 如果一名攻击者向 Netscape Enterprise Server 3.6 发送特定类型的长消息,缓冲区 的溢出就会破坏一个特定的程序。攻击者也就能以远程方式在服务器上随心所欲地执行代码。 完全有可能发起互联网安全系统(ISS)公司的 Realsecure 网络人侵检测软件无法检测 出来的攻击(一种为拒绝服务型的攻击,另一种为针对 CGI 脚本的攻击)。 攻击者通过把一个特定的 URL 发送给运行着 Alliaire 的 ColdFusion 产品的服务器,就 可以接收到一个关于各种文件的物理路径的出错消息。 Omniback 是惠普公司的一个产品,用于定期执行系统备份。攻击者可以对此产品做手脚, 造成拒绝服务型攻击。 Dosemu 是随 Corel Linux.0 配备的 DOS 仿真程序。在 Dosemu 的配置中也存在缺陷,它 允许用户以根优先权执行命令。 攻击者只要修改特定的变量内容,就可以利用 DNgybolS.0.8 中的缺陷执行任意代码。 SGI 有一个名为 Infosearch 的信息包,它可以自动地把文本文件转换成 HTML Web 内容。 CGI 脚本中的一个臭虫允许攻击者在服务器上以网络服务器的优先权级别执行命令。 在电子邮件客户机 The Bat!中也发现了数个缺陷,它们允许攻击者从用户的计算机中 偷取文件。 Microsoft 的剪贴画功能可让用户从网络上下载剪贴画文件。在特定的环境下,一个变 形的剪贴画文件可以让任何代码在用户的计算机上运行。 如果向 Bison Ware 的 FTP Server 3.5 发送一个长的登录名和密码(甚至是一个错误的 密码),它就会崩溃。 入侵者可以使用特殊编码的 URL,令 Windows 95 和 98 计算机崩溃。 下面是 attrition.org 网站上列出的、于 2000 年 3 月期间被涂毁的 65 家知名同站的清 单。在本文中,“被涂毁”意味着某人闯入了网站,并且修改了主页: Tee Plus ; Suede Records ; Masan City Hall ; The Gallup Organization ; Wired connection ; Vanier College ; Name Our Child ; Mahan Books ; Laboratorio de Mathematica Aplicada da Unlversidade Federal do Rio de Janeiro; 2/211
    网络信息安全 Elite Calendar ; Centro de Processamento de Dados do Rio de Janeiro;Parliament of India;United Network for Organ Sharing;UK Jobs; Tennessee State University;St.Louis Metropolitan Wewer district;...... 最后,我的一位朋友的家用计算机,通过有线调制解调器上网,也受到了攻击: .有 26 次扫描,寻找可利用的缺陷。 .有 4 次特别坚定的问人这台计算机的企图,其中包括基本缺陷扫描以及成堆的、其他狡 猾的黑客伎俩。 实际上,清单上的攻击只是发生在 2000 年 3 月的 1 号到 7 号这几天里。此后我就厌倦了 保留此类记录。 浏览了这个清单之后,令我震惊的是问题、缺陷以及攻击的范围是如此之广。这些缺陷 有的位于据称是安全的软件产品中,有些缺陷则位于经过了安全设计的电子商务系统中。某 些缺陷是在新产品中,还有其他的缺陷则位于销售多年的产品之中。