在上個月的《TechNet 雜志》中，我開始發(fā)表由三部分組成的連載內(nèi)容的第一部分，再次討論了大家耳熟能詳?shù)摹鞍踩缘氖畟€永恒定律”一文。我希望在其初次受到肯定的八年之后重新評估它們，看看它們是否仍然適用 — 換句話說，就是看看它們是否確實“經(jīng)得起考驗”（您可以在 microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx 上找到本系列的第一部分）。

我發(fā)現(xiàn)前三條定律仍然適用。現(xiàn)在我準(zhǔn)備繼續(xù)討論接下來的四條定律。在下個月的最后一部分中，除了討論最后三條定律之外，我還將根據(jù)八年來的后見之明提一些新的看法。

定律 4：如果您允許攻擊者將程序上傳到您的網(wǎng)站，網(wǎng)站也就不再是您的網(wǎng)站了。

定律 4 聽起來似乎有點奇怪，畢竟其他定律都相當(dāng)高級，講述的都是一般功能，而非特定服務(wù)。前三條定律都在描述計算機(jī)被他人控制的情形，定律 4 談的卻是網(wǎng)站。

要理解定律 4，就必須先了解一些歷史背景。這十大定律最初發(fā)表于 2000 年。當(dāng)時網(wǎng)站才剛剛興起，還不夠成熟，就連 Amazon 和 eBay 這類站點也尚在開發(fā)階段。雖然入侵程序在網(wǎng)站上運行任意命令當(dāng)時是司空見慣的事，但卻幾乎沒人去修補(bǔ)它們。

在這情況下，Microsoft 往往將定律 4 視為必要的公開聲明，即您必須對您的網(wǎng)站服務(wù)負(fù)責(zé)。但在 2001 年 9 月 Nimda 出現(xiàn)之后，卻給了這種想法一記當(dāng)頭棒喝。Nimda 是一種多向量網(wǎng)絡(luò)蠕蟲，它所采取的其中一種傳播方式就是感染防護(hù)不足的網(wǎng)站，然后篡改這些網(wǎng)站，植入蠕蟲。

網(wǎng)站涂改也是定律 4 的時間背景之一。Attrition.org 就是從那時候起，開始建立許多遭到涂改的網(wǎng)站頁面的映像存檔 (attrition.org/mirror/attrition/months.html)。遭到涂改的網(wǎng)站有許多，其中不乏知名網(wǎng)站。就連著名的安全性培訓(xùn)機(jī)構(gòu) SANS Institute 的首頁也曾經(jīng)遭到涂改。圖 1 顯示的是 1998 年 10 月美國亞利桑那州網(wǎng)站的遭到涂改的頁面。

圖 1 亞利桑那州網(wǎng)站的遭到涂改的頁面（單擊可獲得大圖）

當(dāng)時的問題在于，當(dāng)網(wǎng)站遭到破壞時，人們通常看不清事情的真相。大家都認(rèn)為只要除掉破壞性網(wǎng)頁，一切就會正常。于是，有本領(lǐng)的人就忙著修補(bǔ)攻擊者所利用的漏洞（如果能找到漏洞）。

大家都沒有看到事情的全貌。定律 4 旨在讓大家思考當(dāng)網(wǎng)站遭到破壞時可能會發(fā)生什么情況，而不是思考已經(jīng)發(fā)生了什么情況。

只可惜它沒有得到預(yù)期的效果。盡管定律 4 早已提出，但直到 2004 年，我還是得疲于回答這樣的問題：“難道不是只要刪除黑客創(chuàng)建的網(wǎng)頁，就能夠恢復(fù)我們的正常工作嗎？”我是個不吝惜言語的人，所以就寫了一篇文章試圖糾正這樣的觀念：《Help: I Got Hacked. Now What Do I Do?》地址為 technet.microsoft.com/library/cc512587.aspx。

