转自: 陈广成 http://security.zdnet.com.cn/security_zone/2012/0216/2079067.shtml
ZDNET至顶网安全频道 2月16日 编译:“信息安全就如同一条环环相扣的链条,实际等级取决于其中最薄弱环节的情况”。现在可能需要订正一下该观点的具体内容了。
这是因为微软首席研究员科马克·赫尔利与同事迪内·弗洛伦西奥共同撰写的一份论文。如下所示:
“无法对互联网实际安全状况进行有效判断的原因在于没有认识到真正的核心情况所在。如果安全情况与最薄弱环节所处等级相同的话;那么,所有由于选择弱口令、跨账户使用认证、拒绝听取安全警告以及忽视补丁和更新等方面原因所导致的问题都将会遭遇黑客攻击,并且这种情况将会呈现出周期性以及重复不断发生的趋势。
显然,在现实的环境中并没有发生这种情况。”
接下来给出的就是科马克提出的观点。
卡斯勒:回顾以往我们对安全研究问题的合作讨论,我一直期待——实际上可以说是渴望——你向读者介绍这类“创造性”观点。现在就又遇到了相同的情况,因此我们就从提出问题开始:
为什么不是所有人随时都可能遭遇黑客攻击?
这一问题确实属于“非常创造性”的。究竟是什么原因促使你选择研究这方面课题的?
赫尔利:当预计要发生的情况与现实所出现的真正问题出现差别时,我就会对造成这种现象的实际原因究竟是什么产生浓厚兴趣。而具体到安全领域,就是传统安全观点所预测的现象与现实中真正发生的情况并不一致,这就导致其成为了一种非常好的研究对象。
公众们被告知,如果希望确保数字化资产安全的话,就需要清除掉所有的漏洞。然而,这项要求实际上属于无法完成的情况。绝大部分使用者都不会关注软件更新和防病毒工具运行情况,还经常会选择忽略操作系统和浏览器发出的警告,并随意点击各种恶意连接。
此外,我们也不应该忘记人们在密码使用方面存在的各种陋习。使用者经常会选择弱密码,使用通用名称,并将具体内容写在所有人都能看到的即时贴上,甚至还会重复使用三到四个相同密码来作为多处账户的保障。
然而,在全球使用互联网的20亿人中,每年都仅仅只有5%遭受重大攻击。那么,究竟是什么原因导致剩余的95%逃脱攻击的呢?
卡斯勒:按照该论文所提出的观点,造成预测和实际相差如此悬殊的真正原因是攻击者所使用的是综合效果模式而不是追逐最薄弱环节所造成的。这究竟意味着什么呢?
赫尔利:综合效果模式意味着攻击者需要确保在对所有攻击进行统计平均后依然可以做到有利可图,而不是仅仅限于特定情况下。原因就在于每次攻击都会产生成本,并且没有攻击可以完全成功。
为了保证最终平均实现赢利,攻击者必须确保有足够的成功来填补失败所造成的全部损失。
举例来说,让我们先假设爱丽丝利用自己狗的名字来作为网络银行账户密码的情况。按照公众被告知的传统安全理论,这属于弱密码的情况,将会导致她成为攻击者的盘中美餐。但实际上,只有在满足下列条件的情况下,攻击者才能获得成功:
· 如果用户名也被获知。
· 如果攻击者可以猜出狗的名字。
· 如果银行没有关注这笔业务。
· 其它网络窃贼没有先下手。
因此,问题现在就变成了,攻击者需要进行多少次攻击才能获得成功。举例来说,假设攻击者需要在每名客户身上都花费一小时时间,并且:
· 有5%的用户会选择他们狗的名字作为密码。
· 有5%的情况中,密码会被破译出来。
· 有5%的情况中,用户名会被猜测出来。
以此为基础,我们现在就可以计算出攻击者每获得一个账户就需要攻击20×20×20=8000个帐户。
这时,我们再假设攻击者的最低时薪是每小时7.25美元。现在,为了破获账户需要所耗费的平均资金就变成7.25×8000=58000美元。
现在,如果我们进一步假设银行对于攻击者的非法企图有75%的确认率的话,就意味着攻击者现在需要232000美元的资金才能获得一个账户。在这里,我们还没有讨论到其它攻击者竞争所带来的问题。
即便攻击者愿意接受只有美国最低工资十分之一的报酬,并且在每名用户上花费的时间也降低到十分钟(而不是一小时),获得账户的平均成本依然高达3866美元。所以,这种看起来很容易赚钱的方式实际上是很难用于谋生的。
