 |
資訊時代 深度報導 | |
| ※ | 《數位連線精選文摘》沒完沒了的修正程式 |
| ※ | 《數位連線精選文摘》打破病毒迷思的傳奇人物 |
| ※ | 生日快樂! PC二十歲了 |
| ※ | 亞太地區網路盛會將在台展開 |
☉作者╱Jeffrey Benner
引言
「我認為事情還沒有你想像的那麼糟,」一位微軟員工說,「按照說明,只要安裝3個最新版本的套裝軟體和SRP,再加上3個修正程式就行了!」
微軟的網路伺服器逐漸變得像窮人身上穿的牛仔褲一樣,到處是破洞和縫線。
忙於應付紅色警戒病毒蟲的安全專家,對這麼多的修正程式應接不暇。上週五,在一個頗受歡迎的Windows NT安全郵件名單的一篇文章上,安全專家和名單的編輯庫伯(Russ Cooper)表示,關於微軟網站上的安全漏洞情況眾說紛紜,他無法確定到底應該採取何種措施,才能使Windows NT 4.0伺服器不受可怕的紅色警戒病毒的威脅。對此他頗有微詞。
「難怪有安全危險的伺服器的數量這麼多,又有這麼多人無法及時採取應變措施。」TrueSecure公司的分析師庫伯在一篇文章中表示,「微軟提出了很多建議,但沒有一個可以完全解決問題,使用者到底該怎麼做?」
微軟的網站上有許多不同的地方提供安全修正程式。問題在於修正程式實在太多了。
下載中心和Windows更新網頁上都可以下載修正程式。紅色警戒的安全公告推薦使用者可以從這兩個網站上取得修正程式的資訊。
但是微軟的安全回應中心經理李鈉(Steve Lipner)並不推薦這兩個網站。他說要獲得修正程式和病毒資訊,最佳選擇是安全公告的搜尋網頁。
另一個網站為Windows NT 4.0使用者提供了一個安全套裝軟體。這個軟體包含有除了最近新出的兩個修正程式之外NT所有的修正程式,其中也包含了紅色警戒修正程式。使用者可以在7月26日發表的安全套裝軟體最新更新上找到這個套裝軟體。不過Windows NT假如沒有安裝Service Pack 6a修補套件的話,該軟體不會發揮任何作用。
還是搞不清楚嗎?庫伯也搞不懂。為了以防萬一,他造訪了每個網站,下載了所有公告,並逐一仔細閱讀(一共有78個!),以確保萬無一失。他刪除了那些重複或已過期的修正程式(有些修正程式會使舊版程式失去作用)。
微軟安全中心一名員工回覆了庫伯在NTBugTraq列表上發的文章,批評他保護伺服器的措施過於複雜,簡直是畫蛇添足。雖然庫伯的確有點小題大作,但是微軟員工的回覆似乎未能駁倒他的論點,反而更像是在支持他的做法。
「我認為事情還沒有你想像的那麼糟,」該員工寫道,「按照說明,只要安裝3個最新版本的套裝軟體和SRP,再加上3個修正程式就行了。」
微軟的網路資訊服務伺服器(IIS)和Windows 2000伺服器是針對低階用戶設計的。這些產品都具有「開箱即用」的特點,沒有複雜的安裝過程,也無需太多的專業知識。
客戶會喜歡這種作法,但是專家認為使用便利中存在著隱憂:較差的安全性。Atomic Tangerine公司的安全分析師史丁格(Ric Steinberger)表示,額外的功能和服務使得駭客更加有機可乘。
「裡面有許多雜七雜八的功能,」史丁格表示,「而這些功能的預設值大部份都是開啟。執行的功能越多,出問題的機會也就越大。」
現在的問題已經不小了。紅色警戒是透過目錄服務功能侵入IIS系統。目錄伺服器能夠識別普通搜尋要求。史丁格表示,這是個強大的功能,但是大部份使用者並不需要這個功能。
「微軟總是將一些不實用的功能加入系統裡,這就是一個很好的例子。」史丁格表示。
今年5月,微軟公司推出了一個安全修正程式,來彌補網路伺服器中處理列印命令的一個嚴重的安全漏洞。很少有人利用網路伺服器來列印文件,很多人根本不知道Windows 2000的IIS還有這個功能。但是這個功能卻造福了駭客。幸運的是還沒有病毒利用這個漏洞展開攻擊。
由於微軟網路伺服器軟體需要不斷地安裝修正程式,而且有人擔心該系統還有許多不為人知的漏洞,有些客戶因此放棄了IIS。
一家名為Quelsys的遠距教學公司系統經理史托勒(John Stotler)在一些伺服器上使用了IIS系統,但是他不準備將該系統使用在其客戶所依賴的伺服器上。