但問題是，定律 4 在今日是否仍然站得住腳？攻擊者能夠?qū)⒊绦蛏陷d到您的網(wǎng)站，是否就表示他已實際占領(lǐng)了您的網(wǎng)站？說得更詳細(xì)一點，他是占領(lǐng)了您的網(wǎng)站，還是占領(lǐng)了您的訪問者，亦或還是都占領(lǐng)了呢？定律 4 并沒有明確說明這一點，因此我要好好分析一下這兩方面。

關(guān)于攻擊者是否占領(lǐng)了您的網(wǎng)站這一點，答案是肯定的。倘若您允許攻擊者將程序加到您的網(wǎng)站上，您的網(wǎng)站就被他占領(lǐng)了（不過有一些例外，我稍后會加以說明）。對于一般網(wǎng)站，攻擊者可以通過上載程序做兩件事，他能夠上載到您的網(wǎng)站代表著很大的隱患。

第一件就是命令您的網(wǎng)站為他服務(wù)。如果有人打算散布像兒童色情圖片這種非法內(nèi)容，那么放在什么位置比放在能追蹤到黑客本身的網(wǎng)站比較好呢？想必在您的網(wǎng)站上散布這些內(nèi)容應(yīng)該會比在罪犯自己的網(wǎng)站上更理想。

第二件就是通過上載程序來控制網(wǎng)站背后的系統(tǒng)。當(dāng)然，這取決于他是否真的能夠在您的 Web 服務(wù)器上運行該程序。只將程序放在網(wǎng)站上而不執(zhí)行任何操作，并不會產(chǎn)生任何作用。但是如果攻擊者可以運行此程序，那就表示他確實已經(jīng)占領(lǐng)您的網(wǎng)站，不但可以使網(wǎng)站為他服務(wù)，還可以利用網(wǎng)站控制其他事情。#p#

而我剛提到的暗示的重要性甚至遠(yuǎn)不止于此。在這篇文章中，我努力想說明的一點是，您不知道攻擊者在入侵之后可能做什么事。如果他已設(shè)法將自己的內(nèi)容放到了您的網(wǎng)站上，那么您要問的就是他還能做什么。

答案可能有很多種，而這正是本謎題最關(guān)鍵的部分。倘若攻擊者能夠在您網(wǎng)站背后的服務(wù)器上運行程序，那么他已經(jīng)完全占領(lǐng)這個網(wǎng)站以及網(wǎng)站可以執(zhí)行的任務(wù)了。也就是說，這個網(wǎng)站再也不屬于您了。

至于他是否會入侵訪問網(wǎng)站的訪問者，就很難說了。在 90 年代末期，瀏覽器上的安全漏洞隨處可見，到了 2004 年左右，情況已經(jīng)有了明顯改善。現(xiàn)在，兩種主要的瀏覽器，即 Internet Explorer 和 Firefox，在安全性方面都已經(jīng)相當(dāng)可靠了。事實上，比起 90 年代的瀏覽器，現(xiàn)在的瀏覽器確實稱得上安全性堡壘。

攻擊者是否可以入侵您的訪問者，主要取決于兩方面。第一方面是瀏覽器中是否存在可以入侵的漏洞？也許有，不過比以前已經(jīng)少得多了。第二方面是攻擊者是否可以引導(dǎo)用戶泄漏自己？答案常常是肯定的。

多數(shù)用戶都會安裝網(wǎng)站要求他們安裝的東西，這個問題非常嚴(yán)重，因為這是無法用技術(shù)解決的。我曾在 2008 年 7、8 和 9 月份的《安全觀察》系列文章中討論過這個問題。關(guān)于定律 4，很遺憾，它意味著攻擊者能夠入侵您的訪問者的機(jī)率相當(dāng)高。

之前我提過的例外情況應(yīng)該不難猜到。現(xiàn)在網(wǎng)站所做的許多事在 90 年代都是很難預(yù)測到的。例如，現(xiàn)在像 Microsoft SharePoint 這樣的內(nèi)部協(xié)作網(wǎng)站相當(dāng)普遍，只要具備適當(dāng)?shù)臋?quán)限，任何人都可以將程序上載到這類網(wǎng)站，但這并不表示該網(wǎng)站或任何來訪的用戶會被泄漏。那純粹是該網(wǎng)站的用途。在某種程度上，只要具備訪問該網(wǎng)站的權(quán)限，都是可以信任的用戶。