现在,我们再换个角度来考虑一下。如果攻击属于无利可图的,因而就不会被利用的情况;这就意味着,5%的弱口令将可以逃脱一劫了。所以说,真正的事实应该是针对弱口令的攻击将很难变得有利可图,因此系统才能保持安全;这一情况也证明了安全与系统中最薄弱环节相关的观点显然属于不切合实际的。
卡斯勒:该文件声称
“尽管在特定情况下,很多攻击都可以说属于成功的;但只要利用总体数据进行一下统计平均,立即就会变成亏损的。即便在包含很多有利可图目标的案例中,这种情况也是经常发生的;从而进一步很好地解释了为什么攻击类型如此之多但实际观测到的损害却少之又少的现实情况。”
我了解到其中的逻辑所在,但下一句却又变得云雾缭绕:
“因此,对于常规安全策略来说,效果强弱的关键就在于薄弱环节的数量情况。”
现在,我彻底糊涂了。快帮帮我。
赫尔利:好的。在这里,我们还以狗名字为密码作为示范。假定50%而不是5%的使用者利用自己狗的名字来作为密码。现在(其余参数不变),攻击者一次针对的账户总数就从八千个大幅降低到八百个。仅仅由于更多的人选择该策略,就导致攻击带来的回报率上升了十倍之多。
因此,这就意味着如果一项策略变得普及和可预见,就极易被攻击者所利用,从而导致非常危险的后果出现。由于很多人都选择在离家时将门钥匙放在花盆底下,这就会导致该项策略变成存在极大风险的类型。但如果世界上只有一个人这么做,那就会属于毫无风险的;造成这种结果的原因就在于,在这种情况下,窃贼检查花盆底下是否有钥匙将变成纯粹属于浪费时间几乎不可能成功的举动。
简单地说,攻击者就如同在玩数字游戏。对用户使用密码情况预测的越准确,获得的回报就越大。
卡斯勒:我也曾试图通过数学来确认这一模式是否成立——但最终惨遭失败了。因此,我会让数学专家来检查你的工作。现在,你觉得自己是否有可能简要地解释一下相关结论的意义所在呢?
赫尔利:与其它类型的经济活动相比,盗窃本身并无不同之处。这就意味着需要关注的并不是限于特定具体事件上,只有在统计平均上获得成功才意味着真正存在价值。换句话说,攻击者必须承担每次攻击所带来的成本,并只有获得成功才能收到回报。如果每次攻击成本要一美元,而成功率为0.1%的话,那么每次成功必须带来一千美元才能保持收支平衡。对于收入增长来说,极低的攻击成功率带来了非常严峻的现实挑战。
卡斯勒:按照我的理解:你是在担心由于安全专家们使用了错误的建模方法,从而会导致出现宣称“狼来了”之类的虚假警告?
赫尔利:由于这种说法听起来有点带有一种欺骗的意味,所以我不知道自己是否应该将此类情况形容为“狼来了”。对于安全人员来说,职责就是寻找漏洞,预测事情变坏时将会发生的情况。因此,提醒人们加强注意属于很正常的选择。同时,我觉得大家必须承认,已经有20亿人在使用互联网,尽管确实存在着安全方面的问题,但绝大部分用户都获得了良好的体验。
对于安全专家来说,“从攻击者的角度进行思考”属于重复再三的口头禅。但就我个人而言,这属于相当不现实的要求。除非用户象针对一项感兴趣的智力游戏一样全身心投入,否则从攻击者的角度进行思考并不能让大家避免被攻击或者入侵。
如果对于攻击相关的总体效果感兴趣,我们就必须象攻击者一样继续下去,找出可以用来扭亏为盈的方法。这就意味着不应该限制于在可能出现问题的时间寻找漏洞和途径,而且要计算出攻击的单次成本为多少,成功率有多高。现实中的攻击者肯定需要这么来进行思考,但普通用户由于懒惰就会跳过这一部分的分析。
卡斯勒:现在到了棘手问题时间。在谈及到安全方面的建议时,你会对我们的用户说什么?
赫尔利:在这里我要强调一下。在本文中,我们的目的是解释预测和观察之间的不匹配情况。因此,就选择了人们使用自己狗的名字当作密码这一例子来进行示范,但对于现实中的安全策略来说,我绝对不建议真的这么做!
谁都不会想成为很容易被预测和利用人群中的一员。而为其它人提供建议则是一项非常棘手的工作。我个人的建议和其它人所提供的并无不同之处。但还有一点我想补充的就是——绝对应该避免可预见情况的出现。
最后的思考
我想大家应该认为自己属于非常幸运的情况。互联网上的绝大多数坏蛋都选择转向盈利领域。否则如果涉及到其它方面动机的话,我认为公众将会遇到真正的麻烦。或者,换句话说,尽管我们可能就属于好捏的柿子,但由于攻击者选择这么做付出的代价将显得过高,结果反而变成安全的了。