有时供应商甚至不承认 这些问题存在。 2000 年 3 月的头 7 天并非特例。其他数周也有类似的记录,有些记录则更糟。实际上, 资料显示情况正变得更加糟糕:安全缺陷、侵犯以及灾难性事件的数量正随着时间的推移而 增加。我们学会有关安全的东西越多——如何设计加密算法、如何建立安全的操作系统等, 我们建立的系统越不安全。为什么会这样,我们应怎么办,这正是本书的主题。 1.1 系统 “系统”的概念对于科学而言还相对较新。东方的哲学家很早以前就将世界视为一个由 各种要素组成的单个系统,不过西方的哲学家则把世界分割成以不同方式相互作用的独立事 物。 机器是最近才成为系统的。滑轮是一台机器;电梯是由许多不同机器构成的一个复杂的 系统。各种系统是相互作用的:电梯与大楼内的电气系统、消防系统,甚至还可能有环境控 制系统相互作用。计算机相互作用形成网络,而网络也相互作用形成更大的网络,个中道理 不难理解。 海军上将 Grace Hopper 说过:“二战前的世界还很简单,二战后我们才有了系统”。 这一评论具有深刻见解。 一旦开始形成系统的概念,人们就可能在更加复杂的程度上设计并建立系统。这是大楼 与摩天大厦之间,加农炮与爱国者导弹之间,降落跑道与飞机场之间的根本差别。任何人都 可以设立一个交通信号灯,但是要设计一个全市的交通控制系统则远非常人所能。 互联网可能是至今发展出的、最为复杂的系统。它将数百万台计算机连接到一个复杂得 令人难以想象的物理网络上。每台计算机中有数百个在其上运行的软件程序;其中的一些程 序与此计算机上的其他程序相互作用,另一些程序则穿过网络与其他计算机上的其他程序相 互作用。该系统从数百万人那里接收用户输人,有时则同时接收所有的输人。 正像人们常说的:“先生,就像看狗站立,让人惊讶的不是站得好不好,而是它是否站 起来”。 3/211
    网络信息安全 本书将介绍系统的很多有趣属性。 首先是复杂性。机器相对简单:一个锤子,一个门折页,一把切牛排的小刀。系统则要 复杂得多,它们有零件、反馈环路、故障的平均时间、基础结构等。数字系统则是错综复杂 的;即便是一个简单的计算机程序也会有数十万行的计算机代码,执行各种不同的操作。一 个复杂的计算机程序有数千个构成要素,每个构成要素都得自己运行,并且与其他所有的构 成要素相互作用。这就是开发面向对象的编程方式的原因:处理数字系统的复杂性。 其次,系统之间彼此相互作用,形成更大的系统。这种情况可以有目的地实现,比如程 序员采用不同对象把大系统拆分成小一些的系统,工程师把大的机械系统拆分成小型的子系 统,等等。这种情况还可以自然发生,如汽车的发明,导致现代道路与高速公路系统的发展, 而且这种发展又依次与我们日常生活中的其他系统相互作用,从而产生了郊区。航空交通控 制系统与飞机上的导航系统和天气预报系统相互作用。人体与人体之间以及人体与地球上的 其他系统相互作用。互联网将自身与我们社会中的每个重要系统都联系在一起。 第三,系统有新兴的属性。换言之,它们做了用户或设计者未能预期到的事情。例如, 电话系统改变了人们的相互影响方式(Alexander Graham Bell 当时并没有想到电话是一个 个人通信设施;他认为你能够用它提前发出有电报的通知)。汽车改变了人们会面、约会,以 及恋爱的方式。大楼中的环境控制系统对人们的健康有影响,而这又会影响到保健系统。字 处理系统改变了人们书写的方式。互联网中充满了新兴的属性;想想出时、虚拟性爱、合作 授权等。 第四,系统有臭虫或缺陷。臭虫是一种特殊的失误。它是系统的一个新兴属性,不过是 不值得人向往的那种,它不同于故障。当某东西出故障时,“它不能再正常运行。当某东西 有臭虫时,它就以一种特殊的方式采取不端行为,可能无法重复,而且可能无法解释。