Unbending Notes

评论:互联网的脆弱与机会

sz1961sy 发表于 2003/1/28 11:43:00 阅读全文() | 回复(0) | 引用通告() | 编辑

您的位置: 博客网 -> 博客文章 -> -> 法律政策
作者: 沈阳 | 2003年01月28日11时43分 |

博客随笔之(31)

 
科技 >> 软件天地 >> 信息安全 2003-1-29 15:00:40
打印      发表       
评论:互联网的脆弱与机会

千龙科技   沈阳  

    在人类互联网发展史上,没有哪一个人曾经真真实实地告诉大家:"互联网其实不堪一击!"这其实不是危言耸听,而是鲁迅笔下那位一听别人夸邻居小孩"快高长大"却冷静地说,"小孩也会死的"一样,虽然讲话不合时宜,却讲出了真话。

    硅谷动力的记者写了《嘲弄互联网:史无前例的病毒事件》一文,把业内人士的看法,包括,长城宽带运营总监林平,瑞星总裁刘旭、副总裁毛一丁,金山毒霸总经理助理李方然,律师胡钢等对事件的观点都传达给大家:这个病毒让信息社会蒙羞 它所引起的争执依旧会延续下去" ……在1月26日的采访中,一个这样的意思被接受采访的人以反复表达:"1月25日应该被信息社会中的所有人铭记在心,包括微软等IT公司、各国信息安全管理机构、各国信息安全公司和所有互联网用户,这是一个信息社会的羞耻日。" ...不管是毛一丁,还是其他的安全专家,最后都这样提醒记者,"节日期间是病毒制作者较活跃的时期,它们会利用这段时间不断地发布新的病毒,所以这个蠕虫病毒只是春节期间病毒发作的开始!"

    笔者不是网络安全专家,不敢对技术指手划脚,但是作为用户,我们知道中国有了互联网之后,下列安全事件及事实早己存在且并未引起人们注意:

    首先,今天互联网对物理传输的途径依赖性仍然十分大,远洋拖轮一个拖揽便可以让各大洲之间的Internet瘫痪掉。

    其次,一个CHI病毒可以让PC机瘫痪,全球恐慌,一个个软件病毒让多少用户遭灾,这已是每一位上网用户提心吊胆的事实。

    第三,2003蠕虫王是继去年大规模爆发的"红色代码"病毒以后,又一个基于网络数据包攻击的病毒,此病毒攻击微软Windows操作系统下的SQL Server 2000服务器。这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,恶意黑客利用此漏洞可以在远程机器上执行自己准备好的恶意代码。以上是瑞星公司这次发布的说明。为啥全球那么多声称对付病毒了得的"一流"杀软件病毒公司都是仅仅做"亡羊补牢"工作?

    第四,微软Windows操作系统的弱点是人所共知的,而微软Windows操作系统下的SQL Server 2000服务器也是脆弱点多多,然而有更多的操作系统与数据库服务器可以代替吗? 大家知道微软的东西是可爱又便宜且很多人会用,但是大家对微软这位"白面书生"是否需要看到它有些"外强内弱"的症状。

    第五,由此次互联网大瘫痪,必需引起公众对有寄生虫功能的准病毒高度警惕,例如在全球被"排上号"的100%中国产寄生虫: CnsMin,它的制造者声称99%的中国上网用户已被(强迫)安装。如果中国用户电脑中CnsMin被激活或改变功能,后果将不堪设想。这绝对不是假设,是事实的真相报告。 

    讲完互联网的脆弱,意味着互联网的机会也垂青着有心拓展的商家商机,包括:

    1、替代微软Windows操作系统及数据库服务器软件的需求前景会越更好,因为微软公司的软件让人担惊受怕已不是头一回,每年遇上几遭已让大家提心吊胆。

    2、杀软件病毒的厂商的"道行"不及制造病毒的程序员,或者说杀软件病毒的产品只杀"小"软件病毒、杀不了"大"软件病毒,研究杀"大"软件病毒应该是一个新的产品方向。

    3、长城宽带说:这次几乎所有的接入商都受到了影响,但病毒对宽带接入的影响远比拨号上网要大的多,直到现在,还有部分ADSL、ISDN的用户上网速度都要比拨号上网的速度慢。 据说ISP们和运营商们也要承受由此带来的后果。长城宽带运营总监林平说,长城宽带会根据协议给用户相应的补偿。换句话说,现在是"城楼失火泱及池鱼",从事件的影响力波及互联网整个产业链,必会让互联网的相关产业明白广义的"互联网安全与稳定"含义,加大在这方面的共同投入,因此而有一笔预防"互联网灾难"财在等着相关人士与企业去挖掘。

    4、针对这次安全事件,中国互联网协会1月26日发表声明,严厉谴责这种肆意破坏互联网络正常秩序的行为,并重申中国互联网协会反对任何组织和个人以任何理由、任何手段对互联网络发动攻击的原则和立场。并呼吁政府有关部门加强对互联网安全应急体系的建设,进一步增强对网络安全突发事件的处理能力。同时提请互联网从业单位和广大互联网用户加强网络安全意识,不断提高网络安全保护技能和网络安全事件的发现能力;在网络使用过程中发现异常现象或受到攻击时,及时向中国计算机网络应急处理协调中心报告。这是距今天为止级别最高机构对此事件的反应,足见问题的严重性。预料各种应急方案在不久的将来会陆续公布。

    5、笔者认为:清查网络漏洞、"亡网补牢"、立法制裁这"三管齐下"才能让本来便脆弱的IPv4互联网逐步从技术到法制地稳定发展过渡,让我们能企盼这一天早日到来!

(http://tech.21dnn.com/28/2003-1-29/71@659238.htm )
 

发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
  收藏此页到365Key