「我們是一個應用軟體服務提供商,所以我們所有的業務都在網站上進行。」史托勒表示,「把業務建立在IIS上是一件冒險的事。我的公司不會這樣做,我剛來的時候,公司使用的都是微軟的產品。」
目前,Quelsys網站使用Linux系統的Apache伺服器。史托勒說他已經有兩年沒裝修正程式了,未曾有過任何安全問題。使用微軟系統的伺服器,只是用來給員工查看家裡的郵件。
儘管庫伯對微軟公告系統的組織方式頗有微詞,但是他並不認為微軟的產品在安全性上一定不如別的系統。
「IIS產品是可靠的,」庫伯表示,「如果能夠正確安裝,並且經過合理地管理,我覺得它的安全性不會比別的產品差。」
微軟的安全經理李鈉表示,有個簡單的方法可以確保IIS的安全性,就是使用熱門修正程式檢查工具。這個小程式可以自動檢查並安裝所有最新的修正程式。
不過這個工具還是幫不了庫伯。它只能在安裝Windows 2000的系統上運作,無法在NT4.0上運作。而且它不能對系統本身進行檢查,只對IIS有效,而IIS只是一個獨立的程式。庫伯表示,微軟目前正在開發一個可以對Windows 2000系統進行檢查的工具。
本文由「Wired News數位連線中文版」授權刊載。網址:http://tw.wired.lycosasia.com/
☉作者╱Michelle Delio
引言
防毒公司的職員都是像你我一樣每天上班、生活在現實生活中的人,他們的職業就是殺病毒。他們希望每天下班時都懷著成就感回家。我們都希望如此。
羅森伯格(Rob Rosenberger)決心要在電腦安全業的「黑暗角落灑下諷刺的光明」。
他的網站名為Vmyths(http://www.vmyths.com),主要目的就是告訴世人羅森伯格眼中的電腦病毒事實,並消除圍繞著電腦安全所假造的輿論,或糾正任何關於電腦安全的不實報導。
羅森伯格仔細聽取新聞報導中的每個病毒警告,若有記者不加思索地把他們的所見所聞都當作「事實」全盤照寫,他就會對其進行尖銳地批評。
他對專家們的抨擊也猛烈,他會毫不留情地對他們的目的進行分析,並公告大眾。
受他調查的人常常相互納悶的說:「這個羅森伯格到底是什麼傢伙?」
羅森伯格並不是一個普通的作家,也不是個建立一個網站而專門找碴的人。他是經驗豐富的程式設計師,也是系統工程師,同時還是個獲中央情報局高層授權的神秘人物。
經記者向政府機構查詢後證實,羅森伯格確實在中央情報局有某種程度的地位。羅森伯格本人自然拒絕證實這個消息,甚至連談也不願談。
這有些奇怪,因為一般來說他總是願意公開談論任何事。
羅森伯格在撰寫Vmyths專欄和新聞稿時,總是對病毒聲明進行大量的挖苦、諷刺及提出種種奇怪的言論。他認為這些聲明只是為了散播恐懼、不安和疑慮。
上週,各媒體對於紅色警戒病毒進行了大舉的報導,羅森伯格對此現象回應說,最好的辦法是「關閉網路」。
「假如紅色警戒可以摧毀網路,那麼很明顯的我們該放棄網路的時刻已經到了。我們還是為了安全起見把網路關閉吧。就當它是個失敗的實驗。別再幹蠢事了!」羅森伯格在一封電子郵件聲明中寫道。
FBI的國家基礎設施保護中心(National Infrastructure Protection Center, NIPC)促使主流媒體對紅色警戒病毒進行大幅報導,羅森伯格因此大表強烈不滿。
「政府官員若真想提醒人們有龍捲風到來襲時,他們會在廣播或電視上播送一個事先準備好的聲明。但他們不會要求記者對龍捲風進行報導。」羅森伯格說。
「他們也不會讓《今日美國報》(USA Today)或《華爾街日報》(Wall Street Journal)捲入其中。他們要找的是和病毒有關的媒體,而這些媒體應該是科技出版品和網站。」
羅森伯格決定要改變NIPC最好的辦法就是加入這個組織。他希望能建立一個業界顧問協會來與NIPC一起工作,當然,他自己會是這個協會中的一員。
在他向新聞媒體宣佈開始他的計畫後不久,媒體開始對紅色警戒展開了全面性的報導了,因此他認為是這個蠕蟲病毒轉移了人們的視線。