然后就是分享軟件網(wǎng)站。雖然過去曾有惡意軟件發(fā)布到這些網(wǎng)站，但它們的初衷是分享軟件。這不表示會有任何用戶被泄漏。簡而言之，這些網(wǎng)站都備有安全措施，可以確保自身安全，用戶也不會因為訪問這些網(wǎng)站而自動泄漏。我認(rèn)為這個例外狀況就足以確認(rèn)這個規(guī)則了。因此，盡管有些網(wǎng)站的設(shè)計意圖就是允許用戶（無論好壞）上載程序，但是定律 4 仍然成立（至少在立意上仍然成立）。

定律 5：弱密碼也能帶來強(qiáng)大的安全性。

多年來密碼已經(jīng)成為我的收藏夾。密碼（更籠統(tǒng)的說，是分享的秘密）是一種驗證對象的好方法。但是它們有個小小的問題：只要一面對人性，它們就會徹底敗下來。

在分時計算 (time-sharing computing) 剛剛問世的太平時代，區(qū)別用戶的需求逐漸明顯。系統(tǒng)需要使用某種方法來區(qū)別張三和李四的數(shù)據(jù)。在理想的情況下，張三應(yīng)該可以防止李四讀取他的數(shù)據(jù)（雖然這個要求相當(dāng)基本）。

解決方法是使用用戶帳戶和密碼。過去，我們是一個計算機(jī)系統(tǒng)有一個帳戶，而且通常有一個密碼，密碼通常都是下列信息中的一種：

一個孩子的名字

配偶的名字

寵物的名字

“God”（如果您是超級用戶）

時間一晃過去了 30 年，現(xiàn)在我們擁有幾百個帳戶 — 它們各自分布在 Internet 上的不同網(wǎng)站，以及若干臺計算機(jī)上。其中每個系統(tǒng)都告訴我們，不能在其他任何一個系統(tǒng)上使用同樣的密碼。建議：密碼最好不要太弱，不要寫下來，而且每隔 30 到 60 天就要更改一次。

由于一般人無法在一天更改四個密碼之后，還能準(zhǔn)確記住任何一個，結(jié)果只好在所有的系統(tǒng)上使用相同的密碼（或是兩個不同的密碼），而且這些密碼通常都是選自下面幾個可能名稱：

一個孩子的名字，后面再加上數(shù)字 1

配偶的名字，后面再加上數(shù)字 1

寵物的名字，后面再加上數(shù)字 1

“GodGod11”（只適用于超級用戶）

這 30 年來我們的進(jìn)步并沒有達(dá)到預(yù)期的程度。研究人員仍在為密碼查找適合的研究領(lǐng)域；有關(guān)詳細(xì)信息，請參閱《PC World》中的文章“Too Many Passwords or Not Enough Brainpower”（地址為 pcworld.com/businesscenter/article/150874/too_many_passwords_or_not_enough_brain_power.html）。

就一般使用上來說，密碼顯然是相當(dāng)弱的安全形式。不過即使如此，安全使用密碼還是有講究的。例如，您可以創(chuàng)建強(qiáng)大的密碼并將它們寫下來 — 這種做法本身并無任何問題。但是，充斥在周圍的不良安全性建議最后總會使用戶認(rèn)為，在每一個地方使用相同的密碼要好過將密碼寫下來。

于是，所有的安全性最終卻變成一個漏洞。我們以協(xié)作虛擬專用網(wǎng)絡(luò) (VPN) 訪問為例。我曾討論過各種 VPN 技術(shù)；討論過供應(yīng)商對于它們強(qiáng)得驚人也慢得驚人的密碼加密優(yōu)點所做的評估；以及供應(yīng)商為了不讓攻擊者找到數(shù)據(jù)包而輪換加密密鑰，并將其加密。#p#