臭虫 是系统独有的属性。机器可以损坏、出故障或不运行,但是只有系统才会有臭虫。 1.2 系统与安全 上述属性都对系统的安全有深远的影响。目前要给“安全” 一个精确的定义还相当困 难,原因是保证一个像互联网这样的复杂系统的安全极其困难,从根本上讲,这是因为它是 一个复杂的系统。系统是很难实现安全的,而实现复杂系统的安全则更加困难。 对于计算机化的系统而言,通常的复制机制忽视了系统,而专注于单个计算机……技术。 这就是我们在安全技术方面,如加密术、防火墙、公开密钥基础结构以及防篡改等等方面, 还有大量工作要做的原因。这些技术更加易于理解、易于探讨,并且更加易于实现安全。这 些技术都具有这种自负,即它们能够神秘地利用<reverence type=“hushed>Secuity< /reverence>属性深深影响系统。 事实并不尽然,结果可以从我 2000 年 3 月头 7 天的安全记录中看到。大多数安全事件可 以归于先前列出的 4 个系统属性中的一个或多个。 复杂性。Windows 2000 的现有活动目录中的安全问题可以直接归于任何基于计算机的目 录系统的复杂性。这就是我认为它是一个设计缺陷的原因;Microsoft 制定了一个能够促进 可用性的设计方案,却损害了安全。 交互性。Intuit 网站上的软件与 DoubleClick 用来向网络用户显示广告的软件之间的相 互影响导致信息从一个人那里泄露到另一个人那里。 4/211
    网络信息安全 创新性。据新闻报道说,Sony 的程序员并没有想到信用卡信息会从一个用户泄露到另一 个用户那里,它却恰恰发生了。 隐含的臭虫。Netscape Enterprise Server 3.6 中的缺陷是由一个程序臭虫导致的。攻 击者能够利用这个臭虫引发安全问题。 本书中的许多内容(尤其在第 3 部分中)专门详细解释了安全应该被视为较大系统中的 一个系统的原因,不过,我愿意你从开始起就把这两件事情铭记在心。 首先是安全理论与安全实践之间的关系。在安全理论方面有大量重大的理论支持,却输 于实践的检验。 Yogi Berra 曾经说过:“从理论上说理论与实践之间没有差异,但在实践中,两者却是 有差异的。” 理论在理想条件和实验室环境中能够起到最佳的作用。出自我校物理系中的一则流行笑 话是“假设一只球形的、统一密度的母牛”。我们只能够在理想化的系统中做计算。现实世 界要比理论世界复杂得多。数字系统的安全也是同样的:我们可以设计理想化的、证明是可 靠的操作系统,但是我们却不能真正建立这些系统,让它们在现实世界中安全地运行。现实 世界涉及到设计中的折衷、没有预见的变量以及不完美的实施等。 现实的系统并不会改变自身以适合理论上的推导,只有老式学校的学究们才会唯理至上。 球形母牛必须与现实的 Holstein 具有相同的新兴特征才行,但事实并非如此。因而科学家就 是科学家,而不是工程师。 第二个要铭记在心的事情,是预防、检测与做出反应之间的关系。好的安全性能包括以 下所有内容:一个保护财富的保险库,检测到试图打开保险库的盗贼时就会发出警报,警察 会及时对警报做出反应,并逮捕盗贼。数字安全系统趋向于完全依赖预防:加密术、防火墙 以及其他等等,通常没有检测,而且几乎没有任何响应或审查。一个只预防的策略只是在预 防机制完美无缺的情况下才起作用;否则有人将会找出如何避开它们的方法。本章中列出的 大多数攻击及缺陷都是避开预防机制的结果。面对这种已知的现实情况,检测与响应就变得 至关重要。 计算机安全通常以抽象的广告形式出现:“该系统是安全的”。产品供应商可能会说: “本产品能够保护你的网络安全”,或者说:“我们能够保护电子商务的安全”。