「但是,迷思的後果很快就會顯現出來。我預計每個支持NIPC的人都會突然改變立場。他們會讓聯邦政府來背黑鍋。到了那個時候,大家就會說:『你知道嗎,我覺得羅森伯格的想法倒是挺有意思的。』」羅森伯格說。目前他把大部分時間花在編寫Vmyths的文章上,這個網站是在1998年設立的。羅森伯格負責日常編輯事務,而Crypt Newsletter的編輯史密斯(George C. Smith)則擔任總編。
羅森伯格表示,他並未針對網站的到訪量進行密切地監控,但是他推測每個月大約有25萬人參觀他的網站。
當然,Vmyths雖然把人們對病毒的迷思當作攻擊的目標,但是沒有人們的迷思,它也就無法生存。羅森伯格非常明白這一點,他拒絕為任何電腦安全公司做廣告,以此作為一種抵抗手段。
「Vmyths.com是電腦安全批評者的第一個安全港。」羅森伯格說。「為了生存,我們絕不能接受電腦安全業者所提供的資金。如果我們對他們的投資上了癮,我們就會被消滅,或遭到破壞。上了癮的人為了滿足欲望什麼都幹得出來。」
有些業界人士認為羅森伯格這席話為的是讓人注意到更加嚴重的問題。
「羅伯是個既滑稽又固執的人。」 安全新聞入口(Security News Portal)的葛羅夫(Marquis Grove)說。
「可能你不一定贊同他所提的某些問題,但是他的確使你能仔細思考事情的兩個方面。」葛羅夫說,「假如羅伯的話能使你深省的話,那麼他提高人們意識的目的也就達到了。」
羅森伯格是第一個承認自己在電腦安全界是個沒有人緣的人,但是他認為人們不喜歡他的批評。
「艾柏特(Roger Ebert)在評論電影時也面臨著同樣的問題。」羅森伯格說,「演員們會很在意,而導演心裡也不舒服,製作人則會認為是在說他,製片廠更是懷恨在心。所以有人大聲罵我的時候,我就想『這些也在罵艾柏特呢!』」。
他還表示能夠理解為什麼他的文章會惹惱那些受到他關注的人。
「這些人都是像你我一樣每天上班、生活在現實生活中的人。」羅森伯格說,「他們的職業就是殺病毒。他們希望每天下班時都懷著成就感回家。我們都希望如此。如果有批評者說他『胡扯』,他當然會不高興啊!」
不過有些受到羅森伯格批評的人對他的印象還是不錯。
「我不很同意他的措辭方式,但是如果他對我的批評中有什麼失誤他會很快改正,我認為這是一個君子的所作所為。」Symantec公司的防毒研究中心(AntiVirus Research Center)小組成員戈登(Sarah Gordon)說。
「我想我會這樣形容羅伯。」戈登說,「他會惱怒別人,我也不是完全同意他的看法及言論,但是大體來說,他是個與眾不同的正人君子。」
在推出Vmyths網站之前,38歲的羅森伯格是美國空軍的一名程式設計師。從空軍退役後,他為國防部工作一直到1989年。此後他便開始從事開發共用程式,直到1996年空軍邀請他再服役一年來研究電腦安全方面的工作。
這個工作結束後,羅森伯格原打算進大學繼續深造,但是一家位於聖路易名列《財富》雜誌的前1000名的公司提供了一個高薪職位,邀請他至該公司負責安全工作,直到1999年。因為他的妻子為了和她母親住的近些,決定搬到愛荷華州。
羅伯在1999年休假了半年。「這樣我可以裝修一下準備出售的房子。」他說,「那段時間裡,我把所有的精力全都投入了建設反病毒迷思的網站上。我妻子要我試著把這個網站變成一份工作,於是我在我們的小鎮上開了一間門市,並找到了一個贊助商ScreenSaver.com,這個網站便由此而生。」
但是他並沒有和政府完全脫離關係。在他辦公室牆上有一個勳章,上面寫著「第609資訊戰中隊,資訊戰第一師,地勤組長」。
他稱自己的職務為「空軍史學家」,但是他拒絕回答為什麼一個史學家會有DCID 14/4授權。據中央情報局表示,這項授權是為了讓羅森伯格有權「依需要查閱敏感資訊」。一旦有人問到安全授權或任何與政府相關的工作,羅森伯格就會禮貌地一笑,然後轉換話題。
不過當有人問羅森伯格是否真的認為他能夠贏得這場與防毒迷思的鬥爭時,羅森伯格會突然現出軍人的本色。
「我來就是為了要贏。」羅森伯格說。
他與病毒神話進行鬥爭的下一階段是一個研究專案,羅森伯格把它稱為「House 2.0.」。這個專案為的是證實一個沒有傳統防毒軟體的企業網路,是否可以成功地保有安全及可靠。