但所有這些討論內(nèi)容都完全沒有切中要點。如果以目前能用的計算技術(shù)，還得花上一千萬年才能破解一個數(shù)據(jù)包數(shù)據(jù)流，攻擊者就不會試圖去破解了。使網(wǎng)絡(luò)速度呈數(shù)量級下降以獲得要花一億年才能破解的加密，這樣到底有什么意義？坦白說，如果一億年（或是一千萬年）以后的人類真的有辦法將我的工作電子郵件解密，那就隨他去吧。

加密真是這么值得攻擊的漏洞嗎？我相信攻擊者絕對會攻擊容易下手的漏洞 — 這個漏洞就是用戶常常選擇我剛剛提到的幾種名稱作為用戶密碼。

如果所有用戶都選擇一個六個或八個字符的密碼，那么，就算再強(qiáng)的加密也很難不被攻破。于是我們只好尋求更強(qiáng)的身份驗證方式，如智能卡和一次性 PIN 碼生成器。

這兩種方法雖然可以提供顯著的改善，卻不見得能夠提升安全性。例如，智能卡很容易丟失或忘記隨身攜帶。一次性 PIN 碼生成器大小正好可以放在卡片夾內(nèi)，掛在脖子上也很好看。下次您到街對面的咖啡店喝杯咖啡時，不妨看看是否有人會盯著您現(xiàn)在用的 PIN 卡，大聲念出您的標(biāo)記的用戶名稱，然后費心猜測機(jī)率渺小的隨機(jī)密碼，好利用這唯一的途徑連接到您所在公司的網(wǎng)絡(luò)。

定律 5 是最適合現(xiàn)在的定律，而且今后也仍然適用。但我認(rèn)為它可以大幅通用化，不只弱密碼能夠帶來強(qiáng)大的安全性，我們可以更籠統(tǒng)的說：“弱身份驗證”或甚至“漏洞”都能帶來強(qiáng)大的安全性。

多數(shù) IT 安全性專家都很自責(zé)沒有回頭看清全貌。我們常會將注意力集中在只需強(qiáng)大的安全性技術(shù)就能夠輕松解決的某個問題上，卻常常意識不到還有一些系統(tǒng)漏洞有待緩解，甚至有待思考，以及需要借助所有我們運行的技術(shù)加以改善。

例如，許多公司積極調(diào)整用戶所用的可移動設(shè)備，卻允許出站 Secure Shell (SSH) 和加密的電子郵件連接。如果您將待傳輸?shù)臄?shù)據(jù)加密，甚至連自己都看不到數(shù)據(jù)，那么通過限制可移動設(shè)備能在多大程度上真正減少數(shù)據(jù)丟失？如果我們還想繼續(xù)生存并繁榮昌盛，我們的安全性專家就必須解決這一重要問題。

定律 6：計算機(jī)是否安全取決于管理員是否值得信任。

我很驚訝，即使到了今天，我們還在關(guān)注只適用于管理員的使用 — 更糟一點，只有在您已經(jīng)是管理員時才適用的使用 — 的報告。在撰寫本文時，我正坐在從 Black Hat 2008 會議回程的機(jī)場。就連在那里也看到一篇演示文稿，開頭寫著：“只要具有根目錄訪問權(quán)限，您就能夠按照以下方式控制系統(tǒng)。”

一方面，有些人認(rèn)為最糟的情況是如何修改系統(tǒng)（盡管不是很光明正大，但是只要他們具備修改系統(tǒng)的權(quán)限，也不能阻止他們這么做），真是令人欣慰。另一方面，大家似乎還看不出這么做根本沒什么意義，仍然想方設(shè)法一意孤行 — 徒然浪費寶貴的時間和精力，才更令人泄氣。

其實道理很簡單：只要用戶是管理員（或 Root 用戶、超級用戶，或是您對該角色的其他稱呼），就能在該系統(tǒng)通行無阻，為所欲為！

當(dāng)然，不管這類惡意用戶想要做什么事，他們都能找到更夸張、更狡猾的方式得逞，但是基本道理仍然不變：只要惡意管理員不想讓您檢測到，您就無法有效檢測到。這類用戶總有辦法隱藏他的蹤跡，讓他的所作所為看起來像是別人做的。