上述断言 显然十分天真和过于简单。这些产品供应商们着眼的是产品的安全,而不是系统的安全。对 此需要最先提出的问题是:“安全来自于谁?” 以及“安全是针对什么的?”。 这些都是真正的问题。不妨试想一位销售安全操作系统的厂商,他能安全阻止手榴弹落 到 CPU 上吗?能够阻止某人直接将视频摄像头放到键盘及显示屏后面吗?能够阻止某人渗透 到公司中吗?恐怕不能;这并不是因为操作系统有缺陷,而是因为有人有意、无意地制定了 各种设计方案,而这些方案正与该操作系统要阻止的各类攻击以及忽视的各类攻击有关。 如果未经深思就制订了上述方案,问题就会随之而来,而且这些问题并不总像前面示例 那样具体明了。一台安全的电话是要阻止一个临时的听众、一个资金充足的窃听者或者一个 国家的情报机构?一家安全的银行系统是要阻止客户行骗、商家行骗、出纳员行骗还是银行 经理的行骗呢?一旦使用了另外的产品,是否就能提高或降低各种安全所需的安全性呢?对 许多人而言,某种特殊的安全技术到底能做什么不能做什么,实在是太深奥了。 安全从来就不是一种非白即黑的概念,其背景关系远比技术更重要。比如一个安全的操 5/211
    网络信息安全 作系统无法阻止手榴弹的原因并不意味着它就无用;相反它意味着我们不能没有墙、门锁及 窗户栏杆儿。不同的安全技术在一个综合的安全方案中占有不同的重要地位。一种系统可能 能够利用特定的技术装置,阻止普通的罪犯,或是一定类型的产业间谍,或是一个国家级情 报机构的侵犯。只要不出现特定的数学进步,或者在某一个特定的时期内,或者针对特定类 型的攻击而言,一种系统可能会是安全的。与任何的形容性词汇一样,脱离了背景的“安全” 是毫无意义的。 在这一部分的各章中,我打算介绍这种背景的基本内容。我会谈到针对数字系统的威胁。 攻击的类型以及攻击者的类型等。此后我还会谈到安全的迫切之需。我在讨论各种技术之前 做这些介绍,是因为你在没有前景意识的情况下,无法理智地检测各种安全技术。就像未置 身于中世纪当中,就无法理解城堡在地区防御中所起的作用一样,你在互联网的背景之外, 就无法理解防火墙或一个加密的互联网连接在网络世界中所起的作用。谁是攻击者?他们想 要什么?他们的配置中有何种工具?不了解这些基本的内容,你就无法以合理的方式探讨任 何保护事物的安全方式。 第一部分 前景 第 2 章 数字威胁 世界到处充满了危险。如果你在一条昏暗的小道上漫步,劫匪可能会扑向你;高超的骗 子正计划着利用你的退休金;同事犯的错误会毁掉你的事业。有组织的犯罪集团正在促成腐 败、散布毒品和挑战财富 500 家公司的效率。世界上还有疯狂的恐怖主义分子、固执的独裁 者和难以控制的前超级强权的残余份子,他们的势力比人们感觉到的要强。如果你相信超级 市场出口柜台处的报纸,就会相信野外有鬼怪,从坟墓里伸出令人毛骨悚然的双手;就会相 信有怀着 EIVIS 婴儿的天外来客。有时也很奇怪,我们已经长时间在这个不受打扰的社会内 生存下来,可以悠然自得地讨论这些问题。 世界也是安全的地方。虽然工业社会的危险是现实的,但它们都是例外。在追求轰动效 应的时代——标题为“在一次偶然的暴力行动中三人饮弹身亡”的报纸,比标题为“两亿七 千万美国人度过了平静的一天” 的销售要好得多——这些很难记住,但是,确实是真的。大 家每天都在街上行走,并未遇到歹徒,几乎很少人因为偶然的枪击而死亡,遇到骗子而受骗, 或回到家中遇到疯狂的劫匪。大部分企业也不是武装匪徒、流氓银行经理或工作场所暴力的 受害者。不到百分之一的 eBay 交易——两个不认识的人之间的无中介远程交易——会引起某 种投诉。从整体上来说,人们是诚实的;他们一般遵守不言而喻的社会契约。