為了做實驗,羅森伯格在自己家中建立了一個真正的企業網路,他的伺服器房中設備非常完備,有一條T1線路,還有固定在地板上的兩個資料架。
「你一定很難想像,我是如何說服我的妻子在我們家裡添一個伺服器房間的。」羅森伯格說。
試驗的第一階段剛剛完成,羅森伯格說這個階段是成功的,因為他以安全為目的建立了這個網路,而且他絕對相信網路上的每個使用者都不會盲目打開陌生人寄來的附件,也不會下載任何含有病毒的程式。
第二階段中,他打算將網路擴展到其他不很可靠的使用者上。一家名為LogiCery的公司提供了16台伺服器給他。他會先讓新使用者瞭解電腦病毒,然後讓他們使用網路。假如第二階段成功的話,試驗將進入第三階段。在第三階段羅森伯格將試驗在沒有防病毒程式的情況下,他可以將網路的無毒狀態保持多久。
羅森伯格說最大的考驗就要來臨了。
「參加第二階段的有我的岳母,這才是個真正不可靠的電腦使用者。」
數位連線相關議題精彩文章
●紅色警戒啟示錄
http://tw.wired.lycosasia.com/technology/20010807040701.asp
●紅色警戒尚未解除
http://tw.wired.lycosasia.com/technology/20010805040801.asp
●紅色警戒病毒的危害有多大?
http://tw.wired.lycosasia.com/technology/20010803040101.asp
●SirCam病毒跑哪裡去了?
http://tw.wired.lycosasia.com/technology/20010730041001.asp
本文由「Wired News數位連線中文版」授權刊載。網址:http://tw.wired.lycosasia.com/
☉記者羅斌文╱報導
西元1981年的8月12日,IBM在紐約正式發表了世界第一台「PC」:IBM PC 5150,從此人類歷史進入新紀元;二十年來,PC帶給人類的影響仍然與日遽增,PC成為生活中不可或缺的部份。
為了紀念二十年前PC劃時代的進步,台灣IBM特別舉辦了「我的第一台PC」徵文與「我最愛的IBM PC」票選活動,有興趣的民眾可上IBM網站(www.ibm.com/tw),共同參與PC 二十週年的光榮時刻。
為了慶祝二十週年,台灣IBM特在網站上公布二十年來IBM的數十款經典電腦供網友票選:包括世界第一台PC、世界第一台中文PC、世界第一台針對家用市場設計的PC、第一款紐約現代藝術博物館收藏的PC等等,讓網友一覽PC二十年來的發展過程與進步;只要投票就有機會獲得價值5,000元的電子折價券(20名),以及以限量及優惠價格優先購買ThinkPad筆記型電腦。次外,IBM還舉辦「我的第一台PC」徵文活動,民眾可以寫下自己與個人第一台PC的故事,藉此與朋友們分享PC的歷史。
☉記者陳芸芸/報導
亞太地區網路盛會將在台展開
兩岸寬頻對話,開放外界參與
TWNIC(台灣網路資訊中心)將在八月二十六及二十七日兩天,在台北圓山飯店舉辦亞太網路組織APTLD亞太頂層域名論壇,及華人兩岸ISP寬頻服務趨勢研討會,探討亞太區及華人兩岸關心的網路議題,網友可免費報名參加。
APTLD是亞太地區網路的代表性組織,由我國及中國、日本、韓國、紐西蘭、澳洲等國的國名網域管理機構(ccTLD managers)及網路專家所組成。APTLD Taipei Outreach Seminar首次在台北召開,將由專家介紹亞太網路界的發展現況。
隨著網路的發展,兩岸華人的網路交流日益密切,而兩岸網路界人士都看好寬頻上網,認為寬頻服務將是未來網路的主流趨勢;TWNIC這次也邀集中國電信、中國網通及中華電信、數位聯合電信Seednet等兩岸寬頻大廠進行對話,為國人剖析中國網路市場現況,並比較兩岸寬頻的發展。
APTLD Taipei Outreach及兩岸ISP寬頻研討會的時間分別是八月二十六日及二十七日下午一點半到六點,活動開放網友免費參加,詳細議程及報名資訊可參考TWNIC網站http://www.twnic.net.tw。