從這一點看來，定律 6 無疑仍然適用，至少在某種程度上仍然適用。對計算機(jī)具有萬能權(quán)限的人一旦心術(shù)不正，您的計算機(jī)就不再是自己的計算機(jī)了。“計算機(jī)是否安全取決于管理員是否值得信任”這句話，還真是一點也沒錯。

不過，還需要考慮其他重點。首先，從計算機(jī)的角度來看，管理員的概念不但包含被賦予該角色的人員本身，也包含該角色安全性范圍內(nèi)運行的任何軟件。此外，管理員的角色還包括任何這類軟件的任何編寫人員。

這一點非常關(guān)鍵。定律 6 所說的“計算機(jī)是否安全取決于管理員是否值得信任”這句話，其意義其實遠(yuǎn)遠(yuǎn)超過字面意義。請務(wù)必謹(jǐn)記，就計算機(jī)而言，管理員代表的是在系統(tǒng)管理用戶安全性范圍內(nèi)運行的任何程序。這與用戶是否有意運行該代碼，或者有意假借它進(jìn)行破壞都沒有關(guān)系。

這一點非常重要，因為直到最近，一般用戶才能以非管理員的身份操作基于 Windows 的計算機(jī)。這是 Windows Vista 中用戶帳戶控制 (UAC) 的主要目的。即使如此，用戶的系統(tǒng)管理范圍和非系統(tǒng)管理范圍之間也沒有安全界限。因此，只要可能成為管理員（而不僅是目前身為管理員），任何用戶都適合定律 6。

因此，唯一不受定律 6 限制的方法，就是不成為管理員，而只以標(biāo)準(zhǔn)用戶身份操作。遺憾的是，就連 Windows Vista 也沒有將這一項設(shè)為默認(rèn)值，許多原始設(shè)備制造商 (OEM) 甚至將 UAC 都一并禁用了。

但是，UAC 在未來并沒有什么隱憂。UAC 最明顯的特色是它的提升權(quán)限過程，如圖 2 所示。但最重要的策略性好處，并不是提升到管理員權(quán)限，而是即使原來不是管理員，也能有效操作計算機(jī)。Windows Vista 進(jìn)行了好幾項改進(jìn)才取得了這種效果。例如，現(xiàn)在即使不是管理員也可以更改時區(qū)，這樣在外旅行的人就不必非成為管理員不可，這一點與早期版本的 Windows 完全不同。只要勇往直前，就有更多進(jìn)步的機(jī)會。

圖 2 UAC 最廣為人知，但也可能是最不重要的功能就是提升權(quán)限提示（單擊可獲得大圖）#p#

定律 6 不但現(xiàn)在適用，以后也仍然適用。但是，非系統(tǒng)管理用戶也能操作計算機(jī)的這項轉(zhuǎn)變，是定律 6 的主要調(diào)節(jié)因素之一。第二個因素并不是什么新概念，那就是：強(qiáng)制訪問控制系統(tǒng)。

強(qiáng)制訪問控制系統(tǒng)中的對象都附有標(biāo)簽，而且重新給對象貼標(biāo)簽的規(guī)定也相當(dāng)嚴(yán)格。軟件會將安全性應(yīng)用到與其標(biāo)簽一致的對象，但并不使用管理員的直接控制權(quán)。嚴(yán)格的說，在目前的實現(xiàn)中，管理員通常可以采取各種不合法的步驟取代這些控制權(quán)。

不過，有朝一日我們也許能夠限制管理員的行為。但即使我們可以限制管理員的行為，您也可能認(rèn)為那些用戶不再是名符其實的管理員。因此，定律 6 絕對經(jīng)得起考驗。

定律 7：加密數(shù)據(jù)是否安全取決于解密密鑰。

定律 7 大概是所有定律中爭議最少的一條了。加密經(jīng)常被視為許多安全性問題的萬靈丹。事實上，盡管加密在安全性領(lǐng)域是很有價值的工具，但對于我們所面臨的大部分問題來說卻非如此，現(xiàn)在不是，以后也不會是。