我们社会总的 守法程度是高的;这就是为什么社会运行得如此美好。 我承认上述描写对复杂的世界过于简单化了。我在美国的千年之交时写这本书,不是在 萨拉热窝、希布伦或仰光写这本书。我没有这样的经验可以说生活在那样的地方是什么样。 我个人对安全的期望来自于生活在稳定的民主国家的经历,而不是来自生活在饱受战争磨难、 秘密政策的压制或犯罪集团控制的国家的经历。本书写的是社会中相对小的威胁,在这样的 社会中,大的威胁已经处理了。 攻击,不管是否为犯罪行为,都是例外。它们是引起人们惊奇的事件,从它们的实际定 义来说,它们就是“新闻。” 它们破坏了社会契约,它们破坏了受害人的生活。 6/211
    网络信息安全 2.1 攻击的不变性质 如果剥去玄妙的技术术语和图形用户界面,计算机化空间与血肉、砖石、大气层等现实 世界相应物完全没有区别。像物理世界一样,人们在里面居住。这些人相互之间交流,形成 复杂的社会和商业关系,生老和病死。计算机化空间有社区,或大或小。计算机化空间商业 发达。有协议和合同,甚至有争论和民事侵权行为。 数字世界的威胁是物理世界威胁的反映。如果物理侵占是威胁,数字侵占也是威胁。如 果银行被抢劫了,数字银行也会被抢劫。侵犯隐私是相同的问题,不管是摄影师用长焦镜头 的形式,还是黑客在网络中窃听私人聊天的形式。计算机化空间的犯罪包括了你可以想象到 的所有物理世界的犯罪:偷窃、敲诈、故意破坏、窥探隐私、剥削、勒索、诈骗钱财、欺骗。 有些威胁甚至造成物理损坏:如空中堵塞、对空中交通控制系统的攻击等。相当精确地讲, 网络社会与现实社会基本相同。同样相当精确地说,对数字系统的攻击与对它们的模拟相似 物的攻击基本相同。 这就是说,我们可以观察过去,从而预见将来,各种攻击看上去形形色色——窃贼会控 制数字连接和数据库条目,而不是撬锁和破窗,恐怖主义分子的目标是信息系统,而不是飞 机——但攻击的动机和心理却是相同的。这也意味着我们并不需要一个完全不同的法律体系 来对待未来——只要未来与过去相似,除有更特殊的后果外——过去使用的法律制度同样适 用于将来。 过去,劫匪 Willie Sutton 抢劫银行,是因为钱在那里。今天,钱不在银行;钱在计算 机网络中流动。每天,全世界的银行间数以十亿计的美元在转移,表现在网络上仅仅是所改 动计算机数据库中的数字而已。与此同时,平均一次物理银行劫案的案值只是 1500 美元多一 点。计算机化空间将越来越变得有诱惑力;电子商业的货币价值每年都在增大。 哪里有钱,哪里就有犯罪。穿着滑雪服手持 0.45 厘米口径的手枪闯人银行或酒吧,这种 做法还不完全过时,但它并不是那些不吸毒,且有足够的时间坐下来好好思考的罪犯喜欢用 的方法。有组织的犯罪喜欢攻击大规模的系统,以获取大规模的利益。对信用卡和支票系统 的欺骗,随着时间的推移已变得越来越复杂,防范措施也变得更加复杂。自动取款机(ATM) 诈骗也是同样。目前我们还未见到对互联网上支付系统的广为传播的诈骗,这是因为那里还 没有大量的钱。到有了大量钱财时,罪犯就会去冒险。如果历史可以为鉴的话,后果可想而 知。 隐私被侵犯一点都不是什么新鲜事。最有意思的例子就是法律文书中的公共记录:不动 产交易、船舶销售、民事纠纷和犯罪记录判决、破产等等。想知道谁拥有哪艘船舶和他为此 支付了多少钱吗?找公共记录就行了。甚至更多的个人信息由公司储存在 20,000 左右(在 美国)的个人数据库中,包括金融方面的详细资料、医疗信息、生活方式习惯等等。 调查人员(私人或警察)长期使用这种信息或其他数据来跟踪人们,甚至连那些定为秘 密的数据也以这种方式使用。如果私人调查员在当地警察部门没有朋友愿意在警察文件中帮 他查找姓名或驾驶牌照或犯罪记录,他连半个季度都坚持不下来。警察经常使用工业数据库。 每年,都会有一些不安分的美国国税局工作人员因查看名人的税单而被抓。 市场营销人员一直千方百计使用他们能弄到手的目标人群和人口调查的数据。在美国, 个人数据不属于与此数据有关的人,它们属于收集数据的组织。你的金融信息不是你个人的 财产,它是银行的。你的医疗信息不是你的,它是医生的。医生要宣誓保护你的隐私,但保 7/211