不管您到哪里，加密總是如影隨形。在 Windows 中，加密用在密碼、文件、網(wǎng)絡(luò)漫游以及身份驗證這些方面。雖然并非所有加密都可以還原，但是像加密文件系統(tǒng) (EFS) 以及存儲的密碼和用戶名稱所用的憑據(jù)緩存，都是很重要的可逆加密，如圖 3 所示。

圖 3 Windows Vista 中的憑據(jù)緩存受加密保護(hù)（單擊可獲得大圖）

EFS 和憑據(jù)緩存都受用戶密碼所派生的加密密鑰保護(hù)。其中包括多層含義。首先，如果用戶密碼被重設(shè)（不輸入舊密碼，直接設(shè)為新密碼），除非有指定的修復(fù)密鑰，否則存儲在這些位置的所有數(shù)據(jù)都會丟失。

但更重要的是，雖然加密本身所用的密鑰和協(xié)議相當(dāng)強(qiáng)大，密鑰的安全性還是取決于用戶的密碼。換句話說，數(shù)據(jù)安不安全，就看密碼強(qiáng)不強(qiáng)。密碼事實上是一種解密密鑰，即使在這個特定示例中，密碼只是輔助的解密密鑰（這表示它負(fù)責(zé)將另一個解密密鑰解密），但仍然不改它是解密密鑰的事實。

這可以說是最關(guān)鍵的一點。這幾種依賴鏈在 IT 領(lǐng)域相當(dāng)普遍。幾年前曾經(jīng)有人對 VeriSign 運行一種社交工程攻擊，并且因此以 Microsoft 的名義取得了兩個代碼簽名證書。代碼簽名證書實際上是一種解密密鑰，目的是驗證證書中所命名的實體具有加密密鑰。

但是在這種情況下，要求得到證書的人，并不是證書中所命名的實體。換句話說，現(xiàn)在攻擊者的簽名密鑰用的是另一個人的名字。這些密鑰也許很安全，不過一旦您分析依賴鏈的其余部分時，就會發(fā)現(xiàn)嚴(yán)重錯誤。

而這證明了一點：加密密鑰對于數(shù)據(jù)安全性至關(guān)重要，但是保護(hù)加密密鑰本身安全的，很可能是極弱的密碼。我看過太多系統(tǒng)將實現(xiàn)器構(gòu)建在能想出的最強(qiáng)的加密上，并且用另一種安全措施來保護(hù)加密密鑰，但卻未意識到第二層保護(hù)暗藏了巨大的漏洞。在實現(xiàn)任何加密時，您必須分析整個保護(hù)鏈。只有加密本身是無法保護(hù)數(shù)據(jù)安全的。

因此，定律 7 也仍然適用。它是 10 條定律中最無懈可擊的一條。事實上，它是這個行業(yè)中最接近物理學(xué)定律的一條。同時，它也提醒我們，分析敏感數(shù)據(jù)的整個保護(hù)鏈可以說是我們的良師益友。因此，即使密鑰沒有最強(qiáng)的保護(hù)也無所謂，只要那些密鑰所保護(hù)的數(shù)據(jù)只要求較低層保護(hù)就行了。

結(jié)論

到目前為止，安全性的十個永恒定律已經(jīng)討論到第 7 條。每一條重新審視過的定律在多年之后仍然全部適用，而且短期之內(nèi)似乎也不會被有力地證明是錯的。

事實上，這些定律所展示的，都是令人印象深刻的預(yù)見。唯一有點站不住腳的到目前為止只有第 4 條，不過我在前面也提到過，即使如此，它還是經(jīng)得起考驗。

下個月我會討論第 8、9 和 10 條定律，并且做個總結(jié)。另外我也會評論這些定律可能無法涵蓋所有安全內(nèi)容中的哪些內(nèi)容。

原文地址

本文來源：微軟TechNet中文站