    网络信息安全 险提供商和 HMO(健康保持组织)并不这样做。你是否真的希望每个人都知道你的心脏毛病 和青光眼家族病史?你如何的酒精中毒,或者 20 年前你得了性病时有多难堪? 隐私被侵犯容易导致敲诈。在小说《纸月亮》(Paper Moon)中,Joe David Brown 写了 大萧条时期,如何向刚死亡者的亲戚推销圣经和其他商品的诡计。其他一些诡计将目标转向 海外战争死亡者的母亲和遗编——“每天几美分我们就会照顾好他的坟墓”——和彩票得奖 者。在国内许多领域,各种公用设施正在安装基于电话的读表系统:如水表、电表之类。一 旦某些专业性罪犯利用这些数据侦测人们何时去度假时,或者他们使用精确到秒的建筑物占 用情况的报警监视系统时,自动化的好处就成坏事了。在数据可以被利用的任何时候,就会 有人试图利用它,无论有没有计算机都是这样。 在计算机化空间里也没有多少新的东西。儿童色情文学:老一套。洗钱:已经有了。在 支付你个人的账单时提供终生的凭证:多么陈旧。在极力描绘网络的种种方面,商业人士与 下层社会差不多;他们正为新媒体重新包装他们的旧诡计,凭借微妙差异的优势,充分利用 网络的影响和规模所带来的利益。 2.2 攻击的变化性质 尽管威胁可能是相同的,但是计算机化空间改变了一切。虽然数字世界的攻击与物理世 界的攻击有同样的目标,甚至使用了许多相同的技术。但它们可能是非常不同的。它们的形 式会更普遍,传播会更广泛。而跟踪、抓捕和证明罪犯有罪会更加困难。它们所产生的后果 将是更加具有灾难性的。互联网具有的三个新特性,使得这些可能成为现实。它们中任何一 项都不好,三项加在一起就更为可怕。 2.2.1 自动化 自动化是攻击者的良友。如果聪明的伪造者发明一种几乎乱真的硬币,没有人会关心它。 因为受时间和能力的限制,伪造者不可能制造太多的假硬币。从 1960 年起到 80 年代中期, 盗打电话者能随便地不花钱利用本地电话拨打付费电话,当然电话公司感到十分恼火,并作 了巨大的努力想捉住那些盗打电话者——但是,他们会适可而止。你不会因为仅仅盗打 10 美分的电话就影响数十亿美元的公司的股票收益,特别是在商品的边际成本几乎为零时。 在计算机化空间内,事情就不一样了。计算机特别适合做枯燥的重复性工作。我们的伪 造者可以在他睡觉时伪造出上百万电子硬币。有一种所谓的意大利香肠式攻击,每次从每个 人的利息账单上偷盗很少一点零头;这是一个能说明有些事在没有计算机时不可能做到的最 好的例子。 如果你有一个绝妙的从别人口袋里扒钱的诡计,但是,每数十万次你才能得手一次,那 么,在抢到一次钱以前,你早就饿了。而在计算机化空间内,你可使计算机在十万次机会中 寻找一次成功的机会。你可能每天成功数十次。你还可利用其他计算机,这样就可能得到上 百美元。 快速的自动化以极小的利润回报率制造攻击。在物理世界中小得不能被注意到的攻击, 在数字世界中会变成巨大的威胁。许多商业系统就是看不上那些小零头;它们太少,不如舍 去。在数字系统中他们必须改变思维方式。 计算机化空间也为侵犯个人隐私打开了不少宽广的道路,这常常是自动控制的结果。假 8/211
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料